[读书笔记]网空态势感知理论与模型(六)
企业级网空态势感知
1. 态势感知系统的挑战
从海量的日志、网络流量、安全告警及业务交易日志中找到所需的信息是一个巨大的挑战;其次,对于孤立系统生成的信息整合和理解也是一个挑战,没有现成的整合框架或模型可被用于工具、算法和技术的耦合;第三,相关技术很少考虑安全分析人员在其中的作用。
(1)安全监测:记录网络流量的WireShark、Ntop、Tcpdump、Bro以及Snort
扫描漏洞的Nessus、OVA、GFILanGuard、QualysGuard以及McAfee FoundStone
用于网络测绘与发现的Lumeta IPSonar、SteelCentral NetCollector(即OPNET NetMapper)、Nmap以及JANASSURE
用于拦截系统调用的Backtracker(kali的前身)、Shelf以及Patrol
用于捕获运行态安全事件的Malwarebytes Anti-Exploit、AVG Antivirus以及McAfee Antivirus。
(2)入侵检测
如OSSEC HIDS和TripWire的基于主机IDS针对单个主机上的异常事件向管理员发出告警,而Snort基于网络IDS针对这个网络边界的可以网络包发出告警。
其中一种值得注意的入侵检测方法是基于系统调用的入侵检测,它利用系统调用序列和系统调用参数的统计特性。除了序列和参数,有学者进一步考虑了涉及不同系统调用参数的时间属性。
(3)关联告警。误报率包含两方面:a。相关性本身不准确,是的将可能不同的上下文整合成一个统一的“故事”;b。继承自如IDS传感器的误报率。两方面的误报率叠加,是的准确度变得很差。
(4)事件关联。典型系统: ArcSight(商用软件)、 QualysGuard(商用软件)、NIRVANA等(商用)。
Arcsight是领先的企业安全信息和事件管理(SIEM)系统,它提供了一个关联分析引擎以可视化方法对用户活动、事件日志和入侵告警进行安全管理。
Qualysguard通过将IT安全和符合性管理作为服务交付。
NIRVANA是一个带有图模型和推理算法的态势感知工具。
(5)服务依赖关系发现。该问题是事件关联的子问题,它致力于从网络或主机的事件中挖掘出服务依赖关系。他的结果可以用来对企业网络中任务支撑的影响权重进行排序。
eXpose使用一种统计度量过滤不太可能导致依赖关系的流量。
Orion基于网络流对的延迟分布中的峰值检测来学习获得依赖关系。
模糊逻辑算法被用于构建一个推理引擎对来自流量的依赖关系进行分类。
NSDMiner利用嵌套的网络流量观察来识别依赖关系。
Magpie能够记录细粒度的内核、中间件、应用程序事件,并将他们关联到计算机上的应用程序的执行路径中,并在网络上对他们进行追踪。
Pinpoint能够记录组件的交互行为,以跟踪请求所经过的路径。
X-trace重构出OS任务执行过程中所涉及的事件树。
Constellation采用分布式方式安装基于主机的守护进程,然后应用网络机器学习。
Macroscope将产生流量的已识别进程的信息与网络级网络包跟踪数据结合在一起。
---------------------
见识过这么多利器,就能理解构建完备的态势感知系统难度有多大。涉及面真是广。
---------------------
(6)攻击图:具有对已知楼栋之间的因果关系进行建模和关联的优势,攻击图能够生成所有可能的攻击路径,从而展示出可能的攻击利用路径。不足之处是存在严重的复杂性问题。
(7)贝叶斯网络:BN是一种解决不确定性问题的强大工具,可以增强人员对于网空态势感知的理解和预测能力。
集成框架: 提出了Situation Knowledge Reference Model SKRM模式,经数据、信息、算法和工具及人类知识耦合在一起,利用了McGuinness和Foy对态势感知的定义,由观察、理解、预测和解决4个层级组成。
2. SKRM 通过相互连接的跨层态势知识参考模型获得全局感知
2.1 由于技术与生俱来的孤立视角,没有显式地考虑如何提高安全分析人员的总体网空态势意识。这些技术基因影响到结果数据,如数据颗粒度、数据格式、数据语义和数据意义等方面。
大量的异构数据从不同来源呈现给安全专家分析时,需要具有不同背景和专业知识的专家共同努力消化和理解数据。研究表明,即使同一个安全话题,不同领域专家之间也无法进行有效的沟通。所以“应该建立一个整合框架,通过将数据、信息、算法和工具以及人的知识偶合在一起,整合来自不同视角的网空知识,以增强安全分析人员的态势感知能力”。
对于任务损害和影响评估,对于确定和跟踪在攻击活动以及随后的损害传播期间相关的因果关系至关重要。
烟囱问题:在网络安全方向,可以在业务流程层、应用/服务层、OS对象层(文件或流程)、指令层(内存单元、指令、寄存器和磁盘扇区)识别出损害。系统专家确切知道哪些文件被添加、删除或修改,但是不清楚如何影响业务层;另一方面,业务经理迅速注意到财务损失,但是不能将其与OS中不允许的系统调用联系起来。
水平烟囱:抽象层级之间存在差异
对于工作流复原、入侵检测、攻击图分析、OS系统级依赖关系追踪和恢复、指令级污染分析等这些技术,需要能够有效“交谈”,以帮助安全分析人员实现总体的态势感知。
垂直烟囱:相同抽象层级上存在差异
挑战和方法:
应对挑战的方法 1)识别出企业网络中存在的“烟囱”,包括水平和垂直的。2)找到分析技术,能够打破烟囱 3)需要将孤立的信息整合到“全局图景”中。
方法:
为了打破垂直烟囱,需要引入跨区隔的数据或控制依赖关系跟踪技术,并引入至SKRM中。包括:工作流的数据或控制依赖关系挖掘、服务依赖关系发现、操作系统层依赖关系跟踪、指令层污点跟踪。
为了打破水平烟囱,在SKRM中引入或开发跨抽象层次语义桥接技术,以描绘在计算机和信息系统语义的不同层级之间的跨层级关系。在应用服务层和OS层之间加入一个逻辑层级的依赖关系攻击图,实现网络服务层级前置条件之间的因果关系表示和跟踪,以及识别在OS层面对漏洞的成功攻击利用。
2.2 SKRM模型
该模型从上到下整合了企业网络中网络态势的4个层次:工作流程、应用-服务层、OS层和指令层。
(1)工作流程的图模型可以用有向图G(V,E)表示;V是节点(操作任务)集合,E是有向边(直接紧前关系)的集合。
(2)应用-服务层的图模型可以用有向图G(V,E1,E2)表示;V是节点(应用或服务)集合,E1是单向边(依赖关系)的集合,E2是双向边(网络连接)的集合。
服务节点是一个三元组(IP、PORT、Protocol)
(3)OS层的图模型可由有向图G(V,E)表示;V是节点(系统对象,主要包括一个进程、一个文件或系统内的一个socket)的集合。E是有向边的集合,其中有向边意味着直接依赖关系。
(4)指令层的图模型可由有向图G(V,E)表示;V是节点(指令、寄存器或内存单元)的集合,E是有向边的集合,有向边意味着直接的数据或控制依赖关系。
2.3 生产SKRM图模型栈
2.2定义的是“水平烟囱”,而层次上的区隔(操作任务、服务、主机、OS层对象、指令层对象)是“垂直烟囱”。为了打破烟囱,分别需要跨区隔和跨层次的相互连接。
2.3.1 跨区隔的相互连接:实际上是在对应的抽象层次上生成网络级图模型的过程。
(1) 工作流设计-挖掘:生成图模型的方法有两种:1)由业务管理人员对工作流进行手工设计和预先指定。 2)通过运用数据挖掘方法,有业务流程实际执行的日志数据中提取出工作流。
(2)服务依赖关系的发现:也有两种方法 1)手动生成。2)自动化服务依赖关系发现。
(3)跨主机的OS层级依赖关系追踪。通过系统调用的审计日志中为每个主机构建出OS层级的依赖关系图。
(4)指令层污点追踪。1)细粒度污点分析可以用来生成指令流依赖关系;2)可以进行跨层次的感染诊断。
2.3.2 跨层次的相互连接:用于描述跨层次的关系。
工作流程<--->应用-服务层:从网络跟踪数据和工作流日志挖掘关联关系。
OS层<--->指令层:基于重构引擎完成。
依赖关系攻击图(AG)可以用有向图G(V,E)表示。V是节点(派生节点标识为椭圆、原始事实节点标识为矩形、派生事实节点标识为菱形)的集合。E是节点之间因果关系的有向边的集合。
具体来说:原始事实节点包括网络连接、主机配置及扫描漏洞等。
基于网络级的OS层依赖跟踪,将攻击图中的派生事实节点映射到OS层的入侵症状,这种依赖关系追踪的输入是主机或者服务配置的OS层实例。
常见的收集器包括: Nessus、MulVal、Snort、Ntop、Strace等。