數(shù)據(jù)分析與機(jī)器學(xué)習(xí)如何為業(yè)務(wù)安全賦能?
目前傳統(tǒng)的安全檢測、防護(hù)類設(shè)備針對業(yè)務(wù)應(yīng)用安全基本上沒有防護(hù)效果。數(shù)據(jù)分析與機(jī)器學(xué)習(xí)為業(yè)務(wù)安全問題提供了一個有效的解決方案。基于業(yè)務(wù)的歷史數(shù)據(jù),通過統(tǒng)計(jì)分析與機(jī)器學(xué)習(xí)的方法學(xué)習(xí)出業(yè)務(wù)的歷史特征,結(jié)合專家知識形成業(yè)務(wù)特征的基線。根據(jù)基線來檢測業(yè)務(wù)行為是否存在異常。本文給出了幾個通過數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法檢測業(yè)務(wù)系統(tǒng)中異常的具體案例:web業(yè)務(wù)安全、物聯(lián)網(wǎng)卡業(yè)務(wù)安全、變電站業(yè)務(wù)安全。
隨著高級持續(xù)性威脅(APT)攻擊的泛濫以及內(nèi)部人員威脅的增加,針對企業(yè)業(yè)務(wù)系統(tǒng)的安全威脅日益增多。當(dāng)前,一般企業(yè)的安全檢測類產(chǎn)品有操作系統(tǒng)(OS)漏掃、Web漏掃、數(shù)據(jù)庫(DB)漏掃等,但這些設(shè)備都不能發(fā)現(xiàn)客戶自開發(fā)應(yīng)用的安全問題、業(yè)務(wù)邏輯方面的安全問題。同時,目前部署的入侵檢測系統(tǒng)(IDS)等檢測類設(shè)備由于是基于特征庫或者啟發(fā)式規(guī)則進(jìn)行檢測,對于針對業(yè)務(wù)邏輯類攻擊、APT類的攻擊往往毫無感知。傳統(tǒng)的防火墻(Firewall)往往針對五元組進(jìn)行檢測,對上層應(yīng)用的防護(hù)效果不大。Web應(yīng)用防火墻(WAF)主要針對Web攻擊進(jìn)行防護(hù),而對業(yè)務(wù)邏輯、業(yè)務(wù)數(shù)據(jù)偽造等攻擊無能為力。同時,沙盒類APT攻擊檢測措施的重點(diǎn)是檢測威脅OS或某些應(yīng)用的惡意代碼,對針對客戶應(yīng)用數(shù)據(jù)的檢測更是無能為力。
業(yè)務(wù)系統(tǒng)的異常有很多類型,最常見的有以下幾種:
- 業(yè)務(wù)邏輯異常。例如用戶通過運(yùn)營商的網(wǎng)站辦理繳費(fèi)業(yè)務(wù),通過某種方式繞過了支付的步驟,導(dǎo)致在用戶未支付的情況下成功辦理了收費(fèi)業(yè)務(wù)。
- 業(yè)務(wù)濫用異常。例如對網(wǎng)站進(jìn)行薅羊毛,雖然業(yè)務(wù)的操作邏輯完全正常,但是薅羊毛屬于對業(yè)務(wù)的濫用,也是業(yè)務(wù)異常。
- 業(yè)務(wù)數(shù)據(jù)異常。例如業(yè)務(wù)的參數(shù)異常,業(yè)務(wù)的統(tǒng)計(jì)數(shù)據(jù)異常等。
綜上所述,目前傳統(tǒng)的安全檢測、防護(hù)類設(shè)備針對業(yè)務(wù)應(yīng)用安全基本上沒有防護(hù)效果。與網(wǎng)絡(luò)層面的安全不同,業(yè)務(wù)應(yīng)用安全的特點(diǎn)是用戶的行為符合訪問控制規(guī)則,并且對業(yè)務(wù)的每一步操作都不帶有明顯的攻擊特征,例如沒有SQL注入,沒有跨站腳本攻擊(XSS)等攻擊特征。但是用戶對業(yè)務(wù)的整體操作流程存在著異常,例如驗(yàn)證碼猜測,密碼暴力破解,關(guān)鍵業(yè)務(wù)操作步驟缺失等。因此,需要一種全新的方案來檢測業(yè)務(wù)系統(tǒng)的安全。
數(shù)據(jù)分析與機(jī)器學(xué)習(xí)為業(yè)務(wù)安全問題提供了一個有效的解決方案。基于業(yè)務(wù)的歷史數(shù)據(jù),通過統(tǒng)計(jì)分析與機(jī)器學(xué)習(xí)的方法學(xué)習(xí)出業(yè)務(wù)的歷史特征,包括操作邏輯特征,時間特征,參數(shù)特征,統(tǒng)計(jì)信息特征等,結(jié)合專家知識形成業(yè)務(wù)特征的基線。根據(jù)基線來檢測業(yè)務(wù)行為是否存在異常。
與網(wǎng)絡(luò)安全不同,業(yè)務(wù)系統(tǒng)的種類繁多。對于Web類型的業(yè)務(wù)來說,由于其一般工作在TCP/IP網(wǎng)絡(luò)協(xié)議的第七層,即應(yīng)用層,其業(yè)務(wù)參數(shù)及業(yè)務(wù)操作定制化程度很高。另外對于像工控系統(tǒng),其業(yè)務(wù)主要是針對設(shè)備的控制指令操作,或者設(shè)備本身的數(shù)據(jù)上報(bào)與心跳。因此,對于不同類型的業(yè)務(wù)系統(tǒng),其面臨的業(yè)務(wù)安全問題差別較大,需要針對不同的安全場景開發(fā)相應(yīng)的解決方案。下面分別針對幾種典型的場景,給出相應(yīng)的業(yè)務(wù)層面的分析手段。
一、Web業(yè)務(wù)安全場景
Web類型的業(yè)務(wù)一般工作在TCP/IP網(wǎng)絡(luò)協(xié)議的第七層,主要采集業(yè)務(wù)辦理過程中瀏覽器的HTTP頭數(shù)據(jù)來學(xué)習(xí)業(yè)務(wù)的操作序列。HTTP頭數(shù)據(jù)中包含有時間,HTTP請求類型,body,cookie,referer等字段信息。其中,HTTP請求類型信息可以區(qū)分出相應(yīng)的請求是否對應(yīng)了關(guān)鍵的業(yè)務(wù)操作;body和cookie信息可以用來標(biāo)識出用戶信息和會話的信息;referer信息可以用來標(biāo)識業(yè)務(wù)的資源信息。其系統(tǒng)結(jié)構(gòu)如圖1所示。
圖1 Web業(yè)務(wù)安全系統(tǒng)結(jié)構(gòu)
采用關(guān)聯(lián)分析和統(tǒng)計(jì)分析的方法對采集到的HTTP頭數(shù)據(jù)進(jìn)行分析,以得出業(yè)務(wù)的操作序列。在用戶對業(yè)務(wù)系統(tǒng)的操作過程中,瀏覽器主要有兩種類型的HTTP請求,即GET類型的請求和POST類型的請求。而對于業(yè)務(wù)辦理的操作來說,由于需要向服務(wù)器提交數(shù)據(jù),所以業(yè)務(wù)辦理的關(guān)鍵步驟對應(yīng)的都是POST類型的HTTP請求。
提取出POST類型的數(shù)據(jù)以后,根據(jù)cookie和body中的信息將一個用戶在同一次會話的數(shù)據(jù)聚合在一起。將聚合以后的操作序列按照時間進(jìn)行排序,就得到了有序的業(yè)務(wù)操作數(shù)據(jù)。
在HTTP請求數(shù)據(jù)中,referer信息可以標(biāo)識出業(yè)務(wù)的資源,例如運(yùn)營商系統(tǒng)中的流量套餐,彩鈴等業(yè)務(wù)。每個用戶在一次會話過程中可能會辦理多項(xiàng)業(yè)務(wù),這些辦理業(yè)務(wù)的操作數(shù)據(jù)會一起出現(xiàn)。因此需要將這些數(shù)據(jù)按照referer信息進(jìn)行聚合,以分別提取出用戶辦理業(yè)務(wù)的操作序列。
將前面提取出的業(yè)務(wù)操作序列進(jìn)行去重,即得到包含有用戶信息和會話信息的序列。為了提取出業(yè)務(wù)本身所對應(yīng)的操作序列,需要去掉用戶信息和會話信息,只留下業(yè)務(wù)本身的操作信息。在實(shí)際的業(yè)務(wù)系統(tǒng)中,業(yè)務(wù)本身的操作信息由URL的跳轉(zhuǎn)序列,和序列中每一條URL所對應(yīng)的body信息中的屬性名組成。統(tǒng)計(jì)出原始數(shù)據(jù)中每一組URL跳轉(zhuǎn)序列出現(xiàn)的次數(shù),再分別統(tǒng)計(jì)出每一組URL跳轉(zhuǎn)序列下所對應(yīng)的不同的body參數(shù)屬性名稱組合出現(xiàn)的次數(shù),并按照從多到少的順序進(jìn)行排序。出現(xiàn)次數(shù)多的序列更有可能是正常的業(yè)務(wù)操作序列。將提取出的序列與專家知識進(jìn)行結(jié)合,即可得到業(yè)務(wù)操作序列的基線,用于檢測業(yè)務(wù)操作序列的異常。
根據(jù)前面的方法,針對某彩鈴訂購網(wǎng)站的HTTP請求數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,得到的業(yè)務(wù)最小操作序列如表1所示。在表1中,URL序列就是通過統(tǒng)計(jì)學(xué)習(xí)得到的一條最小操作序列。在后面的參數(shù)字段就是在這種操作序列下出現(xiàn)的body中的參數(shù)字段的組合。出現(xiàn)次數(shù)指的是在給定的原始數(shù)據(jù)中相應(yīng)序列組合的出現(xiàn)次數(shù)。在表1中一條URL序列對應(yīng)了三種body的組合,也就是說表1中包含了三種可能的業(yè)務(wù)。統(tǒng)計(jì)學(xué)習(xí)出來的結(jié)果還需要經(jīng)過管理員的確認(rèn),以保證其準(zhǔn)確性。這樣通過歷史數(shù)據(jù)學(xué)習(xí)來取得業(yè)務(wù)的操作序列可以幫助管理員配置安全審計(jì)系統(tǒng)中的業(yè)務(wù)操作基線,減少管理員的工作量。
表1 Web業(yè)務(wù)最小操作序列示例
二、物聯(lián)網(wǎng)卡業(yè)務(wù)安全場景
物聯(lián)網(wǎng)卡指的是運(yùn)營商用在物聯(lián)網(wǎng)業(yè)務(wù)中的SIM卡。物聯(lián)網(wǎng)卡的類型與功能如表2所示。
表2 物聯(lián)網(wǎng)卡的類型與功能
由于很多物聯(lián)網(wǎng)卡的功能與普通手機(jī)卡的功能相同,所以物聯(lián)網(wǎng)卡會存在著被濫用的情況,即被用在個人手機(jī)業(yè)務(wù)中,或者被用來進(jìn)行薅羊毛、電信詐騙等。另外,由于物聯(lián)網(wǎng)卡一般不會與設(shè)備進(jìn)行綁定,所以也會存在物聯(lián)網(wǎng)卡實(shí)際應(yīng)用的業(yè)務(wù)場景與合同約定的場景不同的情況。基于大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法可以有效的發(fā)現(xiàn)物聯(lián)網(wǎng)卡業(yè)務(wù)數(shù)據(jù)的異常,進(jìn)而發(fā)現(xiàn)被異常使用的卡。
圖2 物聯(lián)網(wǎng)卡異常分析流程
如圖2所示,采集物聯(lián)網(wǎng)卡的語音話單、短信話單、流量話單、上網(wǎng)日志和發(fā)卡與用卡單位相關(guān)信息等數(shù)據(jù),根據(jù)異常分析模型數(shù)據(jù)需求,從話單中提取出有效的關(guān)鍵數(shù)據(jù)特征,如通話信息、短信發(fā)送信息、上網(wǎng)行為信息等,采用統(tǒng)計(jì)分析,關(guān)聯(lián)分析和相似度聚類分析、深度學(xué)習(xí)等基于機(jī)器學(xué)習(xí)的方法進(jìn)行行為模式分析。其中,統(tǒng)計(jì)分析針對原始數(shù)據(jù)進(jìn)行統(tǒng)計(jì),并基于專家知識找出統(tǒng)計(jì)結(jié)果的異常。關(guān)聯(lián)分析將多個維度進(jìn)行關(guān)聯(lián),進(jìn)一步提高檢測的準(zhǔn)確性。基于機(jī)器自學(xué)習(xí)的行為模式分析通過歷史數(shù)據(jù)學(xué)習(xí)出卡的行為模式特征,并基于特征來檢測卡的當(dāng)前行為是否異常。將分析的結(jié)果經(jīng)過人工審核與確認(rèn),最終找到被異常使用的物聯(lián)網(wǎng)卡。
基于某運(yùn)營商的物聯(lián)網(wǎng)卡的相關(guān)數(shù)據(jù)進(jìn)行分析,并結(jié)合人工調(diào)查的結(jié)果,得出物聯(lián)網(wǎng)卡主要存在以下幾種異常使用的情況:
1. 挪用異常
物聯(lián)網(wǎng)卡被應(yīng)用的場景發(fā)生了變化。例如原來被用在電梯衛(wèi)士中的SIM卡被用在了車務(wù)通中。由于物聯(lián)網(wǎng)卡的發(fā)卡合同規(guī)定不允許私自變更卡所應(yīng)用的物聯(lián)網(wǎng)業(yè)務(wù),因此這種情況屬于異常使用。通過和人工確認(rèn),發(fā)現(xiàn)異常的卡號有320個。
2. 濫用異常
物聯(lián)網(wǎng)卡只能應(yīng)用在物聯(lián)網(wǎng)業(yè)務(wù)中,不能應(yīng)用在個人業(yè)務(wù)中。如果物聯(lián)網(wǎng)卡被用在了個人的手機(jī)中,這種情況屬于卡被濫用的情況。經(jīng)過分析和人工確認(rèn),發(fā)現(xiàn)存在濫用異常的卡號一共有1020個。
3. 合同及管理異常
在實(shí)際調(diào)查中發(fā)現(xiàn),有很多的卡雖然在數(shù)據(jù)分析的結(jié)果中被認(rèn)為是異常,但實(shí)際上這種異常并非由于卡被異常使用所引起,而是由于在管理中的疏忽所導(dǎo)致。例如有些卡存在個人業(yè)務(wù)的行為特征,而實(shí)際調(diào)查中發(fā)現(xiàn)這些卡本身就是已經(jīng)實(shí)名制的個人手機(jī)卡,但卡的相關(guān)信息卻出現(xiàn)在了物聯(lián)網(wǎng)卡的數(shù)據(jù)集合中。這種情況一般是由于卡在被管理的過程中出現(xiàn)差錯導(dǎo)致的,而卡本身并不存在被異常使用的情況。另外還有一種情況是物聯(lián)網(wǎng)卡的發(fā)卡合同中只規(guī)定了卡所對應(yīng)的收費(fèi)套餐,而沒有規(guī)定卡所應(yīng)用的行業(yè)場景。這種情況也屬于對卡的管理存在漏洞導(dǎo)致的異常,而不是卡本身存在被異常使用的情況。
三、變電站業(yè)務(wù)安全場景
變電站是電力系統(tǒng)中變換電壓、接受和分配電能、控制電力的流向和調(diào)整電壓的電力設(shè)施。它通過其變壓器將各級電壓的電網(wǎng)聯(lián)系起來。而智能變電站是指通過智能設(shè)備以全站信息數(shù)字化、通信平臺網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求,自動完成信息采集、測量、控制、保護(hù)、計(jì)量和監(jiān)測等基本功能,并可根據(jù)需要支持電網(wǎng)實(shí)時自動控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動等高級功能的變電站。與傳統(tǒng)變電站不同,智能變電站采用IEC61850的標(biāo)準(zhǔn)。這是一個國際通用的變電站自動化系統(tǒng)。它對于設(shè)備的行為,數(shù)據(jù)的命名以及定義都進(jìn)行了規(guī)范。智能變電站使用電子式互感器替代傳統(tǒng)的電壓互感器,使用光纖接線替代傳統(tǒng)的信號電纜硬接線,傳輸?shù)臄?shù)據(jù)也變?yōu)閿?shù)字量。
與一般的IT網(wǎng)絡(luò)不同,由于工業(yè)網(wǎng)絡(luò)中經(jīng)常存在輪詢,診斷,周期刷新等業(yè)務(wù),工業(yè)網(wǎng)絡(luò)中傳輸?shù)膱?bào)文在時間上通常具有一定的規(guī)律。變電站網(wǎng)絡(luò)如果遭到入侵導(dǎo)致工作異常,其報(bào)文傳輸?shù)臅r間特性通常會發(fā)生變化。因此對變電站網(wǎng)絡(luò)中報(bào)文傳輸?shù)臅r間特性進(jìn)行分析,可以為變電站網(wǎng)絡(luò)是否遭到入侵提供一種檢測的方法。這里以智能變電站中的MMS報(bào)文為例,來分析其傳輸?shù)臅r間特性。
將采集到的MMS報(bào)文按照源IP/port,目的IP/port,報(bào)文類型和關(guān)鍵字進(jìn)行聚合,聚合以后統(tǒng)計(jì)其傳輸間隔的時間特性。其時間特性如圖3所示。
圖3 聚合以后的MMS報(bào)文的時間間隔特性
如果MMS報(bào)文的時間間隔特性發(fā)生變化,則說明中間有對系統(tǒng)的操作,或者系統(tǒng)出現(xiàn)了異常情況。由于時間特性的變化會很微小,不容易直接檢測到,這里采用小波變換的方法進(jìn)行檢測。如圖4和圖5所示。
圖4 MMS報(bào)文的時間間隔與其小波變換
圖5 MMS報(bào)文的時間間隔與其小波變換
圖4所示是對圖3中的序列進(jìn)行小波變換以后所得到的結(jié)果。在圖5中,時域信號發(fā)生了微小的變化。這種時域的變化不容易直接檢測。但是采用Haar小波變換的方法卻可以檢測這種變化,如圖5中間的曲線圖所示,時域序列的微小變化會引起小波變換以后的結(jié)果發(fā)生較大的變化。通過檢測這種變化,即可檢測到原始時域序列的變化,進(jìn)而檢測報(bào)文傳輸?shù)漠惓!?/p>
以上給出了幾個通過數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法檢測業(yè)務(wù)系統(tǒng)中異常的案例。可以看出由于業(yè)務(wù)系統(tǒng)的功能不同,其數(shù)據(jù)源和分析方法有較大的差別。根據(jù)系統(tǒng)的特點(diǎn)和功能對其數(shù)據(jù)進(jìn)行分析與學(xué)習(xí),將得到的結(jié)果與專家知識結(jié)合,即可發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中的異常情況。
【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】
