动态自适应演进安全架构研究

党引弟，宋宁宁

(华北计算机系统工程研究所，北京 100083)

0 引言

云计算与大数据的迅猛发展极大地推动了社会各个领域在服务模式上的颠覆式变革。云计算虚拟整合硬件计算资源，通过网络为用户动态配置计算服务[1-2]。作为创新性的IT基础设施，云计算技术与产业深度融合，赋能行业转型升级。伴随承载事务的不断丰富，云计算平台面临的安全风险随之凸显[3]。自2017年以来，“WannaCry”、“Petya”、“BadRabbit”、“Locky”等勒索病毒频繁冲击全球网络安全防线，多个国家的政府机构、银行、企业等均受到大规模攻击，造成了巨大的经济损失。除此之外，APT攻击、DNS劫持以及针对软件供应链的攻击同样对企业带来了极其严重的威胁。尤其针对云计算基础设施漏洞发起的高级网络攻击，无疑给云计算安全带来更多未知的挑战。

面临着日益严峻的网络安全威胁，传统的基于防火墙、IDS、WAF等安全设备的安全体系已经不能匹配云计算平台的安全需求。高级定向攻击可轻易绕过传统防火墙与基于黑白名单的防御手段，进而攻击云平台的核心数据。依托被动的纵深防御方式无法真正解决云安全威胁，在此背景下，可实现主动防御与持续响应的自适应安全架构应运而生。

2013年，美国总统奥巴马签署行政命令EO13636《提升关键基础设施的网络安全》[4]。美国国家标准与技术研究院(National Institute of Standards and Technology，NIST)随即开发了一系列安全架构，旨在降低关键基础设施面临的安全风险，并于2014年公开发布了1.0版本的整体安全架构，主要包括三个安全模块：核心层、实施层、实例化层[5]。

2014年，Gartner首次提出了针对高级定向攻击的自适应安全架构[6]。与传统的依托纵深防御策略重视防御和边界不同的是，该架构不再被动地进行防御与应急响应，而是另辟蹊径重点强调实时监测与动态响应，通过持续性地监控与分析，具备对未知的网络攻击的预测能力，构成了防御、监测、响应以及预测的安全防控流程闭环。

2016年，该安全架构得到了全球网络安全厂商的认可，比如终端安全厂商Cabon Black，以及网络安全提供商Illumio均结合自己的产品打造了自适应的安全平台。国内云安全服务商青藤云也致力于自适应安全架构的产品体系。2016年由Gartner发布的十大战略科技趋势中，自适应安全架构名列其中[7]。从自适应安全架构的提出到初步受到广泛关注，2016年可以定义为“自适应安全架构1.0时代”。自适应安全架构1.0示意图如图1所示。

图1 自适应安全架构1.0

2017年，“自适应的安全架构2.0”进一步发展，添加了一部分内容从而完善了防御、监控、响应与预测四部分的循环体系[8]，如图2所示。首先，在持续监测加入了对用户和实体进行行为分析模块(User & Entity Behavior Analytics,UEBA)。UEBA通过机器学习与大数据分析，能够对用户、终端以及应用层、网络层等网络设备进行行为实时分析模拟，搜集相关安全缺陷，辅助终端安全厂商与网络安全厂商发现更深层次的安全问题。其次，防御、监控、响应与预测间的大的循环体系不变的同时，在各自模块内引入小的循环体系，形成了动态持续的主动防御能力。最后，在防御、监控、响应与预测间的大的循环中加入了策略与合规性要求，并阐明了该循环的目的与意义。策略与合规性问题的引入进一步提升了自适应安全架构的普适性，而非仅仅针对最初的高级攻击防御架构。

图2 自适应安全架构2.0

2017年6月，来自Gartner的三位著名分析师Ahlm，Krikken与NeilMcDonald在第23届Gartner安全与风险管理峰会开幕式上发布了名为“持续自适应风险与信任评估”(Continuous Adaptive Risk and Trust Assessment，CARTA)的安全体系，可连续不间断地针对风险与信任进行自适应评估，进而形成一个动态可信任的云服务环境。该安全体系被普遍认为是“自适应安全架构3.0”，并被列入了2018年十大战略科技趋势中[9]。与“自适应安全架构2.0”相比，在新提出CARTA体系中引入了云访问安全代理(Symantec CloudSOC Cloud Access Security Broker，CASB)，形成了自适应安全架构与CASB内外双环的循环保护结构，无论是自适应的认证鉴权体系还是安全防御体系均形成了监测、防御、响应与预测的闭环。自适应安全架构3.0示意图如图3所示。

图3 自适应安全3.0构架

自适应安全架构核心愿景是构建一个具备自适应、威胁情境感知、动态调整的智能防御体系，面对不可避免的安全风险时，具备主动防御与弹性部署的防控能力，为企业创造一个可信任的网络环境。上述自适应安全架构均面向企业领域，目前针对网络空间安全保密场景制定适用的自适应安全框架的研究较为薄弱。深入理解并合理利用自适应安全架构，构建在网络空间安全保密场景下可管、可控、可视、可持续、自适应的安全防御体系，突破智能化防御态势分析与攻击行为预测，可极大提升信息系统的安全事件快速响应能力，实现网络安全主动防御能力的跃升。

1 自适应安全架构详解

自适应安全架构是面向云计算、大数据、物联网、人工智能领域[10-13]的下一代安全防护体系框架，包含防御、监测、响应、预测四个外环模块以及云访问安全代理内环，通过持续处理与循环形成了安全防控双层闭环，可通过细粒度、全方位、实时不间断的安全威胁分析处理，自适应地适配多种网络威胁环境，动态调整安全防护策略，优化自身安全防护机制，形成智能集成联动的安全防御体系。

(1)防御：是指通过部署安全防护产品，制定安全防御策略与机制，降低信息系统的攻击面，形成动态主动防御能力，在形成有效攻击之前完成拦截。防御模块主要分为三个层面：加固与隔离、转移攻击、攻击事件防御。在加固与隔离系统中，基于渗透测试和模糊测试可识别系统自身漏洞与恶意代码，进而对信息系统进行加固。此外加固与隔离系统结合端点隔离与沙箱技术，限制攻击者通过系统接口触及系统核心的能力。转移攻击则构建了一个基于网络主动跳变快速迁移的动态系统环境，随机更改网络节点属性，攻击者无法有效识别锁定信息系统核心。攻击事件防御则采用已有的安全防护手段确保信息系统运行安全，包括防火墙、入侵检测、动态防御、漏洞扫描设备等。

(2)监测：是指针对绕过安全防御机制的攻击行为进行监测，并在尽量短的时间内隔离已被感染的数据与系统，降低攻击带来的损失。监测模块分为四个层面：攻击检测、行为分析、风险评估与事件隔离。由于网络攻击与防御的不对称性，任何信息系统都无法避免地存在被攻破的可能性，一旦攻击者绕过已部署的防御措施，通过持续监控系统态势，检测攻击行为特征形成的异常，快速判定入侵攻击情况。检测到入侵攻击后，针对事故风险进行态势评估，明确攻击行为特征，将被感染的数据与资产进行划分，形成可视化的图形界面，迅速隔离被感染的系统和账户，形成有效的阻断机制，封锁该攻击路径，防止其他正常系统被进一步入侵。

(3)响应：是指针对监测的入侵攻击行为，通过智能化的分析获取此类攻击特征、来源、路径、方式以及最终目标，相应地更改安全防护措施，制定有效的预防机制防止类似攻击。响应模块包含攻击分析、更新策略与系统修复三个层面。通过回溯分析整个攻击事件，利用事件中所有监测到的态势数据，对其进行特征分类，挖掘出导致此次攻击的最根本的原因。更新已制定的安全防护策略，对部分导致此次攻击入侵的漏洞进行加固，关闭攻击路径中涉及的无用端口，升级信息加密措施，形成具备子模块联动的响应机制，修复原有信息系统存在的安全问题。

(4)预测：是指上述三个模块积累的攻击模型持续智能优化基线系统，能够实现对于未知攻击威胁的预测，对信息系统可能存在的漏洞风险进行预判，并将预知的结果不断反馈至防御、监测、响应模块，形成整个自适应安全防御体系的闭环。动态基线系统、攻击预测、风险探索是预测模块的三个子模块，其中动态基线系统可适应性地针对信息系统的变动进行变化。攻击预测可分析知晓攻击者的意图，调整安全防护机制，提升主动防御的能力。风险探索则针对已有情报信息进行处理，对信息系统威胁风险进行预测评估等。

(5)云访问安全代理部署于自适应安全架构与信息系统核心数据中间，能够实现集中的可嵌入式的安全策略，包括：单点登录、认证鉴权、用户授权、安全审计、数据加密、集中管控、威胁告警以及异常侦测/阻断等，可解决业界公认的云安全难题Shadow IT。云访问安全代理可进行可视化管理，让云安全态势能够清晰明了地展示，监测和防护企业与用户对云端数据的连接访问。此外，云访问安全代理保证云数据的合规性，数据拥有者可对云服务提供商进行安全审计与信任管理。除此之外，数据安全与威胁防护保证了云基础设施与云端数据的健壮性。

2 动态自适应演进安全架构

现有Gartner提出的自适应安全架构，是从企业安全防护的角度出发，具有一定的局限性，无法直接使用于网络空间安全保密防护场景，此外现有的架构只给出了概念性的解释，缺乏关于安全架构中功能逻辑、数据流向、依赖关系等重要内容的阐述。本文基于现有自适应安全架构思路，设计一种动态自适应演进安全架构，该架构能够实时监测网络空间威胁风险，并根据智慧决策生成自适应策略，通过动态执行功能实施动态防御和风险处理，融合全息态势评估执行效能，实现内部驱动智慧决策的自适应生成，同时该架构引入先验决策和新型威胁，同构外部驱动实现智慧决策的动态演进。动态自适应演进安全架构如图4所示。

图4 动态自适应演进安全架构图

动态自适应演进安全架构包括智慧决策、自适应策略、动态执行、全息态势、外部驱动五种模型元素，可以分为监测预警、动态防御、态势感知、效能评估、演进决策五种功能元素。模型元素和功能元素从不同的视角实现对层次和功能的划分，各元素之间包括生成流、控制流、数据流、逻辑流四种流向。生成流标识决策动态地生成自适应功能决策；控制流表示功能元素之间的管控关系；数据流标识功能元素之间的数据流向管理；逻辑流突出功能元素之间的逻辑顺序。

2.1 模型元素

(1)智慧决策

智慧决策基于大数据分析、深度学习、生成对抗网络等人工智能技术，能够对知识进行理解和联想，完成知识归纳与分析，实现决策的判断和评估。

(2)自适应策略

面向监测预警、风险防御、态势感知和效能评估的动态自适应需求，智慧决策根据其功能需求和动态反馈，生成自适应策略，指导控制其功能执行。

(3)动态执行

在自适应策略的指导控制下，各功能元素按照自适应策略的部署方案、执行流程进行动态执行，执行过程可以根据自适应策略进行动态的调整。

(4)全息态势

在功能元素动态执行过程中，实时获取风险威胁等监测态势、安全和保密等防御态势、信息系统的综合态势，融合形成整个网络空间的全息态势。

2.2 功能元素

(1)监测预警

监测预警通过决策生成的监测策略实时动态控制探针部署、监测执行和风险分析。首先将探针部署到信息系统中，在监测执行过程中，通过探针实时收集整个网络空间的网络、计算、存储、终端、用户、应用等运行状态信息；基于人工智能技术执行风险分析，发现网络空间已知或未知的安全威胁、风险漏洞；根据监测策略对安全威胁和风险漏洞进行监测预警，将预警信息反馈至演进决策功能元素，实现内部驱动演进；同时通过逻辑流将信息传送给防御执行功能元素。

(2)动态防御

动态防御通过决策生成的防御策略实时动态控制防御执行与风险处理。首先根据防御策略，在信息系统中部署加密、认证、可信、防火墙、漏洞扫描、入侵检测、防病毒等安全保密功能设备和密码管理、安全管理、安全审计等安全保密管理设备，包括部署位置、层次、数量、安全域划分、隔离交换等部署属性，并根据监测预警情况，对可能发生安全威胁和风险漏洞进行有针对性增强防护；对已经发生的入侵和漏洞进行风险处理，防御阻断入侵攻击，修复安全漏洞，清理病毒木马，保证网络空间的安全可控。

(3)态势感知

态势感知通过决策生成的感知策略实时动态控制态势融合与态势感知。安全态势包括监测预警执行过程中直接监测和通过风险分析、监测预警间接处理得到的网络空间安全威胁和风险漏洞的实时状态和发展趋势；防御态势包括防御执行和风险处理过程中的安全保密相关装备部署和运行状态，抵御入侵和防病毒的防御状态，入侵和漏洞等风险处理的处理状态，以及防御状态的发展趋势；综合态势包括信息系统中的网络运行状态、终端运行状态、计算和存储资源使用状态，以及各状态的发展趋势；态势融合通过数据清理、数据标注、数据特征工程等实现对各种态势数据的融合；态势感知通过态势数据可视化呈现和态势预测判断为演进决策提供数据支撑和辅助分析。

(4)演进决策

演进决策是动态自适应演进安全架构的核心，能够实现监测策略、防御策略、评估策略和感知策略的生成。首先，演进决策能够对网络空间态势、监测预警情况、执行评估结果进行总体视角的研究判断；根据判断结果，能够制定生成执行策略、细分执行任务、统筹执行计划、突出执行重点和难点；能够根据网络空间的状态和发展趋势，动态地调整各类执行策略；能够导入外部先验决策实现网络空间的初始防护，能够根据各类功能执行后的结果实现内部驱动的决策演进，能够根据外部导入的新型威胁风险实现外部驱动的决策演进。

2.3 架构特点

(1)动态自适应

安全架构整体具有动态自适应的特点，能够持续地对网络空间威胁风险进行监测，并动态自适应地调整监测策略、防御策略、评估策略和感知策略，应对持续多变、已知未知的安全威胁。

(2)执行流程闭环

安全架构包括监测、防御、评估、感知、决策等功能，形成了网络空间安全保密防护的流程闭环，是一个有机的融合整体，能够对网络空间安全进行一个全面、完整的安全防护，并不断迭代更新。

(3)内外双驱动演进

安全架构能够根据系统应对内部实时威胁风险实现内部驱动的防御演进，同时能够导入外部新型威胁风险，实现外部驱动的防御预先演进，具有较高的威胁风险应对能力和预防能力。

3 结论

自适应的安全架构能够以智能集成联动的方式应对高级攻击威胁，具备防御、监测、响应与预测四种安全防控能力，并与云访问安全代理构成了内外双环的循环保护结构，为企业搭建了可信任的安全防护体系。针对网络空间安全保密防护场景，自适应的安全架构存在一定的局限性。本文基于原有自适应安全体系设计了一种可动态演进安全架构，综合运用智慧决策、态势感知与动态防御等技术手段，实现了网络空间威胁的实时感知、内部驱动智慧决策的自适应生成与演进、未知安全威胁的精准预测。