目前傳統(tǒng)的安全檢測(cè)、防護(hù)類設(shè)備針對(duì)業(yè)務(wù)應(yīng)用安全基本上沒有防護(hù)效果。數(shù)據(jù)分析與機(jī)器學(xué)習(xí)為業(yè)務(wù)安全問題提供了一個(gè)有效的解決方案?；跇I(yè)務(wù)的歷史數(shù)據(jù)，通過(guò)統(tǒng)計(jì)分析與機(jī)器學(xué)習(xí)的方法學(xué)習(xí)出業(yè)務(wù)的歷史特征，結(jié)合專家知識(shí)形成業(yè)務(wù)特征的基線。根據(jù)基線來(lái)檢測(cè)業(yè)務(wù)行為是否存在異常。本文給出了幾個(gè)通過(guò)數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法檢測(cè)業(yè)務(wù)系統(tǒng)中異常的具體案例：web業(yè)務(wù)安全、物聯(lián)網(wǎng)卡業(yè)務(wù)安全、變電站業(yè)務(wù)安全。

隨著高級(jí)持續(xù)性威脅(APT)攻擊的泛濫以及內(nèi)部人員威脅的增加，針對(duì)企業(yè)業(yè)務(wù)系統(tǒng)的安全威脅日益增多。當(dāng)前，一般企業(yè)的安全檢測(cè)類產(chǎn)品有操作系統(tǒng)(OS)漏掃、Web漏掃、數(shù)據(jù)庫(kù)(DB)漏掃等，但這些設(shè)備都不能發(fā)現(xiàn)客戶自開發(fā)應(yīng)用的安全問題、業(yè)務(wù)邏輯方面的安全問題。同時(shí)，目前部署的入侵檢測(cè)系統(tǒng)(IDS)等檢測(cè)類設(shè)備由于是基于特征庫(kù)或者啟發(fā)式規(guī)則進(jìn)行檢測(cè)，對(duì)于針對(duì)業(yè)務(wù)邏輯類攻擊、APT類的攻擊往往毫無(wú)感知。傳統(tǒng)的防火墻(Firewall)往往針對(duì)五元組進(jìn)行檢測(cè)，對(duì)上層應(yīng)用的防護(hù)效果不大。Web應(yīng)用防火墻(WAF)主要針對(duì)Web攻擊進(jìn)行防護(hù)，而對(duì)業(yè)務(wù)邏輯、業(yè)務(wù)數(shù)據(jù)偽造等攻擊無(wú)能為力。同時(shí)，沙盒類APT攻擊檢測(cè)措施的重點(diǎn)是檢測(cè)威脅OS或某些應(yīng)用的惡意代碼，對(duì)針對(duì)客戶應(yīng)用數(shù)據(jù)的檢測(cè)更是無(wú)能為力。

業(yè)務(wù)系統(tǒng)的異常有很多類型，最常見的有以下幾種：

• 業(yè)務(wù)邏輯異常。例如用戶通過(guò)運(yùn)營(yíng)商的網(wǎng)站辦理繳費(fèi)業(yè)務(wù)，通過(guò)某種方式繞過(guò)了支付的步驟，導(dǎo)致在用戶未支付的情況下成功辦理了收費(fèi)業(yè)務(wù)。
• 業(yè)務(wù)濫用異常。例如對(duì)網(wǎng)站進(jìn)行薅羊毛，雖然業(yè)務(wù)的操作邏輯完全正常，但是薅羊毛屬于對(duì)業(yè)務(wù)的濫用，也是業(yè)務(wù)異常。
• 業(yè)務(wù)數(shù)據(jù)異常。例如業(yè)務(wù)的參數(shù)異常，業(yè)務(wù)的統(tǒng)計(jì)數(shù)據(jù)異常等。

綜上所述，目前傳統(tǒng)的安全檢測(cè)、防護(hù)類設(shè)備針對(duì)業(yè)務(wù)應(yīng)用安全基本上沒有防護(hù)效果。與網(wǎng)絡(luò)層面的安全不同，業(yè)務(wù)應(yīng)用安全的特點(diǎn)是用戶的行為符合訪問控制規(guī)則，并且對(duì)業(yè)務(wù)的每一步操作都不帶有明顯的攻擊特征，例如沒有SQL注入，沒有跨站腳本攻擊(XSS)等攻擊特征。但是用戶對(duì)業(yè)務(wù)的整體操作流程存在著異常，例如驗(yàn)證碼猜測(cè)，密碼暴力破解，關(guān)鍵業(yè)務(wù)操作步驟缺失等。因此，需要一種全新的方案來(lái)檢測(cè)業(yè)務(wù)系統(tǒng)的安全。

數(shù)據(jù)分析與機(jī)器學(xué)習(xí)為業(yè)務(wù)安全問題提供了一個(gè)有效的解決方案?；跇I(yè)務(wù)的歷史數(shù)據(jù)，通過(guò)統(tǒng)計(jì)分析與機(jī)器學(xué)習(xí)的方法學(xué)習(xí)出業(yè)務(wù)的歷史特征，包括操作邏輯特征，時(shí)間特征，參數(shù)特征，統(tǒng)計(jì)信息特征等，結(jié)合專家知識(shí)形成業(yè)務(wù)特征的基線。根據(jù)基線來(lái)檢測(cè)業(yè)務(wù)行為是否存在異常。

與網(wǎng)絡(luò)安全不同，業(yè)務(wù)系統(tǒng)的種類繁多。對(duì)于Web類型的業(yè)務(wù)來(lái)說(shuō)，由于其一般工作在TCP/IP網(wǎng)絡(luò)協(xié)議的第七層，即應(yīng)用層，其業(yè)務(wù)參數(shù)及業(yè)務(wù)操作定制化程度很高。另外對(duì)于像工控系統(tǒng)，其業(yè)務(wù)主要是針對(duì)設(shè)備的控制指令操作，或者設(shè)備本身的數(shù)據(jù)上報(bào)與心跳。因此，對(duì)于不同類型的業(yè)務(wù)系統(tǒng)，其面臨的業(yè)務(wù)安全問題差別較大，需要針對(duì)不同的安全場(chǎng)景開發(fā)相應(yīng)的解決方案。下面分別針對(duì)幾種典型的場(chǎng)景，給出相應(yīng)的業(yè)務(wù)層面的分析手段。

一、Web業(yè)務(wù)安全場(chǎng)景

Web類型的業(yè)務(wù)一般工作在TCP/IP網(wǎng)絡(luò)協(xié)議的第七層，主要采集業(yè)務(wù)辦理過(guò)程中瀏覽器的HTTP頭數(shù)據(jù)來(lái)學(xué)習(xí)業(yè)務(wù)的操作序列。HTTP頭數(shù)據(jù)中包含有時(shí)間，HTTP請(qǐng)求類型，body，cookie，referer等字段信息。其中，HTTP請(qǐng)求類型信息可以區(qū)分出相應(yīng)的請(qǐng)求是否對(duì)應(yīng)了關(guān)鍵的業(yè)務(wù)操作;body和cookie信息可以用來(lái)標(biāo)識(shí)出用戶信息和會(huì)話的信息;referer信息可以用來(lái)標(biāo)識(shí)業(yè)務(wù)的資源信息。其系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1   Web業(yè)務(wù)安全系統(tǒng)結(jié)構(gòu)

采用關(guān)聯(lián)分析和統(tǒng)計(jì)分析的方法對(duì)采集到的HTTP頭數(shù)據(jù)進(jìn)行分析，以得出業(yè)務(wù)的操作序列。在用戶對(duì)業(yè)務(wù)系統(tǒng)的操作過(guò)程中，瀏覽器主要有兩種類型的HTTP請(qǐng)求，即GET類型的請(qǐng)求和POST類型的請(qǐng)求。而對(duì)于業(yè)務(wù)辦理的操作來(lái)說(shuō)，由于需要向服務(wù)器提交數(shù)據(jù)，所以業(yè)務(wù)辦理的關(guān)鍵步驟對(duì)應(yīng)的都是POST類型的HTTP請(qǐng)求。

提取出POST類型的數(shù)據(jù)以后，根據(jù)cookie和body中的信息將一個(gè)用戶在同一次會(huì)話的數(shù)據(jù)聚合在一起。將聚合以后的操作序列按照時(shí)間進(jìn)行排序，就得到了有序的業(yè)務(wù)操作數(shù)據(jù)。

在HTTP請(qǐng)求數(shù)據(jù)中，referer信息可以標(biāo)識(shí)出業(yè)務(wù)的資源，例如運(yùn)營(yíng)商系統(tǒng)中的流量套餐，彩鈴等業(yè)務(wù)。每個(gè)用戶在一次會(huì)話過(guò)程中可能會(huì)辦理多項(xiàng)業(yè)務(wù)，這些辦理業(yè)務(wù)的操作數(shù)據(jù)會(huì)一起出現(xiàn)。因此需要將這些數(shù)據(jù)按照referer信息進(jìn)行聚合，以分別提取出用戶辦理業(yè)務(wù)的操作序列。

將前面提取出的業(yè)務(wù)操作序列進(jìn)行去重，即得到包含有用戶信息和會(huì)話信息的序列。為了提取出業(yè)務(wù)本身所對(duì)應(yīng)的操作序列，需要去掉用戶信息和會(huì)話信息，只留下業(yè)務(wù)本身的操作信息。在實(shí)際的業(yè)務(wù)系統(tǒng)中，業(yè)務(wù)本身的操作信息由URL的跳轉(zhuǎn)序列，和序列中每一條URL所對(duì)應(yīng)的body信息中的屬性名組成。統(tǒng)計(jì)出原始數(shù)據(jù)中每一組URL跳轉(zhuǎn)序列出現(xiàn)的次數(shù)，再分別統(tǒng)計(jì)出每一組URL跳轉(zhuǎn)序列下所對(duì)應(yīng)的不同的body參數(shù)屬性名稱組合出現(xiàn)的次數(shù)，并按照從多到少的順序進(jìn)行排序。出現(xiàn)次數(shù)多的序列更有可能是正常的業(yè)務(wù)操作序列。將提取出的序列與專家知識(shí)進(jìn)行結(jié)合，即可得到業(yè)務(wù)操作序列的基線，用于檢測(cè)業(yè)務(wù)操作序列的異常。

根據(jù)前面的方法，針對(duì)某彩鈴訂購(gòu)網(wǎng)站的HTTP請(qǐng)求數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，得到的業(yè)務(wù)最小操作序列如表1所示。在表1中，URL序列就是通過(guò)統(tǒng)計(jì)學(xué)習(xí)得到的一條最小操作序列。在后面的參數(shù)字段就是在這種操作序列下出現(xiàn)的body中的參數(shù)字段的組合。出現(xiàn)次數(shù)指的是在給定的原始數(shù)據(jù)中相應(yīng)序列組合的出現(xiàn)次數(shù)。在表1中一條URL序列對(duì)應(yīng)了三種body的組合，也就是說(shuō)表1中包含了三種可能的業(yè)務(wù)。統(tǒng)計(jì)學(xué)習(xí)出來(lái)的結(jié)果還需要經(jīng)過(guò)管理員的確認(rèn)，以保證其準(zhǔn)確性。這樣通過(guò)歷史數(shù)據(jù)學(xué)習(xí)來(lái)取得業(yè)務(wù)的操作序列可以幫助管理員配置安全審計(jì)系統(tǒng)中的業(yè)務(wù)操作基線，減少管理員的工作量。

表1   Web業(yè)務(wù)最小操作序列示例

二、物聯(lián)網(wǎng)卡業(yè)務(wù)安全場(chǎng)景

物聯(lián)網(wǎng)卡指的是運(yùn)營(yíng)商用在物聯(lián)網(wǎng)業(yè)務(wù)中的SIM卡。物聯(lián)網(wǎng)卡的類型與功能如表2所示。

表2   物聯(lián)網(wǎng)卡的類型與功能

由于很多物聯(lián)網(wǎng)卡的功能與普通手機(jī)卡的功能相同，所以物聯(lián)網(wǎng)卡會(huì)存在著被濫用的情況，即被用在個(gè)人手機(jī)業(yè)務(wù)中，或者被用來(lái)進(jìn)行薅羊毛、電信詐騙等。另外，由于物聯(lián)網(wǎng)卡一般不會(huì)與設(shè)備進(jìn)行綁定，所以也會(huì)存在物聯(lián)網(wǎng)卡實(shí)際應(yīng)用的業(yè)務(wù)場(chǎng)景與合同約定的場(chǎng)景不同的情況?；诖髷?shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法可以有效的發(fā)現(xiàn)物聯(lián)網(wǎng)卡業(yè)務(wù)數(shù)據(jù)的異常，進(jìn)而發(fā)現(xiàn)被異常使用的卡。

圖2   物聯(lián)網(wǎng)卡異常分析流程

如圖2所示，采集物聯(lián)網(wǎng)卡的語(yǔ)音話單、短信話單、流量話單、上網(wǎng)日志和發(fā)卡與用卡單位相關(guān)信息等數(shù)據(jù)，根據(jù)異常分析模型數(shù)據(jù)需求，從話單中提取出有效的關(guān)鍵數(shù)據(jù)特征，如通話信息、短信發(fā)送信息、上網(wǎng)行為信息等，采用統(tǒng)計(jì)分析，關(guān)聯(lián)分析和相似度聚類分析、深度學(xué)習(xí)等基于機(jī)器學(xué)習(xí)的方法進(jìn)行行為模式分析。其中，統(tǒng)計(jì)分析針對(duì)原始數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，并基于專家知識(shí)找出統(tǒng)計(jì)結(jié)果的異常。關(guān)聯(lián)分析將多個(gè)維度進(jìn)行關(guān)聯(lián)，進(jìn)一步提高檢測(cè)的準(zhǔn)確性。基于機(jī)器自學(xué)習(xí)的行為模式分析通過(guò)歷史數(shù)據(jù)學(xué)習(xí)出卡的行為模式特征，并基于特征來(lái)檢測(cè)卡的當(dāng)前行為是否異常。將分析的結(jié)果經(jīng)過(guò)人工審核與確認(rèn)，最終找到被異常使用的物聯(lián)網(wǎng)卡。

基于某運(yùn)營(yíng)商的物聯(lián)網(wǎng)卡的相關(guān)數(shù)據(jù)進(jìn)行分析，并結(jié)合人工調(diào)查的結(jié)果，得出物聯(lián)網(wǎng)卡主要存在以下幾種異常使用的情況：

1. 挪用異常

物聯(lián)網(wǎng)卡被應(yīng)用的場(chǎng)景發(fā)生了變化。例如原來(lái)被用在電梯衛(wèi)士中的SIM卡被用在了車務(wù)通中。由于物聯(lián)網(wǎng)卡的發(fā)卡合同規(guī)定不允許私自變更卡所應(yīng)用的物聯(lián)網(wǎng)業(yè)務(wù)，因此這種情況屬于異常使用。通過(guò)和人工確認(rèn)，發(fā)現(xiàn)異常的卡號(hào)有320個(gè)。

2. 濫用異常

物聯(lián)網(wǎng)卡只能應(yīng)用在物聯(lián)網(wǎng)業(yè)務(wù)中，不能應(yīng)用在個(gè)人業(yè)務(wù)中。如果物聯(lián)網(wǎng)卡被用在了個(gè)人的手機(jī)中，這種情況屬于卡被濫用的情況。經(jīng)過(guò)分析和人工確認(rèn)，發(fā)現(xiàn)存在濫用異常的卡號(hào)一共有1020個(gè)。

3. 合同及管理異常

在實(shí)際調(diào)查中發(fā)現(xiàn)，有很多的卡雖然在數(shù)據(jù)分析的結(jié)果中被認(rèn)為是異常，但實(shí)際上這種異常并非由于卡被異常使用所引起，而是由于在管理中的疏忽所導(dǎo)致。例如有些卡存在個(gè)人業(yè)務(wù)的行為特征，而實(shí)際調(diào)查中發(fā)現(xiàn)這些卡本身就是已經(jīng)實(shí)名制的個(gè)人手機(jī)卡，但卡的相關(guān)信息卻出現(xiàn)在了物聯(lián)網(wǎng)卡的數(shù)據(jù)集合中。這種情況一般是由于卡在被管理的過(guò)程中出現(xiàn)差錯(cuò)導(dǎo)致的，而卡本身并不存在被異常使用的情況。另外還有一種情況是物聯(lián)網(wǎng)卡的發(fā)卡合同中只規(guī)定了卡所對(duì)應(yīng)的收費(fèi)套餐，而沒有規(guī)定卡所應(yīng)用的行業(yè)場(chǎng)景。這種情況也屬于對(duì)卡的管理存在漏洞導(dǎo)致的異常，而不是卡本身存在被異常使用的情況。

三、變電站業(yè)務(wù)安全場(chǎng)景

變電站是電力系統(tǒng)中變換電壓、接受和分配電能、控制電力的流向和調(diào)整電壓的電力設(shè)施。它通過(guò)其變壓器將各級(jí)電壓的電網(wǎng)聯(lián)系起來(lái)。而智能變電站是指通過(guò)智能設(shè)備以全站信息數(shù)字化、通信平臺(tái)網(wǎng)絡(luò)化、信息共享標(biāo)準(zhǔn)化為基本要求，自動(dòng)完成信息采集、測(cè)量、控制、保護(hù)、計(jì)量和監(jiān)測(cè)等基本功能，并可根據(jù)需要支持電網(wǎng)實(shí)時(shí)自動(dòng)控制、智能調(diào)節(jié)、在線分析決策、協(xié)同互動(dòng)等高級(jí)功能的變電站。與傳統(tǒng)變電站不同，智能變電站采用IEC61850的標(biāo)準(zhǔn)。這是一個(gè)國(guó)際通用的變電站自動(dòng)化系統(tǒng)。它對(duì)于設(shè)備的行為，數(shù)據(jù)的命名以及定義都進(jìn)行了規(guī)范。智能變電站使用電子式互感器替代傳統(tǒng)的電壓互感器，使用光纖接線替代傳統(tǒng)的信號(hào)電纜硬接線，傳輸?shù)臄?shù)據(jù)也變?yōu)閿?shù)字量。

與一般的IT網(wǎng)絡(luò)不同，由于工業(yè)網(wǎng)絡(luò)中經(jīng)常存在輪詢，診斷，周期刷新等業(yè)務(wù)，工業(yè)網(wǎng)絡(luò)中傳輸?shù)膱?bào)文在時(shí)間上通常具有一定的規(guī)律。變電站網(wǎng)絡(luò)如果遭到入侵導(dǎo)致工作異常，其報(bào)文傳輸?shù)臅r(shí)間特性通常會(huì)發(fā)生變化。因此對(duì)變電站網(wǎng)絡(luò)中報(bào)文傳輸?shù)臅r(shí)間特性進(jìn)行分析，可以為變電站網(wǎng)絡(luò)是否遭到入侵提供一種檢測(cè)的方法。這里以智能變電站中的MMS報(bào)文為例，來(lái)分析其傳輸?shù)臅r(shí)間特性。

將采集到的MMS報(bào)文按照源IP/port，目的IP/port，報(bào)文類型和關(guān)鍵字進(jìn)行聚合，聚合以后統(tǒng)計(jì)其傳輸間隔的時(shí)間特性。其時(shí)間特性如圖3所示。

圖3    聚合以后的MMS報(bào)文的時(shí)間間隔特性

如果MMS報(bào)文的時(shí)間間隔特性發(fā)生變化，則說(shuō)明中間有對(duì)系統(tǒng)的操作，或者系統(tǒng)出現(xiàn)了異常情況。由于時(shí)間特性的變化會(huì)很微小，不容易直接檢測(cè)到，這里采用小波變換的方法進(jìn)行檢測(cè)。如圖4和圖5所示。

圖4    MMS報(bào)文的時(shí)間間隔與其小波變換

圖5    MMS報(bào)文的時(shí)間間隔與其小波變換

圖4所示是對(duì)圖3中的序列進(jìn)行小波變換以后所得到的結(jié)果。在圖5中，時(shí)域信號(hào)發(fā)生了微小的變化。這種時(shí)域的變化不容易直接檢測(cè)。但是采用Haar小波變換的方法卻可以檢測(cè)這種變化，如圖5中間的曲線圖所示，時(shí)域序列的微小變化會(huì)引起小波變換以后的結(jié)果發(fā)生較大的變化。通過(guò)檢測(cè)這種變化，即可檢測(cè)到原始時(shí)域序列的變化，進(jìn)而檢測(cè)報(bào)文傳輸?shù)漠惓！?/p>

以上給出了幾個(gè)通過(guò)數(shù)據(jù)分析和機(jī)器學(xué)習(xí)的方法檢測(cè)業(yè)務(wù)系統(tǒng)中異常的案例。可以看出由于業(yè)務(wù)系統(tǒng)的功能不同，其數(shù)據(jù)源和分析方法有較大的差別。根據(jù)系統(tǒng)的特點(diǎn)和功能對(duì)其數(shù)據(jù)進(jìn)行分析與學(xué)習(xí)，將得到的結(jié)果與專家知識(shí)結(jié)合，即可發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中的異常情況。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過(guò)51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文