在網(wǎng)絡(luò)安全分析中，常見的場景是網(wǎng)絡(luò)分析師人工對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分析和決策，這種分析方式在當(dāng)下大數(shù)據(jù)時(shí)代是十分局限的。通過一些自動化設(shè)計(jì)，如一致、快速和重復(fù)執(zhí)行條件邏輯等，可以使得整個(gè)網(wǎng)絡(luò)安全分析過程自動化。因此實(shí)現(xiàn)過程自動化對于實(shí)現(xiàn)分類和優(yōu)先級任務(wù)來說是必不可少的，使分析師可以快速關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息和事件。

本文將主要介紹分析自動化的相關(guān)背景，自動化策略的基本方法及策略中的相關(guān)信息源，使讀者可以對分析過程自動化策略有相應(yīng)的了解。本文內(nèi)容主要參考了文獻(xiàn)[1]。

隨著我國計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)大，網(wǎng)絡(luò)安全問題也逐漸成為人們關(guān)注的重要話題。計(jì)算機(jī)網(wǎng)絡(luò)中包含了數(shù)以萬計(jì)的接入點(diǎn)和成千上萬的服務(wù)器、電纜連接，具有復(fù)雜和龐大的特點(diǎn)。一旦受到攻擊，企業(yè)、個(gè)人或國家遭受的損失將會是非常大的。除此之外，通過互聯(lián)網(wǎng)來進(jìn)行網(wǎng)絡(luò)信息竊取和毀壞也逐漸成為現(xiàn)在網(wǎng)絡(luò)安全所必須要面臨的問題。因此我們必須要采取有針對性的安全措施來對這些網(wǎng)絡(luò)安全問題進(jìn)行防范和消滅，只有這樣互聯(lián)網(wǎng)的風(fēng)險(xiǎn)才能夠得到降低，用戶的數(shù)據(jù)安全才能夠得到更好的保障。但傳統(tǒng)的網(wǎng)絡(luò)監(jiān)管，僅僅依靠網(wǎng)絡(luò)安全分析師人工對網(wǎng)絡(luò)中存在的安全威脅進(jìn)行分析和處理已經(jīng)逐漸不能滿足當(dāng)下大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全分析要求。

自動化技術(shù)在我國交通運(yùn)輸、工業(yè)、科學(xué)研究等領(lǐng)域都得到了非常廣泛的應(yīng)用，不僅能夠提高勞動生產(chǎn)率，還能夠?qū)⑷藦暮唵沃貜?fù)的工作中解放出來。因此將自動化技術(shù)應(yīng)用于網(wǎng)絡(luò)安全分析中顯得十分必要，通過使用自動化技術(shù)，從而加強(qiáng)對網(wǎng)絡(luò)安全的監(jiān)管力度。

在網(wǎng)絡(luò)安全防護(hù)中，需要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性。當(dāng)有病毒或者非法入侵現(xiàn)象發(fā)生的時(shí)候，要保證相關(guān)資料和數(shù)據(jù)安全。此外，一個(gè)科學(xué)的網(wǎng)絡(luò)安全管理策略對于加強(qiáng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理力度是十分有必要的，要包含攻擊和入侵的檢測和防御、網(wǎng)絡(luò)安全相關(guān)的規(guī)章制度、病毒防范、防火墻配置、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)監(jiān)測設(shè)置等一系列內(nèi)容，以應(yīng)對隨時(shí)可能面臨的各種各樣的安全問題，比如：系統(tǒng)攻擊、物理威脅等。

當(dāng)以上防護(hù)措施全部由安全分析師人工來進(jìn)行分析處理時(shí)，其中一些無用的數(shù)據(jù)或者是一些簡單的處理決策會大大浪費(fèi)分析師的時(shí)間和精力，使之不能快速關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息和事件。因此設(shè)計(jì)一個(gè)分析過程自動化策略來解決以上問題，使安全分析師擺脫那些無用和簡單的任務(wù)處理，提高分析效率是十分有必要的。

自動化策略的思路是確定安全操作，進(jìn)而允許其根據(jù)本地風(fēng)險(xiǎn)策略以自動的方式處理警報(bào)、事件或外部提供的網(wǎng)絡(luò)威脅情報(bào)。關(guān)鍵在于要盡可能多、盡可能快地確定不需要分析師調(diào)查的事件。因此這里有三個(gè)需要考慮的問題：

• 什么樣的信息是必要的？

• 在什么條件下定義并批準(zhǔn)完全自動化的響應(yīng)?

• 依據(jù)什么特點(diǎn)來確定事件的優(yōu)先級?

通過以上考慮從而使自動化策略丟棄不相關(guān)事件信息，執(zhí)行自動化的響應(yīng)操作，為分析人員提供自動化的建議以進(jìn)行審查。

什么樣的信息是必要的。在安全策略中我們首先要十分明確什么樣的信息是必要的，從而根據(jù)這些信息來確定某個(gè)事件是不相關(guān)的或假陽性的，通過自動化決策邏輯自動丟棄或不顯示相應(yīng)的事件信息，為自動化分析人員節(jié)省時(shí)間和資源。例如，在由安全供應(yīng)商實(shí)現(xiàn)的阻止列表中顯示的折衷指示符(IOC)，或來自入侵檢測系統(tǒng)(IDS)的警告，這些信息都說明存在試圖對Linux資產(chǎn)進(jìn)行的攻擊，也即為我們所說的必要信息。

在什么條件下定義并批準(zhǔn)完全自動化的響應(yīng)。對于許多活動的威脅，響應(yīng)的操作值直接與檢測和響應(yīng)的速度有關(guān)。能夠處理更多警報(bào)和事件，并快速識別何時(shí)滿足授權(quán)自動響應(yīng)的條件，是防范這些威脅的關(guān)鍵步驟。例如，當(dāng)一個(gè)可靠的源將其標(biāo)記為惡意軟件時(shí)，阻塞來自IDS警報(bào)的IOCs，該警報(bào)符合威脅標(biāo)準(zhǔn)，滿足定義和批準(zhǔn)完全自動化響應(yīng)的條件。自動化可以有效地為分析師審查或批準(zhǔn)構(gòu)建豐富的憑據(jù)。憑據(jù)可以包含預(yù)先批準(zhǔn)的建議、用于提出建議的信息，甚至還可以包含執(zhí)行響應(yīng)的代碼。以前的經(jīng)驗(yàn)表明，盡管不是完全自動化的，但使用自動化來推薦分析師審查和批準(zhǔn)的響應(yīng)會提高操作效率。隨著時(shí)間的推移，可以確定完全自動化響應(yīng)的條件。

依據(jù)什么特點(diǎn)來確定事件的優(yōu)先級。使用與簽名關(guān)聯(lián)的嚴(yán)重性評級或資產(chǎn)的臨界級別來確定事件的優(yōu)先級。當(dāng)前的大多數(shù)傳感器配置、過濾器以及操作分析，都旨在識別高優(yōu)先級警報(bào)或事件。將流程自動化，使其在最后而不是一開始就實(shí)現(xiàn)此邏輯，使設(shè)備能夠處理更多的警報(bào)和事件，并將分析人員的注意力集中在調(diào)查和降低最高風(fēng)險(xiǎn)項(xiàng)上。

通常，信息的來源決定響應(yīng)是否被授權(quán)完全自動化，或者需要分析師的批準(zhǔn)。用于做出響應(yīng)決策的許多條件、特征或?qū)傩圆⒉皇菑膯我豢煽康膩碓传@得的。確定主要信息源是非常有價(jià)值的，這些信息源始終具有對某一類型的所有對象可用的相同信息，即使該信息并不總是精確到所需的水平。通常情況下，分析人員已經(jīng)知道在環(huán)境中可以使用哪些其他信息(例如，確證信息)來確定這個(gè)信息源在什么時(shí)候?qū)σ粋€(gè)特定的響應(yīng)決策來說是足夠準(zhǔn)確的。

大多數(shù)組織已經(jīng)確定了作出響應(yīng)決策所需的權(quán)威信息源，但沒有考慮何時(shí)使用主要信息源更合適或更合理。權(quán)威信息源很少包含對所有對象的及時(shí)洞察，因?yàn)樽龀龈鼫?zhǔn)確的判斷需要額外的資源。等到相應(yīng)的信息源可以獲得對特定對象的洞察時(shí)，可能會延遲響應(yīng)的時(shí)效性，影響有效性。因此需要考慮哪些反應(yīng)決定可以依靠主要的和確證的信息源，而不是總是使用有限的或不一致的權(quán)威信息源。

對于給定的屬性，這些類型的源的一個(gè)例子是使用軟件管理服務(wù)器作為主要源，端點(diǎn)代理作為確證源，以及經(jīng)過認(rèn)證的漏洞掃描器的輸出，作為識別易受特定漏洞攻擊的資產(chǎn)的權(quán)威來源。

某些軟件應(yīng)用程序版本或補(bǔ)丁可能明顯與某些漏洞相關(guān)聯(lián)，從而使軟件管理服務(wù)器信息更適合某些決策(例如，運(yùn)行紅帽操作系統(tǒng)的設(shè)備不容易受到針對Windows服務(wù)器的攻擊)。有時(shí)，關(guān)于安裝了特定應(yīng)用程序的設(shè)備上是否存在易受攻擊的庫的詳細(xì)信息可以從端點(diǎn)管理服務(wù)器獲得。有時(shí)，確定資產(chǎn)是否易受攻擊的唯一方法是通過認(rèn)證掃描。

考慮主要的、權(quán)威的和確證的信息源可以讓設(shè)備更有效地自動化分類和優(yōu)先級決策，使之與本地策略保持一致。

實(shí)現(xiàn)自動化是每一個(gè)希望解決現(xiàn)代網(wǎng)絡(luò)攻擊速度和規(guī)模的設(shè)備的關(guān)鍵組成部分。這就是為什么大多數(shù)組織都向安全操作的自動化投資。在開發(fā)自動化工作流時(shí)，重要的是要知道，人工流程是為分析人員優(yōu)化的。重新設(shè)計(jì)流程，利用自動化來執(zhí)行分類和優(yōu)先級劃分，允許計(jì)算機(jī)自動處理更多的警報(bào)/事件，減少分析師參與。本文中的基本方法期望可以幫助組織開發(fā)和部署更有效的自動化操作。這種方法很容易擴(kuò)展，以支持在檢測和響應(yīng)過程中包含更高級的分析。