基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探.docxVIP

宋庆峰周 涛毕亲波中央电视台北京启明星辰信息安全技术有限公司摘要攻击的“隐蔽性、连续性、长期性和手段复杂性”，导致其行为很难检测与发现，本文针对中央电视台新址总控系 统的网络特点，以全流量检测、未知木马检测和大数据安 全分析的角度探索性地给出了检测和发现 APT 攻击的设计方案。电视台总控系统是全台信号调度和处理的关键和核心，为防范针对总控的信息系统的 APT 攻击，本文通过全面考 虑与 APT 攻击行为紧密相关的多个因素，从全流量数据存 储检测、未知木马控制通道识别、可疑间歇性木马心跳识别、 敏感数据回传通道识别，以及基于不完整信息和应用层对 象还原攻击场景检测和重建等多角度考虑，设计了基于全 流量大数据安全分析技术构建的 APT 攻击检测系统，以便 更准确地发现针对总控系统的 APT 攻击行为和特征，提升 总控系统的信息安全水平。一 新址总控系统简介中央电视台新址总控系统作为全台信号调度和处理的关键和核心，其日常工作主要由总控工作人员通过计算机 终端操控相关应用软件进行，而计算机终端通过总控系统 基础网络的交换机与 IT 服务器、视音频专业设备等进行交 互。总控系统的基础网络采用星形网络架构，分为核心层 和接入层，核心层与接入层之间采用千兆网连接形成高速 传输网。总控系统的网络拓扑图如图 1 所示。 在系统核心层，配置两台核心层交换机，实现与台内其他网络连接以及内部接入交换机的连通；在接入层，配 置多台区域接入交换机，实现总控系统软件设备及视音频 设备的接入。总控系统的 IT 设备包括应用服务器、接口服务器、数 据库服务器、应用操作终端等。IT 设备现已成为总控值班人员完成日常工作的主要操作平台。[1]关键词总控系统 大数据多维数据立方体环境 APT 攻击元数据 本地计算信息技术在电视台总控系统中的广泛应用，为总控系统运行的网络化、数字化带来了巨大的便利，也使总控系统 面临着信息安全的严峻挑战。总控系统是电视台节目播出、 传送、信号交换的重要环节和枢纽，由于系统中针对设备 和工作任务的控制、管理及监测都基于计算机网络进行， 一旦遭受攻击破坏将直接导致任务无法有效执行，甚至影 响到直播的顺利完成，因此，防范总控系统安全风险，保 障系统正常平稳运行是总控系统安全管控工作的重点。2013 年韩国多家金融机构和媒体遭受 APT 攻击，使 得国内广电行业也开始重视 APT 攻击的防范工作。APT（Advanced Persistent Threat）——高级持续性威胁。是 指组织 ( 特别是政府 ) 或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。由于 APT二 总控系统 APT 攻击检测系统的软件架构总控系统的业务定位、应用特点和业务属性决定了其118现代电视技术2014.8与 维 护运行与维护对安全性和可用性的苛刻要求，总控系统的网络环境内一旦被植入木马，或有蠕虫和恶意代码传播，则为遭受 APT 攻击埋下了种子。为了发现和检测可能存在的威胁， 需要结合总控系统中可能存在的威胁事件的特征和异常行 为，采用多种方法和技术手段构建平台化的 APT 攻击检 测系统。APT 攻击检测系统平台的软件架构包括三大组件，分 别是全流量的数据采集和数据预处理、可疑链路识别和可疑行为检测分析以及基于大数据的安全分析，如图 2 所示。三 设计方法及实现针对 APT 攻击的检测方法和解决方案有多种，比较统一和一致的观点是单一的产品或技术难以解决此问题，需 要从 APT 攻击的特性和规律着手采用多种技术手段和管理 手段进行综合治理。本文基于总控系统已经部署和实施的安全措施，尝试 性地从元数据提取和 Log 日志收集、本地计算环境文件保 护和大数据安全态势分析和展现的角度给出 APT 攻击检测 方法。总控系统利用综合安全审计与管理平台进行元数据提 取和 Log 日志收集。该平台的底层数据采集器广泛、全流 量地收集总控系统的网络信息系统的 Log 日志，并抽取元 数据进行智能关联分析，以便于从中发现 APT 攻击路径的 相关信息。总控系统利用主机安全加固和配置基线检查实现了本 地计算环境文件保护，其核心思想是对总控系统中的主机 进行操作系统加固，建立安全配置基线，采用本地安全策 略或白名单的方式来控制主机上应用程序的加载和执行情 况，从而防止恶意代码的执行。因为在 APT 攻击的整个攻 击链条中，攻击者必须将其上传的“应用程序”在本地计算环境中加以运行，而该“应用程序”的加载和运行行为119Advanced Television Engineering2014/8Operation Maintenance2APT 攻击检测平台系统软件架构1总控系统网络拓扑图运行 与 维 护就可以被本地计算环境文件保护策略所发现。总控系统利用综