0x01摘要

近年来，考虑到网络攻击的复杂性和多样化，安全设备正变得更加重要和严峻。当前的解决方案非常笨拙，无法在虚拟服务和物联网(IoT)设备中运行。 因此，有必要发展到更优秀的模型，该模型从大量的异构源中收集与安全相关的数据，以进行集中分析和校正。 在本文中，我们提出了用于访问安全上下文的灵活抽象层概念。它旨在通过部署在云应用程序和IoT设备中的轻量级检查和执行挂钩来编程和收集数据。 通过回顾主要软件组件及其作用，我们对其实现进行了描述。 最后，我们通过对PoC实施的性能评估来测试此抽象层，以评估从虚拟服务和IoT收集数据/日志以进行集中式安全性分析的有效性。

0x02简介

​ 通过云范式中的虚拟化，可以在构建和运行信息与通信技术(ICT)服务中实现敏捷性和成本效益。 但是，与当前的旧版部署不同，它们带来了更多的安全问题。

​ 物理和虚拟服务类似于相同的开发结构。 在基础设施即服务(IaaS)模型中，常见的做法是将每个软件应用程序部署在不同的虚拟化环境中，虚拟化环境可以是虚拟机，也可以是软件容器。然后通过虚拟网络链接将它们互连。 这样，单个虚拟机的故障就不必影响整个服务。 应用程序可以轻松打包并以云映像形式交付。

​ 虚拟化基础架构中安全机制的局限性，例如分布式防火墙和安全组; 在跨云部署中协调它们的难度; 第三方提供的信任安全服务的典型差异促使人们越来越倾向于在虚拟服务的拓扑结构中插入遗留的安全设备。 与此相反，这种方法有几个问题：i)每个设备都有自己的检查钩; ii)由于协议和应用程序的数量和复杂性，检测需要大量的计算资源; iii)复杂的安全设备无法抵抗错误和漏洞。

​ 考虑到这些方面，需要新的体系结构范例来建立虚拟服务的态势感知。 这样，通过将细粒度的信息与有效的处理，弹性与鲁棒性，自主性与交互性相结合，就可以克服上述局限性。 因此，有必要从独立的安全设备过渡到更协作的模型。 对于协作模型，我们指的是一种集中式体系结构，其中从给定域内的多个来源收集安全信息，数据和事件，以进行公共分析和关联。 对于所有主要的网络安全应用程序供应商而言，这是当今的趋势，这些供应商正越来越多地为企业开发安全事件和信息管理以及安全分析软件，并利用机器学习和其他人工智能技术进行数据关联和识别攻击。 它们被设计为现有安全应用程序的集成工具，并要求在每个主机上运行重量级的进程。 因此，它们不适用于虚拟服务。 另外，集中式体系结构提高了检测率，同时减少了每个终端的开销。 另一方面，由于上下文不断变化，因此服务图的安全性管理是一项艰巨的任务。 将安全设备集成到服务图设计中并不是最佳解决方案，因为它需要手动操作。 取而代之的是，应该通过定义描述要求的内容而不是如何实现的策略和约束来抽象地描述安全性。

​ 在本文中，我们描述了抽象层的定义，以为检测逻辑提供对虚拟化服务的异构安全上下文的统一和双向访问。 我们工作的新颖性在于在内核或系统库中抽象了轻量级的可编程钩子，而无需在VM内部署复杂而繁琐的安全设备或在整体服务图中将其部署为单独的组件。 对安全性上下文的收集和强制性规则的配置(这是双向访问的手段)进行编程的能力，只是对已经作为商业或开源实现可用的log 7收集工具的数量的重大改进。 本文的其余部分安排如下。 我们将在第2节中描述整个ASTRID体系结构。然后，在第3节中详细说明抽象层的概念及其体系结构设计，同时在第4节中讨论当前的实现，并对所选技术进行详尽的描述。 然后，在第5节中，我们提供了概念验证实施的功能验证和广泛的性能评估，包括与本地监视/执行代理的集成。

0x03 ASTRID结构

​ 图1显示了组织ASTRID多层体系结构的三个互补平面。 尽管我们的体系结构与网络运营商没有直接关系，但我们使用网络术语。 ASTRID是一种多层体系结构，在该体系结构中，公用，可编程且普及的数据平面可提供一组强大的多供应商检测和分析算法(业务逻辑)。 一方面，挑战在于通过实时收集来自多个毛细血管来源的大量事件，在多个站点上集合广泛的知识，同时保持诸如转发速度，可伸缩性，自治性，可用性，容错性之类的基本属性。 ，抵制妥协和响应能力。 另一方面，其目标是通过空间和时间上的域间和域内数据关联来支持更好和更可靠的态势感知，以便及时检测和响应甚至更复杂的多矢量和跨学科网络攻击 。