信息安全主動(dòng)防御預(yù)警平臺(tái)的需求分析和規(guī)劃設(shè)計(jì)

周一波+王璟+朱朝勇+胡茂松

摘 要：網(wǎng)絡(luò)空間安全目前成為國(guó)家安全的重要組成部分。論文通過對(duì)信息安全主動(dòng)防御預(yù)警平臺(tái)的需求分析，提出主動(dòng)防御預(yù)警平臺(tái)在現(xiàn)有的通用的被動(dòng)防御預(yù)警平臺(tái)基礎(chǔ)上可以進(jìn)行的優(yōu)化設(shè)計(jì)，從防DDoS攻擊、攻擊行為動(dòng)態(tài)感知、分析和溯源，威脅情報(bào)收集和綜合利用等方面提升信息安全防御手段，平衡信息安全人員和攻擊者的信息不對(duì)稱現(xiàn)狀。

關(guān)鍵詞：主動(dòng)防御；威脅情報(bào)；大數(shù)據(jù)分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

網(wǎng)絡(luò)空間安全形勢(shì)日益嚴(yán)峻。網(wǎng)絡(luò)空間安全問題已經(jīng)從黑客單獨(dú)攻擊逐漸上升為分工明細(xì)的黑客產(chǎn)業(yè)鏈，上升為國(guó)家行為的APT攻擊模式。遭受網(wǎng)絡(luò)攻擊的受害者層出不窮。烏克蘭電網(wǎng)斷電、伊朗核設(shè)施受損、勒索病毒肆虐、12306用戶密碼撞庫(kù)、酒店住宿用戶信息大量泄露等，都是網(wǎng)絡(luò)空間安全問題的實(shí)例。網(wǎng)絡(luò)空間安全關(guān)系到國(guó)計(jì)民生，關(guān)系到每一個(gè)公民生活的方方面面。

2 國(guó)家出臺(tái)相關(guān)法律

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已由中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過，自2017年6月1日起施行。《網(wǎng)絡(luò)安全法》體現(xiàn)了中國(guó)政府對(duì)網(wǎng)絡(luò)空間安全問題的關(guān)注，法律對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任和義務(wù)做出了比較明確的定義，對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的方方面面進(jìn)行了闡述，對(duì)用戶信息的保護(hù)提出了詳實(shí)的要求。相信隨著網(wǎng)絡(luò)安全法的實(shí)施和后期相關(guān)細(xì)則的不斷出臺(tái)，網(wǎng)絡(luò)空間安全將成為國(guó)家安全的重要組成部分，探討信息安全主動(dòng)防御預(yù)警平臺(tái)規(guī)劃設(shè)計(jì)也是實(shí)現(xiàn)網(wǎng)絡(luò)空間安全的重要途徑。

3 主動(dòng)防御預(yù)警平臺(tái)需求分析

3.1 防DDOS攻擊流量清洗

根據(jù)百度百科定義，分布式拒絕服務(wù)攻擊DDoS指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。針對(duì)DDoS攻擊有效的防御方式是流量清洗技術(shù)，通過對(duì)攻擊流量和正常訪問流量的區(qū)分，阻斷攻擊流量，放行正常訪問流量，保障信息系統(tǒng)對(duì)外的正常服務(wù)。防DDOS攻擊流量清洗應(yīng)該是主動(dòng)防御預(yù)警平臺(tái)的重要組成部分。

3.2 攻擊行為動(dòng)態(tài)感知和展現(xiàn)

目前黑客對(duì)信息系統(tǒng)的攻擊形式多種多樣，例如Web滲透攻擊、操作系統(tǒng)漏洞利用、中間件漏洞利用、數(shù)據(jù)庫(kù)漏洞利用、第三方軟件漏洞利用等。信息安全人員目前主要的防護(hù)手段還是借助IPS、WAF等設(shè)備匹配檢測(cè)攻擊行為，經(jīng)過簡(jiǎn)單分析后在防火墻人工設(shè)置策略阻斷攻擊IP地址。這種被動(dòng)式的防御手段時(shí)效性、全面性都較差，攻擊行為的動(dòng)態(tài)實(shí)時(shí)感知以及全方面的展現(xiàn)是主動(dòng)防御預(yù)警平臺(tái)的核心功能。

3.3 攻擊行為分析和溯源

目前，信息安全人員對(duì)攻擊行為進(jìn)行阻斷后，從被動(dòng)防御的安全防護(hù)設(shè)備（IPS、WAF）對(duì)攻擊行為信息的了解僅停留在攻擊者IP地址，攻擊者攻擊的方法。信息安全人員所掌握的信息不足以全面分析黑客入侵的線路、獲取的數(shù)據(jù)以及黑客真實(shí)的身份。信息安全人員從Web管理平臺(tái)、中間件、數(shù)據(jù)庫(kù)等提取的日志也是海量的，無法及時(shí)準(zhǔn)確的確認(rèn)攻擊者所獲得的戰(zhàn)果。攻擊行為的綜合分析和溯源是主動(dòng)防御預(yù)警平臺(tái)又一個(gè)核心功能。

3.4 威脅情報(bào)收集和綜合利用

攻擊行為動(dòng)態(tài)感知和溯源是需要數(shù)據(jù)支撐的。威脅情報(bào)的收集和綜合利用提供了部分?jǐn)?shù)據(jù)。根據(jù)通常的定義，威脅情報(bào)是指針對(duì)安全威脅、威脅者、惡意軟件、漏洞和危害指標(biāo)所收集的用于評(píng)估和應(yīng)用的數(shù)據(jù)集。簡(jiǎn)單地說，威脅情報(bào)是能幫助信息安全人員識(shí)別安全威脅并做出明智決定的知識(shí)。目前國(guó)內(nèi)提供威脅情報(bào)的安全數(shù)據(jù)公司很多，企業(yè)可以選擇與安全數(shù)據(jù)公司合作，引入其威脅情報(bào)信息，服務(wù)主動(dòng)防御預(yù)警平臺(tái)對(duì)攻擊行為的動(dòng)態(tài)感知和溯源。

3.5 網(wǎng)絡(luò)日志收集和綜合分析

網(wǎng)絡(luò)日志的收集和綜合分析是攻擊行為動(dòng)態(tài)感知和分析的基礎(chǔ)。這里所提網(wǎng)絡(luò)日志是指網(wǎng)絡(luò)設(shè)備、安全設(shè)備、Web管理平臺(tái)、中間件、數(shù)據(jù)庫(kù)等多維的日志。攻擊者隨著其攻擊滲透的深入會(huì)在不同階段留下相關(guān)痕跡，主動(dòng)防御預(yù)警平臺(tái)的日志收集和綜合分析功能負(fù)責(zé)智能提取和分析這些痕跡，從而從時(shí)間和攻擊路徑兩個(gè)維度刻畫出攻擊者滲透的身影。

3.6 用戶行為畫像

用戶行為的畫像是幫助信息安全人員辨識(shí)正常用戶行為和黑客攻擊行為的有效利器。信息安全人員通過對(duì)信息系統(tǒng)運(yùn)維人員、應(yīng)用人員、研發(fā)人員等正常訪問行為進(jìn)行收集，可以在主動(dòng)防御預(yù)警平臺(tái)中固化相關(guān)人員的正常操作，設(shè)定相關(guān)閾值。當(dāng)相關(guān)閾值被突破時(shí)，信息安全人員有足夠的留有懷疑信息系統(tǒng)遭到了攻擊。endprint

3.7 預(yù)警平臺(tái)與安全防護(hù)設(shè)備的聯(lián)動(dòng)

預(yù)警平臺(tái)與安全防護(hù)設(shè)備的聯(lián)動(dòng)是屬于主動(dòng)防御預(yù)警平臺(tái)的更高級(jí)應(yīng)用。前面提到主動(dòng)防御預(yù)警平臺(tái)會(huì)從安全防護(hù)設(shè)備抽取相關(guān)日志進(jìn)行分析，在得到分析結(jié)果后，不通過人工干預(yù)，主動(dòng)防御預(yù)警平臺(tái)可以智能的與安全防護(hù)設(shè)備通信，設(shè)置相關(guān)安全策略，阻斷威脅源進(jìn)一步對(duì)信息系統(tǒng)的攻擊行為。

3.8 攻擊行為蜜網(wǎng)

攻擊行為蜜網(wǎng)可以作為主動(dòng)防御預(yù)警平臺(tái)的一個(gè)部分。信息安全人員在對(duì)攻擊行為有進(jìn)一步的分析和觀察需求時(shí)，在不想影響到信息系統(tǒng)正常服務(wù)的同時(shí)，引導(dǎo)攻擊流量至蜜網(wǎng)系統(tǒng)，進(jìn)一步觀察攻擊者的下一步動(dòng)向。

4 主動(dòng)防御預(yù)警平臺(tái)規(guī)劃設(shè)計(jì)

根據(jù)上述需求的分析，我們?cè)O(shè)計(jì)出信息安全主動(dòng)防御預(yù)警平臺(tái)架構(gòu)，如圖1所示。

主動(dòng)防御預(yù)警平臺(tái)的核心是一套大數(shù)據(jù)分析中心。大數(shù)據(jù)分析中心信息來源有安全數(shù)據(jù)廠商提供的威脅情報(bào)、流量清洗廠商提供的流量清洗服務(wù)產(chǎn)生的數(shù)據(jù)、網(wǎng)絡(luò)和安全設(shè)備產(chǎn)生的海量日志、蜜網(wǎng)系統(tǒng)提供的攻擊者行為分析、大數(shù)據(jù)分析中心內(nèi)部固化正常用戶訪問系統(tǒng)的行為畫像。大數(shù)據(jù)分析中心輸出的數(shù)據(jù)有對(duì)攻擊者行為的動(dòng)態(tài)感知和集中展現(xiàn)、攻擊者行為溯源、對(duì)網(wǎng)絡(luò)和安全設(shè)備的策略設(shè)置指令、對(duì)攻擊者流量向蜜網(wǎng)系統(tǒng)的牽引指令。

防DDoS攻擊流量清洗可以有兩種形式：一是采用流量清洗服務(wù)廠商的服務(wù)，對(duì)系統(tǒng)流量進(jìn)行引流，先經(jīng)過流量廠商清洗再灌入企事業(yè)單位網(wǎng)絡(luò)邊界；二是企事業(yè)單位采用防DDoS攻擊流量清洗設(shè)備對(duì)攻擊流量進(jìn)行清洗。

威脅情報(bào)的獲取是指從安全數(shù)據(jù)廠商獲得最新漏洞信息、攻擊樣本、病毒樣本、攻擊者地址、攻擊者工具和相關(guān)攻擊方法等信息。威脅情報(bào)的實(shí)時(shí)性和準(zhǔn)確性是主動(dòng)防御預(yù)警平臺(tái)的落地關(guān)鍵。

網(wǎng)絡(luò)和安全設(shè)備產(chǎn)生的海量日志一直是信息安全人員的夢(mèng)魘，大數(shù)據(jù)分析中心通過收集這些日志并經(jīng)過綜合分析，可以免去信息安全人員大量的工作量，并提供一手的攻擊者痕跡。

正常用戶行為畫像是威脅情報(bào)的有益補(bǔ)充。舉例來說，正常用戶訪問系統(tǒng)，不會(huì)連續(xù)高頻次的用同一IP地址嘗試用不同用戶名嘗試登錄系統(tǒng)，黑客工具會(huì)利用字典嘗試多次破解用戶口令，當(dāng)防御預(yù)警平臺(tái)偵測(cè)到類似的攻擊可疑行為時(shí)，可疑牽引相關(guān)流量進(jìn)入蜜網(wǎng)并向信息安全人員預(yù)警。

攻擊者行為的集中展現(xiàn)和攻擊者行為溯源是主動(dòng)防御預(yù)警平臺(tái)的主要輸出，攻擊行為是通過對(duì)威脅情報(bào)、海量日志、異常用戶行為等數(shù)據(jù)分析得出，展現(xiàn)以攻擊路徑和時(shí)間為維度展現(xiàn)為宜。例如攻擊者A夜間11點(diǎn)通過暴力破解獲得網(wǎng)站管理員密碼，登錄網(wǎng)站管理后臺(tái)；11點(diǎn)10分通過上傳植入木馬；11點(diǎn)20分通過木馬瀏覽服務(wù)器敏感信息；11點(diǎn)20分通過敏感信息發(fā)現(xiàn)后臺(tái)數(shù)據(jù)庫(kù)地址和相關(guān)連接密碼；11點(diǎn)30分通過訪問數(shù)據(jù)庫(kù)獲得用戶敏感信息。信息安全人員通過對(duì)攻擊行為的辨識(shí)可以掌握攻擊者的攻擊方法和所獲得的數(shù)據(jù)，開展相關(guān)補(bǔ)救措施，并開展攻擊溯源工作。

主動(dòng)防御平臺(tái)與安全設(shè)備的聯(lián)動(dòng)是一種智能的防護(hù)手段，在信息安全人員不在線的狀態(tài)下，可以根據(jù)設(shè)置好的策略及時(shí)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行自動(dòng)阻斷。

5 結(jié)束語

主動(dòng)防御預(yù)警平臺(tái)由于其對(duì)攻擊行為的實(shí)時(shí)動(dòng)態(tài)感知、溯源等特性，防御性能遠(yuǎn)優(yōu)于被動(dòng)防御安全設(shè)備。通過引入大數(shù)據(jù)分析等先進(jìn)技術(shù)經(jīng)過優(yōu)化設(shè)計(jì)，主動(dòng)防御預(yù)警平臺(tái)可以使得信息安全防護(hù)工作更加智能，減輕信息安全人員的工作量，降低信息安全防護(hù)對(duì)人員安全知識(shí)的要求，提供給信息安全人員知己知彼的手段，是未來企事業(yè)單位做好信息安全工作的基礎(chǔ)。

參考文獻(xiàn)

[1] 趙原.基于異常分析的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2015.

[2] 孔震.網(wǎng)站信息安全事件監(jiān)測(cè)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D].山東大學(xué)，2015.

[3] 陳青民，王成.云安全平臺(tái)環(huán)境下信息安全預(yù)警系統(tǒng)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（08）：55-56.

[4] 袁野，張夢(mèng)夢(mèng).基于云安全平臺(tái)的信息安全風(fēng)險(xiǎn)預(yù)警管理系統(tǒng)[J].電力信息與通信技術(shù)，2015，（08）：124-127.endprint