Web攻擊可視化研究

高昌盛 黃倩

摘要：Web攻擊可視化通過分析各個網絡事件間的關聯性，將關聯性以及各類攻擊趨勢以直觀可視的方式展現，能夠解決傳統上對Web攻擊的溯源及排查的方式，并且更大程度地幫助運維人員清晰地掌握網絡的受攻擊情況以及易受攻擊的點。Web攻擊可視化系統功能包括：WAF設計、日志分析、態勢感知、漏洞掃描等。

關鍵詞：網絡安全;態勢感知;數據可視化

中圖分類號：G642? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）27-0024-02

1 緒論

隨著網絡應用的不斷發展，網絡已然成為我們生活中重要的組成部分，網絡安全事逐年呈大幅度上升趨勢，給我們生活和工作的方方面面帶來的更加嚴重的影響和破壞。網絡安全問題已經直接上升到了關系到經濟發展、社會穩定以及國家安全的高度，網絡安全目前也已經成為國家安全戰略的重要組成部分。

通過從各類網絡數據報文中檢測、發現異常行為，同時能夠給出預警，這已經成為目前網絡安全管理的一個重要研究領域。目前常用的異常檢測技術有案例推理技術、神經網絡診斷技術、關聯事件推理、規則推理等技術，然而這些技術最終檢測結果都是以文字報告或數字的形式呈現出來的，直觀性不強，需要專門的技術人員才能看懂。經過國內外學者多年的研究和發展，網絡安全可視化技術給網絡安全研究領域帶來了新的變革，越來越受到人們的關注，并且已經成為該究領域中一個重要組成部分。

網絡安全可視化技術通過將采集到的安全數據進行抽象，轉變為圖形圖像和動畫，同時借助人機交互技術來對網絡安全事件進行分析，充分發揮了人類大腦對視覺感知處理的能力，能夠幫助網絡安全從事人員分析網絡數據、獲知和管理網絡狀況，發現網絡入侵和安全異常，分析研究未知安全事件，進行網絡安全態勢感知等。

Web攻擊可視化解決了傳統上對Web攻擊的溯源及排查的方式，并且更大程度的幫助運維人員清晰地掌握網絡的受攻擊情況以及易受攻擊的點。

2 Web攻擊可視化實現過程

首先分析各個網絡事件間的關聯性，然后通過Web將各個事件間的關聯性以及攻擊的各類趨勢以動畫的方式展現，具體實現步驟：

（1）對企業內的各類資產部署客戶端，實現日志實時上傳、WAF規則動態更新、存活檢測等功能;

（2）將上傳過來的日志進行匯總并通過規則匹配出其中存在的攻擊行為的類型;

（3）將各種攻擊類型匯總并以圖表的方式展現出來;

（4）繪制攻擊熱點圖，包含：易受攻擊類型，易受攻擊資產，以及攻擊IP排行。結合各項數據統一呈現在大屏幕上，該系統可成為運維人員更加清晰地實時掌握網絡受攻擊的情況和容易受攻擊的點的輔助工具;

（5）利用灰模型來達到預測未來的網絡安全態勢，利用灰模需要樣本較少并且計算簡單，相對容易實現。

3 現有設備分析

現有設備主要為NSAS（開源網絡安全態勢感知系統）與IDS，NSAD與現有的IDS之間有區別也有相應的聯系。二者的區別主要體現在系統功能不同、數據來源不同以及處理能力不同等。

3.1系統功能不同

NSAS的功能主要是給管理員顯示當前網絡狀態，其中不但包含了攻擊數據還包含了正常的運維數據。為IDS通過部署在網絡節點的方式可以檢測出網絡中存在的攻擊行為并上報。

3.2數據來源不同

IDS主要是通過預先布置在網絡上的Agent來獲取數據的，而NSAS卻是通過集成化思想，融合現有的各類設備來進行態勢分析的。

3.3處理能力不同

對于IDS而言，高速網絡的攻擊行為是個待解決的難題，而NSAS充分利用多種數據采集設備，提高了數據源的完備性，簡化了系統的計算難度從而提高計算處理能力。

4 系統功能

系統功能包括：采集本網站的各類web受攻擊數據，通過可視化前端工具進行操作，結果以圖形圖像形式顯現出來，使得運維人員更加清晰地了解自己的問題以及容易受攻擊的點。

具體功能包括：

4.1 WAF設計

WAF 全稱是Web Application Firewall， 簡單講就是web防火墻， 是對web業務進行防護的一種安全防護手段。

大部分互聯網公司的業務，都會使用Nginx做各種各樣的工作，負載均衡、A/B測試、Web網關等等的功能;另外，加上openresty（nginx + lua）的開發效率和易用性，提高了程序員開發nginx功能的效率。現在互聯網公司招WAF開發的，一般都會加上nginxlua的要求，可見使用nginx + lua開發WAF，是我們在我們的這套系統中的相對較好的解決方案。

WAF系統主要是由三部分組成的：執行前端、后端中心系統及數據庫。執行前端是WAF的執行引擎， 主要是根據規則進行過濾。根據規則匹配的結果，執行相應的動作。后端中心系統主要是生成規則的邏輯，并與執行前端的nginx進行必要的數據交換。數據庫就是存放規則和一些配置及狀態的地方，可以根據實際情況，選擇關系型數據庫或者Nosql。

其次需要綜合考慮各類的網絡攻擊類型并制定相應的攔截規則將各類網絡攻擊攔截，并且攔截規則庫要做到能實時更新，由運維人員自主添加規則以應對各種網絡環境以及新出現的各類攻擊手法。

4.2 日志分析

本系統中的日志主要分為兩部分：WAF攔截日志以及正常的日志（Web日志、DNS日志，應用日志等）

WAF也叫網站應用級入侵防御系統，是Web應用防護系統的簡稱，通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。WAF攔截日志可以實現網站業務防護和運營需求，通過利用日志服務的功能實時采集已接入WAF防護的網站業務各類日志，并對采集到的日志數據進行實時檢索與分析。

4.3 態勢感知

在特定的網絡環境下，網絡管理人員可以先通過采集到的數據、WAF攔截日志以及正常的日志分析出整個網絡的運行狀況事態及變化趨勢，然后將事件分出輕重緩急，遵循先宏觀后微觀、先急后緩的原則，處理網絡中發現的問題。web攻擊可視化系統將一定規模網絡狀態以及網絡事件進行可視化展示，有利于網絡管理人員快速地感知和理解網絡中的安全事態，提高決策效率和準確性。

4.4 漏洞掃描

漏洞掃描往往是網絡滲透攻擊的第一步，通過網絡掃描確定在網絡中存在的服務以及存在可利用的漏洞，再對網絡中提供服務的主機進行相應的攻擊操作。通過對發生的網絡掃描進行分析和確認，再結合歷史攻擊事件，通過利用散點圖與地理熱力圖技術來實現網絡服務器可視化方法，使網絡管理人員能清晰的獲知服務器的使用情況和網絡的安全狀況。

5 結語

傳統的網絡安全分析方法，當面對海量數據時，人的腦子往往出現認知困難的情況，無法及時地結合多種數據源，來進行綜合全局的分析，這就使得對網絡態勢的感知缺少了整體效果，也就無法對網絡的事態進行全局整體的預測，不能應對新類型的攻擊事件。WEB攻擊可視化系統的應用，有助于我們及時發現網絡中存在的異常情況，及早發現網絡入侵行為，分析網絡安全狀況、管理網絡情況，并對網絡安全態勢進行預測。

參考文獻：

[1] 孟浩.網絡安全流數據可視化技術研究[D].天津：天津理工大學，2016.

[2] 黃超.網絡異常行為檢測與分析方法研究[D].陜西：西安電子科技大學，2010.

[3] 蒲天銀.基于灰色理論的網絡安全態勢感知模型[D].湖南：湖南大學，2009.

【通聯編輯：王力】