一種改進的網絡攻擊自動防御系統(tǒng)的設計與實現

◆倪浩杰

（江蘇省國際信托有限責任公司 江蘇 210000）

1 引言

全球環(huán)境復雜多變，網絡攻擊事件層出不窮。政企單位花費大量人財物力，保護信息資產的保密性、完整性和可用性。現今的網絡攻擊防御系統(tǒng)，通過收集網絡流量、發(fā)現威脅、發(fā)送告警通知安全員，人工處置安全事件。如圖1。這種方式存在人力成本高、告警準確率低、響應處置慢等問題。為此，解決上述問題就變得十分必要。

圖1 現階段網絡安全防御系統(tǒng)工作流程

2 網絡攻擊自動防御系統(tǒng)的現實需求

● 能夠保護重要資產，阻斷網絡攻擊。

● 能夠7*24 小時自動化防御，減少人力資源投入。

● 能夠快速準確發(fā)現被保護資產的威脅和脆弱性。

● 能夠提高網絡攻擊告警的準確率。

● 能夠快速響應、有效處置安全事件。

3 網絡攻擊自動防御系統(tǒng)的設計

為解決上述問題，本文設計一種改進的網絡攻擊自動防御系統(tǒng)，它在原防御系統(tǒng)的基礎上，增加確認威脅模塊和決策處置子系統(tǒng)。確認威脅模塊校驗初步威脅概率，能有效降低威脅信息的誤報率。決策處置子系統(tǒng)，由決策中心模塊按照預設策略，推動自動處置模塊，“指揮”防火墻、WAF 等安全設備聯動處置，自動阻斷攻擊。

圖2 改進的網絡安全防御系統(tǒng)工作流程

4 網絡攻擊自動防御系統(tǒng)的實現

4.1 網絡攻擊自動防御系統(tǒng)的構架

網絡攻擊自動防御系統(tǒng)以承載平臺為基礎，連接收集分析平臺、決策處置平臺、配置中心模塊、日志審計模塊、監(jiān)測大屏模塊、威脅情報模塊和告警通信模塊，實現資產的有效防護。……