周一波+王璟+朱朝勇+胡茂松

摘 要：網(wǎng)絡空間安全目前成為國家安全的重要組成部分。論文通過對信息安全主動防御預警平臺的需求分析，提出主動防御預警平臺在現(xiàn)有的通用的被動防御預警平臺基礎上可以進行的優(yōu)化設計，從防DDoS攻擊、攻擊行為動態(tài)感知、分析和溯源，威脅情報收集和綜合利用等方面提升信息安全防御手段，平衡信息安全人員和攻擊者的信息不對稱現(xiàn)狀。

關鍵詞：主動防御；威脅情報；大數(shù)據(jù)分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

網(wǎng)絡空間安全形勢日益嚴峻。網(wǎng)絡空間安全問題已經(jīng)從黑客單獨攻擊逐漸上升為分工明細的黑客產(chǎn)業(yè)鏈，上升為國家行為的APT攻擊模式。遭受網(wǎng)絡攻擊的受害者層出不窮。烏克蘭電網(wǎng)斷電、伊朗核設施受損、勒索病毒肆虐、12306用戶密碼撞庫、酒店住宿用戶信息大量泄露等，都是網(wǎng)絡空間安全問題的實例。網(wǎng)絡空間安全關系到國計民生，關系到每一個公民生活的方方面面。

2 國家出臺相關法律

《中華人民共和國網(wǎng)絡安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過，自2017年6月1日起施行?！毒W(wǎng)絡安全法》體現(xiàn)了中國政府對網(wǎng)絡空間安全問題的關注，法律對網(wǎng)絡運營者的責任和義務做出了比較明確的定義，對國家關鍵信息基礎設施的方方面面進行了闡述，對用戶信息的保護提出了詳實的要求。相信隨著網(wǎng)絡安全法的實施和后期相關細則的不斷出臺，網(wǎng)絡空間安全將成為國家安全的重要組成部分，探討信息安全主動防御預警平臺規(guī)劃設計也是實現(xiàn)網(wǎng)絡空間安全的重要途徑。

3 主動防御預警平臺需求分析

3.1 防DDOS攻擊流量清洗

根據(jù)百度百科定義，分布式拒絕服務攻擊DDoS指借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。針對DDoS攻擊有效的防御方式是流量清洗技術，通過對攻擊流量和正常訪問流量的區(qū)分，阻斷攻擊流量，放行正常訪問流量，保障信息系統(tǒng)對外的正常服務。防DDOS攻擊流量清洗應該是主動防御預警平臺的重要組成部分。

3.2 攻擊行為動態(tài)感知和展現(xiàn)

目前黑客對信息系統(tǒng)的攻擊形式多種多樣，例如Web滲透攻擊、操作系統(tǒng)漏洞利用、中間件漏洞利用、數(shù)據(jù)庫漏洞利用、第三方軟件漏洞利用等。信息安全人員目前主要的防護手段還是借助IPS、WAF等設備匹配檢測攻擊行為，經(jīng)過簡單分析后在防火墻人工設置策略阻斷攻擊IP地址。這種被動式的防御手段時效性、全面性都較差，攻擊行為的動態(tài)實時感知以及全方面的展現(xiàn)是主動防御預警平臺的核心功能。

3.3 攻擊行為分析和溯源

目前，信息安全人員對攻擊行為進行阻斷后，從被動防御的安全防護設備（IPS、WAF）對攻擊行為信息的了解僅停留在攻擊者IP地址，攻擊者攻擊的方法。信息安全人員所掌握的信息不足以全面分析黑客入侵的線路、獲取的數(shù)據(jù)以及黑客真實的身份。信息安全人員從Web管理平臺、中間件、數(shù)據(jù)庫等提取的日志也是海量的，無法及時準確的確認攻擊者所獲得的戰(zhàn)果。攻擊行為的綜合分析和溯源是主動防御預警平臺又一個核心功能。

3.4 威脅情報收集和綜合利用

攻擊行為動態(tài)感知和溯源是需要數(shù)據(jù)支撐的。威脅情報的收集和綜合利用提供了部分數(shù)據(jù)。根據(jù)通常的定義，威脅情報是指針對安全威脅、威脅者、惡意軟件、漏洞和危害指標所收集的用于評估和應用的數(shù)據(jù)集。簡單地說，威脅情報是能幫助信息安全人員識別安全威脅并做出明智決定的知識。目前國內(nèi)提供威脅情報的安全數(shù)據(jù)公司很多，企業(yè)可以選擇與安全數(shù)據(jù)公司合作，引入其威脅情報信息，服務主動防御預警平臺對攻擊行為的動態(tài)感知和溯源。

3.5 網(wǎng)絡日志收集和綜合分析

網(wǎng)絡日志的收集和綜合分析是攻擊行為動態(tài)感知和分析的基礎。這里所提網(wǎng)絡日志是指網(wǎng)絡設備、安全設備、Web管理平臺、中間件、數(shù)據(jù)庫等多維的日志。攻擊者隨著其攻擊滲透的深入會在不同階段留下相關痕跡，主動防御預警平臺的日志收集和綜合分析功能負責智能提取和分析這些痕跡，從而從時間和攻擊路徑兩個維度刻畫出攻擊者滲透的身影。

3.6 用戶行為畫像

用戶行為的畫像是幫助信息安全人員辨識正常用戶行為和黑客攻擊行為的有效利器。信息安全人員通過對信息系統(tǒng)運維人員、應用人員、研發(fā)人員等正常訪問行為進行收集，可以在主動防御預警平臺中固化相關人員的正常操作，設定相關閾值。當相關閾值被突破時，信息安全人員有足夠的留有懷疑信息系統(tǒng)遭到了攻擊。endprint