周一波+王璟+朱朝勇+胡茂松

摘 要：網(wǎng)絡(luò)空間安全目前成為國家安全的重要組成部分。論文通過對信息安全主動防御預(yù)警平臺的需求分析，提出主動防御預(yù)警平臺在現(xiàn)有的通用的被動防御預(yù)警平臺基礎(chǔ)上可以進行的優(yōu)化設(shè)計，從防DDoS攻擊、攻擊行為動態(tài)感知、分析和溯源，威脅情報收集和綜合利用等方面提升信息安全防御手段，平衡信息安全人員和攻擊者的信息不對稱現(xiàn)狀。

關(guān)鍵詞：主動防御；威脅情報；大數(shù)據(jù)分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

網(wǎng)絡(luò)空間安全形勢日益嚴(yán)峻。網(wǎng)絡(luò)空間安全問題已經(jīng)從黑客單獨攻擊逐漸上升為分工明細(xì)的黑客產(chǎn)業(yè)鏈，上升為國家行為的APT攻擊模式。遭受網(wǎng)絡(luò)攻擊的受害者層出不窮。烏克蘭電網(wǎng)斷電、伊朗核設(shè)施受損、勒索病毒肆虐、12306用戶密碼撞庫、酒店住宿用戶信息大量泄露等，都是網(wǎng)絡(luò)空間安全問題的實例。網(wǎng)絡(luò)空間安全關(guān)系到國計民生，關(guān)系到每一個公民生活的方方面面。

2 國家出臺相關(guān)法律

《中華人民共和國網(wǎng)絡(luò)安全法》已由中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議于2016年11月7日通過，自2017年6月1日起施行?！毒W(wǎng)絡(luò)安全法》體現(xiàn)了中國政府對網(wǎng)絡(luò)空間安全問題的關(guān)注，法律對網(wǎng)絡(luò)運營者的責(zé)任和義務(wù)做出了比較明確的定義，對國家關(guān)鍵信息基礎(chǔ)設(shè)施的方方面面進行了闡述，對用戶信息的保護提出了詳實的要求。相信隨著網(wǎng)絡(luò)安全法的實施和后期相關(guān)細(xì)則的不斷出臺，網(wǎng)絡(luò)空間安全將成為國家安全的重要組成部分，探討信息安全主動防御預(yù)警平臺規(guī)劃設(shè)計也是實現(xiàn)網(wǎng)絡(luò)空間安全的重要途徑。

3 主動防御預(yù)警平臺需求分析

3.1 防DDOS攻擊流量清洗

根據(jù)百度百科定義，分布式拒絕服務(wù)攻擊DDoS指借助于客戶/服務(wù)器技術(shù)，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。針對DDoS攻擊有效的防御方式是流量清洗技術(shù)，通過對攻擊流量和正常訪問流量的區(qū)分，阻斷攻擊流量，放行正常訪問流量，保障信息系統(tǒng)對外的正常服務(wù)。防DDOS攻擊流量清洗應(yīng)該是主動防御預(yù)警平臺的重要組成部分。

3.2 攻擊行為動態(tài)感知和展現(xiàn)

目前黑客對信息系統(tǒng)的攻擊形式多種多樣，例如Web滲透攻擊、操作系統(tǒng)漏洞利用、中間件漏洞利用、數(shù)據(jù)庫漏洞利用、第三方軟件漏洞利用等。信息安全人員目前主要的防護手段還是借助IPS、WAF等設(shè)備匹配檢測攻擊行為，經(jīng)過簡單分析后在防火墻人工設(shè)置策略阻斷攻擊IP地址。這種被動式的防御手段時效性、全面性都較差，攻擊行為的動態(tài)實時感知以及全方面的展現(xiàn)是主動防御預(yù)警平臺的核心功能。

3.3 攻擊行為分析和溯源

目前，信息安全人員對攻擊行為進行阻斷后，從被動防御的安全防護設(shè)備（IPS、WAF）對攻擊行為信息的了解僅停留在攻擊者IP地址，攻擊者攻擊的方法。信息安全人員所掌握的信息不足以全面分析黑客入侵的線路、獲取的數(shù)據(jù)以及黑客真實的身份。信息安全人員從Web管理平臺、中間件、數(shù)據(jù)庫等提取的日志也是海量的，無法及時準(zhǔn)確的確認(rèn)攻擊者所獲得的戰(zhàn)果。攻擊行為的綜合分析和溯源是主動防御預(yù)警平臺又一個核心功能。

3.4 威脅情報收集和綜合利用

攻擊行為動態(tài)感知和溯源是需要數(shù)據(jù)支撐的。威脅情報的收集和綜合利用提供了部分?jǐn)?shù)據(jù)。根據(jù)通常的定義，威脅情報是指針對安全威脅、威脅者、惡意軟件、漏洞和危害指標(biāo)所收集的用于評估和應(yīng)用的數(shù)據(jù)集。簡單地說，威脅情報是能幫助信息安全人員識別安全威脅并做出明智決定的知識。目前國內(nèi)提供威脅情報的安全數(shù)據(jù)公司很多，企業(yè)可以選擇與安全數(shù)據(jù)公司合作，引入其威脅情報信息，服務(wù)主動防御預(yù)警平臺對攻擊行為的動態(tài)感知和溯源。

3.5 網(wǎng)絡(luò)日志收集和綜合分析

網(wǎng)絡(luò)日志的收集和綜合分析是攻擊行為動態(tài)感知和分析的基礎(chǔ)。這里所提網(wǎng)絡(luò)日志是指網(wǎng)絡(luò)設(shè)備、安全設(shè)備、Web管理平臺、中間件、數(shù)據(jù)庫等多維的日志。攻擊者隨著其攻擊滲透的深入會在不同階段留下相關(guān)痕跡，主動防御預(yù)警平臺的日志收集和綜合分析功能負(fù)責(zé)智能提取和分析這些痕跡，從而從時間和攻擊路徑兩個維度刻畫出攻擊者滲透的身影。

3.6 用戶行為畫像

用戶行為的畫像是幫助信息安全人員辨識正常用戶行為和黑客攻擊行為的有效利器。信息安全人員通過對信息系統(tǒng)運維人員、應(yīng)用人員、研發(fā)人員等正常訪問行為進行收集，可以在主動防御預(yù)警平臺中固化相關(guān)人員的正常操作，設(shè)定相關(guān)閾值。當(dāng)相關(guān)閾值被突破時，信息安全人員有足夠的留有懷疑信息系統(tǒng)遭到了攻擊。endprint

3.7 預(yù)警平臺與安全防護設(shè)備的聯(lián)動

預(yù)警平臺與安全防護設(shè)備的聯(lián)動是屬于主動防御預(yù)警平臺的更高級應(yīng)用。前面提到主動防御預(yù)警平臺會從安全防護設(shè)備抽取相關(guān)日志進行分析，在得到分析結(jié)果后，不通過人工干預(yù)，主動防御預(yù)警平臺可以智能的與安全防護設(shè)備通信，設(shè)置相關(guān)安全策略，阻斷威脅源進一步對信息系統(tǒng)的攻擊行為。

3.8 攻擊行為蜜網(wǎng)

攻擊行為蜜網(wǎng)可以作為主動防御預(yù)警平臺的一個部分。信息安全人員在對攻擊行為有進一步的分析和觀察需求時，在不想影響到信息系統(tǒng)正常服務(wù)的同時，引導(dǎo)攻擊流量至蜜網(wǎng)系統(tǒng)，進一步觀察攻擊者的下一步動向。

4 主動防御預(yù)警平臺規(guī)劃設(shè)計

根據(jù)上述需求的分析，我們設(shè)計出信息安全主動防御預(yù)警平臺架構(gòu)，如圖1所示。

主動防御預(yù)警平臺的核心是一套大數(shù)據(jù)分析中心。大數(shù)據(jù)分析中心信息來源有安全數(shù)據(jù)廠商提供的威脅情報、流量清洗廠商提供的流量清洗服務(wù)產(chǎn)生的數(shù)據(jù)、網(wǎng)絡(luò)和安全設(shè)備產(chǎn)生的海量日志、蜜網(wǎng)系統(tǒng)提供的攻擊者行為分析、大數(shù)據(jù)分析中心內(nèi)部固化正常用戶訪問系統(tǒng)的行為畫像。大數(shù)據(jù)分析中心輸出的數(shù)據(jù)有對攻擊者行為的動態(tài)感知和集中展現(xiàn)、攻擊者行為溯源、對網(wǎng)絡(luò)和安全設(shè)備的策略設(shè)置指令、對攻擊者流量向蜜網(wǎng)系統(tǒng)的牽引指令。

防DDoS攻擊流量清洗可以有兩種形式：一是采用流量清洗服務(wù)廠商的服務(wù)，對系統(tǒng)流量進行引流，先經(jīng)過流量廠商清洗再灌入企事業(yè)單位網(wǎng)絡(luò)邊界；二是企事業(yè)單位采用防DDoS攻擊流量清洗設(shè)備對攻擊流量進行清洗。

威脅情報的獲取是指從安全數(shù)據(jù)廠商獲得最新漏洞信息、攻擊樣本、病毒樣本、攻擊者地址、攻擊者工具和相關(guān)攻擊方法等信息。威脅情報的實時性和準(zhǔn)確性是主動防御預(yù)警平臺的落地關(guān)鍵。

網(wǎng)絡(luò)和安全設(shè)備產(chǎn)生的海量日志一直是信息安全人員的夢魘，大數(shù)據(jù)分析中心通過收集這些日志并經(jīng)過綜合分析，可以免去信息安全人員大量的工作量，并提供一手的攻擊者痕跡。

正常用戶行為畫像是威脅情報的有益補充。舉例來說，正常用戶訪問系統(tǒng)，不會連續(xù)高頻次的用同一IP地址嘗試用不同用戶名嘗試登錄系統(tǒng)，黑客工具會利用字典嘗試多次破解用戶口令，當(dāng)防御預(yù)警平臺偵測到類似的攻擊可疑行為時，可疑牽引相關(guān)流量進入蜜網(wǎng)并向信息安全人員預(yù)警。

攻擊者行為的集中展現(xiàn)和攻擊者行為溯源是主動防御預(yù)警平臺的主要輸出，攻擊行為是通過對威脅情報、海量日志、異常用戶行為等數(shù)據(jù)分析得出，展現(xiàn)以攻擊路徑和時間為維度展現(xiàn)為宜。例如攻擊者A夜間11點通過暴力破解獲得網(wǎng)站管理員密碼，登錄網(wǎng)站管理后臺；11點10分通過上傳植入木馬；11點20分通過木馬瀏覽服務(wù)器敏感信息；11點20分通過敏感信息發(fā)現(xiàn)后臺數(shù)據(jù)庫地址和相關(guān)連接密碼；11點30分通過訪問數(shù)據(jù)庫獲得用戶敏感信息。信息安全人員通過對攻擊行為的辨識可以掌握攻擊者的攻擊方法和所獲得的數(shù)據(jù)，開展相關(guān)補救措施，并開展攻擊溯源工作。

主動防御平臺與安全設(shè)備的聯(lián)動是一種智能的防護手段，在信息安全人員不在線的狀態(tài)下，可以根據(jù)設(shè)置好的策略及時對網(wǎng)絡(luò)攻擊行為進行自動阻斷。

5 結(jié)束語

主動防御預(yù)警平臺由于其對攻擊行為的實時動態(tài)感知、溯源等特性，防御性能遠優(yōu)于被動防御安全設(shè)備。通過引入大數(shù)據(jù)分析等先進技術(shù)經(jīng)過優(yōu)化設(shè)計，主動防御預(yù)警平臺可以使得信息安全防護工作更加智能，減輕信息安全人員的工作量，降低信息安全防護對人員安全知識的要求，提供給信息安全人員知己知彼的手段，是未來企事業(yè)單位做好信息安全工作的基礎(chǔ)。

參考文獻

[1] 趙原.基于異常分析的入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2015.

[2] 孔震.網(wǎng)站信息安全事件監(jiān)測平臺設(shè)計與實現(xiàn)[D].山東大學(xué)，2015.

[3] 陳青民，王成.云安全平臺環(huán)境下信息安全預(yù)警系統(tǒng)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016，（08）：55-56.

[4] 袁野，張夢夢.基于云安全平臺的信息安全風(fēng)險預(yù)警管理系統(tǒng)[J].電力信息與通信技術(shù)，2015，（08）：124-127.endprint