李佑群　龔谷初　周久芳　張偉健　王貝

摘要： 隨著Internet技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)在日常生活和各類工作中已經(jīng)是不可或缺的重要的組成部分，對(duì)網(wǎng)絡(luò)各種流量進(jìn)行分類監(jiān)控，以便及時(shí)發(fā)現(xiàn)并控制網(wǎng)絡(luò)上的各種異常行為，已經(jīng)成為保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵之處。通過對(duì)邊界防火墻獲取運(yùn)行終端的所有流量數(shù)據(jù)進(jìn)行分析與研究，本文提出的基于邊界防火墻異常流量特征庫(kù)的自動(dòng)提醒與加固等安全措施，實(shí)現(xiàn)了桌面終端信息安全的自動(dòng)化管理，從而降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，提高公司信息運(yùn)行管理能力。

關(guān)鍵詞：防火墻;網(wǎng)絡(luò)流量;網(wǎng)絡(luò)異常;加固

Automatic reminder and reinforcement prevention based on abnormal traffic signature database of

border firewall

Li Youqun 1，Gong Guchu 2， Zhou Jiufang2

（1. State Grid Hunan Provincial Power Co.， Ltd. Changde Power Supply Branch Changde 415000，China? ）

Abstract： With the development of Internet technology and network services， the network has become an indispensable and important part of daily life and various types of work. It classifies and monitors various network traffic in order to detect and control various abnormalities on the network in time Behavior has become the key to ensuring the normal operation of the network.By analyzing and researching all the traffic data obtained by the boundary firewall and running the terminal， this paper proposes security measures such as automatic reminding and reinforcement based on the abnormal traffic signature database of the boundary firewall to realize the automatic management of the desktop terminal information security， thereby reducing the network information security Risk， improve the companys information operation and management capabilities.

Key words： firewall; network traffic; network anomaly; reinforcement

0前言

網(wǎng)絡(luò)邊界是所有信息系統(tǒng)進(jìn)行業(yè)務(wù)來往的大門，作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道屏障，防火墻起著至關(guān)重要的作用。由于被部署在網(wǎng)絡(luò)邊界而被稱為

邊界防火墻。防火墻是防范網(wǎng)絡(luò)攻擊最常用的方法，它主要是主機(jī)、路由器、策略的集合，其作用是禁止或允許對(duì)受保護(hù)網(wǎng)絡(luò)的訪問。利用防火墻技術(shù)，然后經(jīng)過相應(yīng)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)【1】。然而，隨著Internet信息技術(shù)的高速發(fā)展以及計(jì)算機(jī)系統(tǒng)在各行各業(yè)的廣泛應(yīng)用，這樣加劇了人們關(guān)于網(wǎng)絡(luò)安全擔(dān)憂，也給網(wǎng)絡(luò)安全帶來了巨大的威脅。如今，互聯(lián)網(wǎng)中存在大量的網(wǎng)絡(luò)故障、濫用、攻擊等會(huì)帶來惡意后果的異常行為，這些行為往往會(huì)在網(wǎng)絡(luò)流量中體現(xiàn)出來，其中諸如蠕蟲（Worm），端口掃描（Port scans），拒絕服務(wù)攻擊等異常情況在網(wǎng)絡(luò)流量中更是常見。這些異常往往會(huì)浪費(fèi)網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)設(shè)備和終端主機(jī)的性能下降，甚至引起涉及到大量網(wǎng)絡(luò)用戶的安全問題。鑒于此，準(zhǔn)確并快速地檢測(cè)這些異常行為，并對(duì)其采取相應(yīng)的安全措施顯得尤為重要。

1系統(tǒng)實(shí)現(xiàn)

1.1 項(xiàng)目需求

隨著我國(guó)進(jìn)入了信息化時(shí)代以來，企業(yè)運(yùn)營(yíng)效率得到了飛速的提升，業(yè)務(wù)量也隨之大幅提高，由此導(dǎo)致了數(shù)據(jù)傳輸規(guī)模的不斷增加。數(shù)據(jù)類型多樣化、數(shù)據(jù)來源的復(fù)雜化和數(shù)據(jù)傳輸?shù)耐话l(fā)性等特點(diǎn)愈發(fā)明顯。對(duì)于以互聯(lián)網(wǎng)為主要通信渠道的各企業(yè)而言，以數(shù)據(jù)異常流量為代表的各種系統(tǒng)問題日益增多，網(wǎng)絡(luò)攻擊與非法訪問行為層出不窮，導(dǎo)致網(wǎng)絡(luò)通信出現(xiàn)種種異常與故障，且排查定位效率低下，給企業(yè)信息與通信系統(tǒng)的運(yùn)維工作造成了很大的困難。因此，采取有效措施，對(duì)網(wǎng)絡(luò)異常流量的檢測(cè)方法進(jìn)行改進(jìn)與優(yōu)化，提高檢測(cè)的準(zhǔn)確性、可靠性和穩(wěn)定性，具有十分重要的意義。

1.2 系統(tǒng)設(shè)計(jì)原理與生成

1.2.1系統(tǒng)部署總體架構(gòu)

網(wǎng)絡(luò)活動(dòng)一旦發(fā)生，也就意味著數(shù)據(jù)流量的產(chǎn)生，為有效提高安全生產(chǎn)信息保障能力，這就需要設(shè)計(jì)一款系統(tǒng)架構(gòu)以便于及時(shí)獲取到數(shù)據(jù)并進(jìn)行實(shí)時(shí)分析，對(duì)于異常行為，及時(shí)采取相應(yīng)安全措施保障網(wǎng)絡(luò)安全運(yùn)行。因此，為保證系統(tǒng)穩(wěn)定運(yùn)行和后續(xù)運(yùn)維工作進(jìn)行，該系統(tǒng)架構(gòu)是在多臺(tái)虛擬機(jī)上進(jìn)行，并部署了相應(yīng)的物理服務(wù)器，操作系統(tǒng)為 CentOS-7 系統(tǒng)。

1.2.2軟件設(shè)計(jì)架構(gòu)圖

該系統(tǒng)的軟件架構(gòu)圖可以分為兩部分，第一部分包含流量采集層、流量轉(zhuǎn)發(fā)層、消息持久層、實(shí)時(shí)分析層四個(gè)模塊;第二部分主要包含數(shù)據(jù)存儲(chǔ)層。

1.2.3各層的主要功能

網(wǎng)絡(luò)流量數(shù)據(jù)包被探針的 Snort Preprocessor（預(yù)處理）插件解析成約定的文本格式并送入隊(duì)列中（生產(chǎn)者），然后再由另一個(gè)線程（pthread）取出并使用 Socket 發(fā)出（消費(fèi)者）。通過內(nèi)存的分配和釋放，在網(wǎng)絡(luò)流量瞬時(shí)增大時(shí)可以暫存解析后的文本，最大限度避免造成網(wǎng)絡(luò)堵塞，以及 Socket Server 的波動(dòng)效應(yīng)。流量轉(zhuǎn)發(fā)層 & 消息持久層包括Socket Server 和 Apache Kafka 集群兩個(gè)部分， Socket Server 接收數(shù)據(jù)之后會(huì)以平穩(wěn)的速率轉(zhuǎn)發(fā)給 Kafka 集群。Socket Server 中也有一個(gè)超大的基于內(nèi)存實(shí)現(xiàn)的同步隊(duì)列（Concurrent Queue）這也是避免給下游的 Kafka 集群造成性能波動(dòng)上的保險(xiǎn)。實(shí)時(shí)分析層采用 Apache Storm 流式計(jì)算框架實(shí)現(xiàn)，在架構(gòu)上采用了 2 Nimbus（包含 1 woker， 1冗余） + 5 Supervisor（包含 4 woker， 1 冗余） 的方式。數(shù)據(jù)持久層包括 MySQL 服務(wù)器（1），ElasticSearch 集群（3），Redis 緩存（1）。MySQL 和 ES 是用來存儲(chǔ)永久數(shù)據(jù)的，Storm 分析集群不直接訪問 MySQL 數(shù)據(jù)庫(kù)，而是通過 Redis + 本地緩存的形式來保證自身的高性能。

2 功能實(shí)現(xiàn)

流量探針設(shè)備流量探針主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量的鏡像流量進(jìn)行采集并還原，還原后的流量日志會(huì)加密傳輸給天眼分析平臺(tái)。流量探針通過對(duì)網(wǎng)絡(luò)流量進(jìn)行解碼還原出真實(shí)流量，提取網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的頭部信息，甚至是重要負(fù)載信息，這些信息將通過加密通道傳送到分析平臺(tái)進(jìn)行統(tǒng)一處理。流量探針在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下，支持 HTTP （網(wǎng)頁(yè)）、SMTP/POP3（郵件）等主流協(xié)議的高性能分析。

同時(shí)，流量探針內(nèi)置的威脅檢測(cè)進(jìn)程serverids，可檢測(cè)多種網(wǎng)絡(luò)協(xié)議中的攻擊行為，提供ids、webids、webshell、威脅情報(bào)多種維度的告警展示，可檢測(cè)如多種網(wǎng)絡(luò)應(yīng)用、木馬、廣告、exploit等多種網(wǎng)絡(luò)攻擊行為，也可檢測(cè)如sql注入、跨站、webshell、命令執(zhí)行、文件包含等多種web攻擊行為，內(nèi)置的webshell沙箱可以精準(zhǔn)檢測(cè)php后門并記錄相關(guān)信息，擁有威脅情報(bào)實(shí)時(shí)匹配能力，能發(fā)現(xiàn)惡意軟件、APT事件等威脅，產(chǎn)生的多種告警都會(huì)加密，并傳輸給天眼分析平臺(tái)進(jìn)行統(tǒng)一分析管理。

天眼分析平臺(tái)用于存儲(chǔ)流量探針提交的流量日志、告警日志;其次天眼分析平臺(tái)不僅可對(duì)所有數(shù)據(jù)進(jìn)行快速的處理并為檢索提供支持，還能將存儲(chǔ)的日志與威脅情報(bào)進(jìn)行碰撞，以及進(jìn)行日志關(guān)聯(lián)性分析產(chǎn)生告警，并能在4K的屏幕上展示威脅態(tài)勢(shì);此外天眼分析平臺(tái)支持對(duì)告警進(jìn)行深度分析，支持以告警字段進(jìn)行狩獵分析及可視化展示，以攻擊鏈的視角還原告警中的受害主機(jī)被攻擊的整個(gè)過程;最后，對(duì)于判定為威脅事件的告警，分析平臺(tái)提供自定義編排流程進(jìn)行相應(yīng)的處置指令下發(fā)。

分析平臺(tái)承擔(dān)對(duì)所有數(shù)據(jù)進(jìn)行存儲(chǔ)、預(yù)處理和檢索的工作，由于傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)在面對(duì)大量數(shù)據(jù)存儲(chǔ)時(shí)經(jīng)常出現(xiàn)性能不足導(dǎo)致查詢相關(guān)數(shù)據(jù)緩慢，天眼分析平臺(tái)底層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對(duì)所有數(shù)據(jù)進(jìn)行處理，可通過多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算能力的供應(yīng)。結(jié)合全包存儲(chǔ)系統(tǒng)，分析平臺(tái)可以實(shí)現(xiàn)針對(duì)精確告警的全包取證分析和自定義數(shù)據(jù)包分析能力。

威脅情報(bào)威脅情報(bào)來自安全廠商云端的分析成果，可對(duì)APT攻擊、新型木馬、特種免殺木馬進(jìn)行規(guī)則化描述。安全廠商依托于云端的海量數(shù)據(jù)，通過基于人工智能自學(xué)習(xí)的自動(dòng)化數(shù)據(jù)處理技術(shù)，依靠以頂尖研究資源為基礎(chǔ)的多個(gè)安全研究實(shí)驗(yàn)室為未知威脅的最終確認(rèn)提供專業(yè)高水平的技術(shù)支撐，所有大數(shù)據(jù)分析出的未知威脅都會(huì)通過專業(yè)的人員進(jìn)行人工干預(yù)，做到精細(xì)分析，確認(rèn)攻擊手段、攻擊對(duì)象以及攻擊的目的，通過人工智能結(jié)合大數(shù)據(jù)知識(shí)以及攻擊者的多個(gè)維度特征還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風(fēng)格和不同攻擊原理的同源木馬程序，惡意服務(wù)器（C&C）等，通過全貌特征‘跟蹤攻擊者，持續(xù)的發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準(zhǔn)確性，并生成了可供天眼系統(tǒng)使用的威脅情報(bào)。

3 結(jié)果與結(jié)論

本文設(shè)計(jì)了提出了一種多源安流量志采集方法。在流量源采集方面，采用標(biāo)準(zhǔn)的Syslog協(xié)議，對(duì)Linux和Windows主機(jī)日志，Apache、Weblogic、IIS、Tomcat、Nginx等主流Web服務(wù)訪問日志，以及交換機(jī)和防火墻等網(wǎng)絡(luò)設(shè)備流量和網(wǎng)絡(luò)行為流量等多源異構(gòu)日志的進(jìn)行統(tǒng)一采集;在流量源控制方面，采用訪問控制技術(shù)，能夠在不影響其他日志源采集的條件下，動(dòng)態(tài)新增、刪除和修改日志源配置;在采集方法上，采用集群式架構(gòu)設(shè)計(jì)，當(dāng)一個(gè)采集節(jié)點(diǎn)出現(xiàn)故障或性能出現(xiàn)瓶頸時(shí)，能夠動(dòng)態(tài)調(diào)配負(fù)載，保障海量流量數(shù)據(jù)采集的可靠性和實(shí)時(shí)性。在數(shù)據(jù)的存儲(chǔ)上，將安全日志同時(shí)存儲(chǔ)至Hbase（一種分布式開源數(shù)據(jù)庫(kù)）數(shù)據(jù)庫(kù)和ES（Elastic Search，一種分布式開源搜索引擎）索引中，分析層從傳輸層將取網(wǎng)絡(luò)數(shù)據(jù)，機(jī)型結(jié)構(gòu)化解析并對(duì)數(shù)據(jù)進(jìn)行：備案預(yù)警、異常端口預(yù)警，頻繁訪問預(yù)警，以小時(shí)為單位進(jìn)行服務(wù)器熱度統(tǒng)計(jì)，全流量存儲(chǔ)流量數(shù)據(jù)等五個(gè)方面的分析。分析結(jié)果將會(huì)進(jìn)行持久化用于 web 展示，相比傳統(tǒng)的定時(shí)人工掃描，優(yōu)勢(shì)較大。

參考文獻(xiàn)：

[1]Nicira Inc.; Patent Issued for Using Headerspace Analysis To Identify Unneeded Distributed Firewall Rules （USPTO 10，708，231）[J]. Network Weekly News，2020.

[2]徐松，姚燕妮，劉奕奕，周濤.湖南電網(wǎng)實(shí)物ID建設(shè)及應(yīng)用[J].湖南電力，2019，39（02）：65-68.

[3]黃吉蘭.二維條碼QRCode編碼原理及實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2013，9（12）：2904-2908.

[4]張宇，王映輝，張翔南.基于Spring的MVC框架設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2010，36（04）：59-62.

[5]劉香利. 基于RESTful/HTTP的網(wǎng)絡(luò)管理接口定義方法和通知機(jī)制設(shè)計(jì)[D].北京郵電大學(xué)，2019.

[6]陳瑪玲.電力設(shè)備巡視中的問題分析和策略[J].科技與創(chuàng)新，2017（14）：55-56.