第08卷第08-09期2017年9月网络空间安全
C y b e r s p a c e S e c u r i t y
Vol.08 No.08-09 Sep.2017
周一波王璟朱朝勇胡茂松
(国网英大国际控股集团有限公司北京100005 )
摘要:网络空间安全目前成为国家安全的重要组成部分。论文通过对信息安全主动防御预警 平台的需求分析,提出主动防御预警平台在现有的通用的被动防御预警平台基础上可以进行的 优化设计,从防D D oS攻击、攻击行为动态感知、分析和溯源,威胁情报收集和综合利用等方面 提升信息安全防御手段,平衡信息安全人员和攻击者的信息不对称现状。 关键词:主动防御;威胁情报;大数据分析糖化锅
Requirements Analysis, Planning and Design of Cyber Security
Active Pre-Alarming and Defense Platform
Z h o u Yi-bo Wan g Ji ng Z h u C h a o-y o n g H u M a o-s o n g
(S t a t e G r i d Y i n g d a I n t e r n a t i o n a l H o l d i n g s Co., ltd. B e i j i n g100005)
Abstract: The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS (Distributed Denial of Service) attack, dynamic perception of attack behavior, traceability analysis, threat analysis and intelligence etc., reducing the status of information asymmetric between defenders and attackers.
Key words: active defense; threat intelligence; big data analysis
1引言
ts2
网络空间安全形势日益严峻。网络空间安全 问题已经从黑客单独攻击逐渐上升为分工明细的黑客产业链,上升为国家行为的A P T攻击模式。遭受网络攻击的受害者层出不穷。乌克兰电网断电、伊朗核设施受损、病毒肆虐、12306用户 密码撞库、酒店住宿用户信息大量泄露等,都是网 络空间安全问
题的实例。网络空间安全关系到国计 民生,关系到每一个公民生活的方方面面。
2国家出台相关法律
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第 二十四次会议于2016年11月7日通过,自2017年6月1日起施行。《网络安全法》体现了中国政府对网络 空间安全问题的关注,法律对网络运营者的责任和 义务做出了比较明确的定义,对国家关键信息基础 设施的方方面面进行了阐述,对用户信息的保护提 出了详实的要求。相信随着网络安全法的实施和后 期相关细则的不断出台,网络空间安全将成为国家 安全的重要组成部分,探讨信息安全主动防御预警 平台规划设计也是实现网络空间安全的重要途径。
3主动防御预警平台需求分析
干油站3.1防DDOS攻击流量清洗
周一波等:信息安全主动防御预警平台的需求分析和规划设计
根据百度百科定义,分布式拒绝服务攻击D D oS指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动D D o S攻击,从而成倍地提高拒绝服务攻击的威力。针对D D oS攻击有效的防御方式是流量清洗技 术,通过对攻击流量和正常访问流量的区分,阻 断攻击流量,
放行正常访问流量,保障信息系统对外的正常服务。防D D O S攻击流量清洗应该是主动防御预警平台的重要组成部分。
3.2攻击行为动态感知和展现
目前黑客对信息系统的攻击形式多种多样,例如W eb渗透攻击、操作系统漏洞利用、中间件 漏洞利用、数据库漏洞利用、第三方软件漏洞利用等。信息安全人员目前主要的防护手段还是借助IP S、WAF等设备匹配检测攻击行为,经过简单 分析后在防火墙人工设置策略阻断攻击IP地址。这种被动式的防御手段时效性、全面性都较差,攻击行为的动态实时感知以及全方面的展现是主动防御预警平台的核心功能。
3.3攻击行为分析和溯源
目前,信息安全人员对攻击行为进行阻断后,从被动防御的安全防护设备(IP S、W AF) 对攻击行为信息的了解仅停留在攻击者IP地址,攻击者攻击的方法。信息安全人员所掌握的信息不足以全面分析黑客入侵的线路、获取的数据以及黑客真实的身份。信息安全人员从W eb管理平 台、中间件、数据库等提取的日志也是海量的,无法及时准确的确认攻击者所获得的战果。攻击 行为的综合分析和溯源是主动防御预警平台又一个核心功能。
3.4威胁情报收集和综合利用
攻击行为动态感知和溯源是需要数据支撑的。威胁情报的收集和综合利用提供了部分数据。根据通常的定义,威胁情报是指针对安全威胁、威胁者、恶意软件、漏洞和危害指标所收集的用于评估和应用的数据集。简单地说,威胁情报是能帮助信息安全人员识别安全威胁并做出明智决定的知识。目前国内提供威胁情报的安全数据公司很多,企业可以选择与安全数据公司合作,引入其威胁情报信息,服务主动防御预警平台对攻击行为的动态感知和溯源。
3.5网络日志收集和综合分析
网络日志的收集和综合分析是攻击行为动态感知和分析的基础。这里所提网络日志是指网络设备、安全设备、W eb管理平台、中间件、数据 库等多维的日志。攻击者随着其攻击渗透的深入会在不同阶段留下相关痕迹,主动防御预警平台的日志收集和综合分析功能负责智能提取和分析这些痕迹,从而从时间和攻击路径两个维度刻画出攻击者渗透的身影。
3.6用户行为画像
用户行为的画像是帮助信息安全人员辨识正常用户行为和黑客攻击行为的有效利器。信息安 全人员通过对信息系统运维人员、应用人员、研 发人员等正常访问行为进行收集,可以在主动防御预警平台中固化相关人员的正常操作,设定相 关阈值。当相关阈值被突破时,信息安全人员有足够的留有怀疑信息系统遭到了攻击。
3.7预警平台与安全防护设备的联动
预警平台与安全防护设备的联动是属于主动防御预警平台的更高级应用。前面提到主动防御预警平台会从安全防护设备抽取相关日志进行分析,在得到分析结果后,不通过人工干预,主动 防御预警平台可以智能的与安全防护设备通信,设置相关安全策略,阻断威胁源进一步对信息系统的攻击行为。
3.8攻击行为蜜网
攻击行为蜜网可以作为主动防御预警平台的一个部分。信息安全人员在对攻击行为有进一步的分析和观察需求时,在不想影响到信息系统正
网络空间安全Cyberspace Security2017年第08-09期
图1主动防御预警平台架构
常服务的同时,引导攻击流量至蜜网系统,进一 步观察攻击者的下一步动向。
4主动防御预警平台规划设计
根据上述需求的分析,我们设计出信息安全主动防御预警平台架构,如图1所示。
主动防御预警平台的核心是一套大数据分析中心。大数据分析中心信息来源有安全数据厂商提供的威胁情报、流量清洗厂商提供的流量清洗服务产生的数据、网络和安全设备产生的海量日志、蜜网系统提供的攻击者行为分析、大数据分 析中心内部固化正常用户访问系统的行为画像。大数据分析中心输出的数据有对攻击者行为的动态感知和集中展现、攻击者行为溯源、对网络和 安全设备的策略设置指令、对攻击者流量向蜜网系统的牵引指令。
防D D oS攻击流量清洗可以有两种形式:一是 采用流量清洗服务厂商的服务,对系统流量进行引流,先经过流量厂商清洗再灌入企事业单位网络边界;二是企事业单位采用防D DoS攻击流量清 洗设备对攻击流量进行清洗。
威胁情报的获取是指从安全数据厂商获得最新漏洞信息、攻击样本、病毒样本、攻击者地址、攻击者工具和相关攻击方法等信息。威胁情报的实时性和准确性是主动防御预警平台的落地关键。
网络和安全设备产生的海量日志一直是信息安全人员的梦魇,大数据分析中心通过收集这些日志并经过综合分析,可以免去信息安全人员大量的工作量,并提供一手的攻击者痕迹。
正常用户行为画像是威胁情报的有益补充。举例来说,正常用户访问系统,不会连续高频次的用同一 IP地址尝试用不同用户名尝试登录系统,黑客工具会利用字典尝试多次破解用户口令,当防御预警平台侦测到类似的攻击可疑行为时,可疑牵引相关流量进入蜜网并向信息安全人员预警。
攻击者行为的集中展现和攻击者行为溯源是主 动防御预警平台的主要输出,攻击行为是通过对威 胁情报、海量日志、异常用户行为等数据分析得出,展现以攻击路径和时间为维度展现为宜。例如 攻击者A夜间11点通过暴力破解获得网站管理员密 码,登录网站管理后台;11点10分通过上传植入木 马;11点20分通过木马浏览服务器敏感信息;11 点20分通过敏感信息发现后台数据库地址和相关连 接密码;11点30分通过访问数据库获得用户敏感信 息。信息安全人员通过对攻击行为的辨识可以掌握 攻击者的攻击方法和所获得的数据,开展相关补救 措施,并开展攻击溯源工作。
周一波等:信息安全主动防御预警平台的需求分析和规划设计
主动防御平台与安全设备的联动是一种智能
的防护手段,在信息安全人员不在线的状态下,
可以根据设置好的策略及时对网络攻击行为进行
自动阻断。
5结束语
主动防御预警平台由于其对攻击行为的实时
动态感知、溯源等特性,防御性能远优于被动防
御安全设备。通过引入大数据分析等先进技术经
过优化设计,主动防御预警平台可以使得信息安
全防护工作更加智能,减轻信息安全人员的工作 量,降低信息安全防护对人员安全知识的要求,
提供给信息安全人员知己知彼的手段,是未来企
事业单位做好信息安全工作的基础。
参考文献
[1]赵原.基于异常分析的入侵检测系统的设计与实现[D].哈
尔滨工业大学,2015.
[2]孔震.网站信息安全事件监测平台设计与实现[D].山东大
学,2015.[3]陈青民,王成.云安全平台环境下信息安全预警系统研究
J].网络安全技术与应用,2016,(08):55-56.
[4]袁野,张梦梦.基于云安全平台的信息安全风险预警管理系
统[J].电力信息与通信技术,2015,(08):124-127.
自动化洗碗机作者简介:
周一波(1980-),男,汉族,湖南新华人,毕业于温莎大学,
硕士研究生,国网英大国际控股集团有限公司信息化工作部,主任助 理,高级工程师;主要研究方向和关注领域:信息安全与云数据中心
建设。
王璟(1991-),女,汉族,河南郑州人,毕业于伦敦政治经济学 院,硕士研究生,国网英大国际控股集团有限公司信息化工作部;主菱角剥壳机
要研究方向和关注领域:信息安全、互联网金融。
朱朝勇(1985-),男,汉族,湖北宜城人,毕业于中国科学技术
大学,博士,国网英大国际控股集团有限公司,高级主管;主要研究
电机转速传感器方向和关注领域:企业信息化、数据仓库、数据分析。
胡茂松(1991-),男,汉族,山东淄博人,毕业于英国布里斯托
大学,硕士研究生,国网英大国际控股集团有限公司信息化工作部;
主要研究方向和关注领域:互联网金融。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议