信息安全主動防御預警平臺的需求分析和規劃設計

周一波+王璟+朱朝勇+胡茂松

摘 要：網絡空間安全目前成為國家安全的重要組成部分。論文通過對信息安全主動防御預警平臺的需求分析，提出主動防御預警平臺在現有的通用的被動防御預警平臺基礎上可以進行的優化設計，從防DDoS攻擊、攻擊行為動態感知、分析和溯源，威脅情報收集和綜合利用等方面提升信息安全防御手段，平衡信息安全人員和攻擊者的信息不對稱現狀。

關鍵詞：主動防御；威脅情報；大數據分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

網絡空間安全形勢日益嚴峻。網絡空間安全問題已經從黑客單獨攻擊逐漸上升為分工明細的黑客產業鏈，上升為國家行為的APT攻擊模式。遭受網絡攻擊的受害者層出不窮。烏克蘭電網斷電、伊朗核設施受損、勒索病毒肆虐、12306用戶密碼撞庫、酒店住宿用戶信息大量泄露等，都是網絡空間安全問題的實例。網絡空間安全關系到國計民生，關系到每一個公民生活的方方面面。

2 國家出臺相關法律

《中華人民共和國網絡安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議于2016年11月7日通過，自2017年6月1日起施行?！毒W絡安全法》體現了中國政府對網絡空間安全問題的關注，法律對網絡運營者的責任和義務做出了比較明確的定義，對國家關鍵信息基礎設施的方方面面進行了闡述，對用戶信息的保護提出了詳實的要求。相信隨著網絡安全法的實施和后期相關細則的不斷出臺，網絡空間安全將成為國家安全的重要組成部分，探討信息安全主動防御預警平臺規劃設計也是實現網絡空間安全的重要途徑。

3 主動防御預警平臺需求分析

3.1 防DDOS攻擊流量清洗

根據百度百科定義，分布式拒絕服務攻擊DDoS指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。針對DDoS攻擊有效的防御方式是流量清洗技術，通過對攻擊流量和正常訪問流量的區分，阻斷攻擊流量，放行正常訪問流量，保障信息系統對外的正常服務。防DDOS攻擊流量清洗應該是主動防御預警平臺的重要組成部分。

3.2 攻擊行為動態感知和展現

目前黑客對信息系統的攻擊形式多種多樣，例如Web滲透攻擊、操作系統漏洞利用、中間件漏洞利用、數據庫漏洞利用、第三方軟件漏洞利用等。信息安全人員目前主要的防護手段還是借助IPS、WAF等設備匹配檢測攻擊行為，經過簡單分析后在防火墻人工設置策略阻斷攻擊IP地址。這種被動式的防御手段時效性、全面性都較差，攻擊行為的動態實時感知以及全方面的展現是主動防御預警平臺的核心功能。

3.3 攻擊行為分析和溯源

目前，信息安全人員對攻擊行為進行阻斷后，從被動防御的安全防護設備（IPS、WAF）對攻擊行為信息的了解僅停留在攻擊者IP地址，攻擊者攻擊的方法。信息安全人員所掌握的信息不足以全面分析黑客入侵的線路、獲取的數據以及黑客真實的身份。信息安全人員從Web管理平臺、中間件、數據庫等提取的日志也是海量的，無法及時準確的確認攻擊者所獲得的戰果。攻擊行為的綜合分析和溯源是主動防御預警平臺又一個核心功能。

3.4 威脅情報收集和綜合利用

攻擊行為動態感知和溯源是需要數據支撐的。威脅情報的收集和綜合利用提供了部分數據。根據通常的定義，威脅情報是指針對安全威脅、威脅者、惡意軟件、漏洞和危害指標所收集的用于評估和應用的數據集。簡單地說，威脅情報是能幫助信息安全人員識別安全威脅并做出明智決定的知識。目前國內提供威脅情報的安全數據公司很多，企業可以選擇與安全數據公司合作，引入其威脅情報信息，服務主動防御預警平臺對攻擊行為的動態感知和溯源。

3.5 網絡日志收集和綜合分析

網絡日志的收集和綜合分析是攻擊行為動態感知和分析的基礎。這里所提網絡日志是指網絡設備、安全設備、Web管理平臺、中間件、數據庫等多維的日志。攻擊者隨著其攻擊滲透的深入會在不同階段留下相關痕跡，主動防御預警平臺的日志收集和綜合分析功能負責智能提取和分析這些痕跡，從而從時間和攻擊路徑兩個維度刻畫出攻擊者滲透的身影。

3.6 用戶行為畫像

用戶行為的畫像是幫助信息安全人員辨識正常用戶行為和黑客攻擊行為的有效利器。信息安全人員通過對信息系統運維人員、應用人員、研發人員等正常訪問行為進行收集，可以在主動防御預警平臺中固化相關人員的正常操作，設定相關閾值。當相關閾值被突破時，信息安全人員有足夠的留有懷疑信息系統遭到了攻擊。endprint

3.7 預警平臺與安全防護設備的聯動

預警平臺與安全防護設備的聯動是屬于主動防御預警平臺的更高級應用。前面提到主動防御預警平臺會從安全防護設備抽取相關日志進行分析，在得到分析結果后，不通過人工干預，主動防御預警平臺可以智能的與安全防護設備通信，設置相關安全策略，阻斷威脅源進一步對信息系統的攻擊行為。

3.8 攻擊行為蜜網

攻擊行為蜜網可以作為主動防御預警平臺的一個部分。信息安全人員在對攻擊行為有進一步的分析和觀察需求時，在不想影響到信息系統正常服務的同時，引導攻擊流量至蜜網系統，進一步觀察攻擊者的下一步動向。

4 主動防御預警平臺規劃設計

根據上述需求的分析，我們設計出信息安全主動防御預警平臺架構，如圖1所示。

主動防御預警平臺的核心是一套大數據分析中心。大數據分析中心信息來源有安全數據廠商提供的威脅情報、流量清洗廠商提供的流量清洗服務產生的數據、網絡和安全設備產生的海量日志、蜜網系統提供的攻擊者行為分析、大數據分析中心內部固化正常用戶訪問系統的行為畫像。大數據分析中心輸出的數據有對攻擊者行為的動態感知和集中展現、攻擊者行為溯源、對網絡和安全設備的策略設置指令、對攻擊者流量向蜜網系統的牽引指令。

防DDoS攻擊流量清洗可以有兩種形式：一是采用流量清洗服務廠商的服務，對系統流量進行引流，先經過流量廠商清洗再灌入企事業單位網絡邊界；二是企事業單位采用防DDoS攻擊流量清洗設備對攻擊流量進行清洗。

威脅情報的獲取是指從安全數據廠商獲得最新漏洞信息、攻擊樣本、病毒樣本、攻擊者地址、攻擊者工具和相關攻擊方法等信息。威脅情報的實時性和準確性是主動防御預警平臺的落地關鍵。

網絡和安全設備產生的海量日志一直是信息安全人員的夢魘，大數據分析中心通過收集這些日志并經過綜合分析，可以免去信息安全人員大量的工作量，并提供一手的攻擊者痕跡。

正常用戶行為畫像是威脅情報的有益補充。舉例來說，正常用戶訪問系統，不會連續高頻次的用同一IP地址嘗試用不同用戶名嘗試登錄系統，黑客工具會利用字典嘗試多次破解用戶口令，當防御預警平臺偵測到類似的攻擊可疑行為時，可疑牽引相關流量進入蜜網并向信息安全人員預警。

攻擊者行為的集中展現和攻擊者行為溯源是主動防御預警平臺的主要輸出，攻擊行為是通過對威脅情報、海量日志、異常用戶行為等數據分析得出，展現以攻擊路徑和時間為維度展現為宜。例如攻擊者A夜間11點通過暴力破解獲得網站管理員密碼，登錄網站管理后臺；11點10分通過上傳植入木馬；11點20分通過木馬瀏覽服務器敏感信息；11點20分通過敏感信息發現后臺數據庫地址和相關連接密碼；11點30分通過訪問數據庫獲得用戶敏感信息。信息安全人員通過對攻擊行為的辨識可以掌握攻擊者的攻擊方法和所獲得的數據，開展相關補救措施，并開展攻擊溯源工作。

主動防御平臺與安全設備的聯動是一種智能的防護手段，在信息安全人員不在線的狀態下，可以根據設置好的策略及時對網絡攻擊行為進行自動阻斷。

5 結束語

主動防御預警平臺由于其對攻擊行為的實時動態感知、溯源等特性，防御性能遠優于被動防御安全設備。通過引入大數據分析等先進技術經過優化設計，主動防御預警平臺可以使得信息安全防護工作更加智能，減輕信息安全人員的工作量，降低信息安全防護對人員安全知識的要求，提供給信息安全人員知己知彼的手段，是未來企事業單位做好信息安全工作的基礎。

參考文獻

[1] 趙原.基于異常分析的入侵檢測系統的設計與實現[D].哈爾濱工業大學，2015.

[2] 孔震.網站信息安全事件監測平臺設計與實現[D].山東大學，2015.

[3] 陳青民，王成.云安全平臺環境下信息安全預警系統研究[J]. 網絡安全技術與應用，2016，（08）：55-56.

[4] 袁野，張夢夢.基于云安全平臺的信息安全風險預警管理系統[J].電力信息與通信技術，2015，（08）：124-127.endprint