基于CDN的安全私有云

隨著云提供商不斷積累運營經驗和技術的日益成熟，云故障的頻率和持續時間都在減少。但與此同時，單位卻在面對宕機的時候變得越來越脆弱，依賴性也越來越高，潛在的危害，或者強烈的挫折感，變得比以往任何時候都更大。

CSA云安全聯盟列出2016年“十二大云安全威脅”：數據泄露；憑證被盜和身份驗證如同虛設；界面和API被黑；系統漏洞利用；賬戶劫持；惡意內部人士；APT(高級持續性威脅)寄生蟲；永久的數據丟失；調查不足；云服務濫用；拒絕服務(DoS)攻擊；共享技術，共享危險問題。

基于CDN的安全私有云平臺設計

CDN（Content Delivery Network）通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡，CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。其目的是使用戶可就近取得所需內容，解決Internet網絡擁擠的狀況，提高用戶訪問網站的響應速度。

基于CDN的安全私有云平臺是針對CDN特殊環境下，對整個云端邊界及核心應用集群進行綜合安全防護的解決方案。整個平臺由智能WAF防火墻系統、智能蜜罐系統、分布式全流量檢測取證系統和分布式存儲中心幾部分構成。

平臺核心為分布式全流量檢測取證系統，當部署在邊界的全流量感知到攻擊行為時，迅速通知分布式WAF設備將其鏈路阻斷，并行為全流量系統提交有關線索，綜合調度系統立即將對方流量劫持到蜜罐中，記錄其動作、捕捉其工具，同時分析對方軟件系統及網絡環境。

基于CDN的安全云私有云平臺總體架構如圖1。

全流量系統實時采集CDN的邊界流量，通過對協議還原進行數據建模，實時提取疑似針對CDN邊界網絡的APT攻擊滲透行為，同時WAF設備與與全流量設備互相聯動，一旦獲取全流量分析系統提取的攻擊入侵樣本及定位攻擊源頭，分布式WAF設備將迅速對可疑的攻擊行為進行快速阻斷與報警，提供詳盡的攻擊日志呈現。

安全云私有云平臺通過與不同功能模塊之間的數據交換與流動，為數據、資源和能力的使用者提供統一透明的訪問接口。并以可視化的方式進行安全威脅預警與展示。

主要功能模塊包括：

1.基于CDN網絡邊界的WAF阻斷系統

提供Web應用攻擊防護能力，通過多種機制的分析檢測，夠有效的阻斷攻擊，保證Web應用合法流量的正常傳輸，同時針對各類安全攻擊（如SQL 注入攻擊、網頁篡改、網頁掛馬等），WAF阻斷系統根據最佳安全策略進行防護，有效降低安全風險。

2.基于CDN網絡邊界的蜜罐系統

通過多個蜜罐系統構成一個黑客誘捕網絡體系架構，在保證網絡的高度可控性的同時，對整個攻擊事件進行信息的采集和分析，幫助Web管理人員認知真實運用中存在的漏洞，有效降低真實Web應用的安全風險。

蜜罐系統由采集模塊和上傳模塊組成，采集模塊部署在CDN的邊界接口，并介入互聯網，采集模塊將將所有攻擊者進入蜜罐種植的工具軟件和惡意程序進行自動化提交到沙盒進行自動分析。同時在 Windows、iOS、安卓系統等多系統中，在臺式機、筆記本電腦、iPAD、手機等多形態上模擬人員操作，并對注冊表行為、系統行為、網絡連接等進行特征提取，然后通過上傳模塊將采集的信息提交到管理中心。管理中心接受所有監測設備上傳的樣本，結合人工參與逆向分析，生成監測規則并下發到所有監測設備。

3.基于CDN網絡出口的分布式全流量檢測取證系統

在CDN流量下實現高速入侵滲透行為全流量檢測，通過對網絡流量進行清洗和過濾，將過濾后的統計流量和異常流量回傳給數據分析中心，快速發現和定位被入侵設備主機，及時報警并進行相關流量的存儲和關聯。

惡意程序全流量分析檢測模塊：系統底層集成了多款主流惡意代碼、病毒族譜、木馬特征庫。主要包括受控地址、外聯地址、名稱等基礎信息，本模塊支持特征碼自定義功能，方便用戶自行錄入。

泄密文件全流量回放模塊：監視惡意代碼竊取數據的整個工作流程，還原惡意代碼外傳的所有文件數據包，包括文件的傳輸的源和目的地址。

DNS全流量檢測分析模塊：檢測所控范圍內的所有DNS數據包并進行深度分析，發現異常DNS解析行為，詳細記錄DNS數據的七源組基本信息。

HTTP全流量檢測分析模塊：檢測所控范圍內的所有HTTP數據包，詳細記錄HTTP數據的七源組基礎信息，包括獲取GET/POST包中COOKIE、URL、HOST、REFER等信息。

惡意文件全流量檢測模塊：該系統負責接收上級系統上傳的工具和惡意程序，進行自動哦的那個動態檢測與靜態檢測，進行注冊表行為、進程行為、文件操作、網絡連接等分析，自動生成檢測規則并提交到管理中心。

自定義特征碼全流量巡檢模塊：用戶可以自行添加特征碼。特征碼采用

明文寫入，MD5加密存儲方式。

異常文件文件傳輸還原模塊：自動還原通過各類協議方式上傳下載的各類文件，支持白名單過濾功能，支持 PASV、PORT、HTTP等模式。

異常流量分析模塊：自動調用系統集成各類證書集，支持用戶自定義證書導入，支持串接模塊部署，支持各種鏈路鏈路，隱身鏈路的識別取證，支持加密會話識別，支持HTTPS協議非標準端口識別，支持加密數據端口轉發識別。

此外，還有郵件服務器全流量分析模塊、DNS服務器全流量分析模塊、網絡設備服務器全流量分析模塊、時間段連接流量分析模塊、Web攻擊識別子系統等多個模塊組成。

4.分布式云存儲中心

采用hadoop+elastics earch+spark分布式模式進行存儲與數據挖掘。建立一套基于Lucene的搜索服務器，提供具有分布式多用戶全文搜索等綜合訪問服務。

圖2 spark數據解析框架

數據預處理系統：數據預處理系統需要定制開發，以處理從網絡采集回來的數據，以及從第三方處導入的數據，對這些數據進行預處理，提取摘要信息，并存儲原始包數據。基于Bayes分類算法的模型對海量的數據進行歸類，利用文本數據向量化、向量空間將維等方法得出分類結果，為數據挖掘提供高質量的數據基礎。

分布式計算系統：采用基于elasticsearch+spark分布式模式進行存儲與數據挖掘。建立一套基于Lucene的搜索服務器。提供了分布式多用戶能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch采用Java進行定制與開發，并為下一步第三方集成提供開放式平臺。分布式存儲中心設計將采用私有云計算模式，能夠達到實時搜索，穩定、可靠、快速，安裝使用方便。

海量數據解析引擎系統：海量數據解析引擎系統將采用SPARK縱向分析技術，前端設備采集的數據通過讀包模式回放到ES系統，原始數據包將通過SPARK方式將CAP原始包保留在ES平臺中，整體框架如圖2。

數據分析模型系統：數據分析模型系統全方位統計數據包中的數量流的內容，以最小單位1s為基本單位，表示每1s中某個統計的結果，如IP會話:5645 1s 該條記錄表示在這一秒中此IP會話出現的次數為5645次。根據統計的內容挖掘異常信息，通過讀取統計結果中記錄的異常點，在后續讀取的數據包中與出現的異常點進行對比最終形成一系列的異常時間點。

核心管理中心系統：核心管理系統對業務進行綜合管理，需新開發以實現用戶管理、角色管理、配置管理、審計管理、第三方數據管理等功能。

可視化展示系統：展示系統以可視化的方式展示實時安全態勢與歷史安全態勢。包括實時態勢展示、攻擊預測、專項態勢展示、歷史態勢展示、信息展示。

場景實例

將網絡原始流量數據進行記錄，對關鍵數據信息進行匯總，從匹配庫中進行對比，判斷操作行為是否異常。

圖3 數據記錄告警

圖4 數據記錄告警實時展示

在通過匹配數據后進行數據警示，其部分結果如圖3、圖4所示。