基于DevOps 的云大數據中心重保研判研究

王新寬 李志強 孟 凡 范學領 李 強 張淏湜

1.中國移動江蘇公司揚州分公司；2.揚州大學；3.南京大學；4.西安交通大學；5.揚州市政府資源中心

0 引言

隨著東數西算、數智化轉型如火如荼地推進，網絡規模越來越大，其上承載服務的民生類、政務類等系統，對百姓和政府的影響日益深遠。但在當前動蕩的國際形勢下，網絡安全形勢日趨嚴峻，因此在重保（在重大活動期間或特定期間，對于通信和網絡安全的重要保障服務，以下簡稱“重保”）期間面臨的壓力陡增。

重保時，如果將網絡安全防護體系比喻成一個“坦克車組”，那么研判系統就是“車長”，它負責使用雷達觀瞄設備對戰地態勢進行分析、判斷、支撐指揮決策。傳統的研判操作是以事件告警為觸發點的被動響應模式，存在先天滯后性。

結合近年重保和護網的經驗，通過分析重保期間網絡安全的痛點和需求，提出主被動結合等的新型研判分析模式，提供以攻擊者臉譜分析能力為核心的新型主動研判模式，將研判能力前置，對攻擊源頭分析管控，降低網絡面臨的威脅和風險。

1 痛點與需求分析

結合本市政府大數據中心、華云大數據基地等近幾年網絡安全運維和重保的經驗，進行研究。

1.1 痛點分析

網絡安全攻防是在業務可用性要求的懸崖邊上跳舞，攻防雙方在同一條隱形賽道上賽跑，落后就意味著失敗。所以對攻防研判而言，時效性和準確性屬于首要需求。傳統研判模式的痛點如下：

1.1.1 研判滯后且缺乏發現手段

研判滯后：傳統研判通過態勢感知等實現，缺點是告警帶動研判機制，研判的起點可能是攻擊鏈的中后期（傳送、控制階段），攻擊者可能已經得手。在攻擊行為預判跟蹤方面，攻擊者可以在其選定的任意時間、任意資產暴露面上展開攻擊，防守者只能被動響應，將網絡攻防不對等體現的淋漓盡致。

缺乏發現手段：雖然能通過沙箱、EDR（終端檢測與響應）、內存檢測、違規外聯檢測等手段發現免殺木馬的攻擊行為并及時進行控制，但這依然令終端或業務處于一種風險狀態。

1.1.2 三個能力不足

承壓能力不足：運維團隊“人”的精力有限，SOAR（安全大數據分析平臺）等“系統”處理能力也有限，導致在重保期間遇到高并發攻擊時，超出人和系統的處理能力，形成風險失控；且SOAR 等工具只能執行一些簡單的標準化操作（例如IP 封禁），能力存在局限性。

溯源能力不足：傳統模式“對事不對人”、“自保為主的防御思想”，使其缺乏對攻擊源頭的主動溯源能力、反向攻擊溯源的驅動力。表現在如下三方面：（1）“源于事件告警，止于封禁IP”，只能看到攻擊IP，不知道攻擊者是“誰”；（2）非重保階段沒有溯源的意愿和準備，導致重保階段缺乏溯源的能力；（3）高度依賴專家經驗和反向滲透、社工庫、蜜罐內置木馬等方式，溯源成本高、見效慢、成功率低。

處置能力不足：不可能為了安全而破壞業務可用性；通過邊界封禁IP 等手段阻止攻擊者，但攻擊者自身無損，可通過啟用其他路徑繼續展開攻擊。

1.2 需求分析

綜合前述內容并結合重保研判實戰經驗，提煉出以下需求：

（1）更早地研判切入點。需要消減傳統研判模式的滯后性，在攻擊鏈靠前的階段展開研判并識別攻擊事件和攻擊者。提升早研判、早發現、早處置的能力。

（2）需要更準確地對攻擊者的身份類型進行定位。不僅能通過有限的探測、攻擊行為日志和威脅情報碰撞，還能分析攻擊源時空行為、行為特征、歷史攻擊記錄等深層攻擊情報，并具備定位的能力。這是進行后續決策和處置的必要前提和關鍵依據。

（3）能通過平臺落地、標準化服務落地等方式，來提供持續穩定的標準化研判分析能力。當然還要考慮成本因素，能通過自動化、服務化等方式，提供便捷、更易用、可并發的網絡安全研判能力，節省人工等成本。

2 設計思路

依據國家網絡安全相關法規、等級保護指南、DevOps（Development 和Operations 組合的研發運營一體化）、態勢感知系統架構等內容，設計網絡安全整體框架；重保重點防范政務網與云上大數據系統，對攻擊進行主被動結合、同源分析等，實現前置研判，幫助防守方對攻擊者畫像，早發現、早定位、早處置。

2.1 打牢基座聚集政務網與云上大數據系統

重保的基礎是已具備了一定的網絡安全防護能力，而不是臨時抱佛腳。依據前述法規等內容，進一步結合內外部管理要求、DevOps 過程和方法等內容，制定整體安全框架如圖1 所示，包括管理、運營、全生命周期等9 個模塊，通過自上而下的一整套措施，在經過大數據分析后對每日對攻擊流量進行迭代，以動態清零的思路做好網絡安全研判管控工作。

圖1 網絡安全整體框架

隨著政務網云化推進，在云方面，本文聚焦“一個中心，三重防護”，即安全管理中心，通信網絡防護、區域邊界防護、計算環境防護。圖2 為云網絡安全圖譜，針對“一個中心，三重防護”的要求進行方案設計，建立以計算環境安全為基礎，以區域邊界安全、用戶層安全為保障，以安全管理中心為核心的信息安全整體保障體系。

圖2 云網絡安全圖譜

云為基，數據驅動，大數據系統孕育而生，這就不難理解為何近年來各市大數據局如雨后春筍般成立了。大數據系統，在“一個中心，三重防護”的基礎上，再細分為業務安全、應用支撐環境安全兩個維度，如圖3 所示。

圖3 大數據系統網絡安全圖譜

2.2 主被動結合的新型研判模式

傳統研判模式是研判能力的基礎，可保障防守方研判能力下限。以攻擊者臉譜分析能力為核心的新型主動研判模式是創新，可以提升防守方研判能力上限。如表1 所示。

表1 傳統模式+新型模式

主被動研判模式并行，能獲得1+1>2 的效果。

主動研判源于告警，高于告警；通過引流等，實現“間諜衛星”能力，實現云端本地，能力互補；通過片段、線索的分析可以掌握其背景、能力、范圍、成功事件，且可以持續分析跟蹤；通過大數據分析與存儲、規則庫與同源分析，將零碎的行為串聯成一個整體的事件，綜合分析組織或個人的背景、能力、意圖以及結果來做到有效的輔助決策。

2.3 針對威脅主體的前置研判模式

針對威脅主體進行攻擊者臉譜分析的研判模式：從“事”到“人”，將多起事件關聯到同一人；從分析威脅主體的客觀行動，到分析威脅主體的主觀意圖；通過云端黑客檔案、攻擊者臉譜情報等威脅情報進行碰撞，實現智能關聯分析；從“雷達”到“衛星”；通過對攻擊者的“時空信息”分析，進行跨時空研判；還能從“事后”到“事前”。

3 研判分析模式與流程

網絡安全重保研判能力框架，包括研判分析與態勢預警（含同源分析和事件圖譜等）、外部聯動、接入對象接口等，具體如圖4 所示。

圖4 網絡安全重保研判能力框架

3.1 研判分析模式

專業的研判分析能力，是網絡安全重保研判解決方案的技術核心，分析模塊如下：

3.1.1 同源結果分析

通常攻擊者使用了大量代理IP、公網IP、秒撥技術、團伙多地進行配合行動等。需要根據不同的方法將屬于同一事件進行同源關聯，包括：

（1）靜態特征同源：提取攻擊者留下的靜態特征痕跡，如：域名、Ma、Cookie、惡意文件MD5、后門地址、XSS 平臺地址、DNSLOG 地址等。

（2）行為模式同源：提煉攻擊者的行為模式，將攻擊者的行為轉化為攻擊者向量，當向量在一定時間窗口內存在行為模式相似性則視為存在同源關系，后續經過同源引擎進行進一步的研判識別。

3.1.2 事件指標分析

事件指標數據主要通過流式進行時間窗口化統計。統計事件信息如：攻擊成功次數、受害者的數量、后門的數量、告警總量、高危手法數量等，以上統計指標主要為事件角度的統計數據。

指標維度包括但不限于攻擊成功次數、受害者數量、攻擊失陷次數、IOC 數量、攻擊結果未知次數、攻擊嘗試次數、高危手法數量等。

3.1.3 事件圖譜生成

圖譜關系數據有兩種方式獲取，一是通過API 獲取數據；二是在批處理中進行提取數據并落盤，實體節點信息包括但不限于攻擊者IP、受害者IP、團伙ID、攻擊行為、攻擊者基礎設施等。然后采用知識圖譜知識表示和構建方法生成時間圖譜。

另外，還能根據多個維度進行攻擊事件威脅評估，推薦的重點研判事件；對攻擊者屬性進行分析等。

3.2 研判流程

參照DevOps 的理念，提煉出“六步研判法”，通過自動或人工方式，從基本信息到攻擊者定位、處置的研判結果；每日對攻擊流量進行迭代，以動態清零的思路做好網絡安全研判管控工作。

（1）收集匯總：確保基礎平臺安全數據監控全覆蓋包括但不限于流量、日志、云平臺、供應鏈安全信息等。避免因監控數據覆蓋不到位形成基礎信息黑洞，導致研判不全面、不及時。

（2）提煉分析：通過規則優化消除業務誤報、互聯網爬蟲、掃描器等干擾信息，將真正包含主管惡意威脅的流量提煉出來，進行重點分析。對于加密流量，通過代理解密設備對其進行解密。

（3）挑出攻擊：通過分析策略、引擎規則，將異常流量中的攻擊行為提取出來，形成待分析攻擊源數據。

（4）畫像：利用黑客檔案、攻擊者臉譜情報等威脅情報對攻擊源進行數據碰撞，從多維度、多時段補全攻擊者畫像信息。

（5）研判：通過系統規則及專家經驗，對攻擊者進行臉譜研判，判定其身份類型；預設多種攻擊者臉譜，包括但不限于受信紅隊、安全公司、僵尸網絡、黑產團伙、白帽黑客、雇傭黑客等。

（6）下指令：對不同類型的攻擊者進行處置。

4 實施與效果

在原有網絡安全底座的基礎上，本文堅持“三個不”的原則，即不增加網絡安全運行風險、不改變現有網絡拓撲結構、盡量不破壞現有業務機制。

本文通過旁路部署實現對客戶網絡、業務的安全監聽及研判，輸出高價值的攻擊者研判信息。

4.1 實施內容

基于原有安全基座，只要增加如下內容：（1）重保研判主體系統：內置重保研判分析邏輯及業務流程，是用戶進行重保研判數據查詢、業務操作的主系統；（2）本地攻擊者研判分析系統：本地流量切片分析，結合云端情報共同進行攻擊者畫像分析；（3）流量采集設備：研判系統及天炬配套的流量采集設備；（4）流量解密設備：流量采集配套設備，用于對ssl 流量進行解密；（5）蜜罐設備：在客戶內外網部署蜜點，用于識別存在探測、滲透行為的惡意攻擊IP；（6）云探針：支持阿里云部署，可監聽云主機日志及流量；網絡威脅主體情報，網絡威脅主體情報。

4.2 效果

實施后，實現了：更早識別定位攻擊者，提前斬斷攻擊鏈；更準確識別攻擊者類型，明確處置方式；更少攻擊流量抵達邊界，降低安全運營壓力；更少安全事件發生，網絡安全更有保障；更強的協同管控能力，分支機構更安全；更強的溯源能力，可批量溯源。

2019 年以來，成功抵御1569 萬次的網絡和病毒攻擊；提升政務網27 家委辦局45 個新系統、IDC 數T 運營流量的“抵抗力”；圓滿完成全國兩會、國慶七十周年等重保期間網絡安全保障工作。

5 結束語

在對傳統重保研判的痛點和需求分析的基礎上，聚焦政務網和云上大數據系統，設計主被動結合、前置研判的新型研判分析模式與流程，取得了顯著效果。后續持續優化事件指標等參數，提升攻擊者畫像能力，并將直接推廣到中國移動長三角（揚州）數據中心。