高速公路通信網絡全流量安全及威脅監(jiān)測平臺研究

王珂

新一代信息技術的發(fā)展為通信帶來極大便利的同時，也對其載體的網絡安全提出更高要求。高速公路作為交通重要載體，網絡安全至關重要，新形勢下網絡攻擊形式與手段層出不窮，本文通過對網絡全流量安全監(jiān)測的研究，以求找到更有效的防范手段。

新一代信息技術的快速發(fā)展及各項互聯(lián)網技術應用的快速普及，給用戶帶來極為便利的溝通交流模式，并逐漸成為人們工作、生活中不可缺少的一部分。然而在享受這些便利的同時，也面臨著日益嚴重的信息安全問題。2021年全球仍有大量的網絡威脅存在，如：Incaseformat病毒事件、高級威脅組織Lazarus以Threat Needle惡意軟件攻擊國防企業(yè)、2021 第一季度國內外重大數據泄漏事件、蔓靈花（Bitter）組織針對我國發(fā)起的網絡攻擊等，已引起有關部門的高度重視。

網絡攻擊者對我國的網絡攻擊技術層出不窮，隱蔽性和破壞性越來越大，超越了以往對網絡惡性事件的監(jiān)測和分析方法，如何能在攻擊者背后感知系統(tǒng)狀態(tài)成為網絡安全的真正需求，對于攻擊者更有針對性采取防范更為有效。

近幾年網絡攻擊者不再出于個人好奇或是單純的自我炫耀，而已經發(fā)展為有著明確的政治、經濟利益目的的組織，攻擊手段日新月異，攻擊也趨向工具化、戰(zhàn)術化、隱蔽化、流程化，從偵查刺探、滲透侵入、組織攻陷、逐步控制、到最終的威脅破壞一整套流程，潛伏期長，傳統(tǒng)手段不易察覺，危害極大。

（一）國外網絡安全現狀

隨著全球大量人力資源從家庭、企業(yè)過渡到遠程在線模式，遠程辦公已成為高達20%的網絡安全事件的來源，同時勒索軟件攻擊事件也在逐年上升。自2020 年以來，網絡滲透、數據泄露、數據盜竊和銷售、勒索軟件和身份盜竊，網絡安全事件、地下和黑產市場活動越來越活躍。

2020年6月，歐洲的某個大型銀行遭遇了大規(guī)模DDoS攻擊，該銀行網絡系統(tǒng)遭到每秒8.09億巨量數據包攻擊。這次攻擊活動可能是由源自地下黑市的新型僵尸網絡實施的，這是從首次攻擊牽涉的大量 IP 地址數量得出的結論。

2020年7月，阿根廷電信公司遭到勒索軟件攻擊，本次攻擊對阿根廷電信公司運營造成了嚴重影響。攻擊者通過私密手段獲得了對公司網絡的訪問權限，然后控制了公司內部的Domain Admin系統(tǒng)，并使用這一訪問權限感染了約1.8萬臺計算機。最終阿根廷電信運營的許多網站因為此次勒索攻擊事件受到影響。

2020年8月，著名數碼攝像機廠商佳能（Canon）被曝遭受勒索攻擊，包括電子郵件、微軟團隊、美國網站以及其他內部應用程序。Maze勒索軟件團伙宣布已經從佳能竊取了超過10TB的數據。

2020年8月31日上午，新西蘭證券交易所網站在市場交易開盤不久再次崩潰。這已是自當年8月25日以來，新西蘭證券交易所連續(xù)第5天“宕機”。

（二）國內網絡安全現狀

根據CNCERT發(fā)布的我國互聯(lián)網網絡安全監(jiān)測數據分析報告，僅2021年上半年，就捕獲惡意程序樣本數量約2307萬個，日均傳播次數達582萬余次，涉及惡意程序家族約20.8萬個。在我國境內大約有446萬臺主機遭到計算機惡意程序的感染，感染數量同比增長46.8%。

CNCERT監(jiān)測發(fā)現，利用IP數據庫等手段，對于攻擊區(qū)域、目標進行溯源，通過統(tǒng)計分析發(fā)現受攻擊區(qū)域主要位于浙江省、山東省、江蘇省、廣東省、北京市、福建省、上海市等地區(qū)，這7個地區(qū)的事件占比達到81.7%。

約13083個通用型安全漏洞被國家信息安全漏洞共享平臺（CNVD）收錄，收錄數同比增長18.2%。其中，高危漏洞收錄數量為3，719個（占28.4%），同比減少13.1%；“零日”漏洞收錄數量為7，107個（占54.3%），同比大幅增長55.1%。

2021年國務院發(fā)布《關鍵信息基礎設施安全保護條例》，嚴密部署關鍵信息基礎設施的安全保護，由此可見網絡安全防護的重要性。

隨著交通行業(yè)信息化、智慧化進程提速，高速公路信息數據傳輸也進入全國聯(lián)網階段，高速公路沿線智慧化設備越來越多，對高速公路網絡安全也提出了新的要求，如果不能有效地監(jiān)測和防御網絡攻擊，有可能造成重大事故。

針對高速公路業(yè)務特點，安全管理中心、計算安全環(huán)境、物理安全環(huán)境、網絡通信安全、安全區(qū)域邊界是作為安全技術體系建設的五個基本技術要求，同時在管理體系建設方面也要同時滿足安全管理制度、安全運維管理、安全管理機構、安全管理人員的基本要求。

高速公路三大機電系統(tǒng)都需通過網絡環(huán)境進行數據交換，數據網絡需要具有統(tǒng)一的安保策略，能夠抵御較大規(guī)模、較強的惡意程序攻擊，同時還要能夠防止計算機病毒和惡意代碼的侵害。

利用對數據網絡流量的旁路監(jiān)測與分析，智能發(fā)現被惡意控制或非法使用的網絡設備及惡意網絡行為。系統(tǒng)分為數據采集模塊、協(xié)議還原及數據標準化模塊、海量數據剝離算法、基于Stacking算法的入侵檢測模塊及異常網絡行為監(jiān)測分析等功能。作為高性能的網絡數據捕獲平臺，需要對網絡鏈路進行7X24小時的數據監(jiān)測分析，系統(tǒng)使用零拷貝技術，并對網卡驅動程序進行深度優(yōu)化，對千兆網絡環(huán)境全流量的采集丟包率<0.01%，同時對常見網絡協(xié)議（HTTP、FTP、SSL、POP、IPMAP、SMTP、TELNET、DNS等）解析還原，并提取報文級、會話級、應用級的日志信息，支持多種元數據索引，便于對各類日志進行數據挖掘分析；基于行為模型、流量特征、關鍵字特征等對網絡行為進行多層級多維度的檢測，利用專家級數據模型通過機器自學習的方法對網絡數據進行挖掘分析，智能發(fā)現疑似木馬通信產生的流量。

再就是綜合評估區(qū)域邊界安全，在可控范圍和區(qū)域內控制風險，從而將安全風險降低，避免擴散，包括接入外部網絡授權、無線網絡傳輸移動終端接入安全風險。

準確識別UDP、ICMP、TCP等多種方式異常數據包，使用多種規(guī)則對網絡數據包進行監(jiān)測，快速發(fā)現異常網絡報文，對特定通信流量解密，內置特定解密算法，利用計算機的超強計算能力，自動還原解密。

從技術角度、物理環(huán)境和安全管理部分展開分析，結合等級保護安全技術要求與安全管理要求，在響應國家關于等級保護要求的基礎上，維護信息安全，保障和促進信息化建設的健康發(fā)展，優(yōu)化網絡設計改造網絡安全域，針對單點故障采取冗余設計確保系統(tǒng)可用性，加強網絡邊界完整性檢查，加強數據保密性。

數據網絡具備統(tǒng)一的安保策略，能夠抵御較大規(guī)模、較強的惡意程序攻擊，同時還要能夠防止計算機病毒和惡意代碼的侵害；具備快速檢測、快速發(fā)現、快速報警及記錄入侵行為的能力；具備快速響應安全事件給出應急預案，同時能夠追蹤安全責任的能力；針對服務保障性更高的網絡系統(tǒng)，能夠快速回復其運行狀態(tài)；能夠集中管控用戶、網絡資源、安全機制并有效融合。

具備發(fā)現惡意掃描端口、挖礦木馬、勒索木馬、僵尸木馬、惡意軟件、系統(tǒng)漏洞等多種網絡攻擊及惡意行為的功能，發(fā)現疑似CobaltStrike團隊服務器等功能。通過上機驗證，快速定位網絡攻擊木馬，采取相應網絡安全措施；同時建立的漏洞庫、病毒庫、威脅信息庫等網絡安全基礎資源庫；加強安全應急響應保障，制定安全應急預案，確保網絡對于重大網絡安全事件可及時發(fā)現、迅速定位并組織網絡防范等措施，最終實現網絡設備、安全組件的集中管控。

作者單位：山東雙利電子工程有限公司