一種改進(jìn)的網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

◆倪浩杰

（江蘇省國際信托有限責(zé)任公司 江蘇 210000）

1 引言

全球環(huán)境復(fù)雜多變，網(wǎng)絡(luò)攻擊事件層出不窮。政企單位花費(fèi)大量人財(cái)物力，保護(hù)信息資產(chǎn)的保密性、完整性和可用性。現(xiàn)今的網(wǎng)絡(luò)攻擊防御系統(tǒng)，通過收集網(wǎng)絡(luò)流量、發(fā)現(xiàn)威脅、發(fā)送告警通知安全員，人工處置安全事件。如圖1。這種方式存在人力成本高、告警準(zhǔn)確率低、響應(yīng)處置慢等問題。為此，解決上述問題就變得十分必要。

圖1 現(xiàn)階段網(wǎng)絡(luò)安全防御系統(tǒng)工作流程

2 網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)的現(xiàn)實(shí)需求

● 能夠保護(hù)重要資產(chǎn)，阻斷網(wǎng)絡(luò)攻擊。

● 能夠7*24 小時(shí)自動(dòng)化防御，減少人力資源投入。

● 能夠快速準(zhǔn)確發(fā)現(xiàn)被保護(hù)資產(chǎn)的威脅和脆弱性。

● 能夠提高網(wǎng)絡(luò)攻擊告警的準(zhǔn)確率。

● 能夠快速響應(yīng)、有效處置安全事件。

3 網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)的設(shè)計(jì)

為解決上述問題，本文設(shè)計(jì)一種改進(jìn)的網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)，它在原防御系統(tǒng)的基礎(chǔ)上，增加確認(rèn)威脅模塊和決策處置子系統(tǒng)。確認(rèn)威脅模塊校驗(yàn)初步威脅概率，能有效降低威脅信息的誤報(bào)率。決策處置子系統(tǒng)，由決策中心模塊按照預(yù)設(shè)策略，推動(dòng)自動(dòng)處置模塊，“指揮”防火墻、WAF 等安全設(shè)備聯(lián)動(dòng)處置，自動(dòng)阻斷攻擊。

圖2 改進(jìn)的網(wǎng)絡(luò)安全防御系統(tǒng)工作流程

4 網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)的實(shí)現(xiàn)

4.1 網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)的構(gòu)架

網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)以承載平臺(tái)為基礎(chǔ)，連接收集分析平臺(tái)、決策處置平臺(tái)、配置中心模塊、日志審計(jì)模塊、監(jiān)測(cè)大屏模塊、威脅情報(bào)模塊和告警通信模塊，實(shí)現(xiàn)資產(chǎn)的有效防護(hù)。如圖3。

圖3 網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)框圖

4.2 收集分析平臺(tái)

收集分析平臺(tái)由一系列探針組成，將網(wǎng)絡(luò)流量、行為特征等數(shù)據(jù)收集分析，初步發(fā)現(xiàn)威脅，經(jīng)承載平臺(tái)推送威脅情報(bào)模塊校驗(yàn)。

4.3 決策處置平臺(tái)

決策處置平臺(tái)接受校驗(yàn)后的威脅信息，按照預(yù)設(shè)的策略，決策響應(yīng)，聯(lián)動(dòng)防火墻、IPS、WAF 等安全設(shè)備，阻斷攻擊。

4.4 承載平臺(tái)

承載平臺(tái)是自動(dòng)防御系統(tǒng)的核心，連接收集分析平臺(tái)、決策處置平臺(tái)、配置中心模塊、展示子系統(tǒng)、威脅情報(bào)模塊和告警通信模塊。

4.5 威脅情報(bào)模塊

威脅情報(bào)模塊用于校驗(yàn)初步威脅信息，確認(rèn)威脅信息概率值。經(jīng)校驗(yàn)大概屬于威脅攻擊行為，則進(jìn)一步查詢威脅的風(fēng)險(xiǎn)值和標(biāo)簽等信息。威脅情報(bào)模塊有效降低告警誤報(bào)率。

4.6 告警通知模塊

告警通信模塊將威脅信息發(fā)送給安全員，包括惡意IP、URL、風(fēng)險(xiǎn)等級(jí)、風(fēng)險(xiǎn)標(biāo)簽。如圖4。

圖4 告警通知示例

4.7 配置中心模塊

配置中心模塊用于配置網(wǎng)絡(luò)接口、安全策略、觸發(fā)閾值、處置方式、情報(bào)庫設(shè)置和告警通信等參數(shù)。

4.8 展示子系統(tǒng)

展示子系統(tǒng)包括日志審計(jì)模塊和監(jiān)測(cè)大屏模塊。日志審計(jì)模塊用于查看操作、攔截、登錄等日志信息。監(jiān)測(cè)大屏模塊外接大面積顯示屏，方便實(shí)時(shí)監(jiān)測(cè)和展示。

5 結(jié)論

本文提出的改進(jìn)后的網(wǎng)絡(luò)攻擊自動(dòng)防御系統(tǒng)，能夠準(zhǔn)確識(shí)別威脅，發(fā)送告警，快速響應(yīng)，自動(dòng)處置，阻斷攻擊，保護(hù)資產(chǎn)，減輕了安全員的工作壓力，最大程度降低了數(shù)據(jù)泄漏風(fēng)險(xiǎn)。在護(hù)網(wǎng)行動(dòng)、百年建黨等重要時(shí)刻，該系統(tǒng)在作者單位經(jīng)發(fā)揮巨大作用。