周一波+王璟+朱朝勇+胡茂松

摘 要：網(wǎng)絡(luò)空間安全目前成為國(guó)家安全的重要組成部分。論文通過(guò)對(duì)信息安全主動(dòng)防御預(yù)警平臺(tái)的需求分析，提出主動(dòng)防御預(yù)警平臺(tái)在現(xiàn)有的通用的被動(dòng)防御預(yù)警平臺(tái)基礎(chǔ)上可以進(jìn)行的優(yōu)化設(shè)計(jì)，從防DDoS攻擊、攻擊行為動(dòng)態(tài)感知、分析和溯源，威脅情報(bào)收集和綜合利用等方面提升信息安全防御手段，平衡信息安全人員和攻擊者的信息不對(duì)稱現(xiàn)狀。

關(guān)鍵詞：主動(dòng)防御；威脅情報(bào)；大數(shù)據(jù)分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

網(wǎng)絡(luò)空間安全形勢(shì)日益嚴(yán)峻。網(wǎng)絡(luò)空間安全問(wèn)題已經(jīng)從黑客單獨(dú)攻擊逐漸上升為分工明細(xì)的黑客產(chǎn)業(yè)鏈，上升為國(guó)家行為的APT攻擊模式。遭受網(wǎng)絡(luò)攻擊的受害者層出不窮。烏克蘭電網(wǎng)斷電、伊朗核設(shè)施受損、勒索病毒肆虐、12306用戶密碼撞庫(kù)、酒店住宿用戶信息大量泄露等，都是網(wǎng)絡(luò)空間安全問(wèn)題的實(shí)例。網(wǎng)絡(luò)空間安全關(guān)系到國(guó)計(jì)民生，關(guān)系到每一個(gè)公民生活的方方面面。

2 國(guó)家出臺(tái)相關(guān)法律

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已由中華人民共和國(guó)第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議于2016年11月7日通過(guò)，自2017年6月1日起施行。《網(wǎng)絡(luò)安全法》體現(xiàn)了中國(guó)政府對(duì)網(wǎng)絡(luò)空間安全問(wèn)題的關(guān)注，法律對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任和義務(wù)做出了比較明確的定義，對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的方方面面進(jìn)行了闡述，對(duì)用戶信息的保護(hù)提出了詳實(shí)的要求。相信隨著網(wǎng)絡(luò)安全法的實(shí)施和后期相關(guān)細(xì)則的不斷出臺(tái)，網(wǎng)絡(luò)空間安全將成為國(guó)家安全的重要組成部分，探討信息安全主動(dòng)防御預(yù)警平臺(tái)規(guī)劃設(shè)計(jì)也是實(shí)現(xiàn)網(wǎng)絡(luò)空間安全的重要途徑。

3 主動(dòng)防御預(yù)警平臺(tái)需求分析

3.1 防DDOS攻擊流量清洗

根據(jù)百度百科定義，分布式拒絕服務(wù)攻擊DDoS指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。針對(duì)DDoS攻擊有效的防御方式是流量清洗技術(shù)，通過(guò)對(duì)攻擊流量和正常訪問(wèn)流量的區(qū)分，阻斷攻擊流量，放行正常訪問(wèn)流量，保障信息系統(tǒng)對(duì)外的正常服務(wù)。防DDOS攻擊流量清洗應(yīng)該是主動(dòng)防御預(yù)警平臺(tái)的重要組成部分。

3.2 攻擊行為動(dòng)態(tài)感知和展現(xiàn)

目前黑客對(duì)信息系統(tǒng)的攻擊形式多種多樣，例如Web滲透攻擊、操作系統(tǒng)漏洞利用、中間件漏洞利用、數(shù)據(jù)庫(kù)漏洞利用、第三方軟件漏洞利用等。信息安全人員目前主要的防護(hù)手段還是借助IPS、WAF等設(shè)備匹配檢測(cè)攻擊行為，經(jīng)過(guò)簡(jiǎn)單分析后在防火墻人工設(shè)置策略阻斷攻擊IP地址。這種被動(dòng)式的防御手段時(shí)效性、全面性都較差，攻擊行為的動(dòng)態(tài)實(shí)時(shí)感知以及全方面的展現(xiàn)是主動(dòng)防御預(yù)警平臺(tái)的核心功能。

3.3 攻擊行為分析和溯源

目前，信息安全人員對(duì)攻擊行為進(jìn)行阻斷后，從被動(dòng)防御的安全防護(hù)設(shè)備（IPS、WAF）對(duì)攻擊行為信息的了解僅停留在攻擊者IP地址，攻擊者攻擊的方法。信息安全人員所掌握的信息不足以全面分析黑客入侵的線路、獲取的數(shù)據(jù)以及黑客真實(shí)的身份。信息安全人員從Web管理平臺(tái)、中間件、數(shù)據(jù)庫(kù)等提取的日志也是海量的，無(wú)法及時(shí)準(zhǔn)確的確認(rèn)攻擊者所獲得的戰(zhàn)果。攻擊行為的綜合分析和溯源是主動(dòng)防御預(yù)警平臺(tái)又一個(gè)核心功能。

3.4 威脅情報(bào)收集和綜合利用

攻擊行為動(dòng)態(tài)感知和溯源是需要數(shù)據(jù)支撐的。威脅情報(bào)的收集和綜合利用提供了部分?jǐn)?shù)據(jù)。根據(jù)通常的定義，威脅情報(bào)是指針對(duì)安全威脅、威脅者、惡意軟件、漏洞和危害指標(biāo)所收集的用于評(píng)估和應(yīng)用的數(shù)據(jù)集。簡(jiǎn)單地說(shuō)，威脅情報(bào)是能幫助信息安全人員識(shí)別安全威脅并做出明智決定的知識(shí)。目前國(guó)內(nèi)提供威脅情報(bào)的安全數(shù)據(jù)公司很多，企業(yè)可以選擇與安全數(shù)據(jù)公司合作，引入其威脅情報(bào)信息，服務(wù)主動(dòng)防御預(yù)警平臺(tái)對(duì)攻擊行為的動(dòng)態(tài)感知和溯源。

3.5 網(wǎng)絡(luò)日志收集和綜合分析

網(wǎng)絡(luò)日志的收集和綜合分析是攻擊行為動(dòng)態(tài)感知和分析的基礎(chǔ)。這里所提網(wǎng)絡(luò)日志是指網(wǎng)絡(luò)設(shè)備、安全設(shè)備、Web管理平臺(tái)、中間件、數(shù)據(jù)庫(kù)等多維的日志。攻擊者隨著其攻擊滲透的深入會(huì)在不同階段留下相關(guān)痕跡，主動(dòng)防御預(yù)警平臺(tái)的日志收集和綜合分析功能負(fù)責(zé)智能提取和分析這些痕跡，從而從時(shí)間和攻擊路徑兩個(gè)維度刻畫(huà)出攻擊者滲透的身影。

3.6 用戶行為畫(huà)像

用戶行為的畫(huà)像是幫助信息安全人員辨識(shí)正常用戶行為和黑客攻擊行為的有效利器。信息安全人員通過(guò)對(duì)信息系統(tǒng)運(yùn)維人員、應(yīng)用人員、研發(fā)人員等正常訪問(wèn)行為進(jìn)行收集，可以在主動(dòng)防御預(yù)警平臺(tái)中固化相關(guān)人員的正常操作，設(shè)定相關(guān)閾值。當(dāng)相關(guān)閾值被突破時(shí)，信息安全人員有足夠的留有懷疑信息系統(tǒng)遭到了攻擊。endprint