黃少卿

摘 ? 要：隨著5G時(shí)代的來臨，大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)辦公、云計(jì)算等技術(shù)越發(fā)成熟，網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界的融合滲透不斷深化。同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)亦日趨嚴(yán)峻，DDos攻擊、漏洞攻擊、勒索軟件等威脅持續(xù)對(duì)網(wǎng)絡(luò)安全造成重大隱患。傳統(tǒng)安全手段正在逐步失效，亟需構(gòu)建網(wǎng)絡(luò)主動(dòng)安全防御體系以應(yīng)對(duì)復(fù)雜、隱蔽和定向攻擊。

關(guān)鍵詞：5G;傳統(tǒng)安全;威脅滲透;主動(dòng)防御體系

中圖分類號(hào)： TP311 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With 5Gs development， technology of big data， IoT， BYOD， cloud computing etc. are getting more and more matured. The gap between network space and real word is getting smaller. At the same time， network security becomes more serious. DDos attack， vulnerability attack and ransomware are causing huge potential security problems to the network. However， the traditional security method is losing positive effect， a kind of network active security defense architecture is necessary to anti the complicated， hiding and target attack.

Key words： 5G; traditional security; threat infiltration; active defense architecture

1 引言

以5G為代表等一系列互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，使得互聯(lián)網(wǎng)承載的價(jià)值越來越大、網(wǎng)絡(luò)的規(guī)模成倍增長、復(fù)雜度越來越高。同時(shí)，黑客有了更強(qiáng)的動(dòng)機(jī)和手段來竊取企業(yè)的機(jī)密信息和資源，甚至是對(duì)企業(yè)資產(chǎn)造成破壞。在金融通信等行業(yè)中，黑客常被雇傭?qū)Ω偁帉?duì)手進(jìn)行惡意攻擊，如發(fā)動(dòng)一次中等規(guī)模的DDoS攻擊數(shù)只需花費(fèi)數(shù)千美元。大多數(shù)企業(yè)對(duì)網(wǎng)絡(luò)安全問題都沒有足夠的重視和清晰的認(rèn)識(shí)，這也是為什么近年來黑客頻頻得手、造成了重大損失的重要原因。

Verizon對(duì)安全事件進(jìn)行了調(diào)查[1]，得出的結(jié)論是：不計(jì)算前期偵察與信息獲取的過程，攻擊者從實(shí)施攻擊到入侵得手僅需花費(fèi)數(shù)小時(shí)的時(shí)間，相比之下，62%以上的企業(yè)需要花上數(shù)周，甚至超過1個(gè)月的時(shí)間才能發(fā)現(xiàn)黑客攻擊，隨后還需要數(shù)天至數(shù)周的時(shí)間完成響應(yīng)和補(bǔ)救工作。在另外一項(xiàng)統(tǒng)計(jì)調(diào)查中，Ponemon Institute從全球252家機(jī)構(gòu)的1，928起攻擊事件中發(fā)現(xiàn)，攻擊事件的平均解決時(shí)間為46天，而每延遲發(fā)現(xiàn)和解決攻擊事件1天，企業(yè)就會(huì)損失21，155美元。

2 傳統(tǒng)安全防護(hù)面臨的問題

傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段通常是基于黑白名單、簽名和規(guī)則特征[2]的安全威脅發(fā)現(xiàn)手段，通過防火墻、WAF、IPS、交換機(jī)、VPN等一系列網(wǎng)絡(luò)邊界防護(hù)設(shè)備聯(lián)合實(shí)現(xiàn)。在網(wǎng)絡(luò)環(huán)境單一，攻擊手段貧乏的互聯(lián)網(wǎng)發(fā)展初期是具備較為堅(jiān)實(shí)的防護(hù)能力。

但是，傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)方案，容易導(dǎo)致割裂的安全防御，無法協(xié)同作戰(zhàn)并提供有效的整體安全防護(hù)，甚至導(dǎo)致安全運(yùn)維復(fù)雜化?；诟盍训陌踩烙a(chǎn)生的安全現(xiàn)狀數(shù)據(jù)也將成為安全孤島，難以協(xié)同共享，導(dǎo)致碎片化的安全認(rèn)知，只能看見碎片化的局部安全，無法形成統(tǒng)一的整體可視。

同時(shí)，不斷發(fā)展的互聯(lián)網(wǎng)安全威脅和5G、物聯(lián)網(wǎng)、云計(jì)算等技術(shù)變革帶來的風(fēng)險(xiǎn)，尤其是以互聯(lián)網(wǎng)側(cè)高級(jí)持續(xù)性惡意攻擊[3]（APT攻擊）、零日漏洞[4]為代表的新威脅，讓現(xiàn)有的網(wǎng)絡(luò)安全防御體系無法滿足企業(yè)對(duì)于網(wǎng)絡(luò)安全的切實(shí)需求。

由此可見，在網(wǎng)絡(luò)復(fù)雜性極大、網(wǎng)絡(luò)薄弱環(huán)節(jié)極多的今天，單純利用傳統(tǒng)安全防護(hù)設(shè)備和邊界阻斷措施進(jìn)行網(wǎng)絡(luò)安全防護(hù)存在諸多問題，攻防兩端嚴(yán)重不對(duì)等。

3 構(gòu)建網(wǎng)絡(luò)安全主動(dòng)防御體系

針對(duì)互聯(lián)網(wǎng)出口的開放性，以及現(xiàn)有APT、零日等攻擊手段的復(fù)雜性，網(wǎng)絡(luò)安全防護(hù)手段須具備全局監(jiān)測、立體分析的能力。構(gòu)建智慧中樞，協(xié)同控制網(wǎng)絡(luò)域各個(gè)安全組件，形成一套完整的網(wǎng)絡(luò)安全主動(dòng)防御體系。

網(wǎng)絡(luò)安全主動(dòng)防御體系，以安全可視和協(xié)同防御為核心，構(gòu)建智能化、精準(zhǔn)化、具備協(xié)同聯(lián)動(dòng)防御能力及專家應(yīng)急的大數(shù)據(jù)安全分析平臺(tái)和統(tǒng)一運(yùn)營中心，讓網(wǎng)絡(luò)安全可感知、可預(yù)判、可阻斷、可追溯。

如圖2所示，網(wǎng)絡(luò)安全主動(dòng)防御體系以全流量分析為基礎(chǔ)，基于探針等安全組件采集全網(wǎng)的關(guān)鍵數(shù)據(jù)，以主動(dòng)防御智慧中樞為安全核心，結(jié)合威脅情報(bào)、行為分析、UEBA[4]、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)對(duì)互聯(lián)網(wǎng)出口流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視和威脅感知，從而主動(dòng)發(fā)現(xiàn)各種潛伏威脅。同時(shí)，結(jié)合安服專家、人工智能等手段的介入和應(yīng)急響應(yīng)，提高事件響應(yīng)的速度和高級(jí)威脅發(fā)現(xiàn)能力。

3.1 全局安全可視

通過全流量分析、多維度的有效數(shù)據(jù)采集和智能分析能力，實(shí)時(shí)監(jiān)控全網(wǎng)的安全態(tài)勢(shì)、內(nèi)部橫向威脅態(tài)勢(shì)、業(yè)務(wù)外連風(fēng)險(xiǎn)和服務(wù)器風(fēng)險(xiǎn)漏洞等，讓網(wǎng)絡(luò)安全管理員可以清楚的感知全網(wǎng)是否安全、哪里不安全、具體薄弱點(diǎn)、攻擊入口點(diǎn)等，圍繞攻擊鏈（Kill-chain）[5]來形成一套基于“事前檢查、事中分析、事后檢測”的安全能力，看清全網(wǎng)威脅，從而輔助決策。

3.2 大數(shù)據(jù)分析、檢索能力

主動(dòng)防御智慧中樞基于實(shí)時(shí)大數(shù)據(jù)框架，結(jié)合彈性搜索引擎進(jìn)行，對(duì)網(wǎng)絡(luò)產(chǎn)生的TB級(jí)別海量數(shù)據(jù)進(jìn)行存儲(chǔ)、關(guān)聯(lián)分析，并通過集群、分布式計(jì)算實(shí)現(xiàn)萬億級(jí)數(shù)據(jù)的超大規(guī)模數(shù)據(jù)管理和秒級(jí)查詢能力。

3.3 實(shí)時(shí)監(jiān)測，精準(zhǔn)預(yù)警

通過對(duì)全網(wǎng)流量、主機(jī)日志和第三方日志的采集分析，實(shí)現(xiàn)對(duì)已知威脅（僵木蠕毒、異常流量、業(yè)務(wù)漏洞等）和未知威脅（網(wǎng)絡(luò)僵尸、APT、零日漏洞等）的全天候?qū)崟r(shí)監(jiān)測，同時(shí)結(jié)合智能分析和可人工干預(yù)的便捷運(yùn)營支撐，對(duì)已發(fā)現(xiàn)的威脅進(jìn)行精準(zhǔn)化預(yù)警，簡化運(yùn)維，有效通報(bào)預(yù)警。

3.4 高效協(xié)同響應(yīng)，阻斷風(fēng)險(xiǎn)擴(kuò)散，輔助閉環(huán)

主動(dòng)防御智慧中樞將網(wǎng)絡(luò)中傳統(tǒng)安全設(shè)備作為基礎(chǔ)組件，不僅作為安全數(shù)據(jù)采集源，當(dāng)發(fā)生重要安全事件或風(fēng)險(xiǎn)在內(nèi)部傳播時(shí)，亦可通過聯(lián)動(dòng)進(jìn)行阻斷、控制，避免影響擴(kuò)大。聯(lián)動(dòng)方式涉及到網(wǎng)絡(luò)阻斷、上網(wǎng)管理、終端安全查殺，可有效提升網(wǎng)絡(luò)主動(dòng)安全能力。

3.5 威脅舉證與影響面評(píng)估

網(wǎng)絡(luò)安全主動(dòng)防御體系將IP以資產(chǎn)類型進(jìn)行劃分，區(qū)分業(yè)務(wù)安全、終端安全維度來展示不同類型的受損情況，結(jié)合網(wǎng)絡(luò)中業(yè)務(wù)資產(chǎn)的側(cè)重點(diǎn)和詳細(xì)的攻擊內(nèi)容舉證、多維度潛伏威脅，評(píng)估威脅影響面及受損情況。

3.6 追蹤溯源支撐

基于全流量和第三方日志（中間件、操作系統(tǒng)、安全設(shè)備等）的有效數(shù)據(jù)，實(shí)時(shí)提取相關(guān)威脅分析和追蹤溯源的關(guān)鍵元數(shù)據(jù)，并進(jìn)行元數(shù)據(jù)持續(xù)存儲(chǔ)。同時(shí)，將數(shù)據(jù)形成以流量可視、潛伏威脅探測、威脅攻擊鏈可視、統(tǒng)一檢索及大數(shù)據(jù)能力等技術(shù)為主的追蹤溯源體系，為網(wǎng)絡(luò)主動(dòng)安全提供溯源能力。

4 網(wǎng)絡(luò)安全主動(dòng)防御體系建設(shè)

網(wǎng)絡(luò)安全主動(dòng)防御體系采用分層的數(shù)據(jù)處理結(jié)構(gòu)建設(shè)，從數(shù)據(jù)采集到最終的數(shù)據(jù)分析呈現(xiàn)形成完整的處理邏輯過程。

4.1 數(shù)據(jù)采集層

采集包括終端數(shù)據(jù)、流量采集、中間件數(shù)據(jù)、第三方設(shè)備日志、威脅情報(bào)對(duì)接。該層提供多種接口進(jìn)行流量、日志數(shù)據(jù)的采集和對(duì)接，支持Syslog、Web Service、Restful API、WMI等方式采集。

4.2 數(shù)據(jù)預(yù)處理層

對(duì)采集的數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)歸并、數(shù)據(jù)富化，最終數(shù)據(jù)轉(zhuǎn)換為智慧中樞可解析的格式化數(shù)據(jù)，以文件的形式進(jìn)行存儲(chǔ)，以備后續(xù)追溯使用。

4.3 大數(shù)據(jù)分析層

讀取經(jīng)過預(yù)處理后的數(shù)據(jù)進(jìn)行離線計(jì)算，或讀取ES數(shù)據(jù)進(jìn)行實(shí)時(shí)機(jī)算。在此進(jìn)行全網(wǎng)安全數(shù)據(jù)的檢測、分析和統(tǒng)計(jì)，并結(jié)合威脅情報(bào)、行為分析、人工智能[6]等技術(shù)，主動(dòng)發(fā)現(xiàn)安全威脅現(xiàn)狀，并配合內(nèi)置的安全關(guān)聯(lián)規(guī)則將數(shù)據(jù)進(jìn)行歸告警。

4.4 數(shù)據(jù)存儲(chǔ)層

分析數(shù)據(jù)和結(jié)果存儲(chǔ)在ES引擎中，可提供快速的檢索能力。同時(shí)，對(duì)將近期需要快速呈現(xiàn)的統(tǒng)計(jì)結(jié)果數(shù)據(jù)存放到快速存儲(chǔ)，以支持快速查詢，相比ES引擎無需渲染和額外內(nèi)存消耗。

4.5 數(shù)據(jù)服務(wù)層

基于可視化的方式對(duì)體系中的數(shù)據(jù)進(jìn)行呈現(xiàn)，從數(shù)據(jù)存儲(chǔ)層獲取數(shù)據(jù)的接口，讀取展示數(shù)據(jù)，提供各種數(shù)據(jù)的安全可視服務(wù)及對(duì)外接口服務(wù)。

5 結(jié)束語

網(wǎng)絡(luò)安全主動(dòng)防御體系是由多種能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全主動(dòng)防御功能的技術(shù)所組成的一個(gè)技術(shù)體系，以應(yīng)對(duì)云大物移智時(shí)代所面臨的安全形勢(shì)，從預(yù)測、防御、檢測、響應(yīng)等多個(gè)維度進(jìn)行安全形勢(shì)研判。然而，網(wǎng)絡(luò)安全運(yùn)營是一個(gè)持續(xù)處理的、循環(huán)的過程，需要不斷的通過細(xì)粒度、多角度、持續(xù)化的對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，以適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。

參考文獻(xiàn)

[1] Verizon.2019 Data Breach Investigations Report[R].USA：Verizon，2019.

[2] 田春平，張晉源，武靖瑩.云計(jì)算網(wǎng)絡(luò)信息安全防護(hù)思路探究[J].通信技術(shù)，2019.8：939-945.

[3] 程三軍，王宇.APT攻擊原理及防護(hù)技術(shù)分析[J].信息網(wǎng)絡(luò)安全，2016.9： 118-123.

[4] 張罡.網(wǎng)絡(luò)異常檢測研究與應(yīng)用[D].北京：北京郵電大學(xué)，2019.5.

[5] 劉文彥，霍樹民，陳揚(yáng)，仝青.網(wǎng)絡(luò)攻擊鏈模型分析及研究[J].通信學(xué)報(bào)， 2018，11： 2018271-1—2018271-7.

[6] 李艷華.大數(shù)據(jù)安全技術(shù)研究[J].網(wǎng)絡(luò)空間安全， 2020，2： 15-23.