武輝林，姜 靜，蔣 建，劉永剛

(1.河北省科學(xué)院應(yīng)用數(shù)學(xué)研究所,河北省信息安全認(rèn)證技術(shù)創(chuàng)新中心，河北 石家莊 050081；2.河北省人力資源和社會(huì)保障廳，河北 石家莊 050000；3.中國人民大學(xué)信息學(xué)院，北京 100872)

0 引言

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，其應(yīng)用已覆蓋到國家和社會(huì)生活的方方面面，整個(gè)社會(huì)網(wǎng)絡(luò)化、信息化程度越來越高，網(wǎng)絡(luò)和信息系統(tǒng)一旦遭受攻擊將造成巨大損失，因此，從國家到各行業(yè)都高度重視網(wǎng)絡(luò)安全的研究進(jìn)展并提供政策支持[1]。2017年6月正式頒布實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》，文中明確提出了國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，而三級等保要求必須部署多種網(wǎng)絡(luò)和安全設(shè)備，包括FW,IPS,IDS,安全審計(jì)等[2]。

現(xiàn)在網(wǎng)絡(luò)安全解決方案面臨著兩大問題：首先，大部分安全產(chǎn)品依然是單點(diǎn)的安全產(chǎn)品，缺乏相互之間的聯(lián)動(dòng)。一旦某安全點(diǎn)無法防御相關(guān)攻擊，或者高級攻擊需要各個(gè)安全點(diǎn)相關(guān)聯(lián)才能發(fā)現(xiàn)及阻止，安全系統(tǒng)因無法發(fā)現(xiàn)攻擊，使網(wǎng)絡(luò)處于危險(xiǎn)之中[3]。其次，整體風(fēng)險(xiǎn)監(jiān)控能力上的不足，如今的網(wǎng)絡(luò)的邊界日益模糊化，對于原本固定有限的網(wǎng)絡(luò)環(huán)境尚能有一定數(shù)量的部署，而一旦邊界模糊了，面臨的是難以估量的網(wǎng)絡(luò)范圍，需要大量的安全部署來把握各個(gè)節(jié)點(diǎn)上的問題[4]。

為此，本文提出了一種主被動(dòng)安全相結(jié)合的防御體系架構(gòu)，滿足復(fù)雜網(wǎng)絡(luò)系統(tǒng)的要求，適應(yīng)網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)變化，協(xié)同各廠商各設(shè)備的防護(hù)能力，時(shí)刻掌握網(wǎng)絡(luò)安全動(dòng)向，在多種攻擊場景下都能夠從容面對，迅速找出緩解危機(jī)和阻斷攻擊的有效方案[5]。

1 體系架構(gòu)

1.1 智能防御系統(tǒng)技術(shù)架構(gòu)

智能防御系統(tǒng)以云計(jì)算平臺、大數(shù)據(jù)分析平臺為支撐，互聯(lián)網(wǎng)/局域網(wǎng)為依托，聯(lián)動(dòng)支持?jǐn)?shù)據(jù)庫(sql/mysql/oracle)、服務(wù)器(windows/linux)、網(wǎng)絡(luò)設(shè)備(switch/router)、安全設(shè)備(fw/ips/ids)、云端節(jié)點(diǎn)(cloud)、動(dòng)力環(huán)境監(jiān)測/辦公自動(dòng)化(OA)、智能終端(pc/phone/pad)等，兼容各大一線廠商，如華為、思科、聯(lián)想、IBM等，實(shí)現(xiàn)設(shè)備關(guān)聯(lián)，綜合數(shù)據(jù)分析，充分發(fā)揮各種設(shè)備自身優(yōu)勢，實(shí)現(xiàn)主動(dòng)防御、被動(dòng)防御有機(jī)結(jié)合，實(shí)現(xiàn)全方位立體化防御體系。技術(shù)架構(gòu)主要分為6個(gè)層次，如圖1所示。

圖1 智能防御系統(tǒng)技術(shù)架構(gòu)

數(shù)據(jù)收集終端，負(fù)責(zé)采集多維度、多源頭的各類數(shù)據(jù)，如防火墻、入侵防御、入侵檢測、核心/匯聚交換，路由等，提取相關(guān)關(guān)聯(lián)信息并對其進(jìn)行標(biāo)準(zhǔn)化。

模式識別引擎，對數(shù)據(jù)進(jìn)行挖掘分析，歸類行為模式，包括事件分類、目標(biāo)分類、行為分類。

啟發(fā)式模型，通過機(jī)器智能學(xué)習(xí)，不斷完善自身算法，實(shí)現(xiàn)更精準(zhǔn)的威脅感知，模擬攻防輸入輸出，進(jìn)行博弈論證，動(dòng)態(tài)分發(fā)各設(shè)備節(jié)點(diǎn)閾值范圍，還可模擬真人試錯(cuò)，隨機(jī)混淆系統(tǒng)參數(shù)，對抗正弦波式攻擊。

綜合處理模型，根據(jù)以上分析后得出的決策，反饋控制指令于各設(shè)備節(jié)點(diǎn)，包含時(shí)序處理、模糊處理及并行處理。

管理終端，包含BS、CS兩種架構(gòu)，方便管理人員掌控全局。

1.2 智能防御系統(tǒng)整體設(shè)計(jì)

智能防御系統(tǒng)包含可視化、統(tǒng)一管理中心、數(shù)據(jù)采集、對外接口四個(gè)層次。如圖2所示。

圖2 智能防御系統(tǒng)整體設(shè)計(jì)

(1)可視化包含安全態(tài)勢和運(yùn)行態(tài)勢監(jiān)控。安全態(tài)勢展示整體安全狀態(tài)、等級保護(hù)水平等；運(yùn)行態(tài)勢針對全網(wǎng)網(wǎng)絡(luò)、安全設(shè)備及服務(wù)器等關(guān)鍵節(jié)點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控，清晰展現(xiàn)設(shè)備運(yùn)行狀態(tài)、主干線路流量、負(fù)載、網(wǎng)絡(luò)安全事件等；事件處理流程。多進(jìn)程執(zhí)行全網(wǎng)設(shè)備控制的完整流程展現(xiàn)。(2)統(tǒng)一管理中心包含報(bào)表管理、工單管理、資產(chǎn)管理等全方位資源管理。(3)數(shù)據(jù)采集包含各節(jié)點(diǎn)的信息采集，如網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件等。(4)對外接口包含第三方系統(tǒng)的對接與交互，如OA系統(tǒng)、運(yùn)維系統(tǒng)、動(dòng)力環(huán)境監(jiān)測系統(tǒng)等。

1.3 防御決策流程設(shè)計(jì)

智能防御系統(tǒng)決策流程分為事件接收、事件分析、快速響應(yīng)三個(gè)階段。如圖3所示。

4月22日，水利部抗震救災(zāi)前方領(lǐng)導(dǎo)小組冒著風(fēng)雪檢查禪古水電站修復(fù)工作，督促施工單位保質(zhì)保量按時(shí)完成禪古水電站大壩應(yīng)急除險(xiǎn)恢復(fù)重建工程。

圖3 防御決策流程設(shè)計(jì)

事件接收指通過對全網(wǎng)全節(jié)點(diǎn)設(shè)備，如防火墻、IPS、IDS、路由交換、服務(wù)器等執(zhí)行查詢指令，即時(shí)收集多路日志信息及運(yùn)行狀態(tài)信息；事件分析分為實(shí)時(shí)分析和歷史分析兩大模塊，實(shí)時(shí)分析用于快速匹配當(dāng)前網(wǎng)絡(luò)安全威脅與特征庫信息，歷史分析用于查漏補(bǔ)缺并完善行為模式庫為預(yù)測未知威脅打下基礎(chǔ)；快速響應(yīng)指通過對各指標(biāo)的量化方法，生成網(wǎng)絡(luò)節(jié)點(diǎn)對象間的所有攻擊關(guān)系，預(yù)測攻擊路徑，計(jì)算脆弱性狀態(tài)，評估安全指標(biāo)值，制定最終防御策略，多進(jìn)程快速執(zhí)行全網(wǎng)設(shè)備控制指令。

2 防御系統(tǒng)實(shí)現(xiàn)與應(yīng)用

2.1 系統(tǒng)實(shí)現(xiàn)

本系統(tǒng)共包含35個(gè)子模塊。其中，復(fù)用功能模塊14個(gè)，如數(shù)據(jù)庫群模塊、應(yīng)急閃斷模塊、防火墻保護(hù)核心CPU實(shí)時(shí)監(jiān)測模塊等；智能分析模塊4個(gè)，如待執(zhí)行終端地址篩選模塊、動(dòng)態(tài)多維地址組分類模塊等；高效執(zhí)行模塊11個(gè)，如流控執(zhí)行模塊、ARP反制模塊、智能IPS阻斷模塊、服務(wù)器清洗進(jìn)程/服務(wù)模塊等；框架檢測模塊6個(gè)，如關(guān)鍵鏈路實(shí)時(shí)監(jiān)測模塊、系統(tǒng)運(yùn)行狀態(tài)監(jiān)測模塊等。

部分軟件代碼如下：

pyx_t_1=_Pyx_GetItemInt(_pyx_v_row_level, 3, long,1,_Pyx_PyInt_From_long, 0, 0,1);if(unlikely(_pyx_t_1==NULL))

{

pyx_filename=_pyx_f[0];

pyx_lineno=1849;

pyx_clineno=_LINE_;

goto_pyx_L1_error;

};

…

…

…

PyObject* function = PyMethod_GET_FUNCTION(_pyx_t_5);

Pyx_INCREF(_pyx_t_4);

Pyx_INCREF(function);

Pyx_DECREF_SET(_pyx_t_5, function);

2.2 系統(tǒng)應(yīng)用

系統(tǒng)分為兩部分：(1)智能防御中樞。用于全局監(jiān)控，全網(wǎng)節(jié)點(diǎn)數(shù)據(jù)收集，智能分析，自動(dòng)化并行處理。包含邊界節(jié)點(diǎn)監(jiān)控、關(guān)鍵鏈路監(jiān)控、防火墻/IPS單位時(shí)間連接數(shù)監(jiān)控、IPS/IDS事件監(jiān)控等。如圖4所示。(2)綜合管理平臺。用于管理員綜合管控，可視化展示。包含信息總覽、系統(tǒng)狀態(tài)、事件分布、應(yīng)急處理等。如圖5所示。

圖4 智能防御中樞

圖5 綜合管理平臺

本系統(tǒng)現(xiàn)應(yīng)用于某科研機(jī)構(gòu)中心機(jī)房，管理全院設(shè)備節(jié)點(diǎn)包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、工位PC、無線設(shè)備、中間件、數(shù)據(jù)中心；聯(lián)動(dòng)多個(gè)服務(wù)系統(tǒng)，包括云平臺、動(dòng)力環(huán)境監(jiān)測、OA等。目前持續(xù)運(yùn)行5年多，成功解決1360多個(gè)安全隱患，保障核心業(yè)務(wù)網(wǎng)絡(luò)安全穩(wěn)定。

3 結(jié)束語

提出的智能防御架構(gòu)體系包含了主動(dòng)與被動(dòng)防御相結(jié)合的先進(jìn)理念，依托大數(shù)據(jù)分析平臺與云計(jì)算平臺，通過網(wǎng)絡(luò)安全模型構(gòu)建、網(wǎng)絡(luò)數(shù)據(jù)分析、網(wǎng)絡(luò)安全態(tài)勢評估、防御策略制定等實(shí)現(xiàn)了網(wǎng)絡(luò)安全智能防護(hù)?？蓪Ψ欠?、有害或涉及機(jī)密的信息進(jìn)行過濾和防堵，避免重要信息泄露，減少由于網(wǎng)絡(luò)安全事件造成的損失。