◆趙姍

網(wǎng)絡(luò)安全主動防御體系淺析

◆趙姍

（中共西安市委黨校 陜西 710056）

隨著5G網(wǎng)絡(luò)硬件和軟件的快速發(fā)展，大數(shù)據(jù)、云計算、移動邊緣計算、AR/VR技術(shù)的廣泛使用，網(wǎng)絡(luò)虛擬空間和現(xiàn)實生活深度融合。網(wǎng)絡(luò)中大量的個人隱私信息亟待得到保護(hù)，網(wǎng)絡(luò)新架構(gòu)和新技術(shù)的使用對網(wǎng)絡(luò)安全提出新的挑戰(zhàn)。常見的DDoS攻擊、網(wǎng)絡(luò)釣魚和軟件漏洞攻擊，以及新的0day漏洞和APT攻擊都成為網(wǎng)絡(luò)環(huán)境新的隱患。傳統(tǒng)的安全防御措施在面對新的網(wǎng)絡(luò)構(gòu)架和新的攻擊類型時顯得力不從心，構(gòu)建主動安全防御體系應(yīng)對復(fù)雜網(wǎng)絡(luò)安全問題十分必要。

5G；傳統(tǒng)網(wǎng)絡(luò)安全；主動防御體系

1 引言

5G通信技術(shù)的發(fā)展，讓網(wǎng)絡(luò)價值越來越大，成為社會生活不可或缺的組成部分。隨著網(wǎng)絡(luò)價值的增大，對網(wǎng)絡(luò)上海量數(shù)據(jù)信息安全的要求更加迫切。網(wǎng)絡(luò)中常見的以惡意打擊競爭對手為目的的網(wǎng)絡(luò)攻擊行為有網(wǎng)站內(nèi)容篡改、數(shù)據(jù)泄露、網(wǎng)絡(luò)勒索和拒絕服務(wù)等。例如，一次中等規(guī)模的DDoS攻擊的花費只有幾千美金，70%攻擊的時長不超過24小時[1]，相比之下，60%的企業(yè)需要數(shù)周甚至更長的時間來發(fā)現(xiàn)攻擊，繼而展開保護(hù)響應(yīng)和對攻擊造成破壞的補救工作。低廉的網(wǎng)絡(luò)攻擊成本和顯著的攻擊效果讓網(wǎng)絡(luò)安全事故頻發(fā)。

2 傳統(tǒng)網(wǎng)絡(luò)安全防御存在的問題

防火墻是傳統(tǒng)安全防御的主要設(shè)備，傳統(tǒng)安全防御體系主要依靠防火墻的端口掃描、黑白名單、簽名和規(guī)則等形式在網(wǎng)絡(luò)邊界、信任內(nèi)網(wǎng)區(qū)域和智能設(shè)備中實現(xiàn)分層防御。在5G新網(wǎng)絡(luò)環(huán)境下，傳統(tǒng)安全防御存在以下問題。

2.1 傳統(tǒng)的網(wǎng)絡(luò)安全防御，面對網(wǎng)絡(luò)攻擊手段相對單一

在5G環(huán)境下，網(wǎng)絡(luò)安全威脅不斷出現(xiàn)新形式，傳統(tǒng)安全防御的協(xié)同性不夠，被攻擊的主機極易成為安全“孤島”，難以實現(xiàn)協(xié)同防御。

2.2 傳統(tǒng)的安全防御在技術(shù)方面的缺陷

5G環(huán)境下新技術(shù)的使用給互聯(lián)網(wǎng)帶來新的安全威脅。傳統(tǒng)的安全防御缺乏對郵件、文件以及下載數(shù)據(jù)通道內(nèi)容的分析，攻擊代碼往往通過文檔內(nèi)容嵌入的方式躲避傳統(tǒng)檢測，或通過對惡意代碼加密的方式掩蓋或改變其特征，繞過基于簽名和已知特性進(jìn)行檢測的安全防御系統(tǒng)。

2.3 網(wǎng)絡(luò)高級持續(xù)性惡意攻擊（APT攻擊）威脅

5G、物聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)變革帶來的技術(shù)風(fēng)險，產(chǎn)生了以互聯(lián)網(wǎng)側(cè)的高級持續(xù)攻擊（APT）和0day漏洞攻擊等新攻擊類型。APT攻擊存在長時間的潛伏期，在反復(fù)攻擊目標(biāo)時適應(yīng)安全防御措施，讓傳統(tǒng)的防御體系難以偵測；0day攻擊通過掌握的系統(tǒng)漏洞在技術(shù)補丁之前進(jìn)行攻擊就可以輕松騙過傳統(tǒng)安全防御系統(tǒng)。

3 構(gòu)建網(wǎng)絡(luò)安全主動防御體系

隨著5G技術(shù)、大數(shù)據(jù)、云計算、AR/VR和智能控制等技術(shù)的發(fā)展應(yīng)用，網(wǎng)絡(luò)安全環(huán)境變得愈加復(fù)雜。面對網(wǎng)絡(luò)中不斷更新技術(shù)手段的網(wǎng)絡(luò)攻擊，如APT、0day攻擊等，網(wǎng)絡(luò)的開放共享性和保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全網(wǎng)絡(luò)環(huán)境建設(shè)目標(biāo)，都迫切需要網(wǎng)絡(luò)安全體系的全局監(jiān)控和立體防護(hù)。構(gòu)建通過網(wǎng)絡(luò)安全主動防御體系的智慧“大腦”統(tǒng)籌協(xié)調(diào)控制網(wǎng)絡(luò)域的安全組件，形成一套具有大數(shù)據(jù)預(yù)測分析、安全組件協(xié)同調(diào)配和系統(tǒng)安全問題應(yīng)對策略的完整網(wǎng)絡(luò)安全主動防御體系，讓網(wǎng)絡(luò)安全主動防御體系具有敏銳的感知力、精準(zhǔn)的預(yù)判力、對網(wǎng)絡(luò)攻擊的及時阻斷力和對攻擊處置后的可追溯力。

3.1 網(wǎng)絡(luò)安全主動防御體系特性

（1）全局?jǐn)?shù)據(jù)監(jiān)控：網(wǎng)絡(luò)安全主動防御體系以全流量分析為基礎(chǔ)，需要全時段、多維度的數(shù)據(jù)采集和數(shù)據(jù)異常監(jiān)控。通過全局網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控，讓網(wǎng)絡(luò)管理員清楚知道全網(wǎng)安全布防，清楚內(nèi)部安全威脅、外部攻擊入口和服務(wù)器的安全漏洞等。圍繞網(wǎng)絡(luò)攻擊鏈[2]形成一套有針對性的監(jiān)控、分析、反應(yīng)和處置能力全面安全防御系統(tǒng)。

（2）海量數(shù)據(jù)提取能力：網(wǎng)絡(luò)安全主動防御控制中樞是在TB級的海量數(shù)據(jù)下構(gòu)建的。全網(wǎng)數(shù)據(jù)安全監(jiān)控需要對海量數(shù)據(jù)進(jìn)行暫存、分析，并通過聚類或分布式計算實現(xiàn)超大規(guī)模數(shù)據(jù)的實施管理和快速提取。

（3）實時監(jiān)控，及時預(yù)警：通過對全網(wǎng)數(shù)據(jù)不間斷的監(jiān)控，分析主機日志和第三方日志，實現(xiàn)對不同網(wǎng)絡(luò)攻擊的重點時段監(jiān)控配置。通過攻擊方式、目標(biāo)和目的等因素的分析和專家系統(tǒng)支撐，建立網(wǎng)絡(luò)攻擊數(shù)據(jù)庫，提高發(fā)現(xiàn)網(wǎng)絡(luò)威脅率和及時預(yù)警能力。

（4）協(xié)同防控，高效響應(yīng)：網(wǎng)絡(luò)安全主動防御體系以網(wǎng)絡(luò)安全設(shè)備為基礎(chǔ)，在檢測到網(wǎng)絡(luò)安全威脅時，通過安全設(shè)備聯(lián)動布防，實現(xiàn)對網(wǎng)絡(luò)攻擊的及時阻斷，減小網(wǎng)絡(luò)攻擊的波及面。安全設(shè)備協(xié)同響應(yīng)要求被攻擊主機及時阻斷網(wǎng)絡(luò)連接，把數(shù)據(jù)異常上報智能控制中心同時啟動臨時應(yīng)急安全預(yù)案，在接收到控制中心指令后，優(yōu)先使用更有針對性的終端查殺方案。

（5）追蹤溯源，提供網(wǎng)絡(luò)安全布防實例：在每次網(wǎng)絡(luò)攻擊事后，針對不同受損情況，從第三方日志和全流量監(jiān)控中提取有效數(shù)據(jù)和關(guān)鍵數(shù)據(jù)元對抽取數(shù)據(jù)進(jìn)行流量可視、威脅探測、攻擊鏈追蹤和大數(shù)據(jù)提取分析等，形成主動追蹤溯源的安全主動防御體系。對每次攻擊的關(guān)鍵數(shù)據(jù)多維度評估影響和傷害度，并對關(guān)鍵元數(shù)據(jù)長期存儲。

3.2 網(wǎng)絡(luò)安全主動防御體系架構(gòu)

網(wǎng)絡(luò)安全主動防御體系就是要對網(wǎng)絡(luò)安全威脅積極主動監(jiān)控、防御，以安全態(tài)勢感知平臺流量數(shù)據(jù)監(jiān)測分析為主，實行完善的安全威脅應(yīng)對策略。形成以發(fā)現(xiàn)安全威脅早、反應(yīng)安全攻擊快、安全應(yīng)對策略準(zhǔn)的網(wǎng)絡(luò)安全主動防御體系。

（1）傳統(tǒng)安全設(shè)備為基礎(chǔ)

防火墻和殺毒軟件作為傳統(tǒng)的安全設(shè)備，在掃描通關(guān)數(shù)據(jù)包和對普通病毒進(jìn)行過濾方面具有很重要的作用。

（2）全流量監(jiān)控分析是關(guān)鍵

網(wǎng)絡(luò)安全主動防御體系把網(wǎng)絡(luò)數(shù)據(jù)全流量分層處理作為主動防御網(wǎng)絡(luò)安全威脅的關(guān)鍵。首先，對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)、終端、中間件和第三方日志數(shù)據(jù)采用多種方式（Web Service、Restful API、WMI等）進(jìn)行流量采集，并提供多種接口，支持與采集數(shù)據(jù)對接；然后，對采集的數(shù)據(jù)進(jìn)行分析前預(yù)處理。數(shù)據(jù)預(yù)處理包括對數(shù)據(jù)缺失值處理和離群值檢測，最終將采集數(shù)據(jù)轉(zhuǎn)換為安全防御體系“智慧”中控系統(tǒng)可解析的數(shù)據(jù)格式，并對格式數(shù)據(jù)文件進(jìn)行存儲；其后，進(jìn)入大數(shù)據(jù)分析的關(guān)鍵期，通過對預(yù)處理數(shù)據(jù)計算、分析和統(tǒng)計，并結(jié)合行為分析和人工智能[3]等技術(shù)，主動對配合安全關(guān)聯(lián)規(guī)則分析出的可能存在的安全隱患進(jìn)行風(fēng)險預(yù)警，對出現(xiàn)的安全威脅及時處理；最后，把分析后的結(jié)構(gòu)數(shù)據(jù)存儲在ES分布式搜索引擎中，實現(xiàn)對分析數(shù)據(jù)可視化呈現(xiàn)，并能在不必消耗額外內(nèi)存開銷的情況下快速查詢和數(shù)據(jù)抽取，方便對內(nèi)外的各類網(wǎng)絡(luò)安全服務(wù)。

（3）安全威脅應(yīng)對策略作保障

網(wǎng)絡(luò)安全主動防御體系的關(guān)鍵在于依靠全流量檢測和數(shù)據(jù)的智能分析實現(xiàn)安全防御的主動性、及時性和可追溯性。首先，部署安全態(tài)勢感知平臺：通過態(tài)勢要素的獲取，以全局性角度分析網(wǎng)絡(luò)安全發(fā)展趨勢和短期內(nèi)可能出現(xiàn)的安全問題，實現(xiàn)動態(tài)網(wǎng)絡(luò)安全預(yù)測；其次，主動實時全流量檢測：一旦發(fā)現(xiàn)異常數(shù)據(jù)流或攻擊性流量時，能夠主動響應(yīng)并實時阻隔入侵；再次，定期的安全服務(wù)：定期對網(wǎng)絡(luò)、網(wǎng)絡(luò)終端及網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，及時更新漏洞庫，確保識別最新的漏洞并及時修復(fù)。定期進(jìn)行滲透測試服務(wù)、安全測試服務(wù)和安全運維服務(wù)；最后，提高網(wǎng)絡(luò)安全從業(yè)人員的業(yè)務(wù)能力：加強網(wǎng)絡(luò)安全相關(guān)法律、法規(guī)、政策學(xué)習(xí)，規(guī)范網(wǎng)絡(luò)安全從業(yè)人員網(wǎng)絡(luò)操作行為，防止常見的內(nèi)部違規(guī)外聯(lián)事件發(fā)生。經(jīng)常性開展專業(yè)培訓(xùn)提高網(wǎng)絡(luò)安全從業(yè)人員的整體水平。

4 結(jié)束語

網(wǎng)絡(luò)安全主動防御體系是一個多層次的系統(tǒng)，包含了多種能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全主動防御功能的技術(shù)組件和積極主動的安全管理策略。從網(wǎng)絡(luò)安全設(shè)備的布防、全流量數(shù)據(jù)的采集分析，到預(yù)測、防御和響應(yīng)等多維度主動防御舉措。網(wǎng)絡(luò)安全主動防御體系不僅需要技術(shù)支持，更需要網(wǎng)絡(luò)參與者自身行為規(guī)范。通過多方努力，網(wǎng)絡(luò)安全主動防御體系經(jīng)過持續(xù)性的動態(tài)積累，不斷充實網(wǎng)絡(luò)威脅數(shù)據(jù)庫，適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境，實現(xiàn)整體防御、積極防護(hù)、主動免疫、縱深防御，并能不斷優(yōu)化自身的安全防御機制。

[1]Verizon.2019 Data Breach Investigations Report[R]. USA：Verizon，2019.

[2]田春平，張晉源，武靖瑩.云計算網(wǎng)絡(luò)信息安全防護(hù)思路探究[J].通信技術(shù)，2019（8）：939-945.

[3]李艷華.大數(shù)據(jù)安全技術(shù)研究[J].網(wǎng)絡(luò)空間安全，2020（2）：15-23.