網(wǎng)絡(luò)主動安全防御體系構(gòu)建探究

黃少卿

摘 ? 要：隨著5G時代的來臨，大數(shù)據(jù)、物聯(lián)網(wǎng)、移動辦公、云計算等技術(shù)越發(fā)成熟，網(wǎng)絡(luò)空間與現(xiàn)實世界的融合滲透不斷深化。同時，網(wǎng)絡(luò)安全風(fēng)險亦日趨嚴(yán)峻，DDos攻擊、漏洞攻擊、勒索軟件等威脅持續(xù)對網(wǎng)絡(luò)安全造成重大隱患。傳統(tǒng)安全手段正在逐步失效，亟需構(gòu)建網(wǎng)絡(luò)主動安全防御體系以應(yīng)對復(fù)雜、隱蔽和定向攻擊。

關(guān)鍵詞：5G;傳統(tǒng)安全;威脅滲透;主動防御體系

中圖分類號： TP311 ? ? ? ? ?文獻標(biāo)識碼：A

Abstract： With 5Gs development， technology of big data， IoT， BYOD， cloud computing etc. are getting more and more matured. The gap between network space and real word is getting smaller. At the same time， network security becomes more serious. DDos attack， vulnerability attack and ransomware are causing huge potential security problems to the network. However， the traditional security method is losing positive effect， a kind of network active security defense architecture is necessary to anti the complicated， hiding and target attack.

Key words： 5G; traditional security; threat infiltration; active defense architecture

1 引言

以5G為代表等一系列互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，使得互聯(lián)網(wǎng)承載的價值越來越大、網(wǎng)絡(luò)的規(guī)模成倍增長、復(fù)雜度越來越高。同時，黑客有了更強的動機和手段來竊取企業(yè)的機密信息和資源，甚至是對企業(yè)資產(chǎn)造成破壞。在金融通信等行業(yè)中，黑客常被雇傭?qū)Ω偁帉κ诌M行惡意攻擊，如發(fā)動一次中等規(guī)模的DDoS攻擊數(shù)只需花費數(shù)千美元。大多數(shù)企業(yè)對網(wǎng)絡(luò)安全問題都沒有足夠的重視和清晰的認(rèn)識，這也是為什么近年來黑客頻頻得手、造成了重大損失的重要原因。

Verizon對安全事件進行了調(diào)查[1]，得出的結(jié)論是：不計算前期偵察與信息獲取的過程，攻擊者從實施攻擊到入侵得手僅需花費數(shù)小時的時間，相比之下，62%以上的企業(yè)需要花上數(shù)周，甚至超過1個月的時間才能發(fā)現(xiàn)黑客攻擊，隨后還需要數(shù)天至數(shù)周的時間完成響應(yīng)和補救工作。在另外一項統(tǒng)計調(diào)查中，Ponemon Institute從全球252家機構(gòu)的1，928起攻擊事件中發(fā)現(xiàn)，攻擊事件的平均解決時間為46天，而每延遲發(fā)現(xiàn)和解決攻擊事件1天，企業(yè)就會損失21，155美元。

2 傳統(tǒng)安全防護面臨的問題

傳統(tǒng)的網(wǎng)絡(luò)安全防護手段通常是基于黑白名單、簽名和規(guī)則特征[2]的安全威脅發(fā)現(xiàn)手段，通過防火墻、WAF、IPS、交換機、VPN等一系列網(wǎng)絡(luò)邊界防護設(shè)備聯(lián)合實現(xiàn)。在網(wǎng)絡(luò)環(huán)境單一，攻擊手段貧乏的互聯(lián)網(wǎng)發(fā)展初期是具備較為堅實的防護能力。

但是，傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)方案，容易導(dǎo)致割裂的安全防御，無法協(xié)同作戰(zhàn)并提供有效的整體安全防護，甚至導(dǎo)致安全運維復(fù)雜化?；诟盍训陌踩烙a(chǎn)生的安全現(xiàn)狀數(shù)據(jù)也將成為安全孤島，難以協(xié)同共享，導(dǎo)致碎片化的安全認(rèn)知，只能看見碎片化的局部安全，無法形成統(tǒng)一的整體可視。

同時，不斷發(fā)展的互聯(lián)網(wǎng)安全威脅和5G、物聯(lián)網(wǎng)、云計算等技術(shù)變革帶來的風(fēng)險，尤其是以互聯(lián)網(wǎng)側(cè)高級持續(xù)性惡意攻擊[3]（APT攻擊）、零日漏洞[4]為代表的新威脅，讓現(xiàn)有的網(wǎng)絡(luò)安全防御體系無法滿足企業(yè)對于網(wǎng)絡(luò)安全的切實需求。

由此可見，在網(wǎng)絡(luò)復(fù)雜性極大、網(wǎng)絡(luò)薄弱環(huán)節(jié)極多的今天，單純利用傳統(tǒng)安全防護設(shè)備和邊界阻斷措施進行網(wǎng)絡(luò)安全防護存在諸多問題，攻防兩端嚴(yán)重不對等。

3 構(gòu)建網(wǎng)絡(luò)安全主動防御體系

針對互聯(lián)網(wǎng)出口的開放性，以及現(xiàn)有APT、零日等攻擊手段的復(fù)雜性，網(wǎng)絡(luò)安全防護手段須具備全局監(jiān)測、立體分析的能力。構(gòu)建智慧中樞，協(xié)同控制網(wǎng)絡(luò)域各個安全組件，形成一套完整的網(wǎng)絡(luò)安全主動防御體系。

網(wǎng)絡(luò)安全主動防御體系，以安全可視和協(xié)同防御為核心，構(gòu)建智能化、精準(zhǔn)化、具備協(xié)同聯(lián)動防御能力及專家應(yīng)急的大數(shù)據(jù)安全分析平臺和統(tǒng)一運營中心，讓網(wǎng)絡(luò)安全可感知、可預(yù)判、可阻斷、可追溯。

如圖2所示，網(wǎng)絡(luò)安全主動防御體系以全流量分析為基礎(chǔ)，基于探針等安全組件采集全網(wǎng)的關(guān)鍵數(shù)據(jù)，以主動防御智慧中樞為安全核心，結(jié)合威脅情報、行為分析、UEBA[4]、機器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)對互聯(lián)網(wǎng)出口流量實現(xiàn)全網(wǎng)業(yè)務(wù)可視和威脅感知，從而主動發(fā)現(xiàn)各種潛伏威脅。同時，結(jié)合安服專家、人工智能等手段的介入和應(yīng)急響應(yīng)，提高事件響應(yīng)的速度和高級威脅發(fā)現(xiàn)能力。

3.1 全局安全可視

通過全流量分析、多維度的有效數(shù)據(jù)采集和智能分析能力，實時監(jiān)控全網(wǎng)的安全態(tài)勢、內(nèi)部橫向威脅態(tài)勢、業(yè)務(wù)外連風(fēng)險和服務(wù)器風(fēng)險漏洞等，讓網(wǎng)絡(luò)安全管理員可以清楚的感知全網(wǎng)是否安全、哪里不安全、具體薄弱點、攻擊入口點等，圍繞攻擊鏈（Kill-chain）[5]來形成一套基于“事前檢查、事中分析、事后檢測”的安全能力，看清全網(wǎng)威脅，從而輔助決策。

3.2 大數(shù)據(jù)分析、檢索能力

主動防御智慧中樞基于實時大數(shù)據(jù)框架，結(jié)合彈性搜索引擎進行，對網(wǎng)絡(luò)產(chǎn)生的TB級別海量數(shù)據(jù)進行存儲、關(guān)聯(lián)分析，并通過集群、分布式計算實現(xiàn)萬億級數(shù)據(jù)的超大規(guī)模數(shù)據(jù)管理和秒級查詢能力。

3.3 實時監(jiān)測，精準(zhǔn)預(yù)警

通過對全網(wǎng)流量、主機日志和第三方日志的采集分析，實現(xiàn)對已知威脅（僵木蠕毒、異常流量、業(yè)務(wù)漏洞等）和未知威脅（網(wǎng)絡(luò)僵尸、APT、零日漏洞等）的全天候?qū)崟r監(jiān)測，同時結(jié)合智能分析和可人工干預(yù)的便捷運營支撐，對已發(fā)現(xiàn)的威脅進行精準(zhǔn)化預(yù)警，簡化運維，有效通報預(yù)警。

3.4 高效協(xié)同響應(yīng)，阻斷風(fēng)險擴散，輔助閉環(huán)

主動防御智慧中樞將網(wǎng)絡(luò)中傳統(tǒng)安全設(shè)備作為基礎(chǔ)組件，不僅作為安全數(shù)據(jù)采集源，當(dāng)發(fā)生重要安全事件或風(fēng)險在內(nèi)部傳播時，亦可通過聯(lián)動進行阻斷、控制，避免影響擴大。聯(lián)動方式涉及到網(wǎng)絡(luò)阻斷、上網(wǎng)管理、終端安全查殺，可有效提升網(wǎng)絡(luò)主動安全能力。

3.5 威脅舉證與影響面評估

網(wǎng)絡(luò)安全主動防御體系將IP以資產(chǎn)類型進行劃分，區(qū)分業(yè)務(wù)安全、終端安全維度來展示不同類型的受損情況，結(jié)合網(wǎng)絡(luò)中業(yè)務(wù)資產(chǎn)的側(cè)重點和詳細(xì)的攻擊內(nèi)容舉證、多維度潛伏威脅，評估威脅影響面及受損情況。

3.6 追蹤溯源支撐

基于全流量和第三方日志（中間件、操作系統(tǒng)、安全設(shè)備等）的有效數(shù)據(jù)，實時提取相關(guān)威脅分析和追蹤溯源的關(guān)鍵元數(shù)據(jù)，并進行元數(shù)據(jù)持續(xù)存儲。同時，將數(shù)據(jù)形成以流量可視、潛伏威脅探測、威脅攻擊鏈可視、統(tǒng)一檢索及大數(shù)據(jù)能力等技術(shù)為主的追蹤溯源體系，為網(wǎng)絡(luò)主動安全提供溯源能力。

4 網(wǎng)絡(luò)安全主動防御體系建設(shè)

網(wǎng)絡(luò)安全主動防御體系采用分層的數(shù)據(jù)處理結(jié)構(gòu)建設(shè)，從數(shù)據(jù)采集到最終的數(shù)據(jù)分析呈現(xiàn)形成完整的處理邏輯過程。

4.1 數(shù)據(jù)采集層

采集包括終端數(shù)據(jù)、流量采集、中間件數(shù)據(jù)、第三方設(shè)備日志、威脅情報對接。該層提供多種接口進行流量、日志數(shù)據(jù)的采集和對接，支持Syslog、Web Service、Restful API、WMI等方式采集。

4.2 數(shù)據(jù)預(yù)處理層

對采集的數(shù)據(jù)進行預(yù)處理，包括數(shù)據(jù)清洗、數(shù)據(jù)歸并、數(shù)據(jù)富化，最終數(shù)據(jù)轉(zhuǎn)換為智慧中樞可解析的格式化數(shù)據(jù)，以文件的形式進行存儲，以備后續(xù)追溯使用。

4.3 大數(shù)據(jù)分析層

讀取經(jīng)過預(yù)處理后的數(shù)據(jù)進行離線計算，或讀取ES數(shù)據(jù)進行實時機算。在此進行全網(wǎng)安全數(shù)據(jù)的檢測、分析和統(tǒng)計，并結(jié)合威脅情報、行為分析、人工智能[6]等技術(shù)，主動發(fā)現(xiàn)安全威脅現(xiàn)狀，并配合內(nèi)置的安全關(guān)聯(lián)規(guī)則將數(shù)據(jù)進行歸告警。

4.4 數(shù)據(jù)存儲層

分析數(shù)據(jù)和結(jié)果存儲在ES引擎中，可提供快速的檢索能力。同時，對將近期需要快速呈現(xiàn)的統(tǒng)計結(jié)果數(shù)據(jù)存放到快速存儲，以支持快速查詢，相比ES引擎無需渲染和額外內(nèi)存消耗。

4.5 數(shù)據(jù)服務(wù)層

基于可視化的方式對體系中的數(shù)據(jù)進行呈現(xiàn)，從數(shù)據(jù)存儲層獲取數(shù)據(jù)的接口，讀取展示數(shù)據(jù)，提供各種數(shù)據(jù)的安全可視服務(wù)及對外接口服務(wù)。

5 結(jié)束語

網(wǎng)絡(luò)安全主動防御體系是由多種能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全主動防御功能的技術(shù)所組成的一個技術(shù)體系，以應(yīng)對云大物移智時代所面臨的安全形勢，從預(yù)測、防御、檢測、響應(yīng)等多個維度進行安全形勢研判。然而，網(wǎng)絡(luò)安全運營是一個持續(xù)處理的、循環(huán)的過程，需要不斷的通過細(xì)粒度、多角度、持續(xù)化的對安全威脅進行實時動態(tài)分析，以適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。

參考文獻

[1] Verizon.2019 Data Breach Investigations Report[R].USA：Verizon，2019.

[2] 田春平，張晉源，武靖瑩.云計算網(wǎng)絡(luò)信息安全防護思路探究[J].通信技術(shù)，2019.8：939-945.

[3] 程三軍，王宇.APT攻擊原理及防護技術(shù)分析[J].信息網(wǎng)絡(luò)安全，2016.9： 118-123.

[4] 張罡.網(wǎng)絡(luò)異常檢測研究與應(yīng)用[D].北京：北京郵電大學(xué)，2019.5.

[5] 劉文彥，霍樹民，陳揚，仝青.網(wǎng)絡(luò)攻擊鏈模型分析及研究[J].通信學(xué)報， 2018，11： 2018271-1—2018271-7.

[6] 李艷華.大數(shù)據(jù)安全技術(shù)研究[J].網(wǎng)絡(luò)空間安全， 2020，2： 15-23.