基于邊界防火墻異常流量特征庫的自動提醒與加固防范

李佑群　龔谷初　周久芳　張偉健　王貝

摘要： 隨著Internet技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)在日常生活和各類工作中已經(jīng)是不可或缺的重要的組成部分，對網(wǎng)絡(luò)各種流量進行分類監(jiān)控，以便及時發(fā)現(xiàn)并控制網(wǎng)絡(luò)上的各種異常行為，已經(jīng)成為保障網(wǎng)絡(luò)正常運行的關(guān)鍵之處。通過對邊界防火墻獲取運行終端的所有流量數(shù)據(jù)進行分析與研究，本文提出的基于邊界防火墻異常流量特征庫的自動提醒與加固等安全措施，實現(xiàn)了桌面終端信息安全的自動化管理，從而降低網(wǎng)絡(luò)信息安全風險，提高公司信息運行管理能力。

關(guān)鍵詞：防火墻;網(wǎng)絡(luò)流量;網(wǎng)絡(luò)異常;加固

Automatic reminder and reinforcement prevention based on abnormal traffic signature database of

border firewall

Li Youqun 1，Gong Guchu 2， Zhou Jiufang2

（1. State Grid Hunan Provincial Power Co.， Ltd. Changde Power Supply Branch Changde 415000，China? ）

Abstract： With the development of Internet technology and network services， the network has become an indispensable and important part of daily life and various types of work. It classifies and monitors various network traffic in order to detect and control various abnormalities on the network in time Behavior has become the key to ensuring the normal operation of the network.By analyzing and researching all the traffic data obtained by the boundary firewall and running the terminal， this paper proposes security measures such as automatic reminding and reinforcement based on the abnormal traffic signature database of the boundary firewall to realize the automatic management of the desktop terminal information security， thereby reducing the network information security Risk， improve the companys information operation and management capabilities.

Key words： firewall; network traffic; network anomaly; reinforcement

0前言

網(wǎng)絡(luò)邊界是所有信息系統(tǒng)進行業(yè)務(wù)來往的大門，作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道屏障，防火墻起著至關(guān)重要的作用。由于被部署在網(wǎng)絡(luò)邊界而被稱為

邊界防火墻。防火墻是防范網(wǎng)絡(luò)攻擊最常用的方法，它主要是主機、路由器、策略的集合，其作用是禁止或允許對受保護網(wǎng)絡(luò)的訪問。利用防火墻技術(shù)，然后經(jīng)過相應(yīng)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低網(wǎng)絡(luò)安全的風險【1】。然而，隨著Internet信息技術(shù)的高速發(fā)展以及計算機系統(tǒng)在各行各業(yè)的廣泛應(yīng)用，這樣加劇了人們關(guān)于網(wǎng)絡(luò)安全擔憂，也給網(wǎng)絡(luò)安全帶來了巨大的威脅。如今，互聯(lián)網(wǎng)中存在大量的網(wǎng)絡(luò)故障、濫用、攻擊等會帶來惡意后果的異常行為，這些行為往往會在網(wǎng)絡(luò)流量中體現(xiàn)出來，其中諸如蠕蟲（Worm），端口掃描（Port scans），拒絕服務(wù)攻擊等異常情況在網(wǎng)絡(luò)流量中更是常見。這些異常往往會浪費網(wǎng)絡(luò)資源，導致網(wǎng)絡(luò)設(shè)備和終端主機的性能下降，甚至引起涉及到大量網(wǎng)絡(luò)用戶的安全問題。鑒于此，準確并快速地檢測這些異常行為，并對其采取相應(yīng)的安全措施顯得尤為重要。

1系統(tǒng)實現(xiàn)

1.1 項目需求

隨著我國進入了信息化時代以來，企業(yè)運營效率得到了飛速的提升，業(yè)務(wù)量也隨之大幅提高，由此導致了數(shù)據(jù)傳輸規(guī)模的不斷增加。數(shù)據(jù)類型多樣化、數(shù)據(jù)來源的復雜化和數(shù)據(jù)傳輸?shù)耐话l(fā)性等特點愈發(fā)明顯。對于以互聯(lián)網(wǎng)為主要通信渠道的各企業(yè)而言，以數(shù)據(jù)異常流量為代表的各種系統(tǒng)問題日益增多，網(wǎng)絡(luò)攻擊與非法訪問行為層出不窮，導致網(wǎng)絡(luò)通信出現(xiàn)種種異常與故障，且排查定位效率低下，給企業(yè)信息與通信系統(tǒng)的運維工作造成了很大的困難。因此，采取有效措施，對網(wǎng)絡(luò)異常流量的檢測方法進行改進與優(yōu)化，提高檢測的準確性、可靠性和穩(wěn)定性，具有十分重要的意義。

1.2 系統(tǒng)設(shè)計原理與生成

1.2.1系統(tǒng)部署總體架構(gòu)

網(wǎng)絡(luò)活動一旦發(fā)生，也就意味著數(shù)據(jù)流量的產(chǎn)生，為有效提高安全生產(chǎn)信息保障能力，這就需要設(shè)計一款系統(tǒng)架構(gòu)以便于及時獲取到數(shù)據(jù)并進行實時分析，對于異常行為，及時采取相應(yīng)安全措施保障網(wǎng)絡(luò)安全運行。因此，為保證系統(tǒng)穩(wěn)定運行和后續(xù)運維工作進行，該系統(tǒng)架構(gòu)是在多臺虛擬機上進行，并部署了相應(yīng)的物理服務(wù)器，操作系統(tǒng)為 CentOS-7 系統(tǒng)。

1.2.2軟件設(shè)計架構(gòu)圖

該系統(tǒng)的軟件架構(gòu)圖可以分為兩部分，第一部分包含流量采集層、流量轉(zhuǎn)發(fā)層、消息持久層、實時分析層四個模塊;第二部分主要包含數(shù)據(jù)存儲層。

1.2.3各層的主要功能

網(wǎng)絡(luò)流量數(shù)據(jù)包被探針的 Snort Preprocessor（預處理）插件解析成約定的文本格式并送入隊列中（生產(chǎn)者），然后再由另一個線程（pthread）取出并使用 Socket 發(fā)出（消費者）。通過內(nèi)存的分配和釋放，在網(wǎng)絡(luò)流量瞬時增大時可以暫存解析后的文本，最大限度避免造成網(wǎng)絡(luò)堵塞，以及 Socket Server 的波動效應(yīng)。流量轉(zhuǎn)發(fā)層 & 消息持久層包括Socket Server 和 Apache Kafka 集群兩個部分， Socket Server 接收數(shù)據(jù)之后會以平穩(wěn)的速率轉(zhuǎn)發(fā)給 Kafka 集群。Socket Server 中也有一個超大的基于內(nèi)存實現(xiàn)的同步隊列（Concurrent Queue）這也是避免給下游的 Kafka 集群造成性能波動上的保險。實時分析層采用 Apache Storm 流式計算框架實現(xiàn)，在架構(gòu)上采用了 2 Nimbus（包含 1 woker， 1冗余） + 5 Supervisor（包含 4 woker， 1 冗余） 的方式。數(shù)據(jù)持久層包括 MySQL 服務(wù)器（1），ElasticSearch 集群（3），Redis 緩存（1）。MySQL 和 ES 是用來存儲永久數(shù)據(jù)的，Storm 分析集群不直接訪問 MySQL 數(shù)據(jù)庫，而是通過 Redis + 本地緩存的形式來保證自身的高性能。

2 功能實現(xiàn)

流量探針設(shè)備流量探針主要負責對網(wǎng)絡(luò)流量的鏡像流量進行采集并還原，還原后的流量日志會加密傳輸給天眼分析平臺。流量探針通過對網(wǎng)絡(luò)流量進行解碼還原出真實流量，提取網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平臺進行統(tǒng)一處理。流量探針在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下，支持 HTTP （網(wǎng)頁）、SMTP/POP3（郵件）等主流協(xié)議的高性能分析。

同時，流量探針內(nèi)置的威脅檢測進程serverids，可檢測多種網(wǎng)絡(luò)協(xié)議中的攻擊行為，提供ids、webids、webshell、威脅情報多種維度的告警展示，可檢測如多種網(wǎng)絡(luò)應(yīng)用、木馬、廣告、exploit等多種網(wǎng)絡(luò)攻擊行為，也可檢測如sql注入、跨站、webshell、命令執(zhí)行、文件包含等多種web攻擊行為，內(nèi)置的webshell沙箱可以精準檢測php后門并記錄相關(guān)信息，擁有威脅情報實時匹配能力，能發(fā)現(xiàn)惡意軟件、APT事件等威脅，產(chǎn)生的多種告警都會加密，并傳輸給天眼分析平臺進行統(tǒng)一分析管理。

天眼分析平臺用于存儲流量探針提交的流量日志、告警日志;其次天眼分析平臺不僅可對所有數(shù)據(jù)進行快速的處理并為檢索提供支持，還能將存儲的日志與威脅情報進行碰撞，以及進行日志關(guān)聯(lián)性分析產(chǎn)生告警，并能在4K的屏幕上展示威脅態(tài)勢;此外天眼分析平臺支持對告警進行深度分析，支持以告警字段進行狩獵分析及可視化展示，以攻擊鏈的視角還原告警中的受害主機被攻擊的整個過程;最后，對于判定為威脅事件的告警，分析平臺提供自定義編排流程進行相應(yīng)的處置指令下發(fā)。

分析平臺承擔對所有數(shù)據(jù)進行存儲、預處理和檢索的工作，由于傳統(tǒng)關(guān)系型數(shù)據(jù)庫在面對大量數(shù)據(jù)存儲時經(jīng)常出現(xiàn)性能不足導致查詢相關(guān)數(shù)據(jù)緩慢，天眼分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計算和搜索引擎技術(shù)對所有數(shù)據(jù)進行處理，可通過多臺設(shè)備建立集群以保證存儲空間和計算能力的供應(yīng)。結(jié)合全包存儲系統(tǒng)，分析平臺可以實現(xiàn)針對精確告警的全包取證分析和自定義數(shù)據(jù)包分析能力。

威脅情報威脅情報來自安全廠商云端的分析成果，可對APT攻擊、新型木馬、特種免殺木馬進行規(guī)則化描述。安全廠商依托于云端的海量數(shù)據(jù)，通過基于人工智能自學習的自動化數(shù)據(jù)處理技術(shù)，依靠以頂尖研究資源為基礎(chǔ)的多個安全研究實驗室為未知威脅的最終確認提供專業(yè)高水平的技術(shù)支撐，所有大數(shù)據(jù)分析出的未知威脅都會通過專業(yè)的人員進行人工干預，做到精細分析，確認攻擊手段、攻擊對象以及攻擊的目的，通過人工智能結(jié)合大數(shù)據(jù)知識以及攻擊者的多個維度特征還原出攻擊者的全貌，包括程序形態(tài)，不同編碼風格和不同攻擊原理的同源木馬程序，惡意服務(wù)器（C&C）等，通過全貌特征‘跟蹤攻擊者，持續(xù)的發(fā)現(xiàn)未知威脅，最終確保發(fā)現(xiàn)的未知威脅的準確性，并生成了可供天眼系統(tǒng)使用的威脅情報。

3 結(jié)果與結(jié)論

本文設(shè)計了提出了一種多源安流量志采集方法。在流量源采集方面，采用標準的Syslog協(xié)議，對Linux和Windows主機日志，Apache、Weblogic、IIS、Tomcat、Nginx等主流Web服務(wù)訪問日志，以及交換機和防火墻等網(wǎng)絡(luò)設(shè)備流量和網(wǎng)絡(luò)行為流量等多源異構(gòu)日志的進行統(tǒng)一采集;在流量源控制方面，采用訪問控制技術(shù)，能夠在不影響其他日志源采集的條件下，動態(tài)新增、刪除和修改日志源配置;在采集方法上，采用集群式架構(gòu)設(shè)計，當一個采集節(jié)點出現(xiàn)故障或性能出現(xiàn)瓶頸時，能夠動態(tài)調(diào)配負載，保障海量流量數(shù)據(jù)采集的可靠性和實時性。在數(shù)據(jù)的存儲上，將安全日志同時存儲至Hbase（一種分布式開源數(shù)據(jù)庫）數(shù)據(jù)庫和ES（Elastic Search，一種分布式開源搜索引擎）索引中，分析層從傳輸層將取網(wǎng)絡(luò)數(shù)據(jù)，機型結(jié)構(gòu)化解析并對數(shù)據(jù)進行：備案預警、異常端口預警，頻繁訪問預警，以小時為單位進行服務(wù)器熱度統(tǒng)計，全流量存儲流量數(shù)據(jù)等五個方面的分析。分析結(jié)果將會進行持久化用于 web 展示，相比傳統(tǒng)的定時人工掃描，優(yōu)勢較大。

參考文獻：

[1]Nicira Inc.; Patent Issued for Using Headerspace Analysis To Identify Unneeded Distributed Firewall Rules （USPTO 10，708，231）[J]. Network Weekly News，2020.

[2]徐松，姚燕妮，劉奕奕，周濤.湖南電網(wǎng)實物ID建設(shè)及應(yīng)用[J].湖南電力，2019，39（02）：65-68.

[3]黃吉蘭.二維條碼QRCode編碼原理及實現(xiàn)[J].電腦知識與技術(shù)，2013，9（12）：2904-2908.

[4]張宇，王映輝，張翔南.基于Spring的MVC框架設(shè)計與實現(xiàn)[J].計算機工程，2010，36（04）：59-62.

[5]劉香利. 基于RESTful/HTTP的網(wǎng)絡(luò)管理接口定義方法和通知機制設(shè)計[D].北京郵電大學，2019.

[6]陳瑪玲.電力設(shè)備巡視中的問題分析和策略[J].科技與創(chuàng)新，2017（14）：55-56.