網(wǎng)絡(luò)安全防護中的一種智能化解決方案

◆李慧芹 汪亞娟 劉爽 宋燦

網(wǎng)絡(luò)安全防護中的一種智能化解決方案

◆李慧芹1汪亞娟1劉爽2宋燦1

（1.國網(wǎng)客服中心信息運維中心 天津 300309；2.江蘇邦芒服務(wù)外包有限公司 江蘇 211100）

當前，網(wǎng)絡(luò)安全形勢愈發(fā)嚴峻，傳統(tǒng)的網(wǎng)絡(luò)安全防護工作存在安全設(shè)備種類多、數(shù)量大、運維復(fù)雜等困難，亟須向自動化、智能化方向發(fā)展。本文首先分析網(wǎng)絡(luò)安全防護現(xiàn)狀及痛點，接著提出了一種網(wǎng)絡(luò)安全防護智能化解決方案，對歸集的安全設(shè)備日志進行關(guān)聯(lián)分析，處理成有效的攻擊事件，并在防火墻上對攻擊地址進行自動化封禁。該方案可有效提高企業(yè)網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急處置效率。

網(wǎng)絡(luò)安全；智能化；自動告警；自動封禁

當前企業(yè)的網(wǎng)絡(luò)安全防御基本是基于邊界的傳統(tǒng)的安全防護架構(gòu)，在邊界上部署了防火墻、入侵防御設(shè)備（Intrusion Prevention System，IPS）、入侵檢測系統(tǒng)（Intrusion Detection System，IDS）、Web應(yīng)用防火墻（Web Application Firewall，WAF）以及流量分析、威脅感知等安全產(chǎn)品[1-3]，需要安全運維人員不斷優(yōu)化安全策略，分析各類安全設(shè)備攻擊日志，并對攻擊行為進行及時阻斷。

各網(wǎng)絡(luò)安全防護設(shè)備具有不同的檢測機制和性能，在檢測不同的網(wǎng)絡(luò)攻擊事件時，不同類型的設(shè)備得到的結(jié)果差異很大。如何利用各設(shè)備的日志對當前的網(wǎng)絡(luò)攻擊態(tài)勢進行全面監(jiān)測，文獻[4-8]提出了對多源設(shè)備日志進行融合處理的思路，但在實際工作中缺乏可操作性。文獻[9]提出了網(wǎng)絡(luò)安全威脅處置效率低下的困局，未給出可行的解決方法。本文結(jié)合網(wǎng)絡(luò)安全運維工作實際，提出了一種網(wǎng)絡(luò)安全智能化分析、預(yù)警、處置的解決方案，大大提升了安全運維工作效率。

1 當前網(wǎng)絡(luò)安全防護難點

當前，國家高度重視網(wǎng)絡(luò)安全，相繼出臺《網(wǎng)絡(luò)安全法》、《密碼法》、《數(shù)據(jù)安全法》等法律法規(guī)，個人信息保護相關(guān)法律法規(guī)也在醞釀中，網(wǎng)絡(luò)安全相關(guān)法律體系越來越完善，對企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)安全防護能力提出越來越高的要求。

為提高網(wǎng)絡(luò)安全防護水平，企業(yè)在網(wǎng)絡(luò)邊界以旁路或串聯(lián)的方式部署了各類網(wǎng)絡(luò)安全設(shè)備，安全設(shè)備在檢測到攻擊時會產(chǎn)生大量的日志，安全運維人員的主要工作是查看安全設(shè)備日志，了解當前系統(tǒng)遭受的攻擊類型、攻擊結(jié)果以及這些攻擊行為針對系統(tǒng)中的哪些漏洞進行攻擊，除對攻擊行為及時封堵外，還需要對對應(yīng)漏洞進行修補以防漏洞被利用。但由于各網(wǎng)絡(luò)安全設(shè)備檢測機制不同，對于同一種類型的網(wǎng)絡(luò)攻擊行為，不同類型的網(wǎng)絡(luò)安全設(shè)備檢測得到的結(jié)果可能存在差異，安全運維人員在值班監(jiān)測時，需要輪流登錄各安全設(shè)備查看和分析告警日志，得到是否為攻擊行為的結(jié)果，耗時耗力，容易漏掉攻擊行為。

經(jīng)過分析確認是攻擊行為后，需要對攻擊行為進行及時阻斷，目前最常用的阻斷方式是在對應(yīng)防火墻上將攻擊IP加入黑名單，需要將待封禁IP及時傳遞給網(wǎng)絡(luò)人員，并立即封禁，這一過程一般要花費若干分鐘，可能導(dǎo)致系統(tǒng)被攻擊成功，尤其是同一時段需要封禁的IP較多時，人工封禁的弊端更為明顯。

綜上所述，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全防御體系主要存在以下難點：

（1）網(wǎng)絡(luò)安全設(shè)備種類多、數(shù)量大，對安全設(shè)備日志輪詢分析需耗費大量精力，容易漏掉攻擊行為且效率較低；

（2）對眾多安全設(shè)備日志進行人工單獨分析和處理時，難以對多種類型的設(shè)備日志進行關(guān)聯(lián)分析，從而發(fā)現(xiàn)更為隱蔽的攻擊行為和攻擊規(guī)律，其得到的結(jié)果無法準確反映出當前網(wǎng)絡(luò)所面臨的威脅。

（3）當發(fā)現(xiàn)攻擊行為時，多數(shù)是采用在防火墻上封禁攻擊IP的方式來阻斷攻擊行為，當待封禁IP較多時，對封禁效率要求很高，否則，會因為封禁不及時導(dǎo)致攻擊成功事件。

2 網(wǎng)絡(luò)安全防護的智能化解決方案

針對當前網(wǎng)絡(luò)安全防護中存在的問題，本文提出了一種智能化解決方案，示意圖見圖1。

對來自多個網(wǎng)絡(luò)安全設(shè)備的告警日志進行歸集、聚合和關(guān)聯(lián)分析，將大量告警信息處理成可信度較高的攻擊事件，通過聯(lián)動邊界防火墻進行自動封禁，可大大提高安全運維人員監(jiān)測及應(yīng)急處置效率。

圖1 智能化解決方案示意圖

2.1 數(shù)據(jù)源

數(shù)據(jù)源是安全分析的前提與基礎(chǔ)，普通的網(wǎng)絡(luò)系統(tǒng)日志數(shù)量龐大、結(jié)構(gòu)復(fù)雜，擁有的網(wǎng)絡(luò)威脅信息含量較低，而網(wǎng)絡(luò)安全設(shè)備日志安全性高、結(jié)構(gòu)較好、網(wǎng)絡(luò)威脅信息含量較高，是本文的研究對象。同時，為了提高分析結(jié)果的準確性，需要結(jié)合網(wǎng)絡(luò)資產(chǎn)信息對結(jié)果進行修正。本文研究的日志需要收集的數(shù)據(jù)源包括如下幾方面。

（1）日志數(shù)據(jù)：包括網(wǎng)絡(luò)安全設(shè)備記錄的日志和告警信息。網(wǎng)絡(luò)安全設(shè)備包括但不限于IPS、IDS、WAF、全流量分析設(shè)備、攻擊溯源設(shè)備、蜜罐誘捕設(shè)備、主機防御設(shè)備等，為保證安全分析效果，應(yīng)遵循“應(yīng)接盡接”原則將企業(yè)所有能接入的網(wǎng)絡(luò)安全設(shè)備均接入。

（2）支持數(shù)據(jù)：網(wǎng)絡(luò)中的資產(chǎn)信息、相關(guān)人員信息、安全設(shè)備臺賬信息等，主要用于在數(shù)據(jù)分析時修正分析結(jié)果，避免產(chǎn)生誤告警和誤封禁，從而影響到企業(yè)的正常業(yè)務(wù)。重要的支持數(shù)據(jù)包括企業(yè)的互聯(lián)網(wǎng)出口地址、企業(yè)紅隊滲透測試地址、回源地址、重要系統(tǒng)地址等白名單信息以及安全設(shè)備地址、賬號、密碼信息以進行安全設(shè)備的自動登錄。

2.2 告警日志歸集

通過爬蟲方式爬取眾多網(wǎng)絡(luò)安全設(shè)備的日志查詢接口，實時刷新，將安全設(shè)備日志進行格式化處理后在數(shù)據(jù)存儲平臺上保存為相應(yīng)的設(shè)備日志文件（.log）。主要步驟如下：

（1）自動登錄安全設(shè)備

對安全設(shè)備請求驗證碼并進行自動識別，結(jié)合用戶名密碼進行驗證碼登錄，獲取cookie。

（2）獲取日志并存儲

請求安全設(shè)備日志接口，分別查詢風險等級為高、中、低的安全設(shè)備日志，提取出全部原始日志。對獲取的日志進行格式處理，統(tǒng)一為設(shè)備標識、時間、危險等級、源IP地址、目的IP地址、地理位置、事件名稱、攻擊次數(shù)、攻擊特征，并將格式化處理后的日志文件保存在數(shù)據(jù)存儲平臺上。

2.3 日志分析處理

日志分析處理的核心是對數(shù)據(jù)存儲平臺上的安全日志進行聚合并去除誤報，將上萬條告警信息處理成幾十條至幾百條真實的攻擊信息，并將攻擊信息推送到自動化告警和自動化阻斷模塊，實現(xiàn)攻擊信息的自動上報和攻擊IP的自動封禁。

（1）聚合

主要針對多個安全設(shè)備均出現(xiàn)的告警信息、一個源IP產(chǎn)生的上百條告警信息進行處理，把與同一攻擊事件有關(guān)的多條日志放到一個事件簇中，進行去重和合并。

（2）去除誤報

安全運維人員結(jié)合網(wǎng)絡(luò)資產(chǎn)信息等支持數(shù)據(jù)維護企業(yè)的白名單IP和白名單特征碼。白名單特征碼為安全運維人員自定義的規(guī)則，主要是經(jīng)過人工分析后確認為誤報的告警信息，比如日志審計信息、因代碼編寫不規(guī)范導(dǎo)致正常業(yè)務(wù)觸發(fā)安全設(shè)備告警規(guī)則而引發(fā)的告警等。

聚合后的全部日志文件需與白名單IP、白名單特征碼進行對比，去除非真實的告警信息，形成真實有效的攻擊告警信息。

（3）攻擊信息推送

在得到有效的攻擊告警信息后，一方面將真實的攻擊信息推送給“自動化告警”模塊，攻擊信息包括包含告警的安全設(shè)備、攻擊發(fā)現(xiàn)時間、攻擊IP、攻擊手段、攻擊次數(shù)、目標系統(tǒng)、目標IP等信息；另一方面結(jié)合企業(yè)資產(chǎn)臺賬等支撐信息，判斷被攻擊的資產(chǎn)所處機房位置，根據(jù)被攻擊資產(chǎn)所處位置不同，自動生成被攻擊資產(chǎn)所在機房邊界防火墻阻斷指令，推送至“自動化阻斷”模塊。

2.4 自動化阻斷

收到阻斷指令后，對應(yīng)防火墻做如下處置：

（1）分析阻斷指令：結(jié)合資產(chǎn)白名單等信息再次確認分析阻斷指令的有效性，防止誤封影響業(yè)務(wù)的正常運行。

（2）執(zhí)行阻斷指令：經(jīng)分析，可以封禁攻擊IP后，防火墻執(zhí)行封禁操作，及時阻斷網(wǎng)絡(luò)攻擊行為。

（3）推送阻斷結(jié)果

把防火墻阻斷動作的結(jié)果實時推送到微信、企信、釘釘?shù)冗\維人員溝通群中，讓運維人員知曉處置結(jié)果。

2.5 自動化告警

收到真實攻擊信息后，自動化告警模塊做如下處置：

（1）編制告警信息：讀取真實攻擊信息，通過IP138、ip.cn等IP情報庫對源IP進行歸屬地查詢，并對告警信息進行上報格式處理。

（2）推送告警信息：通過微信、企信、釘釘?shù)惹腊l(fā)送最終上報結(jié)果，提醒運維人員及時查看和分析。

2.6 應(yīng)用效果

該智能化解決方案可接入IPS、WAF、睿眼、天眼等主流的安全設(shè)備日志，實現(xiàn)各類安全設(shè)備高效聯(lián)動，通過自動化的分析、處置和預(yù)警，可將攻擊發(fā)現(xiàn)、分析和阻斷的時間控制在分鐘級甚至秒級。企業(yè)應(yīng)用該方案后還能夠節(jié)省日常監(jiān)測分析處置的人力投入，并實現(xiàn)7*24小時不間斷的監(jiān)測分析處置，即便在企業(yè)安全監(jiān)測人員數(shù)量不足、人員技能水平不高的情況下，也可以保證基本的網(wǎng)絡(luò)安全應(yīng)急處置工作的運轉(zhuǎn)。

圖2 告警及封禁信息實例

3 結(jié)語

在網(wǎng)絡(luò)安全形勢愈發(fā)嚴峻的情況下，對網(wǎng)絡(luò)威脅的快速發(fā)現(xiàn)、分析和處置是對當前企業(yè)信息系統(tǒng)安全防護的基本要求，通過引入網(wǎng)絡(luò)威脅自動化分析、處置手段，可有效提高網(wǎng)絡(luò)安全防護的智能化水平，對企業(yè)的網(wǎng)絡(luò)安全防護方向研究有一定借鑒意義。

[1]陳薇伶，黃敏.大數(shù)據(jù)時代我國網(wǎng)絡(luò)信息安全控制體系構(gòu)建[J].重慶社會科學(xué)，2018，284（07）：95-101.

[2]夏晨.探究聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（02）：13-15.

[3]程杰，尚智婕，胡威，等. 智能電網(wǎng)信息系統(tǒng)安全隱患及應(yīng)對策略[J]. 電氣應(yīng)用，2020，39（04）：99-102.

[4]張玉兵.一種日志融合分析工具設(shè)計[J]，現(xiàn)代工業(yè)經(jīng)濟和信息化，2017，7（20）：29-30.

[5]亞靜. 基于多源日志的網(wǎng)絡(luò)威脅分析系統(tǒng)的研究[D]. 北京：北京交通大學(xué)，2014.

[6]楊秋翔，王冠男，王婷.基于時間序列的多源日志安全數(shù)據(jù)挖掘仿真[J].計算機仿真，2019，36（02）：297-301.

[7]王雙. 一種多源安全日志融合方法的研究[J].中國民航大學(xué)學(xué)報，2017，35（05）：41-46.

[8]陸雨晶. 基于多源日志的網(wǎng)絡(luò)安全威脅感知關(guān)鍵技術(shù)研究[D]. 鎮(zhèn)江：江蘇科技大學(xué)，2019.

[9]崔永波，潘東雷. 檢察機關(guān)網(wǎng)絡(luò)安全事件應(yīng)急處置研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（8）：123-124.