一種改進的網(wǎng)絡(luò)攻擊自動防御系統(tǒng)的設(shè)計與實現(xiàn)

◆倪浩杰

（江蘇省國際信托有限責任公司 江蘇 210000）

1 引言

全球環(huán)境復雜多變，網(wǎng)絡(luò)攻擊事件層出不窮。政企單位花費大量人財物力，保護信息資產(chǎn)的保密性、完整性和可用性。現(xiàn)今的網(wǎng)絡(luò)攻擊防御系統(tǒng)，通過收集網(wǎng)絡(luò)流量、發(fā)現(xiàn)威脅、發(fā)送告警通知安全員，人工處置安全事件。如圖1。這種方式存在人力成本高、告警準確率低、響應處置慢等問題。為此，解決上述問題就變得十分必要。

圖1 現(xiàn)階段網(wǎng)絡(luò)安全防御系統(tǒng)工作流程

2 網(wǎng)絡(luò)攻擊自動防御系統(tǒng)的現(xiàn)實需求

● 能夠保護重要資產(chǎn)，阻斷網(wǎng)絡(luò)攻擊。

● 能夠7*24 小時自動化防御，減少人力資源投入。

● 能夠快速準確發(fā)現(xiàn)被保護資產(chǎn)的威脅和脆弱性。

● 能夠提高網(wǎng)絡(luò)攻擊告警的準確率。

● 能夠快速響應、有效處置安全事件。

3 網(wǎng)絡(luò)攻擊自動防御系統(tǒng)的設(shè)計

為解決上述問題，本文設(shè)計一種改進的網(wǎng)絡(luò)攻擊自動防御系統(tǒng)，它在原防御系統(tǒng)的基礎(chǔ)上，增加確認威脅模塊和決策處置子系統(tǒng)。確認威脅模塊校驗初步威脅概率，能有效降低威脅信息的誤報率。決策處置子系統(tǒng)，由決策中心模塊按照預設(shè)策略，推動自動處置模塊，“指揮”防火墻、WAF 等安全設(shè)備聯(lián)動處置，自動阻斷攻擊。

圖2 改進的網(wǎng)絡(luò)安全防御系統(tǒng)工作流程

4 網(wǎng)絡(luò)攻擊自動防御系統(tǒng)的實現(xiàn)

4.1 網(wǎng)絡(luò)攻擊自動防御系統(tǒng)的構(gòu)架

網(wǎng)絡(luò)攻擊自動防御系統(tǒng)以承載平臺為基礎(chǔ)，連接收集分析平臺、決策處置平臺、配置中心模塊、日志審計模塊、監(jiān)測大屏模塊、威脅情報模塊和告警通信模塊，實現(xiàn)資產(chǎn)的有效防護。如圖3。

圖3 網(wǎng)絡(luò)攻擊自動防御系統(tǒng)框圖

4.2 收集分析平臺

收集分析平臺由一系列探針組成，將網(wǎng)絡(luò)流量、行為特征等數(shù)據(jù)收集分析，初步發(fā)現(xiàn)威脅，經(jīng)承載平臺推送威脅情報模塊校驗。

4.3 決策處置平臺

決策處置平臺接受校驗后的威脅信息，按照預設(shè)的策略，決策響應，聯(lián)動防火墻、IPS、WAF 等安全設(shè)備，阻斷攻擊。

4.4 承載平臺

承載平臺是自動防御系統(tǒng)的核心，連接收集分析平臺、決策處置平臺、配置中心模塊、展示子系統(tǒng)、威脅情報模塊和告警通信模塊。

4.5 威脅情報模塊

威脅情報模塊用于校驗初步威脅信息，確認威脅信息概率值。經(jīng)校驗大概屬于威脅攻擊行為，則進一步查詢威脅的風險值和標簽等信息。威脅情報模塊有效降低告警誤報率。

4.6 告警通知模塊

告警通信模塊將威脅信息發(fā)送給安全員，包括惡意IP、URL、風險等級、風險標簽。如圖4。

圖4 告警通知示例

4.7 配置中心模塊

配置中心模塊用于配置網(wǎng)絡(luò)接口、安全策略、觸發(fā)閾值、處置方式、情報庫設(shè)置和告警通信等參數(shù)。

4.8 展示子系統(tǒng)

展示子系統(tǒng)包括日志審計模塊和監(jiān)測大屏模塊。日志審計模塊用于查看操作、攔截、登錄等日志信息。監(jiān)測大屏模塊外接大面積顯示屏，方便實時監(jiān)測和展示。

5 結(jié)論

本文提出的改進后的網(wǎng)絡(luò)攻擊自動防御系統(tǒng)，能夠準確識別威脅，發(fā)送告警，快速響應，自動處置，阻斷攻擊，保護資產(chǎn)，減輕了安全員的工作壓力，最大程度降低了數(shù)據(jù)泄漏風險。在護網(wǎng)行動、百年建黨等重要時刻，該系統(tǒng)在作者單位經(jīng)發(fā)揮巨大作用。