基于大數據分析的網絡威脅主動防御

楊曉林++邵康++韋紹毅

摘 要

本文主要闡述了在大數據分析平臺的基礎上，為企業建立主動防御化的網絡安全監控、防御平臺，做到可以實時、動態、主動地應對來自網絡的安全威脅。本文通過主動防御的背景、平臺主要架構、每個架構的設計構成以及主動架構的技術依據幾方面介紹主動防御平臺，本文研究的內容已經有較為成熟的構架和方案，可以為企業搭建初步的主動防御安全平臺模型。

【關鍵詞】網絡安全 大數據 主動防御

信息化已經成為當前最重要的資源之一，在影響著社會發展的同時也日益成為國與國之間相互爭奪的重點，信息系統已經成為了各國企事業單位發展國民經濟必須依賴的支撐力量，網絡已經成為國家各企事業單位發展經濟的重要基礎，這使得網絡安全越來越成為國家安全的關鍵環節。在能源電力領域，美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，已經造成伊朗核電站推遲發電，目前國內已有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。這使得大部分能源企業對此表示擔心。而在這種網絡威脅的防御方面，目前的解決辦法基本上屬于單純的堆積安全設備，在網絡安全邊界部署防火墻、入侵防御、流量清洗等設備，這樣做只能抵御簡單、常規的網絡攻擊，對于高級黑客攻擊者發起的APT攻擊、利用“零日”漏洞發起的攻擊以及大流量的DDOS攻擊，目前的方案難以解決此類場景。本文將深入研究目前新的網絡攻擊特點，利用前沿的數據處理技術，搭建基于數據的網絡威脅發現、分析平臺，并利用該平臺對新的網絡攻擊進行主動式的攔截和防御。

1 主動防御的主要構架

業務架構從業務角度對集中監測、預警與審計平臺的核心業務進行細化、抽象、歸納、總結，形成整體業務能力視圖，為應用架構和數據架構提供關鍵輸入；應用架構基于業務架構，從集中監測、預警與審計平臺應用功能的角度定義應用功能、應用劃分和應用分布，形成集中監測、預警與審計平臺應用架構視圖；數據架構基于業務架構和應用架構，從集中監測、預警與審計平臺數據支撐的角度對數據分類、數據存儲、數據流轉等方面進行規劃設計；技術架構基于應用架構和數據架構，從平臺技術實現的角度定義集中監測、預警與審計平臺組件、集成關系、部署方式和系統安全防護體系。

2 業務架構

實現對網絡攻擊的主動防御，須對企業所有網絡設備、服務器、現有的安全設備的各方面狀態（包括負載狀態、性能狀態、設備訪問日志、安全日志、網絡流量等）進行深度的實時監控；對監控收集到的數據進行分析，根據分析結果進行預警，最后得到結果并下發策略對網絡攻擊進行主動防御。

3 應用架構

應用架構設計承接業務架構設計內容，根據企業集中安全監測、預警與審計平臺的核心業務的需求，通過對業務需求點的總結、分析和歸納，提煉出對應的功能，形成情報管理、數據采集管理、數據安全分析、資產管理、整體展示、系統管理、告警管理、主動防御的應用架構視圖，為后續數據架構設計提供必要的指導和輸入。

4 數據架構

從數據應用的不同角度對數據進行分類，不同類別的數據在存儲、計算、傳輸時對應不同的要求和技術實現手段。

根據一般企業數據分類原則，對數據進行劃分為環境數據、業務數據、流轉數據、非流轉數據。

5 技術架構

5.1 平臺邏輯結構

根據數據的處理過程，主動防御的實現基礎，統計監測預警審計平臺在邏輯層面從下到上分為：數據處理層、數據分析層、展示和業務層三部分。如下圖所示。

5.2 數據采集分析結構

精確的網絡攻擊預測和主動防御依賴于對海量數據進行準確的計算，如圖，主動防御平臺在數據的采集、存儲、分析方面設計了嚴密的邏輯處理流程。

網絡報文、日志數據分別采用netflow、syslog、webservice收集，收集到的數據通過flume或ftpd進行傳輸進入到數據預處理隊列kafka中，對于收集到的文件直接保存到文件存儲PARQUET中。數據隊列中所保存的為原始數據，數據隊列進行本地緩存以便進行后續處理。

原始數據收集后進入到流計算框架中進行數據處理。在流計算框架中，首先進行數據的解析與轉換，之后對于某些原始數據進行增強，增加某些關鍵數據使其具備更豐富的價值。原始數據經過以上兩部分處理后一方面創建索引，同時進行數據保存，與此同時流計算框架進行實時告警計算。

增強數據的索引保存到Elastic Search中，同時將數據保存到PARQUET中。索引通過查詢的方式進行調用展現。

增強后的數據進入消息隊列中重新返回到流計算框架，此時對該數據進行一定的過濾，使其滿足后續的關聯規則。通過關聯規則實現對數據的分析工作，關聯規則來自于場景模型。關聯分析后的數據保存到相應的數據存儲中進行數據保存，同時對于某些情況觸發相應告警。

告警數據包含基于規則的告警信息、關聯分析產生的告警信息、機器學習產生的告警、重度匯總產生的告警，所有的告警數據統一進行緩存，統一進行告警處置。

原始數據、場景模型、處理數據以及告警數據都是保存到PARQUET中進行長久保存。關聯分析運行后產生的結果數據在高速數據存儲中進行保存。環境數據、情報數據保存在PostgerSQL中。最后實現多元數據融合、分析，實現重度匯總的計算過程。數據融合后的結果主要通過圖形化控件進行展示。

經過預處理、輕度匯總、中度匯總后得出的攻擊態勢分析結果會直接作用于安全域邊界設備，生成響應過濾、限制、阻斷和監聽規則，并下發到指定的設備。

6 主動防御實現

主動防御的實現分為三個步驟：

（1）采集各方面安全日志、事件日志、業務狀態等數據。

（2）對海量數據進行篩選、入庫處理、建模分析，得出目前網絡存在的攻擊以及發展態勢。

（3）根據預測結果下發防御、阻斷以及監聽策略，動態地保護業務系統安全、平穩運行。

7 結語

主動防御是近幾年來網絡安全領域新興的一個概念，受到了人們的廣泛關注。對于網絡威脅演變迅速、新的安全事件層出不窮、網絡攻擊成本和門檻日益低下的今日，主動防御技術將成為企業安全不可缺少的屏障，主動防御的技術也將向著更加智能化、自動化和普及化發展。

作者單位

國網江蘇電力公司常州供電公司 江蘇省常州市 213000