周一波+王璟+朱朝勇+胡茂松

摘 要：网络空间安全目前成为国家安全的重要组成部分。论文通过对信息安全主动防御预警平台的需求分析，提出主动防御预警平台在现有的通用的被动防御预警平台基础上可以进行的优化设计，从防DDoS攻击、攻击行为动态感知、分析和溯源，威胁情报收集和综合利用等方面提升信息安全防御手段，平衡信息安全人员和攻击者的信息不对称现状。

关键词：主动防御；威胁情报；大数据分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

网络空间安全形势日益严峻。网络空间安全问题已经从黑客单独攻击逐渐上升为分工明细的黑客产业链，上升为国家行为的APT攻击模式。遭受网络攻击的受害者层出不穷。乌克兰电网断电、伊朗核设施受损、勒索病毒肆虐、12306用户密码撞库、酒店住宿用户信息大量泄露等，都是网络空间安全问题的实例。网络空间安全关系到国计民生，关系到每一个公民生活的方方面面。

2 国家出台相关法律

《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。《网络安全法》体现了中国政府对网络空间安全问题的关注，法律对网络运营者的责任和义务做出了比较明确的定义，对国家关键信息基础设施的方方面面进行了闡述，对用户信息的保护提出了详实的要求。相信随着网络安全法的实施和后期相关细则的不断出台，网络空间安全将成为国家安全的重要组成部分，探讨信息安全主动防御预警平台规划设计也是实现网络空间安全的重要途径。

3 主动防御预警平台需求分析

3.1 防DDOS攻击流量清洗

根据百度百科定义，分布式拒绝服务攻击DDoS指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。针对DDoS攻击有效的防御方式是流量清洗技术，通过对攻击流量和正常访问流量的区分，阻断攻击流量，放行正常访问流量，保障信息系统对外的正常服务。防DDOS攻击流量清洗应该是主动防御预警平台的重要组成部分。

3.2 攻击行为动态感知和展现

目前黑客对信息系统的攻击形式多种多样，例如Web渗透攻击、操作系统漏洞利用、中间件漏洞利用、数据库漏洞利用、第三方软件漏洞利用等。信息安全人员目前主要的防护手段还是借助IPS、WAF等设备匹配检测攻击行为，经过简单分析后在防火墙人工设置策略阻断攻击IP地址。这种被动式的防御手段时效性、全面性都较差，攻击行为的动态实时感知以及全方面的展现是主动防御预警平台的核心功能。

3.3 攻击行为分析和溯源

目前，信息安全人员对攻击行为进行阻断后，从被动防御的安全防护设备（IPS、WAF）对攻击行为信息的了解仅停留在攻击者IP地址，攻击者攻击的方法。信息安全人员所掌握的信息不足以全面分析黑客入侵的线路、获取的数据以及黑客真实的身份。信息安全人员从Web管理平台、中间件、数据库等提取的日志也是海量的，无法及时准确的确认攻击者所获得的战果。攻击行为的综合分析和溯源是主动防御预警平台又一个核心功能。

3.4 威胁情报收集和综合利用

攻击行为动态感知和溯源是需要数据支撑的。威胁情报的收集和综合利用提供了部分数据。根据通常的定义，威胁情报是指针对安全威胁、威胁者、恶意软件、漏洞和危害指标所收集的用于评估和应用的数据集。简单地说，威胁情报是能帮助信息安全人员识别安全威胁并做出明智决定的知识。目前国内提供威胁情报的安全数据公司很多，企业可以选择与安全数据公司合作，引入其威胁情报信息，服务主动防御预警平台对攻击行为的动态感知和溯源。

3.5 网络日志收集和综合分析

网络日志的收集和综合分析是攻击行为动态感知和分析的基础。这里所提网络日志是指网络设备、安全设备、Web管理平台、中间件、数据库等多维的日志。攻击者随着其攻击渗透的深入会在不同阶段留下相关痕迹，主动防御预警平台的日志收集和综合分析功能负责智能提取和分析这些痕迹，从而从时间和攻击路径两个维度刻画出攻击者渗透的身影。

3.6 用户行为画像

用户行为的画像是帮助信息安全人员辨识正常用户行为和黑客攻击行为的有效利器。信息安全人员通过对信息系统运维人员、应用人员、研发人员等正常访问行为进行收集，可以在主动防御预警平台中固化相关人员的正常操作，设定相关阈值。当相关阈值被突破时，信息安全人员有足够的留有怀疑信息系统遭到了攻击。endprint

3.7 预警平台与安全防护设备的联动

预警平台与安全防护设备的联动是属于主动防御预警平台的更高级应用。前面提到主动防御预警平台会从安全防护设备抽取相关日志进行分析，在得到分析结果后，不通过人工干预，主动防御预警平台可以智能的与安全防护设备通信，设置相关安全策略，阻断威胁源进一步对信息系统的攻击行为。

3.8 攻击行为蜜网

攻击行为蜜网可以作为主动防御预警平台的一个部分。信息安全人员在对攻击行为有进一步的分析和观察需求时，在不想影响到信息系统正常服务的同时，引导攻击流量至蜜网系统，进一步观察攻击者的下一步动向。

4 主动防御预警平台规划设计

根据上述需求的分析，我们设计出信息安全主动防御预警平台架构，如图1所示。

主动防御预警平台的核心是一套大数据分析中心。大数据分析中心信息来源有安全数据厂商提供的威胁情报、流量清洗厂商提供的流量清洗服务产生的数据、网络和安全设备产生的海量日志、蜜网系统提供的攻击者行为分析、大数据分析中心内部固化正常用户访问系统的行为画像。大数据分析中心输出的数据有对攻击者行为的动态感知和集中展现、攻击者行为溯源、对网络和安全设备的策略设置指令、对攻击者流量向蜜网系统的牵引指令。

防DDoS攻击流量清洗可以有两种形式：一是采用流量清洗服务厂商的服务，对系统流量进行引流，先经过流量厂商清洗再灌入企事业单位网络边界；二是企事业单位采用防DDoS攻击流量清洗设备对攻击流量进行清洗。

威胁情报的获取是指从安全数据厂商获得最新漏洞信息、攻击样本、病毒样本、攻击者地址、攻击者工具和相关攻击方法等信息。威胁情报的实时性和准确性是主动防御预警平台的落地关键。

网络和安全设备产生的海量日志一直是信息安全人员的梦魇，大数据分析中心通过收集这些日志并经过综合分析，可以免去信息安全人员大量的工作量，并提供一手的攻击者痕迹。

正常用户行为画像是威胁情报的有益补充。举例来说，正常用户访问系统，不会连续高频次的用同一IP地址尝试用不同用户名尝试登录系统，黑客工具会利用字典尝试多次破解用户口令，当防御预警平台侦测到类似的攻击可疑行为时，可疑牵引相关流量进入蜜网并向信息安全人员预警。

攻击者行为的集中展现和攻击者行为溯源是主动防御预警平台的主要输出，攻击行为是通过对威胁情报、海量日志、异常用户行为等数据分析得出，展现以攻击路径和时间为维度展现为宜。例如攻击者A夜间11点通过暴力破解获得网站管理员密码，登录网站管理后台；11点10分通过上传植入木马；11点20分通过木马浏览服务器敏感信息；11点20分通过敏感信息发现后台数据库地址和相关连接密码；11点30分通过访问数据库获得用户敏感信息。信息安全人员通过对攻击行为的辨识可以掌握攻击者的攻击方法和所获得的数据，开展相关补救措施，并开展攻击溯源工作。

主动防御平台与安全设备的联动是一种智能的防护手段，在信息安全人员不在线的状态下，可以根据设置好的策略及时对网络攻击行为进行自动阻断。

5 结束语

主动防御预警平台由于其对攻击行为的实时动态感知、溯源等特性，防御性能远优于被动防御安全设备。通过引入大数据分析等先进技术经过优化设计，主动防御预警平台可以使得信息安全防护工作更加智能，减轻信息安全人员的工作量，降低信息安全防护对人员安全知識的要求，提供给信息安全人员知己知彼的手段，是未来企事业单位做好信息安全工作的基础。

参考文献

[1] 赵原.基于异常分析的入侵检测系统的设计与实现[D].哈尔滨工业大学，2015.

[2] 孔震.网站信息安全事件监测平台设计与实现[D].山东大学，2015.

[3] 陈青民，王成.云安全平台环境下信息安全预警系统研究[J]. 网络安全技术与应用，2016，（08）：55-56.

[4] 袁野，张梦梦.基于云安全平台的信息安全风险预警管理系统[J].电力信息与通信技术，2015，（08）：124-127.endprint