网络攻击智能防御系统架构设计

2022-07-04武辉林刘永刚

河北省科学院学报 2022年3期

武辉林，姜静，蒋建，刘永刚

(1.河北省科学院应用数学研究所,河北省信息安全认证技术创新中心，河北石家庄 050081；2.河北省人力资源和社会保障厅，河北石家庄 050000；3.中国人民大学信息学院，北京 100872)

0 引言

随着网络与信息技术的不断发展，其应用已覆盖到国家和社会生活的方方面面，整个社会网络化、信息化程度越来越高，网络和信息系统一旦遭受攻击将造成巨大损失，因此，从国家到各行业都高度重视网络安全的研究进展并提供政策支持[1]。2017年6月正式颁布实施《中华人民共和国网络安全法》，文中明确提出了国家实行网络安全等级保护制度，而三级等保要求必须部署多种网络和安全设备，包括FW,IPS,IDS,安全审计等[2]。

现在网络安全解决方案面临着两大问题：首先，大部分安全产品依然是单点的安全产品，缺乏相互之间的联动。一旦某安全点无法防御相关攻击，或者高级攻击需要各个安全点相关联才能发现及阻止，安全系统因无法发现攻击，使网络处于危险之中[3]。其次，整体风险监控能力上的不足，如今的网络的边界日益模糊化，对于原本固定有限的网络环境尚能有一定数量的部署，而一旦边界模糊了，面临的是难以估量的网络范围，需要大量的安全部署来把握各个节点上的问题[4]。

为此，本文提出了一种主被动安全相结合的防御体系架构，满足复杂网络系统的要求，适应网络环境的动态变化，协同各厂商各设备的防护能力，时刻掌握网络安全动向，在多种攻击场景下都能够从容面对，迅速找出缓解危机和阻断攻击的有效方案[5]。

1 体系架构

1.1 智能防御系统技术架构

智能防御系统以云计算平台、大数据分析平台为支撑，互联网/局域网为依托，联动支持数据库(sql/mysql/oracle)、服务器(windows/linux)、网络设备(switch/router)、安全设备(fw/ips/ids)、云端节点(cloud)、动力环境监测/办公自动化(OA)、智能终端(pc/phone/pad)等，兼容各大一线厂商，如华为、思科、联想、IBM等，实现设备关联，综合数据分析，充分发挥各种设备自身优势，实现主动防御、被动防御有机结合，实现全方位立体化防御体系。技术架构主要分为6个层次，如图1所示。

图1 智能防御系统技术架构

数据收集终端，负责采集多维度、多源头的各类数据，如防火墙、入侵防御、入侵检测、核心/汇聚交换，路由等，提取相关关联信息并对其进行标准化。

模式识别引擎，对数据进行挖掘分析，归类行为模式，包括事件分类、目标分类、行为分类。

启发式模型，通过机器智能学习，不断完善自身算法，实现更精准的威胁感知，模拟攻防输入输出，进行博弈论证，动态分发各设备节点阈值范围，还可模拟真人试错，随机混淆系统参数，对抗正弦波式攻击。

综合处理模型，根据以上分析后得出的决策，反馈控制指令于各设备节点，包含时序处理、模糊处理及并行处理。

管理终端，包含BS、CS两种架构，方便管理人员掌控全局。

1.2 智能防御系统整体设计

智能防御系统包含可视化、统一管理中心、数据采集、对外接口四个层次。如图2所示。

图2 智能防御系统整体设计

(1)可视化包含安全态势和运行态势监控。安全态势展示整体安全状态、等级保护水平等；运行态势针对全网网络、安全设备及服务器等关键节点进行实时监控，清晰展现设备运行状态、主干线路流量、负载、网络安全事件等；事件处理流程。多进程执行全网设备控制的完整流程展现。(2)统一管理中心包含报表管理、工单管理、资产管理等全方位资源管理。(3)数据采集包含各节点的信息采集，如网络设备、安全设备、数据库、中间件等。(4)对外接口包含第三方系统的对接与交互，如OA系统、运维系统、动力环境监测系统等。

1.3 防御决策流程设计

智能防御系统决策流程分为事件接收、事件分析、快速响应三个阶段。如图3所示。

4月22日，水利部抗震救灾前方领导小组冒着风雪检查禅古水电站修复工作，督促施工单位保质保量按时完成禅古水电站大坝应急除险恢复重建工程。

图3 防御决策流程设计

事件接收指通过对全网全节点设备，如防火墙、IPS、IDS、路由交换、服务器等执行查询指令，即时收集多路日志信息及运行状态信息；事件分析分为实时分析和历史分析两大模块，实时分析用于快速匹配当前网络安全威胁与特征库信息，历史分析用于查漏补缺并完善行为模式库为预测未知威胁打下基础；快速响应指通过对各指标的量化方法，生成网络节点对象间的所有攻击关系，预测攻击路径，计算脆弱性状态，评估安全指标值，制定最终防御策略，多进程快速执行全网设备控制指令。

2 防御系统实现与应用

2.1 系统实现

本系统共包含35个子模块。其中，复用功能模块14个，如数据库群模块、应急闪断模块、防火墙保护核心CPU实时监测模块等；智能分析模块4个，如待执行终端地址筛选模块、动态多维地址组分类模块等；高效执行模块11个，如流控执行模块、ARP反制模块、智能IPS阻断模块、服务器清洗进程/服务模块等；框架检测模块6个，如关键链路实时监测模块、系统运行状态监测模块等。

部分软件代码如下：

pyx_t_1=_Pyx_GetItemInt(_pyx_v_row_level, 3, long,1,_Pyx_PyInt_From_long, 0, 0,1);if(unlikely(_pyx_t_1==NULL))

{

pyx_filename=_pyx_f[0];

pyx_lineno=1849;

pyx_clineno=_LINE_;

goto_pyx_L1_error;

};

…

PyObject* function = PyMethod_GET_FUNCTION(_pyx_t_5);

Pyx_INCREF(_pyx_t_4);

Pyx_INCREF(function);

Pyx_DECREF_SET(_pyx_t_5, function);

2.2 系统应用

系统分为两部分：(1)智能防御中枢。用于全局监控，全网节点数据收集，智能分析，自动化并行处理。包含边界节点监控、关键链路监控、防火墙/IPS单位时间连接数监控、IPS/IDS事件监控等。如图4所示。(2)综合管理平台。用于管理员综合管控，可视化展示。包含信息总览、系统状态、事件分布、应急处理等。如图5所示。