信息安全主动防御预警平台的需求分析和规划设计

周一波+王璟+朱朝勇+胡茂松

摘 要：网络空间安全目前成为国家安全的重要组成部分。论文通过对信息安全主动防御预警平台的需求分析，提出主动防御预警平台在现有的通用的被动防御预警平台基础上可以进行的优化设计，从防DDoS攻击、攻击行为动态感知、分析和溯源，威胁情报收集和综合利用等方面提升信息安全防御手段，平衡信息安全人员和攻击者的信息不对称现状。

关键词：主动防御；威胁情报；大数据分析

Abstract： The security of cyberspace is becoming a significant component of national security. This paper will provide an optimal design based on a general passive defense cyber security platform through a requirements analysis of active pre-alarming and defense platform. The designed platform will enhance the tools of cyber security defense from the aspects of anti-DDOS （Distributed Denial of Service） attack， dynamic perception of attack behavior， traceability analysis， threat analysis and intelligence etc.， reducing the status of information asymmetric between defenders and attackers.

Key words： active defense； threat intelligence； big data analysis

1 引言

网络空间安全形势日益严峻。网络空间安全问题已经从黑客单独攻击逐渐上升为分工明细的黑客产业链，上升为国家行为的APT攻击模式。遭受网络攻击的受害者层出不穷。乌克兰电网断电、伊朗核设施受損、勒索病毒肆虐、12306用户密码撞库、酒店住宿用户信息大量泄露等，都是网络空间安全问题的实例。网络空间安全关系到国计民生，关系到每一个公民生活的方方面面。

2 国家出台相关法律

《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。《网络安全法》体现了中国政府对网络空间安全问题的关注，法律对网络运营者的责任和义务做出了比较明确的定义，对国家关键信息基础设施的方方面面进行了阐述，对用户信息的保护提出了详实的要求。相信随着网络安全法的实施和后期相关细则的不断出台，网络空间安全将成为国家安全的重要组成部分，探讨信息安全主动防御预警平台规划设计也是实现网络空间安全的重要途径。

3 主动防御预警平台需求分析

3.1 防DDOS攻击流量清洗

根据百度百科定义，分布式拒绝服务攻击DDoS指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。针对DDoS攻击有效的防御方式是流量清洗技术，通过对攻击流量和正常访问流量的区分，阻断攻击流量，放行正常访问流量，保障信息系统对外的正常服务。防DDOS攻击流量清洗应该是主动防御预警平台的重要组成部分。

3.2 攻击行为动态感知和展现

目前黑客对信息系统的攻击形式多种多样，例如Web渗透攻击、操作系统漏洞利用、中间件漏洞利用、数据库漏洞利用、第三方软件漏洞利用等。信息安全人员目前主要的防护手段还是借助IPS、WAF等设备匹配检测攻击行为，经过简单分析后在防火墙人工设置策略阻断攻击IP地址。这种被动式的防御手段时效性、全面性都较差，攻击行为的动态实时感知以及全方面的展现是主动防御预警平台的核心功能。

3.3 攻击行为分析和溯源

目前，信息安全人员对攻击行为进行阻断后，从被动防御的安全防护设备（IPS、WAF）对攻击行为信息的了解仅停留在攻击者IP地址，攻击者攻击的方法。信息安全人员所掌握的信息不足以全面分析黑客入侵的线路、获取的数据以及黑客真实的身份。信息安全人员从Web管理平台、中间件、数据库等提取的日志也是海量的，无法及时准确的确认攻击者所获得的战果。攻击行为的综合分析和溯源是主动防御预警平台又一个核心功能。

3.4 威胁情报收集和综合利用

攻击行为动态感知和溯源是需要数据支撑的。威胁情报的收集和综合利用提供了部分数据。根据通常的定义，威胁情报是指针对安全威胁、威胁者、恶意软件、漏洞和危害指标所收集的用于评估和应用的数据集。简单地说，威胁情报是能帮助信息安全人员识别安全威胁并做出明智决定的知识。目前国内提供威胁情报的安全数据公司很多，企业可以选择与安全数据公司合作，引入其威胁情报信息，服务主动防御预警平台对攻击行为的动态感知和溯源。

3.5 网络日志收集和综合分析

网络日志的收集和综合分析是攻击行为动态感知和分析的基础。这里所提网络日志是指网络设备、安全设备、Web管理平台、中间件、数据库等多维的日志。攻击者随着其攻击渗透的深入会在不同阶段留下相关痕迹，主动防御预警平台的日志收集和综合分析功能负责智能提取和分析这些痕迹，从而从时间和攻击路径两个维度刻画出攻击者渗透的身影。

3.6 用户行为画像

用户行为的画像是帮助信息安全人员辨识正常用户行为和黑客攻击行为的有效利器。信息安全人员通过对信息系统运维人员、应用人员、研发人员等正常访问行为进行收集，可以在主动防御预警平台中固化相关人员的正常操作，设定相关阈值。当相关阈值被突破时，信息安全人员有足够的留有怀疑信息系统遭到了攻击。endprint