网络安全防护中的一种智能化解决方案

2022-03-23李慧芹汪亚娟刘爽宋灿

网络安全技术与应用 2022年2期

◆李慧芹汪亚娟刘爽宋灿

网络安全防护中的一种智能化解决方案

◆李慧芹1汪亚娟1刘爽2宋灿1

（1.国网客服中心信息运维中心天津 300309；2.江苏邦芒服务外包有限公司江苏 211100）

当前，网络安全形势愈发严峻，传统的网络安全防护工作存在安全设备种类多、数量大、运维复杂等困难，亟须向自动化、智能化方向发展。本文首先分析网络安全防护现状及痛点，接着提出了一种网络安全防护智能化解决方案，对归集的安全设备日志进行关联分析，处理成有效的攻击事件，并在防火墙上对攻击地址进行自动化封禁。该方案可有效提高企业网络安全监测和应急处置效率。

网络安全；智能化；自动告警；自动封禁

当前企业的网络安全防御基本是基于边界的传统的安全防护架构，在边界上部署了防火墙、入侵防御设备（Intrusion Prevention System，IPS）、入侵检测系统（Intrusion Detection System，IDS）、Web应用防火墙（Web Application Firewall，WAF）以及流量分析、威胁感知等安全产品[1-3]，需要安全运维人员不断优化安全策略，分析各类安全设备攻击日志，并对攻击行为进行及时阻断。

各网络安全防护设备具有不同的检测机制和性能，在检测不同的网络攻击事件时，不同类型的设备得到的结果差异很大。如何利用各设备的日志对当前的网络攻击态势进行全面监测，文献[4-8]提出了对多源设备日志进行融合处理的思路，但在实际工作中缺乏可操作性。文献[9]提出了网络安全威胁处置效率低下的困局，未给出可行的解决方法。本文结合网络安全运维工作实际，提出了一种网络安全智能化分析、预警、处置的解决方案，大大提升了安全运维工作效率。

1 当前网络安全防护难点

当前，国家高度重视网络安全，相继出台《网络安全法》、《密码法》、《数据安全法》等法律法规，个人信息保护相关法律法规也在酝酿中，网络安全相关法律体系越来越完善，对企业信息系统的网络安全防护能力提出越来越高的要求。

为提高网络安全防护水平，企业在网络边界以旁路或串联的方式部署了各类网络安全设备，安全设备在检测到攻击时会产生大量的日志，安全运维人员的主要工作是查看安全设备日志，了解当前系统遭受的攻击类型、攻击结果以及这些攻击行为针对系统中的哪些漏洞进行攻击，除对攻击行为及时封堵外，还需要对对应漏洞进行修补以防漏洞被利用。但由于各网络安全设备检测机制不同，对于同一种类型的网络攻击行为，不同类型的网络安全设备检测得到的结果可能存在差异，安全运维人员在值班监测时，需要轮流登录各安全设备查看和分析告警日志，得到是否为攻击行为的结果，耗时耗力，容易漏掉攻击行为。

经过分析确认是攻击行为后，需要对攻击行为进行及时阻断，目前最常用的阻断方式是在对应防火墙上将攻击IP加入黑名单，需要将待封禁IP及时传递给网络人员，并立即封禁，这一过程一般要花费若干分钟，可能导致系统被攻击成功，尤其是同一时段需要封禁的IP较多时，人工封禁的弊端更为明显。

综上所述，传统的基于边界的网络安全防御体系主要存在以下难点：

（1）网络安全设备种类多、数量大，对安全设备日志轮询分析需耗费大量精力，容易漏掉攻击行为且效率较低；

（2）对众多安全设备日志进行人工单独分析和处理时，难以对多种类型的设备日志进行关联分析，从而发现更为隐蔽的攻击行为和攻击规律，其得到的结果无法准确反映出当前网络所面临的威胁。

（3）当发现攻击行为时，多数是采用在防火墙上封禁攻击IP的方式来阻断攻击行为，当待封禁IP较多时，对封禁效率要求很高，否则，会因为封禁不及时导致攻击成功事件。

2 网络安全防护的智能化解决方案

针对当前网络安全防护中存在的问题，本文提出了一种智能化解决方案，示意图见图1。

对来自多个网络安全设备的告警日志进行归集、聚合和关联分析，将大量告警信息处理成可信度较高的攻击事件，通过联动边界防火墙进行自动封禁，可大大提高安全运维人员监测及应急处置效率。

图1 智能化解决方案示意图

2.1 数据源

数据源是安全分析的前提与基础，普通的网络系统日志数量庞大、结构复杂，拥有的网络威胁信息含量较低，而网络安全设备日志安全性高、结构较好、网络威胁信息含量较高，是本文的研究对象。同时，为了提高分析结果的准确性，需要结合网络资产信息对结果进行修正。本文研究的日志需要收集的数据源包括如下几方面。

（1）日志数据：包括网络安全设备记录的日志和告警信息。网络安全设备包括但不限于IPS、IDS、WAF、全流量分析设备、攻击溯源设备、蜜罐诱捕设备、主机防御设备等，为保证安全分析效果，应遵循“应接尽接”原则将企业所有能接入的网络安全设备均接入。

（2）支持数据：网络中的资产信息、相关人员信息、安全设备台账信息等，主要用于在数据分析时修正分析结果，避免产生误告警和误封禁，从而影响到企业的正常业务。重要的支持数据包括企业的互联网出口地址、企业红队渗透测试地址、回源地址、重要系统地址等白名单信息以及安全设备地址、账号、密码信息以进行安全设备的自动登录。

2.2 告警日志归集

通过爬虫方式爬取众多网络安全设备的日志查询接口，实时刷新，将安全设备日志进行格式化处理后在数据存储平台上保存为相应的设备日志文件（.log）。主要步骤如下：

（1）自动登录安全设备

对安全设备请求验证码并进行自动识别，结合用户名密码进行验证码登录，获取cookie。

（2）获取日志并存储

请求安全设备日志接口，分别查询风险等级为高、中、低的安全设备日志，提取出全部原始日志。对获取的日志进行格式处理，统一为设备标识、时间、危险等级、源IP地址、目的IP地址、地理位置、事件名称、攻击次数、攻击特征，并将格式化处理后的日志文件保存在数据存储平台上。

2.3 日志分析处理

日志分析处理的核心是对数据存储平台上的安全日志进行聚合并去除误报，将上万条告警信息处理成几十条至几百条真实的攻击信息，并将攻击信息推送到自动化告警和自动化阻断模块，实现攻击信息的自动上报和攻击IP的自动封禁。

（1）聚合

主要针对多个安全设备均出现的告警信息、一个源IP产生的上百条告警信息进行处理，把与同一攻击事件有关的多条日志放到一个事件簇中，进行去重和合并。

（2）去除误报

安全运维人员结合网络资产信息等支持数据维护企业的白名单IP和白名单特征码。白名单特征码为安全运维人员自定义的规则，主要是经过人工分析后确认为误报的告警信息，比如日志审计信息、因代码编写不规范导致正常业务触发安全设备告警规则而引发的告警等。

聚合后的全部日志文件需与白名单IP、白名单特征码进行对比，去除非真实的告警信息，形成真实有效的攻击告警信息。

（3）攻击信息推送

在得到有效的攻击告警信息后，一方面将真实的攻击信息推送给“自动化告警”模块，攻击信息包括包含告警的安全设备、攻击发现时间、攻击IP、攻击手段、攻击次数、目标系统、目标IP等信息；另一方面结合企业资产台账等支撑信息，判断被攻击的资产所处机房位置，根据被攻击资产所处位置不同，自动生成被攻击资产所在机房边界防火墙阻断指令，推送至“自动化阻断”模块。

2.4 自动化阻断

收到阻断指令后，对应防火墙做如下处置：

（1）分析阻断指令：结合资产白名单等信息再次确认分析阻断指令的有效性，防止误封影响业务的正常运行。

（2）执行阻断指令：经分析，可以封禁攻击IP后，防火墙执行封禁操作，及时阻断网络攻击行为。

（3）推送阻断结果

把防火墙阻断动作的结果实时推送到微信、企信、钉钉等运维人员沟通群中，让运维人员知晓处置结果。

2.5 自动化告警

收到真实攻击信息后，自动化告警模块做如下处置：

（1）编制告警信息：读取真实攻击信息，通过IP138、ip.cn等IP情报库对源IP进行归属地查询，并对告警信息进行上报格式处理。

（2）推送告警信息：通过微信、企信、钉钉等渠道发送最终上报结果，提醒运维人员及时查看和分析。

2.6 应用效果

该智能化解决方案可接入IPS、WAF、睿眼、天眼等主流的安全设备日志，实现各类安全设备高效联动，通过自动化的分析、处置和预警，可将攻击发现、分析和阻断的时间控制在分钟级甚至秒级。企业应用该方案后还能够节省日常监测分析处置的人力投入，并实现7*24小时不间断的监测分析处置，即便在企业安全监测人员数量不足、人员技能水平不高的情况下，也可以保证基本的网络安全应急处置工作的运转。