基于DevOps,的云大数据中心重保研判研究

王新宽 李志强 孟 凡 范学领 李 强 张淏湜

1.中国移动江苏公司扬州分公司；
2.扬州大学；
3.南京大学；
4.西安交通大学；
5.扬州市政府资源中心

随着东数西算、数智化转型如火如荼地推进，网络规模越来越大，其上承载服务的民生类、政务类等系统，对百姓和政府的影响日益深远。但在当前动荡的国际形势下，网络安全形势日趋严峻，因此在重保（在重大活动期间或特定期间，对于通信和网络安全的重要保障服务，以下简称“重保”）期间面临的压力陡增。

重保时，如果将网络安全防护体系比喻成一个“坦克车组”，那么研判系统就是“车长”，它负责使用雷达观瞄设备对战地态势进行分析、判断、支撑指挥决策。传统的研判操作是以事件告警为触发点的被动响应模式，存在先天滞后性。

结合近年重保和护网的经验，通过分析重保期间网络安全的痛点和需求，提出主被动结合等的新型研判分析模式，提供以攻击者脸谱分析能力为核心的新型主动研判模式，将研判能力前置，对攻击源头分析管控，降低网络面临的威胁和风险。

结合本市政府大数据中心、华云大数据基地等近几年网络安全运维和重保的经验，进行研究。

1.1 痛点分析

网络安全攻防是在业务可用性要求的悬崖边上跳舞，攻防双方在同一条隐形赛道上赛跑，落后就意味着失败。所以对攻防研判而言，时效性和准确性属于首要需求。传统研判模式的痛点如下：

1.1.1 研判滞后且缺乏发现手段

研判滞后：传统研判通过态势感知等实现，缺点是告警带动研判机制，研判的起点可能是攻击链的中后期（传送、控制阶段），攻击者可能已经得手。在攻击行为预判跟踪方面，攻击者可以在其选定的任意时间、任意资产暴露面上展开攻击，防守者只能被动响应，将网络攻防不对等体现的淋漓尽致。

缺乏发现手段：虽然能通过沙箱、EDR（终端检测与响应）、内存检测、违规外联检测等手段发现免杀木马的攻击行为并及时进行控制，但这依然令终端或业务处于一种风险状态。

1.1.2 三个能力不足

承压能力不足：运维团队“人”的精力有限，SOAR（安全大数据分析平台）等“系统”处理能力也有限，导致在重保期间遇到高并发攻击时，超出人和系统的处理能力，形成风险失控；
且SOAR 等工具只能执行一些简单的标准化操作（例如IP 封禁），能力存在局限性。

溯源能力不足：传统模式“对事不对人”、“自保为主的防御思想”，使其缺乏对攻击源头的主动溯源能力、反向攻击溯源的驱动力。表现在如下三方面：（1）“源于事件告警，止于封禁IP”，只能看到攻击IP，不知道攻击者是“谁”；
（2）非重保阶段没有溯源的意愿和准备，导致重保阶段缺乏溯源的能力；
（3）高度依赖专家经验和反向渗透、社工库、蜜罐内置木马等方式，溯源成本高、见效慢、成功率低。

处置能力不足：不可能为了安全而破坏业务可用性；
通过边界封禁IP 等手段阻止攻击者，但攻击者自身无损，可通过启用其他路径继续展开攻击。

1.2 需求分析

综合前述内容并结合重保研判实战经验，提炼出以下需求：

（1）更早地研判切入点。需要消减传统研判模式的滞后性，在攻击链靠前的阶段展开研判并识别攻击事件和攻击者。提升早研判、早发现、早处置的能力。

（2）需要更准确地对攻击者的身份类型进行定位。不仅能通过有限的探测、攻击行为日志和威胁情报碰撞，还能分析攻击源时空行为、行为特征、历史攻击记录等深层攻击情报，并具备定位的能力。这是进行后续决策和处置的必要前提和关键依据。

（3）能通过平台落地、标准化服务落地等方式，来提供持续稳定的标准化研判分析能力。当然还要考虑成本因素，能通过自动化、服务化等方式，提供便捷、更易用、可并发的网络安全研判能力，节省人工等成本。

依据国家网络安全相关法规、等级保护指南、DevOps（Development 和Operations 组合的研发运营一体化）、态势感知系统架构等内容，设计网络安全整体框架；
重保重点防范政务网与云上大数据系统，对攻击进行主被动结合、同源分析等，实现前置研判，帮助防守方对攻击者画像，早发现、早定位、早处置。

2.1 打牢基座聚集政务网与云上大数据系统

重保的基础是已具备了一定的网络安全防护能力，而不是临时抱佛脚。依据前述法规等内容，进一步结合内外部管理要求、DevOps 过程和方法等内容，制定整体安全框架如图1 所示，包括管理、运营、全生命周期等9 个模块，通过自上而下的一整套措施，在经过大数据分析后对每日对攻击流量进行迭代，以动态清零的思路做好网络安全研判管控工作。

图1 网络安全整体框架

随着政务网云化推进，在云方面，本文聚焦“一个中心，三重防护”，即安全管理中心，通信网络防护、区域边界防护、计算环境防护。图2 为云网络安全图谱，针对“一个中心，三重防护”的要求进行方案设计，建立以计算环境安全为基础，以区域边界安全、用户层安全为保障，以安全管理中心为核心的信息安全整体保障体系。

图2 云网络安全图谱

云为基，数据驱动，大数据系统孕育而生，这就不难理解为何近年来各市大数据局如雨后春笋般成立了。大数据系统，在“一个中心，三重防护”的基础上，再细分为业务安全、应用支撑环境安全两个维度，如图3 所示。

图3 大数据系统网络安全图谱

2.2 主被动结合的新型研判模式

传统研判模式是研判能力的基础，可保障防守方研判能力下限。以攻击者脸谱分析能力为核心的新型主动研判模式是创新，可以提升防守方研判能力上限。如表1 所示。

表1 传统模式+新型模式

主被动研判模式并行，能获得1+1>2 的效果。

主动研判源于告警，高于告警；
通过引流等，实现“间谍卫星”能力，实现云端本地，能力互补；
通过片段、线索的分析可以掌握其背景、能力、范围、成功事件，且可以持续分析跟踪；
通过大数据分析与存储、规则库与同源分析，将零碎的行为串联成一个整体的事件，综合分析组织或个人的背景、能力、意图以及结果来做到有效的辅助决策。

2.3 针对威胁主体的前置研判模式

针对威胁主体进行攻击者脸谱分析的研判模式：从“事”到“人”，将多起事件关联到同一人；
从分析威胁主体的客观行动，到分析威胁主体的主观意图；
通过云端黑客档案、攻击者脸谱情报等威胁情报进行碰撞，实现智能关联分析；
从“雷达”到“卫星”；
通过对攻击者的“时空信息”分析，进行跨时空研判；
还能从“事后”到“事前”。

网络安全重保研判能力框架，包括研判分析与态势预警（含同源分析和事件图谱等）、外部联动、接入对象接口等，具体如图4 所示。

图4 网络安全重保研判能力框架

3.1 研判分析模式

专业的研判分析能力，是网络安全重保研判解决方案的技术核心，分析模块如下：

3.1.1 同源结果分析

通常攻击者使用了大量代理IP、公网IP、秒拨技术、团伙多地进行配合行动等。需要根据不同的方法将属于同一事件进行同源关联，包括：

（1）静态特征同源：提取攻击者留下的静态特征痕迹，如：域名、Ma、Cookie、恶意文件MD5、后门地址、XSS 平台地址、DNSLOG 地址等。

（2）行为模式同源：提炼攻击者的行为模式，将攻击者的行为转化为攻击者向量，当向量在一定时间窗口内存在行为模式相似性则视为存在同源关系，后续经过同源引擎进行进一步的研判识别。

3.1.2 事件指标分析

事件指标数据主要通过流式进行时间窗口化统计。统计事件信息如：攻击成功次数、受害者的数量、后门的数量、告警总量、高危手法数量等，以上统计指标主要为事件角度的统计数据。

指标维度包括但不限于攻击成功次数、受害者数量、攻击失陷次数、IOC 数量、攻击结果未知次数、攻击尝试次数、高危手法数量等。

3.1.3 事件图谱生成

图谱关系数据有两种方式获取，一是通过API 获取数据；
二是在批处理中进行提取数据并落盘，实体节点信息包括但不限于攻击者IP、受害者IP、团伙ID、攻击行为、攻击者基础设施等。然后采用知识图谱知识表示和构建方法生成时间图谱。

另外，还能根据多个维度进行攻击事件威胁评估，推荐的重点研判事件；
对攻击者属性进行分析等。

3.2 研判流程

参照DevOps 的理念，提炼出“六步研判法”，通过自动或人工方式，从基本信息到攻击者定位、处置的研判结果；
每日对攻击流量进行迭代，以动态清零的思路做好网络安全研判管控工作。

（1）收集汇总：确保基础平台安全数据监控全覆盖包括但不限于流量、日志、云平台、供应链安全信息等。避免因监控数据覆盖不到位形成基础信息黑洞，导致研判不全面、不及时。

（2）提炼分析：通过规则优化消除业务误报、互联网爬虫、扫描器等干扰信息，将真正包含主管恶意威胁的流量提炼出来，进行重点分析。对于加密流量，通过代理解密设备对其进行解密。

（3）挑出攻击：通过分析策略、引擎规则，将异常流量中的攻击行为提取出来，形成待分析攻击源数据。

（4）画像：利用黑客档案、攻击者脸谱情报等威胁情报对攻击源进行数据碰撞，从多维度、多时段补全攻击者画像信息。

（5）研判：通过系统规则及专家经验，对攻击者进行脸谱研判，判定其身份类型；
预设多种攻击者脸谱，包括但不限于受信红队、安全公司、僵尸网络、黑产团伙、白帽黑客、雇佣黑客等。

（6）下指令：对不同类型的攻击者进行处置。

在原有网络安全底座的基础上，本文坚持“三个不”的原则，即不增加网络安全运行风险、不改变现有网络拓扑结构、尽量不破坏现有业务机制。

本文通过旁路部署实现对客户网络、业务的安全监听及研判，输出高价值的攻击者研判信息。

4.1 实施内容

基于原有安全基座，只要增加如下内容：（1）重保研判主体系统：内置重保研判分析逻辑及业务流程，是用户进行重保研判数据查询、业务操作的主系统；
（2）本地攻击者研判分析系统：本地流量切片分析，结合云端情报共同进行攻击者画像分析；
（3）流量采集设备：研判系统及天炬配套的流量采集设备；
（4）流量解密设备：流量采集配套设备，用于对ssl 流量进行解密；
（5）蜜罐设备：在客户内外网部署蜜点，用于识别存在探测、渗透行为的恶意攻击IP；
（6）云探针：支持阿里云部署，可监听云主机日志及流量；
网络威胁主体情报，网络威胁主体情报。

4.2 效果

实施后，实现了：更早识别定位攻击者，提前斩断攻击链；
更准确识别攻击者类型，明确处置方式；
更少攻击流量抵达边界，降低安全运营压力；
更少安全事件发生，网络安全更有保障；
更强的协同管控能力，分支机构更安全；
更强的溯源能力，可批量溯源。

2019 年以来，成功抵御1569 万次的网络和病毒攻击；
提升政务网27 家委办局45 个新系统、IDC 数T 运营流量的“抵抗力”；
圆满完成全国两会、国庆七十周年等重保期间网络安全保障工作。

在对传统重保研判的痛点和需求分析的基础上，聚焦政务网和云上大数据系统，设计主被动结合、前置研判的新型研判分析模式与流程，取得了显著效果。后续持续优化事件指标等参数，提升攻击者画像能力，并将直接推广到中国移动长三角（扬州）数据中心。

猜你喜欢研判攻击者网络安全徐州市超前研判 做好春节安全防范江苏安全生产(2022年3期)2022-04-19机动能力受限的目标-攻击-防御定性微分对策指挥与控制学报(2022年4期)2022-02-17研判当前货币政策走势的“量”与“价”中国外汇(2019年20期)2019-11-25研判当前货币政策的“变”与“不变”中国外汇(2019年18期)2019-11-25网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29上网时如何注意网络安全？小学生必读(中年级版)(2018年4期)2018-07-05正面迎接批判爱你(2018年16期)2018-06-21基于CRF文本挖掘的事故研判分析中国交通信息化(2017年12期)2017-06-06有限次重复博弈下的网络攻击行为研究指挥与控制学报(2015年4期)2015-11-01

推荐访问:研判 数据中心 研究