一種改進的網絡攻擊自動防御系統的設計與實現

◆倪浩杰

（江蘇省國際信托有限責任公司 江蘇 210000）

1 引言

全球環境復雜多變，網絡攻擊事件層出不窮。政企單位花費大量人財物力，保護信息資產的保密性、完整性和可用性?，F今的網絡攻擊防御系統，通過收集網絡流量、發現威脅、發送告警通知安全員，人工處置安全事件。如圖1。這種方式存在人力成本高、告警準確率低、響應處置慢等問題。為此，解決上述問題就變得十分必要。

圖1 現階段網絡安全防御系統工作流程

2 網絡攻擊自動防御系統的現實需求

● 能夠保護重要資產，阻斷網絡攻擊。

● 能夠7*24 小時自動化防御，減少人力資源投入。

● 能夠快速準確發現被保護資產的威脅和脆弱性。

● 能夠提高網絡攻擊告警的準確率。

● 能夠快速響應、有效處置安全事件。

3 網絡攻擊自動防御系統的設計

為解決上述問題，本文設計一種改進的網絡攻擊自動防御系統，它在原防御系統的基礎上，增加確認威脅模塊和決策處置子系統。確認威脅模塊校驗初步威脅概率，能有效降低威脅信息的誤報率。決策處置子系統，由決策中心模塊按照預設策略，推動自動處置模塊，“指揮”防火墻、WAF 等安全設備聯動處置，自動阻斷攻擊。

圖2 改進的網絡安全防御系統工作流程

4 網絡攻擊自動防御系統的實現

4.1 網絡攻擊自動防御系統的構架

網絡攻擊自動防御系統以承載平臺為基礎，連接收集分析平臺、決策處置平臺、配置中心模塊、日志審計模塊、監測大屏模塊、威脅情報模塊和告警通信模塊，實現資產的有效防護。如圖3。

圖3 網絡攻擊自動防御系統框圖

4.2 收集分析平臺

收集分析平臺由一系列探針組成，將網絡流量、行為特征等數據收集分析，初步發現威脅，經承載平臺推送威脅情報模塊校驗。

4.3 決策處置平臺

決策處置平臺接受校驗后的威脅信息，按照預設的策略，決策響應，聯動防火墻、IPS、WAF 等安全設備，阻斷攻擊。

4.4 承載平臺

承載平臺是自動防御系統的核心，連接收集分析平臺、決策處置平臺、配置中心模塊、展示子系統、威脅情報模塊和告警通信模塊。

4.5 威脅情報模塊

威脅情報模塊用于校驗初步威脅信息，確認威脅信息概率值。經校驗大概屬于威脅攻擊行為，則進一步查詢威脅的風險值和標簽等信息。威脅情報模塊有效降低告警誤報率。

4.6 告警通知模塊

告警通信模塊將威脅信息發送給安全員，包括惡意IP、URL、風險等級、風險標簽。如圖4。

圖4 告警通知示例

4.7 配置中心模塊

配置中心模塊用于配置網絡接口、安全策略、觸發閾值、處置方式、情報庫設置和告警通信等參數。

4.8 展示子系統

展示子系統包括日志審計模塊和監測大屏模塊。日志審計模塊用于查看操作、攔截、登錄等日志信息。監測大屏模塊外接大面積顯示屏，方便實時監測和展示。

5 結論

本文提出的改進后的網絡攻擊自動防御系統，能夠準確識別威脅，發送告警，快速響應，自動處置，阻斷攻擊，保護資產，減輕了安全員的工作壓力，最大程度降低了數據泄漏風險。在護網行動、百年建黨等重要時刻，該系統在作者單位經發揮巨大作用。