基于CDN的安全私有云

隨著云提供商不斷積累運(yùn)營(yíng)經(jīng)驗(yàn)和技術(shù)的日益成熟，云故障的頻率和持續(xù)時(shí)間都在減少。但與此同時(shí)，單位卻在面對(duì)宕機(jī)的時(shí)候變得越來(lái)越脆弱，依賴性也越來(lái)越高，潛在的危害，或者強(qiáng)烈的挫折感，變得比以往任何時(shí)候都更大。

CSA云安全聯(lián)盟列出2016年“十二大云安全威脅”：數(shù)據(jù)泄露；憑證被盜和身份驗(yàn)證如同虛設(shè)；界面和API被黑；系統(tǒng)漏洞利用；賬戶劫持；惡意內(nèi)部人士；APT(高級(jí)持續(xù)性威脅)寄生蟲；永久的數(shù)據(jù)丟失；調(diào)查不足；云服務(wù)濫用；拒絕服務(wù)(DoS)攻擊；共享技術(shù)，共享危險(xiǎn)問題。

基于CDN的安全私有云平臺(tái)設(shè)計(jì)

CDN（Content Delivery Network）通過在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò)，CDN系統(tǒng)能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶的距離和響應(yīng)時(shí)間等綜合信息將用戶的請(qǐng)求重新導(dǎo)向離用戶最近的服務(wù)節(jié)點(diǎn)上。其目的是使用戶可就近取得所需內(nèi)容，解決Internet網(wǎng)絡(luò)擁擠的狀況，提高用戶訪問網(wǎng)站的響應(yīng)速度。

基于CDN的安全私有云平臺(tái)是針對(duì)CDN特殊環(huán)境下，對(duì)整個(gè)云端邊界及核心應(yīng)用集群進(jìn)行綜合安全防護(hù)的解決方案。整個(gè)平臺(tái)由智能WAF防火墻系統(tǒng)、智能蜜罐系統(tǒng)、分布式全流量檢測(cè)取證系統(tǒng)和分布式存儲(chǔ)中心幾部分構(gòu)成。

平臺(tái)核心為分布式全流量檢測(cè)取證系統(tǒng)，當(dāng)部署在邊界的全流量感知到攻擊行為時(shí)，迅速通知分布式WAF設(shè)備將其鏈路阻斷，并行為全流量系統(tǒng)提交有關(guān)線索，綜合調(diào)度系統(tǒng)立即將對(duì)方流量劫持到蜜罐中，記錄其動(dòng)作、捕捉其工具，同時(shí)分析對(duì)方軟件系統(tǒng)及網(wǎng)絡(luò)環(huán)境。

基于CDN的安全云私有云平臺(tái)總體架構(gòu)如圖1。

全流量系統(tǒng)實(shí)時(shí)采集CDN的邊界流量，通過對(duì)協(xié)議還原進(jìn)行數(shù)據(jù)建模，實(shí)時(shí)提取疑似針對(duì)CDN邊界網(wǎng)絡(luò)的APT攻擊滲透行為，同時(shí)WAF設(shè)備與與全流量設(shè)備互相聯(lián)動(dòng)，一旦獲取全流量分析系統(tǒng)提取的攻擊入侵樣本及定位攻擊源頭，分布式WAF設(shè)備將迅速對(duì)可疑的攻擊行為進(jìn)行快速阻斷與報(bào)警，提供詳盡的攻擊日志呈現(xiàn)。

安全云私有云平臺(tái)通過與不同功能模塊之間的數(shù)據(jù)交換與流動(dòng)，為數(shù)據(jù)、資源和能力的使用者提供統(tǒng)一透明的訪問接口。并以可視化的方式進(jìn)行安全威脅預(yù)警與展示。

主要功能模塊包括：

1.基于CDN網(wǎng)絡(luò)邊界的WAF阻斷系統(tǒng)

提供Web應(yīng)用攻擊防護(hù)能力，通過多種機(jī)制的分析檢測(cè)，夠有效的阻斷攻擊，保證Web應(yīng)用合法流量的正常傳輸，同時(shí)針對(duì)各類安全攻擊（如SQL 注入攻擊、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等），WAF阻斷系統(tǒng)根據(jù)最佳安全策略進(jìn)行防護(hù)，有效降低安全風(fēng)險(xiǎn)。

2.基于CDN網(wǎng)絡(luò)邊界的蜜罐系統(tǒng)

通過多個(gè)蜜罐系統(tǒng)構(gòu)成一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在保證網(wǎng)絡(luò)的高度可控性的同時(shí)，對(duì)整個(gè)攻擊事件進(jìn)行信息的采集和分析，幫助Web管理人員認(rèn)知真實(shí)運(yùn)用中存在的漏洞，有效降低真實(shí)Web應(yīng)用的安全風(fēng)險(xiǎn)。

蜜罐系統(tǒng)由采集模塊和上傳模塊組成，采集模塊部署在CDN的邊界接口，并介入互聯(lián)網(wǎng)，采集模塊將將所有攻擊者進(jìn)入蜜罐種植的工具軟件和惡意程序進(jìn)行自動(dòng)化提交到沙盒進(jìn)行自動(dòng)分析。同時(shí)在 Windows、iOS、安卓系統(tǒng)等多系統(tǒng)中，在臺(tái)式機(jī)、筆記本電腦、iPAD、手機(jī)等多形態(tài)上模擬人員操作，并對(duì)注冊(cè)表行為、系統(tǒng)行為、網(wǎng)絡(luò)連接等進(jìn)行特征提取，然后通過上傳模塊將采集的信息提交到管理中心。管理中心接受所有監(jiān)測(cè)設(shè)備上傳的樣本，結(jié)合人工參與逆向分析，生成監(jiān)測(cè)規(guī)則并下發(fā)到所有監(jiān)測(cè)設(shè)備。

3.基于CDN網(wǎng)絡(luò)出口的分布式全流量檢測(cè)取證系統(tǒng)

在CDN流量下實(shí)現(xiàn)高速入侵滲透行為全流量檢測(cè)，通過對(duì)網(wǎng)絡(luò)流量進(jìn)行清洗和過濾，將過濾后的統(tǒng)計(jì)流量和異常流量回傳給數(shù)據(jù)分析中心，快速發(fā)現(xiàn)和定位被入侵設(shè)備主機(jī)，及時(shí)報(bào)警并進(jìn)行相關(guān)流量的存儲(chǔ)和關(guān)聯(lián)。

惡意程序全流量分析檢測(cè)模塊：系統(tǒng)底層集成了多款主流惡意代碼、病毒族譜、木馬特征庫(kù)。主要包括受控地址、外聯(lián)地址、名稱等基礎(chǔ)信息，本模塊支持特征碼自定義功能，方便用戶自行錄入。

泄密文件全流量回放模塊：監(jiān)視惡意代碼竊取數(shù)據(jù)的整個(gè)工作流程，還原惡意代碼外傳的所有文件數(shù)據(jù)包，包括文件的傳輸?shù)脑春湍康牡刂贰?/p>

DNS全流量檢測(cè)分析模塊：檢測(cè)所控范圍內(nèi)的所有DNS數(shù)據(jù)包并進(jìn)行深度分析，發(fā)現(xiàn)異常DNS解析行為，詳細(xì)記錄DNS數(shù)據(jù)的七源組基本信息。

HTTP全流量檢測(cè)分析模塊：檢測(cè)所控范圍內(nèi)的所有HTTP數(shù)據(jù)包，詳細(xì)記錄HTTP數(shù)據(jù)的七源組基礎(chǔ)信息，包括獲取GET/POST包中COOKIE、URL、HOST、REFER等信息。

惡意文件全流量檢測(cè)模塊：該系統(tǒng)負(fù)責(zé)接收上級(jí)系統(tǒng)上傳的工具和惡意程序，進(jìn)行自動(dòng)哦的那個(gè)動(dòng)態(tài)檢測(cè)與靜態(tài)檢測(cè)，進(jìn)行注冊(cè)表行為、進(jìn)程行為、文件操作、網(wǎng)絡(luò)連接等分析，自動(dòng)生成檢測(cè)規(guī)則并提交到管理中心。

自定義特征碼全流量巡檢模塊：用戶可以自行添加特征碼。特征碼采用

明文寫入，MD5加密存儲(chǔ)方式。

異常文件文件傳輸還原模塊：自動(dòng)還原通過各類協(xié)議方式上傳下載的各類文件，支持白名單過濾功能，支持 PASV、PORT、HTTP等模式。

異常流量分析模塊：自動(dòng)調(diào)用系統(tǒng)集成各類證書集，支持用戶自定義證書導(dǎo)入，支持串接模塊部署，支持各種鏈路鏈路，隱身鏈路的識(shí)別取證，支持加密會(huì)話識(shí)別，支持HTTPS協(xié)議非標(biāo)準(zhǔn)端口識(shí)別，支持加密數(shù)據(jù)端口轉(zhuǎn)發(fā)識(shí)別。

此外，還有郵件服務(wù)器全流量分析模塊、DNS服務(wù)器全流量分析模塊、網(wǎng)絡(luò)設(shè)備服務(wù)器全流量分析模塊、時(shí)間段連接流量分析模塊、Web攻擊識(shí)別子系統(tǒng)等多個(gè)模塊組成。

4.分布式云存儲(chǔ)中心

采用hadoop+elastics earch+spark分布式模式進(jìn)行存儲(chǔ)與數(shù)據(jù)挖掘。建立一套基于Lucene的搜索服務(wù)器，提供具有分布式多用戶全文搜索等綜合訪問服務(wù)。

圖2 spark數(shù)據(jù)解析框架

數(shù)據(jù)預(yù)處理系統(tǒng)：數(shù)據(jù)預(yù)處理系統(tǒng)需要定制開發(fā)，以處理從網(wǎng)絡(luò)采集回來(lái)的數(shù)據(jù)，以及從第三方處導(dǎo)入的數(shù)據(jù)，對(duì)這些數(shù)據(jù)進(jìn)行預(yù)處理，提取摘要信息，并存儲(chǔ)原始包數(shù)據(jù)。基于Bayes分類算法的模型對(duì)海量的數(shù)據(jù)進(jìn)行歸類，利用文本數(shù)據(jù)向量化、向量空間將維等方法得出分類結(jié)果，為數(shù)據(jù)挖掘提供高質(zhì)量的數(shù)據(jù)基礎(chǔ)。

分布式計(jì)算系統(tǒng)：采用基于elasticsearch+spark分布式模式進(jìn)行存儲(chǔ)與數(shù)據(jù)挖掘。建立一套基于Lucene的搜索服務(wù)器。提供了分布式多用戶能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch采用Java進(jìn)行定制與開發(fā)，并為下一步第三方集成提供開放式平臺(tái)。分布式存儲(chǔ)中心設(shè)計(jì)將采用私有云計(jì)算模式，能夠達(dá)到實(shí)時(shí)搜索，穩(wěn)定、可靠、快速，安裝使用方便。

海量數(shù)據(jù)解析引擎系統(tǒng)：海量數(shù)據(jù)解析引擎系統(tǒng)將采用SPARK縱向分析技術(shù)，前端設(shè)備采集的數(shù)據(jù)通過讀包模式回放到ES系統(tǒng)，原始數(shù)據(jù)包將通過SPARK方式將CAP原始包保留在ES平臺(tái)中，整體框架如圖2。

數(shù)據(jù)分析模型系統(tǒng)：數(shù)據(jù)分析模型系統(tǒng)全方位統(tǒng)計(jì)數(shù)據(jù)包中的數(shù)量流的內(nèi)容，以最小單位1s為基本單位，表示每1s中某個(gè)統(tǒng)計(jì)的結(jié)果，如IP會(huì)話:5645 1s 該條記錄表示在這一秒中此IP會(huì)話出現(xiàn)的次數(shù)為5645次。根據(jù)統(tǒng)計(jì)的內(nèi)容挖掘異常信息，通過讀取統(tǒng)計(jì)結(jié)果中記錄的異常點(diǎn)，在后續(xù)讀取的數(shù)據(jù)包中與出現(xiàn)的異常點(diǎn)進(jìn)行對(duì)比最終形成一系列的異常時(shí)間點(diǎn)。

核心管理中心系統(tǒng)：核心管理系統(tǒng)對(duì)業(yè)務(wù)進(jìn)行綜合管理，需新開發(fā)以實(shí)現(xiàn)用戶管理、角色管理、配置管理、審計(jì)管理、第三方數(shù)據(jù)管理等功能。

可視化展示系統(tǒng)：展示系統(tǒng)以可視化的方式展示實(shí)時(shí)安全態(tài)勢(shì)與歷史安全態(tài)勢(shì)。包括實(shí)時(shí)態(tài)勢(shì)展示、攻擊預(yù)測(cè)、專項(xiàng)態(tài)勢(shì)展示、歷史態(tài)勢(shì)展示、信息展示。

場(chǎng)景實(shí)例

將網(wǎng)絡(luò)原始流量數(shù)據(jù)進(jìn)行記錄，對(duì)關(guān)鍵數(shù)據(jù)信息進(jìn)行匯總，從匹配庫(kù)中進(jìn)行對(duì)比，判斷操作行為是否異常。

圖3 數(shù)據(jù)記錄告警

圖4 數(shù)據(jù)記錄告警實(shí)時(shí)展示

在通過匹配數(shù)據(jù)后進(jìn)行數(shù)據(jù)警示，其部分結(jié)果如圖3、圖4所示。