Web攻擊可視化研究

高昌盛 黃倩

摘要：Web攻擊可視化通過分析各個(gè)網(wǎng)絡(luò)事件間的關(guān)聯(lián)性，將關(guān)聯(lián)性以及各類攻擊趨勢(shì)以直觀可視的方式展現(xiàn)，能夠解決傳統(tǒng)上對(duì)Web攻擊的溯源及排查的方式，并且更大程度地幫助運(yùn)維人員清晰地掌握網(wǎng)絡(luò)的受攻擊情況以及易受攻擊的點(diǎn)。Web攻擊可視化系統(tǒng)功能包括：WAF設(shè)計(jì)、日志分析、態(tài)勢(shì)感知、漏洞掃描等。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;數(shù)據(jù)可視化

中圖分類號(hào)：G642? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）27-0024-02

1 緒論

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)已然成為我們生活中重要的組成部分，網(wǎng)絡(luò)安全事逐年呈大幅度上升趨勢(shì)，給我們生活和工作的方方面面帶來的更加嚴(yán)重的影響和破壞。網(wǎng)絡(luò)安全問題已經(jīng)直接上升到了關(guān)系到經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定以及國家安全的高度，網(wǎng)絡(luò)安全目前也已經(jīng)成為國家安全戰(zhàn)略的重要組成部分。

通過從各類網(wǎng)絡(luò)數(shù)據(jù)報(bào)文中檢測、發(fā)現(xiàn)異常行為，同時(shí)能夠給出預(yù)警，這已經(jīng)成為目前網(wǎng)絡(luò)安全管理的一個(gè)重要研究領(lǐng)域。目前常用的異常檢測技術(shù)有案例推理技術(shù)、神經(jīng)網(wǎng)絡(luò)診斷技術(shù)、關(guān)聯(lián)事件推理、規(guī)則推理等技術(shù)，然而這些技術(shù)最終檢測結(jié)果都是以文字報(bào)告或數(shù)字的形式呈現(xiàn)出來的，直觀性不強(qiáng)，需要專門的技術(shù)人員才能看懂。經(jīng)過國內(nèi)外學(xué)者多年的研究和發(fā)展，網(wǎng)絡(luò)安全可視化技術(shù)給網(wǎng)絡(luò)安全研究領(lǐng)域帶來了新的變革，越來越受到人們的關(guān)注，并且已經(jīng)成為該究領(lǐng)域中一個(gè)重要組成部分。

網(wǎng)絡(luò)安全可視化技術(shù)通過將采集到的安全數(shù)據(jù)進(jìn)行抽象，轉(zhuǎn)變?yōu)閳D形圖像和動(dòng)畫，同時(shí)借助人機(jī)交互技術(shù)來對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分析，充分發(fā)揮了人類大腦對(duì)視覺感知處理的能力，能夠幫助網(wǎng)絡(luò)安全從事人員分析網(wǎng)絡(luò)數(shù)據(jù)、獲知和管理網(wǎng)絡(luò)狀況，發(fā)現(xiàn)網(wǎng)絡(luò)入侵和安全異常，分析研究未知安全事件，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知等。

Web攻擊可視化解決了傳統(tǒng)上對(duì)Web攻擊的溯源及排查的方式，并且更大程度的幫助運(yùn)維人員清晰地掌握網(wǎng)絡(luò)的受攻擊情況以及易受攻擊的點(diǎn)。

2 Web攻擊可視化實(shí)現(xiàn)過程

首先分析各個(gè)網(wǎng)絡(luò)事件間的關(guān)聯(lián)性，然后通過Web將各個(gè)事件間的關(guān)聯(lián)性以及攻擊的各類趨勢(shì)以動(dòng)畫的方式展現(xiàn)，具體實(shí)現(xiàn)步驟：

（1）對(duì)企業(yè)內(nèi)的各類資產(chǎn)部署客戶端，實(shí)現(xiàn)日志實(shí)時(shí)上傳、WAF規(guī)則動(dòng)態(tài)更新、存活檢測等功能;

（2）將上傳過來的日志進(jìn)行匯總并通過規(guī)則匹配出其中存在的攻擊行為的類型;

（3）將各種攻擊類型匯總并以圖表的方式展現(xiàn)出來;

（4）繪制攻擊熱點(diǎn)圖，包含：易受攻擊類型，易受攻擊資產(chǎn)，以及攻擊IP排行。結(jié)合各項(xiàng)數(shù)據(jù)統(tǒng)一呈現(xiàn)在大屏幕上，該系統(tǒng)可成為運(yùn)維人員更加清晰地實(shí)時(shí)掌握網(wǎng)絡(luò)受攻擊的情況和容易受攻擊的點(diǎn)的輔助工具;

（5）利用灰模型來達(dá)到預(yù)測未來的網(wǎng)絡(luò)安全態(tài)勢(shì)，利用灰模需要樣本較少并且計(jì)算簡單，相對(duì)容易實(shí)現(xiàn)。

3 現(xiàn)有設(shè)備分析

現(xiàn)有設(shè)備主要為NSAS（開源網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)）與IDS，NSAD與現(xiàn)有的IDS之間有區(qū)別也有相應(yīng)的聯(lián)系。二者的區(qū)別主要體現(xiàn)在系統(tǒng)功能不同、數(shù)據(jù)來源不同以及處理能力不同等。

3.1系統(tǒng)功能不同

NSAS的功能主要是給管理員顯示當(dāng)前網(wǎng)絡(luò)狀態(tài)，其中不但包含了攻擊數(shù)據(jù)還包含了正常的運(yùn)維數(shù)據(jù)。為IDS通過部署在網(wǎng)絡(luò)節(jié)點(diǎn)的方式可以檢測出網(wǎng)絡(luò)中存在的攻擊行為并上報(bào)。

3.2數(shù)據(jù)來源不同

IDS主要是通過預(yù)先布置在網(wǎng)絡(luò)上的Agent來獲取數(shù)據(jù)的，而NSAS卻是通過集成化思想，融合現(xiàn)有的各類設(shè)備來進(jìn)行態(tài)勢(shì)分析的。

3.3處理能力不同

對(duì)于IDS而言，高速網(wǎng)絡(luò)的攻擊行為是個(gè)待解決的難題，而NSAS充分利用多種數(shù)據(jù)采集設(shè)備，提高了數(shù)據(jù)源的完備性，簡化了系統(tǒng)的計(jì)算難度從而提高計(jì)算處理能力。

4 系統(tǒng)功能

系統(tǒng)功能包括：采集本網(wǎng)站的各類web受攻擊數(shù)據(jù)，通過可視化前端工具進(jìn)行操作，結(jié)果以圖形圖像形式顯現(xiàn)出來，使得運(yùn)維人員更加清晰地了解自己的問題以及容易受攻擊的點(diǎn)。

具體功能包括：

4.1 WAF設(shè)計(jì)

WAF 全稱是Web Application Firewall， 簡單講就是web防火墻， 是對(duì)web業(yè)務(wù)進(jìn)行防護(hù)的一種安全防護(hù)手段。

大部分互聯(lián)網(wǎng)公司的業(yè)務(wù)，都會(huì)使用Nginx做各種各樣的工作，負(fù)載均衡、A/B測試、Web網(wǎng)關(guān)等等的功能;另外，加上openresty（nginx + lua）的開發(fā)效率和易用性，提高了程序員開發(fā)nginx功能的效率?，F(xiàn)在互聯(lián)網(wǎng)公司招WAF開發(fā)的，一般都會(huì)加上nginxlua的要求，可見使用nginx + lua開發(fā)WAF，是我們?cè)谖覀兊倪@套系統(tǒng)中的相對(duì)較好的解決方案。

WAF系統(tǒng)主要是由三部分組成的：執(zhí)行前端、后端中心系統(tǒng)及數(shù)據(jù)庫。執(zhí)行前端是WAF的執(zhí)行引擎， 主要是根據(jù)規(guī)則進(jìn)行過濾。根據(jù)規(guī)則匹配的結(jié)果，執(zhí)行相應(yīng)的動(dòng)作。后端中心系統(tǒng)主要是生成規(guī)則的邏輯，并與執(zhí)行前端的nginx進(jìn)行必要的數(shù)據(jù)交換。數(shù)據(jù)庫就是存放規(guī)則和一些配置及狀態(tài)的地方，可以根據(jù)實(shí)際情況，選擇關(guān)系型數(shù)據(jù)庫或者Nosql。

其次需要綜合考慮各類的網(wǎng)絡(luò)攻擊類型并制定相應(yīng)的攔截規(guī)則將各類網(wǎng)絡(luò)攻擊攔截，并且攔截規(guī)則庫要做到能實(shí)時(shí)更新，由運(yùn)維人員自主添加規(guī)則以應(yīng)對(duì)各種網(wǎng)絡(luò)環(huán)境以及新出現(xiàn)的各類攻擊手法。

4.2 日志分析

本系統(tǒng)中的日志主要分為兩部分：WAF攔截日志以及正常的日志（Web日志、DNS日志，應(yīng)用日志等）

WAF也叫網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)，是Web應(yīng)用防護(hù)系統(tǒng)的簡稱，通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。WAF攔截日志可以實(shí)現(xiàn)網(wǎng)站業(yè)務(wù)防護(hù)和運(yùn)營需求，通過利用日志服務(wù)的功能實(shí)時(shí)采集已接入WAF防護(hù)的網(wǎng)站業(yè)務(wù)各類日志，并對(duì)采集到的日志數(shù)據(jù)進(jìn)行實(shí)時(shí)檢索與分析。

4.3 態(tài)勢(shì)感知

在特定的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理人員可以先通過采集到的數(shù)據(jù)、WAF攔截日志以及正常的日志分析出整個(gè)網(wǎng)絡(luò)的運(yùn)行狀況事態(tài)及變化趨勢(shì)，然后將事件分出輕重緩急，遵循先宏觀后微觀、先急后緩的原則，處理網(wǎng)絡(luò)中發(fā)現(xiàn)的問題。web攻擊可視化系統(tǒng)將一定規(guī)模網(wǎng)絡(luò)狀態(tài)以及網(wǎng)絡(luò)事件進(jìn)行可視化展示，有利于網(wǎng)絡(luò)管理人員快速地感知和理解網(wǎng)絡(luò)中的安全事態(tài)，提高決策效率和準(zhǔn)確性。

4.4 漏洞掃描

漏洞掃描往往是網(wǎng)絡(luò)滲透攻擊的第一步，通過網(wǎng)絡(luò)掃描確定在網(wǎng)絡(luò)中存在的服務(wù)以及存在可利用的漏洞，再對(duì)網(wǎng)絡(luò)中提供服務(wù)的主機(jī)進(jìn)行相應(yīng)的攻擊操作。通過對(duì)發(fā)生的網(wǎng)絡(luò)掃描進(jìn)行分析和確認(rèn)，再結(jié)合歷史攻擊事件，通過利用散點(diǎn)圖與地理熱力圖技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)器可視化方法，使網(wǎng)絡(luò)管理人員能清晰的獲知服務(wù)器的使用情況和網(wǎng)絡(luò)的安全狀況。

5 結(jié)語

傳統(tǒng)的網(wǎng)絡(luò)安全分析方法，當(dāng)面對(duì)海量數(shù)據(jù)時(shí)，人的腦子往往出現(xiàn)認(rèn)知困難的情況，無法及時(shí)地結(jié)合多種數(shù)據(jù)源，來進(jìn)行綜合全局的分析，這就使得對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的感知缺少了整體效果，也就無法對(duì)網(wǎng)絡(luò)的事態(tài)進(jìn)行全局整體的預(yù)測，不能應(yīng)對(duì)新類型的攻擊事件。WEB攻擊可視化系統(tǒng)的應(yīng)用，有助于我們及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常情況，及早發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，分析網(wǎng)絡(luò)安全狀況、管理網(wǎng)絡(luò)情況，并對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測。

參考文獻(xiàn)：

[1] 孟浩.網(wǎng)絡(luò)安全流數(shù)據(jù)可視化技術(shù)研究[D].天津：天津理工大學(xué)，2016.

[2] 黃超.網(wǎng)絡(luò)異常行為檢測與分析方法研究[D].陜西：西安電子科技大學(xué)，2010.

[3] 蒲天銀.基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型[D].湖南：湖南大學(xué)，2009.

【通聯(lián)編輯：王力】