網(wǎng)絡(luò)安全監(jiān)控與自動化響應(yīng)管理策略分析及可視化

宋俊芳，江英華，涂興洋

(西藏民族大學(xué) 信息工程學(xué)院，陜西 咸陽 712082)

1 網(wǎng)絡(luò)及安全管理分析

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，信息系統(tǒng)廣泛地應(yīng)用在社會的各個方面，同時，網(wǎng)絡(luò)攻擊對信息安全的威脅越來越大。作為網(wǎng)路管理員，每天分析龐大的攻擊日志耗時又耗力，專業(yè)技術(shù)人員稀缺，導(dǎo)致分析處理響應(yīng)網(wǎng)絡(luò)攻擊的效率較低，如果能夠?qū)崿F(xiàn)網(wǎng)絡(luò)攻擊及安全控制策略的智能可視化，將在很大程度上提升網(wǎng)絡(luò)與安全運維管理的效率。本文分析企業(yè)網(wǎng)中可能會出現(xiàn)的安全問題，提出相應(yīng)的安全策略，并有針對性地設(shè)計可視化模塊[1]。企業(yè)網(wǎng)日常安全管理一般流程如圖1所示。

圖1 網(wǎng)絡(luò)日常安全管理流程

在被攻擊前，需要展開攻擊面分析，包括暴露風(fēng)險、脆弱性評估和資產(chǎn)盤點。在網(wǎng)絡(luò)被攻擊之后，防火墻會產(chǎn)生攻擊日志，通過分析日志，可以對風(fēng)險排序，分級進行漏洞修補，但這樣的系統(tǒng)流程是無法進行異常提前預(yù)知的。隨著漏洞數(shù)量與日俱增，網(wǎng)絡(luò)攻擊手段升級，攻防兩端對抗加劇，安全日志分析需要更智能、更快捷，結(jié)果需要更直觀、更全面，才能為風(fēng)險評估提供可靠的數(shù)據(jù)。為此，在攻擊面分析時(見圖2)，加入大數(shù)據(jù)關(guān)聯(lián)分析和網(wǎng)絡(luò)異常檢測技術(shù)實現(xiàn)業(yè)務(wù)的安全監(jiān)控與自動化響應(yīng)。在被攻擊之前，根據(jù)各項檢測數(shù)據(jù)，對可能出現(xiàn)的風(fēng)險事件進行分類，這樣就做到了攻擊的提前預(yù)警。被攻擊后，可以通過日志來進行快速自動化響應(yīng)，自動修補漏洞，并參與到預(yù)知風(fēng)險計算中，這樣大大減少了工作量，實現(xiàn)了智能化監(jiān)管[2]。

圖2 安全監(jiān)控與自動化響應(yīng)流程

2 安全監(jiān)控與自動化響應(yīng)管理可視化

2.1 安全管理策略可視化

基于安全監(jiān)控與自動化響應(yīng)的管理策略，為實現(xiàn)可視化，增設(shè)了策略概覽、策略列表、策略優(yōu)化、策略收斂、策略梳理和策略檢查6個模塊：(1)策略概覽是呈現(xiàn)一臺設(shè)備的策略概況的，可以統(tǒng)計檢測設(shè)備涉及的IP數(shù)、策略總數(shù)，檢查過多少次策略，有多少條策略路由、靜態(tài)路由以及路由表中有多少路由條目等基礎(chǔ)信息。(2)策略列表與策略概覽相反，會顯示每一條策略的詳細內(nèi)容，包括安全策略、NAT策略、ACL策略、靜態(tài)路由、策略路由、路由表，都是統(tǒng)計的對象。不僅將這些內(nèi)容詳細地羅列出來，還做了統(tǒng)計，哪種策略一共有多少條，當管理員想要知道哪條策略在哪臺設(shè)備上時，可以快速查找到[3]。(3)策略優(yōu)化是羅列一臺設(shè)備中有問題的策略的模塊，設(shè)備中的隱藏策略、冗余策略、空策略，過期策略和合并策略都屬于問題策略。這些策略輕者使得一些網(wǎng)段不通，影響業(yè)務(wù)，重者產(chǎn)生攻擊面，讓攻擊者有機可乘。平臺也統(tǒng)計了每種問題策略的數(shù)量，做出了分布餅狀圖來供管理員參考。(4)策略收斂是用來統(tǒng)計一臺設(shè)備策略修改過程的，羅列出了哪臺設(shè)備什么時間進行了哪些參數(shù)的重新設(shè)置，最后生成統(tǒng)計日志，方便管理員查看，并定期進行更新。(5)策略梳理通過防火墻策略日志(或會話日志)分析，自動梳理出防火墻安全策略配置建議，并支持按源地址、目的地址分別進行合并匯聚梳理。策略梳理需先新建策略梳理任務(wù)，待任務(wù)執(zhí)行完畢后，可在梳理結(jié)果欄下載或在線查詢梳理報告。管理員看到這些報告，可以很快地找出最佳的策略配置方案。(6)策略檢查是用來顯示整個網(wǎng)絡(luò)策略安全情況的，檢查完畢后會做出評分，并顯示存在風(fēng)險設(shè)備的總數(shù)，將存在風(fēng)險設(shè)備的風(fēng)險策略羅列出來，同時顯示風(fēng)險情況，方便管理員隨時掌控網(wǎng)絡(luò)中策略安全程度，必要時做出修改[4]。

2.2 攻擊面可視化

在攻擊面上，設(shè)置了路徑分析、主機攻擊面和服務(wù)攻擊面3個小模塊：(1)路徑分析是一個配合拓撲圖使用的功能，可以在拓撲圖中查詢節(jié)點、數(shù)據(jù)流和路徑。節(jié)點是用來查詢單一設(shè)備的，當輸入想要查詢的節(jié)點的名稱或者管理IP時，就會在拓撲圖中顯示該設(shè)備所在的位置，并附帶該節(jié)點的基本信息，方便管理員快速查找。數(shù)據(jù)流是可以輸入起點與終點的，也可以只輸入起點。當輸入起點與終點后，該條路徑的數(shù)據(jù)流詳情就會顯示，包括源、目的端口、協(xié)議等。如果只輸入起點，那么以這臺設(shè)備為中心，哪些設(shè)備可達、走哪些路徑都會顯示出來。當一臺設(shè)備中毒之后，就能很快地知道會擴散到網(wǎng)絡(luò)中的哪些區(qū)域，以作精準應(yīng)對。(2)主機攻擊面主要是用來分析暴露風(fēng)險的，同樣會給主機做出風(fēng)險評估，如果主機有暴露風(fēng)險，則會列出詳細的風(fēng)險情況，包括主機所屬安全域，通過哪個服務(wù)暴露的，這個暴露會涉及哪些路徑。(3)服務(wù)攻擊面和主機攻擊面類似，主要用來分析服務(wù)的暴露風(fēng)險，進行風(fēng)險評估[5]。

2.3 風(fēng)險評估可視化

在風(fēng)險評估上，設(shè)置了域間的訪問關(guān)系、風(fēng)險規(guī)則庫和域間風(fēng)險3個小模塊：(1)域間訪問關(guān)系羅列了整個企業(yè)網(wǎng)的各個域之間的訪問關(guān)系，它分為白名單和黑名單，是根據(jù)現(xiàn)有的防火墻的配置生成的。風(fēng)險規(guī)則庫定義域間的風(fēng)險規(guī)則。默認系統(tǒng)中有預(yù)設(shè)的風(fēng)險規(guī)則，同時也可以自定義風(fēng)險規(guī)則。有一級分類和二級分類兩種，一級分類包含域間訪問風(fēng)險和策略規(guī)則風(fēng)險。二級分類包含域間訪問風(fēng)險、寬松風(fēng)險、高危端口、策略檢查、對象檢查等規(guī)則。(2)規(guī)則級別分別有高、較高、中、較低、低。預(yù)設(shè)規(guī)則有幾十種以供選擇，同時，自定義也可以完全根據(jù)現(xiàn)網(wǎng)情況進行配置，能滿足絕大部分網(wǎng)絡(luò)。(3)域間風(fēng)險則是按照管理員啟用的規(guī)則庫里的規(guī)則做分析之后的域間可能出現(xiàn)的風(fēng)險，以矩陣的方式進行羅列，方便管理員隨時發(fā)現(xiàn)危險。

3 結(jié)語

針對企業(yè)網(wǎng)提出使用網(wǎng)絡(luò)流量控制策略可視化技術(shù)，全面提升網(wǎng)絡(luò)安全防御能力。在攻擊面分析時，加入大數(shù)據(jù)關(guān)聯(lián)分析和網(wǎng)絡(luò)異常檢測技術(shù)，實現(xiàn)業(yè)務(wù)的安全監(jiān)控與自動化響應(yīng)。主要從安全管理策略可視化、攻擊面可視化和風(fēng)險評估可視化3個方面進行了落地設(shè)計，為企業(yè)核心業(yè)務(wù)安全運行保駕護航，提升了網(wǎng)絡(luò)與安全運維管理的效率。