高速公路通信網(wǎng)絡(luò)全流量安全及威脅監(jiān)測平臺研究

王珂

新一代信息技術(shù)的發(fā)展為通信帶來極大便利的同時，也對其載體的網(wǎng)絡(luò)安全提出更高要求。高速公路作為交通重要載體，網(wǎng)絡(luò)安全至關(guān)重要，新形勢下網(wǎng)絡(luò)攻擊形式與手段層出不窮，本文通過對網(wǎng)絡(luò)全流量安全監(jiān)測的研究，以求找到更有效的防范手段。

新一代信息技術(shù)的快速發(fā)展及各項互聯(lián)網(wǎng)技術(shù)應(yīng)用的快速普及，給用戶帶來極為便利的溝通交流模式，并逐漸成為人們工作、生活中不可缺少的一部分。然而在享受這些便利的同時，也面臨著日益嚴(yán)重的信息安全問題。2021年全球仍有大量的網(wǎng)絡(luò)威脅存在，如：Incaseformat病毒事件、高級威脅組織Lazarus以Threat Needle惡意軟件攻擊國防企業(yè)、2021 第一季度國內(nèi)外重大數(shù)據(jù)泄漏事件、蔓靈花（Bitter）組織針對我國發(fā)起的網(wǎng)絡(luò)攻擊等，已引起有關(guān)部門的高度重視。

網(wǎng)絡(luò)攻擊者對我國的網(wǎng)絡(luò)攻擊技術(shù)層出不窮，隱蔽性和破壞性越來越大，超越了以往對網(wǎng)絡(luò)惡性事件的監(jiān)測和分析方法，如何能在攻擊者背后感知系統(tǒng)狀態(tài)成為網(wǎng)絡(luò)安全的真正需求，對于攻擊者更有針對性采取防范更為有效。

近幾年網(wǎng)絡(luò)攻擊者不再出于個人好奇或是單純的自我炫耀，而已經(jīng)發(fā)展為有著明確的政治、經(jīng)濟利益目的的組織，攻擊手段日新月異，攻擊也趨向工具化、戰(zhàn)術(shù)化、隱蔽化、流程化，從偵查刺探、滲透侵入、組織攻陷、逐步控制、到最終的威脅破壞一整套流程，潛伏期長，傳統(tǒng)手段不易察覺，危害極大。

（一）國外網(wǎng)絡(luò)安全現(xiàn)狀

隨著全球大量人力資源從家庭、企業(yè)過渡到遠(yuǎn)程在線模式，遠(yuǎn)程辦公已成為高達20%的網(wǎng)絡(luò)安全事件的來源，同時勒索軟件攻擊事件也在逐年上升。自2020 年以來，網(wǎng)絡(luò)滲透、數(shù)據(jù)泄露、數(shù)據(jù)盜竊和銷售、勒索軟件和身份盜竊，網(wǎng)絡(luò)安全事件、地下和黑產(chǎn)市場活動越來越活躍。

2020年6月，歐洲的某個大型銀行遭遇了大規(guī)模DDoS攻擊，該銀行網(wǎng)絡(luò)系統(tǒng)遭到每秒8.09億巨量數(shù)據(jù)包攻擊。這次攻擊活動可能是由源自地下黑市的新型僵尸網(wǎng)絡(luò)實施的，這是從首次攻擊牽涉的大量 IP 地址數(shù)量得出的結(jié)論。

2020年7月，阿根廷電信公司遭到勒索軟件攻擊，本次攻擊對阿根廷電信公司運營造成了嚴(yán)重影響。攻擊者通過私密手段獲得了對公司網(wǎng)絡(luò)的訪問權(quán)限，然后控制了公司內(nèi)部的Domain Admin系統(tǒng)，并使用這一訪問權(quán)限感染了約1.8萬臺計算機。最終阿根廷電信運營的許多網(wǎng)站因為此次勒索攻擊事件受到影響。

2020年8月，著名數(shù)碼攝像機廠商佳能（Canon）被曝遭受勒索攻擊，包括電子郵件、微軟團隊、美國網(wǎng)站以及其他內(nèi)部應(yīng)用程序。Maze勒索軟件團伙宣布已經(jīng)從佳能竊取了超過10TB的數(shù)據(jù)。

2020年8月31日上午，新西蘭證券交易所網(wǎng)站在市場交易開盤不久再次崩潰。這已是自當(dāng)年8月25日以來，新西蘭證券交易所連續(xù)第5天“宕機”。

（二）國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀

根據(jù)CNCERT發(fā)布的我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告，僅2021年上半年，就捕獲惡意程序樣本數(shù)量約2307萬個，日均傳播次數(shù)達582萬余次，涉及惡意程序家族約20.8萬個。在我國境內(nèi)大約有446萬臺主機遭到計算機惡意程序的感染，感染數(shù)量同比增長46.8%。

CNCERT監(jiān)測發(fā)現(xiàn)，利用IP數(shù)據(jù)庫等手段，對于攻擊區(qū)域、目標(biāo)進行溯源，通過統(tǒng)計分析發(fā)現(xiàn)受攻擊區(qū)域主要位于浙江省、山東省、江蘇省、廣東省、北京市、福建省、上海市等地區(qū)，這7個地區(qū)的事件占比達到81.7%。

約13083個通用型安全漏洞被國家信息安全漏洞共享平臺（CNVD）收錄，收錄數(shù)同比增長18.2%。其中，高危漏洞收錄數(shù)量為3，719個（占28.4%），同比減少13.1%；“零日”漏洞收錄數(shù)量為7，107個（占54.3%），同比大幅增長55.1%。

2021年國務(wù)院發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，嚴(yán)密部署關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護，由此可見網(wǎng)絡(luò)安全防護的重要性。

隨著交通行業(yè)信息化、智慧化進程提速，高速公路信息數(shù)據(jù)傳輸也進入全國聯(lián)網(wǎng)階段，高速公路沿線智慧化設(shè)備越來越多，對高速公路網(wǎng)絡(luò)安全也提出了新的要求，如果不能有效地監(jiān)測和防御網(wǎng)絡(luò)攻擊，有可能造成重大事故。

針對高速公路業(yè)務(wù)特點，安全管理中心、計算安全環(huán)境、物理安全環(huán)境、網(wǎng)絡(luò)通信安全、安全區(qū)域邊界是作為安全技術(shù)體系建設(shè)的五個基本技術(shù)要求，同時在管理體系建設(shè)方面也要同時滿足安全管理制度、安全運維管理、安全管理機構(gòu)、安全管理人員的基本要求。

高速公路三大機電系統(tǒng)都需通過網(wǎng)絡(luò)環(huán)境進行數(shù)據(jù)交換，數(shù)據(jù)網(wǎng)絡(luò)需要具有統(tǒng)一的安保策略，能夠抵御較大規(guī)模、較強的惡意程序攻擊，同時還要能夠防止計算機病毒和惡意代碼的侵害。

利用對數(shù)據(jù)網(wǎng)絡(luò)流量的旁路監(jiān)測與分析，智能發(fā)現(xiàn)被惡意控制或非法使用的網(wǎng)絡(luò)設(shè)備及惡意網(wǎng)絡(luò)行為。系統(tǒng)分為數(shù)據(jù)采集模塊、協(xié)議還原及數(shù)據(jù)標(biāo)準(zhǔn)化模塊、海量數(shù)據(jù)剝離算法、基于Stacking算法的入侵檢測模塊及異常網(wǎng)絡(luò)行為監(jiān)測分析等功能。作為高性能的網(wǎng)絡(luò)數(shù)據(jù)捕獲平臺，需要對網(wǎng)絡(luò)鏈路進行7X24小時的數(shù)據(jù)監(jiān)測分析，系統(tǒng)使用零拷貝技術(shù)，并對網(wǎng)卡驅(qū)動程序進行深度優(yōu)化，對千兆網(wǎng)絡(luò)環(huán)境全流量的采集丟包率<0.01%，同時對常見網(wǎng)絡(luò)協(xié)議（HTTP、FTP、SSL、POP、IPMAP、SMTP、TELNET、DNS等）解析還原，并提取報文級、會話級、應(yīng)用級的日志信息，支持多種元數(shù)據(jù)索引，便于對各類日志進行數(shù)據(jù)挖掘分析；基于行為模型、流量特征、關(guān)鍵字特征等對網(wǎng)絡(luò)行為進行多層級多維度的檢測，利用專家級數(shù)據(jù)模型通過機器自學(xué)習(xí)的方法對網(wǎng)絡(luò)數(shù)據(jù)進行挖掘分析，智能發(fā)現(xiàn)疑似木馬通信產(chǎn)生的流量。

再就是綜合評估區(qū)域邊界安全，在可控范圍和區(qū)域內(nèi)控制風(fēng)險，從而將安全風(fēng)險降低，避免擴散，包括接入外部網(wǎng)絡(luò)授權(quán)、無線網(wǎng)絡(luò)傳輸移動終端接入安全風(fēng)險。

準(zhǔn)確識別UDP、ICMP、TCP等多種方式異常數(shù)據(jù)包，使用多種規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)包進行監(jiān)測，快速發(fā)現(xiàn)異常網(wǎng)絡(luò)報文，對特定通信流量解密，內(nèi)置特定解密算法，利用計算機的超強計算能力，自動還原解密。

從技術(shù)角度、物理環(huán)境和安全管理部分展開分析，結(jié)合等級保護安全技術(shù)要求與安全管理要求，在響應(yīng)國家關(guān)于等級保護要求的基礎(chǔ)上，維護信息安全，保障和促進信息化建設(shè)的健康發(fā)展，優(yōu)化網(wǎng)絡(luò)設(shè)計改造網(wǎng)絡(luò)安全域，針對單點故障采取冗余設(shè)計確保系統(tǒng)可用性，加強網(wǎng)絡(luò)邊界完整性檢查，加強數(shù)據(jù)保密性。

數(shù)據(jù)網(wǎng)絡(luò)具備統(tǒng)一的安保策略，能夠抵御較大規(guī)模、較強的惡意程序攻擊，同時還要能夠防止計算機病毒和惡意代碼的侵害；具備快速檢測、快速發(fā)現(xiàn)、快速報警及記錄入侵行為的能力；具備快速響應(yīng)安全事件給出應(yīng)急預(yù)案，同時能夠追蹤安全責(zé)任的能力；針對服務(wù)保障性更高的網(wǎng)絡(luò)系統(tǒng)，能夠快速回復(fù)其運行狀態(tài)；能夠集中管控用戶、網(wǎng)絡(luò)資源、安全機制并有效融合。

具備發(fā)現(xiàn)惡意掃描端口、挖礦木馬、勒索木馬、僵尸木馬、惡意軟件、系統(tǒng)漏洞等多種網(wǎng)絡(luò)攻擊及惡意行為的功能，發(fā)現(xiàn)疑似CobaltStrike團隊服務(wù)器等功能。通過上機驗證，快速定位網(wǎng)絡(luò)攻擊木馬，采取相應(yīng)網(wǎng)絡(luò)安全措施；同時建立的漏洞庫、病毒庫、威脅信息庫等網(wǎng)絡(luò)安全基礎(chǔ)資源庫；加強安全應(yīng)急響應(yīng)保障，制定安全應(yīng)急預(yù)案，確保網(wǎng)絡(luò)對于重大網(wǎng)絡(luò)安全事件可及時發(fā)現(xiàn)、迅速定位并組織網(wǎng)絡(luò)防范等措施，最終實現(xiàn)網(wǎng)絡(luò)設(shè)備、安全組件的集中管控。

作者單位：山東雙利電子工程有限公司