国网新疆电力有限公司信息通信公司 新疆乌鲁木齐 830068
摘要:随着社会的发展,信息已成为最能代表综合国力的战略资源,信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行的全局性问题。网络入侵给全球经济造成的损失也逐年迅速增长。2016年,网络安全形势愈加严峻,各种数据泄露、黑客入侵事件层出不穷。2017年,无论是物联网还是互联网都将进入一个新的发展阶段,相应的网络安全面对挑战也进一步升级。
关键词:网络安全、态势感知、威胁分析
1概述
习近平总书记曾指出,没有网络安全就没有国家安全。网络安全是一个关乎国家安全生存发展的重大战略问题,随着信息技术和网络的快速发展,计算机网络资源共享愈发开放普及,网络安全形势与挑战日益严峻复杂。面对网络安全所面临的种种问题,必须寻求新的方法帮助安全分析人员更快速有效地识别网络中的攻击和异常事件。
网络威胁态势分析技术,一是通过流量数据对资产基础信息、端口、应用服务及网络协议进行关联整合,形成动态的网络拓扑和资产详细信息清单,替代以往的人工资产整合,自动化理清家底,及时响应漏洞预警;二是告警并记录黑客入侵的全过程,支持网络攻击全协议解析,实现黑客攻击链由点到链的闭环溯源;三是从流量中分析出异常行为,结合威胁情报弥补目前APT及外部威胁情报方面防护的不足,从而完善公司安全防护体系。
2网络威胁态势感知分析技术基本原理介绍
网络威胁风险监测分析主要是通过接受流量后将复杂多元的基础数据进行筛选、解析、还原、存储。通过资产识别模块、资产信息模块、资产关联模块进行数据清洗和应用分析,最后通过关联模块形成动态网络拓扑和资产详细信息。通过威胁检测、研判、溯源和联动分析等模块进行威胁事件全方面的检测还原,并统计环境中存在的漏洞,达到集检测实时威胁、告警成功攻击、定位风险位置的一体化威胁监测效果。
3关键技术分析
(1)万兆网络及IPv4/IPv6网络环境下数据还原技术。
本技术主要是采取核心交换机镜像上下行数据,输入到设备做相关分析。流量搜集和分析模块使用自定义的高性能内核和驱动程序,可以支持最高10Gbps。
期刊文章分类查询,尽在期刊图书馆流量分析和数据还原通过协议分析模块,可以在IPv4/IPv6网络环境下,支持 HTTP (网页)、FTP(文件传输)、DNS(域名)等主流协议的高性能分析,并利用碎片文件侦测和P2SP重组模块,可以还原通过迅雷等国内主流P2SP软件下载的文件。对互联网数据的识别是上述多种技术综合运用,流量分析和文件还原模块会使用这些技术,能够支持Web会话、文件、DNS传输等多种协议的还原,并能够支持具有中国本土特征的应用程序协议。
(2)自动资产发现绘制动态拓扑技术。
通过资产发现、威胁建模、安全监测自动化分析模式,从数据和流量中帮助企业自动清点IT资产关系及网络边界,深度发现企业暴露在外设备,端口以及应用服务,智能识别资产属性以及重要度,并结合业务特点进行动态变换,并利用自动化排查资产模块对资产进行自动关联和梳理,理清家底。
(3)基于DNS流量和威胁情报的APT防护
APT攻击具有多变的攻击手段,但APT攻击在进入了内网之后.通常会采用C&C服务器或是DNS隐蔽信道的方式与黑客自身进行通信,所以将检测重点放在DNS流量分析上,关键技术如下:
通过与传统反病毒软件类似的静态检测算法,比对域名、IP和Whois联系人信息等是否位于威胁情报库黑名单中,快速处理典型恶意域名。通常威胁情报对于C&C服务器的情报记录往往包括通信行为方式和通信IP、攻击者信息等。结合DNS流量,将情报重点关注于域名,通信IP,攻击者特征等信息。通过在线学习和扩展的方式,基于威胁情报的检测系统可以快速检测已知DNS攻击,也可以应对与已知DNS攻击具有相似性、关联性的未知DNS攻击。
(4)深度威胁检测技术
从已知签名检测、无签名的深度内容检测、动态行为检测及事件关联分析等维度,对各类威胁进行深度检测并在漏洞利用、后门植入、窃密等攻击环节上形成纵深检测体系,针对网络中的URL、文档文件、可执行程序、邮件、网络通道、流量等威胁载体进行检测,包括以下攻击途径
网络攻击检测,比如中间件攻击、SMB溢出、端口反弹、系统后门、cookie篡改等;未知木马检测,各种恶意代码,免杀木马等;漏洞检测,包括已知漏洞和未知漏洞的检测;恶意域名、黑IP检测;APT攻击检测;恶意文件检测。
4结束语
伴随着计算机网络技术和互联网的飞速发展,网络攻击和入侵事件与日俱增,特别是近两年,政府部门、军事机构、金融机构、企业的计算机网络频遭黑客攻击,攻击者可以从容地对那些没有安全保护的网络进行攻击和入侵,如进行拒绝服务攻击、从事非授权的访问、肆意窃取和篡改重要的数据信息、安装后门监听程序以便随时获得内部信息、传播计算机病毒、摧毁主机等等。攻击和入侵事件给这些机构和企业带来了巨大的经济损失和形象的损害,甚至直接威胁到国家的安全。网络安全已成为世界上各个国家必须关心的迫切问题。
参考文献:
[1] 孙亚敏主编,计算机通信网络[M],上海交通出版社,1997
[2] 刚军等编著,电力信息安全的监控与分析[J],电网技术,2004
论文作者:米尔阿力木江,高阳,赵刚,李浩升,鲁学仲
论文发表刊物:《防护工程》2018年第33期
论文发表时间:2019/2/27
标签:网络论文; 资产论文; 流量论文; 模块论文; 数据论文; 网络安全论文; 情报论文; 《防护工程》2018年第33期论文;