|
安全现状 如今,网络安全建设已经提升到国家战略层面,高校信息化建设同样面临诸多安全威胁:漏洞探测、黑客入侵、蠕虫、木马等危险行为;越权数据库访问和相关操作,导致敏感信息泄露或关键数据被恶意篡改;网站易遭受SQL注入、XSS脚本针对性攻击行为等。基于此,结合数据中心网络及安全现状,中南财经政法大学对数据中心信息安全建设进行了重新梳理和规划,提出基于大数据的安全解决方案,由被动转变为主动感知,由无数据转变为有数据,实时监控数据中心安全现状,通过对数据的深入挖掘和关联分析,调整安全设备策略,提升安全防护能力。 设计原则 根据中南财经政法大学数据中心的安全现状,结合国家信息系统等级保护相关规定,数据中心安全建设按照以下原则进行设计: 1.统一设计,分期建设。以统一的总体目标为方向,以数据中心整体安全风险为导向,进行统一设计,根据经费投入情况,将统一的安全规划方针分期执行。 2.重点先行,急用先上。在有限投入的情况下,优先保证重要业务的安全性。3.长期规划,持续改进。信息安全建设是一个长期过程,需要不断的优化与改进。 安全架构 经过上述分析,对中南财经政法大学数据中心的信息安全架构重新进行设计,整体结构图见图1。
信息安全架构主要从以下三个方面着手建设: 1.纵深防护体系的建设。主要目的是抵制外部各类入侵事件和攻击事件,分级保护重要应用系统,并根据威胁特点选择面向不同技术层面的安全防护产品。根据数据中心目前及未来至少5年的实际需求,选择适合性能的防火墙、IPS、WAF设备进行安全防护。此类设备串行在网络中,除安全功能方面外,也需兼顾性能指标,避免在流量需求不断增加的情况下,设备无法满足高吞吐量而淘汰。目前,下一代防火墙已经集成了很多安全功能特性,如防火墙、IPS、WAF、防毒等功能。下一代防火墙有其优点:管理与监控方便,无需登录多台安全设备监控与调试;可直接监控管理到7层应用等。在中南财经政法大学数据中心安全建设中,采用传统的架构,IPS、WAF均为单独设备。主要考虑原因是防火墙是利用原有的高吞吐量防火墙,实现ACL、端口级控制,同时也考虑到安全态势感知平台对同品牌IPS、WAF的安全日志兼容性更强的问题。IPS部署在整个数据中心核心交换机与防火墙之间,大部分DOS攻击由防火墙进行阻断,IPS主要实现入侵防护、数据泄露防护、高级威胁防护、僵尸网络发现等功能。WAF部署在Web应用区域,对学校的网站进行Web漏洞防护、Web插件防护、跨站脚本防护、SQL注入防护等。 2.日常安全管理体系建设。主要目的是加强系统漏洞管理、网站漏洞管理、网站暗链挂马管理、运维安全管理,使自身网络保持动态安全性。此类设备为旁挂类型,包括系统漏洞扫描、网页漏洞扫描、网页暗链挂马检测、堡垒机、数据库审计设备。在本体系建设中,对于信息系统等级保护要求而言,堡垒机对于等级保护合规性检查尤为重要,是安全体系建设中必不可少的一环。 3.基于大数据技术的安全态势感知体系建设。建立基于安全设备(防火墙、IPS、Web应用防火墙、漏洞扫描、网页暗链挂马检测、DNS等)日志的安全态势感知平台,结合安全大数据,形成可见、可管、可追溯的安全体系。 传统的安全建设,基本为安全设备的部署,比如增加防火墙、IPS、WAF等设备,但在实际使用与维护过程中存在以下问题: 1.告警日志是设备在检测到攻击行为后,给用户展示的第一手直观告警信息,基于安全设备接入层面的不同,告警日志数量就不同,会差出几个数量级,网络安全管理人员无法从海量的告警日志中发现真正存在威胁的攻击而进行安全策略调整。 2.传统的安全设备分类只是按照攻击类型,攻击种类等层面,无状态地将规则进行分类,不能整体把握整个攻击过程。 引入大数据相关技术和思想后,安全态势感知的能力发生了本质的变化。体现在:1.利用大数据技术所具有的海量数据分析的能力,通过强大的机器学习算法,将安全设备采集的大量独立的安全事件当做一个互相关联的事件集合来看待和处理。首先,通过对大量正常的网络行为进行建模形成基线,将反常的网络行为识别出来,再通过匹配时序关系、分析共同特征因子等方式将多个安全事件整合成一次完整攻击事件的链条,从而回溯整个攻击过程的细节,发现系统存在的薄弱环节和后门隐患,再制定针对性的措施予以防御。 2.利用大数据技术所具有的跨维度关联分析的能力,通过对多种信息(攻击者IP地址-攻击者身份认证数据-攻击者身份信息)的关联,将识别出来的安全事件对应到具体的自然人(当攻击者是校内用户时)。视情节轻重和主观故意程度,通过线下手段对该用户进行干预(要求其停止攻击行为,或帮助其杀除电脑所中的蠕虫、病毒等),从而从根源上断绝这一类安全威胁。 3.利用大数据技术的分析统计能力,将一段较长时间内的安全事件进行汇总分析后,可以统计得出攻击者在全校各院系的分布情况、以及经常被攻破的薄弱主机在各单位、各部门的分布情况,以及攻击类型的集中度,从而了解全校各部门各单位在网络安全管理方面的不同水准。信息管理部将会根据上述情况制定对应的管理制度或帮助措施解决这个问题和薄弱点,稳步提升整个学校的信息安全管理水平。 基于大数据技术的安全实践 为了能够提高安全防护的整体效果,需要转化、提升网络威胁空间形态的表现形式,完成从局部到整体的转换;对网络攻击行为和攻击手法根据时间段进行分类,包括探测扫描阶段、渗透攻击阶段、攻陷入侵阶段、安装工具阶段和恶意行为阶段,针对不同阶段存在的攻击或安全隐患进行不同的防范处理。 按照上述思想,学校在数据中心安全建设中构建了一套基于大数据分析的安全态势感知平台。该平台对安全设备探针(IPS、WAF、漏洞扫描、DNS等)的日志数据、相关业务系统的数据进行汇集并存储到大数据平台中,再通过分析工具完成数据的挖掘、分析并呈现可视化结果。平台系统架构整体分为四层,自下而上包括数据采集层、数据汇总层、数据分析层、数据呈现层。 数据采集层:数据采集目前来源于IPS、WAF、漏洞扫描、网页暗链挂马检测等传统设备的安全日志,通过采集原始SNMP数据、netflow数据、恶意样本等做基础分析,将结果输出到数据汇总层。 数据汇总层:将数据采集层的数据汇总并存储,同时通过接口将日志数据输入到学校的大数据中心,在大数据中心经过数据处理,通过与学校的认证计费数据、一卡通数据等相关数据进行关联。 数据分析层:基于大数据技术实现异常流量、网络入侵、系统漏洞、网站漏洞等分析,将数据汇总层的数据统一进行关联、分析、归并,得出最后结果,供数据呈现层展示。 数据呈现层:负责数据展示,所有收集到的信息以资产、用户、威胁、应用等维度进行从宏观到微观的安全展示,将校园网当前的安全现状、遭受到的网络攻击、攻击源、攻击目标、攻击方式等进行展示,解决“安全不可见”的问题。 上述体系建设完成后,学校对部分典型网络安全威胁进行了建模分析,取得了初步成果,下面举例通过对DNS查询建模进行介绍。 校内服务器经常受到校内用户终端发起的攻击,此类攻击行为大部分并非用户有意为之,而是电脑感染了蠕虫、木马等恶意程序,成为了“僵尸主机”。僵尸主机的DNS查询明显有别于正常终端的DNS查询行为。我们尝试利用大数据技术,通过对这一类非正常的DNS查询进行识别,从而找出僵尸主机及其持有者。经过一段时间的取样分析,我们发现这种攻击行为过程中的DNS查询与正常网络行为的查询,在如表1所示的几个指标方面有所不同:
上述指标均不是绝对性指标,因此不能采用简单的二分法进行判断,只能通过机器学习的聚类分析算法进行建模判断。为此,我们首先采集DNS服务器的查询日志记录,尝试进行分析和建模。 我校的DNS服务器输出的查询日志的记录样式为: Feb1915:32:56201611141532ns.wuhan.net.cn‘17751479108776.606870 1611141532202.103.24.6853 202.114.43.2117176dns0,0,5165,0|4|5 1www.sina.com,1,11www.sina.com,1,1,3,66.102.251.33’ DNS查询日志的解析规则如表2。
显然,网络中正常的DNS查询请求占绝大部分。如前所述,僵尸主机的DNS查询请求与正常的DNS查询各自具有一些特征指标,因此采用相似性分析的方法进行区分。把每个域名解析请求的p个属性作为一个变量,则这些属性组合构成一个p维向量(本例中选取了域名长度、域名层级、TTL、域名对应IP数量、时间间隔这5个属性),则每个域名看作五维空间中的一个点。 在一次取样分析中,对11个域名的访问情况进行特征记录如表3。
对这个多维空间的每个点计算其欧氏距离。则对象之间的相似性可以用相似性系数或欧氏距离来表示。相似系数接近1或距离较近的对象性质较相似,相似系数接近0或距离较远的对象则差异较大。这里采用的距离计算公式如下,它表示变量与变量在多维空间的欧式距离。
相似性分析的结果如表4。
从表4可以看出,域名05与其他域名的相似度有非常明显的差异,因而可以判断域名05就是非正常域名,而访问域名05的主机是僵尸主机的可能性非常大。 根据该信息,我们将该主机的网络访问权暂时中止,并通知用户进行病毒查杀处理。当杀毒完成确认安全后,再恢复其网络接入权限。 信息安全建设是一个长期、动态的过程,不可能一蹴而就。在不断的经费投入保证下,需要不断的评估、设计、改进。同时,学校的信息安全并非仅依靠设备、平台就可以解决的,“三分靠技术、七分靠管理”是信息安全建设的一个不变理念,只有依靠校领导高度重视、全校所有部门共同参与,才有可能将安全事件风险降到最低。 (作者单位为中南财经政法大学信息管理部) 来源:中国教育网络作者:朱文智 付邵山 |
