一种改进的网络攻击自动防御系统的设计与实现

2022-10-14 02:01倪浩杰
网络安全技术与应用 2022年9期
关键词:校验日志情报

◆倪浩杰

(江苏省国际信托有限责任公司 江苏 210000)

1 引言

全球环境复杂多变,网络攻击事件层出不穷。政企单位花费大量人财物力,保护信息资产的保密性、完整性和可用性。现今的网络攻击防御系统,通过收集网络流量、发现威胁、发送告警通知安全员,人工处置安全事件。如图1。这种方式存在人力成本高、告警准确率低、响应处置慢等问题。为此,解决上述问题就变得十分必要。

图1 现阶段网络安全防御系统工作流程

2 网络攻击自动防御系统的现实需求

● 能够保护重要资产,阻断网络攻击。

● 能够7*24 小时自动化防御,减少人力资源投入。

● 能够快速准确发现被保护资产的威胁和脆弱性。

● 能够提高网络攻击告警的准确率。

● 能够快速响应、有效处置安全事件。

3 网络攻击自动防御系统的设计

为解决上述问题,本文设计一种改进的网络攻击自动防御系统,它在原防御系统的基础上,增加确认威胁模块和决策处置子系统。确认威胁模块校验初步威胁概率,能有效降低威胁信息的误报率。决策处置子系统,由决策中心模块按照预设策略,推动自动处置模块,“指挥”防火墙、WAF 等安全设备联动处置,自动阻断攻击。

图2 改进的网络安全防御系统工作流程

4 网络攻击自动防御系统的实现

4.1 网络攻击自动防御系统的构架

网络攻击自动防御系统以承载平台为基础,连接收集分析平台、决策处置平台、配置中心模块、日志审计模块、监测大屏模块、威胁情报模块和告警通信模块,实现资产的有效防护。如图3。

图3 网络攻击自动防御系统框图

4.2 收集分析平台

收集分析平台由一系列探针组成,将网络流量、行为特征等数据收集分析,初步发现威胁,经承载平台推送威胁情报模块校验。

4.3 决策处置平台

决策处置平台接受校验后的威胁信息,按照预设的策略,决策响应,联动防火墙、IPS、WAF 等安全设备,阻断攻击。

4.4 承载平台

承载平台是自动防御系统的核心,连接收集分析平台、决策处置平台、配置中心模块、展示子系统、威胁情报模块和告警通信模块。

4.5 威胁情报模块

威胁情报模块用于校验初步威胁信息,确认威胁信息概率值。经校验大概属于威胁攻击行为,则进一步查询威胁的风险值和标签等信息。威胁情报模块有效降低告警误报率。

4.6 告警通知模块

告警通信模块将威胁信息发送给安全员,包括恶意IP、URL、风险等级、风险标签。如图4。

图4 告警通知示例

4.7 配置中心模块

配置中心模块用于配置网络接口、安全策略、触发阈值、处置方式、情报库设置和告警通信等参数。

4.8 展示子系统

展示子系统包括日志审计模块和监测大屏模块。日志审计模块用于查看操作、拦截、登录等日志信息。监测大屏模块外接大面积显示屏,方便实时监测和展示。

5 结论

本文提出的改进后的网络攻击自动防御系统,能够准确识别威胁,发送告警,快速响应,自动处置,阻断攻击,保护资产,减轻了安全员的工作压力,最大程度降低了数据泄漏风险。在护网行动、百年建党等重要时刻,该系统在作者单位经发挥巨大作用。

猜你喜欢
校验日志情报
情报
情报
情报
使用Excel朗读功能校验工作表中的数据
一名老党员的工作日志
扶贫日志
雅皮的心情日志
炉温均匀性校验在铸锻企业的应用
游学日志
电子式互感器校验方式研究