网络安全主动防御体系浅析

◆赵姗

网络安全主动防御体系浅析

◆赵姗

（中共西安市委党校 陕西 710056）

随着5G网络硬件和软件的快速发展，大数据、云计算、移动边缘计算、AR/VR技术的广泛使用，网络虚拟空间和现实生活深度融合。网络中大量的个人隐私信息亟待得到保护，网络新架构和新技术的使用对网络安全提出新的挑战。常见的DDoS攻击、网络钓鱼和软件漏洞攻击，以及新的0day漏洞和APT攻击都成为网络环境新的隐患。传统的安全防御措施在面对新的网络构架和新的攻击类型时显得力不从心，构建主动安全防御体系应对复杂网络安全问题十分必要。

5G；传统网络安全；主动防御体系

1 引言

5G通信技术的发展，让网络价值越来越大，成为社会生活不可或缺的组成部分。随着网络价值的增大，对网络上海量数据信息安全的要求更加迫切。网络中常见的以恶意打击竞争对手为目的的网络攻击行为有网站内容篡改、数据泄露、网络勒索和拒绝服务等。例如，一次中等规模的DDoS攻击的花费只有几千美金，70%攻击的时长不超过24小时[1]，相比之下，60%的企业需要数周甚至更长的时间来发现攻击，继而展开保护响应和对攻击造成破坏的补救工作。低廉的网络攻击成本和显著的攻击效果让网络安全事故频发。

2 传统网络安全防御存在的问题

防火墙是传统安全防御的主要设备，传统安全防御体系主要依靠防火墙的端口扫描、黑白名单、签名和规则等形式在网络边界、信任内网区域和智能设备中实现分层防御。在5G新网络环境下，传统安全防御存在以下问题。

2.1 传统的网络安全防御，面对网络攻击手段相对单一

在5G环境下，网络安全威胁不断出现新形式，传统安全防御的协同性不够，被攻击的主机极易成为安全“孤岛”，难以实现协同防御。

2.2 传统的安全防御在技术方面的缺陷

5G环境下新技术的使用给互联网带来新的安全威胁。传统的安全防御缺乏对邮件、文件以及下载数据通道内容的分析，攻击代码往往通过文档内容嵌入的方式躲避传统检测，或通过对恶意代码加密的方式掩盖或改变其特征，绕过基于签名和已知特性进行检测的安全防御系统。

2.3 网络高级持续性恶意攻击（APT攻击）威胁

5G、物联网、大数据等技术变革带来的技术风险，产生了以互联网侧的高级持续攻击（APT）和0day漏洞攻击等新攻击类型。APT攻击存在长时间的潜伏期，在反复攻击目标时适应安全防御措施，让传统的防御体系难以侦测；0day攻击通过掌握的系统漏洞在技术补丁之前进行攻击就可以轻松骗过传统安全防御系统。

3 构建网络安全主动防御体系

随着5G技术、大数据、云计算、AR/VR和智能控制等技术的发展应用，网络安全环境变得愈加复杂。面对网络中不断更新技术手段的网络攻击，如APT、0day攻击等，网络的开放共享性和保护网络数据安全网络环境建设目标，都迫切需要网络安全体系的全局监控和立体防护。构建通过网络安全主动防御体系的智慧“大脑”统筹协调控制网络域的安全组件，形成一套具有大数据预测分析、安全组件协同调配和系统安全问题应对策略的完整网络安全主动防御体系，让网络安全主动防御体系具有敏锐的感知力、精准的预判力、对网络攻击的及时阻断力和对攻击处置后的可追溯力。

3.1 网络安全主动防御体系特性

（1）全局数据监控：网络安全主动防御体系以全流量分析为基础，需要全时段、多维度的数据采集和数据异常监控。通过全局网络数据监控，让网络管理员清楚知道全网安全布防，清楚内部安全威胁、外部攻击入口和服务器的安全漏洞等。围绕网络攻击链[2]形成一套有针对性的监控、分析、反应和处置能力全面安全防御系统。

（2）海量数据提取能力：网络安全主动防御控制中枢是在TB级的海量数据下构建的。全网数据安全监控需要对海量数据进行暂存、分析，并通过聚类或分布式计算实现超大规模数据的实施管理和快速提取。

（3）实时监控，及时预警：通过对全网数据不间断的监控，分析主机日志和第三方日志，实现对不同网络攻击的重点时段监控配置。通过攻击方式、目标和目的等因素的分析和专家系统支撑，建立网络攻击数据库，提高发现网络威胁率和及时预警能力。

（4）协同防控，高效响应：网络安全主动防御体系以网络安全设备为基础，在检测到网络安全威胁时，通过安全设备联动布防，实现对网络攻击的及时阻断，减小网络攻击的波及面。安全设备协同响应要求被攻击主机及时阻断网络连接，把数据异常上报智能控制中心同时启动临时应急安全预案，在接收到控制中心指令后，优先使用更有针对性的终端查杀方案。

（5）追踪溯源，提供网络安全布防实例：在每次网络攻击事后，针对不同受损情况，从第三方日志和全流量监控中提取有效数据和关键数据元对抽取数据进行流量可视、威胁探测、攻击链追踪和大数据提取分析等，形成主动追踪溯源的安全主动防御体系。对每次攻击的关键数据多维度评估影响和伤害度，并对关键元数据长期存储。

3.2 网络安全主动防御体系架构

网络安全主动防御体系就是要对网络安全威胁积极主动监控、防御，以安全态势感知平台流量数据监测分析为主，实行完善的安全威胁应对策略。形成以发现安全威胁早、反应安全攻击快、安全应对策略准的网络安全主动防御体系。

（1）传统安全设备为基础

防火墙和杀毒软件作为传统的安全设备，在扫描通关数据包和对普通病毒进行过滤方面具有很重要的作用。

（2）全流量监控分析是关键

网络安全主动防御体系把网络数据全流量分层处理作为主动防御网络安全威胁的关键。首先，对网络上传输的数据、终端、中间件和第三方日志数据采用多种方式（Web Service、Restful API、WMI等）进行流量采集，并提供多种接口，支持与采集数据对接；然后，对采集的数据进行分析前预处理。数据预处理包括对数据缺失值处理和离群值检测，最终将采集数据转换为安全防御体系“智慧”中控系统可解析的数据格式，并对格式数据文件进行存储；其后，进入大数据分析的关键期，通过对预处理数据计算、分析和统计，并结合行为分析和人工智能[3]等技术，主动对配合安全关联规则分析出的可能存在的安全隐患进行风险预警，对出现的安全威胁及时处理；最后，把分析后的结构数据存储在ES分布式搜索引擎中，实现对分析数据可视化呈现，并能在不必消耗额外内存开销的情况下快速查询和数据抽取，方便对内外的各类网络安全服务。

（3）安全威胁应对策略作保障

网络安全主动防御体系的关键在于依靠全流量检测和数据的智能分析实现安全防御的主动性、及时性和可追溯性。首先，部署安全态势感知平台：通过态势要素的获取，以全局性角度分析网络安全发展趋势和短期内可能出现的安全问题，实现动态网络安全预测；其次，主动实时全流量检测：一旦发现异常数据流或攻击性流量时，能够主动响应并实时阻隔入侵；再次，定期的安全服务：定期对网络、网络终端及网络设备进行漏洞扫描，及时更新漏洞库，确保识别最新的漏洞并及时修复。定期进行渗透测试服务、安全测试服务和安全运维服务；最后，提高网络安全从业人员的业务能力：加强网络安全相关法律、法规、政策学习，规范网络安全从业人员网络操作行为，防止常见的内部违规外联事件发生。经常性开展专业培训提高网络安全从业人员的整体水平。

4 结束语

网络安全主动防御体系是一个多层次的系统，包含了多种能够实现网络安全主动防御功能的技术组件和积极主动的安全管理策略。从网络安全设备的布防、全流量数据的采集分析，到预测、防御和响应等多维度主动防御举措。网络安全主动防御体系不仅需要技术支持，更需要网络参与者自身行为规范。通过多方努力，网络安全主动防御体系经过持续性的动态积累，不断充实网络威胁数据库，适应不断变化的网络环境，实现整体防御、积极防护、主动免疫、纵深防御，并能不断优化自身的安全防御机制。

[1]Verizon.2019 Data Breach Investigations Report[R]. USA：Verizon，2019.

[2]田春平，张晋源，武靖莹.云计算网络信息安全防护思路探究[J].通信技术，2019（8）：939-945.

[3]李艳华.大数据安全技术研究[J].网络空间安全，2020（2）：15-23.