使用全流量分析方法构建企业纵深动态安全防御体系的红线区

原创刘奇志匠心独运维妙维效

专家说(五)

技术专家

刘奇志

信息科技部

信息安全领域网络安全专家

吉林大学地球探测与信息技术专业硕士，具备二十余年IT行业和十余年银行从业经验，具有丰富的应用开发、系统维护和网络运维经验，以及银行卡相关业务知识。专注于利用大数据分析技术，通过安全数据建模进行深度分析，快速发现安全威胁，主要从事业务安全检测方法研究及能力建设，以及基于未知威胁场景化建设工作。

随着近年来云计算、大数据、物联网、工业互联网等新兴技术的不断涌现和发展，各类业务系统相互交织，给企业所带来的安全问题也越来越突出。企业在构建安全防御体系时，参考纵深防御思想，从网络层、系统层、虚拟层、应用层，到数据层、总控层，进行层层防御，共同构建整体防御体系。

屏幕快照 2020-06-11 上午11.42.38.png

“大纵深战略理论“是由苏联最早的五名元帅之一，军事战略学家，有着“红色拿破仑”之称的米哈伊尔·尼古拉耶维奇·图哈切夫斯基所提出，该理论的核心思想是：多点布防，以点带面，多面成体，纵深打击及防御。

在构建企业安全纵深防御体系过程中，也应从成本和效益平衡点出发，突出重点，划定重点保护网络安全区域，即设定红线区，从而有效保护企业重要资产和信息系统的安全，形成差别化网络安全管控，并通过持续改进，逐渐降低风险。

第一部分红线区的背景和意义

博物馆，大家都应该去过，出于防盗安全考虑，博物馆会采用整套完备的安防系统，其中主要包括红外线监控探头、振动探测器、按压式报警器和红外幕帘探测器等。博物馆既为了保护文物安全又不影响展出效果，通常会在文物前构建一道红外幕帘，形成一个无形的红线区，一旦触碰或异常进入，就会触发报警，如图1所示。

图1 由红外幕帘划定的红线区参考图

在“互联网+”的背景下，金融企业将越来越多的传统业务实现互联网化，越来越多的应用系统和服务暴露在互联网环境中，暴露面逐步增大。如何在保障关键应用持续、安全、可靠的运行，成为企业信息部门在安全运营中的重要工作。一方面企业需要接入广泛的互联网、中间业务、第三方外联单位以及上下联单位，这些都增大了暴露面，给企业安全防范带来了难度。另一方面，面对来自互联网的各类持续威胁攻击，各类对互联网系统的扫描探测、攻击尝试、应用漏洞利用渗透，攻击者在不断地寻找漏洞，加以利用试图找到绕过安全防御机制和方法。因此我们需要坚持安全运维底线思维，通过在传统网络安全防御手段部署使用的同时，针对部分重要区域系统划分保护红线区，以保障和维护信息安全的底线，避免当纵深防御体系外围被突破时，至少确保红线区内重要信息资产不受恶意侵犯，以突出防护重点，使我们工作更有侧重。

二如何建立红线区？

1、全流量分析技术简介

相对于正常的业务访问行为，高级攻击更有一定的隐蔽性特征难以发现，不过只要是攻击就必定会留下痕迹，这些痕迹就隐藏在网络流量数据中。全流量安全分析是基于网络全流量分析技术，旁路采集、分析和存储网络流量，通过威胁情报系统检测已知威胁，通过回溯分析数据包特征、异常网络行为，发现潜伏已久的高级未知攻击。全流量安全分析系统具备多维数据分析及深度挖掘能力，能够实现数据包级的追踪取证。网络全流量分析技术是发现高级网络攻击的重要技术手段之一。

无论是操作系统、应用软件、服务器和网络设备还是业务系统都存在未知的漏洞，这使得在网络军火民用化、网络攻击组织化的大背景下，网络安全面临更加严峻的挑战。传统的安全监测方法大都是基于已知规则库进行监测，可检测出已知安全威胁，但对未知威胁则无能为力，且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。

图2 全流量安全分析

全流量分析方法是基于海量的网络流量数据，在传统规则检测匹配关联防护的基础上，结合大数据分析能力提升及机器学习技术发展，构建典型应用的网络访问行为学习模型，快速发现并定位网络异常行为，大大提升对安全威胁的感知能力。同时还能还原完整的攻击行为过程，定位攻击者，确定攻击手段及评估攻击损失。

2、用全流量分析方法设定红线区

首先选定要保护的目标，一般会选取位于纵深防御体系核心处的重要信息资产,通常它们的网络访问流量也相对清晰，通过抓取与所保护目标相关的网络流量，并对其的通讯对、时间、连接特征等相关属性进行行为学习，形成机器学习规则策略，红线区策略之外的流量将会触发网络安全监控告警，所学习的规则初期持续的优化和完善，经过一段时间的持续优化，即完成红线区建立。

图3 基于全流量分析设定红线区

三如何部署红线区？

利用大数据分析技术和机器学习算法，从海量网络流量数据中分析和建立网络访问行为基线，建立红线区域监控规则，发现高危异常行为及未知威胁。可在总行互联网边界、三方接入边界等区域部署生产红线区域异常流量监控，针对触碰红线的高危行为进行高敏感度的发现和预警。

图4 红线区部署

1 红线区部署在重点保护对象所在区域的高等级边界

传统意义上的红线区部署与常规安防思路一致，可以将红线区部署于需要重点保护对象所在物理安全域的高等级边界上，形成一个无形的安全罩，一旦有异常流量的触碰，将立即触发告警。

2、将探测点延展部署在不可信边界

再高级的攻击，都会产生网络流量，并且在网络流量中无法隐藏目标地址，而红线区往往位于纵深防御体系的最内层，且基本不可能在最外层暴露服务和相关数据。为了提高红线区安全威胁的感知能力，可以将红线区探测点延展部署在互联网、三方等不可信边界。当从外联或者第三方接入等不可信机构发起企图访问不该访问的红线区，进行嗅探，通过网络流量的原始数据进行透视与分析，可根据IP和报文特征直接进行报警和分析处置。

3、红线区有效性检测

红线区是通过学习和规则建立的，并分析海量网络流量的原始数据，要有完善的基础架构以镜像全部流量，一定会存在误报，甚至失效的可能性。另一方面，在正常情况下，红线区是不容易触发告警，所以在红线区部署完成后，一定要建立相应检测机制，如每3分钟通过特定IP和端口探测红线区，触发低级别告警，以确保红线区的有效性，同时利用告警压缩技术，也不会造成紧张的告警局势。

4、红线区告警检测频率

采用全流量分析可以对所有网络报文进行分钟级的检测和分析，并对于异常行为可立即触发报警。

图5 红线区告警

四、总结与展望

网络安全纵深防御体系需要从外到内逐层构建，结合全流量技术分析优势，通过对重要系统所在区域划定红线，不仅可以把监控部署在传统的安全域，也可以部署在边界网络安全处，第一时间发现异常行为，大大提升安全威胁的感知能力，切实保障银行数据及关键系统的安全。另一方面，红线区是通过基于系统间的连接行为属性和关联关系进行布防，对于可信连接中的攻击行为还需要与主机安全、深度威胁发现等检测或防御工具配合，共同构建整体防御体系。

专家说(一) 系统安全漏洞修复认识思考

专家说(二) 锂电池在数据中心中的应用分析

专家说(三) 探索RocketMQ主备同步机制

金融科技干货分享

长按二维码关注我们

每周一篇成长快乐

你终将变强大！

继续滑动看下一个