基于大数据的高风险网络入侵与阻断方法研究-信息通信学术期刊网.pdfVIP

doi:10.3969/j.issn.1000-1247.2016.01.020 协 办 基于大数据的高风险网络入侵与阻断方法研究 陈曾胜　夏登俊 中国移动通信集团安徽有限公司 提出一种基于漏洞扫描、入侵检测和防火墙联动机制等大数据分析处理方法，阻断高风险入侵行为，该方法能 摘要 够快速准确发现入侵检测器海量告警中真正有威胁的网络入侵行为，并能及时阻断该入侵，有效提高安全人员 的工作成效。 关键词 漏洞扫描 入侵检测 防火墙 大数据 阻断入侵 引言 和防火墙等多个数据源，快速准确地挖掘出入侵检测器海量 重要节假日信息安全保障中，运营商都投入大量的人 告警中真正有威胁的网络入侵行为，并能及时阻断该入侵， 力现场值班，密切监视入侵检测系统（IDS）的告警。IDS 大大提高安全运维人员的信息安全保障工作效率。 采用传统模式，匹配方法是将数据包中的内容与系统已知 入侵特征库中的攻击特征串机械地进行匹配，只要发现数 大数据联动机制原理 据包中的内容与攻击特征相匹配，就马上发出告警，并不 高风险网络入侵的定义：一次网络入侵所针对的系统漏 判断其是不是真的攻击行为，这样就不可避免地产生误 洞在被攻击对象中确实存在，则定义本次网络入侵为高风险 报。因此IDS每天会有海量的告警信息，反法西斯战争胜利 网络入侵。 70周年纪念活动网络安全保障期间，某省IDC出口处的IDS 由于入网检测缺失、修补困难或客户协调不顺等原因， 平均每天有4万多次告警。在这些告警中真正有威胁的入侵 现网业务系统的安全漏洞不可避免地大量存在。及时发现并 仅占其中很少一部分，安全维护人员很难发现并有针对性 阻断高风险网络入侵是网络监测工作的意义所在，对于非高 地进行阻断操作。其余大部分告警都是探测行为或危害不 风险网络入侵则可以不关注。基于大数据的高风险网络入侵 大的入侵。例如，IDS监测到大量SNMP默认团体字探测告 与阻断方法，将原本孤立、各自为政的漏洞信息、攻击事件 警，由于业务系统设备的SNMP团体字都已修改，这些探 和防火墙策略数据进行采集、解析、挖掘和联动，发现并重 测行为不会危害到业务系统的安全。如果业务系统的Web 新定义IDS入侵事件告警，及时通知安全运维人员并自动产 服务没有SQL注入漏洞，而IDS监测到利用SQL注入漏洞的 生阻断高风险网络入侵的防火墙策略。该大数据联动机制工 攻击，则这些网络攻击不会对业务系统造成实质性损害。 作原理如图1所示，由漏洞扫描、入侵检测、漏洞库与入侵 以上这些无用告警原本可以不用关注，却也分散了安全运 行为匹配、告警级别重定义、阻断策略生成与执行、短信网 维人员大部分精力。 关等部分组成，这些功能模块的工作过程如下。 为降低IDS误报，部分研究人员尝试将漏洞扫描和入侵 利用已有的漏洞扫描器对保护的业务系统进行漏洞扫 检测协同工作，这种方法可以降低IDS误报，但不能阻断网 描，根据漏洞扫描结果构建业务系统的漏洞信息知识库。 络入侵，而且由于主流IDS设备的告警格式不再使用入侵检 入侵检测设备根据规则库检测本地网络的入侵行为。 测消息交换格式（IDMEF），这些基于IDMEF的协同工作 漏洞库与入侵行为匹配模块将网络入侵行为与漏洞信息 方式已经不再适用。以下提出一种基于大数据的高风险网络 知识库匹配挖掘，即本次网络入侵行为所针对的安全漏洞是 入侵与阻断方法，通过采集和解析漏洞扫描器、入侵检测器 否存在于漏洞信息知识库。该挖掘出的结果输出到告