一种基于动态联防的互联网威胁监测防御方法与流程

本发明涉及网络安全，具体涉及一种基于动态联防的互联网威胁监测防御方法。

背景技术：

近年来，我国关键信息基础设施网络安全形势日趋严峻，其中，电力公司作为国家重要的关键信息基础设施单位，负责管理和营运着多个重要对外应用，常常成为黑客的攻击目标。目前，针对电力行业的网络攻击事件也日益增多，为保障电力网络环境安全，阻断来自互联网的各种攻击行为，网络安全部门长期以来的做法基本上是通过投入大量人力物力开展日常监测与巡查工作。为报障互联网出口的安全，信息中心在互联网出口部署了多个安全防护设备，每日监测到了多种攻击。为在源头上阻断来自互联网的攻击，信息中心采取日巡检，每日巡视、检测、分析各个安全设备上的攻击日志，在海量的日志中找寻威胁较高的事件，对其攻击源头进行人工封堵。

然而，效果却不理想，仍然有大量的网络攻击未能在第一时间有效截断，导致网络内部系统遭受攻击，进而影响社会各行业用电安全。目前，信息中心每日要投入大量的人工开展监视余处置工作，花费较大，按照现有机制，相关人员每隔2小时开展巡检1次，防御机制会产生在工作日正常上班时间时预算2小时的事件响应时间，晚间及周末等非工作时间响应时间最长可达48小时，安全防护时效性难以提高。且大量工作由人工实现的话，难免会产生失误，影响防护质量。

因此，电力网络安全存在面向互联网威胁自动防御体系不健全；威胁防护手段与技术工具过于传统；工作量大、人工耗费多，事件响应时间较长、存在误操作风险等问题。需要从现有网站安全防护机制的短板出发，建立完善的自动化防御，以安全防御体系化、威胁处置动态化、攻击封堵自动化为目标。需要实现融合机器检测、安全分析、主动防御等多方面效果，补全传统人工作业的不足，从而实现“精简人力资源投入，提升事件处置效能，杜绝人工误操作风险”预期效益。实现面向互联网高危行为的封堵能力由“5*8人工处置”水平提升至“7*24全天候动态防御”水平，这样才能大幅提升了互联网安全防护的时效性，使电力网络安全防护工作在电力行业及重要关键信息基础设施单位中发挥重要作用。

技术实现要素：

针对目前电力网络环境安全防御缺陷，本发明提供了一种基于动态联防的互联网威胁监测防御方法，包括如下内容：

在现有安全监测平台中加入动态防御模块，所述动态防御模块包括自动封堵模块和人工封堵模块；

所述自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；

其中，所述自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；

所述实时监测的具体步骤为：

a.所述功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；

b.所述自动封堵模块对数据采集和清洗整理后的ips日志数据以及waf日志数据进行威胁判断；所述威胁判断的步骤为：

b1)将获取的日志数据中的协议报文进行协议分析；

b2)基于协议分析结果提取安全相关的事件及时间序列；

b3)将提取安全相关的事件数据流中的ip地址、mac地址、终端名称；

b4)自动遍历查找安全列表中所登记的ip地址、mac地址、终端名称具有威胁等级标记，并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的ips及waf日志数据进行标记作为威胁事件；

b5)将威胁事件发送给互联网边界封堵设备；

c.所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的ip地址、mac地址、终端名称记录到威胁列表中，并对所述威胁事件的ip地址、mac地址、终端名称全部进行封堵。

所述人工封堵模块由人工增加配置以及手动更新安全列表进行人工干预封堵威胁事件。

所述安全列表由人工预先配置并在威胁监测防御过程中不断进行大数据技术统计增加新的威胁事件的ip地址、mac地址、终端名称。

所述自动封堵模块设有人工开启和关闭的通道，实现在人工和自动监测中进行切换。

所述安全监测平台所处理的功能事件包括资产管理、业务管理、弱点管理、事件分析、风险评估、态势分析、威胁情报、通报管理、告警管理、工单管理、知识管理、报表管理。

所述互联网边界封堵设备属于基础应用层设备，能够由人工进行配置。

所述数据采集模块配置为分析各项功能事件进行数据采集和清洗整理，包括对资产数据、性能数据、事件数据、流数据、漏洞数据以及配置数据的采集和清洗整理，提取其中的元数据，之后将元数据发送给数据层、自动封堵模块以及互联网边界封堵设备，由所述互联网边界封堵设备对元数据中的进行威胁判断和封堵。

所述元数据包括网络设备数据、安全设备数据、主机数据、存储数据、数据库配置数据、ips日志数据、waf日志数据。

所述数据层对数据采集模块发送过来的各项数据进行存储备案。

所述互联网边界封堵设备对威胁事件中的ip地址、mac地址、终端名称采用ads黑名单防护策略进行过滤，只要数据包的源ip地址与黑名单列表中的某个地址相匹配，ads设备就会将其阻断，不再进行其他检测，ads设备接收黑ip信息，完成封堵动作并返回封堵状态。

本发明的基于动态联防的互联网威胁监测防御方法，通过增加自动防御机制能够代替人工操作，避免人工操作的疏漏，对电力网络设备和软件进行保护，有效防止威胁攻击。

附图说明

图1是本发明基于动态联防的互联网威胁监测防御方法的功能模块示意图；

图2是自动封堵模块人机交互界面展示图；

图3是本发明方法应用后对电力网络威胁事件处置的效果统计图。

具体实施方式

本发明的方法应用于现有的安全监测平台中，现有的安全监测平台如图1的功能模块示意图，包括展示层、功能层、应用街扩层、数据层、数据采集模块。其中，功能层中设有本发明新增的自动封堵模块，且通过展示层展示自动封堵模块的实时运作情况，如图2所示，该自动封堵模块的界面展示为操作人员提供人机操作界面操作输入接口，以及提供ips来源统计展示、waf来源统计展示以及soc来源统计展示，统计来源与ips、waf和soc系统的黑名数量。

在现有安全监测平台中加入动态防御模块，动态防御模块包括自动封堵模块和人工封堵模块；

自动封堵模块通过应用层接口与互联网边界封堵设备相连实现数据传输；

其中，自动封堵模块被配置为对功能层处理的各项功能事件进行实时监测，实现自动封堵服务状态监控，并将监测结果中达到设定威胁等级的事件发送给互联网边界封堵设备；

实时监测的具体步骤为：

d.功能层将所需处理的各项功能事件发送给数据采集模块进行数据采集和清洗整理；

e.自动封堵模块对数据采集和清洗整理后的ips日志数据以及waf日志数据进行威胁判断；所述威胁判断的步骤为：

b1)将获取的日志数据中的协议报文进行协议分析；

b2)基于协议分析结果提取安全相关的事件及时间序列；

b3)将提取安全相关的事件数据流中的ip地址、mac地址、终端名称；

b4)自动遍历查找安全列表中所登记的ip地址、mac地址、终端名称具有威胁等级标记，并将具有威胁等级标记超过阈值的事件数据流对应的时间序列所涉及的ips及waf日志数据进行标记作为威胁事件；

b5)将威胁事件发送给互联网边界封堵设备；

f.所述互联网边界封堵设备接收所述威胁事件并将威胁事件中相关的ip地址、mac地址、终端名称记录到威胁列表中，并对所述威胁事件的ip地址、mac地址、终端名称全部进行封堵。

其中，人工封堵模块由人工增加配置以及手动更新安全列表进行人工干预封堵威胁事件，可以在在soc系统上手动录入黑ip信息，也可以根据soc系统自身的关联规则，生成威胁ip告警，保存威胁ip的相关信息。

安全列表由人工预先配置并在威胁监测防御过程中不断进行大数据技术统计增加新的威胁事件的ip地址、mac地址、终端名称。具体通过如图2所示的人机操作界面操作输入接口，通过列表、输入框和按钮进行人机交互输入，包括新增和修改安全列表的输入框、查询日志输入框以及配置输入框，能根据不同条件查询统计自动封堵的情况。

安全监测平台所处理的功能事件包括资产管理、业务管理、弱点管理、事件分析、风险评估、态势分析、威胁情报、通报管理、告警管理、工单管理、知识管理、报表管理。

互联网边界封堵设备属于基础应用层设备，能够由人工进行配置。

数据采集模块配置为分析各项功能事件进行数据采集和清洗整理，包括对资产数据、性能数据、事件数据、流数据、漏洞数据以及配置数据的采集和清洗整理，提取其中的元数据，之后将元数据发送给数据层、自动封堵模块以及互联网边界封堵设备，由所述互联网边界封堵设备对元数据中的进行威胁判断和封堵。本发明互联网安全动态防御体系的构建，从安全设备孤岛状态升级到多方联合战线，形成从安全威胁数据采集、事件分析、联动安全执行单元、联动网络执行单元、安全隔离策略执行的动态防御能力，降低电力网络面临的威胁。

元数据包括网络设备数据、安全设备数据、主机数据、存储数据、数据库配置数据、ips日志数据、waf日志数据。

数据层对数据采集模块发送过来的各项数据进行存储备案。

所述互联网边界封堵设备对威胁事件中的ip地址、mac地址、终端名称采用ads黑名单防护策略进行过滤，只要数据包的源ip地址与黑名单列表中的某个地址相匹配，ads设备就会将其阻断，不再进行其他检测，ads设备接收黑ip信息，完成封堵动作并返回封堵状态，提高设备的检测效能。

且所述步骤b5)将威胁事件发送给互联网边界封堵设备的过程设有推送周期，按照设定的周期进行数据推送。

本发明的基于动态联防的互联网威胁监测防御方法，通过增加自动防御机制能够代替人工操作，避免人工操作的疏漏，对电力网络设备和软件进行保护，有效防止威胁攻击。

本发明的主要创新点如下：

1、提出了使用基于大数据技术与边界威胁检测相融合，精准定位互联网高危ip的技术路线，通过对网络安全数据聚类分析，发现可疑行为的互联网恶意ip，补充人工分析的局限性；

2、形成了面向互联网威胁的动态防御体系，打破设备孤岛，构建联合战线。利用海量数据高速分析识别出高危互联网ip，与防御设备形成动态防护策略，将高危ip联动封堵，打破原因的静态防御体系，创新性的实现了互联网威胁的动态防御；

3、提出并落实自动处置与人为可控结合的互联网威胁阻断能力构建方法，在威胁识别、高危ip联动、设备封堵等成果实践应用中，设计了人工排外干预与过程数据可视。确保自动阻断过程中风险可控。

如图3所示，是将本发明方法应用到电力网络对威胁攻击事件进行防御的效果统计：

1)从评估可以看出，本发明在日均人工工时耗费减少的效果是显著的，日均人工从原来的0.875人天减为0.125人天，减少超过86％。

2)安全事件的响应时间(最悲观情况估算)由原来的2小时降低为20分钟，减小84％。

3)主动安全防护时间由5*8小时增加为7*24小时。实现了24小时全年无休的主动安全防护工作。

本发明成果的推广，对网络安全防护运维模式和防御能力带来了深层次的变革，改变原有的人工手动防御模式，形成自动化、体系化的防护，使公司面向互联网高危行为的封堵能力由“5*8人工处置”水平提升至“7*24全天候动态防御”水平。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。