一种改进的网络攻击自动防御系统的设计与实现

◆倪浩杰

（江苏省国际信托有限责任公司 江苏 210000）

全球环境复杂多变，网络攻击事件层出不穷。政企单位花费大量人财物力，保护信息资产的保密性、完整性和可用性。现今的网络攻击防御系统，通过收集网络流量、发现威胁、发送告警通知安全员，人工处置安全事件。如图1。这种方式存在人力成本高、告警准确率低、响应处置慢等问题。为此，解决上述问题就变得十分必要。

图1 现阶段网络安全防御系统工作流程

● 能够保护重要资产，阻断网络攻击。

● 能够7*24 小时自动化防御，减少人力资源投入。

● 能够快速准确发现被保护资产的威胁和脆弱性。

● 能够提高网络攻击告警的准确率。

● 能够快速响应、有效处置安全事件。

为解决上述问题，本文设计一种改进的网络攻击自动防御系统，它在原防御系统的基础上，增加确认威胁模块和决策处置子系统。确认威胁模块校验初步威胁概率，能有效降低威胁信息的误报率。决策处置子系统，由决策中心模块按照预设策略，推动自动处置模块，“指挥”防火墙、WAF 等安全设备联动处置，自动阻断攻击。

图2 改进的网络安全防御系统工作流程

4.1 网络攻击自动防御系统的构架

网络攻击自动防御系统以承载平台为基础，连接收集分析平台、决策处置平台、配置中心模块、日志审计模块、监测大屏模块、威胁情报模块和告警通信模块，实现资产的有效防护。如图3。

图3 网络攻击自动防御系统框图

4.2 收集分析平台

收集分析平台由一系列探针组成，将网络流量、行为特征等数据收集分析，初步发现威胁，经承载平台推送威胁情报模块校验。

4.3 决策处置平台

决策处置平台接受校验后的威胁信息，按照预设的策略，决策响应，联动防火墙、IPS、WAF 等安全设备，阻断攻击。

4.4 承载平台

承载平台是自动防御系统的核心，连接收集分析平台、决策处置平台、配置中心模块、展示子系统、威胁情报模块和告警通信模块。

4.5 威胁情报模块

威胁情报模块用于校验初步威胁信息，确认威胁信息概率值。经校验大概属于威胁攻击行为，则进一步查询威胁的风险值和标签等信息。威胁情报模块有效降低告警误报率。

4.6 告警通知模块

告警通信模块将威胁信息发送给安全员，包括恶意IP、URL、风险等级、风险标签。如图4。

图4 告警通知示例

4.7 配置中心模块

配置中心模块用于配置网络接口、安全策略、触发阈值、处置方式、情报库设置和告警通信等参数。

4.8 展示子系统

展示子系统包括日志审计模块和监测大屏模块。日志审计模块用于查看操作、拦截、登录等日志信息。监测大屏模块外接大面积显示屏，方便实时监测和展示。

本文提出的改进后的网络攻击自动防御系统，能够准确识别威胁，发送告警，快速响应，自动处置，阻断攻击，保护资产，减轻了安全员的工作压力，最大程度降低了数据泄漏风险。在护网行动、百年建党等重要时刻，该系统在作者单位经发挥巨大作用。

猜你喜欢校验日志情报情报现代装饰(2022年5期)2022-10-13情报现代装饰(2022年3期)2022-07-05情报现代装饰(2022年2期)2022-05-23使用Excel朗读功能校验工作表中的数据中学生学习报(2022年15期)2022-04-17一名老党员的工作日志华人时刊(2021年13期)2021-11-27扶贫日志心声歌刊(2020年4期)2020-09-07雅皮的心情日志思维与智慧·上半月(2018年9期)2018-09-22炉温均匀性校验在铸锻企业的应用中国铸造装备与技术(2017年6期)2018-01-22游学日志小学生(看图说画)(2017年6期)2017-11-06电子式互感器校验方式研究电子制作(2017年1期)2017-05-17