利用自动化手段加强网络安全预警与技防措施

利用自动化手段加强网络安全预警与技防措施

傅林黄德强

（国网安徽省电力公司宿州供电公司安徽省宿州234099）

摘要：近年来，国内外的网络安全形势日益严峻，随着《中华人民共和国网络安全法》的实行，保障网络安全的艰巨任务已上升至国家层面。国家电网公司负责关键信息基础设施的网络运行安全，随着网络安全要求的不断提升与网络安全分析室的深入建设，对网络安全监测预警与技防措施实用化提出了更高要求。

关键词：自动化手段；网络安全管理

一、引言

近年来，国内外的网络安全形势日益严峻，随着《中华人民共和国网络安全法》的实行，保障网络安全的艰巨任务已上升至国家层面。国家电网公司负责关键信息基础设施的网络运行安全，随着网络安全要求的不断提升与网络安全分析室的深入建设，对网络安全监测预警与技防措施实用化提出了更高要求。

因此，在日常工作中，需要加强网络安全风险监测、分析与预警，提高网络安全保障水平，实现全天候全方位感知和有效防护；加强网络准入、终端管控、日志分析、流量监测分析等技术措施，提高信息安全技防措施的智能分析、精准策略及防御联动能力。

公司根据自身网络安全监测预警经验与技防措施现状，通过自动化手段加强网络安全预警能力，深化落实网络安全技防措施实用化，探索基于网络安全分析室的新型监测方式：

1.利用网页爬虫工具，提取WEB应用防火墙、IPS、攻击溯源系统等安全防护设备监测预警信息；

2.通过设定专家规则进行监测预警信息的综合分析，实时产生声音/颜色告警，提醒监控值班人员进行分析处置；

3.提供一键自动应急处置手段，实现与防火墙联动联防，第一时间自动封禁高危攻击源。

二、工具原理及功能

结合网络安全分析室工作，开发网络安全监测、分析、处置脚本工具，利用自动化手段加强网络安全预警与技防措施实用化，工作方式如下：

（1）监测预警方面，工具自动化告警，提示安全监测员查看详细告警信息。

目前大多数安全防护设备为基于协议理解及内容正则匹配的工作方式，告警数量大、频度高，如配置安全防护设备根据其自身的监测信息产生声音警报，则告警过于频繁；而如果未提供声光电等告警方式，以定期巡视的方式开展监测，定时巡视周期过短则加大信息调度监控人员工作量，巡视周期过长则出现网络攻击等信息安全事件时，监测预警的时效性无法保证。

（2）分析研判方面，工具利用基于专家规则的自动化分析，与分析研判人员人工分析相结合，精确判别攻击风险。

基于专家规则的自动分析，为信息安全专业人员面对海量监测预警信息时，进行深入分析研判提供切入点，为其提供决策依据，避免分析结果过度依赖专业人员技能水平的情况。同时，大多数安全防护设备与系统均采用通用型规则，并未根据国网网络与应用系统的特性制定特定规则，容易产生大量误报。信息安全专业人员根据日常监测分析的经验，制定专家规则，有效筛除误报。将专家规则以软件的形式进行固化，便于网络安全情报共享，体现蓝队工作价值。

（3）事件处置方面，工具实现高危攻击溯源与一键封禁，处置员人工确认实现流程闭环。

基于传统的工作方式，整个工作流程耗时过长，工作时间需约30分钟，非工作时间超过3小时。而网络攻击的特性决定如未及时对入侵者采取防范措施，造成危害仅需若干分钟甚至若干秒。因此在网络安全预警工作中，需要实现与防火墙等安全设备的联动联防，保证事件处置的时效性。

三、系统功能如下：

1）监测预警数据采集

监测数据采集工具采用Python开发，利用网页爬虫技术抓取监测预警信息，保存至本地。考虑到通用性与扩展性，利用Python的selenium自动化测试模块开发了通用爬虫脚本，便于不同的安全防护设备的数据抓取。

2）基于专家规则的综合分析与告警

将信息安全防护设备监测信息提取后，需要将提取的信息进一步分析，对于高危风险产生声音告警。为监测的特高、高、中、低危赋予不同程度危险程度值，当某个攻击安全防护设备所采取的动作为“阻断”时，危险程度值相应提高。综合各个安全防护设备的监测信息，当某个攻击源的危险程度值超过某个阈值时，产生声音告警，提醒专业人员需要进行深入分析研判。

3）防火墙联动

对于高危网络攻击事件，为了及时对入侵者采取防范措施，开发自动化应急处置脚本，封禁高危攻击源，与防火墙实现联动联防。脚本采用网页爬虫的形式；或者开发工具自动登陆至防火墙控制台，利用控制台命令进行自动封禁。

公司采用网页爬虫的形式实现应急处置程序脚本，同时将脚本的调用集成至信息安全监测处置工具中，实现防火墙联动联防。

四、总结

随着网络安全分析室建设的不断深入，利用自动化手段的网络安全分析室新型监测方式。开发自动化工具与脚本，从监测预警数据采集、基于专家规则的综合分析与告警、防火墙联动联防应急处置三个方面与网络分析室工作有机结合，深化落实技防设施实用化。工具简便灵活，时效性高，侧重于获取安全防护设备核心告警信息，充分利用现有技防装置分析结果，提供与防火墙的联动联防；维护与推广成本低，无需对现有系统与网络结构进行任何改动，当抓取不同安全防护设备页面时，仅需对脚本中访问url、匹配规则进行少量改动；工具为信息安全专业人员自主开发，研究了一套基于专家规则的网络安全攻击判别算法，实现网络安全防护的经验共享，有效解决现有安全防护设备告警繁杂、误报率高等情况，能够灵活的根据实际情况进行动态扩展。

参考文献：

[1]张勇.办公自动化网络安全保护方法[J].湖南有色金属，2008，24（3）：46-48.

[2]董建灵.电力调度自动化系统的网络安全及优化途径[J].电子技术与软件工程，2016（18）：223-223.

[3]WANGChunlu，王春露，WANGYancheng，等.自动高效的网络安全评估方法[C]//中国数据库学术会议.2012.

作者简介：

1.傅林，男，1990.2，汉族，江苏省邳州市，硕士研究生，工程师，研究方向：信息安全.

2.黄德强，男，1966.04，汉族，安徽省宿州市，本科，高级工程师，研究方向：计算机应用