互联网应用系统安全监控预警策略

◆徐杨子凡 王竟文 兰少鹏

（1.云南南天电子信息产业股份有限公司信息安全测评中心 云南 650041；2.昆明长水国际机场 云南650200）

随着网络与信息化的不断发展，新技术新应用的不断普及，越来越多的业务需要互联互通，信息系统逐渐复杂化，互联网应用系统是一种典型的系统形态。安全监控预警[1]是网络安全保障工作中的重要环节，《中华人民共和国网络安全法》对安全监控预警相关工作提出了明确的要求，是网络运营者的重要任务。

由于互联网应用系统直接对互联网提供服务，面临较高的安全风险，我国现有的网络安全技术标准对监控预警方面的描述过于宏观，缺乏实施层面的细则，网络运营者亟须一套可行的监控预警策略支撑互联网应用系统安全监控预警工作的落地。

1 互联网应用系统安全现状

互联网应用系统指对互联网提供服务的各类业务系统或支撑系统，包括但不限于：门户网站、交互式信息系统、云计算平台等。由于互联网应用系统直接与互联网进行连接，是整个企业网络的入口，逐渐成为黑客的主要攻击目标。近几年来，方程式、匿名者等黑客组织频繁对我国互联网应用系统进行网络攻击，控制重要系统，窃取敏感数据。2018年，CNCERT监测发现境内外约1.6万个IP对我国境内约2.4万个网站植入后门，攻击团伙不断更换其掌握的大量攻击资源开展批量化、长期化控制，并且具有典型的黑产利益意图[2]。由此可见，互联网应用系统面临的安全形势十分严峻。

2 互联网应用系统安全监控预警工作开展情况

2.1 国内外安全监控预警方法论

网络安全监控预警通过安全技术手段监控网络攻击及网络威胁，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示，以便安全人员采取措施对安全事态进行快速应对，是互联网应用系统长期运行维护的重要技术手段。

美国国家标准和技术研究院（NIST）发布的《Framework for Improving Critical Infrastructure Cyber security》[3]中提出了：检测异常活动，了解事件的潜在影响；监控信息系统和资产，以识别网络安全事件。我国2018年11月发布的《信息安全技术 网络安全等级保护基本要求（报批稿）》中提出了：应能对网络中发生的各类安全事件进行识别、报警和分析。可以看出美国和我国在监控预警方面的要求和方法论是相似的。

2.2 我国网络运营者开展安全监控预警工作面临的问题

我国关于网络安全监控预警方面的标准尚不健全，网络运营者缺乏权威的技术规范指导互联网应用系统安全监控预警工作。目前大部分网络运营者采用IPS、WEB应用防火墙、杀毒系统等常规安全系统对网络攻击进行监控并报警；部分单位建立了网络安全态势感知平台[4]，但对态势感知平台过分依赖，对于态势感知平台无法识别的攻击缺乏有效的解决方案。

当前的各类安全监控预警措施存在以下几个突出的问题：

（1）安全监控范围存在盲区，目前的安全防护与监控类产品大部分基于特征库的方式进行数据过滤，本身存在较多误报、漏报的可能性。

（2）安全设备或态势感知系统的攻击日志及告警信息可用性较低，安全运维人员常常收到海量告警信息，但无法验证告警信息的有效性，难以提取出真正关键的安全信息。

（3）对于采用丰富资源且手法相对隐蔽的APT攻击难以有效进行识别与定位[5]。

3 互联网应用系统安全监控预警策略设计

根据当前互联网应用系统安全监控预警工作现状及面临的问题，应将现有的各类安全监控预警手段整合成一套完善的技术体系，重点解决误报、漏报、有效信息提取及APT攻击识别等问题，采用图1所示的总体安全监控预警策略。

图1 网络安全监控预警总体策略图

（1）建立网络安全态势感知平台，对漏洞利用攻击、恶意代码攻击、异常流量、敏感信息泄露等各类网络攻击信息进行监测，为安全监控预警工作提供技术基础。

（2）通过基线核查、漏洞扫描、渗透测试[6]等方式对互联网应用系统进行脆弱性测试，依据脆弱性测试结果制定实时安全监控及定期安全审计[7]策略。

（3）依据安全监控预警策略开展常态化的安全监控预警活动，识别互联网应用系统安全运行状态，并在发现安全隐患时进行应急处置。

3.1 建立安全态势感知平台

采用自建、共建等方式建立全方位的网络安全态势感知平台对安全事件实施持续性监测，广泛运用数据挖掘、机器学习[8]等技术对各类安全信息进行归纳、分析及预测。对于系统规模较小的单位，也可以购买基于SAAS模式的态势感知云服务。

网络安全态势感知平台技术架构如图2所示，可划分为：数据采集层、数据处理层、数据存储层、数据分析层及态势展示层，各层的功能如表1所示。、

图2 态势感知系统技术架构图

表1 态势感知平台技术解读

3.2 实时安全监控预警策略

互联网应用系统在任何时间点都可能面临各类黑客攻击，只有进行实时安全监控才能确保第一时间发现安全威胁。由于各种安全监控源产生的攻击信息非常繁杂，应采用技术手段将相对可信的信息筛选出来，并配置为实时告警的内容。

以下介绍三种“可信”安全信息：

（1）互联网应用系统安全漏洞所对应的攻击信息。

对互联网应用系统进行脆弱性测试，在充分掌握系统安全漏洞的前提下，结合安全漏洞被利用后的影响程度、态势感知平台监控机制等因素，在态势感知平台的自动报警策略中规避一些不存在或影响较小的信息类型，如表2所示，可以有效提升实时监控效率。

表2 安全攻击信息监控策略示例

（2）IT资产关键属性表异常变化信息

对互联网应用系统及运行网络环境中的相关 IT资产进行梳理，并对其关键属性：资产名称、IP、操作系统、端口、服务、组件、与其他资产之间的通信关系等进行精确记录。使用态势感知平台对IT资产关键信息进行监控，发生变化时进行告警。

由于在业务变更及运维所需范围之外，IT资产关键属性极少发生变化，如果出现变化极有可能是黑客攻击导致，该方式可有效识别较为隐蔽的APT攻击。

（3）权威安全情报机构的威胁预警信息

建立与权威安全情报机构的信息共享机制，基于安全情报对重大安全攻击进行安全预警，提前做好预防性处置措施，可有效预防安全事故的发生。

3.3 定期安全审计策略

由于考虑到安全信息有效性及监控效率的问题，实时安全监控未覆盖所有可能的攻击范围，定期进行全盘的安全审计与分析，主动发现安全威胁，是实时安全监控预警工作的有效补充。

安全审计范围主要包括以下两个层面：

（1）安全日志审计与分析

通过态势感知平台以周度或月度的频率定期对防火墙、IPS、IDS、异常流量监控、WAF、杀毒系统及主机入侵防护等安全系统生成的监控日志全面进行审计，并对审计记录进行关联分析，发现网络中可能存在的攻击痕迹，包括但不限于流量攻击、WEB漏洞攻击、数据窃密、恶意代码等，形成安全审计分析报告。

（2）服务器深度安全审计

由于任何安全设备也不能保证能够识别所有攻击类型，根据安全攻击原理分析，无论是破坏性、篡改型还是窃密型攻击，最终攻击节点都会落在承载应用系统及数据的服务器操作系统层面，攻击过程和结果均会造成操作系统中一些关键指标的变化。

以月度或季度的频率定期对互联网应用系统所涉及的重要服务器进行操作系统本地深度威胁检测，检测内容包括但不限于：异常端口检查、异常进程检查、异常线程检查、异常服务检查、异常策略检查、异常注册表项检查、可疑文件等，可通过主机层面安全软件结合人工检查的方式实现，并对检查结果进行汇总分析，形成服务器深度安全审计报告。

4 结束语

本文立足于互联网应用系统安全现状，结合国内外网络安全监控预警方法论，分析了当前常规网络安全监控预警方式存在的不足，提出了一套普适性的网络安全监控预警策略，改善了常规监控预警范围存在盲区、工作效率低下、难以识别 APT攻击等问题，对网络运营者落实网络安全保障任务有较大的促进作用。