云时代新型网络安全云防御系统设计(栗一龙

1、云时代新型网络安全云防御系统设计作者：栗一龙摘 要： 为提高云计算大数据时代网络安全防御能力，分析了云计算安全 系统、主动防御系统、被动防御系统，构建了一个新一代的网络安全防御平台， 平台采用了云安全技术基础， 主动防御被动防御相结合等关键技术。 该系统克服 传统单一防御技术的缺陷可以通过将各种网络安全防御模块完美融合， 具备主动 发现并智能处理网络存在的各种威胁， 可以有效阻止攻击， 保证网络的正常运行。 新一代网络安全云防御系统可以为网络安全保护提供一个新的思路， 进一步扩展 了网络安全防御体系。关键词： 云安全；大数据； 安全保护； 主动防御； 被动防御；一、引言随着 5G时代的到来，物

2、联网的崛起， 网络技术的快速发展和进步， 云计算、 大数据将网络上各个终端、服务器等资源集中在一起，实现了计算、网络、存储 资源的弹性应用，为人们提供更方便的数据中心信息化服务， 随着互联网的发展， 网络安全受到的威胁日益增大。传统的 IDC 数据中心、公有云、企事业用户都 不具备全面应对网络安全防护能力， 即使个别的一些数据中心、 公有云、 和企事 业用户采购建设了一些网络安全设备，受自身网络资源、安全团队、资金、网络 攻击多样性等因素影响， 依靠自身能力很难做到网络安全有效防范， 网络安全防 护也不仅仅是采购一些设备， 简单的设备堆砌就能做到万无一失， 网络安全防护 需要专业的技术人员和安

3、全经验。 目前市面上的网络安全产品也是不计其数， 鱼 龙混杂，用户很难甄别， 没有一套整体安全解决方案， 传统单一的网络设备和防 御技术应对网络安全显得力不从心， 现代多功能主动防御设备与技术作为一种对 抗网络攻击的新兴技术，克服了传统防御技术的缺陷，体现出了很强的优势。二、网络攻击现状随着大数据技术的快速发展， 网络攻击技术的不断更新， 以及系统漏洞不断 的被发现， 加上网络攻击工具遍布各个论坛， 甚至出现了专门的教学和网站， 攻 击者不再需要具备高深的专业知识， 也不需要具备自己发现系统漏洞的能力。 只 需要通过网络攻击工具， 攻击者即可发动攻击， 对网络安全造成巨大威胁。 另一 方面，随

4、着技术的成熟，网络攻击方式页逐渐呈现出多样化、智能化等特点，并 且网络攻击成本更低、威力更大：（1）攻击低成本化。 随着网络技术的发展， 互联网设备呈现出井喷式增长， 公共互联网上可供利用的攻击资源越来越多， 攻击者通过多次扫描就能获得鲜活 的攻击资源。加之网络攻击工具的普及，使得网络攻击成本越来越低。（2）大流量攻击常态化。据权威机构统计， 2019年上半年度， DDoS 攻击 的平均峰值达到了 37.6Gbps，与 2018 年的 21.3Gbps 相比，增加近 2 倍。主要 原因是网络带宽普遍提高和攻击者掌控的 DDoS 攻击能力有了大幅提升。（3）攻击方式多样化。互联网的快速发展，带动

5、了物联网、互联网 +、移动 终端的兴起，越来越多的网络设备带来便捷的同时被多样化的安全隐患所伤害。三、现行网络安全防御技术与弊端现有的网络安全无法以单一软件或系统来确保网络安全， 为了提高网络的安 全性，人们尝试将使用各种网络安全设备进行堆砌来保护网络安全， 例如：入侵 检测系统 （Intrusion Detection System）、防火墙 （Firewall） 、防毒墙、云清洗系统、 安全 CDN 系统、安全 DNS 系统、云防节点系统等联合起来，以建立网络边界 防护机制。 各个系统协同联动对网络攻击进行撒网式过滤， 但由于这些应用软件 采用不同的架构、开发语言和环境实现， 在集成过程中

6、使用接口进行统一的通信， 容易产生各类型漏洞， 反而为攻击者提供了渠道。 还会出现应用冲突， 加大误封 等问题。主动防御系统与被动防御系统的部署方式、 威胁识别技术的差异， 极其 容易导致前者检测系统的漏报与误报率高或低的问题， 使得后者无法即时阻止攻 击。虽然网络管理员可以通过各个应用系统的网络流量分析得知目前网络流量大 小以判断网络使用状况和应用服务是否正常。但有时因为各个系统的“互不作 为”，看似正常的网络流量底下很有可能黑客正在进行恶意活动， 网络管理员却 无从得知。智能通过手动分析解包来查看是否含有恶意的封包。四、云计算下的网络安全在所有类别的网络安全和攻击中， 云服务将会是未来一个

7、重点领域。 云服务 会是未来网络安全的主要战场。 随着物联网、 移动和大数据、 支付服务等云形态 的兴起，云供应商在访问控制、 安全检测及数据保护上会是一个重大挑战。 现有 的云安全系统主要有：（1）云访问安全代理（ CASB），是一种提供可视性、合规性、更细致的 可见性和策略管理媒介， 获取组织云计算服务使用的可见性有多少云服务， 它 们是用来做什么的，哪些部门正在使用它们。（2）托管检测和响应（ MDR ），通过此服务模块，用户能够通过持续监控 功能来改善其威胁检测和事件响应效率， 以避免投入额外的资源或者人员来持续 监控威胁。（3）微分区，使企业能够在虚拟的数据中心里隔离和分配不同的应用

8、程序 和工作任务，并可以向每个分区或每个任务分配精细的安全策略。（4）软件定义外围（ SDP）， SDP 系统可以定义不同用户的访问权限，从 而有效从某些群体用户中删除敏感信息。 通过在允许设备访问应用基础设施之前 检查设备的身份和状态，这可帮助减少攻击面。（5）端点检测和响应（ EDR）， EDR 系统可监控所有端点，检测出任何异 常和恶意行为。 并专注于检测异常活动， 对异常活动进行调查， 如果确认为威胁， 则会进行修复和缓解。这些技术可帮助企业保护其数据和信息安全， 提高其保护访问和防止攻击的 能力，但并不能为其抵御更高级的网络攻击，在面对 DDoS、 CC 等相对暴力的 网络攻击时，往

9、往力不从心。三、未来网络安全防御技术1.未来网络安全防护功能设计为了克服网络边界防护机制与当前云计算安全存在的问题， 未来的网络安全 防护应该是一套完整的安全解决方案， 我们采用以云安全技术为基础， 将被动防 御与主动防御系统联动结合，并统一接口、互相支援、互补不足，利用其各自的 优点，来全面降低网络安全威胁的风险， 从而提高网络防护的安全性与效率。 在 云安全系统的基础上通过入侵预测、 比对算法、神经网络技术等智能化主动防御 技术和传统被动防御技术的深入结合， 构建一个主动防御系统， 提高安全运行能 力形成一个高效连动的云安全防御平台体系。 将网络安全防御技术逐步走向实用 化。通过该平台，可

10、极大降低企事业单位采购相关安全产品和培养安全人员的投 入，企事业单位只需购买相应的安全产品和服务，就可以放心开展自身的业务， 无需额外投入建设相关网络安全产品。 通过该平台可有效整合相关资源， 避免重 复建设，企事业单位可共享一套平台。 高度集中化， 平台提供的相关产品和服务 性价比极高，使网络安全防护产品不再是“奢侈品”云安全防御平台应依托于自身的安全数据中心和底层云计算平台来建设， 并 集成云计算安全系统、主动防御系统（入侵预测系统、安全预警技术、安全响应 技术）、被动防御系统（云清洗系统、云防节点系统、智能安全 DNS 系统、安 全 CDN 系统、抗 CC 防御系统、云安全检测运维系统）

11、等产品和服务。 通过先 进的安全防御策略， 动态化地提升大数据应用中心安全防御能力， 构建一种多层 次、深度安全的新一代网络安全云防御平台。2. 未来网络安全防护关键技术（1）入侵预测系统：主动防御系统具有预测功能。在网络攻击发生前预测 攻击行为， 第一时间取得系统防护的主动权。 与传统的入侵检测系统不同， 入侵 预测系统会在攻击发生前智能的预测将要发生的安全状态与入侵行为， 为信息系 统的防护和响应提供线索支撑。 现行的入侵预测主要有两种不同的方法： 一种是 基于安全事件的预测方法， 该方法分析入侵事件发生的历史， 总结其规律性， 预 测将来一段时间的安全走向， 它的特点是能够对中长期的安全

12、走向和已知攻击进 行预测；另一种是基于流量检测的预测方法， 该方法会智能的分析攻击发生时的 网络流量， 通过特定的算法进行统计并分析特征， 根据分析结果用来预测攻击的 发生的可能性，它的特点是能够对短期安全走向和未知攻击进行预测。（2）安全预警技术：主要包括漏洞特征预警、攻击趋势预警和行为预警功 能。新一代的安全防御平台应集成多种异构应用软件， 及时地为用户提供打补丁 的机会，抵御外来威胁。可以通过观察网络不正常流量，使用支持向量机、遗传 算法、K 均值、关联规则等算法来预测网络中存在的攻击行为，进一步提高预警 能力，保证系统具备初步的安全性。（3）安全响应技术：新一代安全防御系统中，若系统监

13、控到非常严重的病 毒、黑客攻击或木马等威胁，即可立即激活木马查杀、杀毒软件等工具，及时阻 断威胁的进一步扩大，同时利用“引导技术”将安全威胁引诱到备用主机上，通 过大数据分析以获取攻击威胁来源， 以便于进行反击。 安全防御平台系统应引入 企业级杀毒软件，便于查杀木马和病毒，提高信息安全性。（4）云清洗系统：主要用于异常流量清洗，主要功能包含异常流量检测、 异常流量清洗、异常流量牵引等。具有异常流量检测、异常流量清洗、异常流量 牵引等先进技术，可以对 DOS/DDOS 等异常流量攻击进行有效的清洗过滤。异 常流量清洗率需达 90%以上。（5）云防节点系统：针对业务在其他云及数据中心的用户，云防护

14、节点系 统用于异地流量清洗， 主要功能包含节点管理与配置， 流量牵引与清洗等。 并可 以防护 CC攻击， UDP攻击， SYN Flood 攻击，碎片攻击， UDP、ICMP、IGMP 等 flood 攻击，以及空连接和资源耗尽型的各种 CC 变种攻击。对各类网络攻击 综合防护率达 96%以上。（6）智能安全 DNS:用于 DNS 的加速与安全防护， 系统可实现 DNS 自动加 速选路、可有效的抵御各类 DNS 攻击。支持采用宕机监控程序，使用多种的算 法，端口检测， 高效进行多线路解析， 高防机房服务器集群， 可以有效防护 DNS query、DNS 放大、 DNS 劫持等攻击。 DNS 防

15、护率达 95%以上。（7）安全 CDN ：用于用户的加速分发和 CDN 业务安全，可为用户提供抗 DDOS 的 CDN 节点，区别于传统的 CDN 提供商，安全 CDN 节点可以抵御一定 量级的 DDOS 攻击。（8）抗 CC 防御系统：应采用数据流指纹识别技术和自定义加密协议，建 立多节点立体防护体系， 满足多种应用防护场景。 并提供云端部署， 使系统不受 地域空间限制，不受平台环境限制，兼容支持 PC、 Android 、IOS 等多种应用场 景安全防护，有效防护 DOS/DDOS、代理 CC、僵尸集群 CC、漏洞攻击等攻击。 CC 攻击防护率需达 98%以上。（9）云安全检测 :平台应为

16、用户提供云安全检测服务，针对自身服务和应用 程序进行相关的安全检测，并提供强大的运维管理支持。对于物理资源的监控， 使用定制的运维管理软件提供监控服务。能够对云平台各物理机的硬件信息监 控，包括： CPU、内存，硬盘，系统负载；并按策略进行告警。能够对云平台各 基础组件服务、管理节点服务，控制节点服务的监控；并按策略进行告警。能够 支持日志查看及报表导出。（10）云安全服务和运维： 安全云平台需为用户提供专业的安全服务和运维 服务，可以进行安全漏洞检测、代码走查、安全加固、安全运维等服务。系统应 做到故障 3 分钟内处理， 5 分钟之内完成 DDOS 攻击分析防护及系统故障响应， 365*7*24 全天候不间断服务，并提供 99%的异常故障监控报警功能。 功能系统架构图：图1 功能系统架构图云平台系统拓扑图：图 2 云平台系统拓扑图结束语网络安全防御技术作为互联网中最重要的技术，