基于一键封堵的高效应急处置系统研究
来源:用户上传
作者:
摘 要:随着移动互联网的长足发展,网络与信息安全事件层出不穷,有数据显示由于安全问题给全球经济带来了直接经济损失高达4450亿元。在众多网络与信息安全威胁中网页篡改、拒绝服务攻击、CDN劫持、DNS劫持、短彩信控制事件是运营商面临的威胁程度最高、攻击面最广、发生可能性最大的五类紧急安全事件,与此同时,新一代的安全威胁不仅传播速度更快、利用的攻击工具更广、留给运营商应急处置的时间窗口也越来越小。如何构建一套集防护、止损、封堵为一体的高效应急处置方式,为运营商在紧急安全事件发生时降低安全事件影响面具有重要的意义。本文从五类紧急安全事件定义、应急处置原理、具体实现方式三方面进行了深入研究,构建了一套高效的应急处置方式。
关键词:安全事件 高效 应急处置 安全防护
中图分类号:TP309 文献标识码:A 文章編号:1674-098X(2019)02(c)-0128-04
信息技术的普及很大程度上提升了我们的生活质量,但随之而来的网络安全问题也给我们带来了极大的困扰[1]。对于通信运营商而言,信息化脚步的加快无疑带动了企业的高速发展,安全威胁所带来的风险也让运营商非常苦恼[2]。在众多安全威胁中,威胁程度最高、影响范围最大、攻击面最广的安全事件要数网页篡改、拒绝服务攻击、CDN劫持、DNS劫持、短彩信控制这五类事件[3]。随着网络安全法的全面深入落实,企业不履行网络安全防护责任造成重大社会经济影响的将被追究法律责任[4],因此运营商针对常见的紧急安全事件构建一套完善高校的应急处置系统具有非常重要的现实意义,本文从五类紧急安全事件的概念、现有应急手段存在的问题、高效应急处置系统原理、实现方式等五个方面对高效应急处置系统的构建进行了研究。
1 五类紧急安全事件简介
目前移动运营商面临的众多安全威胁中,影响范围最大、发生面最广、威胁程度最高的五类安全事件是网页篡改事件、拒绝服务攻击(下称DDoS攻击)、CDN劫持事件、DNS劫持事件、短彩信控制事件五类[5]。
(1)网页篡改事件[6]。是指黑客恶意更改或破坏网页原有内容,使得网站无法正常工作或出现黑客插入。常用的篡改方式有SQL注入后获取webshell、XSS漏洞引入恶意HTML页面、web服务器控制、控制DNS服务器、进行ARP攻击等。
(2)拒绝服务攻击[7]。是指利用服务端/客户端技术,将多台计算机联合起来作为攻击系统,对一个或多个目标发起DDoS攻击,从而成倍提高拒绝服务攻击的为例。
(3)CDN劫持事件[8]。CDN本身就是一种DNS劫持,只不过是良性的。而黑客发起的CDN劫持是指黑客网站所有流量强制解析到自己的钓鱼IP上,让用户访问黑客事先设定的非法内容。
(4)DNS劫持事件[9]。是指在劫持的网络范围内拦截域名解析的请求,其效果就是对特定的网络不能访问或访问的是假网址。
(5)短彩信控制事件。是指短彩信端口被不法分子控制,违规发送涉黄、涉赌、涉黑或者其他违规短信,煽动舆情。
2 现有应急手段存在的问题
目前针对这五类重要安全事件各个运营商虽然都有了响应的应急处置方式,但是存在处置手段分散、应急预案众多、自动处置水平低等问题,整体主要体现在:
(1)安全事件影响大。在重大活动期间,安全事件频发,安全资产容易遭受入侵、DDOS攻击、篡改等安全事件,尤其是网页篡改事件,当出现不良信息、反动标语、非法图片等内容时将带来严重的社会影响。
(2)活动保障要求高。博鳌论坛、19大会议保障、金砖会议等各类重大活动期间,信息安全保障要求高,按照工信部和集团公司要求,一旦发现重大安全事件必须在5min内处置完成,尤其是涉黄涉政的网页篡改事件要求更高,确保安全事件不扩散。
(3)监控手段效果差。安全设备相对分散,未能实现有效的集中监控和处置,同时网页篡改、域名劫持等监控手段误报、漏报严重,监控效果差,缺乏联集中监控和联动处置机制。
(4)应急处置效率低。当发现网页篡改、外部攻击等安全事件时,往往缺乏有效的应急处置手段,在事件发现、确认、处理人员到位,设备登录,操作等环节效率低,通常需要近30min,无法满足针对运营商应急处置方式存在的问题,本文拟构建一种高效的应急处置方式,该方式将五类事件的处置手段集成到一个平台统一下达调度指令,紧急安全事件发生时,只需一键就能下达封堵指令迅速控制安全事件影响范围。基于一键封堵的高效应急处置装置,依托平台实现应急响应从多人员到单人员,多流程到单流程,多工具到单工具的转变,提升总体安全应急响应效率,为重保及日常安全保障提供应急平台支撑。
3 基于一键封堵的高效应急系统原理
基于一键封堵的高效应急除处置系统以安全事件为导向,以应急处置为核心,通过内置的技术标准和最佳实践,将应急响应流程整体细化、分解,并对整个应急响应进展进行监控,实现应急预案平台化,应急响应自动化,快速进行安全事件的应急处置。
3.1 网页反篡改
发生篡改类事件时,通过应急处置系统下发指令调动触发设备(Trigger)下发封堵路由至BGP路由器,利用BGP的二次递归迭代黑洞路由实现近源封堵。该种技术封堵有效范围覆盖全(覆盖所有IP地址含省内本网地址、非省内本网地址、国外地址等)、封堵速度快(BGP路由封堵通过无登录设备下发命令的过程秒级封堵)、封堵实现稳定、后期维护成本低等特点。 3.2 反DDoS攻击
本地检测设备发现DDOS攻击事件后,通过应急处置系统调动全网ADS,统一给ADS下发攻击流量清洗指令,这种方式封堵速度快(无需逐台登录ADS下发清洗指令)。此外为了保障封堵的有效性,对清洗回注策略进行彻底的改造,使用VPN路由实现清洗后的流量回注同时完整覆盖全量IP地址段,做到运营商网内任何一个IP被攻击,都可以进行实时清洗防护。
3.3 DNS反劫持
DNS反劫持功能通过本地化域名拨测进行域名解析的异常监控,再通过对接DnsManager进行事件的处置。DNS劫持事件发生后,经取证通过接口实现域名缓存刷新或者强制解析,使该域名对应到正确IP地址上解除域名劫持带来的不良影响。同时可以通过将域名解析到一个不存在的地址从而实现对域名的封堵实现。
3.4 CDN反劫持
通过资源与页面劫持实时侦测子系统通过资源树的方式拨测判断劫持发生的范围,对CDN边缘节点的静态文件进行拨测爬取实时发现CDN劫持事件,处置模块对接CDN边缘子系统重定向服务器、DNS重定向服务器使得被篡改的文件不被用户访问,用户将回源访问先关内容。同时还可以通过资源树判断被劫持内容的影响范围和劫持发生的具体点位。
3.5 短彩信反控制
发生大规模传播违規、违法短彩信内容事件发生后,通过应急处置系统与运营商网内垃圾短信系统做接口,能够同步短彩信黑名单、短彩信封堵关键字至垃圾短彩信系统,实现短信内容或短信端口封堵。
4 基于一键封堵的高效应急系统实现方式
DNS反劫持和短彩信反控制的实现方式较为简单,都是跟现网设备做简单接口下发指令就可以实现,因此具体实现方式本文不作详细描述。本文实现方式较为创新的主要集中在网站篡改、反DdoS攻击及CDN反劫持三方面的实现方式上,下面详细描述。
4.1 网站反篡改实现方式
当网页发生篡改时,进行一键处置对网页所在的域名进行IP封堵,从而实现影响最小化。系统具备IP和域名两种形式的封堵。若输入为URL,系统自动将URL通过正则表达式转化成域名,再将域名转化为IP,最终通过IP进行封堵。
封堵具体实施过程如下:
(1)一键处置平台通过API接口向trigger设备发送进行封堵IP及相关属性。
(2)在CR上预设一个x.x.x.x 255.255.255.255 null 0 的静态路由,该静态路由仅CR本地有效。x.x.x.x可以为私网IP建议使用私网IP,不影响业务且不浪费公网地址。
(3)trigger设备向CR发送该IP的32位BGP牵引路由,且将发送的32位BGP路由的下一跳地址修改为x.x.x.x。
(4)CR收到去往被篡改网页的IP时做路由查询,将自动把数据包二次递归到NULL0,从而阻断用户访问篡改网页。
封堵路由传递过程如下:
触发设备Trigger 发送封堵路由给城域网CR01,CR01默认将该封堵路由发送给城域网二级RR,RR会将该封堵路由反射给城域网下所有设备。
(1)城域网所有路由器下均需要配置200.1.1.1 255.255.255.255 null 0
(2)经路由反射后,需要封堵的路由在城域网任意一台BRAS或者SR上均可以发现路由变成黑洞路由,而实现全网封堵。
x.x.x.x/32 next-hop 200.1.1.1
200.1.1.1 next-hop null0
4.2 抗DDoS攻击实现方式
运营商内部普遍都部署了抗DDoS攻击流量清洗设备,以A公司为例说明实现方式,A公司现网DDoS攻击清洗设备共有5台,平时攻击发生时,需要分别登录5台ADS进行攻击流量清洗指令下发,耗时较长。构建基于一键封堵的高效应急处置系统后,通过处置系统与所有ADS建立连接,攻击发生时只需从处置系统下发清洗指令就可以实现全网攻击封堵,大幅降低清洗时间,提高攻击处置效率。
DDoS攻击处置的有效性通常取决于回注路由配置的有效性,为了提升DDoS攻击清洗的有效性,运营商需要将互联网出口NE5000E上汇聚、SR发上来所有路由汇总后,添加VPN回注路由,当DDoS攻击发生时,触发牵引、回注规则将所有流量通过BGP另据牵引至ADS进行清洗。将回注路由提前梳理并全网配置,使得抗DdoS攻击处置具有范围广、易扩容、便操作的特点。
(1)覆盖广。其他运营商均只针对重要业务进行抗DDoS攻击防护,A公司却能覆盖全部汇聚和SR。
(2)易扩容。A公司将ADS设备进行了集群配置,后续扩容只需往集群里添加设备便可,无需过多配置。
(3)便操作。通过一键处置平台统一控制清洗策略,无需逐一登陆ADS配置清洗策略。
4.3 CDN反劫持实现方式
(1)CDN cache大文件业务防劫持方案。
CDN cache 大文件业务通过运营商出网口DPI的配合,将出网的请求劫持至本地Cache缓存服务器进行服务。主要是大文件下载和TOP10视频网站(优酷、爱奇艺等)。
高效应急处置系统对接HTTP RR(HTTP 302重定向服务器),通过API接口下发删除被劫持资源的重定向选项。使得本地客户对相关资源的请求不再进行HTTP 302重定向,即客户将从该资源的原始站点进行浏览。从而避免发生CDN CACHE某个大文件被劫持时本省客户大量访问相关被劫持资源的问题。
(2)CDN cache小文件业务防劫持方案。
CDN cache小文件业务通过运营商本地DNS服务系统,将DNS解析请求转发至融合CDN系统中的DNS-RR进行解析,将请求指向本地Cache小文件服务分组服务,达到加速效果。主要是静态页面加速。 高效应急处置系统对接LOCAL DNS Manager(DNS 本地服务器),通过API接口下发删除被劫持资源的forward选项。使得本地客户对相关资源的请求不再进行forward到CACHE小文件的DNS RR上进行解析,客戶将直接访问LOCAL DNS提供的域名A记录,即客户将直接访问相关小文件资源的原始提供站点。从而避免发生CDN CACHE 某个小文件被劫持时本省客户大量访问相关被劫持资源的问题。
另一种方式是应急处置系统通过API接口下发删除被劫持资源的CNAME选项。使得客户将直接访问LOCAL DNS提供的域名A记录,避免发生CDN CACHE某个小文件被劫持时本省客户大量访问相关被劫持资源的问题。
5 高效应急处置方式评价
“五反事件”一键封堵平台的开发和应用,充分整合现有的监测及处置能力,大幅简化处置流程,依托平台实现应急响应从多人员到单人员,多流程到单流程,多工具到单工具的转变,提升总体安全应急响应效率,为重保及日常安全保障提供应急手段支撑。
5.1 处置速度快
通过将A公司现网所有处置手段集成到同一个平台来进行封堵,紧急事件发生时,只需登录一键封堵平台就能实现各类安全事件快速处置,大幅降低处置难度及封堵速度。此外在IP封堵过程中创新性利用BGP路由协议路由传递机制,快速实现封堵路由全BGP邻居自动传递,实现毫秒级封堵,处置速度快。
5.2 封堵范围全
在反DDoS攻击处置过程中,处置的有效性取决于回注路由的配置情况,A公司对清洗回注策略进行彻底的改造,使用VPN路由实现清洗后的流量回注同时完整覆盖运营商全量IP地址段,将回注路由的配置在攻击发生前提前配置好,真正做到防护范围全网覆盖。
5.3 简化封堵流程
一键封堵平台实现了多流程到单流程、多人员到单人员、多工具到单工具的转变,解决安全事件种类杂、闭环难,多部门、多专业协同作战时间长等痛点,实现紧急安全事件实时监控、准确预警及分钟级闭环处置。
6 结语
基于一键封堵的高效应急处置系统以安全事件为导向,以应急处置为核心,通过内置的技术标准和最佳实践,将应急响应流程整体细化、分解,并对整个应急响应进展进行监控,实现应急预案平台化,应急响应自动化,帮助快速进行安全事件的应急处置。通过高效应急处置系统的支撑,在传统的安全应急响应能力基础上进一步流程化和体系化,为安全运维人员提供高效的应急处置手段,实现面向各类安全保障等级的应急处置模式,减少重大安全事件的响应时长和影响时长。系统通过整合现有的监测及处置能力,并简化处置流程,实现应急响应从多人员到单人员,多流程到单流程,多工具到单工具的转变,提升总体安全应急响应效率,为重保及日常安全保障提供应急平台支撑。
参考文献
[1] 王世辉.互联网安全管理系统及其应用[D].南京邮电大学,2017.
[2] 张春生.计算机网络信息安全及防护策略分析[J].电子技术与软件工程,2019(2):204.
[3] 杨继武.云计算时代下网络信息安全问题和对策[J].电子技术与软件工程,2019(2):183.
[4] 姜兰. 论我国突发事件应急管理体系的构建[D].华东政法大学,2007.
[5] 胡华平,刘波,钟求喜,等.网络安全脆弱性分析与处置系统的研究与实现[J].国防科学大学学报,2004,1(26):36-40.
[6] 孙鹏建.网页篡改检测模型的研究与实现[D].北京邮电大学,2012.
[7] 宋宇波,杨慧文,武威,等.一种新型的软件定义网络DDoS联合检测系统[J].清华大学学报:自然科学版,2018(10):1-7.
[8] 魏远,张平.典型的DNS威胁与防御技术研究[J].网络安全技术与应用,2017(11):31-35.
[9] 杨传栋,余镇危,王行刚.结合CDN与P2P技术的混合流媒体系统研究[J].计算机应用,2005,9(29):2204-2207.
转载注明来源:https://www.xzbu.com/1/view-14805511.htm