《研制网络安全威胁源自动封禁工具》由会员分享,可在线阅读,更多相关《研制网络安全威胁源自动封禁工具(19页珍藏版)》请在金锄头文库上搜索。
1、 研制网络安全威胁源自动封禁工具xx公司网安中心“辑智”QC小组xx公司“辑智”QC小组成立于2017年,小组成员90%为硕士学历,涵盖领导、技术和一线生产岗位,层次完整,具有很强的创造力和问题解决能力。小组名称网安中心“辑智”QC小组活动课题名称研制网络安全威胁源自动封禁工具注册时间2017年3月课题类型创新型活动次数10次出勤率100%小组成员情况姓名性别学历职务组内分工xx男硕士研究生组长总策划xx女硕士研究生副组长成果撰写xx男硕士研究生组员成果撰写xx男硕士研究生组员成果撰写xx男本科组员成果撰写xx女硕士研究生组员成果发布xx男硕士研究生组员资料收集xx男硕士研究生组员活动实施xx
2、男硕士研究生组员活动实施xx男硕士研究生组员活动实施小组获奖情况2017年12月,墨子系统智能化信息安全防御平台获省公司优秀职工技术创新成果一等奖。2018年12月,网络安全态势全息感知和智能预警关键技术及应用获省公司科技成果一等奖。2019年12月,网络与信息安全态势感知与预警关键技术及推广应用获中国电力科学技术三等奖。2019年12月,Hbook应用指纹识别系统获省公司2019年度优秀职工技术创新成果。2019年12月,大数据驱动的电力信息网安全态势感知、识别与预警关键技术及应用获得2019年度xx省科技进步二等奖。2021年12月,“端脑结合”-数据安全预警机获第十届中国(xx)青年创业
3、创新大赛暨第八届“创青春”中国青年创新创业大赛(xx赛区)三等奖。2021年12月,基于DSMM模型的电力数据安全防护体系建设与实践获省公司管理创新三等奖。为了使本次活动有计划、有步骤、有目的的开展,小组按照PDCA的要求,制作了活动计划表。阶段时间2022年P内容3月4月5月6月7月8月9月10月11月选择课题设定目标及目标可行性论证提出方案并确定最佳方案制定对策D实施对策C效果检查A巩固效果总结打算制表/图人:xx 时间:2022-03-02一、选择课题(一)提出需求总书记指出“没有网络安全就没有国家安全”,网络安全已上升为国家安全的高度。针对网络攻击,及时溯源、快速封禁才能避免网络攻击造
4、成进一步损失。目前黑客网络攻击已演变为经济、政治等目的的攻击,若未及时处置,攻击者能够通过窃取知识产权直接获得利益,也可入侵、窃取电力企业的客户信息及重要数据,更甚者破坏电力企业以至国家的基础设施,带来巨大经济损失。网络安全作为支撑电网安全运行的重要保障,是新型电力系统建设、电网数字化转型的重要基石。2019至2021年,xx公司 共拦截高危网络攻击153.6万余次,从每年的攻击次数来看,每年存在30%左右的增长趋势。根据安全监测人员反映,平均每个攻击从发现告警到封禁操作大约需要3-5分钟,网络安全告警处置的高危告警遗漏率为7%,误封禁率为13%左右。现有网络攻击处置方式如图1,安全监测人员收
5、到安全设备告警后,会对多个设备的告警进行综合分析判断,之后在防火墙上对威胁IP进行相关操作,处置效率较低,面对海量的网络攻击,处置速度赶不上网络攻击速度,同时安全监测人员工作精力大量投入到封禁威胁IP上,存在大量重复性工作。网络攻击封禁的效率依赖安全监测人员发现的及时性和处置的准确性,人工处理成本高,效率低且存在不确定因素,可能无法及时发现和处置网络攻击,如何第一时间高效精准应对和处置海量的网络攻击,是运维人员亟需解决的问题。图1 现有网络攻击处置方式制图人:xx 时间:2022/03/28通过对安全监测人员网络攻击处置各环节时间进行多次统计,各环节处置平均时间统计如下表,在实际工作中由于开展
6、其他工作而未及时发现、处置告警的时间未统计在内。表1 网络攻击各环节处置平均时长处置环节安全设备告警查看告警综合分析威胁ip封禁平均时长(分钟)1.32.41总时长(分钟)4.7制表人:xx 时间:2022/03/28通过对安全监测人员三个月内所封禁IP进行人工复核,核实该IP是否确实存在攻击行为,统计误封禁IP情况如下表。表2 网络攻击误封禁率统计时间2022年1月2022年2月2022年3月误封禁IP个数351218346当月IP封禁总个数269619872341误封禁率13%11%14.8%制表人:xx 时间:2022/03/31通过对公司三个月内流量进行人工复核,核实具有攻击行为的IP
7、是否均已封禁,统计高危告警遗漏率情况如下表。表3 网络攻击高危告警遗漏率统计时间2022年1月2022年2月2022年3月未封禁高危告警IP个数615973当月高危告警IP总数875985916高危告警遗漏率7%6%8%制表人:xx 时间:2022/04/08网安中心“辑智”QC小组对网络攻击的类型、数量等情况进行了数据统计,统计结果如下:表4 网络攻击类型及数量周统计(4.13-4.19)序号攻击类型攻击数量1HTTP_ACL99312敏感文件探测41753爬虫攻击14164应用漏洞攻击11985注入攻击7466系统命令执行4527植入后门文件3528植入XSS跨站代码229总计18499制
8、表人:xx 时间:2022/04/20通过对多个单日攻击数量统计分析发现,攻击分布在24小时,并且攻击时间、数量具有随机性,不存在既定规律。图2 4月13日攻击分布 制图人:xx 时间:2022/04/20因此为提高网络安全防护能力与网络攻击处置效率和精准度,提出减少人工封禁操作时间,针对海量网络安全威胁源自动封禁处置,提升网络安全自动化处置质量。(二)做法借鉴1.寻找课题创新思路小组召开头脑风暴会议,积极寻找课题创新思路,讨论认为减少人工操作时间同时获取丰富精准的基础资料是实现IP自动化精准处置的关键。小组考察借鉴了快件自动分拣系统, 2013-2022年快递服务总量迅速增长,保持在20%以
9、上的增长速度,2022年全年快递服务企业业务量完成833.6亿件,同比增长31.2%。面对日益增长的快递量,快件自动分拣可取代人工分拣,实现自动化分类,分拣效率高,出错率低,极大提升了工作质效。快件自动分拣系统通常由供件系统、分拣系统、下件系统、控制系统4部分组成,在控制系统的协调作用下,实现物件从供件系统进入分拣系统进行分拣,最后由下件系统完成物理位置的分类,从而达到分拣的目的。自动分拣系统大致分为合流、分拣信号输入、分流和分运4个阶段。合流:按拣选指令从不同货位拣选出来的物料,通过一定的方式送入前处理设备,并由前处理设备汇集到主输送线上。分拣信号输入:到达主输送线上的物料,通过自动识别装置
10、读入物料的基本信息,并由计算机对读入的物料信息进行相应的处理。分流:物料信息被读入计算机系统后,在主输送线上继续移动,仓储货架分拣系统实时检测物料的移动位置,当物料到达分拣道口时,控制系统向分类机构发出分拣指令,分类机构立即产生相应的动作,使物料进入相应的分拣道口。分运:进入分拣道口的物料最终到达分拣系统的终端,由人工或机械搬运工具被分运到相应的区域。2.提炼创新思路快件与网络攻击都具有数量大,来源多,可分类,时间分布不规律,人工处理效率低等特点,通过考察快件自动分拣系统,进行创新思路借鉴。表5 创新思路借鉴表需求借鉴点快件自动分拣系统网络安全威胁源自动封禁工具设备告警汇集通过系统自动收集汇聚
11、通过供件系统将物料汇集到主输送线通过对安全设备告警日志进行收集汇总资产信息定位借助标签精准定位资产借助发货单到货单完成快件精准定位通过建立资产台账精准定位告警IP的详细信息增量信息收集通过情报辅助开展分类工作获取增量信息辅助开展快件分拣通过获取第三方情报,辅助开展攻击分类网络攻击自动分类海量快件自动分拣在控制系统的协调下,自动识别物料信息进行分拣梳理网络攻击分类及处置规则,通过自动分析日志实现攻击行为自动分类网络攻击自动处置快件自动下件分类控制系统在物料到达分拣道口时,产生相应动作,完成物理位置的分类、分运针对网络攻击的不同类型,在防火墙上自动进行封禁等操作,实现自动处置制表人:xx 时间:2
12、022/04/20(三)思路启发借鉴快件自动分拣系统,对网络攻击的告警进行汇总并自动分析分类,根据不同告警类型进行自动告警处置,通过告警自动分析处置,代替安全监测人员的人工告警监控及处置,提升告警处置效率及准确性。思路拓展:小组通过会议讨论提出,通过研发网络安全威胁源自动封禁工具,提取不同安全设备告警日志,进行自动实时汇总,根据资产清单表、情报库以及现有告警分类及处置规则,梳理不同告警对应的分析及处置操作,实现威胁源自动分类,最后根据智能分析结果,将需要处置的IP,在防火墙上进行相关操作,实现网络攻击自动化处置,缩短告警处置时长,提升告警处置效率和精准度,节约人力成本。(四)确定课题确定本次Q
13、C活动的课题为:研制网络安全威胁源自动化封禁工具二、设定目标及目标可行性分析(一)设定目标课题目的:通过告警日志自动收集汇总,根据处置规则进行告警自动分类及处置,提高告警处置效率,缩短告警处置时间。量化目标:根据课题的需求,QC小组将本课题的目标设定为“缩短一时间,降低两个率”,即将一次网络安全告警处置时间由4-5分钟缩短至秒级(60s内),同时将网络安全告警处置的高危告警遗漏率由7%降低到1%、误封禁率由13%降低到2%。(二)目标可行性分析1.模拟分析为进一步论证目标可行性,小组对网络安全处置的各环节进行模拟测试及经验借鉴,情况如下。(1)日志汇总本模块旨在对比选择告警处置时间较短的方案,
14、通过编写脚本将安全设备日志上传至ftp指定路径,测试所需时间,模拟日志自动收集汇总时间,QC小组进行了10次测试,测试数据如下,通过测试发现日志汇总花费时间较短,不超过0.6s。 表6 日志汇总耗时验证数据测试轮次12345678910日志上传耗时(ms)383412419471389397428507414396制表人:xx 时间:2022/04/23(2)告警智能分析本模块旨在对比选择告警处置时间较短的方案,设置每条告警由7个字段进行描述,使用改进Cofi机器学习算法对100余条告警进行分析处置,测试其总计分析处置时长为99.5s,平均每条告警处置时间为0.995s。因此当小组在告警智能分析中选择常用算法时,
