研制網(wǎng)絡(luò)安全威脅源自動封禁工具

PAGE9研制網(wǎng)絡(luò)安全威脅源自動封禁工具xx公司網(wǎng)安中心“輯智”QC小組xx公司“輯智”QC小組成立于2017年，小組成員90%為碩士學(xué)歷，涵蓋領(lǐng)導(dǎo)、技術(shù)和一線生產(chǎn)崗位，層次完整，具有很強的創(chuàng)造力和問題解決能力。小組名稱網(wǎng)安中心“輯智”QC小組活動課題名稱研制網(wǎng)絡(luò)安全威脅源自動封禁工具注冊時間2017年3月課題類型創(chuàng)新型活動次數(shù)10次出勤率100%小組成員情況姓名性別學(xué)歷職務(wù)組內(nèi)分工xx男碩士研究生組長總策劃xx女碩士研究生副組長成果撰寫xx男碩士研究生組員成果撰寫xx男碩士研究生組員成果撰寫xx男本科組員成果撰寫xx女碩士研究生組員成果發(fā)布xx男碩士研究生組員資料收集xx男碩士研究生組員活動實施xx男碩士研究生組員活動實施xx男碩士研究生組員活動實施小組獲獎情況2017年12月，《墨子系統(tǒng)——智能化信息安全防御平臺》獲省公司優(yōu)秀職工技術(shù)創(chuàng)新成果一等獎。2018年12月，《網(wǎng)絡(luò)安全態(tài)勢全息感知和智能預(yù)警關(guān)鍵技術(shù)及應(yīng)用》獲省公司科技成果一等獎。2019年12月，《網(wǎng)絡(luò)與信息安全態(tài)勢感知與預(yù)警關(guān)鍵技術(shù)及推廣應(yīng)用》獲中國電力科學(xué)技術(shù)三等獎。2019年12月，《Hbook應(yīng)用指紋識別系統(tǒng)》獲省公司2019年度優(yōu)秀職工技術(shù)創(chuàng)新成果。2019年12月，《大數(shù)據(jù)驅(qū)動的電力信息網(wǎng)安全態(tài)勢感知、識別與預(yù)警關(guān)鍵技術(shù)及應(yīng)用》獲得2019年度xx省科技進(jìn)步二等獎。2021年12月，《“端腦結(jié)合”--數(shù)據(jù)安全預(yù)警機》獲第十屆中國（xx）青年創(chuàng)業(yè)創(chuàng)新大賽暨第八屆“創(chuàng)青春”中國青年創(chuàng)新創(chuàng)業(yè)大賽（xx賽區(qū)）三等獎。2021年12月，《基于DSMM模型的電力數(shù)據(jù)安全防護(hù)體系建設(shè)與實踐》獲省公司管理創(chuàng)新三等獎。為了使本次活動有計劃、有步驟、有目的的開展，小組按照PDCA的要求，制作了活動計劃表。階段時間2022年P(guān)內(nèi)容3月4月5月6月7月8月9月10月11月選擇課題設(shè)定目標(biāo)及目標(biāo)可行性論證提出方案并確定最佳方案制定對策D實施對策C效果檢查A鞏固效果總結(jié)打算制表/圖人：xx時間：2022-03-02一、選擇課題（一）提出需求總書記指出“沒有網(wǎng)絡(luò)安全就沒有國家安全”，網(wǎng)絡(luò)安全已上升為國家安全的高度。針對網(wǎng)絡(luò)攻擊，及時溯源、快速封禁才能避免網(wǎng)絡(luò)攻擊造成進(jìn)一步損失。目前黑客網(wǎng)絡(luò)攻擊已演變?yōu)榻?jīng)濟(jì)、政治等目的的攻擊，若未及時處置，攻擊者能夠通過竊取知識產(chǎn)權(quán)直接獲得利益，也可入侵、竊取電力企業(yè)的客戶信息及重要數(shù)據(jù)，更甚者破壞電力企業(yè)以至國家的基礎(chǔ)設(shè)施，帶來巨大經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全作為支撐電網(wǎng)安全運行的重要保障，是新型電力系統(tǒng)建設(shè)、電網(wǎng)數(shù)字化轉(zhuǎn)型的重要基石。2019至2021年，xx公司共攔截高危網(wǎng)絡(luò)攻擊153.6萬余次，從每年的攻擊次數(shù)來看，每年存在30%左右的增長趨勢。根據(jù)安全監(jiān)測人員反映，平均每個攻擊從發(fā)現(xiàn)告警到封禁操作大約需要3-5分鐘，網(wǎng)絡(luò)安全告警處置的高危告警遺漏率為7%，誤封禁率為13%左右?，F(xiàn)有網(wǎng)絡(luò)攻擊處置方式如圖1，安全監(jiān)測人員收到安全設(shè)備告警后，會對多個設(shè)備的告警進(jìn)行綜合分析判斷，之后在防火墻上對威脅IP進(jìn)行相關(guān)操作，處置效率較低，面對海量的網(wǎng)絡(luò)攻擊，處置速度趕不上網(wǎng)絡(luò)攻擊速度，同時安全監(jiān)測人員工作精力大量投入到封禁威脅IP上，存在大量重復(fù)性工作。網(wǎng)絡(luò)攻擊封禁的效率依賴安全監(jiān)測人員發(fā)現(xiàn)的及時性和處置的準(zhǔn)確性，人工處理成本高，效率低且存在不確定因素，可能無法及時發(fā)現(xiàn)和處置網(wǎng)絡(luò)攻擊，如何第一時間高效精準(zhǔn)應(yīng)對和處置海量的網(wǎng)絡(luò)攻擊，是運維人員亟需解決的問題。圖1現(xiàn)有網(wǎng)絡(luò)攻擊處置方式制圖人：xx時間：2022/03/28通過對安全監(jiān)測人員網(wǎng)絡(luò)攻擊處置各環(huán)節(jié)時間進(jìn)行多次統(tǒng)計，各環(huán)節(jié)處置平均時間統(tǒng)計如下表，在實際工作中由于開展其他工作而未及時發(fā)現(xiàn)、處置告警的時間未統(tǒng)計在內(nèi)。表1網(wǎng)絡(luò)攻擊各環(huán)節(jié)處置平均時長處置環(huán)節(jié)安全設(shè)備告警查看告警綜合分析威脅ip封禁平均時長（分鐘）1.32.41總時長（分鐘）4.7制表人：xx時間：2022/03/28通過對安全監(jiān)測人員三個月內(nèi)所封禁IP進(jìn)行人工復(fù)核，核實該IP是否確實存在攻擊行為，統(tǒng)計誤封禁IP情況如下表。表2網(wǎng)絡(luò)攻擊誤封禁率統(tǒng)計時間2022年1月2022年2月2022年3月誤封禁IP個數(shù)351218346當(dāng)月IP封禁總個數(shù)269619872341誤封禁率13%11%14.8%制表人：xx時間：2022/03/31通過對公司三個月內(nèi)流量進(jìn)行人工復(fù)核，核實具有攻擊行為的IP是否均已封禁，統(tǒng)計高危告警遺漏率情況如下表。表3網(wǎng)絡(luò)攻擊高危告警遺漏率統(tǒng)計時間2022年1月2022年2月2022年3月未封禁高危告警IP個數(shù)615973當(dāng)月高危告警IP總數(shù)875985916高危告警遺漏率7%6%8%制表人：xx時間：2022/04/08網(wǎng)安中心“輯智”QC小組對網(wǎng)絡(luò)攻擊的類型、數(shù)量等情況進(jìn)行了數(shù)據(jù)統(tǒng)計，統(tǒng)計結(jié)果如下：表4網(wǎng)絡(luò)攻擊類型及數(shù)量周統(tǒng)計（4.13-4.19）序號攻擊類型攻擊數(shù)量1HTTP_ACL99312敏感文件探測41753爬蟲攻擊14164應(yīng)用漏洞攻擊11985注入攻擊7466系統(tǒng)命令執(zhí)行4527植入后門文件3528植入XSS跨站代碼229總計18499制表人：xx時間：2022/04/20通過對多個單日攻擊數(shù)量統(tǒng)計分析發(fā)現(xiàn)，攻擊分布在24小時，并且攻擊時間、數(shù)量具有隨機性，不存在既定規(guī)律。圖24月13日攻擊分布制圖人：xx時間：2022/04/20因此為提高網(wǎng)絡(luò)安全防護(hù)能力與網(wǎng)絡(luò)攻擊處置效率和精準(zhǔn)度，提出減少人工封禁操作時間，針對海量網(wǎng)絡(luò)安全威脅源自動封禁處置，提升網(wǎng)絡(luò)安全自動化處置質(zhì)量。（二）做法借鑒1.尋找課題創(chuàng)新思路小組召開頭腦風(fēng)暴會議，積極尋找課題創(chuàng)新思路，討論認(rèn)為減少人工操作時間同時獲取豐富精準(zhǔn)的基礎(chǔ)資料是實現(xiàn)IP自動化精準(zhǔn)處置的關(guān)鍵。小組考察借鑒了快件自動分揀系統(tǒng)，2013-2022年快遞服務(wù)總量迅速增長，保持在20%以上的增長速度，2022年全年快遞服務(wù)企業(yè)業(yè)務(wù)量完成833.6億件，同比增長31.2%。面對日益增長的快遞量，快件自動分揀可取代人工分揀，實現(xiàn)自動化分類，分揀效率高，出錯率低，極大提升了工作質(zhì)效?？旒詣臃謷到y(tǒng)通常由供件系統(tǒng)、分揀系統(tǒng)、下件系統(tǒng)、控制系統(tǒng)4部分組成，在控制系統(tǒng)的協(xié)調(diào)作用下，實現(xiàn)物件從供件系統(tǒng)進(jìn)入分揀系統(tǒng)進(jìn)行分揀，最后由下件系統(tǒng)完成物理位置的分類，從而達(dá)到分揀的目的。自動分揀系統(tǒng)大致分為合流、分揀信號輸入、分流和分運4個階段。合流：按揀選指令從不同貨位揀選出來的物料，通過一定的方式送入前處理設(shè)備，并由前處理設(shè)備匯集到主輸送線上。分揀信號輸入：到達(dá)主輸送線上的物料，通過自動識別裝置讀入物料的基本信息，并由計算機對讀入的物料信息進(jìn)行相應(yīng)的處理。分流：物料信息被讀入計算機系統(tǒng)后，在主輸送線上繼續(xù)移動，倉儲貨架分揀系統(tǒng)實時檢測物料的移動位置，當(dāng)物料到達(dá)分揀道口時，控制系統(tǒng)向分類機構(gòu)發(fā)出分揀指令，分類機構(gòu)立即產(chǎn)生相應(yīng)的動作，使物料進(jìn)入相應(yīng)的分揀道口。分運：進(jìn)入分揀道口的物料最終到達(dá)分揀系統(tǒng)的終端，由人工或機械搬運工具被分運到相應(yīng)的區(qū)域。2.提煉創(chuàng)新思路快件與網(wǎng)絡(luò)攻擊都具有數(shù)量大，來源多，可分類，時間分布不規(guī)律，人工處理效率低等特點，通過考察快件自動分揀系統(tǒng)，進(jìn)行創(chuàng)新思路借鑒。表5創(chuàng)新思路借鑒表需求借鑒點快件自動分揀系統(tǒng)網(wǎng)絡(luò)安全威脅源自動封禁工具設(shè)備告警匯集通過系統(tǒng)自動收集匯聚通過供件系統(tǒng)將物料匯集到主輸送線通過對安全設(shè)備告警日志進(jìn)行收集匯總資產(chǎn)信息定位借助標(biāo)簽精準(zhǔn)定位資產(chǎn)借助發(fā)貨單到貨單完成快件精準(zhǔn)定位通過建立資產(chǎn)臺賬精準(zhǔn)定位告警IP的詳細(xì)信息增量信息收集通過情報輔助開展分類工作獲取增量信息輔助開展快件分揀通過獲取第三方情報，輔助開展攻擊分類網(wǎng)絡(luò)攻擊自動分類海量快件自動分揀在控制系統(tǒng)的協(xié)調(diào)下，自動識別物料信息進(jìn)行分揀梳理網(wǎng)絡(luò)攻擊分類及處置規(guī)則，通過自動分析日志實現(xiàn)攻擊行為自動分類網(wǎng)絡(luò)攻擊自動處置快件自動下件分類控制系統(tǒng)在物料到達(dá)分揀道口時，產(chǎn)生相應(yīng)動作，完成物理位置的分類、分運針對網(wǎng)絡(luò)攻擊的不同類型，在防火墻上自動進(jìn)行封禁等操作，實現(xiàn)自動處置制表人：xx時間：2022/04/20（三）思路啟發(fā)借鑒快件自動分揀系統(tǒng)，對網(wǎng)絡(luò)攻擊的告警進(jìn)行匯總并自動分析分類，根據(jù)不同告警類型進(jìn)行自動告警處置，通過告警自動分析處置，代替安全監(jiān)測人員的人工告警監(jiān)控及處置，提升告警處置效率及準(zhǔn)確性。思路拓展：小組通過會議討論提出，通過研發(fā)網(wǎng)絡(luò)安全威脅源自動封禁工具，提取不同安全設(shè)備告警日志，進(jìn)行自動實時匯總，根據(jù)資產(chǎn)清單表、情報庫以及現(xiàn)有告警分類及處置規(guī)則，梳理不同告警對應(yīng)的分析及處置操作，實現(xiàn)威脅源自動分類，最后根據(jù)智能分析結(jié)果，將需要處置的IP，在防火墻上進(jìn)行相關(guān)操作，實現(xiàn)網(wǎng)絡(luò)攻擊自動化處置，縮短告警處置時長，提升告警處置效率和精準(zhǔn)度，節(jié)約人力成本。（四）確定課題確定本次QC活動的課題為：研制網(wǎng)絡(luò)安全威脅源自動化封禁工具二、設(shè)定目標(biāo)及目標(biāo)可行性分析（一）設(shè)定目標(biāo)課題目的：通過告警日志自動收集匯總，根據(jù)處置規(guī)則進(jìn)行告警自動分類及處置，提高告警處置效率，縮短告警處置時間。量化目標(biāo)：根據(jù)課題的需求，QC小組將本課題的目標(biāo)設(shè)定為“縮短一時間，降低兩個率”，即將一次網(wǎng)絡(luò)安全告警處置時間由4-5分鐘縮短至秒級（60s內(nèi)），同時將網(wǎng)絡(luò)安全告警處置的高危告警遺漏率由7%降低到1%、誤封禁率由13%降低到2%。（二）目標(biāo)可行性分析1.模擬分析為進(jìn)一步論證目標(biāo)可行性，小組對網(wǎng)絡(luò)安全處置的各環(huán)節(jié)進(jìn)行模擬測試及經(jīng)驗借鑒，情況如下。（1）日志匯總本模塊旨在對比選擇告警處置時間較短的方案，通過編寫腳本將安全設(shè)備日志上傳至ftp指定路徑，測試所需時間，模擬日志自動收集匯總時間，QC小組進(jìn)行了10次測試，測試數(shù)據(jù)如下，通過測試發(fā)現(xiàn)日志匯總花費時間較短，不超過0.6s。表6日志匯總耗時驗證數(shù)據(jù)測試輪次12345678910日志上傳耗時（ms）383412419471389397428507414396制表人：xx時間：2022/04/23（2）告警智能分析本模塊旨在對比選擇告警處置時間較短的方案，設(shè)置每條告警由7個字段進(jìn)行描述，使用改進(jìn)Cofi機器學(xué)習(xí)算法對100余條告警進(jìn)行分析處置，測試其總計分析處置時長為99.5s，平均每條告警處置時間為0.995s。因此當(dāng)小組在告警智能分析中選擇常用算法時，每條告警的自動分析時長在1s內(nèi)。（3）IP自動處置本模塊旨在對比選擇告警處置時間較短的方案，自動處置需要兩步操作來完成，首先需要登錄防火墻管理界面，輸入需封禁的IP，之后防火墻對策略進(jìn)行編譯，防火墻策略生效。因此分兩部分進(jìn)行測試驗證。編寫可執(zhí)行腳本，模擬用戶登錄及命令輸入，將需要執(zhí)行封禁操作的IP地址加入可執(zhí)行腳本中，通過日志統(tǒng)計該部分操作所需的時間，選取10組數(shù)據(jù)進(jìn)行了測試，測試結(jié)果如表2-2，通過測試發(fā)現(xiàn)模擬登錄及命令輸入操作耗時不超過0.6s。表7模擬登錄及命令輸入耗時驗證數(shù)據(jù)測試輪次12345678910模擬登錄、命令輸入耗時（s）0.470.440.510.390.50.530.480.490.410.49制表人：xx時間：2022/04/23當(dāng)IP處置命令達(dá)到防火墻后，防火墻需要將策略進(jìn)行編譯后，才可生效。通過對上一步操作進(jìn)行編譯時長統(tǒng)計分析，形成10條防火墻策略編譯記錄，統(tǒng)計結(jié)果如下，通過統(tǒng)計計算，防火墻策略編譯耗時不超過15s。表8防火墻策略編譯耗時驗證數(shù)據(jù)測試輪次12345678910人工判定耗時（s）13.814.514.613.914.713.514.312.513.713.4平均耗時（s）13.89制表人：xx時間：2022/04/23網(wǎng)絡(luò)安全自動處置耗時：0.6s+1s+0.6s+13.89s=16.09s以上各環(huán)節(jié)時長構(gòu)成了網(wǎng)絡(luò)安全自動化處置的總時長，由以上借鑒數(shù)據(jù)轉(zhuǎn)換，該方案總體耗時為16.09s，小于目標(biāo)60s，在秒級時間內(nèi)。（4）誤封禁率測試采用人工和改進(jìn)Cofi機器學(xué)習(xí)算法結(jié)合的方式，為各類型告警設(shè)置處置動作標(biāo)簽為自動封禁/持續(xù)觀測，同時設(shè)定各類型告警的目標(biāo)匹配關(guān)鍵字。編制自動化處置腳本輸入無需封禁告警100條，重復(fù)3個輪次，測試自動化腳本的誤封禁率。表9誤封禁率驗證數(shù)據(jù)輪次SQL注入命令執(zhí)行目錄遍歷無需封禁告警條數(shù)100100100誤封禁條數(shù)121誤封禁率1%2%1%制表人：xx時間：2022/04/23經(jīng)測試，網(wǎng)絡(luò)安全告警處置的高危告警遺漏率已接近達(dá)到1%以內(nèi)的預(yù)期目標(biāo)。（5）高危告警遺漏率測試采用人工和改進(jìn)Cofi機器學(xué)習(xí)算法結(jié)合的方式，為各類型告警設(shè)置處置動作標(biāo)簽為自動封禁/持續(xù)觀測，同時設(shè)定各類型告警的目標(biāo)匹配關(guān)鍵字。編制自動化處置腳本并輸入4種類型攻擊需封禁告警各100條，測試自動化腳本的高危告警遺漏率。表10高危告警遺漏率驗證數(shù)據(jù)告警類型SQL注入命令執(zhí)行目錄遍歷二進(jìn)制漏洞攻擊識別封禁告警條數(shù)10010099100高危告警遺漏率0%0%1%0%制表人：xx時間：2022/04/23經(jīng)測試，網(wǎng)絡(luò)安全告警處置的高危告警遺漏率達(dá)到1%以內(nèi)的預(yù)期目標(biāo)。結(jié)論：通過以上模擬分析，小組提出的建設(shè)目標(biāo)實際可行。2.小組能力分析人員方面，小組成員均來自xx公司網(wǎng)絡(luò)安全運維團(tuán)隊，小組成員擁有多年豐富的一線工作經(jīng)驗、扎實的理論基礎(chǔ)和管理經(jīng)驗，并深耕于電力設(shè)備的數(shù)字化、智能化領(lǐng)域，不斷加強業(yè)務(wù)與新技術(shù)融合，積極推動公司數(shù)字化轉(zhuǎn)型在基層落地。政策方面，課題確定后，xx公司作為總公司唯一試點單位承擔(dān)的重要任務(wù)，總公司互聯(lián)網(wǎng)部及設(shè)備部高度重視課題進(jìn)展情況，并多次進(jìn)行指導(dǎo)并作出重要工作部署。結(jié)論：課題指標(biāo)實際可行。三、提出方案并確定最佳方案（一）提出總體方案通過借鑒快件自動分揀系統(tǒng)的創(chuàng)新思路，圍繞課題目標(biāo)，小組將網(wǎng)絡(luò)安全威脅源自動封禁工具作為總體方案，整體設(shè)計思路如圖3所示。圖3方案設(shè)計思路制圖人：xx時間：2022/04/23總體方案中，網(wǎng)絡(luò)安全威脅源自動封禁工具由日志采集、情報庫選取、資產(chǎn)信息清單制定、告警智能分析、自動處置五個功能模塊組成，其中，日志采集模塊將不同安全設(shè)備的告警日志進(jìn)行實時采集，并形成統(tǒng)一的日志格式，為告警分析做好數(shù)據(jù)準(zhǔn)備；情報庫選取模塊，對接第三方情報信息，輔助開展告警智能分析；資產(chǎn)信息清單制定模塊，利用維護(hù)梳理的資產(chǎn)信息清單，與告警信息實現(xiàn)自動關(guān)聯(lián)，精準(zhǔn)定位告警資產(chǎn)；告警智能分析模塊對接情報庫和資產(chǎn)信息清單數(shù)據(jù)，并使用機器學(xué)習(xí)算法按照日常告警處置分類規(guī)則對告警進(jìn)行分析分類，不同告警對應(yīng)不同處置策略；自動處置模塊將根據(jù)告警分類，在防火墻上自動進(jìn)行告警處置操作，在工具試用前期將采用自動處置與人工分析相結(jié)合的方式，對告警分類規(guī)則不斷進(jìn)行修訂完善，提升告警分類準(zhǔn)確率。通過本方案，網(wǎng)絡(luò)安全威脅源將實現(xiàn)自動化、智能化處置，降低告警處置時間，提升網(wǎng)絡(luò)告警處置效率和精準(zhǔn)度，降低人工成本。（二）方案分解QC小組召開會議，本著達(dá)到“縮短一時間，降低兩率”的目標(biāo)，圍繞日志采集、情報庫選取、資產(chǎn)信息清單制定、告警智能分析、自動處置五個功能模塊進(jìn)行深入分析，提出了可行的分級方案。（三）分級方案必選小組成員基于總體方案中的功能模塊和備選方案，進(jìn)行了詳細(xì)分析和對比，確定最優(yōu)分級方案。1.日志采集方案選擇（核心對比指標(biāo)：告警處置時間）本模塊在對比選擇時主要考慮告警處置時長，安全設(shè)備的告警日志首先需要收集匯總，才能進(jìn)行集中分析及研判，日志傳輸可以通過sftp與syslog兩種方案。表11日志傳輸方案對比方案方案一Sftp方案二syslog方案原理在部署網(wǎng)絡(luò)安全威脅源自動封禁工具部署SFTP服務(wù)，各安全設(shè)備告警日志發(fā)送至SFTP服務(wù)器。各安全設(shè)備告警日志使用syslog日志格式實時發(fā)送告警日志至網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器。實驗設(shè)計部署SFTP服務(wù)IDS、WAF、天眼睿眼四個安全設(shè)備分文件夾上傳告警日志至SFTP服務(wù)器。四個安全設(shè)備各發(fā)送10MB數(shù)據(jù)至SFTP服務(wù)器，查看總計40MB數(shù)據(jù)傳至網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器的時間，重復(fù)10個輪次。在IDS、WAF、天眼、睿眼四個安全設(shè)備上啟動syslog發(fā)送服務(wù)，配置日志接收端為網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器地址。在網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器接收端，開啟syslog服務(wù)端口，實時接收各安全設(shè)備告警日志。3.四個安全設(shè)備各發(fā)送10MB數(shù)據(jù)至SFTP服務(wù)器，查看總計40MB數(shù)據(jù)傳至網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器的時間，重復(fù)10個輪次。制表人：xx時間：2022/04/24實驗結(jié)果如下。表12Sftp耗時驗證數(shù)據(jù)測試輪次1234567891040MB日志上傳耗時（ms）614784546654555712454567598633制表人：xx時間：2022/04/29表13Syslog耗時驗證數(shù)據(jù)測試輪次1234567891040MB日志上傳耗時（ms）412345332453497298457423465587制表人：xx時間：2022/04/29依據(jù)測試結(jié)果，在傳輸40MB日志的測試中，以syslog格式進(jìn)行日志采集對比sftp具有100ms-200ms的傳輸優(yōu)勢，故選取syslog日志傳輸模式作為日志采集手段。2.情報庫選取方案選擇（核心對比指標(biāo)：高危告警遺漏率）本模塊在對比選擇時主要考慮高危告警遺漏率，情報庫選取模塊選取微步情報、騰訊安全威脅情報中心情報、奇安信威脅情報中心情報以及總公司網(wǎng)絡(luò)安全威脅情報預(yù)警，分析其各自特點。并選取1000個應(yīng)當(dāng)立即封禁的惡意IP，測試在各情報庫中搜索是否有命中，進(jìn)而選取最切合網(wǎng)絡(luò)安全威脅源自動封禁工具的組合方案，將高危IP收納更全且針對性更強的情報庫對接網(wǎng)絡(luò)安全威脅源自動封禁工具，降低高危告警遺漏率（默認(rèn)情報庫中命中的IP全部封禁，可輔助進(jìn)行IP封禁動作）。表14威脅情報特點對比分析微步情報騰訊安全威脅情報中心奇安信威脅情報中心總公司網(wǎng)絡(luò)安全威脅情報預(yù)警情報特點具有威脅IP、歷史攻擊事件、威脅域名、關(guān)聯(lián)APT組織、資產(chǎn)測繪等功能模塊。具有威脅IP、歷史攻擊事件、威脅域名、關(guān)聯(lián)APT組織、資產(chǎn)測繪等功能模塊。具有威脅IP、歷史攻擊事件、威脅域名、關(guān)聯(lián)APT組織、資產(chǎn)測繪等功能模塊。對總公司發(fā)起惡意攻擊的IP、域名以及對應(yīng)的漏洞信息。1000個惡意IP命中數(shù)998963912342選取結(jié)果選取不選取不選取選取制表人：xx時間：2022/04/29依據(jù)測試結(jié)果，微步情報、騰訊安全威脅情報中心情報、騰訊安全威脅情報中心情報內(nèi)容具有高度重復(fù)性，經(jīng)測試1000個惡意IP的命中數(shù)，發(fā)現(xiàn)微步情報最為精準(zhǔn)，故選取微步情報作為情報來源之一。因總公司網(wǎng)絡(luò)安全威脅情報預(yù)警具有極強的針對性，在網(wǎng)絡(luò)安全威脅源自動封禁工具中應(yīng)具有最高優(yōu)先級，故將總公司網(wǎng)絡(luò)安全威脅情報預(yù)警也納入情報源。3.資產(chǎn)信息清單制定方案選擇（核心對比指標(biāo)：告警處置時間）本模塊在對比選擇時主要考慮告警處置時間，公司資產(chǎn)臺賬信息可以選擇人工建立和I6000系統(tǒng)現(xiàn)有臺賬復(fù)用兩個來源，選取1000個IP測試資產(chǎn)信息清單建立所需時間和清單信息精準(zhǔn)度。表15資產(chǎn)信息清單制定方案對比分析測試指標(biāo)人工建立臺賬信息I6000系統(tǒng)現(xiàn)有臺賬1000個IP測試資產(chǎn)信息清單建立所需時間32分鐘1分鐘1000個IP測試資產(chǎn)信息清單正確匹配個數(shù)983731清單信息精準(zhǔn)度98.3%73.1%制表人：xx時間：2022/04/29依據(jù)測試結(jié)果可見，I6000系統(tǒng)現(xiàn)有臺賬和依托I6000系統(tǒng)現(xiàn)有臺賬各有優(yōu)勢，I6000系統(tǒng)現(xiàn)有臺賬與測試IP實現(xiàn)關(guān)聯(lián)僅需1分鐘，時間較人工建立臺賬信息時間具有極大優(yōu)勢，但其清單信息精準(zhǔn)度比之人工建立臺賬信息有25%的精準(zhǔn)度損失。故本qc小組最終確定使用I6000系統(tǒng)現(xiàn)有臺賬為基礎(chǔ)，進(jìn)而使用人工方式對I6000所確立臺賬進(jìn)行補充和校準(zhǔn)。4.告警智能分析方案選擇（核心對比指標(biāo)：告警處置時間、高危告警遺漏率、誤封禁率）本模塊在對比選擇時綜合考慮告警處置時間、高危告警遺漏率和誤封禁率，告警智能分析模塊利用機器學(xué)習(xí)算法對收集到的告警日志進(jìn)行深度分析，并將分析結(jié)果輸出至自動處置模塊，現(xiàn)對比主流關(guān)聯(lián)規(guī)則機器學(xué)習(xí)算法Apriori算法、COFI算法以及改進(jìn)COFI算法三種方案。表16關(guān)聯(lián)規(guī)則機器學(xué)習(xí)算法方案對比方案方案一Apriori算法方案二COFI算法方案三改進(jìn)COFI算法方案原理\t"/qq_35984562/article/details/_blank"Apriori算法是一種挖掘關(guān)聯(lián)規(guī)則的頻繁項集算法，其核心思想是通過候選集生成和情節(jié)的向下封閉檢測兩個階段來挖掘頻繁項集。該算法特點是思路簡單、遞歸計算、實現(xiàn)方便，其缺點是頻繁遍歷數(shù)據(jù)庫、生成候選集、連接較多、占用空間大、運算量大。COFI算法不需要遞歸建立條件模式樹,同時在一定時間內(nèi)只有一棵,COFI樹在內(nèi)存中占用的空間結(jié)構(gòu)小,因此,其綜合性能較好。改進(jìn)COFI算法分為兩部分:１)在FP-tree的頻繁項頭表進(jìn)行數(shù)據(jù)結(jié)構(gòu)的改進(jìn),使用倒序鏈表代替迭代尋找最后一項正序鏈表,不需要找到最后一項,將新的數(shù)據(jù)項直接指向頭表中對應(yīng)的項就可以了;２)使用新的SD結(jié)構(gòu)處理頻繁項代替COFI-tree的樹處理方式。實驗設(shè)計設(shè)置數(shù)據(jù)集中每條告警日志共由41個特征進(jìn)行描述,選取每個告警日志的16個特征進(jìn)行測試.實驗從三個方面對算法進(jìn)行對比，固定最小支持度為50％,每次加載不同的告警日志數(shù)量對Apriori算法進(jìn)行測試,設(shè)定告警日志數(shù)量為2000,5000,８000,10000,20000，每個日志集高危告警日志占比30%，無需封禁的告警條目占測試日志量的10%。設(shè)置數(shù)據(jù)集中每條告警日志共由41個特征進(jìn)行描述,選取每個告警日志的16個特征進(jìn)行測試.實驗從三個方面對算法進(jìn)行對比，固定最小支持度為50％,每次加載不同的告警日志數(shù)量對Cofi算法進(jìn)行測試,設(shè)定告警日志數(shù)量為2000,5000,８000,10000,20000，每個日志集高危告警日志占比30%，無需封禁的告警條目占測試日志量的10%。設(shè)置數(shù)據(jù)集中每條告警日志共由41個特征進(jìn)行描述,選取每個告警日志的16個特征進(jìn)行測試.實驗從三個方面對算法進(jìn)行對比，固定最小支持度為50％,每次加載不同的告警日志數(shù)量對改進(jìn)COFI算法進(jìn)行測試,設(shè)定告警日志數(shù)量為2000,5000,８000,10000,20000，每個日志集高危告警日志占比30%，無需封禁的告警條目占測試日志量的10%。制表人：xx時間：2022/04/29實驗結(jié)果中平均執(zhí)行時間對比情況如下表所示，改進(jìn)的Cofi算法較另兩種算法具有顯著優(yōu)勢。圖4不同事務(wù)數(shù)量的效率對比制圖人：xx時間：2022/04/30實驗結(jié)果中高危告警遺漏率對比情況如下表所示，Cofi算法和改進(jìn)的Cofi算法較Apriori算法具有優(yōu)勢。表17高危告警遺漏率測試輪次2000條日志測試5000條日志測試8000條日志測試10000條日志測試20000條日志測試高危告警日志條數(shù)6001500240030006000Apriori算法未識別出的高危待封禁條數(shù)/高危告警遺漏率9/1.6%36/2.4%50/2.1%66/2.2%114/1.9%COFI算法未識別出的高危待封禁條數(shù)/高危告警遺漏率3/0.5%9/0.6%28/1.2%30/1%66/.1.1%改進(jìn)COFI算法未識別出的高危待封禁條數(shù)/高危告警遺漏率4/0.6%7/0.5%10/0.4%27/0.9%78/1.3%人工制表人：xx時間：2022/04/30實驗結(jié)果中網(wǎng)絡(luò)攻擊誤封禁率對比情況如下表所示，改進(jìn)的Cofi算法較另兩種算法具有顯著優(yōu)勢。表18網(wǎng)絡(luò)攻擊誤封禁率測試輪次2000條日志測試5000條日志測試8000條日志測試10000條日志測試20000條日志測試無需封禁日志條數(shù)20050080010002000Apriori算法誤封禁條數(shù)/誤封禁率10/5%30/6%64/8%40/4%120/6%COFI算法誤封禁條數(shù)/誤封禁率8/4%15/3%16/2%30/3%60/3%改進(jìn)COFI算法誤封禁條數(shù)/誤封禁率4/2%5/1%13/1.6%20/2%36/1.8%人工制表人：xx時間：2022/04/30經(jīng)過對告警處置時間、高危告警遺漏率、誤封禁率的測試，改進(jìn)的COFI算法綜合性能更優(yōu)，故采用改進(jìn)COFI算法進(jìn)行告警智能分析。5.IP自動處置方案選擇(核心對比指標(biāo)：告警處置時間）本模塊在對比選擇時主要考慮告警處置時間，經(jīng)過告警智能分析模塊的處置后，要封禁的IP發(fā)送至公司出口防火墻處。封禁方式分為兩種，即采用模擬人工頁面登錄的方式和采用后臺命令執(zhí)行的方式，編制自動化處置腳本，測試100個IP封禁所需時間。表19IP自動處置方案對比測試指標(biāo)模擬人工頁面登錄的方式采用后臺命令執(zhí)行的方式100個IP封禁時間82s47s平均每個IP封禁時間0.820.47采用情況不采用采用制表人：xx時間：2022/04/30經(jīng)測試，采用后臺命令執(zhí)行的方式在運行時間方面具有較大優(yōu)勢，故采用此種方案。（四）確定最佳方案經(jīng)分析、試驗、對比后，確定了最佳方案如下圖所示。圖5最佳方案選擇圖制圖人：xx時間：2022/04/30四、制定對策經(jīng)過小組成員的討論分析，對于提出的方案，按5W1H原則制定對策表，。如表4-1所示：表20對策表序號對策目標(biāo)措施地點方案要素負(fù)責(zé)人完成時間1使用syslog日志格式發(fā)送各安全設(shè)備告警日志至日志收集模塊。實現(xiàn)告警日志的實時查收和匯總，處置時間達(dá)到秒級。在安全設(shè)備和日志收集模塊分別部署syslog客戶端和服務(wù)端，實現(xiàn)告警日志的實時發(fā)送和接收。實驗室日志采集xx2022年5月2將情報數(shù)據(jù)與告警智能分析模塊對接，輔助開展IP自動處置。利用威脅情報支撐告警智能分析模塊更精準(zhǔn)完成IP封禁處置。將微步威脅情報和總公司網(wǎng)絡(luò)安全威脅情報傳輸至告警智能分析模塊。實驗室情報庫選取xx2022年5月3將資產(chǎn)臺賬與與告警數(shù)據(jù)對接，精準(zhǔn)定位受攻擊IP。利用資產(chǎn)臺賬信息支撐告警智能分析模塊更精準(zhǔn)完成受害IP定位。以I6000系統(tǒng)現(xiàn)有臺賬為基礎(chǔ)，以人工輔助修訂完善的方式，建立起資產(chǎn)信息清單，并完成與告警智能分析模塊的對接。實驗室資產(chǎn)信息清單制定xx2022年5月4梳理不同告警對應(yīng)的分析及處置操作，實現(xiàn)威脅源自動分類，并發(fā)出處置動作（自動封禁/持續(xù)觀測）。實現(xiàn)秒級的告警處置策略制定，并實現(xiàn)網(wǎng)絡(luò)安全告警處置的誤封禁率達(dá)到2%以內(nèi)、高危告警遺漏率1%以內(nèi)。使用改進(jìn)Cofi關(guān)聯(lián)規(guī)則機器學(xué)習(xí)算法并結(jié)合威脅情報和資產(chǎn)臺賬信息，實現(xiàn)對處置動作的精準(zhǔn)制定。實驗室告警智能分析xx2022年5月5根據(jù)智能分析模塊發(fā)出的處置策略，將需要處置的IP，在防火墻上進(jìn)行相關(guān)操作。實現(xiàn)網(wǎng)絡(luò)攻擊自動化處置，縮短告警處置時長，提升告警處置效率和精準(zhǔn)度。采用后臺命令執(zhí)行的方式實現(xiàn)對攻擊的自動處置。實驗室IP自動處置xx2022年5月制表人：xx時間：2022/04/30五、對策實施小組成員按照制定的對策表逐條實施，并確認(rèn)相應(yīng)目標(biāo)的完成情況；未達(dá)到目標(biāo)時，修正措施，并按新措施實施。（一）利用syslog格式完成日志采集1.實施目標(biāo)使服務(wù)器之間的告警日志傳送時間在600ms內(nèi)。2.實施過程設(shè)定數(shù)據(jù)源，在IDS、WAF、天眼、睿眼四個安全設(shè)備上啟動syslog發(fā)送服務(wù)，配置日志接收端為網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器。syslog日志服務(wù)器采集來自設(shè)備或系統(tǒng)的syslog格式日志數(shù)據(jù)，在網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器接收端開啟syslog服務(wù)端口，實時接收各安全設(shè)備告警日志。各安全設(shè)備告警日志使用syslog日志格式實時發(fā)送至網(wǎng)絡(luò)安全威脅源自動封禁工具服務(wù)器。3.目標(biāo)驗證各類安全設(shè)備告警日志全部利用syslog的方式實現(xiàn)在不同服務(wù)器之間傳輸后，經(jīng)過5月、6月兩個月的運行，小組成員針對日志平均傳輸時間進(jìn)行了統(tǒng)計分析，統(tǒng)計結(jié)果如下表所示，可見IDS、WAF、天眼、睿眼各設(shè)備上兩個月安全日志的平均傳輸時長均在600ms內(nèi)，目標(biāo)達(dá)成。表21告警日志平均處理時長統(tǒng)計表統(tǒng)計指標(biāo)IDSWAF天眼睿眼5月平均告警日志傳輸時長（ms)3455414364786月平均告警日志傳輸時長（ms)361521447498制表人：xx時間：2022/07/01（二）將微步情報+總公司網(wǎng)絡(luò)安全威脅情報預(yù)警納入情報源1.實施目標(biāo)將情報信息對接網(wǎng)絡(luò)安全威脅源自動封禁工具，情報庫中所收納的IP全量封禁，降低高危告警遺漏率至1%以內(nèi)，同時情報庫對高危告警遺漏率降低的增益效果不低于5%（本月封禁高危IP中含有的情報庫IP占總封禁高危IP的比例）。2.實施過程情報庫選取模塊選取微步情報、總公司網(wǎng)絡(luò)安全威脅情報預(yù)警，并分析其各自特點。選取1000個惡意IP，測試在各情報庫中搜索是否有命中，進(jìn)而選取最切合網(wǎng)絡(luò)安全威脅源自動封禁工具的組合方案。3.目標(biāo)驗證將情報庫對接網(wǎng)絡(luò)安全威脅源自動封禁工具后，經(jīng)過5月、6月兩個月的運行，小組成員對告警日志人工進(jìn)行了全量分析，統(tǒng)計應(yīng)封禁但未封禁的IP個數(shù)，統(tǒng)計高危告警遺漏率。同時為計算情報庫的貢獻(xiàn)值，計算本月封禁高危IP中含有的情報庫IP占總封禁高危IP的比例，統(tǒng)計情況如下表所示，可見兩個月內(nèi)高危告警遺漏率均低于1%，同時情報庫對高危告警遺漏率降低的增益效果不低于5%，目標(biāo)達(dá)成。表22高危告警遺漏率統(tǒng)計表統(tǒng)計指標(biāo)5月6月應(yīng)封禁高危告警總數(shù)109769321實際未封禁告警數(shù)5565高危告警遺漏率0.5%0.7%封禁高危IP中被情報庫收納個數(shù)1207746情報庫增益效果11%8%制表人：xx時間：2022/07/12（三）基于I6000系統(tǒng)現(xiàn)有臺賬+人工輔助修訂完善建立臺賬信息1.實施目標(biāo)使用基于I6000系統(tǒng)現(xiàn)有臺賬+人工輔助修訂完善的方式建立公司資產(chǎn)臺賬，在利用I6000現(xiàn)有信息的基礎(chǔ)下，通過人工完善的模式，達(dá)到快速準(zhǔn)確高效新增臺賬信息并及時關(guān)聯(lián)資產(chǎn)。此步驟為封禁IP的前置動作，不計入最終封禁IP過程的總時長。本環(huán)節(jié)設(shè)定目標(biāo)為每條資產(chǎn)臺賬建立時間在3分鐘內(nèi)。2.實施過程將I6000臺賬與網(wǎng)絡(luò)安全威脅源自動封禁工具對接，實現(xiàn)基礎(chǔ)臺賬的快速建立，并采用人工方式對臺賬信息進(jìn)行校準(zhǔn)。3.目標(biāo)驗證5月-6月期間，新建公司資產(chǎn)臺賬1114112條，統(tǒng)計兩個月內(nèi)每條資產(chǎn)建立所需的平均時長如下表所示，可見兩個月的每條資產(chǎn)臺賬建立時間均在3分鐘內(nèi)。表23資產(chǎn)臺賬建立時長統(tǒng)計表統(tǒng)計指標(biāo)5月6月建立臺賬條數(shù)557053557059人工處理時長（分鐘）10011508自動化對接I6000處理時長（分鐘）668463779882平均時長（分鐘）1.21.4制表人：xx時間：2022/07/15（四）利用改進(jìn)Cofi關(guān)聯(lián)規(guī)則機器學(xué)習(xí)法實現(xiàn)告警智能分析1.實施目標(biāo)告警智能分析模塊利用機器學(xué)習(xí)算法對收集到的告警日志進(jìn)行深度分析，并將分析結(jié)果輸出至自動處置模塊，實現(xiàn)精準(zhǔn)封禁。本模塊設(shè)定目標(biāo)為告警分析處置時間小于400ms且誤封禁進(jìn)率低于2%。因高危告警遺漏率已在情報庫選取模塊完成驗證，本模塊不再重復(fù)驗證。2.實施過程設(shè)計研發(fā)告警智能分析模塊，將改進(jìn)Cofi算法設(shè)為其核心處理算法，并與情報庫模塊、I6000資產(chǎn)臺賬模塊、日志收集模塊以及IP自動處置模塊完成對接。3.目標(biāo)驗證將基于COFI算法的告警智能分析模塊對接網(wǎng)絡(luò)安全威脅源自動封禁工具后，經(jīng)過5月、6月兩個月的運行，小組成員對被封禁告警進(jìn)行了全量分析，統(tǒng)計被誤封禁IP數(shù)。同時統(tǒng)計每條告警在告警智能分析模塊的處置時長，詳細(xì)統(tǒng)計情況如下表，可見平均每條告警分析處置時間小于400ms且兩個月誤封進(jìn)率均低于2%，目標(biāo)達(dá)成。表24告警智能分析模塊處置時長和誤封禁率統(tǒng)計表統(tǒng)計指標(biāo)5月6月封禁告警總數(shù)2134219874誤封禁IP數(shù)384337誤封禁率1.8%1.7%該模塊告警總處置時長(ms)67440727333506每條告警處置時長(ms)316369制表人：xx時間：2022/07/21（五）利用后臺命令執(zhí)行實現(xiàn)IP自動處置1.實施目標(biāo)使IP自動處置模塊的處置時長在400ms內(nèi)。2.實施過程采用后臺命令執(zhí)行的方式完成IP自動處置模塊的研發(fā)，并與告警智能分析模塊接口對接。3.目標(biāo)驗證將采用后臺命令執(zhí)行方式運作的IP自動處置模塊對接網(wǎng)絡(luò)安全威脅源自動封禁工具后，經(jīng)過5月、6月兩個月的運行，小組成員對該模塊的處置時長進(jìn)行了分析統(tǒng)計，發(fā)現(xiàn)兩個月的每條告警處置時長均在400ms內(nèi)，目標(biāo)達(dá)成。表25IP自動處置模塊處置時長統(tǒng)計表統(tǒng)計指標(biāo)5月6月處置告警總數(shù)5438762341該模塊處