网络安全法下网络运行的监控和分析

        1. 事件简介

        今天6月1日是《网络安全法》实施的第一天。5月13日在温馨的母亲节前爆发的Wannacry勒索病毒为网络安全法的实施提供了很好的铺垫【1】。在网络和电力、通讯、计算一样成为我们工作中必不可少的“生活”设施后,网络安全和我们的工作生活密切相关。在Wannacry勒索病毒猖獗的那个周末,有多少人害怕被病毒感染而不敢打开Windows/XP电脑。而制造Wannacry病毒的工具让我们见识了“对手”在网络战争中潜在的巨大威胁【1】。在这场看不见硝烟的网络安全斗争中【3】,我国第一部《网络安全法》实施的确有着重大意义。


图1. 网络安全法的制定历史回顾

        习近平总书记一直关注网络安全,2014年成立了中央网络安全和信息化领导小组并亲自担任组长。随后网络安全法历经三年的酝酿、初稿、修订、讨论、公布,终于在2016年11月由全国人大常委会通过,并在今年的6月1日开始实施。图1列出了网络安全法设立所经历的重要历史时刻。


图2. 网络安全法的主要内容


        网络安全法的主要内容由图2所示,主要包括:个人信息保护、信息基础设施、网络运营者、敏感信息、产品认证、法律责任等内容。本文针对网络运营者如何实行网络监控和保护提出技术上的建议。


        2. 网络运行者的保护义务

        《网络安全法》第七十六条:网络运营者,是指网络的所有者、管理者和网络服务提供者。在此定义下,“网络运营者”所适用的范围将大为扩展。通过网络提供服务、开展业务活动的企业及机构,都可能被视为“网络运营者”。网络运营者除传统的电信运营商、互联网企业外,还可能包括:银行、保险、证券基金等收集公民个人信息,同时又提供线上服务的金融机构;网络安全服务和安全产品的提供者由于要收集用户信息也是网络运行者;拥有网站并提供网络服务的企业也成为网络运行者等。

        “网络运营者”安全保护义务在《网络安全法》第三十六条指出:网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。这些看似和现有的法律差不多。

        即将施行的《网络安全法》将“网络运营者”所承担安全保护义务在原来“事后止损义务”的基础上增加了更多“事前保障义务”的规定,体现了《网络安全法》关于“网络运营者”应当全方位承担网络平台安全保障义务的立法目标,有利于更好地明晰权责。

        从《网络安全法》的条文结构来看,将“网络运营者”的安全保护义务大体分为两类:网络运行安全保护义务网络信息安全保护义务。这样划分的依据是网络运行(包括关键基础设施的运行)主要涉及到网络安全,信息的安全问题和现在网络安全问题悠悠相关但又不尽相同。

        《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

        (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

        (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

        (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

        (四)采取数据分类、重要数据备份和加密等措施;

        (五)法律、行政法规规定的其他义务。

        保证网络不受未经授权的访问、防止数据泄露一般靠信息安全技术, 例如:强化保密口令、利用生物特征登录、数据加密等。保障网络免受干扰、发现网络入侵主要靠网络安全技术。两者的缺一不可,共同使用才能达到网络安全、可靠、免于干扰和破坏。

        上述的其它技术大家都很熟悉,但第三条要保留六个月的:

        •  网络运行状态;

        •  安全事件;

        •  网络日志

        用到的网络分析技术需要详细的介绍,这里要用到基于大数据的SIEM(Security Incident and Event Management)系统。


        3. SIEM和网络长期防护

        事后防御是被动的,是否有主动防御的方法呢?从网络安全角度出发,能不能主动地预测网络安全事故呢?

        收集网络运行状态一般有三种方法:

        •  保存原始报文是恢复网络状态最有效的方法【5】。但由于原始报文的数量巨大, 在10G流量下, 一个1T的硬盘, 17分钟就存满了。保存六个月的原始报文就要PB数量级的存储空间,这对一般的网络运营者来说是不可取的。

        •  Netflow采样交换机的流量保存Top-N记录【4】。但Netflow的信息太粗【2】,不适合于网络安全的应用。 例如: 肉鸡和其C&C一天只通一次消息; 采样后的Netflow记录可能抓不到这么低频的消息。

        •  全流量分析的元数据保留了每一个TCP/DNS连接的详细信息,在存储空间和信息的准确度上做了比较好的折衷,是全面监控网络运行状态的好方法。

        国际热点是研发基于全流量分析的SIEM(Security Incident and Event Management), 这里面涉及到三大计算机领域的高、精、尖技术:

        •  高性能的协议分析技术:例如:“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”是WannaCry病毒中出现的二级域名,把这个二级域名从DNS报文中分析出来需要对流量的全面分析。由于是协议的全流量分析,在大型数据中心需要有万兆(10G)的网络报文线速处理能力才行。在万兆流量压力下,线速要求是每一个报文的处理时间大约是67ns,也就是一次内存的访问时间还没到,就要处理下一个报文了。这就需要对超级计算机的并行处理技术有深刻地了解,利用高性能计算大幅度地提高多核处理器的性能从而上百倍地加速报文的深度分析能力。

        •  AI自学习技术:在众多的二级域名里,例如:baidu、qq、taobao、360、ctrip等合法的域名里,迅速判断那个长域名是黑客用的,十分可疑。一般来说域名都用有意义的字符串,像wannacry病毒用的长域名:“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea” 是一个随机字符串, 即字母和数字的随机组合。这类域名是由黑客domain generation algorithms (DGA)产生的和人类熟悉的普通域名不一样。判断一个域名是否是随机字符串的好方法是使用AI的自学习技术。这需要对各种AI学习算法有深入地了解。

        •  大数据分析技术:一旦发现某个机器发出了非法的DNS请求,要使用大数据分析技术,通过对时间域和网络相关特征的聚合分析和使用复杂的过滤条件快速定位病毒感染的位置和爆发的趋势。这需要对大数据在网络安全领域的建模分析有实战经验。

        南京云利来(www.ido-net.net)的iTAP数据分析产品通过对网络长期不间断的全流量分析,是国内唯一的可以在万兆(10G)压力下实时地捕捉每一个网络请求和响应分析出元数据的网络时光记录仪。元数据和其它网络日志可以在大数据平台iMAP上进行有效地保存。在这种基于大数据的SIEM平台上可快速地做网络异常的宏观诊断和预警,从而提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,为积极地网络监控和运维保驾护航。






        参考文献:

        【1】 ido-net.net,“勒索病毒“永恒之蓝”的防御策略”, http://ido-net.net/id14_en.html, 2017.05
        【2】 ido-net.net,"从美国大选预测看流量计算的准确性", http://ido-net.net/id10_en.html, 2017.01
        【3】 ido-net.net, "从美国互联网的瘫痪看IoT网络安全", http://ido-net.net/id9_en.html, 2016.10
        【4】 Cisco, “Net Flow Version9”, http://www.cisco.com/c/en/us/products/ios-nx-os-software/netflow-version-9/index.html
        【5】 Wireshark, “Wires hark”,https://www.wireshark.org/


© 2013-2019 IDO-NET All rights reserved.