网络安全攻防演习中的监测发现方案研究

在实战攻防演习中，攻击方采用真实的黑客攻击思路发起攻击行为，具有强度大、方式多和时间长的特点。企业一般作为网络安全的防护方参与其中，采用各种防护手段避免目标系统（标靶系统）被攻陷。防护体系分为监测发现、分析研判、应急处置、溯源取证和协同联动五个部分。监测发现作为网络攻防演习中的“哨兵”，承担着情报收集和攻击发现的责任，在整个防护体系中尤为重要。鉴于监测分析在网络安全防护中的重要地位，本文结合笔者实际工作经验，就如何有效开展监测分析工作进行了详细阐述，以期各单位能够拓展工作思路，切实提升网络安全防护水平。

1.建立科学的组织架构

各单位要高度重视网络安全，设置专业部门从事网络安全保障工作。网络安全保障范围广，涉及公司各业务部门的信息系统、终端设备、网络设备、安全设备、中间件、隔离设备等，需要公司各业务部门积极配合。唯有单位领导重视网络安全工作，各项网络安全保障措施才能在业务部门的配合下落实到位。网络安全保障体系非常庞大，主要分为网络与基础架构安全、端点安全、应用安全、数据安全、移动安全、身份与访问管理等方向。单就监测发现而言，就需网络安全保障人员熟练掌握防火墙、入侵检测与防御设备、安全审计设备、终端检测与响应设备、安全管理平台和态势感知等设备的操作与使用，还需具备计算机网络、端口、代码审计、数据包结构等专业知识。因此，设置专业的网络安全部门就显得特别重要。

2.搭建全架构的监测平台

在实战攻防演习中，各单位的监测发现工作十分依赖于网络安全监测产品。市场上这种产品种类繁多，版本更新迭代快。因此，需要各单位根据自身网络安全需求，建设适合本单位的网络安全监测平台。一个全架构的网络安全监测平台应具有以下特点。

一是多维度。根据监测机制的不同，市场上的网络安全监测产品大致分为流量监测类和日志收集类。流量监测类的代表性产品为IPS（入侵防护系统）、IDS（入侵检测系统）等，这些设备多采用旁路接入方式，输入为数据流量，输出为告警信息。日志收集类产品主要为各种网络安全分析平台和态势感知系统，该类产品通过收集到的日志根据一定的规则进行分析，进而发出告警信息。日志收集的范围越广，产生的告警信息就更具价值。此外，市场上还有一些作用于不同网络层次的安全监测产品，如作用于应用层的DNS域名安全监测系统、Web应用防火墙等。各单位要对市场上不同监测机制、作用范围、品牌和版本型号的监测产品进行综合考虑，尽可能保证搭建的监测平台能够多维度监测到攻击行为。

二是多方式。不论是上述的流量监测类还是日志收集类设备，都是目标系统遭到实际攻击后才能察觉，属于被动监测，若攻击者利用0day漏洞或采用新型攻击思路，上述设备则无法有效监测到此类攻击行为。为弥补被动监测的不足，行业内提出了一种主动监测技术，“蜜罐”就是其中的典型代表。蜜罐本质上是一种带有漏洞的计算机系统，使用虚假数据和服务作为诱饵诱导攻击者进行攻击，这样在有效攻击未发生前就可以监测发现攻击行为。

三是有冗余。搭建监测平台时要考虑到设备突发故障对网络安全监测工作造成的影响，尽可能保证各类监测设备都有主有备，且要保证主、备设备配置的一致性和热切换功能，若不能做到热切换，则应保证冷切换的快速和高效。

3.做好网络安全培训

网络安全攻防演习中，一些单位因为专业人才储备不足，通常允许驻场人员参与本单位网络安全监测，应对其做好网络安全培训。培训内容应至少包含以下部分：监测工作重要性宣贯、网络安全防护体系、安全监测设备情况、资产架构和业务情况、人员分工和设备分配、监测工作流程、监测值班制度、平台监测频次、报告编制规范。

此外，社会工程学攻击是常见的一种网络攻击方式。该攻击方式仅依靠网络安全保障人员往往难以有效监测和发现，需要对本单位员工开展网络安全基础知识培训，培养良好的信息安全习惯，增强网络安全防范意识，遇到可疑人员或可疑邮件及时向网络安全保障部门报告，避免误操作造成的网络安全事件。

4.开展模拟攻防演练

组织本单位红蓝队成员开展模拟攻防演练，模拟演练不能流于形式，要最大限度地模拟真实网络攻击。模拟攻防演练结束后，应针对攻防演练中出现的网络安全事件，找到网络安全监测工作中存在的盲点并采取补偿措施，从而完善网络安全监测方案，提升网络安全监测能力。在历次模拟攻防演练中，发现规则库未升级、部分设备脱离监测管控、自建系统不符合代码安全规范等问题，会对监测发现工作的及时性和有效性造成影响，需要注意防范。

社会工程学攻击往往缺乏有效的监测手段，需要针对此项攻击方式开展针对性的模拟演练。笔者单位在开展此类模拟演练中，通常会设置以下场景：办公场所派发木马U盘，冒充好友或合作伙伴给办公人员发送钓鱼邮件，冒充安全服务或网络服务提供者混入公司办公区，甚至机房，以公益活动名义免费或打折维修电脑诱导办公人员去维修。开展此类演练需要注意不能提前告知参演人员，不能影响正常业务开展，终端感染木马后应有明显警示信息。

5.网络安全监测管理

在实战攻防演练中，参演单位应以“告警全覆盖”为网络安全监测的基本原则，要对监测平台产生的所有告警信息进行分析，判断告警为误报还是真实攻击，避免遗漏真实告警。参演单位可根据发现或遗漏的真实攻击数量设置一定的考核规则，压紧压实监测人员责任。

参演单位应正确估计攻防演习中网络安全监测的工作量，评估完成后可按照业务系统或监测平台合理分配到监测人员，监测人员对自己负责的监测区域和设备的监测结果负责，有助于一些监测报告的研判。参演单位需执行7×24小时值班制度，可采用轮岗制度，避免监测人员产生监测疲劳，防止遗漏真实告警信息。

攻防演练过程中要重视利用各种情报信息，如漏洞情报、态势情报，以达到最好的监测效果。参演单位可根据漏洞情报检视监测资产并进行验证，验证过程中有可能会发现真实攻击行为。态势情报能够反映攻击方在攻防演练中使用的工具和采用的方法等信息，对网络安全监测工作极为有利，但在利用态势情报前应确认真假，当态势情报与监测态势有出入时，应以监测态势为准。

1.监测平台存在误报的告警信息

产生此类告警信息的原因有如下三点：一是看似异常的正常访问行为；二是业务系统代码使用不规范；三是监测平台告警规则存在问题。

针对前两点，通常能够在模拟演练过程中发现，参演单位应对此类告警重点标注，可对此类告警加白处理。针对第三点，则需要与监测平台厂家对接，优化告警规则。

2.蜜罐诱惑性不足，容易被攻击者识破

针对此类问题，参演单位需优化蜜罐部署方式，不宜设置过多低级诱饵，应尽可能模拟真实系统，提高蜜罐系统的仿真度和无感诱捕能力。

3.加密流量的检测

加密流量是监测发现工作中的一个难点，但也是无法避免的问题。网络安全监测人员在日常监测中应学习和熟悉正常业务使用的加密流量特征，掌握这些加密流量的交换过程和数据包大小等基本规律，若攻防演练过程中监测发现到异常加密流量，应特别加以注意。

本文详细阐述了网络安全攻防演习中的监测发现方案，对监测发现工作存在的一些难点问题给出解决对策。当前，网络漏洞层出不穷，攻击工具不断变化，攻击方式日新月异，网络安全监测方式必须随之不断优化，才能真正发挥出监测发现工作的“哨兵”作用。

来源：《网络安全和信息化》杂志

作者：国网临汾供电公司  康中将  李彦晨  李鹏云

（本文不涉密）