一种网络零变更条件下的企业内网自适应威胁阻断方法与流程

1.本发明涉及网络空间安全技术技术领域，具体为一种网络零变更条件下的企业内网自适应威胁阻断方法。


背景技术：

2.随着我国信息化建设的推进和网络安全防护要求的提高，防火墙、防病毒、入侵检测、主机审计等安全设备已在企事业单位得到广泛的应用；但是，这些安全设备在实际使用中往往都是各自为政，“信息孤岛”现象严重，设备之间难以联动，误报率和漏报率较高，难以应对当前复杂多变的各种安全威胁；同时，企业用户面对每天产生的海量安全日志，无法较为准确的评估企业网络的整体安全态势；因此，基于威胁情报和大数据安全分析技术的网络安全监控平台(典型如soc等)应运而生；网络安全监控平台能够对用户安全数据进行采集、存储、计算、数据挖掘与关联分析，从而将有效的监测发现、快速响应处置，以及深入的调查分析进行结合，形成网络安全防护的业务闭环；
3.威胁处置中心作为网络安全监控平台的核心模块，其主要功能是对分析发现的网络安全攻击事件进行及时、快速的有效阻断；目前，业界企业内网主流的威胁阻断方法依赖于交换机管理权限与用户终端代理程序，需要向网络交换设备、网络准入控制设备或者终端代理程序下发控制命令，更改并生效相关的网络配置；此方法的缺陷主要有如下三点：
4.1)需直接或间接的拥有所有交换机的管理权限，安全风险高；
5.2)需变更原有网络配置，存在变更失误影响正常业务的风险；
6.3)需在用户终端安装代理程序，侵入性强，其威胁阻断功能可被用户恶意绕过或终止；
7.针对上述问题，本发明公开了一种网络零变更条件下的企业内网自适应威胁阻断方法，可在无网络变更、无交换机管理权限和用户终端代理程序的条件下，实现针对内网安全威胁的秒级自适应快速阻断，威胁源的网络数据丢包率可达90％以上，同时威胁排除后可在秒级进行快速恢复。


技术实现要素：

8.本发明的目的在于提供一种网络零变更条件下的企业内网自适应威胁阻断方法，以解决上述背景技术中提出的问题。
9.为解决上述技术问题，本发明采用如下技术方案：
10.网络零变更条件下的企业内网自适应威胁阻断技术架构：
11.该技术架构主要由网络安全监控平台、威胁处置中心、核心交换机、接入交换机、业务服务、用户终端组成；其中，核心交换机、接入交换机、业务服务与用户终端组成了基础的网络结构；网络安全监控平台用于收集与分析网络系统的安全数据，识别潜在的安全威胁，并下发处置命令至威胁处置中心；威胁处置中心依据接收的处置命令自适应的选择其内置威胁阻断方法，阻断威胁源与其攻击的目标对象之间的网络链路。
12.优选地，基于arp欺骗的威胁源上行网络链路阻断方法
13.该阻断方法是指威胁处置中心向威胁源发送特定arp数据包，从而使威胁源本地arp表中发往目标主机的下一跳节点的mac地址指向威胁处置中心，进而劫持威胁源与目标主机之间的上行网路链路。
14.优选地，基于arp欺骗的威胁源下行网络链路阻断方法
15.该阻断方法是指威胁处置中心向威胁源所在vlan以广播形式发送特定arp数据包，从而使该vlan内网关和其它主机的本地arp表中威胁源的mac地址指向威胁处置中心，进而劫持威胁源与目标主机之间的下行网路链路。
16.优选地，基于交换机端口抢占的威胁源下行网络链路阻断方法
17.该阻断方法是指威胁处置中心向威胁源所在vlan以广播形式发送特定arp数据包，从而使该vlan所有交换机的arp表中威胁源的端口都指向威胁处置中心的接入端口，从而劫持威胁源与目标主机之间的下行网路链路。
18.优选地，攻击阻断方式自适应调度方法
19.该自适应调度方法是指威胁处置中心以一定时间内是否接收到劫持的威胁源网络数据包为依据，判断已采用的攻击阻断方法是否生效，若未生效，则自适应的切换至另一种攻击阻断方法。
20.与现有技术相比，本发明的有益效果在于：
21.本发明可在无网络变更、无交换机管理权限和用户终端代理程序的条件下，实现针对内网安全威胁的秒级自适应快速阻断，威胁源的网络数据丢包率可达90％以上，同时威胁排除后可在秒级进行快速恢复。
附图说明
22.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
23.图1为本发明的技术架构设计框图。
24.图2为本发明的一种典型应用场景。
25.图3为本发明的典型应用场景下的威胁阻断流程图。
26.图4为本发明的典型应用场景下的威胁源原始上/下行流量示例。
27.图5为本发明的基于arp欺骗的威胁源上行网络链路阻断方法。
28.图6为本发明的实施内容中构造的典型arp欺骗数据包示例。
29.图7为本发明的基于arp欺骗的威胁源下行网络链路阻断方法。
30.图8为本发明的基于交换机端口抢占的威胁源下行网络链路阻断方法。
31.图9为本发明的攻击阻断方式自适应调度方法的业务流程图。
具体实施方式
32.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
33.实施例：如图1-9所示，本发明提供了一种网络零变更条件下的企业内网自适应威胁阻断方法，主要由网络安全监控平台、威胁处置中心、核心交换机、接入交换机、业务服务和用户终端组成；其中，核心交换机、接入交换机、业务服务与用户终端组成基础的网络结构；网络安全监控平台用于收集与分析网络系统的安全数据，识别潜在的安全威胁，并下发处置命令至威胁处置中心；威胁处置中心依据接收的处置命令自适应的选择其内置威胁阻断方法，阻断威胁源与其攻击的目标对象之间的网络链路。
34.进一步，如图2所示：目前，业界企业内网的用户区与业务区各vlan的默认网关通常都指向核心交换机，由核心交换机承担企业内网中各vlan之间的三层路由工作；针对此种情况，威胁处置中心可旁路部署于核心交换机处；其中，威胁处置中心的一个网口连入核心交换机，用于自身远程管理和接收网络安全监控平台下发的处置命令；威胁处置中心的另一个网口与核心交换机的一个trunk口相连，要求该trunk口上不配置网络安全防护策略，并且允许任意vlan的网络数据包通过，进而威胁处置中心可通过自定义vlan id向内网任意vlan发送网络数据包；在这种应用场景下，威胁处置中心可在无网络变更、无交换机管理权限和用户终端代理程序的条件下，实现针对内网安全威胁的秒级自适应快速阻断，以及威胁排除后的秒级快速恢复。
35.进一步，如图3所示：其中主要涉及典型企业内网、网络安全监控平台、威胁处置中心三个对象，具体工作流程如下：
36.1、企业内网中各网络资产向网络安全监控平台推送安全数据；
37.2、网络安全监控平台依据收集的网络安全数据，识别潜在的安全风险；
38.3、网络安全监控平台向威胁处置中心下发处置命令；
39.4、威胁处置中心依据接收的处置命令，自适应调度其内置的各个威胁阻断方法；
40.5、威胁处置中心向企业内网发送arp数据包，执行阻断操作；
41.6、企业内网向威胁处置中心反馈劫持数据包；
42.7、威胁处置中心依据接收的劫持数据包，评估实际的阻断效能，并上报网络安全监控平台。
43.进一步，如图4所示：其中，威胁源与目标主机1同属vlanx，均通过接入交换机1上联至核心交换机；目标主机2属于vlany，通过接入交换机2上联至核心交换机；vlanx和vlany的网关均设置于核心交换机处；同时，威胁处置中心旁路部署于核心交换机处；在此应用场景下，威胁源与目标主机1可通过接入交换机1直接在数据链路层进行网络通信，威胁源与目标主机2的网络通信需分别经过vlanx和vlany的网关，进行网络层的网络通信。
44.进一步，如图5所示：以如图4所示的威胁源原始上行/下行网络流量为参考，该阻断方法是指威胁处置中心向威胁源发送特定arp数据包，从而使威胁源本地arp表中发往目标主机的下一跳节点的mac地址指向威胁处置中心，进而劫持威胁源与目标主机之间的上行网路链路；其中，目标主机涵盖与威胁源同vlan和不同vlan的各类主机(典型如业务服务器、用户终端)。
45.具体实施内容如下：
46.1、依据威胁源与其攻击的目标对象的vlan id信息，确定威胁源发往目标主机的
下一跳节点；其中，若威胁源与目标对象的vlan id一致，则下一跳节点直接为该目标对象；若威胁源与目标对象的vlan id不一致，则下一跳节点为该vlan网关。
47.2、以确定的下一跳节点ip为源ip，以威胁处置中心连接核心交换机trunk的网卡mac为源mac，以威胁源的ip/mac为目的ip/mac，构造初始的arp响应数据包。
48.3、按照802.1q协议，在初始arp响应数据包中添加vlan id信息，形成最终的arp数据包，并经由连接的核心交换机的trunk口以≥10个包/秒的速度持续向威胁源进行发送。
49.进一步，其中，最终arp数据包的典型示例如图6所示。
50.4、威胁源接收到上述arp数据包后，将基于arp自学习功能更新其内置的arp表，将发往目标主机的下一跳节点的mac指向威胁处置中心。
51.5、当威胁源向目标主机发送攻击数据包时，将查询其arp表中下一跳节点的mac(已指向威胁处置中心)，并将攻击数据包经由数据链路层发送至威胁处置中心，进而阻断威胁源与目标主机之间的上行网络链路。
52.进一步，如图6所示：以如图4所示的威胁源原始上行/下行网络流量为参考，该阻断方法是指威胁处置中心向威胁源所在vlan以广播形式发送特定arp数据包，从而使该vlan内网关和其它主机的本地arp表中威胁源的mac地址指向威胁处置中心，进而劫持威胁源与目标主机之间的下行网路链路；其中，目标主机涵盖与威胁源同vlan和不同vlan的各类主机(典型如业务服务器、用户终端)。
53.具体实施内容如下：
54.1、以威胁源ip为源ip，以威胁处置中心连接核心交换机trunk的网卡mac为源mac，以威胁源所在vlan广播地址为目标ip，以00:00:00:00:00:00为目的mac，构造初始的arp响应数据包。
55.2、按照802.1q协议，在初始arp响应数据包中添加vlan id信息，形成最终的arp数据包，并经由连接的核心交换机的trunk口以≥10个包/秒的速度持续向该vlan内以广播形式进行发送。
56.3、该vlan内网关和其它主机接收到上述arp数据包后，将基于arp自学习功能更新其内置的arp表，将威胁源的mac指向威胁处置中心。
57.4、当该vlan内网关和其它主机向威胁源发送攻击反馈数据包时，将查询其arp表中威胁源的mac(已指向威胁处置中心)，并将攻击反馈数据包经由数据链路层发送至威胁处置中心，从而阻断威胁源与目标主机之间的下行网络链路。
58.进一步，如图8所示：以如图4所示的威胁源原始上行/下行网络流量为参考，该阻断方法是指威胁处置中心向威胁源所在vlan以广播形式发送特定arp数据包，从而使该vlan所有交换机的arp表中威胁源的port都指向威胁处置中心的连入端口，从而劫持威胁源与目标主机之间的下行网路链路；其中，目标主机涵盖与威胁源同vlan和不同vlan的各类主机(典型如业务服务器、用户终端)。
59.具体实施内容如下：
60.1、以威胁源ip/mac为源ip/mac，以威胁源所在vlan广播地址为目标ip，以00:00:00:00:00:00为目的mac，构造初始的arp响应数据包。
61.2、按照802.1q协议，在初始arp响应数据包中添加vlan id信息，形成最终的arp数据包，并经由连接的核心交换机的trunk口以≥10个包/秒的速度持续向以广播形式进行发
送。
62.3、该vlan内所有交换机(含核心交换机和接入交换机)接收到上述arp数据包后，将更新其内置的arp表，将威胁源ip/mac对应的接入端口修改为威胁处置中心的接入端口。
63.4、当该vlan内网关和其它主机向威胁源发送攻击反馈数据包时，途径的交换机将查询其内置的arp表中威胁源ip/mac对应的接入端口(已指向威胁处置中心)，并将攻击反馈数据包经由各个途径交换机逐次转发至威胁处置中心，从而阻断威胁源与目标主机之间的下行网络链路。
64.进一步，如图9所示：该调度方法是指威胁处置中心以一定时间内是否接收到劫持的威胁源网络数据包为依据，判断已采用的攻击阻断方法是否生效，若未生效，则自适应的切换至另一种攻击阻断方法，具体调度业务流程如下：
65.1、监听连接核心交换机trunk口的网卡数据；
66.2、依据预定义的三种阻断方法的调用次序，调用第一种阻断方法；
67.3、发送针对第一种阻断方法的外部激励数据包，触发威胁源与目标主机之间产生预定的网络流量；
68.4、若一定时间内未收到劫持数据包(含威胁源的原始攻击流量和因外部激励触发流量)，则调用第二种阻断方法；若收到劫持数据包，则跳转至第8步骤；
69.5、发送针对第二种阻断方法的外部激励数据包，触发威胁源与目标主机之间产生预定的网络流量；
70.6、若一定时间内未收到劫持数据包(含威胁源的原始攻击流量和因外部激励触发流量)，则调用第三种阻断方法；若收到劫持数据包，则跳转至第8步骤；
71.7、发送针对第三种阻断方法的外部激励数据包，触发威胁源与目标主机之间产生预定的网络流量；
72.8、依据收到的劫持数据包情况，评估实际的阻断效能；
73.9、关闭连接核心交换机trunk口的网卡监听程序。
74.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。