馮莉穎

摘 要：本文采用安全大數(shù)據(jù)分析框架體系，從技術(shù)支撐、系統(tǒng)架構(gòu)、應(yīng)用系統(tǒng)設(shè)計等三個方面闡述了一種省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺的方法，實現(xiàn)具有監(jiān)測、態(tài)勢感知、預(yù)警通報、線索分析、事件處置、運維管理功能的支撐平臺的設(shè)計研究，為省級公共網(wǎng)絡(luò)安全預(yù)警與防范提供了理論及技術(shù)參考。

關(guān)鍵詞：公共網(wǎng)絡(luò)；安全；預(yù)警防范

隨著省級公共網(wǎng)絡(luò)的建設(shè)和應(yīng)用技術(shù)的成熟，公共網(wǎng)絡(luò)系統(tǒng)的安全防護能力和管理需求隨之提升，搭建一個既能夠滿足城域網(wǎng)整體態(tài)勢監(jiān)控，又能夠?qū)χ攸c單位網(wǎng)絡(luò)系統(tǒng)、門戶網(wǎng)站進行重點監(jiān)控的平臺是解決省級公共網(wǎng)絡(luò)安全問題的有效途徑。

一、搭建省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺的技術(shù)支撐

搭建省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺需考慮到安全監(jiān)測、態(tài)勢分析、預(yù)警通報、線索挖掘、調(diào)查處置等五個網(wǎng)安業(yè)務(wù)并為此提供技術(shù)支撐。

安全監(jiān)測：要求為網(wǎng)絡(luò)安全監(jiān)測業(yè)務(wù)提供支撐，輔助公安網(wǎng)安部門對重要部位、重要單位、專項威脅、特定目標(biāo)或?qū)ο箝_展監(jiān)測，匯集公共網(wǎng)絡(luò)安全監(jiān)測的基礎(chǔ)數(shù)據(jù)。網(wǎng)站監(jiān)測應(yīng)對網(wǎng)站的安全狀態(tài)進行全面監(jiān)測，包括網(wǎng)站平穩(wěn)度信息、頁面篡改信息、網(wǎng)站木馬信息、流量告警信息、入侵檢測事件信息、網(wǎng)站服務(wù)器漏洞信息。重點單位檢測應(yīng)對重點單位的網(wǎng)絡(luò)安全狀態(tài)進行檢測，包括但不僅限于有害程序事件、網(wǎng)絡(luò)攻擊事件、信息破壞事件、安全隱患。專項威脅檢測應(yīng)對網(wǎng)站仿冒、網(wǎng)絡(luò)釣魚、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件，木馬、僵尸網(wǎng)絡(luò)等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進行專項監(jiān)測。特定目標(biāo)或?qū)ο蟊O(jiān)測應(yīng)支持用戶對特定目標(biāo)、對象深入監(jiān)測，如通過設(shè)置監(jiān)測點的監(jiān)測規(guī)則支持對某攻擊組織的攻擊行為、某特定IP攻擊行為進行監(jiān)測。

態(tài)勢分析：應(yīng)從宏觀方面分析整個互聯(lián)網(wǎng)總體安全狀況，包括各類網(wǎng)絡(luò)安全威脅態(tài)勢分析和展示；微觀方面應(yīng)提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，可包括網(wǎng)站態(tài)勢、重點單位態(tài)勢、專項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應(yīng)對所監(jiān)測網(wǎng)站的網(wǎng)絡(luò)安全威脅和網(wǎng)絡(luò)安全事件進行態(tài)勢分析和展示；重點單位態(tài)勢應(yīng)支持對重點單位的網(wǎng)絡(luò)安全威脅事件態(tài)勢分析和展示；專項威脅態(tài)勢應(yīng)對網(wǎng)站仿冒、網(wǎng)絡(luò)釣魚、漏洞利用攻擊等網(wǎng)絡(luò)攻擊事件，木馬、僵尸網(wǎng)絡(luò)等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進行專項態(tài)勢分析和展示。此外，態(tài)勢分析應(yīng)提供網(wǎng)絡(luò)安全總體態(tài)勢的展示和呈現(xiàn)。

預(yù)警通報：應(yīng)支持針對各種安全數(shù)據(jù)自動生成符合模板的預(yù)警通報，包括突發(fā)事件通報、專項通報、綜合通報和特定對象安全評估通報。突發(fā)事件通報應(yīng)支持對突發(fā)網(wǎng)絡(luò)安全事件自動生成預(yù)警通報。專項通報應(yīng)支持對網(wǎng)絡(luò)攻擊事件、有害程序事件、信息破壞事件、重大網(wǎng)絡(luò)安全隱患等自動生成預(yù)警通報。綜合通報應(yīng)支持定期生成綜合性通報。特定對象安全評估支持對指定的IP或IP段自動生成安全評估報告，包括指定IP或IP段的網(wǎng)絡(luò)攻擊事件、有害程序事件、信息破壞事件、重大網(wǎng)絡(luò)安全隱患等。

線索挖掘：應(yīng)通過對城市威脅數(shù)據(jù)的智能聚類和關(guān)聯(lián)挖掘，發(fā)掘有價值威脅事件線索，對重點事件、嫌疑對象、跳板主機、攻擊溯源等提供分析支撐。

主要包括三元組分析、異常服務(wù)分析、攻擊者分析、其中三元組分析應(yīng)支持對網(wǎng)絡(luò)攻擊事件中的三元組信息，即源IP、目的IP、事件行為進行統(tǒng)計分析。

異常服務(wù)分析支持分析提供異常服務(wù)和參與對外攻擊的主機，建立疑似傀儡機檔案庫。攻擊者分析支持分析挖掘疑似攻擊人員相關(guān)信息，建立疑似攻擊人員檔案庫。

調(diào)查處置：在網(wǎng)安業(yè)務(wù)流驅(qū)動下，通報平臺為網(wǎng)安民警開展監(jiān)測、威脅預(yù)警、態(tài)勢預(yù)警、威脅情報線索的調(diào)查處置提供支撐，可實現(xiàn)調(diào)查任務(wù)下發(fā)與處置響應(yīng)的返回。

二、搭建省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺的系統(tǒng)架構(gòu)

搭建省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺的實現(xiàn)系統(tǒng)，主要有數(shù)據(jù)采集層、檢測引擎層、數(shù)據(jù)預(yù)處理層、數(shù)據(jù)存儲層、業(yè)務(wù)支撐層和業(yè)務(wù)處置層等6個功能層。

數(shù)據(jù)采集層是系統(tǒng)的基礎(chǔ)數(shù)據(jù)源，包括兩方面的數(shù)據(jù)。一是運營商的流量數(shù)據(jù)。在系統(tǒng)中，需要將運營商互聯(lián)網(wǎng)出口的流量鏡像到系統(tǒng)，然后根據(jù)系統(tǒng)的業(yè)務(wù)處理能力按照會話將流量分配到各檢測引擎。另一方面是互聯(lián)網(wǎng)重要信息系統(tǒng)的數(shù)據(jù)。需要確定重要信息系統(tǒng)的基礎(chǔ)數(shù)據(jù)，實現(xiàn)檢測數(shù)據(jù)與系統(tǒng)信息的一一對應(yīng)。

檢測引擎層主要實現(xiàn)對基礎(chǔ)數(shù)據(jù)的安全檢測，包括兩方面的檢測。一是對互聯(lián)網(wǎng)流量的檢測，包括flow流量檢測、IP包檢測和面向APT的未知攻擊檢測。另一方面是對重要信息系統(tǒng)的檢測，包括系統(tǒng)脆弱性檢測和系統(tǒng)受攻擊情況檢測。

數(shù)據(jù)預(yù)處理層主要實現(xiàn)對攻擊和脆弱性數(shù)據(jù)的預(yù)處理。在省平臺，需要預(yù)處理的數(shù)據(jù)有四個來源，一是平臺自行檢測到的數(shù)據(jù)，二是各地市上報的數(shù)據(jù)，三是部平臺下發(fā)的數(shù)據(jù)，四是來自可靠第三方的威脅情報數(shù)據(jù)。

這些數(shù)據(jù)來源不同，格式各異，有可能存在重復(fù)和無效數(shù)據(jù)，因此在使用之前需要進行清洗、歸并、關(guān)聯(lián)、比對、標(biāo)識等預(yù)處理，為下一步數(shù)據(jù)應(yīng)用打下基礎(chǔ)。

數(shù)據(jù)存儲層主要實現(xiàn)對業(yè)務(wù)支撐的數(shù)據(jù)支持。一方面對預(yù)處理過的有效數(shù)據(jù)按照業(yè)務(wù)需求進行分類存儲，另一方面通過大數(shù)據(jù)引擎為業(yè)務(wù)支撐提供數(shù)據(jù)存取和分析服務(wù)。

業(yè)務(wù)支撐層主要實現(xiàn)對預(yù)警監(jiān)控系統(tǒng)中各種安全應(yīng)用的業(yè)務(wù)支撐。其中，安全事件獲取模塊實現(xiàn)從告警數(shù)據(jù)到安全事件的歸并，行為模型匹配模塊實現(xiàn)從安全事件到攻擊行為模型的匹配，態(tài)勢預(yù)警分析模塊實現(xiàn)對當(dāng)前攻擊態(tài)勢的判定和安全預(yù)警功能，攻擊取證溯源模塊實現(xiàn)對攻擊過程的還原和數(shù)據(jù)泄露等損失的計算等功能，應(yīng)用脆弱性分析模塊實現(xiàn)對重要業(yè)務(wù)系統(tǒng)漏洞、配置不當(dāng)?shù)却嗳跣缘姆治?，判斷業(yè)務(wù)系統(tǒng)的危險狀態(tài)等功能。

業(yè)務(wù)處置層主要實現(xiàn)網(wǎng)安預(yù)警監(jiān)測工作中的各種業(yè)務(wù)流程。其中，安全監(jiān)測模塊實現(xiàn)對城域網(wǎng)和重要信息系統(tǒng)的攻擊行為、脆弱性的監(jiān)測功能；態(tài)勢分析模塊實現(xiàn)對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的分析判斷功能；通報預(yù)警模塊實現(xiàn)對發(fā)現(xiàn)的攻擊行為及時向第三方通報并根據(jù)安全態(tài)勢及時預(yù)警等功能；線索挖掘模塊主要實現(xiàn)對監(jiān)測數(shù)據(jù)的深入分析，及時對攻擊行為進行取證溯源等功能；調(diào)查處置模塊主要實現(xiàn)對通過系統(tǒng)確認(rèn)的網(wǎng)絡(luò)犯罪行為的進一步核查以及與相關(guān)業(yè)務(wù)部門協(xié)同處置等功能。

三、搭建省級公共網(wǎng)絡(luò)安全預(yù)警防范平臺的應(yīng)用系統(tǒng)架構(gòu)

結(jié)合系統(tǒng)總體架構(gòu)，擬建立一個中心平臺、兩個子平臺、七套子系統(tǒng)的應(yīng)用系統(tǒng)架構(gòu)。

1）一個中心平臺：預(yù)警防范中心平臺：預(yù)警防范中心平臺實現(xiàn)對網(wǎng)絡(luò)安全事件的綜合分析、預(yù)警，對重要安全事件進行取證，對預(yù)警信息分發(fā)和通報，依據(jù)省級安防工作機制和應(yīng)急預(yù)案處置和管理網(wǎng)絡(luò)安防工作。按照各單位預(yù)定職能向其傳遞預(yù)警信息，并接收其處置反饋信息。同時由運維管理系統(tǒng)實現(xiàn)對整體設(shè)備運作的監(jiān)控。

2）兩個子平臺：城域網(wǎng)安全監(jiān)控子平臺：包括異常流量檢測系統(tǒng)、入侵檢測（含病毒檢測）系統(tǒng)、威脅分析系統(tǒng)。實現(xiàn)對全省城域網(wǎng)網(wǎng)絡(luò)流量的監(jiān)控，綜合分析其中存在的黑客攻擊、病毒傳播、拒絕服務(wù)攻擊等行為并進行取證。

重要系統(tǒng)檢測子平臺：包括漏洞掃描系統(tǒng)、重點網(wǎng)站監(jiān)測系統(tǒng)。實現(xiàn)對重點單位的網(wǎng)站脆弱性、完整性、可用性三方面的檢測。

3）七套子系統(tǒng)：分為異常流量檢測系統(tǒng)、入侵檢測系統(tǒng)、威脅分析系統(tǒng)、漏洞掃描系統(tǒng)、重點網(wǎng)站檢測系統(tǒng)、網(wǎng)絡(luò)溯源追蹤系統(tǒng)、運營管理系統(tǒng)等七個子系統(tǒng)。

異常流量檢測系統(tǒng)：實現(xiàn)對網(wǎng)絡(luò)整體流量的宏觀分析、監(jiān)控、預(yù)警；入侵檢測（含病毒檢測）系統(tǒng)：實現(xiàn)對網(wǎng)絡(luò)流量的細(xì)粒度檢測，并實現(xiàn)抓包取證；威脅分析系統(tǒng)：實現(xiàn)對攻擊行為、趨勢、手段的分析和監(jiān)控；漏洞掃描系統(tǒng)：實現(xiàn)對重點單位及城域網(wǎng)整體的網(wǎng)絡(luò)脆弱性檢測和預(yù)警；重點網(wǎng)站監(jiān)測系統(tǒng)：實現(xiàn)對重點單位的脆弱性、完整性、可用性監(jiān)測和預(yù)警；網(wǎng)絡(luò)溯源追蹤系統(tǒng)：實現(xiàn)對安全事件的追蹤溯源；運維管理系統(tǒng)：實現(xiàn)對項目范圍內(nèi)系統(tǒng)運作的持續(xù)性檢測和管理，其主要在預(yù)警防范中心平臺實現(xiàn)。

綜上所述，本文通過情報、數(shù)據(jù)收集，大數(shù)據(jù)處理及存儲，基于安全場景模型的大數(shù)據(jù)分析及展示等手段建立和完善安全態(tài)勢全面監(jiān)控、安全威脅實時預(yù)警、安全事件及時處置的能力，建設(shè)形成的一套支撐網(wǎng)絡(luò)與信息安全預(yù)警分析中心業(yè)務(wù)開展的，具有監(jiān)測、態(tài)勢感知、預(yù)警通報、線索分析、事件處置、運維管理功能的支撐平臺。

參考文獻：

[1] 謝振國，凌捷，網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的研究[J].計算機技術(shù)與發(fā)展，2011（11）.

[2] 陳彥德，趙陸文，王瓊，潘志松，周志杰.網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)結(jié)構(gòu)研究[J].計算機工程與應(yīng)用，2008（01）.

[3] 梁玉翰，張紅旗.網(wǎng)絡(luò)環(huán)境安全預(yù)警系統(tǒng)設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008（08）.

[4] 徐遠(yuǎn)濤，張劍寒，黃繼剛，王寶軍.網(wǎng)絡(luò)安全預(yù)警系統(tǒng)初探[J].電腦與電信，2007（04）.

[5] 胡華平，張怡，陳海濤，宣蕾，孫鵬.面向大規(guī)模網(wǎng)絡(luò)的入侵檢測與預(yù)警系統(tǒng)研究[J].國防科技大學(xué)學(xué)報，2003（01）.