◎李殿環(huán)

基于電信運(yùn)營(yíng)級(jí)計(jì)算的網(wǎng)絡(luò)安全監(jiān)控服務(wù)平臺(tái)的分析

◎李殿環(huán)

由于網(wǎng)絡(luò)的快速發(fā)展，對(duì)于網(wǎng)絡(luò)安全方面出現(xiàn)的各種問(wèn)題，以電信運(yùn)營(yíng)商為主體，在云計(jì)算的基礎(chǔ)上，構(gòu)建一個(gè)提供信息及網(wǎng)絡(luò)安全監(jiān)控、防御管理等服務(wù)的云安全公共服務(wù)平臺(tái)。本文就構(gòu)建此平臺(tái)所用到的技術(shù)以及平臺(tái)基礎(chǔ)網(wǎng)絡(luò)及安全保障設(shè)計(jì)進(jìn)行了介紹和分析。

由于信息化建設(shè)突飛猛進(jìn)，網(wǎng)絡(luò)安全的重要性日益突出，網(wǎng)絡(luò)安全事件數(shù)量逐年增多。為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防火墻、UTM、入侵檢測(cè)和防護(hù)系統(tǒng)等，構(gòu)建起了一道道安全防線。但是這些安全的防線都僅僅抵御來(lái)自某個(gè)方面的安全威脅，無(wú)法產(chǎn)生協(xié)同效應(yīng)。并且在運(yùn)行過(guò)程中不斷產(chǎn)生大量的安全日志和事件，形成了大量“信息孤島”，使得安全管理人員面對(duì)這些數(shù)量巨大、彼此割裂的安全信息，顯得束手無(wú)策，難以發(fā)現(xiàn)真正的安全隱患。針對(duì)上述問(wèn)題在此以面向電信運(yùn)營(yíng)商為主體，構(gòu)建一個(gè)提供信息及網(wǎng)絡(luò)安全監(jiān)控、防御管理服務(wù)提供的云安全公共服務(wù)平臺(tái)。

云安全公共全服務(wù)平臺(tái)簡(jiǎn)介

云安全公共服務(wù)平臺(tái)是在云計(jì)算的基礎(chǔ)上提出了一個(gè)安全平臺(tái)，將網(wǎng)絡(luò)安全事件、攻擊方式等資源以“云”的形式在平臺(tái)內(nèi)進(jìn)行共享。將平臺(tái)和服務(wù)通過(guò)網(wǎng)絡(luò)以按需分配的方式提供給外部客戶，同時(shí)提供一種虛擬的可動(dòng)態(tài)擴(kuò)展的計(jì)算資源池（云端）。在形成規(guī)模的情況下，將資源整合，不但使得整個(gè)網(wǎng)絡(luò)更加緊湊，易于監(jiān)控與防護(hù)，同時(shí)在設(shè)備架構(gòu)、人員的配給上分工也更加明確，更易于節(jié)約成本。

構(gòu)建云安全服務(wù)平臺(tái)采用的技術(shù)

基于云計(jì)算的監(jiān)控與預(yù)警技術(shù)。通過(guò)基于云安全服務(wù)平臺(tái)對(duì)客戶端采集的用戶網(wǎng)絡(luò)安全事件進(jìn)行監(jiān)控和分析，自動(dòng)發(fā)現(xiàn)用戶網(wǎng)絡(luò)風(fēng)險(xiǎn)或威脅，并通知服務(wù)監(jiān)控平臺(tái)，由安全監(jiān)測(cè)中心的值守專家人工進(jìn)行確認(rèn)，并在第一時(shí)間通告用戶。通過(guò)平臺(tái)智能關(guān)聯(lián)分析集群系統(tǒng)與專家審核相結(jié)合，最大限度的提高對(duì)用戶網(wǎng)絡(luò)監(jiān)控結(jié)果的準(zhǔn)確性，以幫助用戶將所受到的風(fēng)險(xiǎn)影響降到最低。

動(dòng)態(tài)網(wǎng)絡(luò)流量控制與整形技術(shù)。網(wǎng)絡(luò)資源對(duì)網(wǎng)絡(luò)出口流量通道進(jìn)行劃分，設(shè)定懲罰通道和懲罰時(shí)間，實(shí)時(shí)監(jiān)測(cè)內(nèi)外IP數(shù)據(jù)包流量，統(tǒng)計(jì)IP在單元時(shí)間內(nèi)數(shù)據(jù)包長(zhǎng)度，根據(jù)預(yù)先設(shè)定的閾值、參數(shù)，將IP切換在相關(guān)的流量通道中，從而利用網(wǎng)絡(luò)流量控制實(shí)現(xiàn)網(wǎng)絡(luò)整形。

url快速定位及過(guò)濾技術(shù)。對(duì)已經(jīng)收集到近千萬(wàn)條url host地址，利用數(shù)據(jù)庫(kù)技術(shù)對(duì)存在網(wǎng)址進(jìn)行分類。利用hash value技術(shù)，對(duì)字符串url地址壓縮，轉(zhuǎn)int32整型，采用btree二叉樹生成文件數(shù)據(jù)庫(kù)。嵌入式系統(tǒng)啟動(dòng)后，加載到內(nèi)存中，得到url host地址后，轉(zhuǎn)int32整形，從內(nèi)存數(shù)據(jù)庫(kù)中，快速都到url地址類別，判斷http內(nèi)容性質(zhì)。根據(jù)預(yù)先設(shè)置的策略，對(duì)http進(jìn)行阻斷或者放行，并實(shí)現(xiàn)url過(guò)濾。

網(wǎng)絡(luò)行為與特征分析識(shí)別技術(shù)。應(yīng)用層協(xié)議發(fā)起協(xié)議包有部分在payload區(qū)，有明顯的標(biāo)志位，http協(xié)議，QQ協(xié)議，msn協(xié)議，還有股票分析和炒股軟件等，在端口、請(qǐng)求字符串都具有典型特征；對(duì)于大部分p2p（peer to peer）類型的協(xié)議軟件，如旋風(fēng)下載，迅雷，qqstreaml，ppstream等，對(duì)于payload數(shù)據(jù)區(qū)的判定效率較低，且難以捕捉規(guī)律。本專利利用連接數(shù)、包長(zhǎng)、與DPI檢測(cè)方法現(xiàn)結(jié)合，高效判斷和分類p2p協(xié)議。

數(shù)據(jù)壓縮和歸并技術(shù)。該技術(shù)采用日志聚合功能，根據(jù)用戶網(wǎng)絡(luò)日志上報(bào)的重復(fù)情況，配置一定的聚合比例，同時(shí)上報(bào)顯示聚合數(shù)量。日志聚合功能對(duì)于某些網(wǎng)絡(luò)攻擊產(chǎn)生的大量重復(fù)日志進(jìn)行歸并，避免重復(fù)事件對(duì)網(wǎng)絡(luò)管理帶來(lái)的干擾。收集器以HTTP/S方式發(fā)送時(shí)間時(shí)，支持?jǐn)?shù)據(jù)壓縮功能，通常壓縮率為10：1，壓縮后的數(shù)據(jù)由收集器向平臺(tái)傳輸所占的帶寬可忽略不計(jì)，不影響用戶網(wǎng)絡(luò)的正常使用。

威脅趨勢(shì)分析追蹤技術(shù)。多個(gè)事件檢索條件，可以單一或組合各類條件對(duì)歷史事件進(jìn)行檢索，包括事件級(jí)別、資產(chǎn)屬性、事件發(fā)生時(shí)間、源、目的地址等等條件。可以直觀地看到攻擊源的全球地理位置、全國(guó)地理位置分布圖，圖形化和數(shù)據(jù)統(tǒng)計(jì)兩種方式顯示各攻擊源攻擊的事件多少，通過(guò)攻擊源分布特性分析用戶被攻擊的地域特性。

關(guān)聯(lián)分析技術(shù)?？梢詫?shí)現(xiàn)跨設(shè)備、跨日志類型、全網(wǎng)范圍的關(guān)聯(lián)分析。當(dāng)前關(guān)聯(lián)規(guī)則庫(kù)可以對(duì)50余種類型的攻擊進(jìn)行分析，如掃描攻擊、DOS/DDOS、SQL注入、暴力破解等。同時(shí)可根據(jù)企業(yè)的安全需求和實(shí)際的網(wǎng)絡(luò)環(huán)境，定制實(shí)現(xiàn)符合用戶網(wǎng)絡(luò)信息系統(tǒng)使用習(xí)慣和事件特點(diǎn)的關(guān)聯(lián)告警觸發(fā)規(guī)則。

平臺(tái)基礎(chǔ)網(wǎng)絡(luò)及安全保障設(shè)計(jì)

核心信息安全監(jiān)控和風(fēng)險(xiǎn)評(píng)估平臺(tái)網(wǎng)絡(luò)在整個(gè)網(wǎng)絡(luò)系統(tǒng)中占有舉足輕重的地位，它是系統(tǒng)的正常運(yùn)行的前提條件，必須充分考慮網(wǎng)絡(luò)的高可靠性，高效率。方案設(shè)計(jì)符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)3級(jí)“網(wǎng)絡(luò)安全—結(jié)構(gòu)安全和網(wǎng)段劃分”的要求。

采用兩臺(tái)交換機(jī)作為網(wǎng)絡(luò)核心層，兩臺(tái)交換機(jī)利用生成樹（STP）和虛擬路由冗余協(xié)議（VRRP），實(shí)現(xiàn)核心交換的冗余；服務(wù)器采用雙鏈路與核心交換機(jī)相連，實(shí)現(xiàn)鏈路冗余；交換機(jī)并采用雙鏈路與網(wǎng)絡(luò)安全接入層相連，保證鏈路的冗余；交換機(jī)電源采用冗余設(shè)計(jì)。

利用交換機(jī)三層交換和路由功能，給局域網(wǎng)劃分若干個(gè)虛網(wǎng)（VLAN），保證局域網(wǎng)內(nèi)的管理工作站機(jī)群、服務(wù)器群、網(wǎng)絡(luò)設(shè)備等處于不同的網(wǎng)段，只有本VLAN內(nèi)部的設(shè)備，能夠接收到此VLAN中其它設(shè)備所發(fā)送的點(diǎn)到點(diǎn)消息、廣播消息或組播消息。通過(guò)對(duì)交換機(jī)中的數(shù)據(jù)流進(jìn)行這樣的限制，提高了VLAN內(nèi)部用戶通信的效率；同時(shí)，在不同VLAN間使用ACL（訪問(wèn)控制列表）技術(shù)提高訪問(wèn)控制安全保護(hù)。既提高了局域網(wǎng)訪問(wèn)速度，又增加了信息系統(tǒng)的安全性。

云安全平臺(tái)安全性要達(dá)到國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)3級(jí)的基本要求。國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)3級(jí)包括技術(shù)和管理方面的內(nèi)容，技術(shù)方面通過(guò)網(wǎng)絡(luò)、基礎(chǔ)系統(tǒng)、應(yīng)用平臺(tái)、應(yīng)用軟件來(lái)保證。管理方面通過(guò)在系統(tǒng)使用單位的管理規(guī)范和制度保障。

綜上所述，基于云安全服務(wù)平臺(tái)是以云計(jì)算為基礎(chǔ)，技術(shù)核心包括專業(yè)的分布式智能分析引擎，強(qiáng)大的可視化事件分析、網(wǎng)絡(luò)行為分析、網(wǎng)絡(luò)行為策略管理、安全事件的關(guān)聯(lián)分析自動(dòng)預(yù)警等，構(gòu)建一個(gè)為接入用戶提供安全事件的監(jiān)控、分析、防護(hù)管理等功能的服務(wù)平臺(tái)。

（作者單位：濟(jì)寧市技師學(xué)院）