馬航航

（甘肅廣播電視大學(xué)，甘肅 蘭州730030）

目前高校校園網(wǎng)存在網(wǎng)絡(luò)和信息系統(tǒng)的安全隱患得不到快速修復(fù)、多種安全設(shè)備各自為戰(zhàn)，檢測(cè)響應(yīng)周期長(zhǎng)、網(wǎng)絡(luò)攻擊行為不能及時(shí)預(yù)警、網(wǎng)絡(luò)安全事件溯源困難等問(wèn)題。筆者提出高校校園網(wǎng)網(wǎng)絡(luò)安全解決方案，提高了校園網(wǎng)網(wǎng)絡(luò)攻擊防護(hù)、檢測(cè)、預(yù)警能力，實(shí)現(xiàn)了安全事件可視化呈現(xiàn)、安全設(shè)備聯(lián)動(dòng)協(xié)防。

本文先介紹高校校園網(wǎng)網(wǎng)絡(luò)安全基本需求，然后說(shuō)明采用態(tài)勢(shì)感知在校園網(wǎng)網(wǎng)絡(luò)安全的建設(shè)中所能提供的優(yōu)勢(shì)，最后給出網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)方案。

1 高校校園網(wǎng)網(wǎng)絡(luò)安全需求

1.1 可發(fā)現(xiàn)

能夠?qū)θW(wǎng)網(wǎng)絡(luò)行為檢測(cè)，精準(zhǔn)定位漏洞、病毒木馬、網(wǎng)絡(luò)攻擊等安全風(fēng)險(xiǎn)，快速攔截處置安全事件。

1.2 可預(yù)警

通過(guò)匯總、過(guò)濾和分析網(wǎng)絡(luò)安全設(shè)備等產(chǎn)生的安全事件，對(duì)網(wǎng)絡(luò)整體上所遭受的安全風(fēng)險(xiǎn)進(jìn)行多維度評(píng)估，分析網(wǎng)絡(luò)所遭受攻擊所處階段，全面掌握網(wǎng)絡(luò)整體的安全狀況，并能預(yù)測(cè)出未知網(wǎng)絡(luò)攻擊行為，實(shí)現(xiàn)網(wǎng)絡(luò)安全的主動(dòng)防御。

1.3 可聯(lián)動(dòng)

網(wǎng)絡(luò)安全設(shè)備協(xié)同工作、智能聯(lián)動(dòng)，發(fā)現(xiàn)和阻止已知、未知威脅，有效整合資源，提高安全事件的檢測(cè)精度，降低威脅響應(yīng)時(shí)間。

1.4 可溯源

追蹤DDoS攻擊、APT攻擊、釣魚(yú)郵件攻擊等惡意入侵行為，還原攻擊的詳細(xì)過(guò)程，定位威脅來(lái)源，為調(diào)查取證提供有力證據(jù)。

1.5 可視化

可以將安全事件以圖像或圖形的形式呈現(xiàn)給用戶。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)現(xiàn)狀

態(tài)勢(shì)感知技術(shù)是一種基于環(huán)境的、動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動(dòng)，是安全能力的落地[1]。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知主要分為要素提取、態(tài)勢(shì)理解、態(tài)勢(shì)預(yù)測(cè)三個(gè)層面[2]，利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，為網(wǎng)絡(luò)安全提供保障。網(wǎng)絡(luò)安全態(tài)勢(shì)感知從提出至現(xiàn)在一直是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)，隨著相關(guān)技術(shù)的不斷完善，網(wǎng)絡(luò)安全態(tài)勢(shì)感知逐步走向成熟[3]。

目前態(tài)勢(shì)感知解決方案主要有奇安信公司的NGSOC、綠盟公司的TSA、華為公司的CIS等。華為公司的CIS網(wǎng)絡(luò)安全態(tài)勢(shì)感知解決方案具有感知全網(wǎng)安全態(tài)勢(shì)、快速發(fā)現(xiàn)高級(jí)威脅、秒級(jí)安全聯(lián)動(dòng)響應(yīng)、安全策略智能運(yùn)維、安全業(yè)務(wù)統(tǒng)一管理等技術(shù)優(yōu)勢(shì)，是目前安全態(tài)勢(shì)感知建設(shè)中常采用解決方案。

3 校園網(wǎng)態(tài)勢(shì)感知建設(shè)方案

本節(jié)高校校園網(wǎng)設(shè)計(jì)主要通過(guò)全面采集全網(wǎng)流量數(shù)據(jù)、日志信息，持續(xù)監(jiān)控網(wǎng)絡(luò)活動(dòng)，運(yùn)用大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)，檢測(cè)、分析并發(fā)現(xiàn)高級(jí)威脅，聯(lián)動(dòng)安全設(shè)備實(shí)現(xiàn)安全威脅的快速閉環(huán)，打通各組件的管理接口，簡(jiǎn)化安全運(yùn)維，實(shí)現(xiàn)統(tǒng)一安全可視化視角、預(yù)警和溯源網(wǎng)絡(luò)安全事件。

3.1 方案架構(gòu)

方案設(shè)計(jì)為數(shù)據(jù)采集、大數(shù)據(jù)平臺(tái)、檢測(cè)分析、應(yīng)用展示四層邏輯架構(gòu)，各層級(jí)以及模塊之間的功能設(shè)計(jì)具有相對(duì)的獨(dú)立性，使整個(gè)系統(tǒng)具有較高的擴(kuò)展性。方案邏輯架構(gòu)如圖1所示。

圖1 態(tài)勢(shì)感知方案邏輯架構(gòu)

3.2 數(shù)據(jù)采集設(shè)計(jì)

數(shù)據(jù)采集主要通過(guò)采集器、流探針對(duì)數(shù)據(jù)源的日志/流量進(jìn)行采集和預(yù)處理。數(shù)據(jù)源包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、日志服務(wù)器、應(yīng)用主機(jī)等。

通過(guò)優(yōu)化的多管道并發(fā)處理機(jī)制，日志采集器把Syslog日志、Netflow數(shù)據(jù)和第三方日志按照統(tǒng)一的歸一化數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換，統(tǒng)一轉(zhuǎn)存到大數(shù)據(jù)平臺(tái)，支持安全事件分析、威脅呈現(xiàn)、追蹤溯源等。

部署的流探針和防火墻內(nèi)置流探針負(fù)責(zé)原始流量采集，提取原始流量的協(xié)議特征，實(shí)現(xiàn)流量數(shù)據(jù)采集和協(xié)議還原。

3.3 大數(shù)據(jù)平臺(tái)建設(shè)

大數(shù)據(jù)平臺(tái)為整個(gè)系統(tǒng)提供底層的數(shù)據(jù)存儲(chǔ)和檢索服務(wù)，負(fù)責(zé)接收采集器上報(bào)的日志和流量數(shù)據(jù)，并對(duì)上報(bào)數(shù)據(jù)進(jìn)行分布式存儲(chǔ)、索引。

方案設(shè)計(jì)大數(shù)據(jù)平臺(tái)由數(shù)據(jù)存儲(chǔ)接口層、數(shù)據(jù)查詢接口層、分布式數(shù)據(jù)緩存層、大數(shù)據(jù)存儲(chǔ)層和大數(shù)據(jù)分析層構(gòu)成，如圖2所示。

圖2 大數(shù)據(jù)平臺(tái)邏輯圖

數(shù)據(jù)存儲(chǔ)接口層針對(duì)不同格式與種類的數(shù)據(jù)提供不同的存儲(chǔ)接口，該接口一方面與調(diào)用該接口的上層應(yīng)用之間進(jìn)行數(shù)據(jù)通信，另一方面調(diào)用數(shù)據(jù)緩存層接口，將數(shù)據(jù)交由分布式數(shù)據(jù)緩存層進(jìn)行緩存。數(shù)據(jù)查詢接口層提供存儲(chǔ)層與外部應(yīng)用之間的查詢接口，外部應(yīng)用系統(tǒng)通過(guò)調(diào)用數(shù)據(jù)查詢接口發(fā)起數(shù)據(jù)查詢請(qǐng)求，并由數(shù)據(jù)查詢接口返回所需要查詢的數(shù)據(jù)。分布式數(shù)據(jù)緩存層在數(shù)據(jù)入庫(kù)高峰期可以緩解存儲(chǔ)的性能壓力查詢的時(shí)緩解查詢高峰期導(dǎo)致的查詢風(fēng)暴、響應(yīng)延遲飆升的問(wèn)題。大數(shù)據(jù)存儲(chǔ)層負(fù)責(zé)分析歸一化之后的數(shù)據(jù)，根據(jù)數(shù)據(jù)的屬性進(jìn)行分詞，利用分詞之后的結(jié)果形成倒排索引，并將歸一化之后的數(shù)據(jù)存儲(chǔ)在物理存儲(chǔ)介質(zhì)之上。

3.4 檢測(cè)分析

深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、強(qiáng)化學(xué)習(xí)等技術(shù)的融入，有效提高檢測(cè)和分析能力。檢測(cè)能力支持通過(guò)關(guān)鍵字、條件表達(dá)式、時(shí)間范圍對(duì)事件和流量元數(shù)據(jù)進(jìn)行快速檢索。威脅檢測(cè)根據(jù)預(yù)置的檢測(cè)模型和自定義的檢測(cè)規(guī)則，通過(guò)離線檢測(cè)、實(shí)時(shí)檢測(cè)和綜合評(píng)估，實(shí)現(xiàn)文件異常、Mail異常、C&C異常檢測(cè)、流量異常、日志關(guān)聯(lián)、WEB異常、隱蔽通道等檢測(cè)并關(guān)聯(lián)檢測(cè)出高級(jí)威脅。

分析能力主要由流式計(jì)算引擎、統(tǒng)計(jì)分析引擎、規(guī)則引擎和關(guān)聯(lián)分析引擎提供。規(guī)則引擎內(nèi)置多種分析規(guī)則，結(jié)合采集器上報(bào)的日志和流量數(shù)據(jù)，實(shí)現(xiàn)風(fēng)險(xiǎn)、脆弱性、安全預(yù)警、溯源等分析。

3.5 應(yīng)用展示

應(yīng)用展示層定制實(shí)現(xiàn)安全事件預(yù)警、安全設(shè)備聯(lián)動(dòng)、溯源、可視化等功能。

安全事件預(yù)警主要針對(duì)海量網(wǎng)絡(luò)安全日志數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行深層次的分析，發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)系和規(guī)則，發(fā)現(xiàn)潛在的安全威脅和攻擊，預(yù)測(cè)校園網(wǎng)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)[4]。

安全設(shè)備聯(lián)動(dòng)從海量文件、流量和日志中識(shí)別檢測(cè)出已知/未知威脅，生成聯(lián)動(dòng)策略下發(fā)給防火墻、IPS、WAF等網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)絡(luò)側(cè)進(jìn)行阻斷，并可將檢測(cè)結(jié)果同步到終端安全設(shè)備，在終端進(jìn)行檢測(cè)并清除威脅。

溯源通過(guò)關(guān)聯(lián)分析、同源分析、機(jī)器學(xué)習(xí)等技術(shù)對(duì)大數(shù)據(jù)平臺(tái)存儲(chǔ)數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘，支持基于攻擊鏈進(jìn)行事件調(diào)查，通過(guò)不同的攻擊階段關(guān)聯(lián)流量元數(shù)據(jù)還原攻擊原貌，并可通過(guò)網(wǎng)絡(luò)行為的線索擴(kuò)展發(fā)現(xiàn)攻擊所用的網(wǎng)絡(luò)資源、攻擊者信息、受害人信息等線索。

可視化將碎片化的安全事件數(shù)據(jù)結(jié)構(gòu)化，能以圖表的形式實(shí)時(shí)在大屏上展現(xiàn)網(wǎng)絡(luò)的攻擊情況，準(zhǔn)確定位出攻擊源、攻擊路徑、攻擊目標(biāo)，快速找出安全威脅，直觀顯示校園網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)[5]。

3.6 組網(wǎng)部署

校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知建設(shè)方案組網(wǎng)部署如下：在安全管理區(qū)部署CIS平臺(tái)和沙箱，在互聯(lián)網(wǎng)接入域和遠(yuǎn)程接入域部署流探針，在應(yīng)用服務(wù)域和終端接入域部署服務(wù)器探針和終端探針，組網(wǎng)部署拓?fù)浣Y(jié)構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知拓?fù)浣Y(jié)構(gòu)圖

4 小結(jié)

通過(guò)數(shù)據(jù)采集、大數(shù)據(jù)平臺(tái)、檢測(cè)分析、應(yīng)用展示建立的校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知方案，具有安全事件可發(fā)現(xiàn)、可預(yù)警、可溯源、可視化、安全設(shè)備可聯(lián)動(dòng)的功能，有效的提高了網(wǎng)絡(luò)安全水平，降低網(wǎng)絡(luò)安全隱患。