馮莉穎

摘 要：本文采用安全大數(shù)據(jù)分析框架體系，從技術支撐、系統(tǒng)架構、應用系統(tǒng)設計等三個方面闡述了一種省級公共網(wǎng)絡安全預警防范平臺的方法，實現(xiàn)具有監(jiān)測、態(tài)勢感知、預警通報、線索分析、事件處置、運維管理功能的支撐平臺的設計研究，為省級公共網(wǎng)絡安全預警與防范提供了理論及技術參考。

關鍵詞：公共網(wǎng)絡；安全；預警防范

隨著省級公共網(wǎng)絡的建設和應用技術的成熟，公共網(wǎng)絡系統(tǒng)的安全防護能力和管理需求隨之提升，搭建一個既能夠滿足城域網(wǎng)整體態(tài)勢監(jiān)控，又能夠對重點單位網(wǎng)絡系統(tǒng)、門戶網(wǎng)站進行重點監(jiān)控的平臺是解決省級公共網(wǎng)絡安全問題的有效途徑。

一、搭建省級公共網(wǎng)絡安全預警防范平臺的技術支撐

搭建省級公共網(wǎng)絡安全預警防范平臺需考慮到安全監(jiān)測、態(tài)勢分析、預警通報、線索挖掘、調查處置等五個網(wǎng)安業(yè)務并為此提供技術支撐。

安全監(jiān)測：要求為網(wǎng)絡安全監(jiān)測業(yè)務提供支撐，輔助公安網(wǎng)安部門對重要部位、重要單位、專項威脅、特定目標或對象開展監(jiān)測，匯集公共網(wǎng)絡安全監(jiān)測的基礎數(shù)據(jù)。網(wǎng)站監(jiān)測應對網(wǎng)站的安全狀態(tài)進行全面監(jiān)測，包括網(wǎng)站平穩(wěn)度信息、頁面篡改信息、網(wǎng)站木馬信息、流量告警信息、入侵檢測事件信息、網(wǎng)站服務器漏洞信息。重點單位檢測應對重點單位的網(wǎng)絡安全狀態(tài)進行檢測，包括但不僅限于有害程序事件、網(wǎng)絡攻擊事件、信息破壞事件、安全隱患。專項威脅檢測應對網(wǎng)站仿冒、網(wǎng)絡釣魚、漏洞利用攻擊等網(wǎng)絡攻擊事件，木馬、僵尸網(wǎng)絡等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進行專項監(jiān)測。特定目標或對象監(jiān)測應支持用戶對特定目標、對象深入監(jiān)測，如通過設置監(jiān)測點的監(jiān)測規(guī)則支持對某攻擊組織的攻擊行為、某特定IP攻擊行為進行監(jiān)測。

態(tài)勢分析：應從宏觀方面分析整個互聯(lián)網(wǎng)總體安全狀況，包括各類網(wǎng)絡安全威脅態(tài)勢分析和展示；微觀方面應提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，可包括網(wǎng)站態(tài)勢、重點單位態(tài)勢、專項威脅態(tài)勢和總體態(tài)勢。其中網(wǎng)站態(tài)勢應對所監(jiān)測網(wǎng)站的網(wǎng)絡安全威脅和網(wǎng)絡安全事件進行態(tài)勢分析和展示；重點單位態(tài)勢應支持對重點單位的網(wǎng)絡安全威脅事件態(tài)勢分析和展示；專項威脅態(tài)勢應對網(wǎng)站仿冒、網(wǎng)絡釣魚、漏洞利用攻擊等網(wǎng)絡攻擊事件，木馬、僵尸網(wǎng)絡等有害程序事件，網(wǎng)頁篡改、信息竊取等信息破壞事件進行專項態(tài)勢分析和展示。此外，態(tài)勢分析應提供網(wǎng)絡安全總體態(tài)勢的展示和呈現(xiàn)。

預警通報：應支持針對各種安全數(shù)據(jù)自動生成符合模板的預警通報，包括突發(fā)事件通報、專項通報、綜合通報和特定對象安全評估通報。突發(fā)事件通報應支持對突發(fā)網(wǎng)絡安全事件自動生成預警通報。專項通報應支持對網(wǎng)絡攻擊事件、有害程序事件、信息破壞事件、重大網(wǎng)絡安全隱患等自動生成預警通報。綜合通報應支持定期生成綜合性通報。特定對象安全評估支持對指定的IP或IP段自動生成安全評估報告，包括指定IP或IP段的網(wǎng)絡攻擊事件、有害程序事件、信息破壞事件、重大網(wǎng)絡安全隱患等。

線索挖掘：應通過對城市威脅數(shù)據(jù)的智能聚類和關聯(lián)挖掘，發(fā)掘有價值威脅事件線索，對重點事件、嫌疑對象、跳板主機、攻擊溯源等提供分析支撐。

主要包括三元組分析、異常服務分析、攻擊者分析、其中三元組分析應支持對網(wǎng)絡攻擊事件中的三元組信息，即源IP、目的IP、事件行為進行統(tǒng)計分析。

異常服務分析支持分析提供異常服務和參與對外攻擊的主機，建立疑似傀儡機檔案庫。攻擊者分析支持分析挖掘疑似攻擊人員相關信息，建立疑似攻擊人員檔案庫。

調查處置：在網(wǎng)安業(yè)務流驅動下，通報平臺為網(wǎng)安民警開展監(jiān)測、威脅預警、態(tài)勢預警、威脅情報線索的調查處置提供支撐，可實現(xiàn)調查任務下發(fā)與處置響應的返回。

二、搭建省級公共網(wǎng)絡安全預警防范平臺的系統(tǒng)架構

搭建省級公共網(wǎng)絡安全預警防范平臺的實現(xiàn)系統(tǒng)，主要有數(shù)據(jù)采集層、檢測引擎層、數(shù)據(jù)預處理層、數(shù)據(jù)存儲層、業(yè)務支撐層和業(yè)務處置層等6個功能層。

數(shù)據(jù)采集層是系統(tǒng)的基礎數(shù)據(jù)源，包括兩方面的數(shù)據(jù)。一是運營商的流量數(shù)據(jù)。在系統(tǒng)中，需要將運營商互聯(lián)網(wǎng)出口的流量鏡像到系統(tǒng)，然后根據(jù)系統(tǒng)的業(yè)務處理能力按照會話將流量分配到各檢測引擎。另一方面是互聯(lián)網(wǎng)重要信息系統(tǒng)的數(shù)據(jù)。需要確定重要信息系統(tǒng)的基礎數(shù)據(jù)，實現(xiàn)檢測數(shù)據(jù)與系統(tǒng)信息的一一對應。

檢測引擎層主要實現(xiàn)對基礎數(shù)據(jù)的安全檢測，包括兩方面的檢測。一是對互聯(lián)網(wǎng)流量的檢測，包括flow流量檢測、IP包檢測和面向APT的未知攻擊檢測。另一方面是對重要信息系統(tǒng)的檢測，包括系統(tǒng)脆弱性檢測和系統(tǒng)受攻擊情況檢測。

數(shù)據(jù)預處理層主要實現(xiàn)對攻擊和脆弱性數(shù)據(jù)的預處理。在省平臺，需要預處理的數(shù)據(jù)有四個來源，一是平臺自行檢測到的數(shù)據(jù)，二是各地市上報的數(shù)據(jù)，三是部平臺下發(fā)的數(shù)據(jù)，四是來自可靠第三方的威脅情報數(shù)據(jù)。

這些數(shù)據(jù)來源不同，格式各異，有可能存在重復和無效數(shù)據(jù)，因此在使用之前需要進行清洗、歸并、關聯(lián)、比對、標識等預處理，為下一步數(shù)據(jù)應用打下基礎。

數(shù)據(jù)存儲層主要實現(xiàn)對業(yè)務支撐的數(shù)據(jù)支持。一方面對預處理過的有效數(shù)據(jù)按照業(yè)務需求進行分類存儲，另一方面通過大數(shù)據(jù)引擎為業(yè)務支撐提供數(shù)據(jù)存取和分析服務。

業(yè)務支撐層主要實現(xiàn)對預警監(jiān)控系統(tǒng)中各種安全應用的業(yè)務支撐。其中，安全事件獲取模塊實現(xiàn)從告警數(shù)據(jù)到安全事件的歸并，行為模型匹配模塊實現(xiàn)從安全事件到攻擊行為模型的匹配，態(tài)勢預警分析模塊實現(xiàn)對當前攻擊態(tài)勢的判定和安全預警功能，攻擊取證溯源模塊實現(xiàn)對攻擊過程的還原和數(shù)據(jù)泄露等損失的計算等功能，應用脆弱性分析模塊實現(xiàn)對重要業(yè)務系統(tǒng)漏洞、配置不當?shù)却嗳跣缘姆治?，判斷業(yè)務系統(tǒng)的危險狀態(tài)等功能。

業(yè)務處置層主要實現(xiàn)網(wǎng)安預警監(jiān)測工作中的各種業(yè)務流程。其中，安全監(jiān)測模塊實現(xiàn)對城域網(wǎng)和重要信息系統(tǒng)的攻擊行為、脆弱性的監(jiān)測功能；態(tài)勢分析模塊實現(xiàn)對當前網(wǎng)絡安全態(tài)勢的分析判斷功能；通報預警模塊實現(xiàn)對發(fā)現(xiàn)的攻擊行為及時向第三方通報并根據(jù)安全態(tài)勢及時預警等功能；線索挖掘模塊主要實現(xiàn)對監(jiān)測數(shù)據(jù)的深入分析，及時對攻擊行為進行取證溯源等功能；調查處置模塊主要實現(xiàn)對通過系統(tǒng)確認的網(wǎng)絡犯罪行為的進一步核查以及與相關業(yè)務部門協(xié)同處置等功能。

三、搭建省級公共網(wǎng)絡安全預警防范平臺的應用系統(tǒng)架構

結合系統(tǒng)總體架構，擬建立一個中心平臺、兩個子平臺、七套子系統(tǒng)的應用系統(tǒng)架構。

1）一個中心平臺：預警防范中心平臺：預警防范中心平臺實現(xiàn)對網(wǎng)絡安全事件的綜合分析、預警，對重要安全事件進行取證，對預警信息分發(fā)和通報，依據(jù)省級安防工作機制和應急預案處置和管理網(wǎng)絡安防工作。按照各單位預定職能向其傳遞預警信息，并接收其處置反饋信息。同時由運維管理系統(tǒng)實現(xiàn)對整體設備運作的監(jiān)控。

2）兩個子平臺：城域網(wǎng)安全監(jiān)控子平臺：包括異常流量檢測系統(tǒng)、入侵檢測（含病毒檢測）系統(tǒng)、威脅分析系統(tǒng)。實現(xiàn)對全省城域網(wǎng)網(wǎng)絡流量的監(jiān)控，綜合分析其中存在的黑客攻擊、病毒傳播、拒絕服務攻擊等行為并進行取證。

重要系統(tǒng)檢測子平臺：包括漏洞掃描系統(tǒng)、重點網(wǎng)站監(jiān)測系統(tǒng)。實現(xiàn)對重點單位的網(wǎng)站脆弱性、完整性、可用性三方面的檢測。

3）七套子系統(tǒng)：分為異常流量檢測系統(tǒng)、入侵檢測系統(tǒng)、威脅分析系統(tǒng)、漏洞掃描系統(tǒng)、重點網(wǎng)站檢測系統(tǒng)、網(wǎng)絡溯源追蹤系統(tǒng)、運營管理系統(tǒng)等七個子系統(tǒng)。

異常流量檢測系統(tǒng)：實現(xiàn)對網(wǎng)絡整體流量的宏觀分析、監(jiān)控、預警；入侵檢測（含病毒檢測）系統(tǒng)：實現(xiàn)對網(wǎng)絡流量的細粒度檢測，并實現(xiàn)抓包取證；威脅分析系統(tǒng)：實現(xiàn)對攻擊行為、趨勢、手段的分析和監(jiān)控；漏洞掃描系統(tǒng)：實現(xiàn)對重點單位及城域網(wǎng)整體的網(wǎng)絡脆弱性檢測和預警；重點網(wǎng)站監(jiān)測系統(tǒng)：實現(xiàn)對重點單位的脆弱性、完整性、可用性監(jiān)測和預警；網(wǎng)絡溯源追蹤系統(tǒng)：實現(xiàn)對安全事件的追蹤溯源；運維管理系統(tǒng)：實現(xiàn)對項目范圍內系統(tǒng)運作的持續(xù)性檢測和管理，其主要在預警防范中心平臺實現(xiàn)。

綜上所述，本文通過情報、數(shù)據(jù)收集，大數(shù)據(jù)處理及存儲，基于安全場景模型的大數(shù)據(jù)分析及展示等手段建立和完善安全態(tài)勢全面監(jiān)控、安全威脅實時預警、安全事件及時處置的能力，建設形成的一套支撐網(wǎng)絡與信息安全預警分析中心業(yè)務開展的，具有監(jiān)測、態(tài)勢感知、預警通報、線索分析、事件處置、運維管理功能的支撐平臺。

參考文獻：

[1] 謝振國，凌捷，網(wǎng)絡安全預警系統(tǒng)的研究[J].計算機技術與發(fā)展，2011（11）.

[2] 陳彥德，趙陸文，王瓊，潘志松，周志杰.網(wǎng)絡安全態(tài)勢感知系統(tǒng)結構研究[J].計算機工程與應用，2008（01）.

[3] 梁玉翰，張紅旗.網(wǎng)絡環(huán)境安全預警系統(tǒng)設計與實現(xiàn)[J].網(wǎng)絡安全技術與應用，2008（08）.

[4] 徐遠濤，張劍寒，黃繼剛，王寶軍.網(wǎng)絡安全預警系統(tǒng)初探[J].電腦與電信，2007（04）.

[5] 胡華平，張怡，陳海濤，宣蕾，孫鵬.面向大規(guī)模網(wǎng)絡的入侵檢測與預警系統(tǒng)研究[J].國防科技大學學報，2003（01）.