許可

摘 要：隨著校園信息化和智慧化建設(shè)的推進，校園網(wǎng)絡(luò)及內(nèi)部資產(chǎn)設(shè)備面臨的安全風(fēng)險日益增多。為了完善高校的網(wǎng)絡(luò)安全管理和運營，本文基于WAF防火墻、交換機和服務(wù)器的事件信息，研究建立了統(tǒng)一的可視化網(wǎng)絡(luò)安全態(tài)勢感知平臺，加強了網(wǎng)絡(luò)主動防御機制，為實時分析網(wǎng)絡(luò)攻擊行為和網(wǎng)絡(luò)安全運營的協(xié)同管理和決策提供了可靠的技術(shù)參考。

關(guān)鍵詞：高職院校 安全態(tài)勢感知 安全運營中心 網(wǎng)絡(luò)安全管理

中圖分類號：TP393.08-4 文獻標識碼：A 文章編號：1672-3791（2018）08（c）-0007-02

隨著高等職業(yè)院校校園數(shù)字化建設(shè)的推進，當前校園網(wǎng)絡(luò)的體系更加復(fù)雜，主要表現(xiàn)為網(wǎng)絡(luò)安全威脅多樣化、安全防護范圍的擴大化和安全邊界模糊，使得面臨的網(wǎng)絡(luò)安全風(fēng)險也逐漸增多。根據(jù)《網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全等級保護制度的要求，高校需要加強安全防御的主動性、準確性和網(wǎng)絡(luò)攻擊定位效率，應(yīng)該根據(jù)高校業(yè)務(wù)、應(yīng)用和流程的特點，研究定制主動安全防御體系和感知網(wǎng)絡(luò)安全態(tài)勢[1]，實現(xiàn)網(wǎng)絡(luò)風(fēng)險評估的可視化，幫助高校認清網(wǎng)絡(luò)威脅環(huán)境的變化，掌控網(wǎng)絡(luò)風(fēng)險發(fā)展趨勢，為高校網(wǎng)絡(luò)安全的管理運營提供了決策支持。

1 系統(tǒng)設(shè)計

1.1 功能設(shè)計

網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)通過采集WAF防火墻、交換機等網(wǎng)絡(luò)設(shè)備和安全設(shè)備的事件信息，分析識別關(guān)鍵事件信息，對網(wǎng)絡(luò)安全態(tài)勢進行智能評估和可視化展示。系統(tǒng)主要功能如圖1所示，要求系統(tǒng)支持獨立部署和分布式部署。

1.2 系統(tǒng)架構(gòu)

如圖2所示，該網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)由事件采集代理、事件采集服務(wù)器、事件處理服務(wù)器、安全運營中心服務(wù)器和數(shù)據(jù)庫服務(wù)器組成。

事件采集代理（Event Collection Agent，ECA）是安裝在關(guān)鍵資產(chǎn)服務(wù)器操作系統(tǒng)里的消息事件代理客戶端軟件，負責(zé)采集重要系統(tǒng)的應(yīng)用服務(wù)器關(guān)鍵日志信息或者關(guān)鍵資產(chǎn)服務(wù)器的Windows系統(tǒng)事件信息，并將采集的信息日志發(fā)送給ECS。事件采集服務(wù)器（Event Collection Server，ECS）用于采集網(wǎng)絡(luò)設(shè)備（如交換機）、網(wǎng)絡(luò)安全設(shè)備等硬件資產(chǎn)的日志信息或數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)，并對數(shù)據(jù)進行去重、數(shù)據(jù)歸一化等預(yù)處理，然后將預(yù)處理后的數(shù)據(jù)傳送至EMC。事件處理服務(wù)器（Event Mangement Sever，EMC）是數(shù)據(jù)處理中心，通過聚類分析、關(guān)聯(lián)分析、分類處理等數(shù)據(jù)挖掘技術(shù)，對消息事件進行分析處理，并識別資產(chǎn)的網(wǎng)絡(luò)安全風(fēng)險，完成數(shù)據(jù)入庫并將實時信息發(fā)送至SOC。安全運營中心（Security Operation Center，SOC）是整個安全態(tài)勢感知系統(tǒng)的控制管理模塊，主要包括資產(chǎn)管理、網(wǎng)絡(luò)管理、風(fēng)險管理、風(fēng)險預(yù)警管理、報表管理、報警管理和系統(tǒng)管理等功能，是供網(wǎng)絡(luò)管理人員監(jiān)控校園網(wǎng)絡(luò)安全實時狀況的態(tài)勢感知系統(tǒng)。數(shù)據(jù)庫服務(wù)器（DataBase Server，DBS）存儲預(yù)處理后的原始數(shù)據(jù)、經(jīng)過EMC后的各類數(shù)據(jù)、資產(chǎn)信息、用戶數(shù)據(jù)、事件信息等系統(tǒng)的各類數(shù)據(jù)，并具備關(guān)鍵數(shù)據(jù)的備份功能。

2 系統(tǒng)實現(xiàn)

網(wǎng)絡(luò)安全態(tài)勢感知將網(wǎng)絡(luò)安全設(shè)備、交換機、應(yīng)用系統(tǒng)日志和關(guān)鍵資產(chǎn)服務(wù)器的Windows系統(tǒng)事件信息等數(shù)據(jù)作為數(shù)據(jù)源，主要通過SYSLOG方式、Agent代理采集和數(shù)據(jù)庫管理系統(tǒng)（DBMS）配置等途徑采集數(shù)據(jù)。

（1）SYSLOG方式。SYSLOG可以對防火墻、交換機、路由器和系統(tǒng)服務(wù)器等設(shè)備進行相應(yīng)配置，采用UDP協(xié)議向指定服務(wù)器發(fā)送事件信息。該態(tài)勢感知系統(tǒng)通過對學(xué)校校園網(wǎng)絡(luò)已經(jīng)配置的深信服的WAF防火墻和華三交換機進行配置，向ECS傳輸事件信息，為態(tài)勢感知系統(tǒng)提供數(shù)據(jù)源。

（2）Agent代理采集。該方式通過在操作系統(tǒng)部署Agent代理掃描采集操作系統(tǒng)日志文件和IIS服務(wù)器日志文件，并將相關(guān)事件信息數(shù)據(jù)發(fā)送至指定服務(wù)器。該系統(tǒng)通過Agent代理提取包括log、txt、html等文件格式的日志信息，并發(fā)送至ECS，為態(tài)勢感知系統(tǒng)分析關(guān)鍵資產(chǎn)設(shè)備和應(yīng)用系統(tǒng)的運行情況提供日志數(shù)據(jù)。

（3）DBMS配置方式的采集。該方法通過數(shù)據(jù)庫管理員對DBMS的事件信息和日志進行配置，實現(xiàn)對重要應(yīng)用系統(tǒng)的數(shù)據(jù)庫的關(guān)鍵事件信息的獲取。本文通過ECS采用輪詢的方式進行數(shù)據(jù)提取，為態(tài)勢感知系統(tǒng)、了解應(yīng)用系統(tǒng)訪問和操作情況提供了數(shù)據(jù)基礎(chǔ)。

3 態(tài)勢感知關(guān)鍵技術(shù)分析

該系統(tǒng)安全態(tài)勢分析的關(guān)鍵技術(shù)主要包括安全評估、態(tài)勢評估、預(yù)警與響應(yīng)和態(tài)勢可視化等內(nèi)容。

（1）安全評估。安全評估主要是通過EMS基于ECS預(yù)處理后的事件信息識別事件類型、并采用聚類分析、分類處理等數(shù)據(jù)處理方法，對消息事件進行分析處理，并識別資產(chǎn)的網(wǎng)絡(luò)安全風(fēng)險。同時，通過將Agent代理采集的服務(wù)器漏洞信息與已知的安全漏洞進行對比，識別其中存在安全隱患的服務(wù)器和漏洞信息，實現(xiàn)識別有安全風(fēng)險的服務(wù)器，生成修復(fù)報告和處理意見，并通過可視化技術(shù)將攻擊源的物理位置標注出來。

（2）態(tài)勢評估。態(tài)勢評估主要是通過數(shù)據(jù)挖掘和數(shù)據(jù)融合技術(shù)分析識別事件信息的時序特征、因果關(guān)系和不確定性，形成網(wǎng)絡(luò)協(xié)同布防報告，為網(wǎng)絡(luò)安全管理人員識別網(wǎng)絡(luò)態(tài)勢和網(wǎng)絡(luò)安全處理措施的決策提供技術(shù)參考。本文主要采用包括關(guān)聯(lián)分析、聚類分析、序列模式分析和安全閾值特征值設(shè)置[2]等數(shù)據(jù)挖掘技術(shù)對網(wǎng)絡(luò)態(tài)勢的時序性和因果性進行評估，并采用貝葉斯網(wǎng)絡(luò)和D-S證據(jù)推理技術(shù)對具有相似性或不同特征的攻擊行為數(shù)據(jù)進行融合集成[3]，然后建模分析，為識別具有不確定信息的攻擊行為提供技術(shù)參考。

（3）預(yù)警與響應(yīng)。預(yù)警主要是系統(tǒng)基于安全評估和態(tài)勢評估的結(jié)果對確定的實時攻擊行為，將預(yù)警結(jié)果顯示在網(wǎng)絡(luò)安全態(tài)勢監(jiān)控圖中，并通過實時消息和語音報警的技術(shù)在態(tài)勢感知系統(tǒng)進行實時反饋或提示，同時，提供響應(yīng)處理的建議，便于安全運營管理員快速及時地處理漏洞和安全風(fēng)險，或采取具有針對性的處理措施。

（4）態(tài)勢可視化。態(tài)勢可視化是指態(tài)勢感知系統(tǒng)能夠存儲安全評估和態(tài)勢評估的數(shù)據(jù)結(jié)果，并通過信息技術(shù)將網(wǎng)絡(luò)態(tài)勢實時監(jiān)控、攻擊路徑分析、資產(chǎn)管理、網(wǎng)絡(luò)管理、風(fēng)險管理、風(fēng)險預(yù)警管理、報表管理、報警管理和系統(tǒng)管理等功能可視化。

4 開發(fā)工具

該系統(tǒng)的采用C/S和B/S兩種開發(fā)模式，其中事件采集代理Agent是Windows服務(wù)、事件采集服務(wù)器和事件處理服務(wù)器是C/S模式的客戶端，安全運營中心服務(wù)器是B/S模式的WEB網(wǎng)站，并采用Visual Studio 2013集成開發(fā)環(huán)境使用.NET開發(fā)實現(xiàn)，數(shù)據(jù)庫采用SQL Server 2012，圖標插件采用Echarts 4.2。其中，C/S采用WPF的設(shè)計模式，B/S采用MVC的設(shè)計模式實現(xiàn)。

5 結(jié)語

本文通過融合防火墻、交換機、服務(wù)器和應(yīng)用系統(tǒng)等資產(chǎn)的關(guān)鍵事件信息，研究建立了統(tǒng)一的面向高等職業(yè)院校的可視化網(wǎng)絡(luò)安全態(tài)勢感知平臺，為學(xué)校的網(wǎng)絡(luò)安全管理員實時分析網(wǎng)絡(luò)攻擊行為和網(wǎng)絡(luò)安全運營決策提供了技術(shù)參考，也為高等職業(yè)院校的網(wǎng)絡(luò)安全運營的協(xié)同管理和網(wǎng)絡(luò)主動防御提供了一種新思路。網(wǎng)絡(luò)安全態(tài)勢感知分析技術(shù)是基于關(guān)鍵事件信息對網(wǎng)絡(luò)安全主動防御的先進技術(shù)，如何對多源數(shù)據(jù)進行融合，并更快、更精確地進行數(shù)據(jù)分析是未來的重點研究內(nèi)容。

參考文獻

[1] 高薇，許浩，寧玉文，等.基于安全態(tài)勢感知平臺的高校網(wǎng)絡(luò)SOC研究——以第四軍醫(yī)大學(xué)為例[J].計算機技術(shù)與發(fā)展，2018（1）：150-154.

[2] Zhao D， Liu J. Study on Network Security Situation Awareness based on Particle Swarm Optimization Algorithm[J].Computers & Industrial Engineeri-ng，2018，125（11）：764-775.

[3] 劉效武，王慧強，禹繼國，等.基于多源融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J].解放軍理工大學(xué)學(xué)報：自然科學(xué)版， 2012，13（4）：403-407.