劉丹，魏宏安

（福州大學(xué)物理與信息工程學(xué)院，福州350108）

0 引言

近年來(lái)信息化技術(shù)高速發(fā)展，為達(dá)到各地區(qū)各級(jí)各類政務(wù)信息的數(shù)據(jù)融合共享、規(guī)范化管理、便捷化服務(wù)的工作目標(biāo)，電子政務(wù)的應(yīng)用越加廣泛。然而，與之伴隨的是各種網(wǎng)絡(luò)安全事件，黑客們利用網(wǎng)站/系統(tǒng)漏洞或各種網(wǎng)絡(luò)機(jī)制的弱點(diǎn)等，發(fā)動(dòng)數(shù)據(jù)信息惡意篡改、網(wǎng)絡(luò)仿冒、拒絕服務(wù)等網(wǎng)絡(luò)攻擊事件，從而造成數(shù)據(jù)信息泄露、操作系統(tǒng)無(wú)法正常運(yùn)行、網(wǎng)絡(luò)故障等危害，對(duì)國(guó)家經(jīng)濟(jì)造成重大損失。

為防御各種安全威脅，必須采取有效的安全保障方法來(lái)保證電子政務(wù)網(wǎng)絡(luò)的安全運(yùn)行。通過(guò)分析，現(xiàn)階段主要包括以下2 種安全保障方法：

（1）使用單一安全產(chǎn)品或設(shè)備。重點(diǎn)對(duì)一個(gè)或幾個(gè)方面進(jìn)行檢測(cè)與防御，例如使用數(shù)據(jù)庫(kù)審計(jì)[1]、防毒墻[2]、入侵檢測(cè)[3]等網(wǎng)絡(luò)安全防御技術(shù)，固然在某些方面上加強(qiáng)了政務(wù)網(wǎng)絡(luò)的安全性，但是獨(dú)立的產(chǎn)品或設(shè)備也意味著功能分散、各自為戰(zhàn)，相互之間沒(méi)有關(guān)聯(lián)，不能全面的監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)的安全狀況，且需要熟悉多種安全產(chǎn)品系統(tǒng)。

（2）使用統(tǒng)一網(wǎng)絡(luò)安全管理系統(tǒng)。系統(tǒng)針對(duì)多種網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行簡(jiǎn)單集成，雖然在一定程度上提升了網(wǎng)絡(luò)安全監(jiān)測(cè)的全面性，但是集成的多種安全產(chǎn)品來(lái)自多個(gè)安全廠家，沒(méi)有自主研發(fā)產(chǎn)品，從知識(shí)產(chǎn)權(quán)角度出發(fā)，容易受各種產(chǎn)品的限制，且經(jīng)濟(jì)成本高，不適用于中小型網(wǎng)絡(luò)安全監(jiān)測(cè)與防御。

因此，以上2 種安全保障方法無(wú)法滿足中小型電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的需求，本文基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，研究了網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)（Network Security Situation Awareness System，NSSAS），系統(tǒng)集成多種網(wǎng)絡(luò)安全產(chǎn)品，使用統(tǒng)一管理調(diào)度機(jī)制，使各安全產(chǎn)品之間相互支撐、協(xié)同工作，能較為全面的對(duì)網(wǎng)絡(luò)安全進(jìn)行監(jiān)測(cè)與防御；且該系統(tǒng)是自主研發(fā)，集成的安全產(chǎn)品多為開(kāi)源、自主研發(fā)和政府支持的國(guó)內(nèi)安全產(chǎn)品或設(shè)備，生產(chǎn)成本降低，適用于中小型電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全監(jiān)測(cè)。系統(tǒng)不僅彌補(bǔ)了上述2 種安全保障方法的不足，而且實(shí)現(xiàn)了網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)，能以多角度、多尺度的可視化方式提供準(zhǔn)確直觀的網(wǎng)絡(luò)安全態(tài)勢(shì)趨向圖，對(duì)突發(fā)性威脅事件應(yīng)急處理及預(yù)警等網(wǎng)絡(luò)安全的需求。

1 關(guān)鍵技術(shù)

關(guān)于“網(wǎng)絡(luò)態(tài)勢(shì)感知”的定義，目前沒(méi)有唯一確定的定義。在文獻(xiàn)[5]中作者認(rèn)為，“網(wǎng)絡(luò)態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)變化的安全要素進(jìn)行獲取、理解、顯示以及未來(lái)趨勢(shì)預(yù)測(cè)”。在整個(gè)系統(tǒng)中，安全要素提取、安全要素分析、安全要素可視化展示、安全預(yù)警是四個(gè)至關(guān)重要的組成要素，提取、分析代表網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的前提，安全要素可視化展示是最后的目的。所以，網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)主要包括數(shù)據(jù)預(yù)處理與安全要素特征提取、安全要素分析與評(píng)估、網(wǎng)絡(luò)安全預(yù)測(cè)等。

（1）數(shù)據(jù)預(yù)處理與安全要素特征提取

防火墻[4]、防毒墻、WAF、NIDS 等安全設(shè)備產(chǎn)生數(shù)量較多的各種數(shù)據(jù)，包括運(yùn)行數(shù)據(jù)、日志數(shù)據(jù)、噪聲數(shù)據(jù)等。因?yàn)楦髟O(shè)備的不同廠商對(duì)數(shù)據(jù)的不同定義導(dǎo)致原始數(shù)據(jù)的格式不盡相同、因?yàn)樵O(shè)備性能的問(wèn)題使得會(huì)采集到噪聲數(shù)據(jù)、因?yàn)椴杉l率過(guò)高使得短時(shí)間內(nèi)采集到相同數(shù)據(jù)等，這些多種因素都會(huì)導(dǎo)致采集的數(shù)據(jù)無(wú)法直接使用。數(shù)據(jù)預(yù)處理技術(shù)的作用就是將這些大量冗雜的數(shù)據(jù)進(jìn)行格式統(tǒng)一、冗余去除、過(guò)濾、合并重復(fù)記錄，為后續(xù)的分析、預(yù)測(cè)等做準(zhǔn)備。

安全要素特征提取是指利用PCA 主成分分析方法等特征提取算法將特征從海量數(shù)據(jù)中提取出來(lái)，最后與特征庫(kù)進(jìn)行對(duì)比。根據(jù)特征提取函數(shù)與學(xué)習(xí)算法是否有關(guān)，特征提取算法可以分為兩類：Filter 和Wrapper 模式。前者是根據(jù)已知經(jīng)驗(yàn)，人為進(jìn)行關(guān)鍵字特征提取設(shè)置，并且人為定義準(zhǔn)確度、安全等級(jí)等度量標(biāo)準(zhǔn)因素來(lái)判斷各特征子集的使用順序、優(yōu)劣等；后者則利用神經(jīng)網(wǎng)絡(luò)等學(xué)習(xí)算法進(jìn)行訓(xùn)練自主產(chǎn)生特征子集，將學(xué)習(xí)算法的效率、準(zhǔn)確率等作為判斷子集優(yōu)劣的度量標(biāo)準(zhǔn)因素。

（2）安全要素分析與評(píng)估

在數(shù)據(jù)預(yù)處理與安全要素特征提取后，需要進(jìn)行安全要素分析與評(píng)估。安全要素分析重點(diǎn)是對(duì)安全事件要素進(jìn)行分析，包括數(shù)據(jù)、業(yè)務(wù)、內(nèi)容、異常網(wǎng)絡(luò)訪問(wèn)、系統(tǒng)運(yùn)行等安全事件，將提取的繁雜的關(guān)鍵特征利用決策樹(shù)、貝葉斯等方法進(jìn)行事件關(guān)聯(lián)分析。評(píng)估主要是從系統(tǒng)漏洞、威脅告警、攻擊事件等多方面要素利用神經(jīng)網(wǎng)絡(luò)、模糊推理等方法來(lái)綜合評(píng)估網(wǎng)絡(luò)安全狀態(tài)，為網(wǎng)絡(luò)安全決策提供依據(jù)。

（3）網(wǎng)絡(luò)安全預(yù)測(cè)

網(wǎng)絡(luò)安全預(yù)測(cè)是達(dá)到網(wǎng)絡(luò)安全主動(dòng)防御的目標(biāo)的重要手段，本質(zhì)是利用大量已發(fā)生的的告警數(shù)據(jù)進(jìn)行深度學(xué)習(xí)行為，從中發(fā)現(xiàn)入侵者入侵規(guī)律，從而研究出預(yù)測(cè)模型，使得安全態(tài)勢(shì)系統(tǒng)能根據(jù)入侵前期的入侵特征對(duì)入侵行為進(jìn)行早期預(yù)測(cè)，及時(shí)采用有效措施加以阻止。

2 系統(tǒng)的設(shè)計(jì)

2.1 系統(tǒng)結(jié)構(gòu)

構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，一是數(shù)據(jù)采集，采集整個(gè)網(wǎng)絡(luò)環(huán)境中的終端、邊界和網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)中的各類安全數(shù)據(jù)，對(duì)其進(jìn)行預(yù)處理，形成原始安全數(shù)據(jù)庫(kù)，數(shù)據(jù)的采集對(duì)整個(gè)態(tài)勢(shì)提取、分析和呈現(xiàn)有著重要的影響，如果數(shù)據(jù)不清、數(shù)據(jù)采集混亂，態(tài)勢(shì)感知因素提取將無(wú)法實(shí)現(xiàn)，因而數(shù)據(jù)采集尤為重要；二是數(shù)據(jù)分析，采用相關(guān)算法，對(duì)大量預(yù)處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)、統(tǒng)計(jì)分析，通過(guò)數(shù)據(jù)分析從中發(fā)現(xiàn)爬蟲(chóng)攻擊、溢出攻擊、永恒之藍(lán)等各類與網(wǎng)絡(luò)安全有關(guān)的威脅告警信息；三是態(tài)勢(shì)展示，即對(duì)資產(chǎn)、漏洞、安全事件等各要素的可視化呈現(xiàn)。本文設(shè)計(jì)系統(tǒng)結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)架構(gòu)

NSSAS 的結(jié)構(gòu)分為：數(shù)據(jù)采集、數(shù)據(jù)分析、態(tài)勢(shì)展示。NSSAS 采用從下到上的設(shè)計(jì)理念，上層依賴下層，負(fù)責(zé)輸出服務(wù)。A 代表的是資產(chǎn)中心，包括防火墻、入侵檢測(cè)、防毒墻等安全設(shè)備和路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備等。B 是的數(shù)據(jù)采集層，是整個(gè)NSSAS 的基礎(chǔ)，為數(shù)據(jù)分析層提供數(shù)據(jù)源，本文采集數(shù)據(jù)分為資產(chǎn)信息數(shù)據(jù)、漏洞數(shù)據(jù)和安全事件數(shù)據(jù)三種，資產(chǎn)信息數(shù)據(jù)是關(guān)于資產(chǎn)信息的數(shù)據(jù)，包括端口、服務(wù)、協(xié)議、根域名ICP備案號(hào)、操作系統(tǒng)等；漏洞數(shù)據(jù)是關(guān)于資產(chǎn)的漏洞數(shù)據(jù)，包括系統(tǒng)漏洞、Web 漏洞[7]、弱口令漏洞、apt 漏洞[10]等；安全事件數(shù)據(jù)是關(guān)于資產(chǎn)的安全事件數(shù)據(jù)，包括網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件、業(yè)務(wù)安全事件、內(nèi)容安全事件、可用性安全事件等；C 是NSSAS 的數(shù)據(jù)分析層，利用關(guān)聯(lián)分析規(guī)則、統(tǒng)計(jì)分析規(guī)則，將采集到的數(shù)據(jù)進(jìn)行分析；D 是態(tài)勢(shì)展示層，屏蔽內(nèi)部數(shù)據(jù)處理，直觀的為網(wǎng)絡(luò)管理員呈現(xiàn)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)，這是最終目標(biāo)，也是為網(wǎng)絡(luò)安全管理員的判斷提供依據(jù)。下面從資產(chǎn)感知、事件感知、脆弱性感知三個(gè)模塊進(jìn)行設(shè)計(jì)。

2.2 主要功能模塊的設(shè)計(jì)

（1）資產(chǎn)感知模塊

基于三個(gè)需求（a）網(wǎng)絡(luò)規(guī)模較大，主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)數(shù)量較多無(wú)法一一添加資產(chǎn)；（b）對(duì)已知資產(chǎn)新增管理時(shí)，資產(chǎn)信息所知不全；（c）長(zhǎng)期的網(wǎng)絡(luò)建設(shè)以及相關(guān)業(yè)務(wù)的變更使資產(chǎn)存活情況和資產(chǎn)屬性信息不清。為此提出了資產(chǎn)感知模塊，該模塊提供資產(chǎn)管理、資產(chǎn)發(fā)現(xiàn)、資產(chǎn)探測(cè)、資產(chǎn)審核、資產(chǎn)風(fēng)險(xiǎn)視圖等功能，功能流程圖如圖2 所示。

圖2 資產(chǎn)感知模塊功能流程圖

本系統(tǒng)采用masscan、nmap[6]以及兩種結(jié)合的掃描方式進(jìn)行，分別對(duì)應(yīng)快速模式、標(biāo)準(zhǔn)模式、深度模式三種采集策略，可根據(jù)需要自主選擇采集策略。系統(tǒng)通過(guò)任務(wù)掃描可以發(fā)現(xiàn)存活主機(jī)、開(kāi)放端口，進(jìn)而發(fā)現(xiàn)其運(yùn)行的服務(wù)、操作系統(tǒng)等信息，為下一步的工作奠定基礎(chǔ)。從經(jīng)濟(jì)角度出發(fā)，為節(jié)省成本，采用開(kāi)源的采集工具，而在所有同類型的開(kāi)源采集工具中，使用最為廣泛的是mascan 和nmap，其中mascan 采用了無(wú)狀態(tài)的掃描技術(shù)，沒(méi)有進(jìn)行完整的TCP 三次握手，與zmap 多端口掃描相比較，速度快；設(shè)置靈活，允許自定義任意的地址范圍和端口范圍，可以設(shè)置黑白名單，重試次數(shù)、UA 字段值、發(fā)出數(shù)據(jù)包的TTL 值，發(fā)包后的等待時(shí)間等掃描設(shè)置。而nmap，也稱為網(wǎng)絡(luò)映射器，它是一個(gè)廣泛使用的開(kāi)源工具，功能非常強(qiáng)大，可以實(shí)現(xiàn)高效的網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計(jì)，全球的開(kāi)發(fā)者都對(duì)為其功能的豐富貢獻(xiàn)了力量，它除了擁有主機(jī)發(fā)現(xiàn)，開(kāi)放端口掃描，支持多端口、多網(wǎng)段，可對(duì)目標(biāo)域名進(jìn)行掃描等基本功能，還具有識(shí)別功能，能識(shí)別端口服務(wù)類型及版本、操作系統(tǒng)、設(shè)備類型等。

（2）事件感知模塊

基于需求“需要從安全事件分析網(wǎng)絡(luò)安全”，為此提出事件感知模塊，該模塊提供分類規(guī)則和關(guān)聯(lián)分析規(guī)則等規(guī)則的維護(hù)、事件檢索以及告警監(jiān)控等功能，功能流程圖如圖3 所示。

圖3 事件感知模塊功能流程圖

本系統(tǒng)對(duì)安全事件數(shù)據(jù)的采集采用了netflow[7]、syslog、入侵檢測(cè)等多種采集工具。采用多種采集工具的原因有多點(diǎn)：①首先，每種采集工具的特征庫(kù)都不盡相同，采用較多的采集工具，能夠采集較為完善的數(shù)據(jù)，且對(duì)于安全事件的誤報(bào)率能有所減少，提高數(shù)據(jù)的準(zhǔn)確性，但并不是越多越好，還要考慮數(shù)據(jù)的融合；②其次是歷史原因，網(wǎng)絡(luò)建設(shè)不是一蹴而就，是逐步擴(kuò)展，不同建設(shè)時(shí)期所選的網(wǎng)絡(luò)設(shè)備、安全設(shè)備廠家有所不同，而不同廠家生產(chǎn)設(shè)備所支持的采集工具不同。采集器將采集到的原始數(shù)據(jù)利用過(guò)濾規(guī)則、分類規(guī)則等規(guī)則進(jìn)行預(yù)處理，其中這些規(guī)則是通過(guò)經(jīng)驗(yàn)設(shè)置表達(dá)式如嘗試[sql 注入-“{-N：28,-SC：((blind injection))}”]、[蠕蟲(chóng)傳播-“-SE：((NR-50001/0))”]、[UDP flood 攻擊-“-SC：((attackevent=UDP FLOOD))”]的方式形成預(yù)處理規(guī)則庫(kù)，原始安全事件數(shù)據(jù)預(yù)處理后形成可用的安全事件數(shù)據(jù)源，再將其通過(guò)關(guān)聯(lián)分析規(guī)則、統(tǒng)計(jì)分析規(guī)則等進(jìn)行分析，從而產(chǎn)生威脅告警信息。

（3）脆弱性感知模塊

基于需求“需要從漏洞方面分析網(wǎng)絡(luò)安全”，為此提出脆弱性感知模塊，該模塊提供系統(tǒng)漏洞掃描、Web漏洞掃描[8]、弱口令漏洞掃描、漏洞視圖等功能，功能流程圖如圖4 所示。

圖4 脆弱性感知模塊功能流程圖

本系統(tǒng)支持采用awvs[9]、綠盟極光、nessus[10]、安恒MatriXay Webscan 漏洞掃描工具對(duì)漏洞數(shù)據(jù)進(jìn)行采集。采用這四種漏洞掃描工具的原因如下：①采用的幾種漏掃工具包含開(kāi)源工具，從經(jīng)濟(jì)角度出發(fā)，可以節(jié)省成本，且每種漏洞掃描工具的漏洞庫(kù)都不盡相同，采用較多的漏掃工具，能夠得到較為完善的漏洞數(shù)據(jù)，防止漏掃；②開(kāi)源的漏掃工具的漏洞庫(kù)，不能更新漏洞庫(kù)，但由于技術(shù)在發(fā)展，新的漏洞也會(huì)實(shí)時(shí)出現(xiàn)，重大漏洞的產(chǎn)生若沒(méi)能及時(shí)跟蹤修補(bǔ)將會(huì)造成不可挽回的損失，故需要掃描器廠商實(shí)時(shí)跟蹤各機(jī)構(gòu)發(fā)現(xiàn)的漏洞情況、研究其原理、快速給出解決方法，因而購(gòu)買會(huì)及時(shí)更新漏洞庫(kù)的商用漏掃商品；③國(guó)內(nèi)政策推進(jìn)國(guó)內(nèi)產(chǎn)品。支持多種漏洞掃描器，這么做優(yōu)勢(shì)在于可自主選擇掃描器，更加靈活，且多種漏洞庫(kù)的疊加，使得數(shù)據(jù)更加完善，減少漏掃的可能性；劣勢(shì)在于，每種漏掃工具對(duì)漏洞的定義不同，就可能產(chǎn)生一個(gè)漏洞出現(xiàn)兩個(gè)記錄，這樣會(huì)使得安全服務(wù)方重復(fù)校驗(yàn)相同漏洞。所以目前需要解決的是如何歸并漏洞，針對(duì)這個(gè)問(wèn)題，后續(xù)提出一種解決方式，基于CVE 編號(hào)，將相同CVE編號(hào)的漏洞歸并，但是這個(gè)需要各種掃描器能支持獲取CVE 標(biāo)號(hào)，且對(duì)于不在國(guó)際漏洞庫(kù)中的漏洞，無(wú)法進(jìn)行歸并。

3 系統(tǒng)測(cè)試

基于電子政務(wù)網(wǎng)絡(luò)的態(tài)勢(shì)感知系統(tǒng)已在某地區(qū)電子政務(wù)網(wǎng)絡(luò)成功部署并上線試運(yùn)行。系統(tǒng)平臺(tái)實(shí)現(xiàn)了

（1）資產(chǎn)感知功能：對(duì)10.9.1.104 進(jìn)行探測(cè)，探測(cè)到網(wǎng)絡(luò)資產(chǎn)10.9.1.104（linux）有三個(gè)端口，端口/服務(wù)/協(xié)議分別是22/ssh/tcp、80/HTTP/tcp、3306/MySQL/tcp。

（2）事件感知功能：按照實(shí)際發(fā)生時(shí)間近15 分鐘的條件搜索，監(jiān)測(cè)到發(fā)生117 條安全事件。

圖5 資產(chǎn)10.9.14.104的探測(cè)結(jié)果

圖6 近15分鐘的安全事件

（3）脆弱性感知功能：對(duì)資產(chǎn)10.9.1.202 進(jìn)行系統(tǒng)漏洞掃描，共掃描到21 個(gè)漏洞，其中高危漏洞3 個(gè)，中危漏洞5 個(gè)，信息漏洞13 個(gè)。

圖7 資產(chǎn)10.9.1.202的系統(tǒng)漏洞掃描結(jié)果

（4）態(tài)勢(shì)展示：針對(duì)安全威脅、風(fēng)險(xiǎn)、漏洞、攻擊等不同要素展示趨勢(shì)走向，為安全策略提供直觀依據(jù)。

圖8 系統(tǒng)的綜合態(tài)勢(shì)

4 結(jié)語(yǔ)

本文從當(dāng)前中小型電子政務(wù)網(wǎng)絡(luò)的安全防御需求出發(fā)，分析了傳統(tǒng)安全保障方法的不足及應(yīng)用本系統(tǒng)的優(yōu)勢(shì)，達(dá)到對(duì)電子政務(wù)網(wǎng)絡(luò)的外部攻擊和內(nèi)部潛在風(fēng)險(xiǎn)的監(jiān)測(cè)、提供及時(shí)安全告警、對(duì)威脅進(jìn)行處置等功能。本文的設(shè)計(jì)思路對(duì)醫(yī)療、教育、電力等領(lǐng)域的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)也有參考和借鑒意義。