謝黎明

摘要：隨著科技的進步，以及計算機網(wǎng)絡的普及快速發(fā)展，網(wǎng)絡安全問題也呈現(xiàn)出復雜化趨勢，網(wǎng)絡安全的威脅來源不斷增多，攻擊手段也再不斷變化。僅僅通過安裝一些安全設備和安全軟件來進行安全防護已不能滿足需求，建立一個完善的網(wǎng)絡安全監(jiān)控平臺進行動態(tài)、綜合的防護管理非常有必要。本文提出一種網(wǎng)絡安全監(jiān)控平臺的功能設計，通過這些功能可以有效地發(fā)現(xiàn)風險、分析風險、預測風險，極大地提高網(wǎng)絡安全管理的有效性。

關鍵詞：安全監(jiān)控;威脅情報;關聯(lián)分析

1背景

隨著計算機網(wǎng)絡的普及快速發(fā)展，網(wǎng)絡安全問題都受到越來越多的關注。網(wǎng)絡安全威脅來源的不斷增多，攻擊手段的不斷變化，使網(wǎng)絡安全防護工作的難度持續(xù)加大。目前，通過安全設備以及安全軟件等常規(guī)手段可做到基本防御，包括能識別和防御一些常見的網(wǎng)絡攻擊，能初步地管控外包人員的權限、記錄外包人員的操作。但這些手段很難有效防御新型、復雜的網(wǎng)絡攻擊，而且無法進行威脅分析或者威脅分析的準確性和及時性不高。另外，這些手段對外包人員行為的事中、事后管控不足。為解決這個問題，需建設一個網(wǎng)絡安全監(jiān)控平臺，通過統(tǒng)一監(jiān)控、展示、分析和決策來實現(xiàn)對網(wǎng)絡安全威脅的可知、可管以及可控。

2監(jiān)控平臺的需求分析及總體設計思路

一個好的監(jiān)控平臺應該具備以下能力。首先，該平臺應該能監(jiān)控所有主機、網(wǎng)絡設備、安全設備以及數(shù)據(jù)庫日志等數(shù)據(jù)，能監(jiān)控外網(wǎng)邊界以及內(nèi)網(wǎng)核心結(jié)點的網(wǎng)絡流量，具有外部專業(yè)機構提供的海量情報數(shù)據(jù)。其次，該平臺應該具備較高地行為分析能力，能對于特征明顯的威脅進行規(guī)則配置并準確分析，能對于特征復雜的威脅建立模型并分析。最后，平臺還應該具備及時準確的威脅告警能力，并能通過豐富的圖形圖表對安全態(tài)勢進行直觀展示。

基于這些需求，本文提出一個完整的監(jiān)控平臺功能設計，具體分為三個模塊，一是核心監(jiān)控模塊，主要負責對安全的監(jiān)控、分析及展示;二是事件及數(shù)據(jù)管理模塊，主要負責對已確認報警事件進行處置管理，對資產(chǎn)日志及網(wǎng)絡流量數(shù)據(jù)進行采集、處理及存儲;三是后臺管理模塊，主要負責系統(tǒng)管理、資產(chǎn)管理以及報表統(tǒng)計等功能。三個模塊互相配合，共同完成整體網(wǎng)絡安全監(jiān)控的功能，同時三者又相對獨立，使得系統(tǒng)具有較好的開放性及擴展性。

3核心監(jiān)控設計

核心監(jiān)控模塊包括威脅監(jiān)控、異常行為分析以及態(tài)勢感知三方面內(nèi)容。

威脅監(jiān)控是整個監(jiān)控平臺最為核心的模塊，負責建立并維護關聯(lián)分析規(guī)則，并基于分析規(guī)則發(fā)現(xiàn)威脅并告警，具體包括規(guī)則管理、關聯(lián)分析[1]、威脅告警、威脅情報管理等內(nèi)容。其中規(guī)則管理功能主要負責對關聯(lián)規(guī)則的創(chuàng)建及維護、測試、啟用及停用等管理，是平臺進行威脅分析及預警的基礎。而關聯(lián)分析則負責按平臺定義的管理分析規(guī)則，對實時數(shù)據(jù)及歷史數(shù)據(jù)進行多維度的分析，以發(fā)現(xiàn)潛在威脅。威脅告警主要負責展示威脅及異常行為產(chǎn)生的各類告警，可通過平臺、短信、郵件、聲音等多種渠道向管理員進行告警。威脅情報管理主要負責收集威脅情報，并提供威脅情報的導入、查詢、關聯(lián)分析以及導出等功能。

異常行為分析模塊主要是利用數(shù)據(jù)建模及機器學習等手段，對不能通過規(guī)則直觀分析的用戶行為異常進行分析，并對發(fā)現(xiàn)的高風險異常行為進行提示告警。首先，通過業(yè)務分析，建立邏輯數(shù)據(jù)模型，并選取恰當?shù)乃惴ㄔ诖髷?shù)據(jù)環(huán)境下對異常行為建立數(shù)據(jù)分析模型。然后，通過對實時活動與行為基線的對比，不斷對模型進行訓練調(diào)優(yōu)，使行為基線準確描述實際活動。最后根據(jù)優(yōu)化后的機器學習模型，進行異常行為的監(jiān)控并對異常行為發(fā)出告警。

態(tài)勢感知負責對平臺監(jiān)控的全貌進行展現(xiàn)[2]，從多個緯度了解威脅防御現(xiàn)狀，了解當前什么資產(chǎn)受到威脅，什么時間受到威脅，以及威脅的類型及嚴重程度等，幫助用戶全面掌握當前威脅防御能力及發(fā)展趨勢，為威脅防御工作部署及決策提供依據(jù)。具體應包括綜合態(tài)勢展示、威脅警告態(tài)勢展示、威脅分類展示、系統(tǒng)受攻擊展示以及地域受攻擊展示等。

4事件及數(shù)據(jù)管理設計

事件及數(shù)據(jù)管理模塊包括事件管理和數(shù)據(jù)管理，具體功能有事件處置、攻擊溯源[3]、數(shù)據(jù)采集、數(shù)據(jù)處理及數(shù)據(jù)存儲。事件處置負責對確認為安全事件的威脅告警進行管理，并記錄事件處置過程及相關信息。攻擊溯源負責利用平臺采集的安全數(shù)據(jù)，對安全事件進行溯源分析，幫助事件重現(xiàn)和取證。數(shù)據(jù)采集負責采集IT資源中各種設備和系統(tǒng)的日志及網(wǎng)絡流量，應具備新建、查詢、刪除采集對象和采集器、進行采集監(jiān)控等功能。數(shù)據(jù)處理負責對原始日志數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)的處理，包括數(shù)據(jù)清洗、數(shù)據(jù)解析以及數(shù)據(jù)格式化等。數(shù)據(jù)存儲則應需滿足對結(jié)構化數(shù)據(jù)和非結(jié)構化數(shù)據(jù)的存儲。

5后臺管理設計

后臺管理模塊包括系統(tǒng)管理和輔助功能管理。系統(tǒng)管理負責監(jiān)控平臺自身運行維護所需要的管理功能，具體包括對平臺中所有的管理員進行權限管理，對平臺的用戶日志和系統(tǒng)日志等進行管理，對平臺的組建、系統(tǒng)參數(shù)、認證策略、系統(tǒng)字典等進行參數(shù)配置。輔助功能負責對平臺核心應用提供一些支撐性功能，具體包括實現(xiàn)對資產(chǎn)的創(chuàng)建、查詢、維護、授權及導出;對和安全相關系統(tǒng)運行和維護知識、事件處置知識以及規(guī)章制度等內(nèi)容形成知識庫進行集中管理;對報表的定制、分類、查詢、導出及展示等管理，以更好的分析展示安全工作的結(jié)果。

6結(jié)束語

網(wǎng)絡安全形勢日益復雜，然而目前通過安全設備以及安全軟件等手段開展的防護措施難以有效防御新型復雜的網(wǎng)絡攻擊，且無法進行關聯(lián)分析和深度分析。另外，傳統(tǒng)防御措施告警數(shù)量過多，誤報率較高。本文提出一個網(wǎng)絡安全監(jiān)控平臺的設計，通過這些功能，可實現(xiàn)對各類安全設施的威脅防御能力的整合，對各類安全威脅進行關聯(lián)分析和識別，提供有價值的威脅告警信息，減少誤報的概率，并對威脅識別、告警、確認和處置進行全過程管理，對各類安全威脅進行集中展示，提高了網(wǎng)絡安全管理的便捷性及有效性。

參考文獻：

[1]李建華.網(wǎng)絡空間威脅情報感知、共享與分析技術綜述. 網(wǎng)絡與信息安全學報[J]，2016（02）：16-29

[2]蓋偉麟，辛丹，王璐.態(tài)勢感知中的數(shù)據(jù)融合和決策方法綜述[J].計算機工程， 2014， 40（5）： 21–25， 30.

[3]劉潮歌.定向網(wǎng)絡攻擊追蹤溯源技術研究[D].中國科學院大學，2018.