搭建省級公共網絡安全預警防范平臺的技術研究

馮莉穎

摘 要：本文采用安全大數據分析框架體系，從技術支撐、系統架構、應用系統設計等三個方面闡述了一種省級公共網絡安全預警防范平臺的方法，實現具有監測、態勢感知、預警通報、線索分析、事件處置、運維管理功能的支撐平臺的設計研究，為省級公共網絡安全預警與防范提供了理論及技術參考。

關鍵詞：公共網絡；安全；預警防范

隨著省級公共網絡的建設和應用技術的成熟，公共網絡系統的安全防護能力和管理需求隨之提升，搭建一個既能夠滿足城域網整體態勢監控，又能夠對重點單位網絡系統、門戶網站進行重點監控的平臺是解決省級公共網絡安全問題的有效途徑。

一、搭建省級公共網絡安全預警防范平臺的技術支撐

搭建省級公共網絡安全預警防范平臺需考慮到安全監測、態勢分析、預警通報、線索挖掘、調查處置等五個網安業務并為此提供技術支撐。

安全監測：要求為網絡安全監測業務提供支撐，輔助公安網安部門對重要部位、重要單位、專項威脅、特定目標或對象開展監測，匯集公共網絡安全監測的基礎數據。網站監測應對網站的安全狀態進行全面監測，包括網站平穩度信息、頁面篡改信息、網站木馬信息、流量告警信息、入侵檢測事件信息、網站服務器漏洞信息。重點單位檢測應對重點單位的網絡安全狀態進行檢測，包括但不僅限于有害程序事件、網絡攻擊事件、信息破壞事件、安全隱患。專項威脅檢測應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件，木馬、僵尸網絡等有害程序事件，網頁篡改、信息竊取等信息破壞事件進行專項監測。特定目標或對象監測應支持用戶對特定目標、對象深入監測，如通過設置監測點的監測規則支持對某攻擊組織的攻擊行為、某特定IP攻擊行為進行監測。

態勢分析：應從宏觀方面分析整個互聯網總體安全狀況，包括各類網絡安全威脅態勢分析和展示；微觀方面應提供對特定保護對象所遭受的各種攻擊進行趨勢分析和展示，可包括網站態勢、重點單位態勢、專項威脅態勢和總體態勢。其中網站態勢應對所監測網站的網絡安全威脅和網絡安全事件進行態勢分析和展示；重點單位態勢應支持對重點單位的網絡安全威脅事件態勢分析和展示；專項威脅態勢應對網站仿冒、網絡釣魚、漏洞利用攻擊等網絡攻擊事件，木馬、僵尸網絡等有害程序事件，網頁篡改、信息竊取等信息破壞事件進行專項態勢分析和展示。此外，態勢分析應提供網絡安全總體態勢的展示和呈現。

預警通報：應支持針對各種安全數據自動生成符合模板的預警通報，包括突發事件通報、專項通報、綜合通報和特定對象安全評估通報。突發事件通報應支持對突發網絡安全事件自動生成預警通報。專項通報應支持對網絡攻擊事件、有害程序事件、信息破壞事件、重大網絡安全隱患等自動生成預警通報。綜合通報應支持定期生成綜合性通報。特定對象安全評估支持對指定的IP或IP段自動生成安全評估報告，包括指定IP或IP段的網絡攻擊事件、有害程序事件、信息破壞事件、重大網絡安全隱患等。

線索挖掘：應通過對城市威脅數據的智能聚類和關聯挖掘，發掘有價值威脅事件線索，對重點事件、嫌疑對象、跳板主機、攻擊溯源等提供分析支撐。

主要包括三元組分析、異常服務分析、攻擊者分析、其中三元組分析應支持對網絡攻擊事件中的三元組信息，即源IP、目的IP、事件行為進行統計分析。

異常服務分析支持分析提供異常服務和參與對外攻擊的主機，建立疑似傀儡機檔案庫。攻擊者分析支持分析挖掘疑似攻擊人員相關信息，建立疑似攻擊人員檔案庫。

調查處置：在網安業務流驅動下，通報平臺為網安民警開展監測、威脅預警、態勢預警、威脅情報線索的調查處置提供支撐，可實現調查任務下發與處置響應的返回。

二、搭建省級公共網絡安全預警防范平臺的系統架構

搭建省級公共網絡安全預警防范平臺的實現系統，主要有數據采集層、檢測引擎層、數據預處理層、數據存儲層、業務支撐層和業務處置層等6個功能層。

數據采集層是系統的基礎數據源，包括兩方面的數據。一是運營商的流量數據。在系統中，需要將運營商互聯網出口的流量鏡像到系統，然后根據系統的業務處理能力按照會話將流量分配到各檢測引擎。另一方面是互聯網重要信息系統的數據。需要確定重要信息系統的基礎數據，實現檢測數據與系統信息的一一對應。

檢測引擎層主要實現對基礎數據的安全檢測，包括兩方面的檢測。一是對互聯網流量的檢測，包括flow流量檢測、IP包檢測和面向APT的未知攻擊檢測。另一方面是對重要信息系統的檢測，包括系統脆弱性檢測和系統受攻擊情況檢測。

數據預處理層主要實現對攻擊和脆弱性數據的預處理。在省平臺，需要預處理的數據有四個來源，一是平臺自行檢測到的數據，二是各地市上報的數據，三是部平臺下發的數據，四是來自可靠第三方的威脅情報數據。

這些數據來源不同，格式各異，有可能存在重復和無效數據，因此在使用之前需要進行清洗、歸并、關聯、比對、標識等預處理，為下一步數據應用打下基礎。

數據存儲層主要實現對業務支撐的數據支持。一方面對預處理過的有效數據按照業務需求進行分類存儲，另一方面通過大數據引擎為業務支撐提供數據存取和分析服務。

業務支撐層主要實現對預警監控系統中各種安全應用的業務支撐。其中，安全事件獲取模塊實現從告警數據到安全事件的歸并，行為模型匹配模塊實現從安全事件到攻擊行為模型的匹配，態勢預警分析模塊實現對當前攻擊態勢的判定和安全預警功能，攻擊取證溯源模塊實現對攻擊過程的還原和數據泄露等損失的計算等功能，應用脆弱性分析模塊實現對重要業務系統漏洞、配置不當等脆弱性的分析，判斷業務系統的危險狀態等功能。

業務處置層主要實現網安預警監測工作中的各種業務流程。其中，安全監測模塊實現對城域網和重要信息系統的攻擊行為、脆弱性的監測功能；態勢分析模塊實現對當前網絡安全態勢的分析判斷功能；通報預警模塊實現對發現的攻擊行為及時向第三方通報并根據安全態勢及時預警等功能；線索挖掘模塊主要實現對監測數據的深入分析，及時對攻擊行為進行取證溯源等功能；調查處置模塊主要實現對通過系統確認的網絡犯罪行為的進一步核查以及與相關業務部門協同處置等功能。

三、搭建省級公共網絡安全預警防范平臺的應用系統架構

結合系統總體架構，擬建立一個中心平臺、兩個子平臺、七套子系統的應用系統架構。

1）一個中心平臺：預警防范中心平臺：預警防范中心平臺實現對網絡安全事件的綜合分析、預警，對重要安全事件進行取證，對預警信息分發和通報，依據省級安防工作機制和應急預案處置和管理網絡安防工作。按照各單位預定職能向其傳遞預警信息，并接收其處置反饋信息。同時由運維管理系統實現對整體設備運作的監控。

2）兩個子平臺：城域網安全監控子平臺：包括異常流量檢測系統、入侵檢測（含病毒檢測）系統、威脅分析系統。實現對全省城域網網絡流量的監控，綜合分析其中存在的黑客攻擊、病毒傳播、拒絕服務攻擊等行為并進行取證。

重要系統檢測子平臺：包括漏洞掃描系統、重點網站監測系統。實現對重點單位的網站脆弱性、完整性、可用性三方面的檢測。

3）七套子系統：分為異常流量檢測系統、入侵檢測系統、威脅分析系統、漏洞掃描系統、重點網站檢測系統、網絡溯源追蹤系統、運營管理系統等七個子系統。

異常流量檢測系統：實現對網絡整體流量的宏觀分析、監控、預警；入侵檢測（含病毒檢測）系統：實現對網絡流量的細粒度檢測，并實現抓包取證；威脅分析系統：實現對攻擊行為、趨勢、手段的分析和監控；漏洞掃描系統：實現對重點單位及城域網整體的網絡脆弱性檢測和預警；重點網站監測系統：實現對重點單位的脆弱性、完整性、可用性監測和預警；網絡溯源追蹤系統：實現對安全事件的追蹤溯源；運維管理系統：實現對項目范圍內系統運作的持續性檢測和管理，其主要在預警防范中心平臺實現。

綜上所述，本文通過情報、數據收集，大數據處理及存儲，基于安全場景模型的大數據分析及展示等手段建立和完善安全態勢全面監控、安全威脅實時預警、安全事件及時處置的能力，建設形成的一套支撐網絡與信息安全預警分析中心業務開展的，具有監測、態勢感知、預警通報、線索分析、事件處置、運維管理功能的支撐平臺。

參考文獻：

[1] 謝振國，凌捷，網絡安全預警系統的研究[J].計算機技術與發展，2011（11）.

[2] 陳彥德，趙陸文，王瓊，潘志松，周志杰.網絡安全態勢感知系統結構研究[J].計算機工程與應用，2008（01）.

[3] 梁玉翰，張紅旗.網絡環境安全預警系統設計與實現[J].網絡安全技術與應用，2008（08）.

[4] 徐遠濤，張劍寒，黃繼剛，王寶軍.網絡安全預警系統初探[J].電腦與電信，2007（04）.

[5] 胡華平，張怡，陳海濤，宣蕾，孫鵬.面向大規模網絡的入侵檢測與預警系統研究[J].國防科技大學學報，2003（01）.