基于態(tài)勢(shì)感知技術(shù)的電子政務(wù)網(wǎng)絡(luò)健康度評(píng)測(cè)平臺(tái)搭建

岳劍

一、引言

隨著我國(guó)電子政務(wù)建設(shè)的快速推進(jìn)，政務(wù)應(yīng)用需求不斷深化、用戶(hù)數(shù)量不斷擴(kuò)大、政府網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)系統(tǒng)日益復(fù)雜與多元化，帶來(lái)了網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化、綜合化。與此同時(shí)，對(duì)網(wǎng)絡(luò)的可靠性、安全性的要求也愈來(lái)愈高，網(wǎng)絡(luò)性能與信息安全保障工作受到前所未有的高度關(guān)注，成為電子政務(wù)建設(shè)的重中之重。本文基于態(tài)勢(shì)感知技術(shù)，對(duì)電子政務(wù)網(wǎng)絡(luò)整體健康程度評(píng)估預(yù)測(cè)平臺(tái)的構(gòu)建進(jìn)行研究，通過(guò)對(duì)網(wǎng)絡(luò)性能狀態(tài)、安全狀態(tài)進(jìn)行實(shí)時(shí)測(cè)量和跟蹤，感知網(wǎng)絡(luò)中的異常事件與整體安全態(tài)勢(shì)，并進(jìn)行分析評(píng)價(jià)，以實(shí)現(xiàn)對(duì)“網(wǎng)絡(luò)健康度”的量化評(píng)測(cè)與管理，實(shí)時(shí)掌握網(wǎng)絡(luò)安全及性能狀況，將亡羊補(bǔ)牢的事中、事后處理，轉(zhuǎn)向事前自動(dòng)評(píng)估預(yù)測(cè)，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)安全防護(hù)能力。

二、概述

態(tài)勢(shì)感知是指在大規(guī)模系統(tǒng)環(huán)境中，對(duì)能夠引起系統(tǒng)狀態(tài)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知最早分為態(tài)勢(shì)要素獲取、態(tài)勢(shì)理解與態(tài)勢(shì)預(yù)測(cè)三級(jí)模型。隨著研究力度的不斷加大，在原有的基礎(chǔ)上進(jìn)行異構(gòu)傳感器管理的功能模型，主要是對(duì)異構(gòu)網(wǎng)絡(luò)的安全態(tài)勢(shì)基礎(chǔ)數(shù)據(jù)進(jìn)行采集，并對(duì)數(shù)據(jù)進(jìn)行整合處理，以便對(duì)信息進(jìn)行對(duì)比而形成威脅庫(kù)與靜態(tài)庫(kù)。其功能模型如圖1 所示。

網(wǎng)絡(luò)健康度評(píng)估是根據(jù)系統(tǒng)現(xiàn)在或歷史數(shù)據(jù)預(yù)測(cè)性地診斷系統(tǒng)當(dāng)前健康度以及未來(lái)發(fā)展趨勢(shì)的新技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)原始數(shù)據(jù)的定性和定量分析對(duì)網(wǎng)絡(luò)的整體狀況做出全面描述。

本文所提出的網(wǎng)絡(luò)健康度評(píng)測(cè)基于網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)，通過(guò)提取、融合各方面的網(wǎng)絡(luò)性能、安全要素，通過(guò)關(guān)聯(lián)分析、信息融合、態(tài)勢(shì)預(yù)測(cè)等技術(shù)確定網(wǎng)絡(luò)健康評(píng)估與故障預(yù)測(cè)的指標(biāo)體系，搭建網(wǎng)絡(luò)健康度評(píng)測(cè)與管理平臺(tái)，實(shí)現(xiàn)對(duì)復(fù)雜網(wǎng)絡(luò)的多維度健康度評(píng)測(cè)，以提高網(wǎng)絡(luò)自主式保障能力。

三、主要實(shí)現(xiàn)技術(shù)

基于網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)網(wǎng)絡(luò)健康度評(píng)測(cè)，以網(wǎng)絡(luò)監(jiān)控系統(tǒng)獲得的原始監(jiān)控信息為基礎(chǔ)，從網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型、網(wǎng)絡(luò)態(tài)勢(shì)信息獲取、網(wǎng)絡(luò)態(tài)勢(shì)要素提取、安全態(tài)勢(shì)評(píng)估指標(biāo)和評(píng)估方法四個(gè)方面研究適用于大規(guī)模網(wǎng)絡(luò)的態(tài)勢(shì)感知關(guān)鍵技術(shù)。

（一）將態(tài)勢(shì)信息來(lái)源確定為主機(jī)層性能、主機(jī)層日志、主機(jī)層流量、主機(jī)層漏洞、應(yīng)用層性能、應(yīng)用層漏洞、應(yīng)用層流量、應(yīng)用層日志、網(wǎng)絡(luò)層流量、網(wǎng)絡(luò)層數(shù)據(jù)包等，并圍繞如何從網(wǎng)絡(luò)數(shù)據(jù)流中提取態(tài)勢(shì)信息進(jìn)行態(tài)勢(shì)感知的問(wèn)題進(jìn)行了深入的研究，提出基于多維度的多層次化網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型。

（二）通過(guò)網(wǎng)絡(luò)數(shù)據(jù)流多層次的異常檢測(cè)獲得態(tài)勢(shì)信息的方法，從面向網(wǎng)絡(luò)的數(shù)據(jù)流和面向主機(jī)的數(shù)據(jù)流兩個(gè)方面進(jìn)行了研究，通過(guò)分析選擇了組合多分類(lèi)算法中的隨機(jī)森林和TreeNet為異常檢測(cè)時(shí)使用的算法。針對(duì)整個(gè)網(wǎng)絡(luò)入口處數(shù)據(jù)速度快、數(shù)據(jù)量大、攻擊和異常數(shù)據(jù)量相對(duì)較小的問(wèn)題，采用基于改進(jìn)非廣延熵和雙隨機(jī)森林的異常檢測(cè)方法。該方法對(duì)一個(gè)時(shí)間窗口的數(shù)據(jù)包，采用概要數(shù)據(jù)結(jié)構(gòu)快速記錄部分屬性的統(tǒng)計(jì)信息，用改進(jìn)的非廣延熵將每一個(gè)統(tǒng)計(jì)量分解、放大以發(fā)現(xiàn)少量異常原本不明顯的特征，結(jié)合隨機(jī)森林強(qiáng)大的分類(lèi)檢測(cè)能力和快速并行決策方式對(duì)面向網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行實(shí)時(shí)的異常檢測(cè)。在分支網(wǎng)絡(luò)中，為了全面的了解每一個(gè)主機(jī)是否受到某類(lèi)安全事件的威脅，針對(duì)面向主機(jī)的服務(wù)請(qǐng)求流和服務(wù)應(yīng)答流分析了安全事件對(duì)流屬性的影響，構(gòu)建了各自的特征集。針對(duì)流數(shù)據(jù)按時(shí)間窗口劃分進(jìn)行異常檢測(cè)時(shí)，在不同時(shí)間窗口，同種安全事件特征易發(fā)生波動(dòng)的問(wèn)題，選擇了善于捕捉非線(xiàn)性數(shù)據(jù)結(jié)構(gòu)的TreeNet算法作為分類(lèi)檢測(cè)算法，對(duì)面向主機(jī)的數(shù)據(jù)流進(jìn)行準(zhǔn)確的異常檢測(cè)。

（三）通過(guò)不同層次流量異常檢測(cè)結(jié)果進(jìn)行對(duì)比提取安全態(tài)勢(shì)要素的方法。一是在面向網(wǎng)絡(luò)的數(shù)據(jù)流與每個(gè)分支網(wǎng)絡(luò)面向主機(jī)的服務(wù)請(qǐng)求流檢測(cè)結(jié)果之間進(jìn)行對(duì)比；二是在面向主機(jī)的服務(wù)請(qǐng)求與服務(wù)應(yīng)答流檢測(cè)結(jié)果之間進(jìn)行對(duì)比。通過(guò)對(duì)比，在對(duì)檢測(cè)結(jié)果逐步驗(yàn)證得到準(zhǔn)確的安全威脅態(tài)勢(shì)要素的同時(shí)，也得到了安全防御方面的態(tài)勢(shì)要素。

（四）通過(guò)對(duì)常用網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的分析，結(jié)合大規(guī)模和實(shí)時(shí)性的應(yīng)用背景，制定了定量指標(biāo)的態(tài)勢(shì)評(píng)估方法，從安全威脅、安全防御兩方面有針對(duì)性地研究出了實(shí)際安全威脅指數(shù)、理論安全威脅指數(shù)、安全威脅范圍指數(shù)、安全威脅可控度指數(shù)、安全設(shè)備總體防御指數(shù)和網(wǎng)絡(luò)主機(jī)綜合安全防御指數(shù)六個(gè)指標(biāo)用于對(duì)網(wǎng)絡(luò)整體安全狀況的評(píng)估。設(shè)計(jì)了從態(tài)勢(shì)要素得到網(wǎng)絡(luò)健康度評(píng)測(cè)指標(biāo)定量結(jié)果的計(jì)算方法。并通過(guò)實(shí)驗(yàn)證明評(píng)估的客觀性、準(zhǔn)確性和有效性。

四、網(wǎng)絡(luò)健康度評(píng)測(cè)平臺(tái)的搭建

網(wǎng)絡(luò)健康度評(píng)測(cè)平臺(tái)的搭建通過(guò)對(duì)態(tài)勢(shì)感知要素和態(tài)勢(shì)感知過(guò)程的深入分析，構(gòu)建了以資產(chǎn)信息、脆弱性、危險(xiǎn)性、可靠性為核心的網(wǎng)絡(luò)健康度評(píng)測(cè)指標(biāo)體系，并結(jié)合數(shù)據(jù)融合和層次化分析的思想，提出了基于層次化的網(wǎng)絡(luò)健康度評(píng)測(cè)模型。網(wǎng)絡(luò)健康度評(píng)測(cè)平臺(tái)由六大功能模塊組成：

（一）網(wǎng)絡(luò)資產(chǎn)綜合管理模塊

通過(guò)資產(chǎn)感知自動(dòng)化快速發(fā)現(xiàn)和收集大規(guī)模網(wǎng)絡(luò)資產(chǎn)的分布情況、更新情況、屬性等信息[2]；對(duì)網(wǎng)絡(luò)進(jìn)行資產(chǎn)發(fā)現(xiàn)和識(shí)別，生成網(wǎng)絡(luò)資產(chǎn)庫(kù)，并分層顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，并提供拓?fù)涔?jié)點(diǎn)的級(jí)聯(lián)菜單，從而全面、動(dòng)態(tài)地反映網(wǎng)絡(luò)的運(yùn)行狀況。資產(chǎn)管理范圍包括各種軟硬件產(chǎn)品，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、計(jì)算機(jī)終端、安裝的軟件產(chǎn)品等。

1. 網(wǎng)絡(luò)資產(chǎn)拓?fù)浒l(fā)現(xiàn)

發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)的邏輯拓?fù)?、物理拓?fù)浼版溌穾?，其中邏輯拓?fù)浒繕?biāo)網(wǎng)絡(luò)中路由器和路由器、路由器與子網(wǎng)間連接關(guān)系；物理拓?fù)浒ㄗ泳W(wǎng)內(nèi)交換機(jī)與主機(jī)間的連接關(guān)系。目前拓?fù)浒l(fā)現(xiàn)一次最大可以發(fā)現(xiàn)包含多個(gè)B類(lèi)子網(wǎng)的網(wǎng)絡(luò)，如果需要檢測(cè)更大范圍的網(wǎng)絡(luò)，可分別檢測(cè)網(wǎng)絡(luò)的不同部分，然后通過(guò)拓?fù)浞治龉δ軐⒏鞑糠值臋z測(cè)結(jié)果進(jìn)行分析綜合，獲得整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。

2. 網(wǎng)絡(luò)資產(chǎn)運(yùn)行服務(wù)識(shí)別

設(shè)備識(shí)別主要包含三種檢測(cè)功能，一是獲取設(shè)備的類(lèi)型、廠商、操作系統(tǒng)等基本信息進(jìn)行設(shè)備識(shí)別，并包含一個(gè)指紋采集工具，以便遇到新的設(shè)備時(shí)采集其指紋并擴(kuò)種指紋庫(kù)。二是獲取設(shè)備開(kāi)放的端口以及端口狀態(tài)，判斷設(shè)備的服務(wù)類(lèi)型，如：Web服務(wù)器、FTP服務(wù)器、DNS服務(wù)器、郵件服務(wù)器等；三是判定設(shè)備是否安裝個(gè)人防火墻。

3. 網(wǎng)絡(luò)資產(chǎn)合規(guī)性分析

主要包括對(duì)設(shè)備非法外連、設(shè)備非法接入、設(shè)備非法監(jiān)聽(tīng)、防火墻未啟動(dòng)用、設(shè)備接口IP改動(dòng)、服務(wù)器服務(wù)異常開(kāi)放等合規(guī)性分析。

4. 網(wǎng)絡(luò)資產(chǎn)符合性分析

分析邏輯拓?fù)浜臀锢硗負(fù)涞囊恢滦裕ㄟ壿嬐負(fù)涞姆闲浴⑽锢硗負(fù)浞闲?，即分析子網(wǎng)的符合性和設(shè)備之間連接的符合性。

（二）綜合智能網(wǎng)絡(luò)監(jiān)控模塊

通過(guò)智能網(wǎng)絡(luò)監(jiān)控系統(tǒng)，實(shí)現(xiàn)對(duì)各業(yè)務(wù)系統(tǒng)、應(yīng)用程序、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及安全系統(tǒng)等的監(jiān)測(cè)和管理，直接提供與應(yīng)用相關(guān)的集中監(jiān)測(cè)的能力、手段和工具。

1. 基礎(chǔ)設(shè)施監(jiān)控

智能網(wǎng)絡(luò)監(jiān)控系統(tǒng)的監(jiān)測(cè)器負(fù)責(zé)從各種設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)及其它可達(dá)的軟硬件資源中采集狀態(tài)和性能數(shù)據(jù)。智能網(wǎng)絡(luò)監(jiān)控模塊監(jiān)測(cè)器的主要監(jiān)測(cè)手段是基于SNMP協(xié)議實(shí)現(xiàn)的，同時(shí)也充分考慮到實(shí)際網(wǎng)絡(luò)中復(fù)雜異構(gòu)的設(shè)備類(lèi)型和用戶(hù)業(yè)務(wù)的不同要求，對(duì)于不支持或者不開(kāi)放SNMP協(xié)議的被管理對(duì)象，采用基于SSH 和Agent（代理模塊）、WMI、腳本等監(jiān)測(cè)方式，通過(guò)主動(dòng)輪巡機(jī)制來(lái)實(shí)現(xiàn)性能數(shù)據(jù)的采集。

2. 業(yè)務(wù)系統(tǒng)監(jiān)控

基于監(jiān)測(cè)器機(jī)制，監(jiān)測(cè)業(yè)務(wù)應(yīng)用系統(tǒng)是否運(yùn)轉(zhuǎn)正常。對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行系統(tǒng)響應(yīng)時(shí)間、頁(yè)面下載速度、打開(kāi)時(shí)間、域名解析時(shí)間、系統(tǒng)故障監(jiān)測(cè)、主動(dòng)安全漏洞監(jiān)控，并監(jiān)控服務(wù)器的性能變化趨勢(shì)，實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用安全與性能的全監(jiān)控，全面綜合的分析各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的可用性和性能數(shù)據(jù)，并最終通過(guò)SLA機(jī)制和業(yè)務(wù)視圖的映射出用戶(hù)業(yè)務(wù)系統(tǒng)健康度，為管理者提供客觀的信息依據(jù)。

3. 統(tǒng)一事件平臺(tái)

智能網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠?qū)τ脩?hù)網(wǎng)絡(luò)及系統(tǒng)發(fā)出的預(yù)警信息和故障信息進(jìn)行整合和自動(dòng)化的處理。利用不同類(lèi)型的監(jiān)測(cè)器采集系統(tǒng)級(jí)和應(yīng)用級(jí)可用性信息，并在監(jiān)測(cè)器指標(biāo)測(cè)量失敗時(shí)發(fā)送告警事件。智能網(wǎng)絡(luò)監(jiān)控系統(tǒng)將上述告警信息進(jìn)行統(tǒng)一格式化后實(shí)現(xiàn)集中統(tǒng)一的監(jiān)測(cè)和管理。

（三）網(wǎng)絡(luò)安全日志采集與處理系統(tǒng)

通過(guò)對(duì)服務(wù)器、交換機(jī)、安全設(shè)備、網(wǎng)絡(luò)運(yùn)行情況、中間件、數(shù)據(jù)庫(kù)、業(yè)務(wù)與應(yīng)用等相關(guān)日志記錄的采集，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸并和告警分析等處理后，形成統(tǒng)一格式的日志信息進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)系統(tǒng)日志的全面審計(jì)。

1. 安全日志采集

數(shù)據(jù)采集對(duì)象不僅包括網(wǎng)絡(luò)設(shè)備、虛擬主機(jī)，還包括安全系統(tǒng)，如加密機(jī)、防火墻系統(tǒng)、IDS系統(tǒng)、防病毒系統(tǒng)等安全防護(hù)設(shè)備，日志采集器主要包括SYSLOG采集器、SNMP采集器、專(zhuān)用采集器、文件采集器、JDBC/ ODBC采集器。

通過(guò)多樣的日志采集器，可以保證所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬主機(jī)、應(yīng)用系統(tǒng)的信息能被系統(tǒng)采集。日志采集主要包括以下類(lèi)型，如表1所示：

通過(guò)多種多樣的日志采集器，可以保證所有的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、虛擬主機(jī)、應(yīng)用系統(tǒng)的信息能被系統(tǒng)采集。

2. 日志過(guò)濾

通過(guò)過(guò)濾器去掉符合過(guò)濾策略的日志。通過(guò)控制日志過(guò)濾條件，對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行過(guò)濾。通過(guò)對(duì)日志中任意一個(gè)或多個(gè)字段定義過(guò)濾器，形成全網(wǎng)、單個(gè)或多個(gè)系統(tǒng)、單臺(tái)或多臺(tái)設(shè)備、某個(gè)或多個(gè)時(shí)間段的安全過(guò)濾策略。包括日志基本屬性（發(fā)生時(shí)間、名稱(chēng)和類(lèi)型、信息內(nèi)容、傳輸層和應(yīng)用層協(xié)議類(lèi)型、生成者信息、對(duì)應(yīng)用戶(hù)信息）、日志類(lèi)型（安全重要性類(lèi)型、技術(shù)分析類(lèi)型）、威脅（資產(chǎn)威脅程度、影響嚴(yán)重性程度、可用性等級(jí)、優(yōu)先級(jí)別）、攻擊者和目標(biāo)者信息（主機(jī)信息、對(duì)應(yīng)資產(chǎn)信息、對(duì)應(yīng)用戶(hù)信息）、設(shè)備信息（設(shè)備廠商信息、設(shè)備主機(jī)信息）。

3. 日志標(biāo)準(zhǔn)化

日志采集各種類(lèi)型的安全日志定義的格式不盡相同，通過(guò)日志標(biāo)準(zhǔn)化把這些不同格式的安全日志轉(zhuǎn)化成標(biāo)準(zhǔn)格式的日志，并對(duì)安全日志重新定級(jí)。網(wǎng)絡(luò)中不同的設(shè)備，對(duì)安全日志的嚴(yán)重程度定義方式、側(cè)重點(diǎn)和表示方式各不相同。安全日志根據(jù)統(tǒng)一的安全策略，按照安全設(shè)備識(shí)別名、日志類(lèi)別、日志級(jí)別等所有可能的條件及各種條件的組合對(duì)日志嚴(yán)重級(jí)別進(jìn)行重定義。安全日志的標(biāo)準(zhǔn)化主要包括以下屬性：日志編號(hào)、日志名稱(chēng)、日志嚴(yán)重級(jí)別、日志時(shí)間、日志內(nèi)容、安全資產(chǎn)地址、日志原始級(jí)別、日志相關(guān)協(xié)議、安全資產(chǎn)類(lèi)型、源地址、目的地址、源主機(jī)名稱(chēng)、目的主機(jī)名稱(chēng)、源端口、目的端口、日志類(lèi)型、系統(tǒng)或應(yīng)用的名稱(chēng)。

4. 日志歸并

對(duì)統(tǒng)一采集的安全日志進(jìn)行過(guò)濾，冗余處理，根據(jù)預(yù)先定義的分類(lèi)規(guī)則對(duì)日志進(jìn)行歸納分類(lèi)，并根據(jù)日志處理策略，把日志轉(zhuǎn)發(fā)到日志處理服務(wù)器上或者直接轉(zhuǎn)存到日志數(shù)據(jù)庫(kù)中進(jìn)行數(shù)據(jù)歸檔。并根據(jù)網(wǎng)絡(luò)平臺(tái)總體策略的需求，歸并日志的特定特征字段，如：日志信息、日志類(lèi)型、威脅信息、攻擊者和目標(biāo)者信息、設(shè)備信息、支持根據(jù)日志名稱(chēng)、日志類(lèi)型、源進(jìn)程、目標(biāo)進(jìn)程、攻擊源、攻擊目標(biāo)地址、受攻擊的設(shè)備類(lèi)型進(jìn)行歸并分析。

5. 日志關(guān)聯(lián)分析

通過(guò)日志關(guān)聯(lián)分析，根據(jù)風(fēng)險(xiǎn)分析的資產(chǎn)、威脅、弱點(diǎn)三要素，深度挖掘安全隱患、判斷安全日志的嚴(yán)重程度，包括基于規(guī)則的關(guān)聯(lián)分析和基于統(tǒng)計(jì)的關(guān)聯(lián)分析。從大量安全日志中準(zhǔn)確識(shí)別出真實(shí)的安全威脅幫助用戶(hù)快速響應(yīng)安全問(wèn)題，不斷優(yōu)化網(wǎng)絡(luò)的安全狀況，提升網(wǎng)絡(luò)健康度。

（四）基于外部數(shù)據(jù)源的網(wǎng)絡(luò)威脅監(jiān)測(cè)分析系統(tǒng)

結(jié)合網(wǎng)絡(luò)資產(chǎn)和業(yè)務(wù)應(yīng)用系統(tǒng)情況，采集來(lái)自外部數(shù)據(jù)源的數(shù)據(jù)泄漏情況、漏洞情況、黑客的攻擊情況、行業(yè)重大安全事件分析等安全數(shù)據(jù)，掌握業(yè)務(wù)應(yīng)用安全風(fēng)險(xiǎn)現(xiàn)狀，建立安全威脅信息庫(kù)，利用安全威脅信息庫(kù)，結(jié)合網(wǎng)絡(luò)資產(chǎn)庫(kù)的信息，進(jìn)行策略匹配，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全漏洞或風(fēng)險(xiǎn)。

1 網(wǎng)絡(luò)威脅數(shù)據(jù)采集

通過(guò)多種渠道采集政策法規(guī)、安全事件、漏洞信息、惡意代碼等方面信息。從互聯(lián)網(wǎng)動(dòng)態(tài)的、準(zhǔn)確的、快速的獲取威脅數(shù)據(jù)信息，并進(jìn)行威脅數(shù)據(jù)的校驗(yàn)、過(guò)濾，數(shù)據(jù)標(biāo)準(zhǔn)化和數(shù)據(jù)歸并，對(duì)數(shù)據(jù)進(jìn)行去重、去雜、特征提取、關(guān)聯(lián)分析等處理，篩選出高價(jià)值的數(shù)據(jù)信息，并最終存入威脅信息庫(kù)。網(wǎng)絡(luò)威脅數(shù)據(jù)采集的途徑可包括政府網(wǎng)站、漏洞數(shù)據(jù)庫(kù)、公司網(wǎng)站、行業(yè)論壇、社交平臺(tái)、電子報(bào)刊、博客論壇、自媒體等。

2. 威脅數(shù)據(jù)存儲(chǔ)和檢索

利用分布式文件存儲(chǔ)系統(tǒng)保存采集到的大量數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行分批、壓縮、冗余備份等處理，建立數(shù)據(jù)索引，以提供穩(wěn)定、高效的數(shù)據(jù)訪(fǎng)問(wèn)調(diào)用方式。

3. 針對(duì)資產(chǎn)的網(wǎng)絡(luò)威脅分析

通過(guò)數(shù)據(jù)關(guān)聯(lián)，將用戶(hù)的資產(chǎn)及應(yīng)用數(shù)據(jù)與安全威脅相關(guān)聯(lián)匹配，深度挖掘用戶(hù)資產(chǎn)所面臨的安全隱患，計(jì)算出資產(chǎn)所面臨的威脅指數(shù)，判斷威脅的嚴(yán)重程度，輸出威脅趨勢(shì)圖、歷史威脅曲線(xiàn)、可能影響的范圍等信息，并進(jìn)行安全威脅事件發(fā)生次數(shù)、安全威脅事件平均響應(yīng)時(shí)間、安全威脅事件平均處置時(shí)間和安全威脅事件處置狀態(tài)的統(tǒng)計(jì)。

（五）網(wǎng)絡(luò)自動(dòng)化深度檢測(cè)系統(tǒng)

網(wǎng)絡(luò)自動(dòng)化深度檢測(cè)系統(tǒng)通過(guò)對(duì)漏洞檢測(cè)監(jiān)測(cè)新技術(shù)，構(gòu)建漏洞監(jiān)測(cè)預(yù)警機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備產(chǎn)品效能進(jìn)行評(píng)估，識(shí)別信息安全問(wèn)題。通過(guò)建立網(wǎng)絡(luò)外部滲透測(cè)試任務(wù)、網(wǎng)絡(luò)內(nèi)部滲透測(cè)試任務(wù)、核心子網(wǎng)滲透測(cè)試任務(wù)，對(duì)網(wǎng)絡(luò)核心服務(wù)器區(qū)、重要用戶(hù)區(qū)進(jìn)行逐層滲透，并輸出詳細(xì)的取證檢測(cè)報(bào)告，輔助網(wǎng)絡(luò)管理人員準(zhǔn)確排查定位安全漏洞。

1. 漏洞檢測(cè)

對(duì)Windows、Linux、Unix、交換機(jī)、路由器、防火墻、MSSQL、Oracl、Mysql、DB2、PostgerSQl、IIS、Apache、Weblogic、Nginx等進(jìn)行掃描檢測(cè)，并實(shí)現(xiàn)自動(dòng)漏洞驗(yàn)證；對(duì)路由器、交換機(jī)、網(wǎng)關(guān)、無(wú)線(xiàn)路由器、VOIP路由器等關(guān)鍵設(shè)備進(jìn)行漏洞滲透，檢測(cè)路由設(shè)備漏洞和預(yù)置后門(mén)；通過(guò)Web掃描功能，對(duì)Web業(yè)務(wù)應(yīng)用進(jìn)行掃描審計(jì)，集成通用CMS系統(tǒng)漏洞，可進(jìn)行自動(dòng)漏洞驗(yàn)證和手動(dòng)漏洞驗(yàn)證。

2. 弱口令掃描

通過(guò)暴力破解模塊，對(duì)網(wǎng)絡(luò)內(nèi)設(shè)備口令進(jìn)行檢測(cè)，可對(duì)SSH、Telnet、AFP、DB2、HTTP、MSSQL、Mysql、POP3、PostgerSQl、SMB、VNC等進(jìn)行口令檢測(cè)，并根據(jù)掃描結(jié)果自動(dòng)選擇協(xié)議。

3. 漏洞取證

對(duì)系統(tǒng)漏洞進(jìn)行證據(jù)收集，如漏洞主機(jī)的截圖、配置文件、鍵盤(pán)記錄、文件操作等。采用的取證方式包括木馬方式、TCP方式取證、遠(yuǎn)程管理協(xié)議取證。并輸出漏洞檢測(cè)報(bào)表、資產(chǎn)發(fā)現(xiàn)報(bào)表及針對(duì)性漏洞報(bào)表。

（六）網(wǎng)絡(luò)健康度態(tài)勢(shì)分析與威脅預(yù)警系統(tǒng)

網(wǎng)絡(luò)健康度態(tài)勢(shì)分析預(yù)警依托網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全日志、網(wǎng)絡(luò)威脅數(shù)據(jù)，對(duì)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的可用性、安全性及安全威脅態(tài)勢(shì)進(jìn)行集中監(jiān)測(cè)。

1. 態(tài)勢(shì)監(jiān)測(cè)

對(duì)網(wǎng)絡(luò)環(huán)境安全趨勢(shì)及實(shí)時(shí)狀態(tài)進(jìn)行監(jiān)測(cè)與展示。綜合利用資產(chǎn)數(shù)據(jù)、流量數(shù)據(jù)、內(nèi)部安全數(shù)據(jù)、外部威脅數(shù)據(jù)，按照基礎(chǔ)、脆弱、威脅、風(fēng)險(xiǎn)、綜合等多個(gè)維度從數(shù)據(jù)視角監(jiān)測(cè)與展示網(wǎng)絡(luò)實(shí)時(shí)安全態(tài)勢(shì)。

2. 趨勢(shì)分析

對(duì)指定時(shí)間段內(nèi)滿(mǎn)足指定條件的事件如木馬攻擊、僵尸網(wǎng)絡(luò)、病毒等重大網(wǎng)絡(luò)安全事件的數(shù)量或流量進(jìn)行趨勢(shì)分析，生成趨勢(shì)分析統(tǒng)計(jì)圖，進(jìn)行短期、中期及長(zhǎng)期預(yù)測(cè)，預(yù)判網(wǎng)絡(luò)安全未來(lái)發(fā)展趨勢(shì)。

通過(guò)趨勢(shì)分析，分析人員可以從宏觀上掌握指定時(shí)間范圍內(nèi)某類(lèi)事件的趨勢(shì)，并可與基線(xiàn)進(jìn)行對(duì)比，以便發(fā)現(xiàn)大規(guī)模的攻擊或違規(guī)訪(fǎng)問(wèn)事件?？梢陨稍谝欢螘r(shí)間里威脅分析曲線(xiàn)，全面了解已經(jīng)發(fā)生過(guò)威脅的趨勢(shì)及將發(fā)生威脅的預(yù)警曲線(xiàn)。

3. 事件分析

通過(guò)系統(tǒng)內(nèi)置關(guān)聯(lián)分析規(guī)則庫(kù)，將安全事件和目標(biāo)資產(chǎn)的重要性、脆弱性進(jìn)行關(guān)聯(lián)，提供異種事件關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)以及針對(duì)慢攻擊的長(zhǎng)時(shí)間窗口的關(guān)聯(lián)等關(guān)聯(lián)分析功能。將海量事件按照發(fā)生的時(shí)間順序基于行為進(jìn)行關(guān)聯(lián)，并將多個(gè)設(shè)備采集的事件進(jìn)行交叉關(guān)聯(lián)。此外，關(guān)聯(lián)分析引擎還具備追蹤溯源的能力，能夠分析出攻擊的源頭，攻擊的中間環(huán)節(jié)，攻擊的目標(biāo)，攻擊的模式等內(nèi)容。

4. 風(fēng)險(xiǎn)評(píng)估管理

風(fēng)險(xiǎn)管理涉及資產(chǎn)管理（評(píng)估資產(chǎn)的業(yè)務(wù)價(jià)值）、資產(chǎn)的脆弱性（安全漏洞）及資產(chǎn)面臨的威脅（針對(duì)資產(chǎn)的安全事件）。通過(guò)被保護(hù)資產(chǎn)的風(fēng)險(xiǎn)計(jì)算功能，展現(xiàn)當(dāng)前被保護(hù)資產(chǎn)的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。

5. 威脅告警

系統(tǒng)監(jiān)測(cè)到可用性異?；蚩梢砂踩录r(shí)，將觸發(fā)預(yù)先設(shè)定的告警閾值或觸發(fā)事件分析規(guī)則，執(zhí)行預(yù)定義的告警響應(yīng)動(dòng)作。告警響應(yīng)動(dòng)作涵蓋常見(jiàn)的響應(yīng)方式，包括控制臺(tái)對(duì)話(huà)框告警、控制臺(tái)告警音、電子郵件告警、手機(jī)短信告警、告警重定義、執(zhí)行預(yù)定義程序腳本、執(zhí)行設(shè)備聯(lián)動(dòng)操作、創(chuàng)建黑白名單記錄、創(chuàng)建威脅記錄、創(chuàng)建工單、通過(guò)Syslog和SNMP Trap向第三方系統(tǒng)轉(zhuǎn)發(fā)告警事件等。并能方便地實(shí)現(xiàn)調(diào)用第三方系統(tǒng)提供的接口，執(zhí)行相應(yīng)的響應(yīng)。

五、結(jié)束語(yǔ)

網(wǎng)絡(luò)健康評(píng)估有利于從整體把握網(wǎng)絡(luò)的安全狀況， 將態(tài)勢(shì)感知技術(shù)應(yīng)用于網(wǎng)絡(luò)安全中，不僅能夠全面掌握當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，還可以預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全趨勢(shì)，并同過(guò)故障預(yù)測(cè)機(jī)制對(duì)網(wǎng)絡(luò)即將出現(xiàn)的故障進(jìn)行預(yù)報(bào)，實(shí)現(xiàn)提前預(yù)知，事先維修，這對(duì)于增強(qiáng)網(wǎng)絡(luò)的穩(wěn)定性、預(yù)防網(wǎng)絡(luò)安全隱患有著重要的意義。網(wǎng)絡(luò)健康度評(píng)測(cè)平臺(tái)的建設(shè)， 可為電子政務(wù)網(wǎng)絡(luò)的日常安全運(yùn)行、科學(xué)管理提供高效可靠的運(yùn)維管理工具。