摘要

业务承载网是各项工作信息通信的重要支撑。传统烟囱林立的安防建设难以形成协同效益且运维困难,APT攻击、勒索病毒等恶意代码爆发、新单位接入都给网络安全运行带来较大风险挑战。建立一个对各类安全态势信息进行统计分析和多形式的可视化呈现的系统,通过对各网络安全情况汇集整编和态势融合展现,实现对网络空间态势常态化监控。测试表明系统支持设备日志采集、资产探测、安全事件特征提取、关联分析,可以帮助网络运维人员随时掌握网络空间安全态势情况,提升网络整体安全防护能力。

内容目录:
0 引 言
1 国内外研究现状趋势及必要性分析
1.1 国内外研究现状及趋势
1.2 必要性分析
2 系统设计
2.1 安全数据接入汇聚
2.2 安全数据处理分析
2.3 安全态势呈现
3 系统实现和测试
4 结 语

00

引 言

随着网络安全防护系统的不断建设,大量安防设备在使用过程中产生的海量安全日志告警,缺少有效地告警归并措施,给运维人员造成了较大困扰,在安全事件风险分析和应急响应方面也无法形成协同效益。建立一个对各类安全态势信息进行统计分析和多形式的可视化呈现,可基于各类态势信息评估全系统、区域、设备等的安全威胁等级,对网络攻击、威胁重点区域、威胁发展趋势等进行预警的安全态势感知系统,以便网络运维管理人员随时掌握全网安全态势,为运维人员决策提供支撑,具有十分重要的意义。

01

国内外研究现状趋势及必要性分析

1.1 国内外研究现状及趋势
现代意义上的态势感知(Situation Awareness,SA)研究也来自于战争的需要,其在二战后美国空军对提升飞行员空战能力的人因(Human Factor)工程学研究过程中被提出来,是为提升空战能力、分析空战环境信息、快速判断当前及未来形势,以做出正确反应而进行的研究探索,至今仍是军事科学领域的重要研究课题。
Mica R.Endsley对态势感知的经典定义:“在一定时间和空间内观察环境中的元素,理解这些元素的意义并预测这些元素在不久将来的状态”。20世纪90年代,态势感知的概念开始逐渐被接受,并随着网络的兴起升级为网络态势感知(Cyberspace Situation Awareness,CSA),具体指在大规模网络环境中对能够引起网络态势变化的安全要素进行获取、理解、显示及发展趋势的顺延性预测,而最终的目的是要进行网络空间防御决策与行动。
随着网络安全重要性的凸显,态势感知开始在网络安全领域崭露头角。2009年,美国白宫在公布的网络空间安全战略文件中明确提出,要构建态势感知能力和职责的国家级网络安全中心或机构,包含国家网络安全中心(NCSC)、情报部门、司法与反间谍部门、美国计算机应急响应小组(US-CERT)、网络作战部门的网络安全中心(Cybersecurity Center)等,覆盖国家安全、情报、司法、公私合作等各个领域。
互联网连接各行各业,网络安全牵一发而动全身,日益成为我国非传统领域的重中之重。维护网络安全迫在眉睫、刻不容缓,网络安全态势感知便是国家提高整体网络安全保障能力的重要措施。《中华人民共和国网络安全法》第五十一条规定,国家建立网络安全检测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络信息安全收集、分析和通报工作,按照规定统一发布网络安全检测预警信息。这是从国家层面要建立安全态势感知与信息通报制度。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上讲到:“要梳理正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势, 增强网络安全防御能力和威慑能力。”同时指出,“知己知彼,才能百战不殆。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞, 通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。”“十三五”国家信息化规划也提出要全天候、全方位感知网络安全态势,加强相关能力的建设。
2017年5月爆发“永恒之蓝”勒索蠕虫攻击事件,360勒索蠕虫专项态势感知系统抗击勒索蠕虫72小时,实时掌握蠕虫传播态势,并及时实施处置策略和相关措施,抑制“永恒之蓝”的大面积爆发。
在党的十九大网络安全保卫项目中,公安机关利用态势感知系统实时掌握安全风向,与重保单位进行实时网络安全信息通报,实时处置和响应突发事件,保障会议期间的安全。
2020年国家互联网信息办公室、国家发展和改革委员会等12个部门联合发布了《网络安全审查办法》。
1.2 必要性分析
一是业务承载网信息铰链关系复杂,需确保各子网之间实现数据跨网跨域安全交换;二是航天发射测控系统长期与不受控的国际测控系统、国外站互联,易受到来自境外的网络渗透、攻击和破坏,需确保对外受控互联;三是大量采用非自主可控产品和技术,信息系统存在安全隐患,需加大国产自主化要求和应对未知网络入侵的能力;四是业务承载网面临计算机系统信息泄露和病毒传播内部安全威胁,需加强应对内部威胁的有效措施。
基于以上四点,系统从顶层进行安全防护的统筹规划、集中统管、有机结合,进行整体的安全防护体系联动,着眼于当前业务承载网安全建设,立足于现有配备的安全设备,通过对各网络安全情况汇集整编和态势融合展现功能,实现对网络空间态势常态化监控,帮助网络运维人员随时掌握网络空间情况,以提升整体安全防护能力。

02

系统设计

在系统架构设计上,系统按照安全数据接入汇聚、安全数据处理分析和安全态势呈现三个层次的总体架构设计,通过镜像流量、syslog以及安管GCB010-2015标准接口进行安全数据采集,利用大数据技术进行数据预处理和存储,结合互联网威胁情报大数据进行智能分析以及时发现网络威胁,对分析结果进行态势呈现,同时自动化或结合安全运维人员进行安全事件处置,形成安全事件的监测、分析、预警、呈现、处置的完整流程。各层级以及模块之间的功能设计具有相对的独立性,采用行业通用接口和军队标准接口进行信息交互,从而使得系统整体具有较高的扩展性。同时,依托业务承载网自身的物理安全、主机安全、应用安全、数据安全、网络安全等多维度安全措施实现业务承载网的安全保障。提早发现关键威胁、持续感知网络安全态势、预警网络安全事件,同时支撑网络安全应急响应工作。系统总体架构设计如图1所示。
图1 系统架构设计
2.1 安全数据接入汇聚
安全数据接入汇聚是整个网络安全态势感知的系统输入,是网络安全数据分析和态势感知呈现的前提和基础,安全数据汇聚接入层通过流量采集器、日志采集器、资产探测器等设备进行数据采集。数据采集按照统一规划和统一标准获取业务承载网的关键网络流量、各设备的日志和告警信息、资产数据,确保系统输入的安全数据全面、充分、详实、准确,为安全分析和掌握整体安全态势打下基础。数据采集框架如图2所示。
图2 安全数据汇聚接入
流量采集器以网络旁路的形式部署各节点核心交换机处,对关键网络镜像流量采集后进行流量还原和分析,生成流量日志和流量告警信息。其中流量日志主要记录数据包的时间、IP地址、端口、协议信息等;流量告警是流量数据还原后与病毒库、特征库等进行比对,分析威胁形成告警信息。通过对网络元数据、网络传输数据、载荷行为数据等信息的全要素、细粒度记录,提升对定向攻击、高级威胁的发现和溯源能力,从而达到对潜在威胁、未知威胁的持续检测效果。
日志采集器进行日志、告警信息的采集。日志信息采集对终端主机(终端防护软件)、网络设备、安全防护设备、漏洞扫描设备等进行日志和告警信息采集,具体包括业务服务器、业务终端、路由器、交换机、防火墙、流量探针、网络隔离设备、安全管理系统、漏洞扫描设备等。终端主机的数据采集通过终端安全管控软件、杀毒软件等终端现有客户端软件,从业务网中的计算机及各类终端资产中采集各类安全数据,采集终端产生的所有全量数据,包括违规日志数据、补丁信息数据、终端中毒情况、终端日志数据等;网络设备的数据采集主要采集日志信息和状态信息等;安全防护设备的数据采集主要采集接入策略日志、报警日志、操作日志和状态信息等;漏洞扫描设备的数据采集主要采集漏洞信息。
资产探测器采用主动探测方式对网络内的所有终端、网络和安全防护设备进行周期性扫描探测和识别,获取资产的类型、IP地址、操作系统、软件版本、协议、服务、开放的端口等信息,信息通过API调用方式上报至安全数据总线。
2.2 安全数据处理分析
安全数据处理分析是安全态势准确感知呈现的重要保证,系统在安全体系的保障及标准体系的指导下,通过建设数据接入、数据处理、数据组织、数据分析、数据治理和信息共享服务, 全方位打造“采集”“融合”“服务”于一体的大数据处理分析。数据分析处理逻辑架构如图3所示。
 图3 数据分析处理逻辑架构
数据接入部分负责多元异构数据的高效、灵活接入与分发。
数据处理利用数据治理的成果以及知识库中的模型、规则等知识,完成数据组织中原始库、资源库、主题库、业务库等的构造,产生数据关联信息,实现数据融合,提升数据价值。
数据治理通过管理数据资源目录、元数据、分级分类、血缘关系等信息,定义数据汇聚于融合后的期望效果,规范数据组织形式,对数据质量进行管控,通过运维手段确保数据全生命周期的运行。
数据组织规范了数据价值逐步提升过程中数据的组织、展示形态。数据组织类别如表 1 所示。原始库是对所有不同来源的数据按原格式进行存储,支持所有数据类型,因此原始库的数据组织方式与接入时的数据组织方式直接一一对应,不对数据做任何处理,所有原始日志信息和原始告警信息分别存于原始日志库和原始告警库,用于后期攻击威胁的追踪溯源;资源库对原始库里的数据按照一定的规则进行过滤、清洗、标准化,并按业务使用规则或属性规则等进行整合加工与汇总,为整个平台提供基础数据资源支撑的数据集合;主题库是在资源库的基础之上进行抽象,依据本体逻辑建模(LDM)方法,构建了相关领域的实体及关系;知识库是指网络安全领域或与网络安全专业领域相关的特征知识数据和规则方法集合,包括一些全领域共享的特定知识性数据集合,知识库的数据来源比较广,既有从现有各业务系统中提炼的相关知识类信息,也有在数据处理过程的不同阶段累积的知识类数据,同时这些数据又对进入平台的各类业务数据的汇聚融合、分析挖掘、价值提升等提供了指导性的规则。
数据分析通过使用资源库、主题库、业务库的数据,结合已有知识库信息,通过分析、挖掘手段构建分析模型,完成知识库的更新积累,为数据处理及数据服务提供智能化支撑。
数据服务给上层应用提供透明、一致、灵活的数据服务。
2.3 安全态势呈现
以往的安防系统建设往往呈现一种“烟囱林立”的状态,大量的安防设备在功能上重叠,数据却无交互,产生的海量告警信息、安全日志信息需要耗费大量时间和精力去判别维护。本系统以安全大数据、业务建模、机器学习等先进技术手段为支撑,通过改造、集成业务承载网内各类安全基础设施,通过采集网络流量, 安全日志、安全告警、威胁情报等安全数据,利用数据分析和机器学习技术,分析网络行为及用户行为等因素,对网络当天状态和发展趋势进行分析和预测,将采集和处理分析的数据结果,依托态势感知系统软件,运用可视化技术将其转化为易于理解的曲线图表形式呈现,实现安全事件、攻击路径、地域可视化,降低运维难度。

03

系统实现和测试

完成设备安装部署后,进行系统调试测试,对设备参数配置、功能和性能进行检查,录入部分各类参试硬件设备参数测试,测试资产管理模块功能。测试表明,资产管理支持按单位、站点管理,支持手动及自动发现软硬件资产;支持对主机设备、网络设备、安全设备、应用系统等设备的识别,具体包括交换机、路由器、防火墙、Windows服务器、Linux服务器、SQL Server、Oracle、DB2、MySQL等;支持对网络中设备数量和类型的分类统计;支持对内网操作系统的识别,能够准确获取操作系统具体版本;支持对操作系统和版本的手动修正;支持对内网设备类型、开放端口、开放服务等多种属性识别,能感知网络内设备的变更事件,记录设备类型、操作系统、交换机 IP、交换机端口变更等详细信息;能够感知网络设备属性,对网络设备状态、网络性能、CPU利用率、内存利用率等监控,设备面板管理,可以对重点端口进行流量监控并且配置告警阈值;通过扫描引擎能够对已知及未知的资产信息进行有效补充,扩大监管范围,破除监管盲点。资产管理模块的硬件资产统计如图4所示。
图4 资产统计
用户和角色管理部分,支持对系统用户所属组织机构进行管理,角色管理支持对系统角色的添加、修改删除、查看等操作,绑定登录用户信息和用户组信息,构成整个平台的数据权限体系,系统可以灵活自定义根据需求预置相应的角色。系统管理员给各站建立一个可以查看对应各单位设备、网络安全态势信息的用户,各站可自行查询本单位的网络安全态势,将各站通信岗位人员纳入安全运维行列,节省中心网管人员时间精力,扩大了全单位安全运维队伍,从人员的角度提升整体安全运维能力。
安全态势感知实现对安全态势进行评估和多维度呈现。网络数据流量采集后,通过恶意代码分析、异常流量分析、威胁分析等技术进行攻击行为分析,以此来评估当前网络的整体安全态势,以使用单位为视角,对本单位监管范围下的单位安全状态进行监测,并且根据系统内置的风险评估算法给出当前被监管单位整体分级的安全评估。
基于威胁发现和风险分析的结果,对攻击者进行信息获取和深度分析, 同时对安全事件、风险评估、资产信息、漏洞信息进行综合分析,形成攻击链和攻击者画像等信息,从全网和各单位角度对多种信息进行整合呈现,实现安全态势的监测和展示,包括全网的综合安全态势、区域安全态势、资产态势和攻击态势等。
综合态势呈现,可根据需要定制显示攻击事件类型、攻击源、受影响单位、安全事件同比环比分析、安全事件等级分布、安全事件实时监测、安全事件趋势分析等模块可视化呈现当前综合安全态势,实时展示各个维度的安全威胁同比变化比例,便于迅速及时掌握整个网络空间安全现状。综合态势大屏显示如图5所示。
图5 综合态势大屏
攻击态势主要是针对全网遭受攻击状况的可视化呈现。通过攻击态势页面,可以直观了解到所有监控资源的脆弱性分布,遭受攻击的情况以及最终受损的情况,实时感知当前发生的各种攻击事件和资产威胁情况,展现攻击者攻击方式、攻击来源及目的地址、攻击频次等信息,以3D地球的方式进行实时攻击展示,便于直观了解攻击源和攻击目的关系和属地关系,通过溯源挖掘分析这些事件产生的原因,掌握黑客攻击路径,提供处置建议和流程,提高运维质量和效率。攻击态势显示如图6所示。
图6 攻击态势
日志检索模块,记录安全设备全部原始日志数据信息,可以更灵活调取各个时间段数据, 并按需求自定义安全报表,定制记录表单,满足规范要求和安全检查需求。
安全监测模块,根据事件类型、发生时间、次数展示近期的安全事件,包含威胁源、受影响资源、受影响资源所属单位、站点信息,方便攻击溯源,追查问题。
通报预警模块,能对预警信息进行汇总、分析、研判,并及时将情况上报、通报、下达,采用特定对象安全评估通报、定期综合通报、突发事件通报、专项通报等方式进行通报。事件分析展示安全事件相关单位、责任部门、域名IP、事件类型等信息,可及时发布通告预警督促相关单位进行整改和治理,权责清晰,形成监管闭环。如图7所示为某单位某IP对应的通报预警统计。
图7 通报预警
验证测试表明,业务承载网安全态势感知系统对原有网络及运行在此网络上的应用系统无影响。通过安全态势感知系统建设,实现了在保障网络和应用系统正常运转的前提下,运用大数据技术提升安全威胁发现能力,运用威胁情报提升攻击检测与追踪溯源能力,运用可视化技术提升安全态势呈现能力,运用安全数据联动提升主动防御能力,运用智能化技术提升安全检测评估能力,多维度全流程掌握业务承载网安全态势,构建网络安全监控常态化、重点单位监测持续化、网络资源监管全面化、预警响应机制高效化的网络安全监管体系,有效提升了整个系统的安全强度。

04

结 语

习近平总书记指出,维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险。正所谓“聪者听于无声,明者见于未形”。感知网络态势是最基本最基础的工作。
结合业务承载的安全实际需求,建设集攻击威胁发现、位置威胁预警、应急响应处置、安全态势监测为一体的网络安全态势感知系统,提升业务承载网的网络安全监测、感知和防御能力,确保业务承载网安全态势可知、可控、可管,推动大数据驱动的网络安全体系防御能力全面跃升。

文章TAG:
下一篇