面向高等職業院校的網絡安全態勢感知系統研究

許可

摘 要：隨著校園信息化和智慧化建設的推進，校園網絡及內部資產設備面臨的安全風險日益增多。為了完善高校的網絡安全管理和運營，本文基于WAF防火墻、交換機和服務器的事件信息，研究建立了統一的可視化網絡安全態勢感知平臺，加強了網絡主動防御機制，為實時分析網絡攻擊行為和網絡安全運營的協同管理和決策提供了可靠的技術參考。

關鍵詞：高職院校 安全態勢感知 安全運營中心 網絡安全管理

中圖分類號：TP393.08-4 文獻標識碼：A 文章編號：1672-3791（2018）08（c）-0007-02

隨著高等職業院校校園數字化建設的推進，當前校園網絡的體系更加復雜，主要表現為網絡安全威脅多樣化、安全防護范圍的擴大化和安全邊界模糊，使得面臨的網絡安全風險也逐漸增多。根據《網絡安全法》中網絡安全等級保護制度的要求，高校需要加強安全防御的主動性、準確性和網絡攻擊定位效率，應該根據高校業務、應用和流程的特點，研究定制主動安全防御體系和感知網絡安全態勢[1]，實現網絡風險評估的可視化，幫助高校認清網絡威脅環境的變化，掌控網絡風險發展趨勢，為高校網絡安全的管理運營提供了決策支持。

1 系統設計

1.1 功能設計

網絡態勢感知系統通過采集WAF防火墻、交換機等網絡設備和安全設備的事件信息，分析識別關鍵事件信息，對網絡安全態勢進行智能評估和可視化展示。系統主要功能如圖1所示，要求系統支持獨立部署和分布式部署。

1.2 系統架構

如圖2所示，該網絡安全態勢感知系統由事件采集代理、事件采集服務器、事件處理服務器、安全運營中心服務器和數據庫服務器組成。

事件采集代理（Event Collection Agent，ECA）是安裝在關鍵資產服務器操作系統里的消息事件代理客戶端軟件，負責采集重要系統的應用服務器關鍵日志信息或者關鍵資產服務器的Windows系統事件信息，并將采集的信息日志發送給ECS。事件采集服務器（Event Collection Server，ECS）用于采集網絡設備（如交換機）、網絡安全設備等硬件資產的日志信息或數據庫系統的數據，并對數據進行去重、數據歸一化等預處理，然后將預處理后的數據傳送至EMC。事件處理服務器（Event Mangement Sever，EMC）是數據處理中心，通過聚類分析、關聯分析、分類處理等數據挖掘技術，對消息事件進行分析處理，并識別資產的網絡安全風險，完成數據入庫并將實時信息發送至SOC。安全運營中心（Security Operation Center，SOC）是整個安全態勢感知系統的控制管理模塊，主要包括資產管理、網絡管理、風險管理、風險預警管理、報表管理、報警管理和系統管理等功能，是供網絡管理人員監控校園網絡安全實時狀況的態勢感知系統。數據庫服務器（DataBase Server，DBS）存儲預處理后的原始數據、經過EMC后的各類數據、資產信息、用戶數據、事件信息等系統的各類數據，并具備關鍵數據的備份功能。

2 系統實現

網絡安全態勢感知將網絡安全設備、交換機、應用系統日志和關鍵資產服務器的Windows系統事件信息等數據作為數據源，主要通過SYSLOG方式、Agent代理采集和數據庫管理系統（DBMS）配置等途徑采集數據。

（1）SYSLOG方式。SYSLOG可以對防火墻、交換機、路由器和系統服務器等設備進行相應配置，采用UDP協議向指定服務器發送事件信息。該態勢感知系統通過對學校校園網絡已經配置的深信服的WAF防火墻和華三交換機進行配置，向ECS傳輸事件信息，為態勢感知系統提供數據源。

（2）Agent代理采集。該方式通過在操作系統部署Agent代理掃描采集操作系統日志文件和IIS服務器日志文件，并將相關事件信息數據發送至指定服務器。該系統通過Agent代理提取包括log、txt、html等文件格式的日志信息，并發送至ECS，為態勢感知系統分析關鍵資產設備和應用系統的運行情況提供日志數據。

（3）DBMS配置方式的采集。該方法通過數據庫管理員對DBMS的事件信息和日志進行配置，實現對重要應用系統的數據庫的關鍵事件信息的獲取。本文通過ECS采用輪詢的方式進行數據提取，為態勢感知系統、了解應用系統訪問和操作情況提供了數據基礎。

3 態勢感知關鍵技術分析

該系統安全態勢分析的關鍵技術主要包括安全評估、態勢評估、預警與響應和態勢可視化等內容。

（1）安全評估。安全評估主要是通過EMS基于ECS預處理后的事件信息識別事件類型、并采用聚類分析、分類處理等數據處理方法，對消息事件進行分析處理，并識別資產的網絡安全風險。同時，通過將Agent代理采集的服務器漏洞信息與已知的安全漏洞進行對比，識別其中存在安全隱患的服務器和漏洞信息，實現識別有安全風險的服務器，生成修復報告和處理意見，并通過可視化技術將攻擊源的物理位置標注出來。

（2）態勢評估。態勢評估主要是通過數據挖掘和數據融合技術分析識別事件信息的時序特征、因果關系和不確定性，形成網絡協同布防報告，為網絡安全管理人員識別網絡態勢和網絡安全處理措施的決策提供技術參考。本文主要采用包括關聯分析、聚類分析、序列模式分析和安全閾值特征值設置[2]等數據挖掘技術對網絡態勢的時序性和因果性進行評估，并采用貝葉斯網絡和D-S證據推理技術對具有相似性或不同特征的攻擊行為數據進行融合集成[3]，然后建模分析，為識別具有不確定信息的攻擊行為提供技術參考。

（3）預警與響應。預警主要是系統基于安全評估和態勢評估的結果對確定的實時攻擊行為，將預警結果顯示在網絡安全態勢監控圖中，并通過實時消息和語音報警的技術在態勢感知系統進行實時反饋或提示，同時，提供響應處理的建議，便于安全運營管理員快速及時地處理漏洞和安全風險，或采取具有針對性的處理措施。

（4）態勢可視化。態勢可視化是指態勢感知系統能夠存儲安全評估和態勢評估的數據結果，并通過信息技術將網絡態勢實時監控、攻擊路徑分析、資產管理、網絡管理、風險管理、風險預警管理、報表管理、報警管理和系統管理等功能可視化。

4 開發工具

該系統的采用C/S和B/S兩種開發模式，其中事件采集代理Agent是Windows服務、事件采集服務器和事件處理服務器是C/S模式的客戶端，安全運營中心服務器是B/S模式的WEB網站，并采用Visual Studio 2013集成開發環境使用.NET開發實現，數據庫采用SQL Server 2012，圖標插件采用Echarts 4.2。其中，C/S采用WPF的設計模式，B/S采用MVC的設計模式實現。

5 結語

本文通過融合防火墻、交換機、服務器和應用系統等資產的關鍵事件信息，研究建立了統一的面向高等職業院校的可視化網絡安全態勢感知平臺，為學校的網絡安全管理員實時分析網絡攻擊行為和網絡安全運營決策提供了技術參考，也為高等職業院校的網絡安全運營的協同管理和網絡主動防御提供了一種新思路。網絡安全態勢感知分析技術是基于關鍵事件信息對網絡安全主動防御的先進技術，如何對多源數據進行融合，并更快、更精確地進行數據分析是未來的重點研究內容。

參考文獻

[1] 高薇，許浩，寧玉文，等.基于安全態勢感知平臺的高校網絡SOC研究——以第四軍醫大學為例[J].計算機技術與發展，2018（1）：150-154.

[2] Zhao D， Liu J. Study on Network Security Situation Awareness based on Particle Swarm Optimization Algorithm[J].Computers & Industrial Engineeri-ng，2018，125（11）：764-775.

[3] 劉效武，王慧強，禹繼國，等.基于多源融合的網絡安全態勢感知模型[J].解放軍理工大學學報：自然科學版， 2012，13（4）：403-407.