一個網絡安全監控平臺的設計

謝黎明

摘要：隨著科技的進步，以及計算機網絡的普及快速發展，網絡安全問題也呈現出復雜化趨勢，網絡安全的威脅來源不斷增多，攻擊手段也再不斷變化。僅僅通過安裝一些安全設備和安全軟件來進行安全防護已不能滿足需求，建立一個完善的網絡安全監控平臺進行動態、綜合的防護管理非常有必要。本文提出一種網絡安全監控平臺的功能設計，通過這些功能可以有效地發現風險、分析風險、預測風險，極大地提高網絡安全管理的有效性。

關鍵詞：安全監控;威脅情報;關聯分析

1背景

隨著計算機網絡的普及快速發展，網絡安全問題都受到越來越多的關注。網絡安全威脅來源的不斷增多，攻擊手段的不斷變化，使網絡安全防護工作的難度持續加大。目前，通過安全設備以及安全軟件等常規手段可做到基本防御，包括能識別和防御一些常見的網絡攻擊，能初步地管控外包人員的權限、記錄外包人員的操作。但這些手段很難有效防御新型、復雜的網絡攻擊，而且無法進行威脅分析或者威脅分析的準確性和及時性不高。另外，這些手段對外包人員行為的事中、事后管控不足。為解決這個問題，需建設一個網絡安全監控平臺，通過統一監控、展示、分析和決策來實現對網絡安全威脅的可知、可管以及可控。

2監控平臺的需求分析及總體設計思路

一個好的監控平臺應該具備以下能力。首先，該平臺應該能監控所有主機、網絡設備、安全設備以及數據庫日志等數據，能監控外網邊界以及內網核心結點的網絡流量，具有外部專業機構提供的海量情報數據。其次，該平臺應該具備較高地行為分析能力，能對于特征明顯的威脅進行規則配置并準確分析，能對于特征復雜的威脅建立模型并分析。最后，平臺還應該具備及時準確的威脅告警能力，并能通過豐富的圖形圖表對安全態勢進行直觀展示。

基于這些需求，本文提出一個完整的監控平臺功能設計，具體分為三個模塊，一是核心監控模塊，主要負責對安全的監控、分析及展示;二是事件及數據管理模塊，主要負責對已確認報警事件進行處置管理，對資產日志及網絡流量數據進行采集、處理及存儲;三是后臺管理模塊，主要負責系統管理、資產管理以及報表統計等功能。三個模塊互相配合，共同完成整體網絡安全監控的功能，同時三者又相對獨立，使得系統具有較好的開放性及擴展性。

3核心監控設計

核心監控模塊包括威脅監控、異常行為分析以及態勢感知三方面內容。

威脅監控是整個監控平臺最為核心的模塊，負責建立并維護關聯分析規則，并基于分析規則發現威脅并告警，具體包括規則管理、關聯分析[1]、威脅告警、威脅情報管理等內容。其中規則管理功能主要負責對關聯規則的創建及維護、測試、啟用及停用等管理，是平臺進行威脅分析及預警的基礎。而關聯分析則負責按平臺定義的管理分析規則，對實時數據及歷史數據進行多維度的分析，以發現潛在威脅。威脅告警主要負責展示威脅及異常行為產生的各類告警，可通過平臺、短信、郵件、聲音等多種渠道向管理員進行告警。威脅情報管理主要負責收集威脅情報，并提供威脅情報的導入、查詢、關聯分析以及導出等功能。

異常行為分析模塊主要是利用數據建模及機器學習等手段，對不能通過規則直觀分析的用戶行為異常進行分析，并對發現的高風險異常行為進行提示告警。首先，通過業務分析，建立邏輯數據模型，并選取恰當的算法在大數據環境下對異常行為建立數據分析模型。然后，通過對實時活動與行為基線的對比，不斷對模型進行訓練調優，使行為基線準確描述實際活動。最后根據優化后的機器學習模型，進行異常行為的監控并對異常行為發出告警。

態勢感知負責對平臺監控的全貌進行展現[2]，從多個緯度了解威脅防御現狀，了解當前什么資產受到威脅，什么時間受到威脅，以及威脅的類型及嚴重程度等，幫助用戶全面掌握當前威脅防御能力及發展趨勢，為威脅防御工作部署及決策提供依據。具體應包括綜合態勢展示、威脅警告態勢展示、威脅分類展示、系統受攻擊展示以及地域受攻擊展示等。

4事件及數據管理設計

事件及數據管理模塊包括事件管理和數據管理，具體功能有事件處置、攻擊溯源[3]、數據采集、數據處理及數據存儲。事件處置負責對確認為安全事件的威脅告警進行管理，并記錄事件處置過程及相關信息。攻擊溯源負責利用平臺采集的安全數據，對安全事件進行溯源分析，幫助事件重現和取證。數據采集負責采集IT資源中各種設備和系統的日志及網絡流量，應具備新建、查詢、刪除采集對象和采集器、進行采集監控等功能。數據處理負責對原始日志數據和網絡流量數據的處理，包括數據清洗、數據解析以及數據格式化等。數據存儲則應需滿足對結構化數據和非結構化數據的存儲。

5后臺管理設計

后臺管理模塊包括系統管理和輔助功能管理。系統管理負責監控平臺自身運行維護所需要的管理功能，具體包括對平臺中所有的管理員進行權限管理，對平臺的用戶日志和系統日志等進行管理，對平臺的組建、系統參數、認證策略、系統字典等進行參數配置。輔助功能負責對平臺核心應用提供一些支撐性功能，具體包括實現對資產的創建、查詢、維護、授權及導出;對和安全相關系統運行和維護知識、事件處置知識以及規章制度等內容形成知識庫進行集中管理;對報表的定制、分類、查詢、導出及展示等管理，以更好的分析展示安全工作的結果。

6結束語

網絡安全形勢日益復雜，然而目前通過安全設備以及安全軟件等手段開展的防護措施難以有效防御新型復雜的網絡攻擊，且無法進行關聯分析和深度分析。另外，傳統防御措施告警數量過多，誤報率較高。本文提出一個網絡安全監控平臺的設計，通過這些功能，可實現對各類安全設施的威脅防御能力的整合，對各類安全威脅進行關聯分析和識別，提供有價值的威脅告警信息，減少誤報的概率，并對威脅識別、告警、確認和處置進行全過程管理，對各類安全威脅進行集中展示，提高了網絡安全管理的便捷性及有效性。

參考文獻：

[1]李建華.網絡空間威脅情報感知、共享與分析技術綜述. 網絡與信息安全學報[J]，2016（02）：16-29

[2]蓋偉麟，辛丹，王璐.態勢感知中的數據融合和決策方法綜述[J].計算機工程， 2014， 40（5）： 21–25， 30.

[3]劉潮歌.定向網絡攻擊追蹤溯源技術研究[D].中國科學院大學，2018.