基于電信運營級計算的網絡安全監控服務平臺的分析

◎李殿環

基于電信運營級計算的網絡安全監控服務平臺的分析

◎李殿環

由于網絡的快速發展，對于網絡安全方面出現的各種問題，以電信運營商為主體，在云計算的基礎上，構建一個提供信息及網絡安全監控、防御管理等服務的云安全公共服務平臺。本文就構建此平臺所用到的技術以及平臺基礎網絡及安全保障設計進行了介紹和分析。

由于信息化建設突飛猛進，網絡安全的重要性日益突出，網絡安全事件數量逐年增多。為了不斷應對新的安全挑戰，企業和組織先后部署了防火墻、UTM、入侵檢測和防護系統等，構建起了一道道安全防線。但是這些安全的防線都僅僅抵御來自某個方面的安全威脅，無法產生協同效應。并且在運行過程中不斷產生大量的安全日志和事件，形成了大量“信息孤島”，使得安全管理人員面對這些數量巨大、彼此割裂的安全信息，顯得束手無策，難以發現真正的安全隱患。針對上述問題在此以面向電信運營商為主體，構建一個提供信息及網絡安全監控、防御管理服務提供的云安全公共服務平臺。

云安全公共全服務平臺簡介

云安全公共服務平臺是在云計算的基礎上提出了一個安全平臺，將網絡安全事件、攻擊方式等資源以“云”的形式在平臺內進行共享。將平臺和服務通過網絡以按需分配的方式提供給外部客戶，同時提供一種虛擬的可動態擴展的計算資源池（云端）。在形成規模的情況下，將資源整合，不但使得整個網絡更加緊湊，易于監控與防護，同時在設備架構、人員的配給上分工也更加明確，更易于節約成本。

構建云安全服務平臺采用的技術

基于云計算的監控與預警技術。通過基于云安全服務平臺對客戶端采集的用戶網絡安全事件進行監控和分析，自動發現用戶網絡風險或威脅，并通知服務監控平臺，由安全監測中心的值守專家人工進行確認，并在第一時間通告用戶。通過平臺智能關聯分析集群系統與專家審核相結合，最大限度的提高對用戶網絡監控結果的準確性，以幫助用戶將所受到的風險影響降到最低。

動態網絡流量控制與整形技術。網絡資源對網絡出口流量通道進行劃分，設定懲罰通道和懲罰時間，實時監測內外IP數據包流量，統計IP在單元時間內數據包長度，根據預先設定的閾值、參數，將IP切換在相關的流量通道中，從而利用網絡流量控制實現網絡整形。

url快速定位及過濾技術。對已經收集到近千萬條url host地址，利用數據庫技術對存在網址進行分類。利用hash value技術，對字符串url地址壓縮，轉int32整型，采用btree二叉樹生成文件數據庫。嵌入式系統啟動后，加載到內存中，得到url host地址后，轉int32整形，從內存數據庫中，快速都到url地址類別，判斷http內容性質。根據預先設置的策略，對http進行阻斷或者放行，并實現url過濾。

網絡行為與特征分析識別技術。應用層協議發起協議包有部分在payload區，有明顯的標志位，http協議，QQ協議，msn協議，還有股票分析和炒股軟件等，在端口、請求字符串都具有典型特征；對于大部分p2p（peer to peer）類型的協議軟件，如旋風下載，迅雷，qqstreaml，ppstream等，對于payload數據區的判定效率較低，且難以捕捉規律。本專利利用連接數、包長、與DPI檢測方法現結合，高效判斷和分類p2p協議。

數據壓縮和歸并技術。該技術采用日志聚合功能，根據用戶網絡日志上報的重復情況，配置一定的聚合比例，同時上報顯示聚合數量。日志聚合功能對于某些網絡攻擊產生的大量重復日志進行歸并，避免重復事件對網絡管理帶來的干擾。收集器以HTTP/S方式發送時間時，支持數據壓縮功能，通常壓縮率為10：1，壓縮后的數據由收集器向平臺傳輸所占的帶寬可忽略不計，不影響用戶網絡的正常使用。

威脅趨勢分析追蹤技術。多個事件檢索條件，可以單一或組合各類條件對歷史事件進行檢索，包括事件級別、資產屬性、事件發生時間、源、目的地址等等條件。可以直觀地看到攻擊源的全球地理位置、全國地理位置分布圖，圖形化和數據統計兩種方式顯示各攻擊源攻擊的事件多少，通過攻擊源分布特性分析用戶被攻擊的地域特性。

關聯分析技術。可以實現跨設備、跨日志類型、全網范圍的關聯分析。當前關聯規則庫可以對50余種類型的攻擊進行分析，如掃描攻擊、DOS/DDOS、SQL注入、暴力破解等。同時可根據企業的安全需求和實際的網絡環境，定制實現符合用戶網絡信息系統使用習慣和事件特點的關聯告警觸發規則。

平臺基礎網絡及安全保障設計

核心信息安全監控和風險評估平臺網絡在整個網絡系統中占有舉足輕重的地位，它是系統的正常運行的前提條件，必須充分考慮網絡的高可靠性，高效率。方案設計符合國家信息系統安全等級保護3級“網絡安全—結構安全和網段劃分”的要求。

采用兩臺交換機作為網絡核心層，兩臺交換機利用生成樹（STP）和虛擬路由冗余協議（VRRP），實現核心交換的冗余；服務器采用雙鏈路與核心交換機相連，實現鏈路冗余；交換機并采用雙鏈路與網絡安全接入層相連，保證鏈路的冗余；交換機電源采用冗余設計。

利用交換機三層交換和路由功能，給局域網劃分若干個虛網（VLAN），保證局域網內的管理工作站機群、服務器群、網絡設備等處于不同的網段，只有本VLAN內部的設備，能夠接收到此VLAN中其它設備所發送的點到點消息、廣播消息或組播消息。通過對交換機中的數據流進行這樣的限制，提高了VLAN內部用戶通信的效率；同時，在不同VLAN間使用ACL（訪問控制列表）技術提高訪問控制安全保護。既提高了局域網訪問速度，又增加了信息系統的安全性。

云安全平臺安全性要達到國家信息系統安全等級保護3級的基本要求。國家信息系統安全等級保護3級包括技術和管理方面的內容，技術方面通過網絡、基礎系統、應用平臺、應用軟件來保證。管理方面通過在系統使用單位的管理規范和制度保障。

綜上所述，基于云安全服務平臺是以云計算為基礎，技術核心包括專業的分布式智能分析引擎，強大的可視化事件分析、網絡行為分析、網絡行為策略管理、安全事件的關聯分析自動預警等，構建一個為接入用戶提供安全事件的監控、分析、防護管理等功能的服務平臺。

（作者單位：濟寧市技師學院）