基于態勢感知技術的電子政務網絡健康度評測平臺搭建

岳劍

一、引言

隨著我國電子政務建設的快速推進，政務應用需求不斷深化、用戶數量不斷擴大、政府網絡應用業務系統日益復雜與多元化，帶來了網絡規模的不斷擴大和網絡結構的復雜化、綜合化。與此同時，對網絡的可靠性、安全性的要求也愈來愈高，網絡性能與信息安全保障工作受到前所未有的高度關注，成為電子政務建設的重中之重。本文基于態勢感知技術，對電子政務網絡整體健康程度評估預測平臺的構建進行研究，通過對網絡性能狀態、安全狀態進行實時測量和跟蹤，感知網絡中的異常事件與整體安全態勢，并進行分析評價，以實現對“網絡健康度”的量化評測與管理，實時掌握網絡安全及性能狀況，將亡羊補牢的事中、事后處理，轉向事前自動評估預測，降低網絡安全風險，提高網絡安全防護能力。

二、概述

態勢感知是指在大規模系統環境中，對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。網絡態勢感知最早分為態勢要素獲取、態勢理解與態勢預測三級模型。隨著研究力度的不斷加大，在原有的基礎上進行異構傳感器管理的功能模型，主要是對異構網絡的安全態勢基礎數據進行采集，并對數據進行整合處理，以便對信息進行對比而形成威脅庫與靜態庫。其功能模型如圖1 所示。

網絡健康度評估是根據系統現在或歷史數據預測性地診斷系統當前健康度以及未來發展趨勢的新技術，通過對網絡原始數據的定性和定量分析對網絡的整體狀況做出全面描述。

本文所提出的網絡健康度評測基于網絡態勢感知技術，通過提取、融合各方面的網絡性能、安全要素，通過關聯分析、信息融合、態勢預測等技術確定網絡健康評估與故障預測的指標體系，搭建網絡健康度評測與管理平臺，實現對復雜網絡的多維度健康度評測，以提高網絡自主式保障能力。

三、主要實現技術

基于網絡態勢感知技術網絡健康度評測，以網絡監控系統獲得的原始監控信息為基礎，從網絡安全態勢感知模型、網絡態勢信息獲取、網絡態勢要素提取、安全態勢評估指標和評估方法四個方面研究適用于大規模網絡的態勢感知關鍵技術。

（一）將態勢信息來源確定為主機層性能、主機層日志、主機層流量、主機層漏洞、應用層性能、應用層漏洞、應用層流量、應用層日志、網絡層流量、網絡層數據包等，并圍繞如何從網絡數據流中提取態勢信息進行態勢感知的問題進行了深入的研究，提出基于多維度的多層次化網絡安全態勢感知模型。

（二）通過網絡數據流多層次的異常檢測獲得態勢信息的方法，從面向網絡的數據流和面向主機的數據流兩個方面進行了研究，通過分析選擇了組合多分類算法中的隨機森林和TreeNet為異常檢測時使用的算法。針對整個網絡入口處數據速度快、數據量大、攻擊和異常數據量相對較小的問題，采用基于改進非廣延熵和雙隨機森林的異常檢測方法。該方法對一個時間窗口的數據包，采用概要數據結構快速記錄部分屬性的統計信息，用改進的非廣延熵將每一個統計量分解、放大以發現少量異常原本不明顯的特征，結合隨機森林強大的分類檢測能力和快速并行決策方式對面向網絡的數據流進行實時的異常檢測。在分支網絡中，為了全面的了解每一個主機是否受到某類安全事件的威脅，針對面向主機的服務請求流和服務應答流分析了安全事件對流屬性的影響，構建了各自的特征集。針對流數據按時間窗口劃分進行異常檢測時，在不同時間窗口，同種安全事件特征易發生波動的問題，選擇了善于捕捉非線性數據結構的TreeNet算法作為分類檢測算法，對面向主機的數據流進行準確的異常檢測。

（三）通過不同層次流量異常檢測結果進行對比提取安全態勢要素的方法。一是在面向網絡的數據流與每個分支網絡面向主機的服務請求流檢測結果之間進行對比；二是在面向主機的服務請求與服務應答流檢測結果之間進行對比。通過對比，在對檢測結果逐步驗證得到準確的安全威脅態勢要素的同時，也得到了安全防御方面的態勢要素。

（四）通過對常用網絡安全態勢評估方法的分析，結合大規模和實時性的應用背景，制定了定量指標的態勢評估方法，從安全威脅、安全防御兩方面有針對性地研究出了實際安全威脅指數、理論安全威脅指數、安全威脅范圍指數、安全威脅可控度指數、安全設備總體防御指數和網絡主機綜合安全防御指數六個指標用于對網絡整體安全狀況的評估。設計了從態勢要素得到網絡健康度評測指標定量結果的計算方法。并通過實驗證明評估的客觀性、準確性和有效性。

四、網絡健康度評測平臺的搭建

網絡健康度評測平臺的搭建通過對態勢感知要素和態勢感知過程的深入分析，構建了以資產信息、脆弱性、危險性、可靠性為核心的網絡健康度評測指標體系，并結合數據融合和層次化分析的思想，提出了基于層次化的網絡健康度評測模型。網絡健康度評測平臺由六大功能模塊組成：

（一）網絡資產綜合管理模塊

通過資產感知自動化快速發現和收集大規模網絡資產的分布情況、更新情況、屬性等信息[2]；對網絡進行資產發現和識別，生成網絡資產庫，并分層顯示網絡的拓撲結構，并提供拓撲節點的級聯菜單，從而全面、動態地反映網絡的運行狀況。資產管理范圍包括各種軟硬件產品，包括網絡設備、安全設備、服務器、計算機終端、安裝的軟件產品等。

1. 網絡資產拓撲發現

發現目標網絡的邏輯拓撲、物理拓撲及鏈路帶寬，其中邏輯拓撲包括目標網絡中路由器和路由器、路由器與子網間連接關系；物理拓撲包括子網內交換機與主機間的連接關系。目前拓撲發現一次最大可以發現包含多個B類子網的網絡，如果需要檢測更大范圍的網絡，可分別檢測網絡的不同部分，然后通過拓撲分析功能將各部分的檢測結果進行分析綜合，獲得整個網絡的拓撲結構。

2. 網絡資產運行服務識別

設備識別主要包含三種檢測功能，一是獲取設備的類型、廠商、操作系統等基本信息進行設備識別，并包含一個指紋采集工具，以便遇到新的設備時采集其指紋并擴種指紋庫。二是獲取設備開放的端口以及端口狀態，判斷設備的服務類型，如：Web服務器、FTP服務器、DNS服務器、郵件服務器等；三是判定設備是否安裝個人防火墻。

3. 網絡資產合規性分析

主要包括對設備非法外連、設備非法接入、設備非法監聽、防火墻未啟動用、設備接口IP改動、服務器服務異常開放等合規性分析。

4. 網絡資產符合性分析

分析邏輯拓撲和物理拓撲的一致性，包括邏輯拓撲的符合性、物理拓撲符合性，即分析子網的符合性和設備之間連接的符合性。

（二）綜合智能網絡監控模塊

通過智能網絡監控系統，實現對各業務系統、應用程序、服務器、存儲設備、網絡系統、網絡設備以及安全系統等的監測和管理，直接提供與應用相關的集中監測的能力、手段和工具。

1. 基礎設施監控

智能網絡監控系統的監測器負責從各種設備、主機、數據庫及其它可達的軟硬件資源中采集狀態和性能數據。智能網絡監控模塊監測器的主要監測手段是基于SNMP協議實現的，同時也充分考慮到實際網絡中復雜異構的設備類型和用戶業務的不同要求，對于不支持或者不開放SNMP協議的被管理對象，采用基于SSH 和Agent（代理模塊）、WMI、腳本等監測方式，通過主動輪巡機制來實現性能數據的采集。

2. 業務系統監控

基于監測器機制，監測業務應用系統是否運轉正常。對業務系統進行系統響應時間、頁面下載速度、打開時間、域名解析時間、系統故障監測、主動安全漏洞監控，并監控服務器的性能變化趨勢，實現網絡應用安全與性能的全監控，全面綜合的分析各個業務應用系統的可用性和性能數據，并最終通過SLA機制和業務視圖的映射出用戶業務系統健康度，為管理者提供客觀的信息依據。

3. 統一事件平臺

智能網絡監控系統能夠對用戶網絡及系統發出的預警信息和故障信息進行整合和自動化的處理。利用不同類型的監測器采集系統級和應用級可用性信息，并在監測器指標測量失敗時發送告警事件。智能網絡監控系統將上述告警信息進行統一格式化后實現集中統一的監測和管理。

（三）網絡安全日志采集與處理系統

通過對服務器、交換機、安全設備、網絡運行情況、中間件、數據庫、業務與應用等相關日志記錄的采集，經過規范化、過濾、歸并和告警分析等處理后，形成統一格式的日志信息進行集中存儲和管理，結合豐富的日志統計匯總及關聯分析功能，實現對系統日志的全面審計。

1. 安全日志采集

數據采集對象不僅包括網絡設備、虛擬主機，還包括安全系統，如加密機、防火墻系統、IDS系統、防病毒系統等安全防護設備，日志采集器主要包括SYSLOG采集器、SNMP采集器、專用采集器、文件采集器、JDBC/ ODBC采集器。

通過多樣的日志采集器，可以保證所有的網絡設備、安全設備、虛擬主機、應用系統的信息能被系統采集。日志采集主要包括以下類型，如表1所示：

通過多種多樣的日志采集器，可以保證所有的網絡設備、安全設備、虛擬主機、應用系統的信息能被系統采集。

2. 日志過濾

通過過濾器去掉符合過濾策略的日志。通過控制日志過濾條件，對實時數據進行過濾。通過對日志中任意一個或多個字段定義過濾器，形成全網、單個或多個系統、單臺或多臺設備、某個或多個時間段的安全過濾策略。包括日志基本屬性（發生時間、名稱和類型、信息內容、傳輸層和應用層協議類型、生成者信息、對應用戶信息）、日志類型（安全重要性類型、技術分析類型）、威脅（資產威脅程度、影響嚴重性程度、可用性等級、優先級別）、攻擊者和目標者信息（主機信息、對應資產信息、對應用戶信息）、設備信息（設備廠商信息、設備主機信息）。

3. 日志標準化

日志采集各種類型的安全日志定義的格式不盡相同，通過日志標準化把這些不同格式的安全日志轉化成標準格式的日志，并對安全日志重新定級。網絡中不同的設備，對安全日志的嚴重程度定義方式、側重點和表示方式各不相同。安全日志根據統一的安全策略，按照安全設備識別名、日志類別、日志級別等所有可能的條件及各種條件的組合對日志嚴重級別進行重定義。安全日志的標準化主要包括以下屬性：日志編號、日志名稱、日志嚴重級別、日志時間、日志內容、安全資產地址、日志原始級別、日志相關協議、安全資產類型、源地址、目的地址、源主機名稱、目的主機名稱、源端口、目的端口、日志類型、系統或應用的名稱。

4. 日志歸并

對統一采集的安全日志進行過濾，冗余處理，根據預先定義的分類規則對日志進行歸納分類，并根據日志處理策略，把日志轉發到日志處理服務器上或者直接轉存到日志數據庫中進行數據歸檔。并根據網絡平臺總體策略的需求，歸并日志的特定特征字段，如：日志信息、日志類型、威脅信息、攻擊者和目標者信息、設備信息、支持根據日志名稱、日志類型、源進程、目標進程、攻擊源、攻擊目標地址、受攻擊的設備類型進行歸并分析。

5. 日志關聯分析

通過日志關聯分析，根據風險分析的資產、威脅、弱點三要素，深度挖掘安全隱患、判斷安全日志的嚴重程度，包括基于規則的關聯分析和基于統計的關聯分析。從大量安全日志中準確識別出真實的安全威脅幫助用戶快速響應安全問題，不斷優化網絡的安全狀況，提升網絡健康度。

（四）基于外部數據源的網絡威脅監測分析系統

結合網絡資產和業務應用系統情況，采集來自外部數據源的數據泄漏情況、漏洞情況、黑客的攻擊情況、行業重大安全事件分析等安全數據，掌握業務應用安全風險現狀，建立安全威脅信息庫，利用安全威脅信息庫，結合網絡資產庫的信息，進行策略匹配，發現網絡中存在的安全漏洞或風險。

1 網絡威脅數據采集

通過多種渠道采集政策法規、安全事件、漏洞信息、惡意代碼等方面信息。從互聯網動態的、準確的、快速的獲取威脅數據信息，并進行威脅數據的校驗、過濾，數據標準化和數據歸并，對數據進行去重、去雜、特征提取、關聯分析等處理，篩選出高價值的數據信息，并最終存入威脅信息庫。網絡威脅數據采集的途徑可包括政府網站、漏洞數據庫、公司網站、行業論壇、社交平臺、電子報刊、博客論壇、自媒體等。

2. 威脅數據存儲和檢索

利用分布式文件存儲系統保存采集到的大量數據，對數據進行分批、壓縮、冗余備份等處理，建立數據索引，以提供穩定、高效的數據訪問調用方式。

3. 針對資產的網絡威脅分析

通過數據關聯，將用戶的資產及應用數據與安全威脅相關聯匹配，深度挖掘用戶資產所面臨的安全隱患，計算出資產所面臨的威脅指數，判斷威脅的嚴重程度，輸出威脅趨勢圖、歷史威脅曲線、可能影響的范圍等信息，并進行安全威脅事件發生次數、安全威脅事件平均響應時間、安全威脅事件平均處置時間和安全威脅事件處置狀態的統計。

（五）網絡自動化深度檢測系統

網絡自動化深度檢測系統通過對漏洞檢測監測新技術，構建漏洞監測預警機制，對網絡設備產品效能進行評估，識別信息安全問題。通過建立網絡外部滲透測試任務、網絡內部滲透測試任務、核心子網滲透測試任務，對網絡核心服務器區、重要用戶區進行逐層滲透，并輸出詳細的取證檢測報告，輔助網絡管理人員準確排查定位安全漏洞。

1. 漏洞檢測

對Windows、Linux、Unix、交換機、路由器、防火墻、MSSQL、Oracl、Mysql、DB2、PostgerSQl、IIS、Apache、Weblogic、Nginx等進行掃描檢測，并實現自動漏洞驗證；對路由器、交換機、網關、無線路由器、VOIP路由器等關鍵設備進行漏洞滲透，檢測路由設備漏洞和預置后門；通過Web掃描功能，對Web業務應用進行掃描審計，集成通用CMS系統漏洞，可進行自動漏洞驗證和手動漏洞驗證。

2. 弱口令掃描

通過暴力破解模塊，對網絡內設備口令進行檢測，可對SSH、Telnet、AFP、DB2、HTTP、MSSQL、Mysql、POP3、PostgerSQl、SMB、VNC等進行口令檢測，并根據掃描結果自動選擇協議。

3. 漏洞取證

對系統漏洞進行證據收集，如漏洞主機的截圖、配置文件、鍵盤記錄、文件操作等。采用的取證方式包括木馬方式、TCP方式取證、遠程管理協議取證。并輸出漏洞檢測報表、資產發現報表及針對性漏洞報表。

（六）網絡健康度態勢分析與威脅預警系統

網絡健康度態勢分析預警依托網絡資產數據、網絡安全日志、網絡威脅數據，對網絡、應用系統的可用性、安全性及安全威脅態勢進行集中監測。

1. 態勢監測

對網絡環境安全趨勢及實時狀態進行監測與展示。綜合利用資產數據、流量數據、內部安全數據、外部威脅數據，按照基礎、脆弱、威脅、風險、綜合等多個維度從數據視角監測與展示網絡實時安全態勢。

2. 趨勢分析

對指定時間段內滿足指定條件的事件如木馬攻擊、僵尸網絡、病毒等重大網絡安全事件的數量或流量進行趨勢分析，生成趨勢分析統計圖，進行短期、中期及長期預測，預判網絡安全未來發展趨勢。

通過趨勢分析，分析人員可以從宏觀上掌握指定時間范圍內某類事件的趨勢，并可與基線進行對比，以便發現大規模的攻擊或違規訪問事件。可以生成在一段時間里威脅分析曲線，全面了解已經發生過威脅的趨勢及將發生威脅的預警曲線。

3. 事件分析

通過系統內置關聯分析規則庫，將安全事件和目標資產的重要性、脆弱性進行關聯，提供異種事件關聯、時序關聯、統計關聯以及針對慢攻擊的長時間窗口的關聯等關聯分析功能。將海量事件按照發生的時間順序基于行為進行關聯，并將多個設備采集的事件進行交叉關聯。此外，關聯分析引擎還具備追蹤溯源的能力，能夠分析出攻擊的源頭，攻擊的中間環節，攻擊的目標，攻擊的模式等內容。

4. 風險評估管理

風險管理涉及資產管理（評估資產的業務價值）、資產的脆弱性（安全漏洞）及資產面臨的威脅（針對資產的安全事件）。通過被保護資產的風險計算功能，展現當前被保護資產的風險值和風險等級。

5. 威脅告警

系統監測到可用性異常或可疑安全事件時，將觸發預先設定的告警閾值或觸發事件分析規則，執行預定義的告警響應動作。告警響應動作涵蓋常見的響應方式，包括控制臺對話框告警、控制臺告警音、電子郵件告警、手機短信告警、告警重定義、執行預定義程序腳本、執行設備聯動操作、創建黑白名單記錄、創建威脅記錄、創建工單、通過Syslog和SNMP Trap向第三方系統轉發告警事件等。并能方便地實現調用第三方系統提供的接口，執行相應的響應。

五、結束語

網絡健康評估有利于從整體把握網絡的安全狀況， 將態勢感知技術應用于網絡安全中，不僅能夠全面掌握當前網絡安全狀態，還可以預測未來網絡安全趨勢，并同過故障預測機制對網絡即將出現的故障進行預報，實現提前預知，事先維修，這對于增強網絡的穩定性、預防網絡安全隱患有著重要的意義。網絡健康度評測平臺的建設， 可為電子政務網絡的日常安全運行、科學管理提供高效可靠的運維管理工具。