網絡安全態勢感知平臺數據采集規范研究與應用

◆張 磊

?

網絡安全態勢感知平臺數據采集規范研究與應用

◆張 磊

（核工業計算機應用研究所安全運維中心 北京 100048）

隨著信息化建設步伐的加快，如何有效化解安全風險，應對各種突發性安全事件已成為不容忽視的問題。由于集團型企業的網絡安全體系復雜，涉及范圍廣，安全防護系統部署地域分散，并且與業務系統耦合度較高，如何將現有分類眾多且具有不同品牌型號的安全防護系統納入統一的網絡安全態勢感知平臺，實現網絡安全態勢全局分析和動態監控已成為各級網絡系統安全管理、運營部門面臨的主要問題。本文以某大型央企集團總部網絡安全態勢感知平臺建設為例，結合其安全要求和業務特點，利用統一的數據接口規范實現不同種類、品牌的安全防護系統數據采集，為集團公司后續各成員單位的下級網絡安全態勢感知平臺接入奠定基礎。

網絡安全態勢感知平臺；數據采集；接口；規范

0 引言

網絡安全態勢感知平臺是以IT資產為核心，以安全事件管理為關鍵流程，采用安全域劃分的思想，通過建立一套實時的資產風險模型，協助網絡安全管理員進行事件分析、風險分析、預警管理、應急響應處置等的集中管理系統。文獻[1]通過建設網絡安全態勢感知平臺可以實現安全事件監控、安全風險集中管理及宏觀態勢展示，能夠對網絡安全建設基線進行合規性檢查與綜合審計等。

某大型集團企業辦公網絡的網絡安全態勢感知平臺建設，以落實集團公司網絡安全管理核心職能，如檢查評估、應急響應處置、風險態勢感知為根本目標，以安全風險態勢感知為導向、以安全合規評估為核心。通過采集網內的各類安全日志、告警、配置、漏洞、性能與可用性等信息，并進行安全風險分析、檢查評估分析、通告反饋、威脅情報導入，從而實現全網的風險態勢感知、合規檢查能力實現，動態的標準與策略、公告反饋機制實現，并通過與安全運維能力結合實現應急響應與處置能力，從而實現基于PDCA理念的安全能力循環提升，逐步提高集團公司網絡安全防護體系的完善程度。

1 現狀及需求分析

集團辦公網絡具有規模大、容量大、覆蓋面廣的特點，覆蓋約100余家成員單位，3萬余終端，整體網絡參照國家等級保護三級標準要求進行設計和建設，網絡內部署有大量不同種類、品牌、型號的安全防護設備和系統，如防火墻、防病毒系統、主機監控與審計系統、身份認證系統等。

為實現統一安全管理，其網絡安全態勢感知平臺規劃采取分級管理的模式，構建“集團總部一級平臺+二級平臺+三級平臺或分布式采集”的三級架構，集團安全態勢感知平臺與二級安全態勢感知平臺之間通過數據接口實現互通，二級安全態勢感知平臺的管理范圍可延伸到三級單位層級，實現本板塊區域的網絡安全態勢感知能力，從而形成“兩級中心，三級監控”的全局網絡安全態勢感知能力。

集團總部一級安全態勢感知平臺與下級安全態勢感知平臺之間為松耦合的架構關系，各級安全態勢感知平臺具備相應的數據接口，需按照統一的數據格式和規范傳輸數據。網絡安全態勢感知平臺整體規劃架構如圖1所示。

文獻[2]實現安全數據采集是網絡安全態勢感知平臺建設的基礎，其將通過各類主動、被動的手段實現資產信息、風險分析、合規檢查所需要的資產信息、配置信息、安全漏洞和安全事件、威脅情報等信息的采集，文獻[3]并提交給數據分析引擎進行具體的分析、關聯等處理操作。

通常在建設網絡安全態勢感知平臺時，主要通過標準SYSLOG協議進行各類安全設備的安全數據采集，由于集團辦公網絡覆蓋單位廣，安全產品種類和品牌眾多，按照規劃要求進行集團三級網絡安全態勢感知平臺建設時，如利用SYSLOG協議對各單位的安全設備進行數據采集，并在完成本級安全數據采集后逐級進行數據上報，將面臨如下問題：

圖1 網絡安全態勢感知平臺整體規劃架構示意圖

（1）集團各單位全部利用SYSLOG采集到的安全數據數量龐大，集團總部一級管理平臺進行數據實時匯總時壓力大，辦公網絡帶寬難以承受。

（2）SYSLOG協議采集到的安全數據可讀性差，必須對所有品牌，所有類型的安全設備數據信息進行范式化，將其轉換為通用格式才可利用安全態勢感知平臺進行內容分析，整體范式化工作量大，且必須不斷伴隨安全設備的更新、調整開展數據信息范式化工作。

（3）難以針對各類安全設備設定統一的采集基線和要求，SYSLOG協議發送的安全數據內容復雜且數據字段繁多，實際工作中無須關注安全設備的所有數據信息，僅需結合網絡安全標準規范要求和自身管理要求進行部分重點關注的數據內容抽取。

為解決上述問題并實現各類安全數據的統一收集、分析，綜合呈現全集團的安全態勢，需制定一套統一的集團網絡安全態勢感知平臺數據采集規范，并約定數據采集內容、采集要求、采集頻率、上報內容、對接方式等，文獻[4]提高態勢分析效率。集團各級網絡安全態勢感知平臺的安全數據采集均需遵從此規范，通過標準數據接口將各級單位平臺采集到的本級安全數據發送至上級管理平臺。

2 數據采集規范設計

集團辦公網絡中各類安全設備產生的數據信息需要通過標準數據接口進行采集和傳輸，傳輸方式為三級平臺將收集到的數據信息傳輸至二級平臺，二級平臺將數據信息傳輸至一級平臺，最后由一級平臺進行安全態勢綜合呈現。在數據采集和傳輸過程中，無須收集所有的安全數據信息，僅對重點關注內容進行采集，同時下級平臺上報內容均為相關統計分析結果，無須上報所有內容。

為統一網絡安全態勢感知平臺數據采集規范，首先需確認安全數據采集的內容和分類，其次需要進行數據采集接口約定，最后由安全態勢感知平臺廠商會同各安全產品廠商進行數據對接，最終實現數據統一采集。

2.1 安全數據采集要求

依據國家網絡安全相關標準規范要求，結合集團公司自身網絡安全態勢感知需要，文獻[5]主要從終端IT資產信息、安全產品數據信息、應用系統安全數據信息、安全通報等方面進行數據采集，具體數據采集內容和來源如下：

（1）終端IT資產信息

終端信息：利用網絡中部署的主機監控與審計系統、終端安全登錄系統進行終端信息收集。

終端安全產品信息：利用部署的主機監控與審計系統、終端安全登錄系統、防病毒系統分別采集各自的安全產品統計信息，如防病毒系統安裝率、身份認證USB-KEY安裝數量等。

（2）安全產品數據信息

漏洞信息：利用漏洞掃描設備開展漏洞掃描工作，并在完成掃描任務后將網絡中的漏洞信息發送至平臺。

安全審計信息：利用主機監控與審計系統對終端的主要違規行為（接入非授權介質、違規外聯、違規訪問互聯網等）告警信息進行采集。

病毒感染信息：利用防病毒系統對網絡中存在的病毒種類、感染病毒主機的數量進行采集。

攻擊事件：采集防火墻、入侵防御系統（IPS）、通過Web應用防火墻（WAF）等安全設備出現的攻擊和告警事件數量。

（3）應用系統安全數據信息

網站安全：通過Web應用防火墻（WAF）設備單獨進行網站攻擊數量和種類采集；采集網站管理員登錄信息（如登錄賬戶、時間、登錄狀態等）。

郵件安全：采集郵件安全網關數據信息，如垃圾郵件數量、種類等；采集郵件系統弱口令賬戶數量、用戶異常登錄信息等。

（4）安全通報信息

安全通報：利用平臺中的安全通報功能進行安全通報信息采集，包括通報時間、通報單位、通報摘要等。

2.2 數據采集接口實現

網絡安全態勢感知平臺統一數據采集接口由安全態勢感知平臺廠商進行開發，其他安全廠商、應用廠商按照統一的規范要求進行平臺數據采集接口調用，分別將各自的數據信息傳輸至平臺，避免由于安全產品種類品牌眾多，導致安全態勢感知平臺不斷進行數據接口調整。

此次的數據采集接口利用WEBSERVICE進行技術實現，采用SOAP協議進行Web數據信息交互，集團網絡安全態勢感知平臺數據采集規范中共包含14類數據采集接口，同時定義了集團各單位的部門編碼以及各類IT設備的類型映射表。以下以病毒信息采集接口為例進行說明。

（1）請求方法及路徑說明

表1 請求方法及路徑說明

（2）請求參數說明

按照病毒數據采集內容要求，對所需的數據字段進行命名，同時約定該字段的數據類型并說明字段意義，考慮到后續數據內容擴展，預留4個備用字段。

表2 請求參數說明

（3）請求及應答示例

請求示例：

http://${ip}:${port} /getVirusInfo?str=[{"deviceIP":"192.168.1.1","deviceType":"臺式機","virusName":"熊貓燒香病毒"," infectedMachines":"1200","deptCode":"100010","intervalTime":"300000","startTime":"1532939228608","endTime":"1532939228608"}]

應答示例：

[{"result":"插入數據成功","reason":"","startTime":"0","endTime":"0"}]

[{"result":"時間不匹配","reason":"","startTime":"0","endTime":"300000"}]

[{"result":"插入數據失敗","reason":"異常原因： net.sf.json.JSONException:JSONObject["infectedMachines"] is not a number.","startTime":"300000","endTime": "600000"}]

[{"result":"插入數據失敗","reason":"異常原因：java.lang.NullPointerException","startTime":"300000","endTime":"600000"}]

3 數據采集規范應用

目前，集團總部已完成一級網絡安全態勢感知平臺建設，數據采集規范的具體應用如下：

（1）實現安全數據統一采集

集團總部一級平臺建設過程中按照數據采集規范要求內容開展了數據對接工作，一方面由平臺建設方進行所有數據采集接口的統一開發，便于不同類型安全設備進行接口調用，另一方面由應用系統、安全產品廠商等按照數據采集規范要求生成平臺所需的數據內容，并利用標準接口傳輸至平臺中。目前，集團總部一級平臺已按照數據采集規范要求完成了各類數據采集，所需數據內容均可正常傳輸至安全態勢感知平臺，并由平臺進行后續安全處理和分析。

（2）實現安全態勢綜合呈現

集團總部一級網絡安全態勢感知平臺在進行安全態勢展示大屏建設時，參照數據采集規范要求進行開發，展示大屏中的內容與數據采集內容保持一致，能夠從漏洞掃描、病毒信息、網站攻擊等不同維度進行安全態勢展示。

（3）為下級網絡安全態勢感知平臺建設提供指導和依據

集團總部一級網絡安全態勢感知平臺項目建設時，同步開展了下級單位試點建設工作，在明確了數據采集規范要求后，下級平臺建設時可依據此要求開展有針對性的數據采集和上傳工作。且由于各單位通過標準數據采集接口采集到的數據格式、類型相同，使得網絡安全態勢感知平臺能夠對各單位的安全數據信息進行統計和分析，從而呈現出集團整體安全態勢。

4 結束語

本文以某集團網絡安全態勢感知平臺建設過程遇到的問題為例，提出了數據采集規范設計內容，通過制定統一的數據采集接口規范，約定了安全數據采集內容、要求、來源等，實現了集團總部一級網絡安全態勢感知平臺的數據采集，結合網絡安全態勢感知平臺安全態勢展示大屏對集團總部網絡安全態勢進行了分析和呈現，同時為后續下級安全態勢感知平臺建設、接入提供依據并奠定基礎。

[1]盧慶，文衛疆，陳新.大數據技術支持下的網絡安全態勢感知技術探究[J].網絡安全技術與應用，2017.

[2]陶源，黃濤，張墨涵，黎水林.網絡安全態勢感知關鍵技術研究及發展趨勢分析[J].信息網絡安全，2018.

[3]陳興蜀，曾雪梅，王文賢，邵國林.基于大數據的網絡安全與情報分析[J].工程科學與技術，2017.

[4]張淑英.網絡安全事件關聯分析與態勢評測技術研究[D].吉林大學，2012.

[5]宋進，唐光亮.網絡安全態勢感知技術研究與應用[J].通信技術，2018.