電子政務網絡的網絡安全態勢感知系統的研究

劉丹，魏宏安

（福州大學物理與信息工程學院，福州350108）

0 引言

近年來信息化技術高速發展，為達到各地區各級各類政務信息的數據融合共享、規范化管理、便捷化服務的工作目標，電子政務的應用越加廣泛。然而，與之伴隨的是各種網絡安全事件，黑客們利用網站/系統漏洞或各種網絡機制的弱點等，發動數據信息惡意篡改、網絡仿冒、拒絕服務等網絡攻擊事件，從而造成數據信息泄露、操作系統無法正常運行、網絡故障等危害，對國家經濟造成重大損失。

為防御各種安全威脅，必須采取有效的安全保障方法來保證電子政務網絡的安全運行。通過分析，現階段主要包括以下2 種安全保障方法：

（1）使用單一安全產品或設備。重點對一個或幾個方面進行檢測與防御，例如使用數據庫審計[1]、防毒墻[2]、入侵檢測[3]等網絡安全防御技術，固然在某些方面上加強了政務網絡的安全性，但是獨立的產品或設備也意味著功能分散、各自為戰，相互之間沒有關聯，不能全面的監測整個網絡的安全狀況，且需要熟悉多種安全產品系統。

（2）使用統一網絡安全管理系統。系統針對多種網絡安全產品進行簡單集成，雖然在一定程度上提升了網絡安全監測的全面性，但是集成的多種安全產品來自多個安全廠家，沒有自主研發產品，從知識產權角度出發，容易受各種產品的限制，且經濟成本高，不適用于中小型網絡安全監測與防御。

因此，以上2 種安全保障方法無法滿足中小型電子政務網絡的網絡安全的需求，本文基于網絡安全態勢感知技術，研究了網絡安全態勢感知系統（Network Security Situation Awareness System，NSSAS），系統集成多種網絡安全產品，使用統一管理調度機制，使各安全產品之間相互支撐、協同工作，能較為全面的對網絡安全進行監測與防御；且該系統是自主研發，集成的安全產品多為開源、自主研發和政府支持的國內安全產品或設備，生產成本降低，適用于中小型電子政務網絡的網絡安全監測。系統不僅彌補了上述2 種安全保障方法的不足，而且實現了網絡安全實時監測，能以多角度、多尺度的可視化方式提供準確直觀的網絡安全態勢趨向圖，對突發性威脅事件應急處理及預警等網絡安全的需求。

1 關鍵技術

關于“網絡態勢感知”的定義，目前沒有唯一確定的定義。在文獻[5]中作者認為，“網絡態勢感知是在大規模網絡環境中，對能夠引起網絡態勢變化的安全要素進行獲取、理解、顯示以及未來趨勢預測”。在整個系統中，安全要素提取、安全要素分析、安全要素可視化展示、安全預警是四個至關重要的組成要素，提取、分析代表網絡安全態勢感知系統的前提，安全要素可視化展示是最后的目的。所以，網絡安全態勢感知關鍵技術主要包括數據預處理與安全要素特征提取、安全要素分析與評估、網絡安全預測等。

（1）數據預處理與安全要素特征提取

防火墻[4]、防毒墻、WAF、NIDS 等安全設備產生數量較多的各種數據，包括運行數據、日志數據、噪聲數據等。因為各設備的不同廠商對數據的不同定義導致原始數據的格式不盡相同、因為設備性能的問題使得會采集到噪聲數據、因為采集頻率過高使得短時間內采集到相同數據等，這些多種因素都會導致采集的數據無法直接使用。數據預處理技術的作用就是將這些大量冗雜的數據進行格式統一、冗余去除、過濾、合并重復記錄，為后續的分析、預測等做準備。

安全要素特征提取是指利用PCA 主成分分析方法等特征提取算法將特征從海量數據中提取出來，最后與特征庫進行對比。根據特征提取函數與學習算法是否有關，特征提取算法可以分為兩類：Filter 和Wrapper 模式。前者是根據已知經驗，人為進行關鍵字特征提取設置，并且人為定義準確度、安全等級等度量標準因素來判斷各特征子集的使用順序、優劣等；后者則利用神經網絡等學習算法進行訓練自主產生特征子集，將學習算法的效率、準確率等作為判斷子集優劣的度量標準因素。

（2）安全要素分析與評估

在數據預處理與安全要素特征提取后，需要進行安全要素分析與評估。安全要素分析重點是對安全事件要素進行分析，包括數據、業務、內容、異常網絡訪問、系統運行等安全事件，將提取的繁雜的關鍵特征利用決策樹、貝葉斯等方法進行事件關聯分析。評估主要是從系統漏洞、威脅告警、攻擊事件等多方面要素利用神經網絡、模糊推理等方法來綜合評估網絡安全狀態，為網絡安全決策提供依據。

（3）網絡安全預測

網絡安全預測是達到網絡安全主動防御的目標的重要手段，本質是利用大量已發生的的告警數據進行深度學習行為，從中發現入侵者入侵規律，從而研究出預測模型，使得安全態勢系統能根據入侵前期的入侵特征對入侵行為進行早期預測，及時采用有效措施加以阻止。

2 系統的設計

2.1 系統結構

構建網絡安全態勢感知系統，一是數據采集，采集整個網絡環境中的終端、邊界和網絡關鍵節點中的各類安全數據，對其進行預處理，形成原始安全數據庫，數據的采集對整個態勢提取、分析和呈現有著重要的影響，如果數據不清、數據采集混亂，態勢感知因素提取將無法實現，因而數據采集尤為重要；二是數據分析，采用相關算法，對大量預處理后的安全數據進行關聯、統計分析，通過數據分析從中發現爬蟲攻擊、溢出攻擊、永恒之藍等各類與網絡安全有關的威脅告警信息；三是態勢展示，即對資產、漏洞、安全事件等各要素的可視化呈現。本文設計系統結構如圖1 所示。

圖1 網絡安全態勢感知系統架構

NSSAS 的結構分為：數據采集、數據分析、態勢展示。NSSAS 采用從下到上的設計理念，上層依賴下層，負責輸出服務。A 代表的是資產中心，包括防火墻、入侵檢測、防毒墻等安全設備和路由器、交換機等網絡設備等。B 是的數據采集層，是整個NSSAS 的基礎，為數據分析層提供數據源，本文采集數據分為資產信息數據、漏洞數據和安全事件數據三種，資產信息數據是關于資產信息的數據，包括端口、服務、協議、根域名ICP備案號、操作系統等；漏洞數據是關于資產的漏洞數據，包括系統漏洞、Web 漏洞[7]、弱口令漏洞、apt 漏洞[10]等；安全事件數據是關于資產的安全事件數據，包括網絡安全事件、數據安全事件、業務安全事件、內容安全事件、可用性安全事件等；C 是NSSAS 的數據分析層，利用關聯分析規則、統計分析規則，將采集到的數據進行分析；D 是態勢展示層，屏蔽內部數據處理，直觀的為網絡管理員呈現當前網絡安全態勢，這是最終目標，也是為網絡安全管理員的判斷提供依據。下面從資產感知、事件感知、脆弱性感知三個模塊進行設計。

2.2 主要功能模塊的設計

（1）資產感知模塊

基于三個需求（a）網絡規模較大，主機服務器、網絡設備等資產數量較多無法一一添加資產；（b）對已知資產新增管理時，資產信息所知不全；（c）長期的網絡建設以及相關業務的變更使資產存活情況和資產屬性信息不清。為此提出了資產感知模塊，該模塊提供資產管理、資產發現、資產探測、資產審核、資產風險視圖等功能，功能流程圖如圖2 所示。

圖2 資產感知模塊功能流程圖

本系統采用masscan、nmap[6]以及兩種結合的掃描方式進行，分別對應快速模式、標準模式、深度模式三種采集策略，可根據需要自主選擇采集策略。系統通過任務掃描可以發現存活主機、開放端口，進而發現其運行的服務、操作系統等信息，為下一步的工作奠定基礎。從經濟角度出發，為節省成本，采用開源的采集工具，而在所有同類型的開源采集工具中，使用最為廣泛的是mascan 和nmap，其中mascan 采用了無狀態的掃描技術，沒有進行完整的TCP 三次握手，與zmap 多端口掃描相比較，速度快；設置靈活，允許自定義任意的地址范圍和端口范圍，可以設置黑白名單，重試次數、UA 字段值、發出數據包的TTL 值，發包后的等待時間等掃描設置。而nmap，也稱為網絡映射器，它是一個廣泛使用的開源工具，功能非常強大，可以實現高效的網絡發現和安全審計，全球的開發者都對為其功能的豐富貢獻了力量，它除了擁有主機發現，開放端口掃描，支持多端口、多網段，可對目標域名進行掃描等基本功能，還具有識別功能，能識別端口服務類型及版本、操作系統、設備類型等。

（2）事件感知模塊

基于需求“需要從安全事件分析網絡安全”，為此提出事件感知模塊，該模塊提供分類規則和關聯分析規則等規則的維護、事件檢索以及告警監控等功能，功能流程圖如圖3 所示。

圖3 事件感知模塊功能流程圖

本系統對安全事件數據的采集采用了netflow[7]、syslog、入侵檢測等多種采集工具。采用多種采集工具的原因有多點：①首先，每種采集工具的特征庫都不盡相同，采用較多的采集工具，能夠采集較為完善的數據，且對于安全事件的誤報率能有所減少，提高數據的準確性，但并不是越多越好，還要考慮數據的融合；②其次是歷史原因，網絡建設不是一蹴而就，是逐步擴展，不同建設時期所選的網絡設備、安全設備廠家有所不同，而不同廠家生產設備所支持的采集工具不同。采集器將采集到的原始數據利用過濾規則、分類規則等規則進行預處理，其中這些規則是通過經驗設置表達式如嘗試[sql 注入-“{-N：28,-SC：((blind injection))}”]、[蠕蟲傳播-“-SE：((NR-50001/0))”]、[UDP flood 攻擊-“-SC：((attackevent=UDP FLOOD))”]的方式形成預處理規則庫，原始安全事件數據預處理后形成可用的安全事件數據源，再將其通過關聯分析規則、統計分析規則等進行分析，從而產生威脅告警信息。

（3）脆弱性感知模塊

基于需求“需要從漏洞方面分析網絡安全”，為此提出脆弱性感知模塊，該模塊提供系統漏洞掃描、Web漏洞掃描[8]、弱口令漏洞掃描、漏洞視圖等功能，功能流程圖如圖4 所示。

圖4 脆弱性感知模塊功能流程圖

本系統支持采用awvs[9]、綠盟極光、nessus[10]、安恒MatriXay Webscan 漏洞掃描工具對漏洞數據進行采集。采用這四種漏洞掃描工具的原因如下：①采用的幾種漏掃工具包含開源工具，從經濟角度出發，可以節省成本，且每種漏洞掃描工具的漏洞庫都不盡相同，采用較多的漏掃工具，能夠得到較為完善的漏洞數據，防止漏掃；②開源的漏掃工具的漏洞庫，不能更新漏洞庫，但由于技術在發展，新的漏洞也會實時出現，重大漏洞的產生若沒能及時跟蹤修補將會造成不可挽回的損失，故需要掃描器廠商實時跟蹤各機構發現的漏洞情況、研究其原理、快速給出解決方法，因而購買會及時更新漏洞庫的商用漏掃商品；③國內政策推進國內產品。支持多種漏洞掃描器，這么做優勢在于可自主選擇掃描器，更加靈活，且多種漏洞庫的疊加，使得數據更加完善，減少漏掃的可能性；劣勢在于，每種漏掃工具對漏洞的定義不同，就可能產生一個漏洞出現兩個記錄，這樣會使得安全服務方重復校驗相同漏洞。所以目前需要解決的是如何歸并漏洞，針對這個問題，后續提出一種解決方式，基于CVE 編號，將相同CVE編號的漏洞歸并，但是這個需要各種掃描器能支持獲取CVE 標號，且對于不在國際漏洞庫中的漏洞，無法進行歸并。

3 系統測試

基于電子政務網絡的態勢感知系統已在某地區電子政務網絡成功部署并上線試運行。系統平臺實現了

（1）資產感知功能：對10.9.1.104 進行探測，探測到網絡資產10.9.1.104（linux）有三個端口，端口/服務/協議分別是22/ssh/tcp、80/HTTP/tcp、3306/MySQL/tcp。

（2）事件感知功能：按照實際發生時間近15 分鐘的條件搜索，監測到發生117 條安全事件。

圖5 資產10.9.14.104的探測結果

圖6 近15分鐘的安全事件

（3）脆弱性感知功能：對資產10.9.1.202 進行系統漏洞掃描，共掃描到21 個漏洞，其中高危漏洞3 個，中危漏洞5 個，信息漏洞13 個。

圖7 資產10.9.1.202的系統漏洞掃描結果

（4）態勢展示：針對安全威脅、風險、漏洞、攻擊等不同要素展示趨勢走向，為安全策略提供直觀依據。

圖8 系統的綜合態勢

4 結語

本文從當前中小型電子政務網絡的安全防御需求出發，分析了傳統安全保障方法的不足及應用本系統的優勢，達到對電子政務網絡的外部攻擊和內部潛在風險的監測、提供及時安全告警、對威脅進行處置等功能。本文的設計思路對醫療、教育、電力等領域的網絡安全態勢感知系統也有參考和借鑒意義。