面向漁政管理信息系統的網絡安全態勢分析

陳孟婕，劉慧媛，蔣慶朝，徐 碩，倪晨瀚

（中國水產科學研究院漁業工程研究所，北京 100141）

近年來，隨著網絡規模迅速擴大，網絡的脆弱性特點也使得病毒、漏洞、攻擊等網絡安全問題層出不窮，諸如2021年美國先后發生的“太陽風”（Solar Winds）黑客事件、科羅尼爾管道運輸公司（Colonial Pipeline）石油運輸管道事件、挪威Volue公司與愛爾蘭衛生服務執行局（Health Service Executive，HSE）遭遇的勒索軟件攻擊事件等［1，2］，凸顯了網絡安全嚴峻態勢，給包括漁政管理系統在內的各類信息系統造成嚴重威脅。信息網絡安全問題已引起各國政府部門的高度重視，我國自2016年以來先后推出了《中華人民共和國網絡安全法》《網絡信息內容生態治理規定》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等一系列網絡安全保護相關法律法規，加強網絡安全領域監督管理，各國也通過立法、研究資金支持、政企合作等方式，加強網絡安全管理［3，4］。

在宏觀政策指導下，信息系統網絡安全管理工作以各類網絡日志數據作為基礎研究資料，開展網絡日志、網絡流量分析，掌握網絡整體情況、辨識安全風險，提升網絡安全防御能力。面向網絡安全的網絡日志分析技術主要解決海量、多源異構日志采集與處理、數據模式識別與分析挖掘等問題，識別網絡安全問題并實現攻擊行為防御，具體包括網絡監控、異常檢測、特征分析、態勢感知等［5－6］。基于網絡日志及網絡流量分析技術，各個廠商開發了防火墻、防病毒、入侵檢測系統等常規的安全產品解決一部分安全問題，進而提供以網絡綜合管理系統為核心的網絡安全系列產品，提供整體的網絡管理服務。網絡綜合管理系統運行在信息系統運行環境中，通過收集各類網絡設備（如防火墻、入侵檢測系統等）日志信息，在預先設定的規則下進行網絡原始數據的分析篩選，實現網絡情況與用戶情況的監視記錄、網絡異常行為的識別與告警以及數據分析結果的輸出，為網絡狀態的掌握及安全風險的應對提供依據。網絡管理系統規則庫的建立依賴于專家的實踐經驗，無法隨著網絡的改變而實時更新。因此，雖然網絡管理系統在一定程度上提供了特定信息系統網絡安全分析，但是數據分析功能在靈活性上有所欠缺，面對大量的日志記錄數據，用戶通常只能在發生重大問題后作為事后檢查的依據［7］。研究者針對網絡管理系統缺乏靈活性問題，展開網絡安全管理系統研究，實現多種網絡日志綜合分析利用。例如辛云龍［8］研究了MVC框架下的網絡安全數據管理系統，對網絡安全設備進行統一的管理和配置，對網絡安全信息數據進行高效的審計，增強安全設備與網絡安全管理者之間互操作性。楊舒琴［9］設計和實現了網絡安全審計管理系統以實現多個主機、網絡設備來源的網絡日志分析、告警與報表。肖和明［10］在研究中構建了多源網絡數據可視化管理系統，實現對網絡安全設備、監管設備等日志信息的采集、關聯分析與容和處理。對于網絡安全管理系統提供的分析數據的研究仍較少，而對這類數據的高效分析挖掘，有利于信息安全管理人員對信息系統網絡安全態勢的準確把握。

以漁政管理信息系統為例，該系統是面向漁業管理的全國性政務系統，部署在農業農村部信息中心，其信息安全架構是在信息安全等級保護制度1.0標準（“等保1.0”）的背景下，按照信息安全等級保護三級的要求投入建設的，并運用相應的網絡安全手段保障系統安全運行［11，12］。漁政管理信息系統的網絡安全由農業農村部信息中心網絡安全管理系統提供統一的技術支持，獲取以網絡告警數據分析為主的網絡安全分析報告數據，報告由統計分析和數據詳情組成。目前，網絡安全分析報告數據未得到充分開發與利用，主要原因有以下方面：（1）數據格式多樣，不便于融合使用；（2）數據詳情部分冗余、關鍵字段信息不完整，網絡管理軟件規則庫未公開，不利于報告的理解和使用；（3）報告分析不夠深入，缺乏針對性，未能提供有效決策支持。本文以漁政管理信息系統的網絡安全分析報告作為分析數據，針對報告數據量大、利用率低、難以融合分析等問題，構建融合網絡知識資源的漁政管理信息系統漏洞數據，對網絡攻擊事件主題、數據關聯關系展開分析挖掘，為漁政管理信息系統網絡安全運維提供技術支撐和建議，為各類信息系統基于網絡安全分析數據的再分析、再挖掘提供研究思路。

1 數據與方法

1.1 數據來源

本文通過漁政管理信息系統網絡的安全管理系統，導出2019—2020年全部網絡安全分析報告6份，包含詳細數據記錄約50 000條，每條數據內容主要是時間、攻擊IP、摘要、目標端口以及攻擊次數，均為半結構化文檔格式，數據樣例如圖1所示。網絡安全分析報告提供的分析結果僅對攻擊IP按次數進行統計，未提供信息系統專項分析，因此發揮的安全指導作用有限。在現有數據資料基礎上，需要對數據進行補充完善和分析挖掘，進一步掌握網絡安全情況，為網絡安全防護提供一些思路和建議。

1.2 網絡日志數據融合與分析關鍵技術研究

由于網絡安全分析報告提供的分析結果過于簡單，數據詳情部分信息不完整，數據難以分析挖掘，需要對數據進行清洗轉換，構建便于分析使用的網絡日志數據庫。本文從數據融合與分析入手，實現關鍵數據識別與存儲，主要包括三個流程：原始數據預處理、關鍵字信息識別提取和數據融合處理。其總體技術框架圖、詳細技術流程圖如圖2、圖3所示。

圖2 網絡日志數據融合與分析技術框架Fig.2 Technical framework for web log data fusion and analysis

圖3 網絡日志數據融合與分析技術流程圖Fig.3 Flow chart of web log data fusion and analysis

原始數據預處理主要是對收集的原始數據進行預處理，具體包括數據格式轉換、目標數據篩選、結構化處理、標識分配、數據合并、殘缺信息補充或剔除等，實現異構數據的清洗和統一存儲，便于數據分析利用。

對于數據中以文本格式存儲的“摘要”字段，包含了攻擊行為簡要介紹或者片段介紹，是數據分析的重要對象。經分析，日志原始數據的“摘要”字段中有大量重復的、難以分析利用的文本記錄信息，例如“TCP＿建立SSL握手連接”；同時，也蘊含了具有分析價值的攻擊事件，例如包含國際公開的信息安全漏洞字典（common vulnerabilities and exposures，CVE）編碼信息的摘要。對于這部分摘要，以“CVE－”作為關鍵字提取數據中CVE編碼，并根據字符串模糊匹配算法進行編碼的補充完善。

在提取CVE編碼之后，根據數據分析需求，引入CVE字典庫，建立面向漁政管理信息系統的CVE編號目錄索引，幫助快速查找日志摘要中漏洞的相關信息以及修復信息。由于CVE中對漏洞分類分級信息不完善，本文引用中國國家信息安全漏洞數據庫（China national vulnerability database of information security，CNNVD）中的漏洞分類分級信息，包括危害等級（漏洞綜合評估）、廠商信息、漏洞類型、威脅類型和通用漏洞評分系統（common vulnerability scoring system，CVSS）評分等。通過關鍵信息的融合處理過程，補充關鍵信息，促進了后續用戶對數據的理解和使用。

經過以上原始數據預處理、關鍵字信息識別提取和數據融合處理的過程，完成了漁政管理信息系統網絡漏洞數據庫的構建，為網絡安全態勢研究、網絡安全漏洞挖掘、網絡安全評估定級以及安全事件的快速解決提供數據來源。漁政管理信息系統網絡漏洞數據庫結構如圖4所示。

圖4 數據庫ER圖Fig.4 Database entity relationship diagram

2 結果與分析

2.1 網絡攻擊事件類型分析

對漁政管理信息系統的網絡漏洞數據進行分析，2019—2020年，漁政管理信息系統受到的網絡攻擊次數共23億次，識別不同的網絡安全漏洞253種。分析結果顯示，攻擊者的訪問路徑中，以遠程代碼執行漏洞利用的攻擊為主，比例占99%，相比本地漏洞利用方式，攻擊面更廣。對于攻擊技術，木馬類攻擊占15%，比其他攻擊行為規模更大。受影響的系統部件中，對服務網絡（包括DNS、網絡管理設備等）和Web中間件的威脅占較大比例。其中，基于Weblogic Server（Oracle公司的Web應用服務器）、Apache Tomcat Server（Apache軟件基金會應用服務器）、IIS（微軟Web應用服務器）等Web中間件的應用系統相比于Jboss（JBoss公司應用服務器）、Websphere（IBM公司的應用服務器）等其他中間件應用，在互聯網上暴露的高危漏洞呈現大幅增長的趨勢。表1列出了攻擊次數最多的前5個漏洞，這些漏洞的威脅類型均為遠程（其他類型還有本地、鄰接等），漏洞類型包括設計錯誤、通用性漏洞、代碼問題、輸入驗證錯誤以及命令錯誤。根據2020年新頒布的網絡安全漏洞分類分級國家標準［26］，這5個漏洞的分類均為代碼錯誤，即網絡產品和服務的代碼開發過程中因設計或實現不當而導致的漏洞。

表1 攻擊次數最多的漏洞分級信息Tab.1 Vulnerability classification information with the most attacks

2.2 網絡攻擊事件關聯關系分析

漏洞攻擊的關聯特性體現在攻擊者對某個漏洞利用，有時候也會伴隨著對其他漏洞的利用，一方面，序列化的漏洞將構建完整的攻擊；另一方面，應用在網絡中的脆弱點存在于應用、數據、系統和物理環境等多個層面，這些方面均是可以被利用的攻擊點。因此，組合攻擊將造成更嚴重的攻擊危害。顯然，對漏洞關聯關系的挖掘，將為提高網絡安全防范措施提供有力的技術保障。Apriori算法作為最經典的關聯分析算法之一，是日志分析中的常用算法，該算法核心是基于兩階段頻集思想遞推計算挖掘關聯規則。

漁政管理信息系統網絡安全漏洞數據的關聯規則挖掘包括兩個階段。第一個階段是算法數據預處理，將日志數據轉換為適合關聯規則挖掘的數據對象。該步驟以攻擊者IP作為攻擊者唯一標識，對日志數據分類，合并同一個IP的攻擊事件，形成不同攻擊者的攻擊事件集合。數據預處理代碼如圖5所示，數據處理結果如圖6所示。圖6中，每個集合為同一個攻擊者的攻擊事件集合，集合中的數字表示一種攻擊事件類型。第二個階段是關聯規則挖掘，其算法應用示例如圖7所示，通過兩階段關聯分析挖掘，得到5條符合要求的關聯規則。在算法實現中，通過調整算法的最小值支持度（minSupport）、最小置信度（minConf），可以得到不同的頻繁項集及關聯關系。算法運行結果如圖8和圖9所示。其中，圖8是最小值支持度為0.3、最小置信度為0.5的運行結果，圖9是最小值支持度為0.1、最小置信度為0.5的運行結果。如若設置最小置信度為0.5，則無運行結果。這是由于數據集中有大量無關數據，具有較高偏差，數據關聯性更為隱蔽。

圖5 數據預處理代碼片段Fig.5 Data preprocessing code

圖6 數據預處理結果Fig.6 Converted algorithm data

圖7 網絡攻擊事件關聯分析模型Fig.7 Network attack event correlation analysis model

圖8 置信度為0.3的運行結果Fig.8 Run results with a confidence of 0.3

圖9 置信度為0.1的運行結果Fig.9 Run results with a confidence of 0.1

對運行結果分析，可知具有較強關聯規則（置信度大于0.8）的漏洞有兩類，第一類是CVE-1999-0517（編號7）、CVE-1999-0278（編號55）和CVE-1999-0833（編號8），主要是對網絡節點的攻擊，例如DNS服務器、網絡設備管理服務器；第二類是CVE-2015-4852（編號41）、CVE-2017-12615（編號45），主要是對Weblogic、Tomcat等中間件漏洞的攻擊。其中，漏洞CVE-2017-5638（編號48）與第二類漏洞有一定關聯（置信度超過0.5），該漏洞是對Apache Struts（Apache軟件基金會開源Web框架）上傳文件模塊的攻擊。因此，漁政管理信息系統在網絡安全運維中，需要即時跟進產品的漏洞補丁，尤其是網絡節點服務器以及依托的Web中間件產品的補丁。

3 結語

本文研究了網絡日志數據融合與分析技術，構建了漁政管理信息系統網絡漏洞數據庫，研究分析了系統網絡安全態勢、網絡攻擊特點、不同漏洞被利用的關聯關系。本文研究的不足在于分析的數據對象為靜態數據，未對接網絡安全管理系統，因此分析結果也未能及時有效更新。另外，分析的數據樣本仍較少，當采集更多網絡安全分析數據時，算法復雜度增加，需要進一步研究網絡日志大數據分析相關算法，優化算法性能與效率。再者，在網絡環境風險評估方面，可以基于現有的漏洞評分基礎，結合漁政系統的實際部署架構，對漏洞進行準確評估，為系統運維人員提供更加全面有效的安全防護建議。