政務云東西向流量監測技術研究及項目實踐

摘? 要：闡述了政務云面臨的安全威脅和風險，對政務云環境下目前主流的安全技術實踐進行了研究和分析，主要分析了政務云環境下東西向流量面臨難以檢測、檢測影響性能、檢測結果滯后等技術挑戰，詳細介紹了虛機東西向引流及大數據分析、流量策略控制、業務自熔斷、安全態勢感知等關鍵技術的設計架構和實踐效果，解決了云內威脅檢測存在盲區的問題，提升了政務云環境的安全性。

關鍵詞：云計算;東西向流量;策略引流;流探針;智能威脅檢測

中圖分類號：TP39 ? ? ?文獻標識碼：A文章編號：2096-4706（2022）06-0110-05

Research and Project Practice of East-West Flow Monitoring Technology of Government Cloud

YANG You

（Nanjing Information Center， Nanjing? 210019， China）

Abstract： This paper expounds the security threats and risks faced by the government cloud， studies and analyzes the current mainstream security technology practice in the government cloud environment， mainly analyzes the technical challenges faced by the east-west flow in the government cloud environment， such as difficult detection， detection affecting performance and lagging detection results， and introduces in detail the design architecture and practical effect of key technologies of the East-West drainage of virtual machine， big data analysis， flow strategy control， business self fusing， security situational awareness and so on. It solves the problem of blind area in cloud threat detection and improve the security of government cloud environment.

Keywords： cloud computing; east-west flow; strategic drainage; flow probe; intelligent threat detection

0? 引? 言

城市治理數字化轉型已成為打造數字政府、發展數字經濟、構建數字社會的必然趨勢。近年來政務云已廣泛運用在電子政務的眾多場景，已經成為打造數字政府的重要基礎設施，政務云為各政務委辦局實現跨部門、跨區域、跨層級的業務協同、數據共享等提供了便利，但同樣帶了數據和業務上云之后的安全風險，黑客攻擊往往從內部虛擬資源入手，進而滲透到云平臺的業務系統。因此，云安全監測應在邊界安全的基礎上重點監測VPC虛擬機內部風險。同時云計算虛擬化環境中的安全問題和策略配置方法與傳統架構存在較大差異，這使得保障政務云上業務和數據的信息安全成為政務云管理運維部門需要研究的重要命題。

Gartner在《2019年七大新興的安全和風險管理趨勢》中指出：云平臺安全應從威脅防御向威脅檢測轉變，到2022年50%安全運營中心（SOC）應具備事件響應、威脅情報和威脅檢測能力，而2015年這一比例不到10%。

《GB/T 22239-2019信息安全技術網絡安全等級保護基本要求》中規定：應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。設計標準中要求能夠識別、監控虛擬機之間，虛擬機與物理機之間的網絡流量。

因此，云安全監測重點關注VPC內部的安全風險，諸如核心資產和應用的安全防護缺失，內部主機或設備的管理員權限易被突破，網絡安全防護缺乏縱深，邊界突破后導致病毒無限制傳播或高危權限內部漫游，弱口令、復用、老舊口令普遍存在造成系統被破解登錄，已公開漏洞、高危0day等未及時修補都將成為信息安全風險和事件發生的薄弱環節。

1? 項目實踐

為應對上述風險，業界普遍應采用統一安全策略、威脅檢測、縱深防御等安全措施。主流云計算廠商（如Azure、AWS、阿里云、華為云、H3C、浪潮云等）的SOC服務具備威脅檢測能力，但普遍基于邊界的威脅檢測，很少涉及云平臺VPC內部的威脅檢測。業界安全廠商在對VPC內部的檢測，主要基于在虛機終端上部署的安全檢測能力，例如殺毒軟件，CWPP等產品，終端安全能力可以解決一部分威脅的識別，但是仍然存在檢測的盲區。

VPC內部安全監測的難點在于東西向流量沒有檢測手段、安全檢測影響虛機業務性能，威脅識別能力不足，威脅難以取證等方面。

（1）東西向沒有流量維度的檢測手段，云計算內部網絡為虛擬網絡環境，租戶的業務流量在overlay層面傳輸，且無法將流量檢測設備接入。

（2）安全檢測影響業務虛機性能：如果在租戶VM上做安全檢測，不僅大量占用CPU、內存等資源，而且無法檢測橫向滲透等攻擊，影響租戶業務的正常運行。F62FC92B-4285-4998-BBC1-5606D21157E3

（3）終端安全的原理主要是基于對進程和文件的檢測，本質上是基于既定攻擊事實的威脅檢測，只有當惡意文件已經進入到主機，或者已經啟動了進程才能被檢測到，實際上從攻擊鏈方法論，發現和識別出前期的探測和掃描，才是解決安全防御的制勝之道。

（4）威脅難以取證：由于威脅類型眾多且關系復雜，人工取證非常依賴專家經驗，難以識別威脅的整個攻擊過程并及時做出決策。

云計算威脅檢測，按照縱深防御的理念進行架構設計，例如從外部進來的威脅，將經過邊界防御，虛機與虛機之間的邊界檢測，虛機內部的防御系統等三重防御。主機與攻擊載荷處于同一個維度空間，存在繞過的可能。以暴力破解為例，主機視角的暴力破解在慢速、多IP攻擊以及存在主機防御盲區的情況下效果不好，應與流量視角進行結合分析，不能僅從基于文件和進程的監控作為主機異常的分析依據，基于協議層以上的統計數據作為分析依據，與原始流量檢測相比，無法進行基于流量特征的分析建模，在檢測精度和檢測種類方面弱于流量檢測，

本研究項目，將通過解決以上幾個困難，以流量檢測的方式，對虛機之間的東西向流量進行安全檢測，并描繪出整個云網絡內部的安全態勢。

2? 關鍵技術

2.1? 東西向引流技術

傳統的引流技術，是通過從網絡設備的物理接口，使用端口鏡像的方式引流至流量探針部件，如圖1所示。

云計算環境下，沒有物理網絡的實體，無法進行端口鏡像，流量無法直接引流至流探針。如果在虛擬交換機上進行流量鏡像，會存在不同租戶間的流量混合在一起，產生數據隱私的合規性問題。

虛機上部署的引流agent，包含流量捕獲模塊，如圖2所示，該模塊對所在主機采用非鏡像方式采集網絡數據包，通過預置的解析流量捕獲規則，對原始報文進行封裝，并發送至部署在本VPC內的檢測軟探針虛機進行流量檢測。

2.1.1? 輕量化引流部件

業界在虛機上部署的終端安全能力，以特征匹配為基礎，如果特征庫較大，必然需要占用更多的虛機資源，如果特征庫不夠，檢測精度會下降。本研究項目的設計，通過簡化終端引流能力，將流量引至特定的檢測虛機，既解決了終端輕量化的問題，又可保證檢測效果。

2.1.2? 合規型檢測能力

眾所周知，云平臺屬于運營商維護，虛機內部則屬于租戶，虛機的原始報文流量屬于租戶的隱私數據，從隱私保護的合規上要求，云運營商不能直接獲取虛機的原始流量和數據，本研究項目通過在租戶VPC內部署檢測軟探針的方式，把原始流量的檢測過程留在VPC內部，往大數據平臺上送的是脫敏后的元數據和日志數據。

2.1.3? 智能大數據分析

通過搭建一套大數據平臺，把各VPC軟探針上送的元數據和檢測日志匯聚，進行綜合關聯分析，可實現對整個云網東西向流量的安全威脅態勢，同時，在大數據分析平臺上，可自定義關聯規則和檢測算法，并將規則和算法下沉到各軟探針檢測部件，進一步提升綜合檢測效率。

2.2? 流量策略控制技術

東西向流量業務眾多，流量模型復雜，在流量估算過程中，業界一般按照2：8的比例，通過監測南北向的流量大小對東西向流量進行評估，如圖3所示。

東西向流量基于虛擬云網進行數據傳輸，如果對所有流量都進行引流做檢測，勢必會造成云網絡的帶寬壓力，同時虛機大量流量的引流操作，也會造成業務虛機的性能受到影響，所以本次研究的流量策略控制技術，需要解決精準引流的問題以及虛機業務保障的退避機制問題。

2.2.1? 基于業務場景的策略引流

東西向的虛機間流量很大，如果全量流量進行檢測，不僅需要投入大量的檢測計算資源，而且造成云網流量的翻倍增長，占用云網絡帶寬，所以需要一種可實現精準引流的方法，將有需要檢測的流量引出來，對確認正常流量或者重復被檢測的流量過濾掉。本研究設計了基于業務的策略過濾器，如圖4所示。

報文捕獲模塊將待檢流量鏡像轉發的時候，將會經過一個策略過濾器，策略過濾器可根據源目IP、報文端口和報文協議進行過濾，該策略可通過策略管理平臺預置下發，或者根據業務的變化實時調整引流策略。這種靈活的策略機制，可以很方便地把虛機流量中的南北向流量挑選出來過濾掉，大大降低待檢流量的數量，同時也降低了檢測軟探針虛機的計算成本。

2.2.2? 基于熔斷機制的自我保護機制

隨著業務訪問量的增大，虛機的資源將會迅速被占用，包括cpu，內存和網絡帶寬的資源都將處于高占用率狀態，相應的虛機引流模塊占用的資源量也會隨著上漲，出現與業務爭搶資源的局面。為了防止業務高峰時資源爭搶對業務性能的影響，本研究項目設計了基于資源占用狀況的退避機制，如圖5所示。

通過監測引流模塊對CPU、內存和流量的占用比例的監控，并對各項指標設置閾值，當某項指標觸發閾值時，啟動熔斷開關，關閉引流檢測功能。因為在高峰期的帶寬占用和CPU響應滯后，如果使用集中式監控并下發熔斷策略，容易造成處置滯后，并可能造成不可恢復的后果，所以本設計觸發機制屬于自觸發型熔斷開關，可以確保在第一時間完成閾值超壓的響應。

2.3? 威脅智能檢測技術

安全檢測分析系統通過采集政務云中東西向流量及日志數據，利用大數據分布式存儲、索引、分析等技術識別網絡中異常行為并觸發威脅處置流程。如圖6所示。

安全大數據檢測系統涵蓋了基于網絡流量的異常行為分析、基于文件的異常主機行為與網絡行為檢測、基于流日志的自適應基線檢測以及基于日志的關聯分析等功能。另外，該系統可以同防火墻等動作執行設備進行聯動，使得系統具備發現威脅的同時具備阻斷惡意流量和攻擊的能力，形成一個多維立體威脅防護體系。F62FC92B-4285-4998-BBC1-5606D21157E3

2.3.1? 關聯分析能力

通過挖掘事件之間的關聯和時序關系，從而發現有效的攻擊。關聯分析利用安全大數據平臺的流計算引擎，從分布式消息總線上獲取歸一化日志裝入內存，并根據系統加載的關聯規則進行實時在線分析。當日志匹配了某一關聯規則，則認為它們之間存在對應的關聯關系，輸出異常事件，同時將匹配用到的原始日志記錄到異常事件中。

2.3.2? 流量基線異常檢測

通過流量基線自學習的方式，系統自動統計一段時間內（比如一個月）網絡內部各主機、區域以及內外網之間的訪問和流量信息，以此訪問和流量信息為基礎（對于流量數據，還會自動設置合適的上下浮動范圍），自動生成流量基線。流量基線異常檢測將自學習的流量基線加載到內存中，并對流量數據進行在線統計和分析，一旦網絡行為與流量基線存在偏差，即輸出異常事件。

2.3.3? C&C異常檢測

C&C異常檢測主要通過對協議（DNS/HTTP/三、四層協議）的分析發現C&C通信異常?；贒NS流量的C&C異常檢測采用機器學習的方法，利用樣本數據進行訓練，從而生成分類器模型，并在客戶環境利用分類器模型識別訪問DGA域名的異常通信，從而發現僵尸主機或者APT攻擊在命令控制階段的異常行為。

基于三、四層流量協議的C&C異常檢測根據C&C通訊的信息流與正常通訊時的信息流區別，分析C&C木馬程序與外部通訊的信息的特點，區分與正常信息流的差異，通過流量檢測發現網絡中所存在的C&C通訊信息流。

對于基于HTTP流量的C&C異常檢測采用統計分析的方法，記錄內網主機訪問同一個目的IP+域名的所有流量中每一次連接的時間點，并根據時間點計算每一次連接的時間間隔，定時檢查每一次的時間間隔是否有變化，從而發現內網主機周期外聯的異常行為。

3? 實踐效果

通過如上的技術設計，測試驗證發現可達到如下效果：

（1）引流模塊對虛機資源占用不超過5%，在業務低峰時，占用比例接近0.1%;

（2）可自定義的引流策略，將引流策略控制到IP和端口粒度，不僅可以針對單臺虛機下發，也可以通過模板的方式，進行批量策略下發，如圖7所示。

（3）業務高峰流量測試條件下，可迅速完成自我熔斷，引流模塊關閉，如圖8所示。

引流熔斷關閉后，同時將會輪詢虛機資源狀態，并提供熔斷恢復的能力，達到啟停行為的自動化效果。

（4）檢測能力全面，檢測結果如圖9所示，系統具備IPS簽名數量12 000+，其中漏洞簽名9 000+，基于AI威脅檢測算法檢測高級威脅，平均檢出率>95%。

（5）多維度的事件分析與態勢展示，如圖10所示，可以實現基于攻擊過程和事件認知維度的事件分析、攻擊推理，綜合展示安全態勢、資產態勢、弱點態勢等，預測安全趨勢。

4? 總? 論

本文分析了政務云當前面臨的安全風險，通過對東西向流量監測的技術方案設計，可以很好地解決云內威脅檢測盲區的問題。并對關鍵虛機引流，精準策略，業務自熔斷等技術設計進行了闡述。

參考文獻：

[1] 馬力，祝國邦，陸磊.《網絡安全等級保護基本要求》（GB/T 22239—2019）標準解讀 [J].信息網絡安全，2019（2）：77-84.

[2] 英鋒.基于卷積神經網絡的網絡異常檢測方法研究 [J].現代信息科技，2021，5（12）：94-96+100.

[3] 國家市場監督管理總局，國家標準化管理委員會.信息安全技術 網絡入侵檢測系統技術要求和測試評價方法：GB/T 20275-2021 [S].（2021-12-15）.http：//news.21csp.com.cn/c905/202112/11411168.html.

[4] 張潔.我國電子政務云信息平臺安全研究 [D].武漢 中南民族大學，2013.

[5] 英鋒.網絡異常流量檢測方法研究 [J].現代信息科技，2021，5（11）：14-17.

作者簡介：楊優（1978—），男，漢族，江蘇南京人，高級工程師，本科，研究方向：政務信息化建設。

收稿日期：2022-02-22F62FC92B-4285-4998-BBC1-5606D21157E3