農業農村部網絡安全態勢感知監測分析平臺設計與實現

呼亞杰

研究論文

農業農村部網絡安全態勢感知監測分析平臺設計與實現

呼亞杰

農業農村部信息中心，北京 100125

為了做好網絡安全防護，消除潛在風險隱患，保障網絡基礎設施和信息系統安全穩定運行，文章作者探索通過建設農業農村部網絡安全態勢感知監測分析平臺，實現農業農村部網絡安全態勢感知、流量異常監測、事件安全預警、攻擊追蹤溯源、全景可視化展示等，有效應對各類網絡安全挑戰。農業農村部網絡安全態勢感知監測分析平臺依托大數據技術、機器學習算法，進行全局網絡安全態勢評估、威脅異常排除、攻擊事件處置，從而提升網絡安全防護能力，實現了安全設備告警、網絡及服務器日志、全網關鍵節點流量數據、管理數據等多源異構網絡安全數據標準化；實現了集網絡入侵、橫向威脅、攻擊者追蹤溯源、資產威脅和應用安全等為一體的全局網絡安全態勢感知；實現了網絡安全狀況、攻擊監測處置等全流程安全防御可視化展示；實現了全網絡安全防御一體化，有力保障了業務系統的正常運行，有效防范了病毒木馬等造成的破壞活動，極大提高了重大網絡安全事件的快速發現和應急處置能力，為網絡安全防護提供了高效的防護手段。通過農業農村部網絡安全態勢感知監測分析平臺建設，為網絡安全數據治理、一體化安全監測防御探索出了一條可復制可推廣的有效路徑，其建設思路為省級農業農村部門提供了實踐參考。

網絡安全；態勢感知；數據治理；網絡安全防護

1 引言

態勢感知是指在特定時間和空間內提取系統要素，理解其含義并預測其可能產生的影響[1]，其概念源自于空中交通管制[2]。BASS首次提出網絡態勢感知的概念，并將其引入到網絡安全領域[3]。網絡安全態勢感知技術能夠對安全要素進行獲取、理解和預測，是確保網絡安全的一種重要手段[4]。隨著互聯網的快速發展，網絡空間已經成為繼陸、海、空、天之后的第五大戰略空間，是影響國家安全、社會穩定、經濟發展和文化傳播的核心、關鍵和基礎[5]。然而，網絡在給人類帶來便利的同時，也帶來了諸多隱患。近年來，國內外網絡安全事件頻發，諸如：數據泄露、勒索軟件和病毒木馬等各類事件層出不窮，給國家安全和社會穩定造成了前所未有的沖擊，網絡空間安全形勢日趨嚴峻。隨著我國農業的國際地位和影響力快速提升，境外敵對勢力、黑客組織和網上不法分子也加大了對我國農業農村部門的關注，農業農村部系統網絡基礎設施和重要業務系統已成為黑客組織的重要攻擊對象之一。

2 農業農村部網絡安全現狀

據調查，農業農村部各司局單位多年來在政務外網共建設396個應用系統，265個網站，信息系統呈現點多面廣的分散狀態[6]，且早年各單位信息化水平不一[7]，應用系統建設大多圍繞業務工作開展，對網絡安全工作部署情況參差不齊。傳統的網絡安全防護主要依靠防火墻、入侵檢測等進行被動防御，主動發現潛在攻擊的能力不足，僅依靠邊界防護無法應對新形勢下的網絡安全防護要求。網絡安全設備日志、告警等信息不集中，不利于進行綜合分析和科學研判，給網絡安全埋下了隱患。網絡安全集中化管理、體系化防御有待提高，重大網絡安全事件的快速發現和應急處置能力不足。

3 平臺建設情況

3.1 建設目標

文章通過建設農業農村網絡安全態勢感知監測分析平臺，主要實現以下目標：一是網絡安全資源有效整合；二是全方位網絡安全態勢感知；三是網絡安全威脅實時監測；四是網絡安全事件及時處置。

3.2 建設內容

建設農業農村部網絡安全態勢感知監測分析平臺主要包括4方面工作。一是全方位數據采集。對網絡中已部署的安全設備、網絡設備、服務器及重要應用的安全日志數據進行采集；對全網關鍵節點流量數據進行采集；對資產類數據、管理類數據及外部威脅情報數據、監測共享數據動態接入。二是多源異構數據標準化。通過提取、清洗、關聯、比對等技術手段，將多源異構數據統一格式，去重合并、日志泛化、結構化處理等，提高數據質量、強化數據標識，建立數據間的深層聯系。三是全方位網絡安全態勢感知和威脅監測。利用數據挖掘技術對多源異構數據進行解析、聚合和挖掘；利用安全模型對事件場景進行檢測，為業務安全提供全面態勢分析和可視化展示；基于行為算法模型，精準識別各類潛在威脅攻擊，為研判、決策及重要時期的網絡安全保障工作提供支撐。四是安全事件應急處置。通過大數據態勢感知監測分析平臺，實時監測接入單位的網絡安全狀態，針對攻擊事件第一時間發出通報預警，并進行快速反應處置。平臺功能架構如圖1所示。

圖1 平臺功能架構

3.3 建設方法

平臺采用B/S架構進行搭建，對開源組件進行封裝和增強，使用Manager系統提供集群管理的高可靠性、安全性、容錯性和易用性。使用Hadoop分布式文件系統，提高數據訪問吞吐量。使用MySQL關系型數據庫進行元數據存儲。使用Vue提供圖形化用戶Web界面展示。使用Java、Python等進行模塊的設計、開發和封裝等。主要功能模塊如圖2所示。

平臺采用兩級部署方式，如圖3所示。

4 平臺主要功能模塊介紹

4.1 數據采集

4.1.1 流量采集

流量采集由流量探針完成，通過對網絡協議解析還原，特征識別等實現流量中威脅信息檢測。檢測類型包括漏洞利用、webshell攻擊、木馬與間諜軟件、惡意文件和異常報文等。

4.1.2 日志采集

日志采集有兩種方式，一是通過網絡日志流量探針進行主動采集，二是接收各種安全設備、網絡設備及服務器等同步的日志信息進行被動采集。

4.1.3 其他信息采集

主要包括安全設備告警、設備資產、管理類采集功能，行業安全管理部門通報、市場漏洞特征庫、病毒特征庫等外部信息錄入功能。如圖4所示。

4.2 數據處理與存儲

4.2. 1 數據處理

對信息不同來源，表達內容相同的日志、流量等數據進行去重合并、剔除冗余；對不同格式的日志、流量等數據進行標準化處理，統一格式；對離散化數據信息進行結構化整合。

圖 2 平臺主要功能模塊

圖3 平臺部署架構

圖4 數據采集流轉

4.2.2 數據儲存

將數據進行分類存儲，采用Elasticsearch建立數據全文檢索庫，實現查詢式數據分析和類百度式數據搜索功能，采用Hadoop平臺存儲分類數據并支撐各類分析引擎，為安全事件追蹤溯源提供數據支撐。

4.3 數據分析

4.3.1 數據統計分析

按照各類告警、日志信息來源、規模及其響應級別，通過統計分析找出現有防御的薄弱環節，攻擊者易于得手的攻擊路徑和遭受攻擊后的影響范圍，進行網絡安全防御力量的動態調整。

4.3.2 數據挖掘分析

使用GBM決策樹、無監督聚類等機器學習算法，對多維信息和多源數據進行數據挖掘分析，通過對網絡異常事件橫向、縱向挖掘，及時主動發現潛在攻擊隱患，不斷提高異常事件捕捉靈敏度，對威脅攻擊做出精準預判，進行高效防御。

4.4 態勢感知

4.4.1 網絡攻擊態勢

動態可視化展示來自全世界不同地區的攻擊源對農業農村部網絡基礎設施和信息系統的威脅情況，實時監控境內外攻擊源的地域分布和國家排行，掌握各攻擊鏈的威脅變化趨勢及最新外部攻擊情況。

4.4.2 橫向威脅態勢

動態可視化展示網絡基礎設施和信息系統之間違規操作及病毒傳播路徑，實時監控跨安全域和跨業務系統的訪問情況，通過自由布局和圓形布局多種形式直觀查看資產之間的威脅關系，及時發現并制止違規資產對內部環境造成的破壞。

4.4.3 應用安全態勢

動態可視化展示應用服務的被訪問狀態和受攻擊情況及網站區域訪問量，訪問地區排行，攻擊網站排行，攻擊類型排行，網站訪問和攻擊變化趨勢等。

4.4.4 資產威脅態勢

動態可視化展示資產和其他資產間的聯系，當前資產的被攻擊行為、攻擊手段、攻擊強度、當前狀態、攻擊影響范圍等。

以農業農村部總體網絡攻擊態勢為例，可視化展示如圖5所示。

圖5 網絡攻擊態勢

4.5 威脅感知

4.5.1 安全事件威脅感知

實時監測攻擊者和不法分子的攻擊活動，支持各類告警事件、漏洞事件、資產事件、網站威脅事件以及平臺自身事件的發現與識別，通過數據挖掘找出潛在威脅對象并進行可視化展示。

4.5.2 高危事件調查取證

對攻擊事件的完整攻擊鏈進行回溯，將系統日志、告警信息、漏洞信息、關聯事件等進行綜合分析，從攻擊者視角出發，對其在時間維度上的破壞行為進行可視化，留存詳細的攻擊證據。

4.5.3 用戶行為威脅感知

對指定應用系統進行流量監測，實時展示用戶操作行為，識別可疑和違規操作，可提供用戶行為傾向、訪問資源分布等，用戶異常行為包括訪問頻次超限、權限異常提升、違規訪問和下載等。

以暴力破解事件威脅感知為例，可視化展示如圖6所示。

4.6 安全事件溯源

4.6.1 攻擊過程還原

對攻擊事件進行深度分析，全量還原攻擊路徑，包括攻擊次數、攻擊手法等關鍵信息，將告警信息轉換成有序的攻擊鏈予以展示，支持攻擊過程回放，真實還原攻擊細節。

4.6.2 攻擊溯源畫像

最大化收集攻擊者信息，分析攻擊者內網橫向移動影響，形成集攻擊工具、攻擊特征、遭受攻擊資產范圍等信息為一體的內網攻擊圖譜，建立攻擊者檔案，完成攻擊者畫像。如圖7所示。

4.7 其他功能

除上述功能外，平臺還具有數據檢索、資產管理、等保管理、績效考核、應急響應、系統管理等功能。

5 結果與討論

通過建設農業農村部網絡安全態勢感知監測分析平臺，實現了網絡安全要素的有效整合，網絡安全資源的充分利用，網絡安全事件的發現能力和處置效率得到顯著提高。據統計，自平臺上線以來，第一時間監測發現并妥善處置網絡安全事件44類共計214起，為128個應用系統、10個網站清除了安全隱患，極大地降低了安全事件的橫向破壞能力。農業農村部網絡安全一體化監測防御體系建設逐步實現。

5.1 網絡安全要素集中化

農業農村部網絡安全態勢感知監測平臺集中接入核心網絡節點12種18臺安全設備，4種16臺網絡設備，日均信息量800余萬條，已經累計匯聚59.7億，資產信息、漏洞信息持續更新，目前數據存儲量已累計達到2.9T。農業農村部網絡安全態勢感知監測平臺已然成為一個網絡安全數據管理中心，網絡安全設備管理中心，信息系統資產管理中心。網絡安全要素的集中管理，大大提升了農業農村部的網絡安全可控能力。

圖7 攻擊溯源畫像

5.2 網絡安全感知可視化

以網絡攻擊視角，將外部威脅、內部橫向轉移、資產風險態勢、重要應用安全等不同場景、不同對象遭受的攻擊類型、攻擊來源、攻擊頻次、攻擊路徑和攻擊趨勢等進行直觀地可視化展示，以大數據技術全面、透徹地分析評估攻擊造成的影響和攻擊態勢的演化，極大地提高了網絡安全監測預警能力和應對重大網絡安全事件的快速發現能力，為輔助決策提供了直觀可視化的支撐保障。

5.3 網絡安全防御一體化

平臺整合核心網絡節點的關鍵網絡及安全設備資源，聯合部機關一級平臺和直屬單位二級平臺，依托大數據分析技術進行一體化防御。針對安全事件進行聯動處置，形成局部遭受攻擊，整體不受影響，一點遭受攻擊，全網進行預防的局面。一體化防御機制有效地阻斷了網絡攻擊行為，顯著地降低了安全事件的影響范圍，極大地保障了數據和業務系統安全。隨著邊界設備的全面接入，網絡威脅監測研判規則的不斷優化，預警靈敏度的進一步提高，一體化防御機制正逐步從輔助決策走向智能化防護。

6 展望

文章以農業農村部網絡安全防御為目的，開展全要素、全流量網絡安全態勢感知監測分析平臺建設和實踐，在實際的網絡安全監測防護中取得了良好的效果，但也暴露了一些問題，比如：二級平臺使用頻率不高等。網絡安全工作是一項復雜的系統工程，農業農村網絡安全工作更是加快建設農業強國的重要組成部分。農業農村部網絡安全態勢感知監測分析平臺是強化網絡安全保障體系建設的落地和實踐，需要在以后的工作中進一步地完善和推廣，更好地發揮其在網絡安全態勢感知、安全事件威脅監測和攻擊行為智能防御中的突出作用，為農業農村信息化事業發展筑牢安全屏障、為數字鄉村建設保駕護航。

[1] 龔儉,臧小東,蘇琪,等. 網絡安全態勢感知綜述[J]. 軟件學報,2017,28(4): 1010-1026.

Gong J, Zhang X D, Su Q, et al. Survey of network security situation awareness[J]. Journal of Software, 2017, 28(4): 1010-1026.

[2] Nolan M S. Fundamentals of air traffic control[J]. Delmar Cengage Learning, 1990, 2(2):859-863.

[3] Bass T. Intrusion detection systems and multisensor data fusion: Creating cyberspace situational awareness[J]. Communications of the ACM, 2000, 43(4):99-105.

[4] 谷曉鵬 . 面向威脅信息的網絡安全態勢感知研究[J]. 現代計算機,2022,28(19):57-62．

Gu X P. Research on network security situation awareness oriented to threat information[J]. Modern Computer, 2022, 28(19): 57-62.

[5] 李建華. 網絡空間威脅情報感知、共享與分析技術綜述[J]. 網絡與信息安全學報, 2016,2(2):16-29.

Li J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in Cyberspace[J]. Chinese Journal of Network and Information Security, 2016,2(2):16-29.

[6] 梁棟, 呼亞杰,唐文鳳 . 農業農村部政務信息資源共享服務系統設計與實現[J]. 中國農業信息,2020,32(4):50-58.

Liang D, Hu Y J, Tang W F. Design and implementation of government information resources sharing service system of the Ministry of Agriculture and Rural Affairs[J]. China Agricultural Informatics,2020,32(4):50-58.

[7] 張燏. 農業農村部政務服務平臺建設探索與實踐[J]. 中國農業信息,2020,32(2):76-82.

Zhang Y. Exploration and practice on the construction of government affairs service platform of the Ministry of Agriculture and Rural Affairs [J]. China Agricultural Informatics, 2020, 32(2): 76-82.

Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform

HU Yajie

Information Center of Ministry Agriculture and Rural Affairs, Beijing 100125,China

In order to protect network security, eliminate potential risks, ensure the safe and stable operation of network infrastructure and information systems,this paper aims to build a network security situation awareness monitoring and analysis platform for the Ministry of Agriculture and Rural Affairs, to realize network security situation awareness, traffic anomaly monitoring, incident safety warning, attack tracking, panoramic visual display, effectively responding various network security threats and challenges. The platform relies on big data technology and machine learning algorithms to conduct global network security situation assessment, eliminate threat anomalies, and handle attack events, thereby improving network security protection capabilities, it has achieved standardization of multi-source heterogeneous network security data, network server logs, traffic data of key nodes, management data, implemented global network security situational awareness that integrates network intrusion, horizontal threats, attacker tracing, asset threats, and application security, realized the visualization display of the entire process of security defense, including network security status, attack monitoring and disposal, realized the integration of network security defense, effectively ensuring the normal operation of business systems, effectively preventing destructive activities caused by viruses and Trojans, greatly improving the ability to quickly detect and respond to major network security incidents, and providing efficient protection measures for network security protection. Through the construction of the network security situational awareness monitoring and analysis platform of the Ministry of Agriculture and Rural Affairs, an effective path that can be replicated and promoted for network security data governance and integrated security monitoring and defense has been explored, and its construction ideas provide practical reference for provincial agricultural and rural departments.

network security; situation awareness; data governance; network security protection

呼亞杰. 農業農村部網絡安全態勢感知監測分析平臺設計與實現[J]. 農業大數據學報, 2023,5(1):68-75.

HU Yajie.Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform[J]. Journal of Agricultural Big Data, 2023,5(1): 68-75.

10.19788/j.issn.2096-6369.230115

2023-03-21

呼亞杰，男，碩士，研究方向：網絡安全、農業大數據；E-mail: huyajie@agri.gov.cn。