尹立君

(邢臺職業(yè)技術(shù)學(xué)院，河北 邢臺 054035)

1 背景

網(wǎng)絡(luò)安全是一個事關(guān)國家安全的重大戰(zhàn)略性問題，黨的十八大以來，黨中央、國務(wù)院高度重視網(wǎng)絡(luò)安全工作，習(xí)近平總書記站在戰(zhàn)略和全局高度，就網(wǎng)絡(luò)安全工作發(fā)表了一系列重要講話，提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全”“安全是發(fā)展的保障，發(fā)展是安全的目的”“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強網(wǎng)絡(luò)安全防御能力和威懾能力”，為網(wǎng)絡(luò)安全工作指明了方向。[1]

在《中華人民共和國網(wǎng)絡(luò)安全法》第 32條中明確要求“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用”。并且等級保護 2.0 相關(guān)政策條例的修訂與出臺、也提出了一些新的安全要求，如：安全態(tài)勢感知、檢測新型威脅等。

借助態(tài)勢感知平臺可以宏觀把握整個網(wǎng)絡(luò)的安全狀況，分析攻擊者的意圖，為管理決策提供重要依據(jù)。在原有邊界防護、網(wǎng)絡(luò)防護、通信防護的基礎(chǔ)上，建設(shè)基于大數(shù)據(jù)分析平臺支撐下的網(wǎng)絡(luò)安全威脅感知決策指揮系統(tǒng)。旨在利用大數(shù)據(jù)平臺的存儲計算資源，通過分析網(wǎng)內(nèi)或行業(yè)的海量安全類數(shù)據(jù)，輸出安全風(fēng)險、安全問題的可視化結(jié)果并進行運維處置，實現(xiàn)網(wǎng)內(nèi)的網(wǎng)絡(luò)安全風(fēng)險預(yù)警與安全事件全閉環(huán)處理。

基于大數(shù)據(jù)分析平臺支撐下的網(wǎng)絡(luò)安全威脅感知決策指揮系統(tǒng)主要包括：1.建設(shè)網(wǎng)絡(luò)安全威脅感知系統(tǒng)，基于網(wǎng)絡(luò)安全大數(shù)據(jù)平臺，利用各類安全相關(guān)數(shù)據(jù)，實現(xiàn)資產(chǎn)管理、風(fēng)險感知、預(yù)警管理、共享交換功能；2.建設(shè)網(wǎng)絡(luò)安全決策指揮系統(tǒng)，在網(wǎng)絡(luò)安全威脅感知系統(tǒng)的支撐下，實現(xiàn)網(wǎng)絡(luò)安全事件分析研判支撐、事件閉環(huán)處置、應(yīng)急預(yù)案管理聯(lián)動、應(yīng)急演練、綜合展示、信息系統(tǒng)等保管理等功能，形成可不斷演進的網(wǎng)絡(luò)安全決策指揮系統(tǒng)。

2 總體設(shè)計

2.1 設(shè)計概述

系統(tǒng)由兩個子系統(tǒng)“網(wǎng)絡(luò)安全威脅感知系統(tǒng)”和“網(wǎng)絡(luò)安全決策指揮系統(tǒng)”有機組成。核心能力構(gòu)建由兩方面構(gòu)成：數(shù)據(jù)驅(qū)動安全、人機共智。

通過數(shù)據(jù)驅(qū)動安全理念，建設(shè)大數(shù)據(jù)驅(qū)動的全方位網(wǎng)絡(luò)安全威脅感知系統(tǒng)。擁有純正的大數(shù)據(jù)基因，具備完善的大數(shù)據(jù)采集、大數(shù)據(jù)存儲與計算、大數(shù)據(jù)威脅分析與建模、基于大數(shù)據(jù)的告警優(yōu)化等要素。系統(tǒng)匯聚多維數(shù)據(jù)：網(wǎng)絡(luò)中所有 IT 資源(包括網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)庫)產(chǎn)生的安全信息(包括日志、告警等)。使用立體的分析能力：大數(shù)據(jù)關(guān)聯(lián)分析、特征匹配、聚合統(tǒng)計、威脅情報分析、機器學(xué)習(xí)、深度學(xué)習(xí)、異常檢測等。構(gòu)建真正的具有“立體和縱深”的網(wǎng)絡(luò)安全威脅感知系統(tǒng)，廣泛覆蓋已知和未知威脅，并識別來自外部的入侵，監(jiān)控審計內(nèi)部的違規(guī)、誤操作行為。

網(wǎng)絡(luò)安全決策指揮系統(tǒng)集成了獨有的“人機共智”創(chuàng)新技術(shù)能力，以安全效果為目標(biāo)，在網(wǎng)絡(luò)安全運營過程中將人員、技術(shù)和流程結(jié)合起來，實現(xiàn)高效運轉(zhuǎn)。通過大數(shù)據(jù)關(guān)聯(lián)分析、機器學(xué)習(xí)、AI 和安全專家協(xié)同，實現(xiàn)網(wǎng)絡(luò)安全事件分析研判支撐、事件閉環(huán)處置、應(yīng)急預(yù)案管理聯(lián)動、應(yīng)急演練、綜合展示、信息系統(tǒng)等保管理等功能，形成持續(xù)閉環(huán)、不斷迭代優(yōu)化的 XX 單位網(wǎng)絡(luò)安全決策指揮系統(tǒng)。

2.2 系統(tǒng)架構(gòu)

2.2.1 系統(tǒng)架構(gòu)圖

如圖1所示，整體系統(tǒng)架構(gòu)分為四層：數(shù)據(jù)源層、大數(shù)據(jù)平臺層、網(wǎng)絡(luò)安全威脅感知系統(tǒng)、網(wǎng)絡(luò)安全決策指揮系統(tǒng)。

圖1 系統(tǒng)架構(gòu)圖

數(shù)據(jù)源層為大數(shù)據(jù)平臺需要對接采集的數(shù)據(jù)源，數(shù)據(jù)類型：安全設(shè)備日志、安全審計日志、網(wǎng)絡(luò)流量數(shù)據(jù)、系統(tǒng)應(yīng)用日志、資產(chǎn)與脆弱性數(shù)據(jù)及其他類型數(shù)據(jù)。數(shù)據(jù)對接方式為Syslog、Kafka。

大數(shù)據(jù)平臺負(fù)責(zé)對接數(shù)據(jù)源層的各類設(shè)備、系統(tǒng)、應(yīng)用的數(shù)據(jù)，提供存儲層和計算層，對海量數(shù)據(jù)統(tǒng)一接入、存儲、數(shù)據(jù)治理，并支撐大數(shù)據(jù)關(guān)聯(lián)分析。存儲層提供 HDFS、ElasticSearch 存儲方式；計算層提供 Flink、Spark 計算框架及 Yarn 資源調(diào)度框架。大數(shù)據(jù)平臺支撐網(wǎng)絡(luò)安全威脅感知系統(tǒng)及第三方算法模型。

網(wǎng)絡(luò)安全威脅感知系統(tǒng)和網(wǎng)絡(luò)安全決策指揮系統(tǒng)是構(gòu)建在大數(shù)據(jù)平臺之上的安全應(yīng)用。網(wǎng)絡(luò)安全威脅感知系統(tǒng)使用大數(shù)據(jù)平臺的存儲和分析計算資源，提供安全模型和可視化建模畫布。可視化建模畫布提供可視化的方式進行安全建模，并把安全模型轉(zhuǎn)換為作業(yè)，通過大數(shù)據(jù)平臺的 API，提交作業(yè)，運行在大數(shù)據(jù)平臺上。安全模型包括：威脅檢測、異常檢測、攻擊成功識別、告警優(yōu)化、資產(chǎn)和脆弱性數(shù)據(jù)優(yōu)化等功能。

作業(yè)讀取大數(shù)據(jù)平臺的數(shù)據(jù)，包括消息總線和安全主題庫中的多源日志數(shù)據(jù)；進行安全分析，并將分析后的安全告警、事件再存入大數(shù)據(jù)平臺的安全主題庫中，供網(wǎng)絡(luò)安全決策指揮系統(tǒng)統(tǒng)一管理、可視化展示、檢索和處置。網(wǎng)絡(luò)安全決策指揮系統(tǒng)是對網(wǎng)絡(luò)安全威脅感知系統(tǒng)產(chǎn)生的安全事件告警進行處置閉環(huán)，包括：事件分析研判、事件響應(yīng)處置、溯源加固等全流程管理；安全事件處置預(yù)案與應(yīng)急預(yù)案管理、可視化展示等功能。

2.2.2 系統(tǒng)模塊介紹

網(wǎng)絡(luò)安全威脅感知系統(tǒng)功能可分為：可視化建模畫布和安全模型。安全模型包括：威脅檢測、異常檢測、攻擊成功識別、告警優(yōu)化、資產(chǎn)和脆弱性數(shù)據(jù)優(yōu)化等功能。

(1)可視化建模畫布：提供可視化的方式進行安全建模，并把安全模型轉(zhuǎn)換為作業(yè)。通過大數(shù)據(jù)平臺的 API，提交作業(yè)，運行在大數(shù)據(jù)平臺上?？梢暬．嫴继峁┛梢暬P(guān)聯(lián)分析工具、可視化威脅情報分析工具、可視化機器學(xué)習(xí)工具、可視化深度學(xué)習(xí)工具等模塊。支撐以拖拽控件的方式進行可視化安全建模，可以任意選擇數(shù)據(jù)源，分析算子和輸出目的算子進行交互式安全建模。

(2)威脅檢測：通過對多源數(shù)據(jù)(網(wǎng)絡(luò)流量、系統(tǒng)日志、應(yīng)用日志等)進行特征匹配、關(guān)聯(lián)分析、聚合統(tǒng)計、威脅情報分析、機器學(xué)習(xí)和深度學(xué)習(xí)建模廣泛覆蓋網(wǎng)絡(luò)威脅。包括：賬號安全檢測、郵件安全檢測、web 攻擊檢測、漏洞攻擊檢測、C&C 檢測、文件檢測和違規(guī)檢測等。

(3)異常檢測：使用機器學(xué)習(xí)、深度學(xué)習(xí)對主機數(shù)據(jù)、用戶行為數(shù)據(jù)、和網(wǎng)絡(luò)流量數(shù)據(jù)進行建模，建立正常行為基線，然后比對實時數(shù)據(jù)來檢測異常行為，用于發(fā)現(xiàn)內(nèi)部違規(guī)和高級別攻擊。異常檢測模塊包括：主機異常檢測、用戶行為異常檢測和網(wǎng)絡(luò)流量異常檢測；攻擊成功識別：從海量安全日志和安全告警中，通過上下文、大數(shù)據(jù)關(guān)聯(lián)分析、特征匹配等進行攻擊成功識別，包括暴力破解成功識別、Web 攻擊成功識別、漏洞攻擊成功識別、威脅定性等。

(4)告警優(yōu)化：將各個安全設(shè)備、安全產(chǎn)品、安全系統(tǒng)、各廠商的安全模型上報的海量安全告警通過大數(shù)據(jù)關(guān)聯(lián)分析將其聚合、歸并、關(guān)聯(lián)、統(tǒng)一，并進行歸并去重優(yōu)化、白名單優(yōu)化、攻擊場景優(yōu)化。可以大幅降低重復(fù)的、無效的、低危的告警數(shù)量，突出真正高危攻擊，便于真正的風(fēng)險能夠及時處置閉環(huán)。從而消除告警疲勞，大幅降低事件處置工作量，提高處置效率，從而提高安全威脅決策指揮能力。

(5)資產(chǎn)和脆弱性數(shù)據(jù)優(yōu)化：對從各數(shù)據(jù)來源收集到的資產(chǎn)數(shù)據(jù)、資產(chǎn)脆弱性數(shù)據(jù)進行歸并、去重、去錯等處理，形成規(guī)范的資產(chǎn)庫和資產(chǎn)脆弱性庫。

網(wǎng)絡(luò)安全決策指揮系統(tǒng)通過網(wǎng)絡(luò)安全威脅感知系統(tǒng)中各類模型算法分析出優(yōu)化削減后的告警結(jié)果，進行多維度關(guān)聯(lián)的安全事件分析研判，同時提供各類安全上層應(yīng)用，便于進行網(wǎng)絡(luò)安全運維和事件處置工作，其應(yīng)用包括安全事件全流程處理(安全事件發(fā)現(xiàn)、分析研判、響應(yīng)和處置)、應(yīng)急預(yù)案管理(應(yīng)急預(yù)案管理、處置劇本、應(yīng)急演練和知識庫)、等級保護管理、可視化展示，通過各個應(yīng)用模塊協(xié)助網(wǎng)絡(luò)管理者進行日常運維管理工作。

(1)安全事件管理：提供包括安全事件發(fā)現(xiàn)及確定、安全事件分析研判、安全事件響應(yīng)、安全事件聯(lián)動處置等全流程管理。包括提取網(wǎng)絡(luò)安全威脅系統(tǒng)中發(fā)現(xiàn)的網(wǎng)絡(luò)安全事件；為人工分析研判告警提供支撐工具，協(xié)助運維人員識別真實網(wǎng)絡(luò)安全事件；通過藍信、郵件、短信平臺等，通知負(fù)責(zé)人聯(lián)動響應(yīng)；聯(lián)動安全設(shè)備實現(xiàn)策略處置。真正實現(xiàn)對于安全事件全流程的有效管理。

(2)應(yīng)急預(yù)案管理：實現(xiàn)網(wǎng)絡(luò)安全應(yīng)急預(yù)案的電子化管理，為每一種網(wǎng)絡(luò)安全事件設(shè)定對應(yīng)的應(yīng)急預(yù)案；編排并可設(shè)置 playbook 處置劇本，能夠通過可視化拖拽平臺將任務(wù)形成劇本自定義；內(nèi)置處置知識庫，降低現(xiàn)場運維壓力。

(3)資產(chǎn)管理：通過多種方式進行網(wǎng)內(nèi)/外資產(chǎn)的探測和識別，并將所識別和探測的資產(chǎn)相關(guān)信息進行有效整合或歸并，形成完整的資產(chǎn)信息條目，進而建立資產(chǎn)管理庫，實施資產(chǎn)管理。

(4)脆弱性管理：通過主動掃描網(wǎng)絡(luò)安全設(shè)備、主機網(wǎng)絡(luò)安全管理軟件、網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)算法等來源發(fā)現(xiàn)漏洞、弱口令和基線配置，并對所發(fā)現(xiàn)的脆弱性信息進行有效整合，對有效脆弱性進行工單跟蹤，實現(xiàn)閉環(huán)處置(發(fā)現(xiàn)、驗證、修復(fù)、復(fù)測等)。

(5)等級保護管理：可對信息安全等級保護工作中的備案初審、提交測評報告、備案審批、備案證明等各個工作環(huán)節(jié)中的信息和數(shù)據(jù)進行集中管理和統(tǒng)計分析，并對上述各工作環(huán)節(jié)的工作流程進行規(guī)范化管理。

(6)可視化展示：利用統(tǒng)一展示層可視化展示 XX 單位全網(wǎng)安全態(tài)勢、重要信息資產(chǎn)情況、應(yīng)急演練全流程。包括：綜合安全態(tài)勢展示、重要信息系統(tǒng)安全展示、事件處置狀態(tài)展示、全國 XXX 網(wǎng)絡(luò)安全狀態(tài)展示、演練展示、漏洞可視化、資產(chǎn)信息可視化。

(7)處置命令對接集成：提供到 XX 單位各個網(wǎng)絡(luò)安全設(shè)備的單點登錄功能，并對接網(wǎng)絡(luò)安全設(shè)備集中管控平臺或網(wǎng)絡(luò)安全設(shè)備 API，實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備直接下發(fā)處置命令處置安全問題的效果。

2.3 業(yè)務(wù)流程

圖2為業(yè)務(wù)數(shù)據(jù)流程圖。

圖2 業(yè)務(wù)數(shù)據(jù)流程

(1)數(shù)據(jù)源層：將采集的數(shù)據(jù)上報到大數(shù)據(jù)平臺，包括流量數(shù)據(jù)、設(shè)備日志數(shù)據(jù)、部分資產(chǎn)數(shù)據(jù)、漏洞數(shù)據(jù)等。

(2)大數(shù)據(jù)平臺的消息總線和安全數(shù)據(jù)倉庫：大數(shù)據(jù)平臺數(shù)據(jù)層提供統(tǒng)一接入組件如 Kafka、HDFS、ES 等，對數(shù)據(jù)源層的數(shù)據(jù)進行標(biāo)準(zhǔn)化采集、解析和治理，并存儲在安全數(shù)據(jù)倉庫中。

(3)網(wǎng)絡(luò)安全威脅感知系統(tǒng)的安全模型通過可視化建模畫布建模，生成安全模型作業(yè)，提交并運行在大數(shù)據(jù)平臺上。安全模型作業(yè)包括威脅檢測、異常檢測、攻擊成功識別、第三方算法模型、告警優(yōu)化、資產(chǎn)和脆弱性數(shù)據(jù)優(yōu)化等。威脅檢測、異常檢測、攻擊成功識別、第三方算法模型讀取大數(shù)據(jù)平臺的消息總線 Kafka或安全數(shù)據(jù)倉庫中的海量安全數(shù)據(jù)，進行安全分析，并將分析后的告警存入大數(shù)據(jù)平臺的 Kafka。然后告警優(yōu)化讀取 Kafka 中告警數(shù)據(jù)，進行歸并去重優(yōu)化、白名單優(yōu)化、攻擊場景優(yōu)化并將優(yōu)化生成的安全事件存入大數(shù)據(jù)平臺的安全數(shù)據(jù)倉庫中。資產(chǎn)和脆弱性數(shù)據(jù)優(yōu)化讀取大數(shù)據(jù)平臺中的資產(chǎn)和脆弱性數(shù)據(jù)，優(yōu)化后存入大數(shù)據(jù)平臺的數(shù)據(jù)倉庫中。

(4)網(wǎng)絡(luò)安全威脅感知系統(tǒng)的安全模型作業(yè)和第三方算法模型的安全模型作業(yè)，運行在大數(shù)據(jù)平臺上，由大數(shù)據(jù)平臺的資源管理層 Yarn 組件統(tǒng)一納管。

(5)運行在大數(shù)據(jù)平臺上的安全模型作業(yè)將分析后的告警、事件、資產(chǎn)和脆弱性等數(shù)據(jù)寫入到大數(shù)據(jù)平臺的安全數(shù)據(jù)倉庫中。

(6)網(wǎng)絡(luò)安全決策指揮系統(tǒng)從大數(shù)據(jù)平臺的安全數(shù)據(jù)倉庫中獲取分析后的告警、事件、資產(chǎn)和脆弱性等數(shù)據(jù)進行事件處置、資產(chǎn)管理、脆弱性管理、可視化展示等。

3 總結(jié)

整個網(wǎng)絡(luò)安全系統(tǒng)設(shè)計由多個子系統(tǒng)組成，威脅感知系統(tǒng)通過對大數(shù)據(jù)平臺數(shù)據(jù)的分析計算生成安全告警，由決策指揮系統(tǒng)統(tǒng)一管理，包括：事件分析研判、響應(yīng)處置、溯源加固等。系統(tǒng)建設(shè)完成后可以宏觀把握整個網(wǎng)絡(luò)的安全狀況，分析攻擊者的意圖，為管理決策提供重要依據(jù)，實現(xiàn)網(wǎng)絡(luò)安全。