劉丹，魏宏安

（福州大學(xué)物理與信息工程學(xué)院，福州350108）

0 引言

近年來信息化技術(shù)高速發(fā)展，為達(dá)到各地區(qū)各級各類政務(wù)信息的數(shù)據(jù)融合共享、規(guī)范化管理、便捷化服務(wù)的工作目標(biāo)，電子政務(wù)的應(yīng)用越加廣泛。然而，與之伴隨的是各種網(wǎng)絡(luò)安全事件，黑客們利用網(wǎng)站/系統(tǒng)漏洞或各種網(wǎng)絡(luò)機(jī)制的弱點(diǎn)等，發(fā)動數(shù)據(jù)信息惡意篡改、網(wǎng)絡(luò)仿冒、拒絕服務(wù)等網(wǎng)絡(luò)攻擊事件，從而造成數(shù)據(jù)信息泄露、操作系統(tǒng)無法正常運(yùn)行、網(wǎng)絡(luò)故障等危害，對國家經(jīng)濟(jì)造成重大損失。

為防御各種安全威脅，必須采取有效的安全保障方法來保證電子政務(wù)網(wǎng)絡(luò)的安全運(yùn)行。通過分析，現(xiàn)階段主要包括以下2 種安全保障方法：

（1）使用單一安全產(chǎn)品或設(shè)備。重點(diǎn)對一個或幾個方面進(jìn)行檢測與防御，例如使用數(shù)據(jù)庫審計[1]、防毒墻[2]、入侵檢測[3]等網(wǎng)絡(luò)安全防御技術(shù)，固然在某些方面上加強(qiáng)了政務(wù)網(wǎng)絡(luò)的安全性，但是獨(dú)立的產(chǎn)品或設(shè)備也意味著功能分散、各自為戰(zhàn)，相互之間沒有關(guān)聯(lián)，不能全面的監(jiān)測整個網(wǎng)絡(luò)的安全狀況，且需要熟悉多種安全產(chǎn)品系統(tǒng)。

（2）使用統(tǒng)一網(wǎng)絡(luò)安全管理系統(tǒng)。系統(tǒng)針對多種網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行簡單集成，雖然在一定程度上提升了網(wǎng)絡(luò)安全監(jiān)測的全面性，但是集成的多種安全產(chǎn)品來自多個安全廠家，沒有自主研發(fā)產(chǎn)品，從知識產(chǎn)權(quán)角度出發(fā)，容易受各種產(chǎn)品的限制，且經(jīng)濟(jì)成本高，不適用于中小型網(wǎng)絡(luò)安全監(jiān)測與防御。

因此，以上2 種安全保障方法無法滿足中小型電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全的需求，本文基于網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，研究了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)（Network Security Situation Awareness System，NSSAS），系統(tǒng)集成多種網(wǎng)絡(luò)安全產(chǎn)品，使用統(tǒng)一管理調(diào)度機(jī)制，使各安全產(chǎn)品之間相互支撐、協(xié)同工作，能較為全面的對網(wǎng)絡(luò)安全進(jìn)行監(jiān)測與防御；且該系統(tǒng)是自主研發(fā)，集成的安全產(chǎn)品多為開源、自主研發(fā)和政府支持的國內(nèi)安全產(chǎn)品或設(shè)備，生產(chǎn)成本降低，適用于中小型電子政務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全監(jiān)測。系統(tǒng)不僅彌補(bǔ)了上述2 種安全保障方法的不足，而且實(shí)現(xiàn)了網(wǎng)絡(luò)安全實(shí)時監(jiān)測，能以多角度、多尺度的可視化方式提供準(zhǔn)確直觀的網(wǎng)絡(luò)安全態(tài)勢趨向圖，對突發(fā)性威脅事件應(yīng)急處理及預(yù)警等網(wǎng)絡(luò)安全的需求。

1 關(guān)鍵技術(shù)

關(guān)于“網(wǎng)絡(luò)態(tài)勢感知”的定義，目前沒有唯一確定的定義。在文獻(xiàn)[5]中作者認(rèn)為，“網(wǎng)絡(luò)態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢變化的安全要素進(jìn)行獲取、理解、顯示以及未來趨勢預(yù)測”。在整個系統(tǒng)中，安全要素提取、安全要素分析、安全要素可視化展示、安全預(yù)警是四個至關(guān)重要的組成要素，提取、分析代表網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的前提，安全要素可視化展示是最后的目的。所以，網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)主要包括數(shù)據(jù)預(yù)處理與安全要素特征提取、安全要素分析與評估、網(wǎng)絡(luò)安全預(yù)測等。

（1）數(shù)據(jù)預(yù)處理與安全要素特征提取

防火墻[4]、防毒墻、WAF、NIDS 等安全設(shè)備產(chǎn)生數(shù)量較多的各種數(shù)據(jù)，包括運(yùn)行數(shù)據(jù)、日志數(shù)據(jù)、噪聲數(shù)據(jù)等。因?yàn)楦髟O(shè)備的不同廠商對數(shù)據(jù)的不同定義導(dǎo)致原始數(shù)據(jù)的格式不盡相同、因?yàn)樵O(shè)備性能的問題使得會采集到噪聲數(shù)據(jù)、因?yàn)椴杉l率過高使得短時間內(nèi)采集到相同數(shù)據(jù)等，這些多種因素都會導(dǎo)致采集的數(shù)據(jù)無法直接使用。數(shù)據(jù)預(yù)處理技術(shù)的作用就是將這些大量冗雜的數(shù)據(jù)進(jìn)行格式統(tǒng)一、冗余去除、過濾、合并重復(fù)記錄，為后續(xù)的分析、預(yù)測等做準(zhǔn)備。

安全要素特征提取是指利用PCA 主成分分析方法等特征提取算法將特征從海量數(shù)據(jù)中提取出來，最后與特征庫進(jìn)行對比。根據(jù)特征提取函數(shù)與學(xué)習(xí)算法是否有關(guān)，特征提取算法可以分為兩類：Filter 和Wrapper 模式。前者是根據(jù)已知經(jīng)驗(yàn)，人為進(jìn)行關(guān)鍵字特征提取設(shè)置，并且人為定義準(zhǔn)確度、安全等級等度量標(biāo)準(zhǔn)因素來判斷各特征子集的使用順序、優(yōu)劣等；后者則利用神經(jīng)網(wǎng)絡(luò)等學(xué)習(xí)算法進(jìn)行訓(xùn)練自主產(chǎn)生特征子集，將學(xué)習(xí)算法的效率、準(zhǔn)確率等作為判斷子集優(yōu)劣的度量標(biāo)準(zhǔn)因素。

（2）安全要素分析與評估

在數(shù)據(jù)預(yù)處理與安全要素特征提取后，需要進(jìn)行安全要素分析與評估。安全要素分析重點(diǎn)是對安全事件要素進(jìn)行分析，包括數(shù)據(jù)、業(yè)務(wù)、內(nèi)容、異常網(wǎng)絡(luò)訪問、系統(tǒng)運(yùn)行等安全事件，將提取的繁雜的關(guān)鍵特征利用決策樹、貝葉斯等方法進(jìn)行事件關(guān)聯(lián)分析。評估主要是從系統(tǒng)漏洞、威脅告警、攻擊事件等多方面要素利用神經(jīng)網(wǎng)絡(luò)、模糊推理等方法來綜合評估網(wǎng)絡(luò)安全狀態(tài)，為網(wǎng)絡(luò)安全決策提供依據(jù)。

（3）網(wǎng)絡(luò)安全預(yù)測

網(wǎng)絡(luò)安全預(yù)測是達(dá)到網(wǎng)絡(luò)安全主動防御的目標(biāo)的重要手段，本質(zhì)是利用大量已發(fā)生的的告警數(shù)據(jù)進(jìn)行深度學(xué)習(xí)行為，從中發(fā)現(xiàn)入侵者入侵規(guī)律，從而研究出預(yù)測模型，使得安全態(tài)勢系統(tǒng)能根據(jù)入侵前期的入侵特征對入侵行為進(jìn)行早期預(yù)測，及時采用有效措施加以阻止。

2 系統(tǒng)的設(shè)計

2.1 系統(tǒng)結(jié)構(gòu)

構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，一是數(shù)據(jù)采集，采集整個網(wǎng)絡(luò)環(huán)境中的終端、邊界和網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)中的各類安全數(shù)據(jù)，對其進(jìn)行預(yù)處理，形成原始安全數(shù)據(jù)庫，數(shù)據(jù)的采集對整個態(tài)勢提取、分析和呈現(xiàn)有著重要的影響，如果數(shù)據(jù)不清、數(shù)據(jù)采集混亂，態(tài)勢感知因素提取將無法實(shí)現(xiàn)，因而數(shù)據(jù)采集尤為重要；二是數(shù)據(jù)分析，采用相關(guān)算法，對大量預(yù)處理后的安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)、統(tǒng)計分析，通過數(shù)據(jù)分析從中發(fā)現(xiàn)爬蟲攻擊、溢出攻擊、永恒之藍(lán)等各類與網(wǎng)絡(luò)安全有關(guān)的威脅告警信息；三是態(tài)勢展示，即對資產(chǎn)、漏洞、安全事件等各要素的可視化呈現(xiàn)。本文設(shè)計系統(tǒng)結(jié)構(gòu)如圖1 所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)架構(gòu)

NSSAS 的結(jié)構(gòu)分為：數(shù)據(jù)采集、數(shù)據(jù)分析、態(tài)勢展示。NSSAS 采用從下到上的設(shè)計理念，上層依賴下層，負(fù)責(zé)輸出服務(wù)。A 代表的是資產(chǎn)中心，包括防火墻、入侵檢測、防毒墻等安全設(shè)備和路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備等。B 是的數(shù)據(jù)采集層，是整個NSSAS 的基礎(chǔ)，為數(shù)據(jù)分析層提供數(shù)據(jù)源，本文采集數(shù)據(jù)分為資產(chǎn)信息數(shù)據(jù)、漏洞數(shù)據(jù)和安全事件數(shù)據(jù)三種，資產(chǎn)信息數(shù)據(jù)是關(guān)于資產(chǎn)信息的數(shù)據(jù)，包括端口、服務(wù)、協(xié)議、根域名ICP備案號、操作系統(tǒng)等；漏洞數(shù)據(jù)是關(guān)于資產(chǎn)的漏洞數(shù)據(jù)，包括系統(tǒng)漏洞、Web 漏洞[7]、弱口令漏洞、apt 漏洞[10]等；安全事件數(shù)據(jù)是關(guān)于資產(chǎn)的安全事件數(shù)據(jù)，包括網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件、業(yè)務(wù)安全事件、內(nèi)容安全事件、可用性安全事件等；C 是NSSAS 的數(shù)據(jù)分析層，利用關(guān)聯(lián)分析規(guī)則、統(tǒng)計分析規(guī)則，將采集到的數(shù)據(jù)進(jìn)行分析；D 是態(tài)勢展示層，屏蔽內(nèi)部數(shù)據(jù)處理，直觀的為網(wǎng)絡(luò)管理員呈現(xiàn)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢，這是最終目標(biāo)，也是為網(wǎng)絡(luò)安全管理員的判斷提供依據(jù)。下面從資產(chǎn)感知、事件感知、脆弱性感知三個模塊進(jìn)行設(shè)計。

2.2 主要功能模塊的設(shè)計

（1）資產(chǎn)感知模塊

基于三個需求（a）網(wǎng)絡(luò)規(guī)模較大，主機(jī)服務(wù)器、網(wǎng)絡(luò)設(shè)備等資產(chǎn)數(shù)量較多無法一一添加資產(chǎn)；（b）對已知資產(chǎn)新增管理時，資產(chǎn)信息所知不全；（c）長期的網(wǎng)絡(luò)建設(shè)以及相關(guān)業(yè)務(wù)的變更使資產(chǎn)存活情況和資產(chǎn)屬性信息不清。為此提出了資產(chǎn)感知模塊，該模塊提供資產(chǎn)管理、資產(chǎn)發(fā)現(xiàn)、資產(chǎn)探測、資產(chǎn)審核、資產(chǎn)風(fēng)險視圖等功能，功能流程圖如圖2 所示。

圖2 資產(chǎn)感知模塊功能流程圖

本系統(tǒng)采用masscan、nmap[6]以及兩種結(jié)合的掃描方式進(jìn)行，分別對應(yīng)快速模式、標(biāo)準(zhǔn)模式、深度模式三種采集策略，可根據(jù)需要自主選擇采集策略。系統(tǒng)通過任務(wù)掃描可以發(fā)現(xiàn)存活主機(jī)、開放端口，進(jìn)而發(fā)現(xiàn)其運(yùn)行的服務(wù)、操作系統(tǒng)等信息，為下一步的工作奠定基礎(chǔ)。從經(jīng)濟(jì)角度出發(fā)，為節(jié)省成本，采用開源的采集工具，而在所有同類型的開源采集工具中，使用最為廣泛的是mascan 和nmap，其中mascan 采用了無狀態(tài)的掃描技術(shù)，沒有進(jìn)行完整的TCP 三次握手，與zmap 多端口掃描相比較，速度快；設(shè)置靈活，允許自定義任意的地址范圍和端口范圍，可以設(shè)置黑白名單，重試次數(shù)、UA 字段值、發(fā)出數(shù)據(jù)包的TTL 值，發(fā)包后的等待時間等掃描設(shè)置。而nmap，也稱為網(wǎng)絡(luò)映射器，它是一個廣泛使用的開源工具，功能非常強(qiáng)大，可以實(shí)現(xiàn)高效的網(wǎng)絡(luò)發(fā)現(xiàn)和安全審計，全球的開發(fā)者都對為其功能的豐富貢獻(xiàn)了力量，它除了擁有主機(jī)發(fā)現(xiàn)，開放端口掃描，支持多端口、多網(wǎng)段，可對目標(biāo)域名進(jìn)行掃描等基本功能，還具有識別功能，能識別端口服務(wù)類型及版本、操作系統(tǒng)、設(shè)備類型等。

（2）事件感知模塊

基于需求“需要從安全事件分析網(wǎng)絡(luò)安全”，為此提出事件感知模塊，該模塊提供分類規(guī)則和關(guān)聯(lián)分析規(guī)則等規(guī)則的維護(hù)、事件檢索以及告警監(jiān)控等功能，功能流程圖如圖3 所示。

圖3 事件感知模塊功能流程圖

本系統(tǒng)對安全事件數(shù)據(jù)的采集采用了netflow[7]、syslog、入侵檢測等多種采集工具。采用多種采集工具的原因有多點(diǎn)：①首先，每種采集工具的特征庫都不盡相同，采用較多的采集工具，能夠采集較為完善的數(shù)據(jù)，且對于安全事件的誤報率能有所減少，提高數(shù)據(jù)的準(zhǔn)確性，但并不是越多越好，還要考慮數(shù)據(jù)的融合；②其次是歷史原因，網(wǎng)絡(luò)建設(shè)不是一蹴而就，是逐步擴(kuò)展，不同建設(shè)時期所選的網(wǎng)絡(luò)設(shè)備、安全設(shè)備廠家有所不同，而不同廠家生產(chǎn)設(shè)備所支持的采集工具不同。采集器將采集到的原始數(shù)據(jù)利用過濾規(guī)則、分類規(guī)則等規(guī)則進(jìn)行預(yù)處理，其中這些規(guī)則是通過經(jīng)驗(yàn)設(shè)置表達(dá)式如嘗試[sql 注入-“{-N：28,-SC：((blind injection))}”]、[蠕蟲傳播-“-SE：((NR-50001/0))”]、[UDP flood 攻擊-“-SC：((attackevent=UDP FLOOD))”]的方式形成預(yù)處理規(guī)則庫，原始安全事件數(shù)據(jù)預(yù)處理后形成可用的安全事件數(shù)據(jù)源，再將其通過關(guān)聯(lián)分析規(guī)則、統(tǒng)計分析規(guī)則等進(jìn)行分析，從而產(chǎn)生威脅告警信息。

（3）脆弱性感知模塊

基于需求“需要從漏洞方面分析網(wǎng)絡(luò)安全”，為此提出脆弱性感知模塊，該模塊提供系統(tǒng)漏洞掃描、Web漏洞掃描[8]、弱口令漏洞掃描、漏洞視圖等功能，功能流程圖如圖4 所示。

圖4 脆弱性感知模塊功能流程圖

本系統(tǒng)支持采用awvs[9]、綠盟極光、nessus[10]、安恒MatriXay Webscan 漏洞掃描工具對漏洞數(shù)據(jù)進(jìn)行采集。采用這四種漏洞掃描工具的原因如下：①采用的幾種漏掃工具包含開源工具，從經(jīng)濟(jì)角度出發(fā)，可以節(jié)省成本，且每種漏洞掃描工具的漏洞庫都不盡相同，采用較多的漏掃工具，能夠得到較為完善的漏洞數(shù)據(jù)，防止漏掃；②開源的漏掃工具的漏洞庫，不能更新漏洞庫，但由于技術(shù)在發(fā)展，新的漏洞也會實(shí)時出現(xiàn)，重大漏洞的產(chǎn)生若沒能及時跟蹤修補(bǔ)將會造成不可挽回的損失，故需要掃描器廠商實(shí)時跟蹤各機(jī)構(gòu)發(fā)現(xiàn)的漏洞情況、研究其原理、快速給出解決方法，因而購買會及時更新漏洞庫的商用漏掃商品；③國內(nèi)政策推進(jìn)國內(nèi)產(chǎn)品。支持多種漏洞掃描器，這么做優(yōu)勢在于可自主選擇掃描器，更加靈活，且多種漏洞庫的疊加，使得數(shù)據(jù)更加完善，減少漏掃的可能性；劣勢在于，每種漏掃工具對漏洞的定義不同，就可能產(chǎn)生一個漏洞出現(xiàn)兩個記錄，這樣會使得安全服務(wù)方重復(fù)校驗(yàn)相同漏洞。所以目前需要解決的是如何歸并漏洞，針對這個問題，后續(xù)提出一種解決方式，基于CVE 編號，將相同CVE編號的漏洞歸并，但是這個需要各種掃描器能支持獲取CVE 標(biāo)號，且對于不在國際漏洞庫中的漏洞，無法進(jìn)行歸并。

3 系統(tǒng)測試

基于電子政務(wù)網(wǎng)絡(luò)的態(tài)勢感知系統(tǒng)已在某地區(qū)電子政務(wù)網(wǎng)絡(luò)成功部署并上線試運(yùn)行。系統(tǒng)平臺實(shí)現(xiàn)了

（1）資產(chǎn)感知功能：對10.9.1.104 進(jìn)行探測，探測到網(wǎng)絡(luò)資產(chǎn)10.9.1.104（linux）有三個端口，端口/服務(wù)/協(xié)議分別是22/ssh/tcp、80/HTTP/tcp、3306/MySQL/tcp。

（2）事件感知功能：按照實(shí)際發(fā)生時間近15 分鐘的條件搜索，監(jiān)測到發(fā)生117 條安全事件。

圖5 資產(chǎn)10.9.14.104的探測結(jié)果

圖6 近15分鐘的安全事件

（3）脆弱性感知功能：對資產(chǎn)10.9.1.202 進(jìn)行系統(tǒng)漏洞掃描，共掃描到21 個漏洞，其中高危漏洞3 個，中危漏洞5 個，信息漏洞13 個。

圖7 資產(chǎn)10.9.1.202的系統(tǒng)漏洞掃描結(jié)果

（4）態(tài)勢展示：針對安全威脅、風(fēng)險、漏洞、攻擊等不同要素展示趨勢走向，為安全策略提供直觀依據(jù)。

圖8 系統(tǒng)的綜合態(tài)勢

4 結(jié)語

本文從當(dāng)前中小型電子政務(wù)網(wǎng)絡(luò)的安全防御需求出發(fā)，分析了傳統(tǒng)安全保障方法的不足及應(yīng)用本系統(tǒng)的優(yōu)勢，達(dá)到對電子政務(wù)網(wǎng)絡(luò)的外部攻擊和內(nèi)部潛在風(fēng)險的監(jiān)測、提供及時安全告警、對威脅進(jìn)行處置等功能。本文的設(shè)計思路對醫(yī)療、教育、電力等領(lǐng)域的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)也有參考和借鑒意義。