呼亞杰

研究論文

農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

呼亞杰

農(nóng)業(yè)農(nóng)村部信息中心，北京 100125

為了做好網(wǎng)絡(luò)安全防護(hù)，消除潛在風(fēng)險(xiǎn)隱患，保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息系統(tǒng)安全穩(wěn)定運(yùn)行，文章作者探索通過建設(shè)農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)，實(shí)現(xiàn)農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知、流量異常監(jiān)測(cè)、事件安全預(yù)警、攻擊追蹤溯源、全景可視化展示等，有效應(yīng)對(duì)各類網(wǎng)絡(luò)安全挑戰(zhàn)。農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)依托大數(shù)據(jù)技術(shù)、機(jī)器學(xué)習(xí)算法，進(jìn)行全局網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估、威脅異常排除、攻擊事件處置，從而提升網(wǎng)絡(luò)安全防護(hù)能力，實(shí)現(xiàn)了安全設(shè)備告警、網(wǎng)絡(luò)及服務(wù)器日志、全網(wǎng)關(guān)鍵節(jié)點(diǎn)流量數(shù)據(jù)、管理數(shù)據(jù)等多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)標(biāo)準(zhǔn)化；實(shí)現(xiàn)了集網(wǎng)絡(luò)入侵、橫向威脅、攻擊者追蹤溯源、資產(chǎn)威脅和應(yīng)用安全等為一體的全局網(wǎng)絡(luò)安全態(tài)勢(shì)感知；實(shí)現(xiàn)了網(wǎng)絡(luò)安全狀況、攻擊監(jiān)測(cè)處置等全流程安全防御可視化展示；實(shí)現(xiàn)了全網(wǎng)絡(luò)安全防御一體化，有力保障了業(yè)務(wù)系統(tǒng)的正常運(yùn)行，有效防范了病毒木馬等造成的破壞活動(dòng)，極大提高了重大網(wǎng)絡(luò)安全事件的快速發(fā)現(xiàn)和應(yīng)急處置能力，為網(wǎng)絡(luò)安全防護(hù)提供了高效的防護(hù)手段。通過農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)建設(shè)，為網(wǎng)絡(luò)安全數(shù)據(jù)治理、一體化安全監(jiān)測(cè)防御探索出了一條可復(fù)制可推廣的有效路徑，其建設(shè)思路為省級(jí)農(nóng)業(yè)農(nóng)村部門提供了實(shí)踐參考。

網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；數(shù)據(jù)治理；網(wǎng)絡(luò)安全防護(hù)

1 引言

態(tài)勢(shì)感知是指在特定時(shí)間和空間內(nèi)提取系統(tǒng)要素，理解其含義并預(yù)測(cè)其可能產(chǎn)生的影響[1]，其概念源自于空中交通管制[2]。BASS首次提出網(wǎng)絡(luò)態(tài)勢(shì)感知的概念，并將其引入到網(wǎng)絡(luò)安全領(lǐng)域[3]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)能夠?qū)Π踩剡M(jìn)行獲取、理解和預(yù)測(cè)，是確保網(wǎng)絡(luò)安全的一種重要手段[4]。隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為繼陸、海、空、天之后的第五大戰(zhàn)略空間，是影響國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展和文化傳播的核心、關(guān)鍵和基礎(chǔ)[5]。然而，網(wǎng)絡(luò)在給人類帶來便利的同時(shí)，也帶來了諸多隱患。近年來，國(guó)內(nèi)外網(wǎng)絡(luò)安全事件頻發(fā)，諸如：數(shù)據(jù)泄露、勒索軟件和病毒木馬等各類事件層出不窮，給國(guó)家安全和社會(huì)穩(wěn)定造成了前所未有的沖擊，網(wǎng)絡(luò)空間安全形勢(shì)日趨嚴(yán)峻。隨著我國(guó)農(nóng)業(yè)的國(guó)際地位和影響力快速提升，境外敵對(duì)勢(shì)力、黑客組織和網(wǎng)上不法分子也加大了對(duì)我國(guó)農(nóng)業(yè)農(nóng)村部門的關(guān)注，農(nóng)業(yè)農(nóng)村部系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要業(yè)務(wù)系統(tǒng)已成為黑客組織的重要攻擊對(duì)象之一。

2 農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全現(xiàn)狀

據(jù)調(diào)查，農(nóng)業(yè)農(nóng)村部各司局單位多年來在政務(wù)外網(wǎng)共建設(shè)396個(gè)應(yīng)用系統(tǒng)，265個(gè)網(wǎng)站，信息系統(tǒng)呈現(xiàn)點(diǎn)多面廣的分散狀態(tài)[6]，且早年各單位信息化水平不一[7]，應(yīng)用系統(tǒng)建設(shè)大多圍繞業(yè)務(wù)工作開展，對(duì)網(wǎng)絡(luò)安全工作部署情況參差不齊。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)主要依靠防火墻、入侵檢測(cè)等進(jìn)行被動(dòng)防御，主動(dòng)發(fā)現(xiàn)潛在攻擊的能力不足，僅依靠邊界防護(hù)無法應(yīng)對(duì)新形勢(shì)下的網(wǎng)絡(luò)安全防護(hù)要求。網(wǎng)絡(luò)安全設(shè)備日志、告警等信息不集中，不利于進(jìn)行綜合分析和科學(xué)研判，給網(wǎng)絡(luò)安全埋下了隱患。網(wǎng)絡(luò)安全集中化管理、體系化防御有待提高，重大網(wǎng)絡(luò)安全事件的快速發(fā)現(xiàn)和應(yīng)急處置能力不足。

3 平臺(tái)建設(shè)情況

3.1 建設(shè)目標(biāo)

文章通過建設(shè)農(nóng)業(yè)農(nóng)村網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)，主要實(shí)現(xiàn)以下目標(biāo)：一是網(wǎng)絡(luò)安全資源有效整合；二是全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知；三是網(wǎng)絡(luò)安全威脅實(shí)時(shí)監(jiān)測(cè)；四是網(wǎng)絡(luò)安全事件及時(shí)處置。

3.2 建設(shè)內(nèi)容

建設(shè)農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)主要包括4方面工作。一是全方位數(shù)據(jù)采集。對(duì)網(wǎng)絡(luò)中已部署的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器及重要應(yīng)用的安全日志數(shù)據(jù)進(jìn)行采集；對(duì)全網(wǎng)關(guān)鍵節(jié)點(diǎn)流量數(shù)據(jù)進(jìn)行采集；對(duì)資產(chǎn)類數(shù)據(jù)、管理類數(shù)據(jù)及外部威脅情報(bào)數(shù)據(jù)、監(jiān)測(cè)共享數(shù)據(jù)動(dòng)態(tài)接入。二是多源異構(gòu)數(shù)據(jù)標(biāo)準(zhǔn)化。通過提取、清洗、關(guān)聯(lián)、比對(duì)等技術(shù)手段，將多源異構(gòu)數(shù)據(jù)統(tǒng)一格式，去重合并、日志泛化、結(jié)構(gòu)化處理等，提高數(shù)據(jù)質(zhì)量、強(qiáng)化數(shù)據(jù)標(biāo)識(shí)，建立數(shù)據(jù)間的深層聯(lián)系。三是全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知和威脅監(jiān)測(cè)。利用數(shù)據(jù)挖掘技術(shù)對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行解析、聚合和挖掘；利用安全模型對(duì)事件場(chǎng)景進(jìn)行檢測(cè)，為業(yè)務(wù)安全提供全面態(tài)勢(shì)分析和可視化展示；基于行為算法模型，精準(zhǔn)識(shí)別各類潛在威脅攻擊，為研判、決策及重要時(shí)期的網(wǎng)絡(luò)安全保障工作提供支撐。四是安全事件應(yīng)急處置。通過大數(shù)據(jù)態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)，實(shí)時(shí)監(jiān)測(cè)接入單位的網(wǎng)絡(luò)安全狀態(tài)，針對(duì)攻擊事件第一時(shí)間發(fā)出通報(bào)預(yù)警，并進(jìn)行快速反應(yīng)處置。平臺(tái)功能架構(gòu)如圖1所示。

圖1 平臺(tái)功能架構(gòu)

3.3 建設(shè)方法

平臺(tái)采用B/S架構(gòu)進(jìn)行搭建，對(duì)開源組件進(jìn)行封裝和增強(qiáng)，使用Manager系統(tǒng)提供集群管理的高可靠性、安全性、容錯(cuò)性和易用性。使用Hadoop分布式文件系統(tǒng)，提高數(shù)據(jù)訪問吞吐量。使用MySQL關(guān)系型數(shù)據(jù)庫(kù)進(jìn)行元數(shù)據(jù)存儲(chǔ)。使用Vue提供圖形化用戶Web界面展示。使用Java、Python等進(jìn)行模塊的設(shè)計(jì)、開發(fā)和封裝等。主要功能模塊如圖2所示。

平臺(tái)采用兩級(jí)部署方式，如圖3所示。

4 平臺(tái)主要功能模塊介紹

4.1 數(shù)據(jù)采集

4.1.1 流量采集

流量采集由流量探針完成，通過對(duì)網(wǎng)絡(luò)協(xié)議解析還原，特征識(shí)別等實(shí)現(xiàn)流量中威脅信息檢測(cè)。檢測(cè)類型包括漏洞利用、webshell攻擊、木馬與間諜軟件、惡意文件和異常報(bào)文等。

4.1.2 日志采集

日志采集有兩種方式，一是通過網(wǎng)絡(luò)日志流量探針進(jìn)行主動(dòng)采集，二是接收各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備及服務(wù)器等同步的日志信息進(jìn)行被動(dòng)采集。

4.1.3 其他信息采集

主要包括安全設(shè)備告警、設(shè)備資產(chǎn)、管理類采集功能，行業(yè)安全管理部門通報(bào)、市場(chǎng)漏洞特征庫(kù)、病毒特征庫(kù)等外部信息錄入功能。如圖4所示。

4.2 數(shù)據(jù)處理與存儲(chǔ)

4.2. 1 數(shù)據(jù)處理

對(duì)信息不同來源，表達(dá)內(nèi)容相同的日志、流量等數(shù)據(jù)進(jìn)行去重合并、剔除冗余；對(duì)不同格式的日志、流量等數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，統(tǒng)一格式；對(duì)離散化數(shù)據(jù)信息進(jìn)行結(jié)構(gòu)化整合。

圖 2 平臺(tái)主要功能模塊

圖3 平臺(tái)部署架構(gòu)

圖4 數(shù)據(jù)采集流轉(zhuǎn)

4.2.2 數(shù)據(jù)儲(chǔ)存

將數(shù)據(jù)進(jìn)行分類存儲(chǔ)，采用Elasticsearch建立數(shù)據(jù)全文檢索庫(kù)，實(shí)現(xiàn)查詢式數(shù)據(jù)分析和類百度式數(shù)據(jù)搜索功能，采用Hadoop平臺(tái)存儲(chǔ)分類數(shù)據(jù)并支撐各類分析引擎，為安全事件追蹤溯源提供數(shù)據(jù)支撐。

4.3 數(shù)據(jù)分析

4.3.1 數(shù)據(jù)統(tǒng)計(jì)分析

按照各類告警、日志信息來源、規(guī)模及其響應(yīng)級(jí)別，通過統(tǒng)計(jì)分析找出現(xiàn)有防御的薄弱環(huán)節(jié)，攻擊者易于得手的攻擊路徑和遭受攻擊后的影響范圍，進(jìn)行網(wǎng)絡(luò)安全防御力量的動(dòng)態(tài)調(diào)整。

4.3.2 數(shù)據(jù)挖掘分析

使用GBM決策樹、無監(jiān)督聚類等機(jī)器學(xué)習(xí)算法，對(duì)多維信息和多源數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘分析，通過對(duì)網(wǎng)絡(luò)異常事件橫向、縱向挖掘，及時(shí)主動(dòng)發(fā)現(xiàn)潛在攻擊隱患，不斷提高異常事件捕捉靈敏度，對(duì)威脅攻擊做出精準(zhǔn)預(yù)判，進(jìn)行高效防御。

4.4 態(tài)勢(shì)感知

4.4.1 網(wǎng)絡(luò)攻擊態(tài)勢(shì)

動(dòng)態(tài)可視化展示來自全世界不同地區(qū)的攻擊源對(duì)農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息系統(tǒng)的威脅情況，實(shí)時(shí)監(jiān)控境內(nèi)外攻擊源的地域分布和國(guó)家排行，掌握各攻擊鏈的威脅變化趨勢(shì)及最新外部攻擊情況。

4.4.2 橫向威脅態(tài)勢(shì)

動(dòng)態(tài)可視化展示網(wǎng)絡(luò)基礎(chǔ)設(shè)施和信息系統(tǒng)之間違規(guī)操作及病毒傳播路徑，實(shí)時(shí)監(jiān)控跨安全域和跨業(yè)務(wù)系統(tǒng)的訪問情況，通過自由布局和圓形布局多種形式直觀查看資產(chǎn)之間的威脅關(guān)系，及時(shí)發(fā)現(xiàn)并制止違規(guī)資產(chǎn)對(duì)內(nèi)部環(huán)境造成的破壞。

4.4.3 應(yīng)用安全態(tài)勢(shì)

動(dòng)態(tài)可視化展示應(yīng)用服務(wù)的被訪問狀態(tài)和受攻擊情況及網(wǎng)站區(qū)域訪問量，訪問地區(qū)排行，攻擊網(wǎng)站排行，攻擊類型排行，網(wǎng)站訪問和攻擊變化趨勢(shì)等。

4.4.4 資產(chǎn)威脅態(tài)勢(shì)

動(dòng)態(tài)可視化展示資產(chǎn)和其他資產(chǎn)間的聯(lián)系，當(dāng)前資產(chǎn)的被攻擊行為、攻擊手段、攻擊強(qiáng)度、當(dāng)前狀態(tài)、攻擊影響范圍等。

以農(nóng)業(yè)農(nóng)村部總體網(wǎng)絡(luò)攻擊態(tài)勢(shì)為例，可視化展示如圖5所示。

圖5 網(wǎng)絡(luò)攻擊態(tài)勢(shì)

4.5 威脅感知

4.5.1 安全事件威脅感知

實(shí)時(shí)監(jiān)測(cè)攻擊者和不法分子的攻擊活動(dòng)，支持各類告警事件、漏洞事件、資產(chǎn)事件、網(wǎng)站威脅事件以及平臺(tái)自身事件的發(fā)現(xiàn)與識(shí)別，通過數(shù)據(jù)挖掘找出潛在威脅對(duì)象并進(jìn)行可視化展示。

4.5.2 高危事件調(diào)查取證

對(duì)攻擊事件的完整攻擊鏈進(jìn)行回溯，將系統(tǒng)日志、告警信息、漏洞信息、關(guān)聯(lián)事件等進(jìn)行綜合分析，從攻擊者視角出發(fā)，對(duì)其在時(shí)間維度上的破壞行為進(jìn)行可視化，留存詳細(xì)的攻擊證據(jù)。

4.5.3 用戶行為威脅感知

對(duì)指定應(yīng)用系統(tǒng)進(jìn)行流量監(jiān)測(cè)，實(shí)時(shí)展示用戶操作行為，識(shí)別可疑和違規(guī)操作，可提供用戶行為傾向、訪問資源分布等，用戶異常行為包括訪問頻次超限、權(quán)限異常提升、違規(guī)訪問和下載等。

以暴力破解事件威脅感知為例，可視化展示如圖6所示。

4.6 安全事件溯源

4.6.1 攻擊過程還原

對(duì)攻擊事件進(jìn)行深度分析，全量還原攻擊路徑，包括攻擊次數(shù)、攻擊手法等關(guān)鍵信息，將告警信息轉(zhuǎn)換成有序的攻擊鏈予以展示，支持攻擊過程回放，真實(shí)還原攻擊細(xì)節(jié)。

4.6.2 攻擊溯源畫像

最大化收集攻擊者信息，分析攻擊者內(nèi)網(wǎng)橫向移動(dòng)影響，形成集攻擊工具、攻擊特征、遭受攻擊資產(chǎn)范圍等信息為一體的內(nèi)網(wǎng)攻擊圖譜，建立攻擊者檔案，完成攻擊者畫像。如圖7所示。

4.7 其他功能

除上述功能外，平臺(tái)還具有數(shù)據(jù)檢索、資產(chǎn)管理、等保管理、績(jī)效考核、應(yīng)急響應(yīng)、系統(tǒng)管理等功能。

5 結(jié)果與討論

通過建設(shè)農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)，實(shí)現(xiàn)了網(wǎng)絡(luò)安全要素的有效整合，網(wǎng)絡(luò)安全資源的充分利用，網(wǎng)絡(luò)安全事件的發(fā)現(xiàn)能力和處置效率得到顯著提高。據(jù)統(tǒng)計(jì)，自平臺(tái)上線以來，第一時(shí)間監(jiān)測(cè)發(fā)現(xiàn)并妥善處置網(wǎng)絡(luò)安全事件44類共計(jì)214起，為128個(gè)應(yīng)用系統(tǒng)、10個(gè)網(wǎng)站清除了安全隱患，極大地降低了安全事件的橫向破壞能力。農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全一體化監(jiān)測(cè)防御體系建設(shè)逐步實(shí)現(xiàn)。

5.1 網(wǎng)絡(luò)安全要素集中化

農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)平臺(tái)集中接入核心網(wǎng)絡(luò)節(jié)點(diǎn)12種18臺(tái)安全設(shè)備，4種16臺(tái)網(wǎng)絡(luò)設(shè)備，日均信息量800余萬條，已經(jīng)累計(jì)匯聚59.7億，資產(chǎn)信息、漏洞信息持續(xù)更新，目前數(shù)據(jù)存儲(chǔ)量已累計(jì)達(dá)到2.9T。農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)平臺(tái)已然成為一個(gè)網(wǎng)絡(luò)安全數(shù)據(jù)管理中心，網(wǎng)絡(luò)安全設(shè)備管理中心，信息系統(tǒng)資產(chǎn)管理中心。網(wǎng)絡(luò)安全要素的集中管理，大大提升了農(nóng)業(yè)農(nóng)村部的網(wǎng)絡(luò)安全可控能力。

圖7 攻擊溯源畫像

5.2 網(wǎng)絡(luò)安全感知可視化

以網(wǎng)絡(luò)攻擊視角，將外部威脅、內(nèi)部橫向轉(zhuǎn)移、資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)、重要應(yīng)用安全等不同場(chǎng)景、不同對(duì)象遭受的攻擊類型、攻擊來源、攻擊頻次、攻擊路徑和攻擊趨勢(shì)等進(jìn)行直觀地可視化展示，以大數(shù)據(jù)技術(shù)全面、透徹地分析評(píng)估攻擊造成的影響和攻擊態(tài)勢(shì)的演化，極大地提高了網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力和應(yīng)對(duì)重大網(wǎng)絡(luò)安全事件的快速發(fā)現(xiàn)能力，為輔助決策提供了直觀可視化的支撐保障。

5.3 網(wǎng)絡(luò)安全防御一體化

平臺(tái)整合核心網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)鍵網(wǎng)絡(luò)及安全設(shè)備資源，聯(lián)合部機(jī)關(guān)一級(jí)平臺(tái)和直屬單位二級(jí)平臺(tái)，依托大數(shù)據(jù)分析技術(shù)進(jìn)行一體化防御。針對(duì)安全事件進(jìn)行聯(lián)動(dòng)處置，形成局部遭受攻擊，整體不受影響，一點(diǎn)遭受攻擊，全網(wǎng)進(jìn)行預(yù)防的局面。一體化防御機(jī)制有效地阻斷了網(wǎng)絡(luò)攻擊行為，顯著地降低了安全事件的影響范圍，極大地保障了數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全。隨著邊界設(shè)備的全面接入，網(wǎng)絡(luò)威脅監(jiān)測(cè)研判規(guī)則的不斷優(yōu)化，預(yù)警靈敏度的進(jìn)一步提高，一體化防御機(jī)制正逐步從輔助決策走向智能化防護(hù)。

6 展望

文章以農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全防御為目的，開展全要素、全流量網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)建設(shè)和實(shí)踐，在實(shí)際的網(wǎng)絡(luò)安全監(jiān)測(cè)防護(hù)中取得了良好的效果，但也暴露了一些問題，比如：二級(jí)平臺(tái)使用頻率不高等。網(wǎng)絡(luò)安全工作是一項(xiàng)復(fù)雜的系統(tǒng)工程，農(nóng)業(yè)農(nóng)村網(wǎng)絡(luò)安全工作更是加快建設(shè)農(nóng)業(yè)強(qiáng)國(guó)的重要組成部分。農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)是強(qiáng)化網(wǎng)絡(luò)安全保障體系建設(shè)的落地和實(shí)踐，需要在以后的工作中進(jìn)一步地完善和推廣，更好地發(fā)揮其在網(wǎng)絡(luò)安全態(tài)勢(shì)感知、安全事件威脅監(jiān)測(cè)和攻擊行為智能防御中的突出作用，為農(nóng)業(yè)農(nóng)村信息化事業(yè)發(fā)展筑牢安全屏障、為數(shù)字鄉(xiāng)村建設(shè)保駕護(hù)航。

[1] 龔儉,臧小東,蘇琪,等. 網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J]. 軟件學(xué)報(bào),2017,28(4): 1010-1026.

Gong J, Zhang X D, Su Q, et al. Survey of network security situation awareness[J]. Journal of Software, 2017, 28(4): 1010-1026.

[2] Nolan M S. Fundamentals of air traffic control[J]. Delmar Cengage Learning, 1990, 2(2):859-863.

[3] Bass T. Intrusion detection systems and multisensor data fusion: Creating cyberspace situational awareness[J]. Communications of the ACM, 2000, 43(4):99-105.

[4] 谷曉鵬 . 面向威脅信息的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究[J]. 現(xiàn)代計(jì)算機(jī),2022,28(19):57-62．

Gu X P. Research on network security situation awareness oriented to threat information[J]. Modern Computer, 2022, 28(19): 57-62.

[5] 李建華. 網(wǎng)絡(luò)空間威脅情報(bào)感知、共享與分析技術(shù)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2016,2(2):16-29.

Li J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in Cyberspace[J]. Chinese Journal of Network and Information Security, 2016,2(2):16-29.

[6] 梁棟, 呼亞杰,唐文鳳 . 農(nóng)業(yè)農(nóng)村部政務(wù)信息資源共享服務(wù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 中國(guó)農(nóng)業(yè)信息,2020,32(4):50-58.

Liang D, Hu Y J, Tang W F. Design and implementation of government information resources sharing service system of the Ministry of Agriculture and Rural Affairs[J]. China Agricultural Informatics,2020,32(4):50-58.

[7] 張燏. 農(nóng)業(yè)農(nóng)村部政務(wù)服務(wù)平臺(tái)建設(shè)探索與實(shí)踐[J]. 中國(guó)農(nóng)業(yè)信息,2020,32(2):76-82.

Zhang Y. Exploration and practice on the construction of government affairs service platform of the Ministry of Agriculture and Rural Affairs [J]. China Agricultural Informatics, 2020, 32(2): 76-82.

Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform

HU Yajie

Information Center of Ministry Agriculture and Rural Affairs, Beijing 100125,China

In order to protect network security, eliminate potential risks, ensure the safe and stable operation of network infrastructure and information systems,this paper aims to build a network security situation awareness monitoring and analysis platform for the Ministry of Agriculture and Rural Affairs, to realize network security situation awareness, traffic anomaly monitoring, incident safety warning, attack tracking, panoramic visual display, effectively responding various network security threats and challenges. The platform relies on big data technology and machine learning algorithms to conduct global network security situation assessment, eliminate threat anomalies, and handle attack events, thereby improving network security protection capabilities, it has achieved standardization of multi-source heterogeneous network security data, network server logs, traffic data of key nodes, management data, implemented global network security situational awareness that integrates network intrusion, horizontal threats, attacker tracing, asset threats, and application security, realized the visualization display of the entire process of security defense, including network security status, attack monitoring and disposal, realized the integration of network security defense, effectively ensuring the normal operation of business systems, effectively preventing destructive activities caused by viruses and Trojans, greatly improving the ability to quickly detect and respond to major network security incidents, and providing efficient protection measures for network security protection. Through the construction of the network security situational awareness monitoring and analysis platform of the Ministry of Agriculture and Rural Affairs, an effective path that can be replicated and promoted for network security data governance and integrated security monitoring and defense has been explored, and its construction ideas provide practical reference for provincial agricultural and rural departments.

network security; situation awareness; data governance; network security protection

呼亞杰. 農(nóng)業(yè)農(nóng)村部網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)分析平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J]. 農(nóng)業(yè)大數(shù)據(jù)學(xué)報(bào), 2023,5(1):68-75.

HU Yajie.Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform[J]. Journal of Agricultural Big Data, 2023,5(1): 68-75.

10.19788/j.issn.2096-6369.230115

2023-03-21

呼亞杰，男，碩士，研究方向：網(wǎng)絡(luò)安全、農(nóng)業(yè)大數(shù)據(jù)；E-mail: huyajie@agri.gov.cn。