基于电信运营级计算的网络安全监控服务平台的分析

◎李殿环

基于电信运营级计算的网络安全监控服务平台的分析

◎李殿环

由于网络的快速发展，对于网络安全方面出现的各种问题，以电信运营商为主体，在云计算的基础上，构建一个提供信息及网络安全监控、防御管理等服务的云安全公共服务平台。本文就构建此平台所用到的技术以及平台基础网络及安全保障设计进行了介绍和分析。

由于信息化建设突飞猛进，网络安全的重要性日益突出，网络安全事件数量逐年增多。为了不断应对新的安全挑战，企业和组织先后部署了防火墙、UTM、入侵检测和防护系统等，构建起了一道道安全防线。但是这些安全的防线都仅仅抵御来自某个方面的安全威胁，无法产生协同效应。并且在运行过程中不断产生大量的安全日志和事件，形成了大量“信息孤岛”，使得安全管理人员面对这些数量巨大、彼此割裂的安全信息，显得束手无策，难以发现真正的安全隐患。针对上述问题在此以面向电信运营商为主体，构建一个提供信息及网络安全监控、防御管理服务提供的云安全公共服务平台。

云安全公共全服务平台简介

云安全公共服务平台是在云计算的基础上提出了一个安全平台，将网络安全事件、攻击方式等资源以“云”的形式在平台内进行共享。将平台和服务通过网络以按需分配的方式提供给外部客户，同时提供一种虚拟的可动态扩展的计算资源池（云端）。在形成规模的情况下，将资源整合，不但使得整个网络更加紧凑，易于监控与防护，同时在设备架构、人员的配给上分工也更加明确，更易于节约成本。

构建云安全服务平台采用的技术

基于云计算的监控与预警技术。通过基于云安全服务平台对客户端采集的用户网络安全事件进行监控和分析，自动发现用户网络风险或威胁，并通知服务监控平台，由安全监测中心的值守专家人工进行确认，并在第一时间通告用户。通过平台智能关联分析集群系统与专家审核相结合，最大限度的提高对用户网络监控结果的准确性，以帮助用户将所受到的风险影响降到最低。

动态网络流量控制与整形技术。网络资源对网络出口流量通道进行划分，设定惩罚通道和惩罚时间，实时监测内外IP数据包流量，统计IP在单元时间内数据包长度，根据预先设定的阈值、参数，将IP切换在相关的流量通道中，从而利用网络流量控制实现网络整形。

url快速定位及过滤技术。对已经收集到近千万条url host地址，利用数据库技术对存在网址进行分类。利用hash value技术，对字符串url地址压缩，转int32整型，采用btree二叉树生成文件数据库。嵌入式系统启动后，加载到内存中，得到url host地址后，转int32整形，从内存数据库中，快速都到url地址类别，判断http内容性质。根据预先设置的策略，对http进行阻断或者放行，并实现url过滤。

网络行为与特征分析识别技术。应用层协议发起协议包有部分在payload区，有明显的标志位，http协议，QQ协议，msn协议，还有股票分析和炒股软件等，在端口、请求字符串都具有典型特征；对于大部分p2p（peer to peer）类型的协议软件，如旋风下载，迅雷，qqstreaml，ppstream等，对于payload数据区的判定效率较低，且难以捕捉规律。本专利利用连接数、包长、与DPI检测方法现结合，高效判断和分类p2p协议。

数据压缩和归并技术。该技术采用日志聚合功能，根据用户网络日志上报的重复情况，配置一定的聚合比例，同时上报显示聚合数量。日志聚合功能对于某些网络攻击产生的大量重复日志进行归并，避免重复事件对网络管理带来的干扰。收集器以HTTP/S方式发送时间时，支持数据压缩功能，通常压缩率为10：1，压缩后的数据由收集器向平台传输所占的带宽可忽略不计，不影响用户网络的正常使用。

威胁趋势分析追踪技术。多个事件检索条件，可以单一或组合各类条件对历史事件进行检索，包括事件级别、资产属性、事件发生时间、源、目的地址等等条件。可以直观地看到攻击源的全球地理位置、全国地理位置分布图，图形化和数据统计两种方式显示各攻击源攻击的事件多少，通过攻击源分布特性分析用户被攻击的地域特性。

关联分析技术。可以实现跨设备、跨日志类型、全网范围的关联分析。当前关联规则库可以对50余种类型的攻击进行分析，如扫描攻击、DOS/DDOS、SQL注入、暴力破解等。同时可根据企业的安全需求和实际的网络环境，定制实现符合用户网络信息系统使用习惯和事件特点的关联告警触发规则。

平台基础网络及安全保障设计

核心信息安全监控和风险评估平台网络在整个网络系统中占有举足轻重的地位，它是系统的正常运行的前提条件，必须充分考虑网络的高可靠性，高效率。方案设计符合国家信息系统安全等级保护3级“网络安全—结构安全和网段划分”的要求。

采用两台交换机作为网络核心层，两台交换机利用生成树（STP）和虚拟路由冗余协议（VRRP），实现核心交换的冗余；服务器采用双链路与核心交换机相连，实现链路冗余；交换机并采用双链路与网络安全接入层相连，保证链路的冗余；交换机电源采用冗余设计。

利用交换机三层交换和路由功能，给局域网划分若干个虚网（VLAN），保证局域网内的管理工作站机群、服务器群、网络设备等处于不同的网段，只有本VLAN内部的设备，能够接收到此VLAN中其它设备所发送的点到点消息、广播消息或组播消息。通过对交换机中的数据流进行这样的限制，提高了VLAN内部用户通信的效率；同时，在不同VLAN间使用ACL（访问控制列表）技术提高访问控制安全保护。既提高了局域网访问速度，又增加了信息系统的安全性。

云安全平台安全性要达到国家信息系统安全等级保护3级的基本要求。国家信息系统安全等级保护3级包括技术和管理方面的内容，技术方面通过网络、基础系统、应用平台、应用软件来保证。管理方面通过在系统使用单位的管理规范和制度保障。

综上所述，基于云安全服务平台是以云计算为基础，技术核心包括专业的分布式智能分析引擎，强大的可视化事件分析、网络行为分析、网络行为策略管理、安全事件的关联分析自动预警等，构建一个为接入用户提供安全事件的监控、分析、防护管理等功能的服务平台。

（作者单位：济宁市技师学院）