电子政务网络的网络安全态势感知系统的研究

刘丹，魏宏安

（福州大学物理与信息工程学院，福州350108）

0 引言

近年来信息化技术高速发展，为达到各地区各级各类政务信息的数据融合共享、规范化管理、便捷化服务的工作目标，电子政务的应用越加广泛。然而，与之伴随的是各种网络安全事件，黑客们利用网站/系统漏洞或各种网络机制的弱点等，发动数据信息恶意篡改、网络仿冒、拒绝服务等网络攻击事件，从而造成数据信息泄露、操作系统无法正常运行、网络故障等危害，对国家经济造成重大损失。

为防御各种安全威胁，必须采取有效的安全保障方法来保证电子政务网络的安全运行。通过分析，现阶段主要包括以下2 种安全保障方法：

（1）使用单一安全产品或设备。重点对一个或几个方面进行检测与防御，例如使用数据库审计[1]、防毒墙[2]、入侵检测[3]等网络安全防御技术，固然在某些方面上加强了政务网络的安全性，但是独立的产品或设备也意味着功能分散、各自为战，相互之间没有关联，不能全面的监测整个网络的安全状况，且需要熟悉多种安全产品系统。

（2）使用统一网络安全管理系统。系统针对多种网络安全产品进行简单集成，虽然在一定程度上提升了网络安全监测的全面性，但是集成的多种安全产品来自多个安全厂家，没有自主研发产品，从知识产权角度出发，容易受各种产品的限制，且经济成本高，不适用于中小型网络安全监测与防御。

因此，以上2 种安全保障方法无法满足中小型电子政务网络的网络安全的需求，本文基于网络安全态势感知技术，研究了网络安全态势感知系统（Network Security Situation Awareness System，NSSAS），系统集成多种网络安全产品，使用统一管理调度机制，使各安全产品之间相互支撑、协同工作，能较为全面的对网络安全进行监测与防御；且该系统是自主研发，集成的安全产品多为开源、自主研发和政府支持的国内安全产品或设备，生产成本降低，适用于中小型电子政务网络的网络安全监测。系统不仅弥补了上述2 种安全保障方法的不足，而且实现了网络安全实时监测，能以多角度、多尺度的可视化方式提供准确直观的网络安全态势趋向图，对突发性威胁事件应急处理及预警等网络安全的需求。

1 关键技术

关于“网络态势感知”的定义，目前没有唯一确定的定义。在文献[5]中作者认为，“网络态势感知是在大规模网络环境中，对能够引起网络态势变化的安全要素进行获取、理解、显示以及未来趋势预测”。在整个系统中，安全要素提取、安全要素分析、安全要素可视化展示、安全预警是四个至关重要的组成要素，提取、分析代表网络安全态势感知系统的前提，安全要素可视化展示是最后的目的。所以，网络安全态势感知关键技术主要包括数据预处理与安全要素特征提取、安全要素分析与评估、网络安全预测等。

（1）数据预处理与安全要素特征提取

防火墙[4]、防毒墙、WAF、NIDS 等安全设备产生数量较多的各种数据，包括运行数据、日志数据、噪声数据等。因为各设备的不同厂商对数据的不同定义导致原始数据的格式不尽相同、因为设备性能的问题使得会采集到噪声数据、因为采集频率过高使得短时间内采集到相同数据等，这些多种因素都会导致采集的数据无法直接使用。数据预处理技术的作用就是将这些大量冗杂的数据进行格式统一、冗余去除、过滤、合并重复记录，为后续的分析、预测等做准备。

安全要素特征提取是指利用PCA 主成分分析方法等特征提取算法将特征从海量数据中提取出来，最后与特征库进行对比。根据特征提取函数与学习算法是否有关，特征提取算法可以分为两类：Filter 和Wrapper 模式。前者是根据已知经验，人为进行关键字特征提取设置，并且人为定义准确度、安全等级等度量标准因素来判断各特征子集的使用顺序、优劣等；后者则利用神经网络等学习算法进行训练自主产生特征子集，将学习算法的效率、准确率等作为判断子集优劣的度量标准因素。

（2）安全要素分析与评估

在数据预处理与安全要素特征提取后，需要进行安全要素分析与评估。安全要素分析重点是对安全事件要素进行分析，包括数据、业务、内容、异常网络访问、系统运行等安全事件，将提取的繁杂的关键特征利用决策树、贝叶斯等方法进行事件关联分析。评估主要是从系统漏洞、威胁告警、攻击事件等多方面要素利用神经网络、模糊推理等方法来综合评估网络安全状态，为网络安全决策提供依据。

（3）网络安全预测

网络安全预测是达到网络安全主动防御的目标的重要手段，本质是利用大量已发生的的告警数据进行深度学习行为，从中发现入侵者入侵规律，从而研究出预测模型，使得安全态势系统能根据入侵前期的入侵特征对入侵行为进行早期预测，及时采用有效措施加以阻止。

2 系统的设计

2.1 系统结构

构建网络安全态势感知系统，一是数据采集，采集整个网络环境中的终端、边界和网络关键节点中的各类安全数据，对其进行预处理，形成原始安全数据库，数据的采集对整个态势提取、分析和呈现有着重要的影响，如果数据不清、数据采集混乱，态势感知因素提取将无法实现，因而数据采集尤为重要；二是数据分析，采用相关算法，对大量预处理后的安全数据进行关联、统计分析，通过数据分析从中发现爬虫攻击、溢出攻击、永恒之蓝等各类与网络安全有关的威胁告警信息；三是态势展示，即对资产、漏洞、安全事件等各要素的可视化呈现。本文设计系统结构如图1 所示。

图1 网络安全态势感知系统架构

NSSAS 的结构分为：数据采集、数据分析、态势展示。NSSAS 采用从下到上的设计理念，上层依赖下层，负责输出服务。A 代表的是资产中心，包括防火墙、入侵检测、防毒墙等安全设备和路由器、交换机等网络设备等。B 是的数据采集层，是整个NSSAS 的基础，为数据分析层提供数据源，本文采集数据分为资产信息数据、漏洞数据和安全事件数据三种，资产信息数据是关于资产信息的数据，包括端口、服务、协议、根域名ICP备案号、操作系统等；漏洞数据是关于资产的漏洞数据，包括系统漏洞、Web 漏洞[7]、弱口令漏洞、apt 漏洞[10]等；安全事件数据是关于资产的安全事件数据，包括网络安全事件、数据安全事件、业务安全事件、内容安全事件、可用性安全事件等；C 是NSSAS 的数据分析层，利用关联分析规则、统计分析规则，将采集到的数据进行分析；D 是态势展示层，屏蔽内部数据处理，直观的为网络管理员呈现当前网络安全态势，这是最终目标，也是为网络安全管理员的判断提供依据。下面从资产感知、事件感知、脆弱性感知三个模块进行设计。

2.2 主要功能模块的设计

（1）资产感知模块

基于三个需求（a）网络规模较大，主机服务器、网络设备等资产数量较多无法一一添加资产；（b）对已知资产新增管理时，资产信息所知不全；（c）长期的网络建设以及相关业务的变更使资产存活情况和资产属性信息不清。为此提出了资产感知模块，该模块提供资产管理、资产发现、资产探测、资产审核、资产风险视图等功能，功能流程图如图2 所示。

图2 资产感知模块功能流程图

本系统采用masscan、nmap[6]以及两种结合的扫描方式进行，分别对应快速模式、标准模式、深度模式三种采集策略，可根据需要自主选择采集策略。系统通过任务扫描可以发现存活主机、开放端口，进而发现其运行的服务、操作系统等信息，为下一步的工作奠定基础。从经济角度出发，为节省成本，采用开源的采集工具，而在所有同类型的开源采集工具中，使用最为广泛的是mascan 和nmap，其中mascan 采用了无状态的扫描技术，没有进行完整的TCP 三次握手，与zmap 多端口扫描相比较，速度快；设置灵活，允许自定义任意的地址范围和端口范围，可以设置黑白名单，重试次数、UA 字段值、发出数据包的TTL 值，发包后的等待时间等扫描设置。而nmap，也称为网络映射器，它是一个广泛使用的开源工具，功能非常强大，可以实现高效的网络发现和安全审计，全球的开发者都对为其功能的丰富贡献了力量，它除了拥有主机发现，开放端口扫描，支持多端口、多网段，可对目标域名进行扫描等基本功能，还具有识别功能，能识别端口服务类型及版本、操作系统、设备类型等。

（2）事件感知模块

基于需求“需要从安全事件分析网络安全”，为此提出事件感知模块，该模块提供分类规则和关联分析规则等规则的维护、事件检索以及告警监控等功能，功能流程图如图3 所示。

图3 事件感知模块功能流程图

本系统对安全事件数据的采集采用了netflow[7]、syslog、入侵检测等多种采集工具。采用多种采集工具的原因有多点：①首先，每种采集工具的特征库都不尽相同，采用较多的采集工具，能够采集较为完善的数据，且对于安全事件的误报率能有所减少，提高数据的准确性，但并不是越多越好，还要考虑数据的融合；②其次是历史原因，网络建设不是一蹴而就，是逐步扩展，不同建设时期所选的网络设备、安全设备厂家有所不同，而不同厂家生产设备所支持的采集工具不同。采集器将采集到的原始数据利用过滤规则、分类规则等规则进行预处理，其中这些规则是通过经验设置表达式如尝试[sql 注入-“{-N：28,-SC：((blind injection))}”]、[蠕虫传播-“-SE：((NR-50001/0))”]、[UDP flood 攻击-“-SC：((attackevent=UDP FLOOD))”]的方式形成预处理规则库，原始安全事件数据预处理后形成可用的安全事件数据源，再将其通过关联分析规则、统计分析规则等进行分析，从而产生威胁告警信息。

（3）脆弱性感知模块

基于需求“需要从漏洞方面分析网络安全”，为此提出脆弱性感知模块，该模块提供系统漏洞扫描、Web漏洞扫描[8]、弱口令漏洞扫描、漏洞视图等功能，功能流程图如图4 所示。

图4 脆弱性感知模块功能流程图

本系统支持采用awvs[9]、绿盟极光、nessus[10]、安恒MatriXay Webscan 漏洞扫描工具对漏洞数据进行采集。采用这四种漏洞扫描工具的原因如下：①采用的几种漏扫工具包含开源工具，从经济角度出发，可以节省成本，且每种漏洞扫描工具的漏洞库都不尽相同，采用较多的漏扫工具，能够得到较为完善的漏洞数据，防止漏扫；②开源的漏扫工具的漏洞库，不能更新漏洞库，但由于技术在发展，新的漏洞也会实时出现，重大漏洞的产生若没能及时跟踪修补将会造成不可挽回的损失，故需要扫描器厂商实时跟踪各机构发现的漏洞情况、研究其原理、快速给出解决方法，因而购买会及时更新漏洞库的商用漏扫商品；③国内政策推进国内产品。支持多种漏洞扫描器，这么做优势在于可自主选择扫描器，更加灵活，且多种漏洞库的叠加，使得数据更加完善，减少漏扫的可能性；劣势在于，每种漏扫工具对漏洞的定义不同，就可能产生一个漏洞出现两个记录，这样会使得安全服务方重复校验相同漏洞。所以目前需要解决的是如何归并漏洞，针对这个问题，后续提出一种解决方式，基于CVE 编号，将相同CVE编号的漏洞归并，但是这个需要各种扫描器能支持获取CVE 标号，且对于不在国际漏洞库中的漏洞，无法进行归并。

3 系统测试

基于电子政务网络的态势感知系统已在某地区电子政务网络成功部署并上线试运行。系统平台实现了

（1）资产感知功能：对10.9.1.104 进行探测，探测到网络资产10.9.1.104（linux）有三个端口，端口/服务/协议分别是22/ssh/tcp、80/HTTP/tcp、3306/MySQL/tcp。

（2）事件感知功能：按照实际发生时间近15 分钟的条件搜索，监测到发生117 条安全事件。

图5 资产10.9.14.104的探测结果

图6 近15分钟的安全事件

（3）脆弱性感知功能：对资产10.9.1.202 进行系统漏洞扫描，共扫描到21 个漏洞，其中高危漏洞3 个，中危漏洞5 个，信息漏洞13 个。

图7 资产10.9.1.202的系统漏洞扫描结果

（4）态势展示：针对安全威胁、风险、漏洞、攻击等不同要素展示趋势走向，为安全策略提供直观依据。

图8 系统的综合态势

4 结语

本文从当前中小型电子政务网络的安全防御需求出发，分析了传统安全保障方法的不足及应用本系统的优势，达到对电子政务网络的外部攻击和内部潜在风险的监测、提供及时安全告警、对威胁进行处置等功能。本文的设计思路对医疗、教育、电力等领域的网络安全态势感知系统也有参考和借鉴意义。