基于電信運營級計算的網(wǎng)絡安全監(jiān)控服務平臺的分析

◎李殿環(huán)

基于電信運營級計算的網(wǎng)絡安全監(jiān)控服務平臺的分析

◎李殿環(huán)

由于網(wǎng)絡的快速發(fā)展，對于網(wǎng)絡安全方面出現(xiàn)的各種問題，以電信運營商為主體，在云計算的基礎上，構(gòu)建一個提供信息及網(wǎng)絡安全監(jiān)控、防御管理等服務的云安全公共服務平臺。本文就構(gòu)建此平臺所用到的技術(shù)以及平臺基礎網(wǎng)絡及安全保障設計進行了介紹和分析。

由于信息化建設突飛猛進，網(wǎng)絡安全的重要性日益突出，網(wǎng)絡安全事件數(shù)量逐年增多。為了不斷應對新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防火墻、UTM、入侵檢測和防護系統(tǒng)等，構(gòu)建起了一道道安全防線。但是這些安全的防線都僅僅抵御來自某個方面的安全威脅，無法產(chǎn)生協(xié)同效應。并且在運行過程中不斷產(chǎn)生大量的安全日志和事件，形成了大量“信息孤島”，使得安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息，顯得束手無策，難以發(fā)現(xiàn)真正的安全隱患。針對上述問題在此以面向電信運營商為主體，構(gòu)建一個提供信息及網(wǎng)絡安全監(jiān)控、防御管理服務提供的云安全公共服務平臺。

云安全公共全服務平臺簡介

云安全公共服務平臺是在云計算的基礎上提出了一個安全平臺，將網(wǎng)絡安全事件、攻擊方式等資源以“云”的形式在平臺內(nèi)進行共享。將平臺和服務通過網(wǎng)絡以按需分配的方式提供給外部客戶，同時提供一種虛擬的可動態(tài)擴展的計算資源池（云端）。在形成規(guī)模的情況下，將資源整合，不但使得整個網(wǎng)絡更加緊湊，易于監(jiān)控與防護，同時在設備架構(gòu)、人員的配給上分工也更加明確，更易于節(jié)約成本。

構(gòu)建云安全服務平臺采用的技術(shù)

基于云計算的監(jiān)控與預警技術(shù)。通過基于云安全服務平臺對客戶端采集的用戶網(wǎng)絡安全事件進行監(jiān)控和分析，自動發(fā)現(xiàn)用戶網(wǎng)絡風險或威脅，并通知服務監(jiān)控平臺，由安全監(jiān)測中心的值守專家人工進行確認，并在第一時間通告用戶。通過平臺智能關(guān)聯(lián)分析集群系統(tǒng)與專家審核相結(jié)合，最大限度的提高對用戶網(wǎng)絡監(jiān)控結(jié)果的準確性，以幫助用戶將所受到的風險影響降到最低。

動態(tài)網(wǎng)絡流量控制與整形技術(shù)。網(wǎng)絡資源對網(wǎng)絡出口流量通道進行劃分，設定懲罰通道和懲罰時間，實時監(jiān)測內(nèi)外IP數(shù)據(jù)包流量，統(tǒng)計IP在單元時間內(nèi)數(shù)據(jù)包長度，根據(jù)預先設定的閾值、參數(shù)，將IP切換在相關(guān)的流量通道中，從而利用網(wǎng)絡流量控制實現(xiàn)網(wǎng)絡整形。

url快速定位及過濾技術(shù)。對已經(jīng)收集到近千萬條url host地址，利用數(shù)據(jù)庫技術(shù)對存在網(wǎng)址進行分類。利用hash value技術(shù)，對字符串url地址壓縮，轉(zhuǎn)int32整型，采用btree二叉樹生成文件數(shù)據(jù)庫。嵌入式系統(tǒng)啟動后，加載到內(nèi)存中，得到url host地址后，轉(zhuǎn)int32整形，從內(nèi)存數(shù)據(jù)庫中，快速都到url地址類別，判斷http內(nèi)容性質(zhì)。根據(jù)預先設置的策略，對http進行阻斷或者放行，并實現(xiàn)url過濾。

網(wǎng)絡行為與特征分析識別技術(shù)。應用層協(xié)議發(fā)起協(xié)議包有部分在payload區(qū)，有明顯的標志位，http協(xié)議，QQ協(xié)議，msn協(xié)議，還有股票分析和炒股軟件等，在端口、請求字符串都具有典型特征；對于大部分p2p（peer to peer）類型的協(xié)議軟件，如旋風下載，迅雷，qqstreaml，ppstream等，對于payload數(shù)據(jù)區(qū)的判定效率較低，且難以捕捉規(guī)律。本專利利用連接數(shù)、包長、與DPI檢測方法現(xiàn)結(jié)合，高效判斷和分類p2p協(xié)議。

數(shù)據(jù)壓縮和歸并技術(shù)。該技術(shù)采用日志聚合功能，根據(jù)用戶網(wǎng)絡日志上報的重復情況，配置一定的聚合比例，同時上報顯示聚合數(shù)量。日志聚合功能對于某些網(wǎng)絡攻擊產(chǎn)生的大量重復日志進行歸并，避免重復事件對網(wǎng)絡管理帶來的干擾。收集器以HTTP/S方式發(fā)送時間時，支持數(shù)據(jù)壓縮功能，通常壓縮率為10：1，壓縮后的數(shù)據(jù)由收集器向平臺傳輸所占的帶寬可忽略不計，不影響用戶網(wǎng)絡的正常使用。

威脅趨勢分析追蹤技術(shù)。多個事件檢索條件，可以單一或組合各類條件對歷史事件進行檢索，包括事件級別、資產(chǎn)屬性、事件發(fā)生時間、源、目的地址等等條件?？梢灾庇^地看到攻擊源的全球地理位置、全國地理位置分布圖，圖形化和數(shù)據(jù)統(tǒng)計兩種方式顯示各攻擊源攻擊的事件多少，通過攻擊源分布特性分析用戶被攻擊的地域特性。

關(guān)聯(lián)分析技術(shù)?？梢詫崿F(xiàn)跨設備、跨日志類型、全網(wǎng)范圍的關(guān)聯(lián)分析。當前關(guān)聯(lián)規(guī)則庫可以對50余種類型的攻擊進行分析，如掃描攻擊、DOS/DDOS、SQL注入、暴力破解等。同時可根據(jù)企業(yè)的安全需求和實際的網(wǎng)絡環(huán)境，定制實現(xiàn)符合用戶網(wǎng)絡信息系統(tǒng)使用習慣和事件特點的關(guān)聯(lián)告警觸發(fā)規(guī)則。

平臺基礎網(wǎng)絡及安全保障設計

核心信息安全監(jiān)控和風險評估平臺網(wǎng)絡在整個網(wǎng)絡系統(tǒng)中占有舉足輕重的地位，它是系統(tǒng)的正常運行的前提條件，必須充分考慮網(wǎng)絡的高可靠性，高效率。方案設計符合國家信息系統(tǒng)安全等級保護3級“網(wǎng)絡安全—結(jié)構(gòu)安全和網(wǎng)段劃分”的要求。

采用兩臺交換機作為網(wǎng)絡核心層，兩臺交換機利用生成樹（STP）和虛擬路由冗余協(xié)議（VRRP），實現(xiàn)核心交換的冗余；服務器采用雙鏈路與核心交換機相連，實現(xiàn)鏈路冗余；交換機并采用雙鏈路與網(wǎng)絡安全接入層相連，保證鏈路的冗余；交換機電源采用冗余設計。

利用交換機三層交換和路由功能，給局域網(wǎng)劃分若干個虛網(wǎng)（VLAN），保證局域網(wǎng)內(nèi)的管理工作站機群、服務器群、網(wǎng)絡設備等處于不同的網(wǎng)段，只有本VLAN內(nèi)部的設備，能夠接收到此VLAN中其它設備所發(fā)送的點到點消息、廣播消息或組播消息。通過對交換機中的數(shù)據(jù)流進行這樣的限制，提高了VLAN內(nèi)部用戶通信的效率；同時，在不同VLAN間使用ACL（訪問控制列表）技術(shù)提高訪問控制安全保護。既提高了局域網(wǎng)訪問速度，又增加了信息系統(tǒng)的安全性。

云安全平臺安全性要達到國家信息系統(tǒng)安全等級保護3級的基本要求。國家信息系統(tǒng)安全等級保護3級包括技術(shù)和管理方面的內(nèi)容，技術(shù)方面通過網(wǎng)絡、基礎系統(tǒng)、應用平臺、應用軟件來保證。管理方面通過在系統(tǒng)使用單位的管理規(guī)范和制度保障。

綜上所述，基于云安全服務平臺是以云計算為基礎，技術(shù)核心包括專業(yè)的分布式智能分析引擎，強大的可視化事件分析、網(wǎng)絡行為分析、網(wǎng)絡行為策略管理、安全事件的關(guān)聯(lián)分析自動預警等，構(gòu)建一個為接入用戶提供安全事件的監(jiān)控、分析、防護管理等功能的服務平臺。

（作者單位：濟寧市技師學院）