高校校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)方案

馬航航

（甘肅廣播電視大學(xué)，甘肅 蘭州730030）

目前高校校園網(wǎng)存在網(wǎng)絡(luò)和信息系統(tǒng)的安全隱患得不到快速修復(fù)、多種安全設(shè)備各自為戰(zhàn)，檢測響應(yīng)周期長、網(wǎng)絡(luò)攻擊行為不能及時預(yù)警、網(wǎng)絡(luò)安全事件溯源困難等問題。筆者提出高校校園網(wǎng)網(wǎng)絡(luò)安全解決方案，提高了校園網(wǎng)網(wǎng)絡(luò)攻擊防護、檢測、預(yù)警能力，實現(xiàn)了安全事件可視化呈現(xiàn)、安全設(shè)備聯(lián)動協(xié)防。

本文先介紹高校校園網(wǎng)網(wǎng)絡(luò)安全基本需求，然后說明采用態(tài)勢感知在校園網(wǎng)網(wǎng)絡(luò)安全的建設(shè)中所能提供的優(yōu)勢，最后給出網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)方案。

1 高校校園網(wǎng)網(wǎng)絡(luò)安全需求

1.1 可發(fā)現(xiàn)

能夠?qū)θW(wǎng)網(wǎng)絡(luò)行為檢測，精準定位漏洞、病毒木馬、網(wǎng)絡(luò)攻擊等安全風險，快速攔截處置安全事件。

1.2 可預(yù)警

通過匯總、過濾和分析網(wǎng)絡(luò)安全設(shè)備等產(chǎn)生的安全事件，對網(wǎng)絡(luò)整體上所遭受的安全風險進行多維度評估，分析網(wǎng)絡(luò)所遭受攻擊所處階段，全面掌握網(wǎng)絡(luò)整體的安全狀況，并能預(yù)測出未知網(wǎng)絡(luò)攻擊行為，實現(xiàn)網(wǎng)絡(luò)安全的主動防御。

1.3 可聯(lián)動

網(wǎng)絡(luò)安全設(shè)備協(xié)同工作、智能聯(lián)動，發(fā)現(xiàn)和阻止已知、未知威脅，有效整合資源，提高安全事件的檢測精度，降低威脅響應(yīng)時間。

1.4 可溯源

追蹤DDoS攻擊、APT攻擊、釣魚郵件攻擊等惡意入侵行為，還原攻擊的詳細過程，定位威脅來源，為調(diào)查取證提供有力證據(jù)。

1.5 可視化

可以將安全事件以圖像或圖形的形式呈現(xiàn)給用戶。

2 網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)現(xiàn)狀

態(tài)勢感知技術(shù)是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動，是安全能力的落地[1]。

網(wǎng)絡(luò)安全態(tài)勢感知主要分為要素提取、態(tài)勢理解、態(tài)勢預(yù)測三個層面[2]，利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實時安全狀況，為網(wǎng)絡(luò)安全提供保障。網(wǎng)絡(luò)安全態(tài)勢感知從提出至現(xiàn)在一直是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點，隨著相關(guān)技術(shù)的不斷完善，網(wǎng)絡(luò)安全態(tài)勢感知逐步走向成熟[3]。

目前態(tài)勢感知解決方案主要有奇安信公司的NGSOC、綠盟公司的TSA、華為公司的CIS等。華為公司的CIS網(wǎng)絡(luò)安全態(tài)勢感知解決方案具有感知全網(wǎng)安全態(tài)勢、快速發(fā)現(xiàn)高級威脅、秒級安全聯(lián)動響應(yīng)、安全策略智能運維、安全業(yè)務(wù)統(tǒng)一管理等技術(shù)優(yōu)勢，是目前安全態(tài)勢感知建設(shè)中常采用解決方案。

3 校園網(wǎng)態(tài)勢感知建設(shè)方案

本節(jié)高校校園網(wǎng)設(shè)計主要通過全面采集全網(wǎng)流量數(shù)據(jù)、日志信息，持續(xù)監(jiān)控網(wǎng)絡(luò)活動，運用大數(shù)據(jù)分析和機器學(xué)習技術(shù)，檢測、分析并發(fā)現(xiàn)高級威脅，聯(lián)動安全設(shè)備實現(xiàn)安全威脅的快速閉環(huán)，打通各組件的管理接口，簡化安全運維，實現(xiàn)統(tǒng)一安全可視化視角、預(yù)警和溯源網(wǎng)絡(luò)安全事件。

3.1 方案架構(gòu)

方案設(shè)計為數(shù)據(jù)采集、大數(shù)據(jù)平臺、檢測分析、應(yīng)用展示四層邏輯架構(gòu)，各層級以及模塊之間的功能設(shè)計具有相對的獨立性，使整個系統(tǒng)具有較高的擴展性。方案邏輯架構(gòu)如圖1所示。

圖1 態(tài)勢感知方案邏輯架構(gòu)

3.2 數(shù)據(jù)采集設(shè)計

數(shù)據(jù)采集主要通過采集器、流探針對數(shù)據(jù)源的日志/流量進行采集和預(yù)處理。數(shù)據(jù)源包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、日志服務(wù)器、應(yīng)用主機等。

通過優(yōu)化的多管道并發(fā)處理機制，日志采集器把Syslog日志、Netflow數(shù)據(jù)和第三方日志按照統(tǒng)一的歸一化數(shù)據(jù)格式進行轉(zhuǎn)換，統(tǒng)一轉(zhuǎn)存到大數(shù)據(jù)平臺，支持安全事件分析、威脅呈現(xiàn)、追蹤溯源等。

部署的流探針和防火墻內(nèi)置流探針負責原始流量采集，提取原始流量的協(xié)議特征，實現(xiàn)流量數(shù)據(jù)采集和協(xié)議還原。

3.3 大數(shù)據(jù)平臺建設(shè)

大數(shù)據(jù)平臺為整個系統(tǒng)提供底層的數(shù)據(jù)存儲和檢索服務(wù)，負責接收采集器上報的日志和流量數(shù)據(jù)，并對上報數(shù)據(jù)進行分布式存儲、索引。

方案設(shè)計大數(shù)據(jù)平臺由數(shù)據(jù)存儲接口層、數(shù)據(jù)查詢接口層、分布式數(shù)據(jù)緩存層、大數(shù)據(jù)存儲層和大數(shù)據(jù)分析層構(gòu)成，如圖2所示。

圖2 大數(shù)據(jù)平臺邏輯圖

數(shù)據(jù)存儲接口層針對不同格式與種類的數(shù)據(jù)提供不同的存儲接口，該接口一方面與調(diào)用該接口的上層應(yīng)用之間進行數(shù)據(jù)通信，另一方面調(diào)用數(shù)據(jù)緩存層接口，將數(shù)據(jù)交由分布式數(shù)據(jù)緩存層進行緩存。數(shù)據(jù)查詢接口層提供存儲層與外部應(yīng)用之間的查詢接口，外部應(yīng)用系統(tǒng)通過調(diào)用數(shù)據(jù)查詢接口發(fā)起數(shù)據(jù)查詢請求，并由數(shù)據(jù)查詢接口返回所需要查詢的數(shù)據(jù)。分布式數(shù)據(jù)緩存層在數(shù)據(jù)入庫高峰期可以緩解存儲的性能壓力查詢的時緩解查詢高峰期導(dǎo)致的查詢風暴、響應(yīng)延遲飆升的問題。大數(shù)據(jù)存儲層負責分析歸一化之后的數(shù)據(jù)，根據(jù)數(shù)據(jù)的屬性進行分詞，利用分詞之后的結(jié)果形成倒排索引，并將歸一化之后的數(shù)據(jù)存儲在物理存儲介質(zhì)之上。

3.4 檢測分析

深度學(xué)習、機器學(xué)習、強化學(xué)習等技術(shù)的融入，有效提高檢測和分析能力。檢測能力支持通過關(guān)鍵字、條件表達式、時間范圍對事件和流量元數(shù)據(jù)進行快速檢索。威脅檢測根據(jù)預(yù)置的檢測模型和自定義的檢測規(guī)則，通過離線檢測、實時檢測和綜合評估，實現(xiàn)文件異常、Mail異常、C&C異常檢測、流量異常、日志關(guān)聯(lián)、WEB異常、隱蔽通道等檢測并關(guān)聯(lián)檢測出高級威脅。

分析能力主要由流式計算引擎、統(tǒng)計分析引擎、規(guī)則引擎和關(guān)聯(lián)分析引擎提供。規(guī)則引擎內(nèi)置多種分析規(guī)則，結(jié)合采集器上報的日志和流量數(shù)據(jù)，實現(xiàn)風險、脆弱性、安全預(yù)警、溯源等分析。

3.5 應(yīng)用展示

應(yīng)用展示層定制實現(xiàn)安全事件預(yù)警、安全設(shè)備聯(lián)動、溯源、可視化等功能。

安全事件預(yù)警主要針對海量網(wǎng)絡(luò)安全日志數(shù)據(jù)和網(wǎng)絡(luò)流量數(shù)據(jù)進行深層次的分析，發(fā)現(xiàn)數(shù)據(jù)中存在的關(guān)系和規(guī)則，發(fā)現(xiàn)潛在的安全威脅和攻擊，預(yù)測校園網(wǎng)網(wǎng)絡(luò)安全的發(fā)展趨勢[4]。

安全設(shè)備聯(lián)動從海量文件、流量和日志中識別檢測出已知/未知威脅，生成聯(lián)動策略下發(fā)給防火墻、IPS、WAF等網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)絡(luò)側(cè)進行阻斷，并可將檢測結(jié)果同步到終端安全設(shè)備，在終端進行檢測并清除威脅。

溯源通過關(guān)聯(lián)分析、同源分析、機器學(xué)習等技術(shù)對大數(shù)據(jù)平臺存儲數(shù)據(jù)進行數(shù)據(jù)挖掘，支持基于攻擊鏈進行事件調(diào)查，通過不同的攻擊階段關(guān)聯(lián)流量元數(shù)據(jù)還原攻擊原貌，并可通過網(wǎng)絡(luò)行為的線索擴展發(fā)現(xiàn)攻擊所用的網(wǎng)絡(luò)資源、攻擊者信息、受害人信息等線索。

可視化將碎片化的安全事件數(shù)據(jù)結(jié)構(gòu)化，能以圖表的形式實時在大屏上展現(xiàn)網(wǎng)絡(luò)的攻擊情況，準確定位出攻擊源、攻擊路徑、攻擊目標，快速找出安全威脅，直觀顯示校園網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)[5]。

3.6 組網(wǎng)部署

校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)方案組網(wǎng)部署如下：在安全管理區(qū)部署CIS平臺和沙箱，在互聯(lián)網(wǎng)接入域和遠程接入域部署流探針，在應(yīng)用服務(wù)域和終端接入域部署服務(wù)器探針和終端探針，組網(wǎng)部署拓撲結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)絡(luò)安全態(tài)勢感知拓撲結(jié)構(gòu)圖

4 小結(jié)

通過數(shù)據(jù)采集、大數(shù)據(jù)平臺、檢測分析、應(yīng)用展示建立的校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知方案，具有安全事件可發(fā)現(xiàn)、可預(yù)警、可溯源、可視化、安全設(shè)備可聯(lián)動的功能，有效的提高了網(wǎng)絡(luò)安全水平，降低網(wǎng)絡(luò)安全隱患。