自然資源云中心安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)

■ 安徽省大數(shù)據(jù)中心 劉揚(yáng)

編者按：本文在分析云中心架構(gòu)、安全管理和安全運(yùn)維需求的基礎(chǔ)上，設(shè)計(jì)了安徽省自然資源云中心安全態(tài)勢(shì)感知平臺(tái)，對(duì)網(wǎng)絡(luò)和設(shè)備運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)，數(shù)據(jù)匯總分析，安全事件識(shí)別報(bào)警，全方位提升安全防御能力。

安徽省自然資源廳于2018年5月份發(fā)布了《全省國(guó)土資源系統(tǒng)信息化提升行動(dòng)計(jì)劃（2018-2020年）》，該計(jì)劃明確提出建設(shè)“自然資源云中心”：充分利用全省各級(jí)自然資源主管部門現(xiàn)有的軟硬件基礎(chǔ)設(shè)施，加快建設(shè)覆蓋全省，互聯(lián)互通，統(tǒng)籌利用，保障安全的“自然資源云中心”，為全省各級(jí)自然資源主管部門及政府部門的業(yè)務(wù)協(xié)同、數(shù)據(jù)共享和穩(wěn)定運(yùn)行提供支撐。按照統(tǒng)一的自然資源云平臺(tái)建設(shè)要求，積極推進(jìn)廳直屬有關(guān)單位和市級(jí)自然資源主管部門云環(huán)境建設(shè)。

自然資源云中心雖然按照網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)建設(shè)，但現(xiàn)有的安全防御體系在技術(shù)上并不足以抵御千變?nèi)f化的網(wǎng)絡(luò)攻擊。本文在分析云中心架構(gòu)、安全管理和安全運(yùn)維需求的基礎(chǔ)上，設(shè)計(jì)了安徽省自然資源云中心安全態(tài)勢(shì)感知平臺(tái)，對(duì)網(wǎng)絡(luò)和設(shè)備運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)，數(shù)據(jù)匯總分析，安全事件識(shí)別報(bào)警，全方位提升安全防御能力。

自然資源云中心總體架構(gòu)

省級(jí)自然資源云中心（包含省自然資源廳和地質(zhì)資料館園區(qū)兩個(gè)節(jié)點(diǎn)）由16個(gè)市級(jí)自然資源云中心和部分省自然資源廳直屬單位云中心共同構(gòu)成，通過自然資源業(yè)務(wù)專網(wǎng)結(jié)合NSX打通省市之間的網(wǎng)絡(luò)，實(shí)現(xiàn)省級(jí)云中心、市級(jí)云中心和廳直屬事業(yè)單位云中心的互聯(lián)互通。

自然資源云中心總體架構(gòu)如圖1所示，省級(jí)云中心邏輯架構(gòu)包括“四層三翼”。其中，“四層”包括Iaas基礎(chǔ)設(shè)施、Paas和DaaS、云管理平面、用戶使用平面?！叭怼卑ㄗ匀毁Y源信息化建設(shè)標(biāo)準(zhǔn)規(guī)范、信息安全保證體系和運(yùn)維服務(wù)保障體系。

省級(jí)云計(jì)算中心分別與十六個(gè)市云計(jì)算中心和部分事業(yè)單位云計(jì)算中心對(duì)接，各市云中心與各縣區(qū)云中心進(jìn)行對(duì)接。

圖1 自然資源云中心總體架構(gòu)圖

自然資源云中心安全需求分析

1.安全管理需求分析

隨著網(wǎng)絡(luò)應(yīng)用規(guī)模和復(fù)雜度的不斷提高，自然資源云中心數(shù)據(jù)量急劇上升，網(wǎng)絡(luò)攻防對(duì)抗日趨激烈，內(nèi)部新的安全問題開始顯現(xiàn)。

安全管理需求主要體現(xiàn)在：復(fù)雜的網(wǎng)絡(luò)環(huán)境讓安全工作無從下手；傳統(tǒng)安全技術(shù)對(duì)高級(jí)持續(xù)性威脅無能為力；圍墻式的防御體系不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)環(huán)境等。

2.安全運(yùn)維需求分析

自然資源云中心需使用新的技術(shù)手段來掌控全局的安全態(tài)勢(shì)，從而優(yōu)化安全運(yùn)維過程，將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制在合理的區(qū)間。

安全運(yùn)維技術(shù)需求主要體現(xiàn)在廣泛的數(shù)據(jù)采集能力、可水平擴(kuò)展的數(shù)據(jù)計(jì)算和存儲(chǔ)資源、流量的安全檢測(cè)、海量數(shù)據(jù)的計(jì)算與分析能力、自動(dòng)化的告警響應(yīng)處置、完善的工單處理系統(tǒng)以及安全態(tài)勢(shì)感知管理等七個(gè)方面。

3.資產(chǎn)管理需求分析

自然資源云中心提供網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)和安全等資源，用以搭建各自的業(yè)務(wù)系統(tǒng)。隨著系統(tǒng)資產(chǎn)的逐漸增多，梳理完善各資產(chǎn)信息顯得越來越重要。這些需求主要體現(xiàn)在資產(chǎn)管理、拓?fù)涔芾?、漏洞管理及安全服?wù)等四個(gè)方面。

安全態(tài)勢(shì)感知平臺(tái)設(shè)計(jì)

1.總體框架

安全態(tài)勢(shì)感知平臺(tái)總體技術(shù)框架如圖2所示，安全態(tài)勢(shì)感知平臺(tái)通過全流量檢測(cè)系統(tǒng)對(duì)互聯(lián)網(wǎng)、自然資源專網(wǎng)、重要信息系統(tǒng)等關(guān)鍵位置的網(wǎng)絡(luò)流量進(jìn)行全面的安全檢測(cè)和數(shù)據(jù)采集；通過威脅情報(bào)云系統(tǒng)對(duì)互聯(lián)網(wǎng)、自然資源專網(wǎng)、重要信息系統(tǒng)的漏洞信息和情報(bào)數(shù)據(jù)進(jìn)行掃描爬取、安全檢測(cè)；通過安全態(tài)勢(shì)感知子系統(tǒng)對(duì)安全要素進(jìn)行呈現(xiàn)、分析以及預(yù)測(cè)未來的發(fā)展趨勢(shì)。

2.平臺(tái)子系統(tǒng)設(shè)計(jì)

（1）資產(chǎn)風(fēng)險(xiǎn)普查子系統(tǒng)

利用具備主動(dòng)探測(cè)發(fā)現(xiàn)無主資產(chǎn)和僵尸資產(chǎn)功能的資產(chǎn)掃描器，可以對(duì)資產(chǎn)進(jìn)行全生命周期的管理。運(yùn)維人員可針對(duì)目標(biāo)站點(diǎn)主動(dòng)下發(fā)資產(chǎn)探測(cè)任務(wù)，進(jìn)行網(wǎng)絡(luò)主機(jī)探測(cè)和端口探測(cè)，得到服務(wù)器、中間件、Web 應(yīng)用、端口服務(wù)及版本信息等數(shù)據(jù)信息，可以時(shí)刻了解主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、中間件及應(yīng)用組件等資產(chǎn)是否正常運(yùn)行，以及被開放的端口信息等。其主要功能包括：探測(cè)主機(jī)可用性；探測(cè)端口和服務(wù)可用性；定期探測(cè)，及時(shí)更新資產(chǎn)信息；實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)評(píng)估的周期性管理；子域名探測(cè)功能。

圖2 安全態(tài)勢(shì)感知平臺(tái)總體技術(shù)框架圖

（2）日志分析子系統(tǒng)

由于某些設(shè)備（如防火墻、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)）具有生成大量日志數(shù)據(jù)的EPS（每秒事件數(shù)），使得日志收集的工作量尤為龐大。

無論日志數(shù)據(jù)量和網(wǎng)絡(luò)中的設(shè)備數(shù)量如何，實(shí)時(shí)收集和處理日志數(shù)據(jù)要求機(jī)構(gòu)具有強(qiáng)大的日志收集機(jī)制。日志分析模塊應(yīng)具備日志收集功能，通過在目標(biāo)設(shè)備上部署Agent收集設(shè)備日志，支持對(duì)任何安全設(shè)備的日志進(jìn)行收集、過濾和分析，支持大量的數(shù)據(jù)獲取方法，并將其存儲(chǔ)供后期分析利用。用戶使用該模塊的日志收集功能統(tǒng)一收集分散的設(shè)備日志。具體收集的設(shè)備日志如下：

支持各類主流設(shè)備（包括主機(jī)、防火墻、路由器、交換機(jī)、入侵檢測(cè)與防御系統(tǒng)、KVM等）；日志收集兼容的系統(tǒng)（Debian-32bit、Debian-64bit、Redhat-32bit、Red hat-64bit、Linux-32bit、Linux-64bit、MAC、Windows-32bit、Windows-64bit等）；日志收集兼容的數(shù)據(jù)庫(kù)（Aerospike、Ceph、Couch base、Redis、MySQL、etcd、HAProxy等）；日志收集兼容的應(yīng)用服務(wù)（Docker、Dropwizard、EnvoyProxy、Graphite、HTTP、Kafka、Jolokia、Kubernetes、IIS、Nginx、Apache 2等）。

（3）APT全流量威脅檢測(cè)子系統(tǒng)

APT（高級(jí)持續(xù)性威脅）全流量威脅檢測(cè)子系統(tǒng)通過實(shí)時(shí)分析網(wǎng)絡(luò)全流量，結(jié)合威脅情報(bào)數(shù)據(jù)及網(wǎng)絡(luò)行為分析技術(shù)，深度檢測(cè)所有可疑活動(dòng)。

文件檢測(cè)采用全面沙箱分析，通過在沙箱（Sandbox）中運(yùn)行（行為激活/內(nèi)容“引爆”）各種文件，分析文件行為，識(shí)別出未知威脅。網(wǎng)絡(luò)檢測(cè)與文件檢測(cè)同步進(jìn)行，采用情報(bào)共享機(jī)制，構(gòu)筑檢測(cè)生態(tài)圈，準(zhǔn)確、快速地掌握攻擊鏈條，以便進(jìn)一步采取相關(guān)措施。APT全流量威脅檢測(cè)系統(tǒng)具有如下功能。

網(wǎng)絡(luò)異常行為檢測(cè)技術(shù)：識(shí)別豐富的網(wǎng)絡(luò)應(yīng)用層協(xié)議，通過協(xié)議分析、網(wǎng)絡(luò)異常行為模式匹配等檢測(cè)技術(shù)快速鑒別出C&C通訊、DGA惡意域名、DDoS攻擊、SSH/FTP暴力破解、SQL注入、DNS/ARP污染、漏洞掃描和漏洞攻擊等網(wǎng)絡(luò)惡意行為。

基因圖譜檢測(cè)技術(shù)：結(jié)合機(jī)器學(xué)習(xí)/深度學(xué)習(xí)、圖像分析技術(shù)，將惡意代碼映射為灰度圖像，建立卷積神經(jīng)元網(wǎng)絡(luò)CNN深度學(xué)習(xí)模型，利用惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)，并建立檢測(cè)模型，利用檢測(cè)模型對(duì)惡意代碼及其變種進(jìn)行家族檢測(cè)。而且，該方法能夠有效地檢測(cè)使用特定封裝工具打包（加殼）的惡意代碼。

全面的已知和未知威脅檢測(cè)：通過內(nèi)置的下一代入侵檢測(cè)引擎，Multi-AV防病毒引擎和威脅情報(bào)檢測(cè)技術(shù)對(duì)已知威脅進(jìn)行靜態(tài)檢測(cè)；通過基因檢測(cè)技術(shù)對(duì)惡意代碼的變種進(jìn)行檢測(cè)，通過對(duì)惡意代碼在沙箱中的主機(jī)行為和網(wǎng)絡(luò)行為進(jìn)行深入分析，對(duì)未知威脅進(jìn)行檢測(cè)。

溯源取證能力：支持解析并存儲(chǔ)HTTP、DNS、FTP、SMTP等幾十種協(xié)議的元數(shù)據(jù)，具有完整的追溯取證能力。通過可視化操作，該能力可定位攻擊者，并定位出攻擊者的IP、MAC、攻擊方式、攻擊協(xié)議以及攻擊目標(biāo)等詳細(xì)信息。

（4）威脅情報(bào)云子系統(tǒng)

威脅情報(bào)能夠提供關(guān)于某攻擊事件或黑客組織的重要特點(diǎn)與關(guān)鍵信息，為安全管理人員的安全防御決策和安全策略制定提供重要的參考，并促進(jìn)安全事件的快速預(yù)警與響應(yīng)。

高質(zhì)量的威脅情報(bào)可以大幅度地提升檢測(cè)、分析和應(yīng)急響應(yīng)效率，進(jìn)而改變攻防態(tài)勢(shì)。威脅情報(bào)云子系統(tǒng)主要包括以下幾個(gè)方面。

IP情報(bào)數(shù)據(jù)：將網(wǎng)絡(luò)中的IP信息進(jìn)行收集分析，并及時(shí)下發(fā)至各個(gè)組件，使得各個(gè)組件能及時(shí)提取相關(guān)的威脅情報(bào)。

域名情報(bào)數(shù)據(jù)：主要包括URL信譽(yù)檢測(cè)、域名注冊(cè)信息、網(wǎng)頁(yè)病毒/掛馬情報(bào)、網(wǎng)頁(yè)暗鏈/Shellcode檢測(cè)情報(bào)、可視化分析等。

文件情報(bào)數(shù)據(jù)：通過黑白名單、反病毒引擎、基因圖譜檢測(cè)以及沙箱行為等方式檢測(cè)出的惡意文件情報(bào)發(fā)送至威脅情報(bào)系統(tǒng)，以各種形式發(fā)送到各個(gè)組件，及時(shí)升級(jí)威脅庫(kù)。

漏洞情報(bào)數(shù)據(jù)：通過將任何CVE漏洞提交到威脅情報(bào)云中進(jìn)行檢測(cè)查詢，獲得包括該漏洞公布時(shí)間、修改時(shí)間、漏洞系統(tǒng)評(píng)分以及詳細(xì)報(bào)告等詳細(xì)信息。

（5）大數(shù)據(jù)安全態(tài)勢(shì)子系統(tǒng)

基于海量的網(wǎng)絡(luò)安全數(shù)據(jù)、主機(jī)安全數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)及其他安全數(shù)據(jù)，采用實(shí)時(shí)大數(shù)據(jù)處理引擎和批量大數(shù)據(jù)處理引擎，并結(jié)合機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)，對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行全面的呈現(xiàn)、分析及預(yù)測(cè)，為大范圍的預(yù)警和響應(yīng)提供決策支持。

數(shù)據(jù)預(yù)處理：海量的原始數(shù)據(jù)中存在著大量的不完整（有缺失值）、不一致、有異常的數(shù)據(jù)，嚴(yán)重影響到數(shù)據(jù)挖掘建模的執(zhí)行效率。數(shù)據(jù)預(yù)處理主要過程包括數(shù)據(jù)清洗、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約和數(shù)據(jù)變換等。

數(shù)據(jù)存儲(chǔ)：大數(shù)據(jù)往往是半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)為主，結(jié)構(gòu)化數(shù)據(jù)為輔，而且各種大數(shù)據(jù)應(yīng)用通常是對(duì)不同類型的數(shù)據(jù)內(nèi)容檢索、交叉比對(duì)、深度挖掘與綜合分析。存儲(chǔ)對(duì)象主要包括結(jié)構(gòu)化數(shù)據(jù)、索引數(shù)據(jù)和圖數(shù)據(jù)等。

實(shí)時(shí)流式計(jì)算引擎：對(duì)于延遲需求很高的純粹的流處理工作負(fù)載，Storm是最適合的技術(shù)。該技術(shù)可以保證每條消息都被處理，可配合多種編程語言使用。如果對(duì)嚴(yán)格的一次處理保證有比較高的要求，此時(shí)使用Trident。

實(shí)時(shí)關(guān)聯(lián)分析引擎：對(duì)威脅情報(bào)、掃描探測(cè)、DDoS攻擊、入侵攻擊、Web攻擊、漏洞攻擊、失陷主機(jī)、隱蔽通道數(shù)據(jù)外泄、異常流量、異常行為、僵尸木馬（DGA機(jī)器學(xué)習(xí)+特征檢測(cè)）、蠕蟲病毒（基于蠕蟲病毒的網(wǎng)絡(luò)行為檢測(cè)）等信息進(jìn)行置信度關(guān)聯(lián)分析。

離線數(shù)據(jù)分析引擎：使用HDFS存儲(chǔ)技術(shù)，針對(duì)數(shù)據(jù)量巨大且保存時(shí)間長(zhǎng)的相關(guān)信息，采用離線方式進(jìn)行數(shù)據(jù)分析。

機(jī)器學(xué)習(xí)引擎：通過數(shù)據(jù)標(biāo)注、特征工程、數(shù)據(jù)建模等技術(shù)，對(duì)完成學(xué)習(xí)和訓(xùn)練階段的工作，就可以進(jìn)入檢測(cè)階段，在實(shí)際應(yīng)用中發(fā)揮作用。

態(tài)勢(shì)感知引擎：基于海量網(wǎng)絡(luò)安全數(shù)據(jù)、主機(jī)安全數(shù)據(jù)、威脅情報(bào)數(shù)據(jù)及其他安全數(shù)據(jù)，采用實(shí)時(shí)大數(shù)據(jù)和批量大數(shù)據(jù)處理引擎，并結(jié)合機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)，對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行全面的呈現(xiàn)、分析及預(yù)測(cè)，為大范圍的預(yù)警和響應(yīng)提供決策支持。

追溯取證模塊：從多角度重組完整的會(huì)話信息，多維度展示網(wǎng)絡(luò)中的流量組成和網(wǎng)絡(luò)行為。該模塊提供端到端的全流量行為和性能的可視化分析能力，并定位出攻擊者的IP及MAC的攻擊方式、攻擊協(xié)議以及攻擊目標(biāo)。

總結(jié)

本文在介紹全省自然資源云中心架構(gòu)、分析面臨的安全需求的基礎(chǔ)上，有針對(duì)性的提出了安全態(tài)勢(shì)感知平臺(tái)框架，設(shè)計(jì)了資產(chǎn)風(fēng)險(xiǎn)普查、日志分析、APT全流量威脅檢測(cè)、威脅情報(bào)云、大數(shù)據(jù)安全態(tài)勢(shì)等五個(gè)子系統(tǒng)。

下一步，在平臺(tái)建成后使用的過程中，可通過引入安全運(yùn)維服務(wù)，提供日常告警處置、定期統(tǒng)計(jì)報(bào)告、流量分析、安全規(guī)則調(diào)優(yōu)等工作，形成工作閉環(huán)，進(jìn)一步提升自然資源云中心安全運(yùn)營(yíng)的工作效率。