基于網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的高校網(wǎng)絡(luò)威脅發(fā)現(xiàn)

張建嬌

（南京鐵道職業(yè)技術(shù)學(xué)院 江蘇省南京市 210031）

1 引言

校園網(wǎng)已經(jīng)成為全校師生必不可少的教學(xué)與科研的工具。信息系統(tǒng)在校園內(nèi)應(yīng)用的規(guī)模和復(fù)雜性的增加，我們所面臨的網(wǎng)絡(luò)安全形勢也越來越嚴(yán)峻。2020年，卡巴斯基監(jiān)測到全球惡意文件數(shù)量增長5%；世界各地大量社交資料遭泄露?？ò退够娜蜻b測系統(tǒng)在過去的一年中平均每天發(fā)現(xiàn)36 萬個新的惡意文件，比2019年同期增長5.2%。與往年相比，檢測到的木馬的百分比增加了40.5%，后門以及蠕蟲的數(shù)量也顯著增加了。除此之外，根據(jù)Deep Instinct發(fā)布的最新研究報告，2020年惡意軟件總體增加了358%，勒索軟件則增加了435%。

2 高校網(wǎng)絡(luò)安全現(xiàn)狀及問題分析

2.1 計算機操作系統(tǒng)安全問題

高校網(wǎng)絡(luò)用戶數(shù)量巨大，師生缺乏專業(yè)的網(wǎng)絡(luò)安全技術(shù)知識，如果沒有及時更新操作系統(tǒng)漏洞，這些系統(tǒng)漏洞會被不法分子以及黑客利用，并對校園網(wǎng)絡(luò)進行攻擊，使得校園網(wǎng)絡(luò)出現(xiàn)癱瘓甚至是崩潰的狀態(tài)，嚴(yán)重的話可能會造成用戶信息泄露。

2.2 勒索挖礦病毒攻擊事件加劇

2.3 學(xué)校網(wǎng)站及應(yīng)用系統(tǒng)被攻擊

隨著智慧校園建設(shè)的不斷發(fā)展，高校網(wǎng)站和應(yīng)用系統(tǒng)越來越多，師生的教學(xué)、科研，生活都和這些應(yīng)用密不可分。學(xué)校門戶網(wǎng)站是學(xué)校是對外宣傳學(xué)校形象、發(fā)布學(xué)校各類信息的重要窗口，在學(xué)校的日常辦公中承擔(dān)重要角色；各類應(yīng)用系統(tǒng)貫穿著教師和學(xué)生工作、學(xué)習(xí)、生活的方方面面，所有學(xué)校都秉持著讓信息多跑路，讓師生少跑路的信息化建設(shè)目標(biāo)。所以一旦學(xué)校門戶網(wǎng)站和應(yīng)用系統(tǒng)被不法分子或其它惡意攻擊者入侵，不但會對學(xué)校的日常工作造成很大影響，還會使學(xué)校的公信力受損，更嚴(yán)重會影響社會秩序，引發(fā)社會性安全事件。

2.4 APT攻擊行為高速增長

2020年全球?qū)I(yè)網(wǎng)絡(luò)安全機構(gòu)發(fā)布了各類高級威脅研究報告，APT 攻擊同比增長了約3.6 倍。從國內(nèi)受害者的性質(zhì)來看，政府、央企國企、科研單位和高校依然是APT 攻擊的重災(zāi)區(qū)，尤其是涉及對外進出口、國防軍工、外交等重點單位，從行業(yè)分布上看，受攻擊最多的是政府，其次是金融行業(yè)、軍工行業(yè)、科研單位、高校。

3 校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)方案

隨著學(xué)校智慧校園建設(shè)的推進，各種信息系統(tǒng)如網(wǎng)站群平臺、信息綜合門戶、圖書檢索系統(tǒng)、財務(wù)系統(tǒng)、教務(wù)系統(tǒng)、科研系統(tǒng)、教學(xué)系統(tǒng)、一卡通、后勤保障系統(tǒng)的廣泛使用，安全問題面臨巨大挑戰(zhàn)。經(jīng)過多年的網(wǎng)絡(luò)安全建設(shè)，防病毒軟件、安全網(wǎng)關(guān)、上網(wǎng)行為審計系統(tǒng)、WAF 等安全設(shè)備的部署已經(jīng)使校園網(wǎng)具備基本的安全防護能力，但面對愈來愈嚴(yán)峻的網(wǎng)絡(luò)安全形勢，無法將目前信息系統(tǒng)中各類數(shù)據(jù)孤立分析的形態(tài)轉(zhuǎn)變?yōu)橹悄艿年P(guān)聯(lián)分析。

網(wǎng)絡(luò)安全態(tài)勢感知[2]技術(shù)可以很好的實現(xiàn)從被動防護轉(zhuǎn)為主動發(fā)現(xiàn)安全事件。

3.1 建設(shè)目標(biāo)

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的目標(biāo)是使高校網(wǎng)絡(luò)安全做到“規(guī)范、可視、可管、可控”。

網(wǎng)絡(luò)安全態(tài)勢感知主要分為要素提取、 態(tài)勢理解、態(tài)勢預(yù)測三個層面[3]。針對校內(nèi)網(wǎng)絡(luò)安全問題監(jiān)控預(yù)警、日常信息管理檢查階段佐證、做到事前安全預(yù)防，防患于未然，提升高校安全水準(zhǔn)；通過關(guān)聯(lián)分析告警、日志分析、特征檢測、流量分析等，全面覆蓋，統(tǒng)一運維檢測，實現(xiàn)事中安全監(jiān)測和威脅檢測；通過威脅阻斷、事件溯源等及時應(yīng)對安全風(fēng)險與威脅，實現(xiàn)事后閉環(huán)響應(yīng)處置。

3.2 網(wǎng)絡(luò)安全態(tài)勢感知平臺邏輯結(jié)構(gòu)

基于大數(shù)據(jù)技術(shù)的網(wǎng)絡(luò)安全態(tài)勢感知與管控平臺，針對各類結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)進行實時采集，包括各類設(shè)備、應(yīng)用日志以及網(wǎng)絡(luò)流量和各種脆弱性。具有完全分布式的數(shù)據(jù)采集和分析框架，包含了數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、數(shù)據(jù)分析、高級分析、數(shù)據(jù)可視以及安全處理和響應(yīng)、安全知識庫（含漏洞庫、安全事件庫、安全配置庫、日志配置庫等），如圖1 所示。

6種甘草酸鹽乳膏中甘草酸的體外經(jīng)皮滲透特性比較…………………………………………………… 涂碎萍等（9）：1205

3.3 實現(xiàn)高階威脅感知

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)通過對各類設(shè)備日志、網(wǎng)絡(luò)流量的綜合分析，可以定位網(wǎng)絡(luò)安全事件在攻擊鏈中的所處階段，結(jié)合溯源分析，進一步形成完整的證據(jù)鏈，將入侵和攻擊整個過程進行還原。深度挖掘異常行為，對于外部已發(fā)生但本地仍未知的高階威脅，通過引入多源外部威脅情報，與自身安全技術(shù)體系有機結(jié)合，有利于全面評估損失和安全風(fēng)險，制定完善的解決方案。

3.3.1 資產(chǎn)業(yè)務(wù)管理

網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)可以主動識別內(nèi)網(wǎng)資產(chǎn)，主動發(fā)現(xiàn)內(nèi)網(wǎng)未被定義的設(shè)備資產(chǎn)的IP 地址及設(shè)備類型，同時能識別內(nèi)網(wǎng)服務(wù)器資產(chǎn)的IP 地址，操作系統(tǒng)，開放端口以及傳輸使用協(xié)議和應(yīng)用。業(yè)務(wù)與資產(chǎn)關(guān)系能夠按資產(chǎn)IP 地址/地址段，組合成為特定的業(yè)務(wù)組。

3.3.2 網(wǎng)絡(luò)流量分析

通過網(wǎng)絡(luò)流量分析探針對流量進行全流量接入，結(jié)合攻擊檢測技術(shù)、異常流量檢測技術(shù)、威脅情報檢測技術(shù)、大數(shù)據(jù)安全分析技術(shù)、安全態(tài)勢感知技術(shù)以及豐富的安全事件報告功能，可有效檢測外部攻擊、外連威脅、內(nèi)部非法連接、網(wǎng)絡(luò)會話模式異常等安全威脅?？捎行Оl(fā)現(xiàn)網(wǎng)絡(luò)威脅發(fā)現(xiàn)（比如永恒之藍、sql 注入、webshell 上傳、漏洞利用攻擊）、異常行為發(fā)現(xiàn)、網(wǎng)絡(luò)質(zhì)量檢測、網(wǎng)絡(luò)全會話留存等。

3.3.3 日志監(jiān)管分析

（1）學(xué)校骨干中心網(wǎng)部署了大量網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等，同時需要需要能有效收集這些硬件設(shè)備和數(shù)據(jù)庫、中間件、業(yè)務(wù)系統(tǒng)等設(shè)備日志，支持 “日志分析+流量分析”雙重分析。

（2）實現(xiàn)日志的集中采集和存儲。通過平臺對所有日志的接入可有效并自動的將設(shè)備和中間件日志、系統(tǒng)日志、應(yīng)用日志、操作訪問日志進行集中采集、分類并壓縮存儲。

（3）實現(xiàn)日志自動集中分析。通過網(wǎng)絡(luò)安全態(tài)勢平臺自定義規(guī)則，對日志進行橫向和縱向關(guān)聯(lián)，進行自動化分析，找出潛在安全問題。通過集中化的日志集中管理與審計系統(tǒng)，實現(xiàn)對日志的自動采集、分析、審計和響應(yīng)，提高日志審計的效率，做到問題早發(fā)現(xiàn)早處理，將風(fēng)險控制在可以接受的程度。

3.3.4 主動安全檢測

通過大數(shù)據(jù)技術(shù)，對校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。一方面，對威脅趨勢進行預(yù)測，評估應(yīng)對能力和損失，有利于調(diào)配安全運營資源，更好地控制潛在風(fēng)險。另一方面，對安全事件發(fā)展趨勢進行預(yù)測，有利于制定精準(zhǔn)解決方案，更好地控制事態(tài)變化和安全投入成本。阻斷安全風(fēng)險，通過大數(shù)據(jù)分析，根據(jù)已命中的安全事件精準(zhǔn)地對已知和未知的攻擊行為進行實時阻斷，并對已執(zhí)行阻斷策略的網(wǎng)絡(luò)會話進行審計查詢。

3.4 建立安全事件處置體系

高校校園網(wǎng)內(nèi)可以通過網(wǎng)絡(luò)安全態(tài)勢感知平臺形成“資產(chǎn)風(fēng)險發(fā)現(xiàn)-資產(chǎn)管理加固-事件追蹤溯源-事件處置-留存記錄”一體化閉環(huán)解決方案。

可視化大屏展示將碎片化的安全事件數(shù)據(jù)結(jié)構(gòu)化，能以多種形式實時在大屏上展現(xiàn)網(wǎng)絡(luò)的攻擊情況，準(zhǔn)確定位出攻擊源、攻擊路徑、攻擊目標(biāo)，快速找出安全威脅，直觀顯示校園網(wǎng)的網(wǎng)絡(luò)安全狀態(tài)[4]。

平臺對發(fā)現(xiàn)的安全問題和重要資產(chǎn)進行安全風(fēng)險管控，對存在問題的設(shè)備及時通過短信、郵件形式告警，通過內(nèi)置命令行接口，跟防護探針結(jié)合實現(xiàn)探針聯(lián)動處置機制，也可和其他設(shè)備交換機做命令行的下發(fā)阻斷。

針對安全事件，根據(jù)不同的風(fēng)險等級，可以監(jiān)控和溯源查詢，其次聯(lián)動阻斷探針、防火墻、SDN 設(shè)備等對監(jiān)測到的威脅和問題資產(chǎn)第一時間進行響應(yīng)和處置，從而形成一套及時的應(yīng)急處置體系，進一步提高校網(wǎng)絡(luò)安全保障水平。

3.5 組網(wǎng)部署

以我校為例，校園網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)方案組網(wǎng)的部署方式如下：在數(shù)據(jù)中心區(qū)域旁路部署流量（潛伏威脅）探針，和安全態(tài)勢感知平臺，把出口流量全部鏡像到流量探針，同時收集所有安全設(shè)備，服務(wù)器，重要網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件和業(yè)務(wù)系統(tǒng)的所有日志到安全態(tài)勢感知平臺，組網(wǎng)部署網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2 所示。

4 結(jié)語

在高校校園網(wǎng)內(nèi)建立安全態(tài)勢感知與預(yù)警平臺，通過流量探針和日志建立安全大數(shù)據(jù)中心，實現(xiàn)網(wǎng)絡(luò)環(huán)境安全類、管理類、流量數(shù)據(jù)以及資產(chǎn)、用戶的基本數(shù)據(jù)的采集，并通過安全態(tài)勢感知平臺，實現(xiàn)對安全數(shù)據(jù)中心內(nèi)數(shù)據(jù)的分析應(yīng)用，實現(xiàn)多維大數(shù)據(jù)關(guān)聯(lián)分析，全網(wǎng)的安全要素分析、異常行為快速發(fā)現(xiàn)的能力以及整體網(wǎng)絡(luò)的安全態(tài)勢可視化能力，并累計本地威脅情報。根據(jù)這些威脅情報朔源找出攻擊類型以及攻擊目的，及時阻斷攻擊，確保校內(nèi)數(shù)據(jù)信息的安全。