計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)設(shè)計與實現(xiàn)

于麗晗

摘? 要：該文從設(shè)計、實現(xiàn)2個方面探討計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)構(gòu)建過程，首先介紹系統(tǒng)框架結(jié)構(gòu)設(shè)計、工作流程設(shè)計、評估模型設(shè)計以及數(shù)據(jù)表設(shè)計思路，并在此基礎(chǔ)上分析系統(tǒng)實現(xiàn)的平臺與環(huán)境，給出系統(tǒng)架構(gòu)及功能實現(xiàn)、態(tài)勢實現(xiàn)與展示的具體方法，旨在利用此計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)，精準(zhǔn)、動態(tài)分析計算機網(wǎng)絡(luò)安全態(tài)勢，進而保障計算機網(wǎng)絡(luò)的安全、穩(wěn)定運行。

關(guān)鍵詞：計算機；網(wǎng)絡(luò)安全；態(tài)勢分析；原型系統(tǒng)；系統(tǒng)設(shè)計

中圖分類號：TP393? ? ? 文獻標(biāo)志碼：A? ? ? ? ? 文章編號：2095-2945（2024）05-0109-04

Abstract： This paper discusses the construction process of computer network security situation analysis prototype system from two aspects： design and implementation. Firstly， it introduces the system framework structure design， workflow design， evaluation model design and data table design ideas. On this basis， it analyzes the platform and environment of system implementation， and gives the specific methods of system architecture， function realization， situation realization and display. The purpose of this prototype system is to accurately and dynamically analyze the security situation of computer network， so as to ensure the safe and stable operation of computer network.

Keywords： computer; network security; situation analysis; prototype system; system design

配備安全問題應(yīng)對設(shè)備能夠降低網(wǎng)絡(luò)安全問題發(fā)生率，但安全設(shè)備大量部署，加之網(wǎng)絡(luò)結(jié)構(gòu)的日趨復(fù)雜，會導(dǎo)致網(wǎng)絡(luò)安全面臨安全設(shè)備間互動不足、網(wǎng)絡(luò)安全態(tài)勢分析不全面、事件格式誤報重報等問題，進而影響網(wǎng)絡(luò)安全管理決策制定的科學(xué)性。為此，有必要以指標(biāo)提取為基礎(chǔ)展開網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究，從而幫助網(wǎng)絡(luò)管理人員全面了解網(wǎng)絡(luò)安全狀況，科學(xué)制定網(wǎng)絡(luò)安全管理決策。

1? 計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)的設(shè)計

1.1? 結(jié)構(gòu)框架設(shè)計

基于指標(biāo)提取的計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)，應(yīng)涵蓋網(wǎng)絡(luò)安全原始事件庫、網(wǎng)絡(luò)安全告警事件庫、設(shè)備資產(chǎn)基本信息庫、關(guān)聯(lián)規(guī)劃庫、指標(biāo)體系模型5個主要部分[1]。防火墻、入侵檢測、漏洞掃描和網(wǎng)絡(luò)節(jié)點運行等事件及運行信息是此系統(tǒng)的數(shù)源供應(yīng)載體，在設(shè)置網(wǎng)絡(luò)安全設(shè)備部署代理的基礎(chǔ)上，由代理程序向服務(wù)器端傳送安全事件及相關(guān)信息，服務(wù)器端負責(zé)提取安全事件態(tài)勢，并將其中涵蓋的安全態(tài)勢評估原始數(shù)據(jù)提取出來，從風(fēng)險、脆弱、威脅、運行4個維度評估網(wǎng)絡(luò)安全態(tài)勢，并通過評估計算獲取態(tài)勢指數(shù)，最后向系統(tǒng)利用者展示評估結(jié)果。結(jié)合態(tài)勢感知理論，根據(jù)態(tài)勢評估框架模型，可總結(jié)出計算機網(wǎng)絡(luò)安全態(tài)勢分析應(yīng)按數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)分析、指標(biāo)體系提取、態(tài)勢評估5個步驟進行開展。網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)結(jié)構(gòu)框架如圖1所示。

1.2? 工作流程設(shè)計

本原型系統(tǒng)的工作流程可劃分為6個階段，分別是事件采集、事件預(yù)處理、關(guān)聯(lián)分析、權(quán)重計算、態(tài)勢計算、態(tài)勢呈現(xiàn)。系統(tǒng)基于各安全設(shè)備上安裝的代理程序Agent對安全設(shè)備數(shù)據(jù)展開動態(tài)監(jiān)聽，獲取到安全設(shè)備新產(chǎn)生的數(shù)據(jù)后，此程序會將之推送給服務(wù)器端，在無新數(shù)據(jù)獲取時，代理程序進入休眠狀態(tài)，之后循環(huán)往復(fù)進行數(shù)據(jù)監(jiān)聽與傳送過程。服務(wù)端事件預(yù)處理模塊接收代理端傳送的安全事件數(shù)據(jù)后，會立即展開安全事件預(yù)處理，并統(tǒng)一不同設(shè)備安全事件的格式，為安全態(tài)勢分析指標(biāo)體系的構(gòu)建、態(tài)勢評估的科學(xué)開展提供數(shù)據(jù)基礎(chǔ)。預(yù)處理安全事件完成后會展開事件交叉關(guān)聯(lián)及動態(tài)關(guān)聯(lián)分析，濾除誤報或重復(fù)匯報安全事件，再構(gòu)建模糊互補矩陣、利用權(quán)重計算公式得出相應(yīng)權(quán)重值，之后運用評估模型，結(jié)合相應(yīng)時段內(nèi)的安全事件信息及權(quán)值信息，分析計算機網(wǎng)絡(luò)安全態(tài)勢指數(shù)。最后，采用折線圖、報表等形式將態(tài)勢分析結(jié)果展示給用戶。

1.3? 評估模型設(shè)計

1.3.1? 評估模型頂層設(shè)計

計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)采用的自下而上、先局部后整體、由抽象到具象的分析方法。網(wǎng)絡(luò)安全態(tài)勢評估模型由目標(biāo)層、對象層、因素層構(gòu)建而成（圖2），態(tài)勢評估目標(biāo)層下設(shè)4個二級評估指標(biāo)，分別是風(fēng)險維態(tài)勢、脆弱維態(tài)度、威脅維態(tài)勢、運行維態(tài)勢。而對象層則是服務(wù)器、安全設(shè)備、主機終端等各種設(shè)備的部署層。設(shè)備服務(wù)層是對象子層，這是因為服務(wù)是設(shè)備態(tài)勢的重要展示載體。而因素層是安全設(shè)備事件匯報、網(wǎng)絡(luò)節(jié)點核心資源運行數(shù)據(jù)的匯總層，可為態(tài)勢評估提供基礎(chǔ)數(shù)據(jù)信息。

1.3.2? 評估模型次高層設(shè)計

作為本級網(wǎng)絡(luò)安全態(tài)勢的下層元素之一，風(fēng)險維態(tài)勢可根據(jù)相應(yīng)時段內(nèi)系統(tǒng)部署的入侵檢測設(shè)備所提交的攻擊事件評估系統(tǒng)被攻擊情況而得出，攻擊引發(fā)的安全事件數(shù)量、等級、被攻擊節(jié)點上事件服務(wù)所占權(quán)重、系統(tǒng)中節(jié)點的風(fēng)險維權(quán)重均是風(fēng)險維態(tài)勢的影響因素[2]。而脆弱維態(tài)勢是指根據(jù)相應(yīng)時段內(nèi)系統(tǒng)部署的漏掃設(shè)備上報事件信息評估網(wǎng)絡(luò)脆弱程度的結(jié)果，其影響因素有事件數(shù)量、等級、漏洞點事件服務(wù)權(quán)重及系統(tǒng)中該節(jié)點所占脆弱維權(quán)重4個方面。威脅維態(tài)勢是相應(yīng)時段內(nèi)系統(tǒng)部署設(shè)備異常工作情況或系統(tǒng)應(yīng)用者非正常行為對系統(tǒng)運行所帶來威脅的評估結(jié)果，非法訪問、離線異常均是此態(tài)勢的影響因子。除此之外，運行維態(tài)勢是網(wǎng)絡(luò)節(jié)點核心資源耗損率的量化分析結(jié)果，是網(wǎng)絡(luò)侵害下正常工作能力分析指數(shù)，CPU、磁盤、內(nèi)存的利用情況均與運行維態(tài)勢存在直接關(guān)聯(lián)。

1.4? 數(shù)據(jù)庫表設(shè)計

在系統(tǒng)總體結(jié)構(gòu)、工作流程設(shè)計完成后，可以此為基礎(chǔ)設(shè)計出數(shù)據(jù)庫表，與指標(biāo)體系、態(tài)勢評估有所關(guān)聯(lián)的數(shù)據(jù)庫表共有6個，分別是設(shè)備信息表、設(shè)備態(tài)勢信息表、設(shè)備服務(wù)信息表、系統(tǒng)態(tài)勢信息表、告警事件信息表、系統(tǒng)信息表。其中設(shè)備信息表包含設(shè)備編號、設(shè)備IP、性能相對權(quán)重、提供服務(wù)、備注5個Varchar數(shù)據(jù)類型的屬性，并有運行維權(quán)重、脆弱維權(quán)重、風(fēng)險維權(quán)重、威脅維權(quán)重4個float數(shù)據(jù)類型的屬性，還包含1個timestamp數(shù)據(jù)類型屬性，其中，設(shè)備編號是此信息表的主鍵。而系統(tǒng)信息表及系統(tǒng)態(tài)勢信息表與設(shè)備信息表一樣都含有脆弱維權(quán)重、風(fēng)險維權(quán)重、風(fēng)險維權(quán)重、威脅維權(quán)重、時間、備注6個屬性，但前者還具有系統(tǒng)編號屬性，而后者則具有評估序號、綜合態(tài)勢2個屬性。設(shè)備態(tài)勢信息表包含屬性有設(shè)備態(tài)勢序號、設(shè)備IP、運行維指數(shù)、脆弱維指數(shù)、風(fēng)險維指數(shù)、威脅維指數(shù)、CPU利用率、內(nèi)存使用率、硬盤利用率、時間、備注屬性。而告警事件信息表則具備事件序號、事件描述、設(shè)備編號、事件類編號、源IP、源端口、目的IP、目的端口、協(xié)議、事件等級、時間、備注12個屬性。而設(shè)備服務(wù)信息僅包含6個屬性，具體見表1。

2? 計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)的實現(xiàn)分析

2.1? 系統(tǒng)實現(xiàn)的平臺與環(huán)境

本系統(tǒng)以企業(yè)版Linux5作為操作系統(tǒng)，利用Java系統(tǒng)構(gòu)建后臺服務(wù)器，并以MySQL作為數(shù)據(jù)庫。安全設(shè)備上嵌入的Agent程序負責(zé)向Server端匯報收集的安全事件，而Server端則會在接收到安全事件后，遵循標(biāo)準(zhǔn)預(yù)處理安全事件，之后再將處理結(jié)果存儲在數(shù)據(jù)庫中并實施事件關(guān)聯(lián)分析，將誤報或重復(fù)匯報的安全事件剔除后，還要做好權(quán)重及態(tài)勢計分析的準(zhǔn)備。整個評估過程需要在Server內(nèi)核中實現(xiàn)，并在用戶界面上展示計算獲得的態(tài)勢分析結(jié)果及安全事件處理結(jié)果。權(quán)重計算應(yīng)以指標(biāo)體系、評估模型為依據(jù)，結(jié)合處理后的安全事件而開展，需定時計算系統(tǒng)部署的安全環(huán)境態(tài)勢，最后在MySQL數(shù)據(jù)庫中存儲權(quán)重及態(tài)勢計算結(jié)果，并將新得到的數(shù)據(jù)在用戶界面上展示出來[3]。需要利用折線圖、數(shù)據(jù)表展示態(tài)勢計算結(jié)果，運用系統(tǒng)呈現(xiàn)相關(guān)信息，以便安全管理人員能夠了解計算機網(wǎng)絡(luò)的整體安全態(tài)勢情況，制定出科學(xué)的管理決策，保障計算機網(wǎng)絡(luò)系統(tǒng)的運行安全。

2.2? 系統(tǒng)架構(gòu)及功能實現(xiàn)

結(jié)合系統(tǒng)結(jié)構(gòu)設(shè)計及工作流程設(shè)計思路，可將計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)的總體架構(gòu)劃分為4個主要部分，一是Agent端，二是Server端，三是用戶界面端，四是數(shù)據(jù)庫，這四大結(jié)構(gòu)的主要功能詳見表2。網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)的原型系統(tǒng)可作為其他安管平臺的獨立模塊而應(yīng)用，可在企業(yè)或單位的安管系統(tǒng)中將態(tài)勢感知系統(tǒng)設(shè)置為單獨的模塊。而本文的實現(xiàn)方式是將此系統(tǒng)作為網(wǎng)絡(luò)安全態(tài)勢分析的原系統(tǒng)。系統(tǒng)需要為各個具備合法身份的用戶分配電子鑰匙，每個電子鑰匙分別對應(yīng)一個用戶，并設(shè)置對應(yīng)的登錄口令。在安全管理系統(tǒng)中點擊態(tài)勢感知模塊，系統(tǒng)會跳轉(zhuǎn)到網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)，之后輸入用戶名及密碼，通過驗證后便可登錄到系統(tǒng)主頁面。

2.3? 態(tài)勢實現(xiàn)與展示

2.3.1? 態(tài)勢計算

態(tài)勢計算時，需要從數(shù)據(jù)庫表中提取所需的各項參數(shù)值，之后利用評估模型完成各個維度的態(tài)勢計算。需要利用Agent收集安全設(shè)備的相關(guān)數(shù)據(jù)，再將之傳送給Server端，經(jīng)過數(shù)據(jù)預(yù)處理、關(guān)聯(lián)分析后得到量化數(shù)據(jù)。評估模型程序計算結(jié)構(gòu)當(dāng)中，控制程序?qū)儆诤诵乃?，其作用是讀取數(shù)據(jù)庫連接程序、時間控制程序以及參數(shù)表中的相關(guān)數(shù)據(jù)，通過計算之后，輸出各維態(tài)勢指數(shù)計算結(jié)果。計算時首先要在基層量化指標(biāo)的基礎(chǔ)上構(gòu)建指數(shù)計算模型并利用FAHP確定基層量化指標(biāo)權(quán)重，之后按照相同方法依次構(gòu)建二級指標(biāo)與一級指標(biāo)的指數(shù)計算模型并確定各指標(biāo)權(quán)重，計算時下級指標(biāo)是上級指標(biāo)計算的數(shù)據(jù)基礎(chǔ)，最后得出網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)，根據(jù)態(tài)勢指數(shù)級別對照表，生成最后的指標(biāo)量化評級結(jié)果[4]。

2.3.2? 態(tài)勢展示

網(wǎng)絡(luò)安全態(tài)勢指數(shù)可劃分為5個等級，分別是微級（1～20）、低級（21～40）、中級（41～60）、高級（61～80）與危級（81～100）。再結(jié)合各省態(tài)勢評估指數(shù)值，在地圖上利用不同的顏色展示各區(qū)間的態(tài)勢情況。之后利用儀表盤顯示系統(tǒng)的網(wǎng)絡(luò)態(tài)勢綜合指數(shù)信息，運用折線圖對12 h內(nèi)的系統(tǒng)綜合態(tài)勢指數(shù)變化趨勢進行展示，某單位計算機網(wǎng)絡(luò)安全態(tài)勢系統(tǒng)在12 h內(nèi)的運行維態(tài)勢的指數(shù)展示如圖3所示。

2.3.3? 各維態(tài)勢指數(shù)計算方法

計算系統(tǒng)態(tài)勢指數(shù)類可調(diào)用計算設(shè)備態(tài)勢指數(shù)類，利用此方法定時計算出設(shè)備態(tài)勢及系統(tǒng)態(tài)勢情況。設(shè)備各維態(tài)勢指數(shù)計算間隔時間為3 min，并利用1 h內(nèi)的平均指數(shù)表示上個1 h內(nèi)的系統(tǒng)相應(yīng)維態(tài)勢[5]。之后生成自定義類用于存儲各個設(shè)備在3 min內(nèi)獲取的各維態(tài)勢代表值及權(quán)重信息，再從各個設(shè)備信息中提取出各維參數(shù)，分別計算出運行維（SW）、脆弱維（SV）、風(fēng)險維（SR）、威脅維（ST）的安全態(tài)勢，之后根據(jù)公式 S=WW×SW+WV×SV+WR×SR+WT×ST計算出計算機網(wǎng)絡(luò)的安全態(tài)勢綜合指數(shù)。式中，S表示系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢綜合指數(shù)， 而WW、WV、WR、WT分別代表運行維態(tài)勢、脆弱維態(tài)勢、風(fēng)險維態(tài)勢以及威脅維態(tài)勢的相對權(quán)重。在系統(tǒng)態(tài)勢評估記錄中存儲后再做好系統(tǒng)時間添加，然后間隔3 min進行一次各維態(tài)勢指數(shù)計算。

3? 結(jié)束語

網(wǎng)絡(luò)安全運行維護是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定、持續(xù)運行的重要保障，目前可通過漏洞掃描設(shè)備、防火墻等多種安全設(shè)備保障網(wǎng)絡(luò)運行安全。而態(tài)勢感知技術(shù)的應(yīng)用，能夠增強網(wǎng)絡(luò)安全態(tài)勢的整體把控效果，能夠統(tǒng)一安全事件格式。文章利用態(tài)勢感知技術(shù)設(shè)計了計算機網(wǎng)絡(luò)安全態(tài)勢分析原型系統(tǒng)，分別設(shè)計了系統(tǒng)架構(gòu)、工作流程、評價模型及數(shù)據(jù)庫表，并分析了安全態(tài)勢分析系統(tǒng)的實現(xiàn)過程，為計算機網(wǎng)絡(luò)安全態(tài)勢的科學(xué)分析提供了可靠的分析系統(tǒng)。

參考文獻：

[1] 袁方.基于網(wǎng)絡(luò)流量的安全態(tài)勢分析系統(tǒng)設(shè)計與實現(xiàn)[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2020.

[2] 吳靜.網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)構(gòu)建小議[J].黑河學(xué)院學(xué)報，2018，9（5）：211-212.

[3] 李廣閱.基于流分析的網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)[D].成都：電子科技大學(xué)，2019.

[4] 賈焰，韓偉紅，王偉.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)YHSAS設(shè)計與實現(xiàn)[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（1）：17-22.

[5] 耿建寧.基于大數(shù)據(jù)的網(wǎng)絡(luò)態(tài)勢分析框架[D].成都：電子科技大學(xué)，2020.