冯莉颖

摘 要：本文采用安全大数据分析框架体系，从技术支撑、系统架构、应用系统设计等三个方面阐述了一种省级公共网络安全预警防范平台的方法，实现具有监测、态势感知、预警通报、线索分析、事件处置、运维管理功能的支撑平台的设计研究，为省级公共网络安全预警与防范提供了理论及技术参考。

关键词：公共网络；安全；预警防范

随着省级公共网络的建设和应用技术的成熟，公共网络系统的安全防护能力和管理需求随之提升，搭建一个既能够满足城域网整体态势监控，又能够对重点单位网络系统、门户网站进行重点监控的平台是解决省级公共网络安全问题的有效途径。

一、搭建省级公共网络安全预警防范平台的技术支撑

搭建省级公共网络安全预警防范平台需考虑到安全监测、态势分析、预警通报、线索挖掘、调查处置等五个网安业务并为此提供技术支撑。

安全监测：要求为网络安全监测业务提供支撑，辅助公安网安部门对重要部位、重要单位、专项威胁、特定目标或对象开展监测，汇集公共网络安全监测的基础数据。网站监测应对网站的安全状态进行全面监测，包括网站平稳度信息、页面篡改信息、网站木马信息、流量告警信息、入侵检测事件信息、网站服务器漏洞信息。重点单位检测应对重点单位的网络安全状态进行检测，包括但不仅限于有害程序事件、网络攻击事件、信息破坏事件、安全隐患。专项威胁检测应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件，木马、僵尸网络等有害程序事件，网页篡改、信息窃取等信息破坏事件进行专项监测。特定目标或对象监测应支持用户对特定目标、对象深入监测，如通过设置监测点的监测规则支持对某攻击组织的攻击行为、某特定IP攻击行为进行监测。

态势分析：应从宏观方面分析整个互联网总体安全状况，包括各类网络安全威胁态势分析和展示；微观方面应提供对特定保护对象所遭受的各种攻击进行趋势分析和展示，可包括网站态势、重点单位态势、专项威胁态势和总体态势。其中网站态势应对所监测网站的网络安全威胁和网络安全事件进行态势分析和展示；重点单位态势应支持对重点单位的网络安全威胁事件态势分析和展示；专项威胁态势应对网站仿冒、网络钓鱼、漏洞利用攻击等网络攻击事件，木马、僵尸网络等有害程序事件，网页篡改、信息窃取等信息破坏事件进行专项态势分析和展示。此外，态势分析应提供网络安全总体态势的展示和呈现。

预警通报：应支持针对各种安全数据自动生成符合模板的预警通报，包括突发事件通报、专项通报、综合通报和特定对象安全评估通报。突发事件通报应支持对突发网络安全事件自动生成预警通报。专项通报应支持对网络攻击事件、有害程序事件、信息破坏事件、重大网络安全隐患等自动生成预警通报。综合通报应支持定期生成综合性通报。特定对象安全评估支持对指定的IP或IP段自动生成安全评估报告，包括指定IP或IP段的网络攻击事件、有害程序事件、信息破坏事件、重大网络安全隐患等。

线索挖掘：应通过对城市威胁数据的智能聚类和关联挖掘，发掘有价值威胁事件线索，对重点事件、嫌疑对象、跳板主机、攻击溯源等提供分析支撑。

主要包括三元组分析、异常服务分析、攻击者分析、其中三元组分析应支持对网络攻击事件中的三元组信息，即源IP、目的IP、事件行为进行统计分析。

异常服务分析支持分析提供异常服务和参与对外攻击的主机，建立疑似傀儡机档案库。攻击者分析支持分析挖掘疑似攻击人员相关信息，建立疑似攻击人员档案库。

调查处置：在网安业务流驱动下，通报平台为网安民警开展监测、威胁预警、态势预警、威胁情报线索的调查处置提供支撑，可实现调查任务下发与处置响应的返回。

二、搭建省级公共网络安全预警防范平台的系统架构

搭建省级公共网络安全预警防范平台的实现系统，主要有数据采集层、检测引擎层、数据预处理层、数据存储层、业务支撑层和业务处置层等6个功能层。

数据采集层是系统的基础数据源，包括两方面的数据。一是运营商的流量数据。在系统中，需要将运营商互联网出口的流量镜像到系统，然后根据系统的业务处理能力按照会话将流量分配到各检测引擎。另一方面是互联网重要信息系统的数据。需要确定重要信息系统的基础数据，实现检测数据与系统信息的一一对应。

检测引擎层主要实现对基础数据的安全检测，包括两方面的检测。一是对互联网流量的检测，包括flow流量检测、IP包检测和面向APT的未知攻击检测。另一方面是对重要信息系统的检测，包括系统脆弱性检测和系统受攻击情况检测。

数据预处理层主要实现对攻击和脆弱性数据的预处理。在省平台，需要预处理的数据有四个来源，一是平台自行检测到的数据，二是各地市上报的数据，三是部平台下发的数据，四是来自可靠第三方的威胁情报数据。

这些数据来源不同，格式各异，有可能存在重复和无效数据，因此在使用之前需要进行清洗、归并、关联、比对、标识等预处理，为下一步数据应用打下基础。

数据存储层主要实现对业务支撑的数据支持。一方面对预处理过的有效数据按照业务需求进行分类存储，另一方面通过大数据引擎为业务支撑提供数据存取和分析服务。

业务支撑层主要实现对预警监控系统中各种安全应用的业务支撑。其中，安全事件获取模块实现从告警数据到安全事件的归并，行为模型匹配模块实现从安全事件到攻击行为模型的匹配，态势预警分析模块实现对当前攻击态势的判定和安全预警功能，攻击取证溯源模块实现对攻击过程的还原和数据泄露等损失的计算等功能，应用脆弱性分析模块实现对重要业务系统漏洞、配置不当等脆弱性的分析，判断业务系统的危险状态等功能。

业务处置层主要实现网安预警监测工作中的各种业务流程。其中，安全监测模块实现对城域网和重要信息系统的攻击行为、脆弱性的监测功能；态势分析模块实现对当前网络安全态势的分析判断功能；通报预警模块实现对发现的攻击行为及时向第三方通报并根据安全态势及时预警等功能；线索挖掘模块主要实现对监测数据的深入分析，及时对攻击行为进行取证溯源等功能；调查处置模块主要实现对通过系统确认的网络犯罪行为的进一步核查以及与相关业务部门协同处置等功能。

三、搭建省级公共网络安全预警防范平台的应用系统架构

结合系统总体架构，拟建立一个中心平台、两个子平台、七套子系统的应用系统架构。

1）一个中心平台：预警防范中心平台：预警防范中心平台实现对网络安全事件的综合分析、预警，对重要安全事件进行取证，对预警信息分发和通报，依据省级安防工作机制和应急预案处置和管理网络安防工作。按照各单位预定职能向其传递预警信息，并接收其处置反馈信息。同时由运维管理系统实现对整体设备运作的监控。

2）两个子平台：城域网安全监控子平台：包括异常流量检测系统、入侵检测（含病毒检测）系统、威胁分析系统。实现对全省城域网网络流量的监控，综合分析其中存在的黑客攻击、病毒传播、拒绝服务攻击等行为并进行取证。

重要系统检测子平台：包括漏洞扫描系统、重点网站监测系统。实现对重点单位的网站脆弱性、完整性、可用性三方面的检测。

3）七套子系统：分为异常流量检测系统、入侵检测系统、威胁分析系统、漏洞扫描系统、重点网站检测系统、网络溯源追踪系统、运营管理系统等七个子系统。

异常流量检测系统：实现对网络整体流量的宏观分析、监控、预警；入侵检测（含病毒检测）系统：实现对网络流量的细粒度检测，并实现抓包取证；威胁分析系统：实现对攻击行为、趋势、手段的分析和监控；漏洞扫描系统：实现对重点单位及城域网整体的网络脆弱性检测和预警；重点网站监测系统：实现对重点单位的脆弱性、完整性、可用性监测和预警；网络溯源追踪系统：实现对安全事件的追踪溯源；运维管理系统：实现对项目范围内系统运作的持续性检测和管理，其主要在预警防范中心平台实现。

综上所述，本文通过情报、数据收集，大数据处理及存储，基于安全场景模型的大数据分析及展示等手段建立和完善安全态势全面监控、安全威胁实时预警、安全事件及时处置的能力，建设形成的一套支撑网络与信息安全预警分析中心业务开展的，具有监测、态势感知、预警通报、线索分析、事件处置、运维管理功能的支撑平台。

参考文献：

[1] 谢振国，凌捷，网络安全预警系统的研究[J].计算机技术与发展，2011（11）.

[2] 陈彦德，赵陆文，王琼，潘志松，周志杰.网络安全态势感知系统结构研究[J].计算机工程与应用，2008（01）.

[3] 梁玉翰，张红旗.网络环境安全预警系统设计与实现[J].网络安全技术与应用，2008（08）.

[4] 徐远涛，张剑寒，黄继刚，王宝军.网络安全预警系统初探[J].电脑与电信，2007（04）.

[5] 胡华平，张怡，陈海涛，宣蕾，孙鹏.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报，2003（01）.