《基于态势感知技术的电子政务网络健康度评测平台搭建》由会员分享,可在线阅读,更多相关《基于态势感知技术的电子政务网络健康度评测平台搭建(15页珍藏版)》请在金锄头文库上搜索。
1、 基于态势感知技术的电子政务网络健康度评测平台搭建 岳剑一、引言随着我国电子政务建设的快速推进,政务应用需求不断深化、用户数量不断扩大、政府网络应用业务系统日益复杂与多元化,带来了网络规模的不断扩大和网络结构的复杂化、综合化。与此同时,对网络的可靠性、安全性的要求也愈来愈高,网络性能与信息安全保障工作受到前所未有的高度关注,成为电子政务建设的重中之重。本文基于态势感知技术,对电子政务网络整体健康程度评估预测平台的构建进行研究,通过对网络性能状态、安全状态进行实时测量和跟踪,感知网络中的异常事件与整体安全态势,并进行分析评价,以实现对“网络健康度”的量化评测与管理,实时掌握网络安全及性能状况,将
2、亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。二、概述态势感知是指在大规模系统环境中,对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。网络态势感知最早分为态势要素获取、态势理解与态势预测三级模型。随着研究力度的不断加大,在原有的基础上进行异构传感器管理的功能模型,主要是对异构网络的安全态势基础数据进行采集,并对数据进行整合处理,以便对信息进行对比而形成威胁库与静态库。其功能模型如图1 所示。网络健康度评估是根据系统现在或历史数据预测性地诊断系统当前健康度以及未来发展趋势的新技术,通过对网络原始数据的定性和定量分析对网络的
3、整体状况做出全面描述。本文所提出的网络健康度评测基于网络态势感知技术,通过提取、融合各方面的网络性能、安全要素,通过关联分析、信息融合、态势预测等技术确定网络健康评估与故障预测的指标体系,搭建网络健康度评测与管理平台,实现对复杂网络的多维度健康度评测,以提高网络自主式保障能力。三、主要实现技术基于网络态势感知技术网络健康度评测,以网络监控系统获得的原始监控信息为基础,从网络安全态势感知模型、网络态势信息获取、网络态势要素提取、安全态势评估指标和评估方法四个方面研究适用于大规模网络的态势感知关键技术。(一)将态势信息来源确定为主机层性能、主机层日志、主机层流量、主机层漏洞、应用层性能、应用层漏洞
4、、应用层流量、应用层日志、网络层流量、网络层数据包等,并围绕如何从网络数据流中提取态势信息进行态势感知的问题进行了深入的研究,提出基于多维度的多层次化网络安全态势感知模型。(二)通过网络数据流多层次的异常检测获得态势信息的方法,从面向网络的数据流和面向主机的数据流两个方面进行了研究,通过分析选择了组合多分类算法中的随机森林和TreeNet为异常检测时使用的算法。针对整个网络入口处数据速度快、数据量大、攻击和异常数据量相对较小的问题,采用基于改进非广延熵和双随机森林的异常检测方法。该方法对一个时间窗口的数据包,采用概要数据结构快速记录部分属性的统计信息,用改进的非广延熵将每一个统计量分解、放大以
5、发现少量异常原本不明显的特征,结合随机森林强大的分类检测能力和快速并行决策方式对面向网络的数据流进行实时的异常检测。在分支网络中,为了全面的了解每一个主机是否受到某类安全事件的威胁,针对面向主机的服务请求流和服务应答流分析了安全事件对流属性的影响,构建了各自的特征集。针对流数据按时间窗口划分进行异常检测时,在不同时间窗口,同种安全事件特征易发生波动的问题,选择了善于捕捉非线性数据结构的TreeNet算法作为分类检测算法,对面向主机的数据流进行准确的异常检测。(三)通过不同层次流量异常检测结果进行对比提取安全态势要素的方法。一是在面向网络的数据流与每个分支网络面向主机的服务请求流检测结果之间进行
6、对比;二是在面向主机的服务请求与服务应答流检测结果之间进行对比。通过对比,在对检测结果逐步驗证得到准确的安全威胁态势要素的同时,也得到了安全防御方面的态势要素。(四)通过对常用网络安全态势评估方法的分析,结合大规模和实时性的应用背景,制定了定量指标的态势评估方法,从安全威胁、安全防御两方面有针对性地研究出了实际安全威胁指数、理论安全威胁指数、安全威胁范围指数、安全威胁可控度指数、安全设备总体防御指数和网络主机综合安全防御指数六个指标用于对网络整体安全状况的评估。设计了从态势要素得到网络健康度评测指标定量结果的计算方法。并通过实验证明评估的客观性、准确性和有效性。四、网络健康度评测平台的搭建网络
7、健康度评测平台的搭建通过对态势感知要素和态势感知过程的深入分析,构建了以资产信息、脆弱性、危险性、可靠性为核心的网络健康度评测指标体系,并结合数据融合和层次化分析的思想,提出了基于层次化的网络健康度评测模型。网络健康度评测平台由六大功能模块组成:(一)网络资产综合管理模块通过资产感知自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息2;对网络进行资产发现和识别,生成网络资产库,并分层显示网络的拓扑结构,并提供拓扑节点的级联菜单,从而全面、动态地反映网络的运行状况。资产管理范围包括各种软硬件产品,包括网络设备、安全设备、服务器、计算机终端、安装的软件产品等。1. 网络资产拓扑发现
8、发现目标网络的逻辑拓扑、物理拓扑及链路带宽,其中逻辑拓扑包括目标网络中路由器和路由器、路由器与子网间连接关系;物理拓扑包括子网内交换机与主机间的连接关系。目前拓扑发现一次最大可以发现包含多个B类子网的网络,如果需要检测更大范围的网络,可分别检测网络的不同部分,然后通过拓扑分析功能将各部分的检测结果进行分析综合,获得整个网络的拓扑结构。2. 网络资产运行服务识别设备识别主要包含三种检测功能,一是获取设备的类型、厂商、操作系统等基本信息进行设备识别,并包含一个指纹采集工具,以便遇到新的设备时采集其指纹并扩种指纹库。二是获取设备开放的端口以及端口状态,判断设备的服务类型,如:Web服务器、FTP服务
9、器、DNS服务器、邮件服务器等;三是判定设备是否安装个人防火墙。3. 网络资产合规性分析主要包括对设备非法外连、设备非法接入、设备非法监听、防火墙未启动用、设备接口IP改动、服务器服务异常开放等合规性分析。4. 网络资产符合性分析分析逻辑拓扑和物理拓扑的一致性,包括逻辑拓扑的符合性、物理拓扑符合性,即分析子网的符合性和设备之间连接的符合性。(二)综合智能网络监控模块通过智能网络监控系统,实现对各业务系统、应用程序、服务器、存储设备、网络系统、网络设备以及安全系统等的监测和管理,直接提供与应用相关的集中监测的能力、手段和工具。1. 基础设施监控智能网络监控系统的监测器负责从各种设备、主机、数据库
10、及其它可达的软硬件资源中采集状态和性能数据。智能网络监控模块监测器的主要监测手段是基于SNMP协议实现的,同时也充分考虑到实际网络中复杂异构的设备类型和用户业务的不同要求,对于不支持或者不开放SNMP协议的被管理对象,采用基于SSH 和Agent(代理模块)、WMI、脚本等监测方式,通过主动轮巡机制来实现性能数据的采集。2. 业务系统监控基于监测器机制,监测业务应用系统是否运转正常。对业务系统进行系统响应时间、页面下载速度、打开时间、域名解析时间、系统故障监测、主动安全漏洞监控,并监控服务器的性能变化趋势,实现网络应用安全与性能的全监控,全面综合的分析各个业务应用系统的可用性和性能数据,并最终
11、通过SLA机制和业务视图的映射出用户业务系统健康度,为管理者提供客观的信息依据。3. 统一事件平台智能网络监控系统能够对用户网络及系统发出的预警信息和故障信息进行整合和自动化的处理。利用不同类型的监测器采集系统级和应用级可用性信息,并在监测器指标测量失败时发送告警事件。智能网络监控系统将上述告警信息进行统一格式化后实现集中统一的监测和管理。(三)网络安全日志采集与处理系统通过对服务器、交换机、安全设备、网络运行情况、中间件、数据库、业务与应用等相关日志记录的采集,经过规范化、过滤、归并和告警分析等处理后,形成统一格式的日志信息进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对系统
12、日志的全面审计。1. 安全日志采集數据采集对象不仅包括网络设备、虚拟主机,还包括安全系统,如加密机、防火墙系统、IDS系统、防病毒系统等安全防护设备,日志采集器主要包括SYSLOG采集器、SNMP采集器、专用采集器、文件采集器、JDBC/ ODBC采集器。通过多样的日志采集器,可以保证所有的网络设备、安全设备、虚拟主机、应用系统的信息能被系统采集。日志采集主要包括以下类型,如表1所示:通过多种多样的日志采集器,可以保证所有的网络设备、安全设备、虚拟主机、应用系统的信息能被系统采集。2. 日志过滤通过过滤器去掉符合过滤策略的日志。通过控制日志过滤条件,对实时数据进行过滤。通过对日志中任意一个或多
13、个字段定义过滤器,形成全网、单个或多个系统、单台或多台设备、某个或多个时间段的安全过滤策略。包括日志基本属性(发生时间、名称和类型、信息内容、传输层和应用层协议类型、生成者信息、对应用户信息)、日志类型(安全重要性类型、技术分析类型)、威胁(资产威胁程度、影响严重性程度、可用性等级、优先级别)、攻击者和目标者信息(主机信息、对应资产信息、对应用户信息)、设备信息(设备厂商信息、设备主机信息)。3. 日志标准化日志采集各种类型的安全日志定义的格式不尽相同,通过日志标准化把这些不同格式的安全日志转化成标准格式的日志,并对安全日志重新定级。网络中不同的设备,对安全日志的严重程度定义方式、侧重点和表示
14、方式各不相同。安全日志根据统一的安全策略,按照安全设备识别名、日志类别、日志级别等所有可能的条件及各种条件的组合对日志严重级别进行重定义。安全日志的标准化主要包括以下属性:日志编号、日志名称、日志严重级别、日志时间、日志内容、安全资产地址、日志原始级别、日志相关协议、安全资产类型、源地址、目的地址、源主机名称、目的主机名称、源端口、目的端口、日志类型、系统或应用的名称。4. 日志归并对统一采集的安全日志进行过滤,冗余处理,根据预先定义的分类规则对日志进行归纳分类,并根据日志处理策略,把日志转发到日志处理服务器上或者直接转存到日志数据库中进行数据归档。并根据网络平台总体策略的需求,归并日志的特定
15、特征字段,如:日志信息、日志类型、威胁信息、攻击者和目标者信息、设备信息、支持根据日志名称、日志类型、源进程、目标进程、攻击源、攻击目标地址、受攻击的设备类型进行归并分析。5. 日志关联分析通过日志关联分析,根据风险分析的资产、威胁、弱点三要素,深度挖掘安全隐患、判断安全日志的严重程度,包括基于规则的关联分析和基于统计的关联分析。从大量安全日志中准确识别出真实的安全威胁帮助用户快速响应安全问题,不断优化网络的安全状况,提升网络健康度。(四)基于外部数据源的网络威胁监测分析系统结合网络资产和业务应用系统情况,采集来自外部数据源的数据泄漏情况、漏洞情况、黑客的攻击情况、行业重大安全事件分析等安全数
16、据,掌握业务应用安全风险现状,建立安全威胁信息库,利用安全威胁信息库,结合网络资产库的信息,进行策略匹配,发现网络中存在的安全漏洞或风险。1 网络威胁数据采集通过多种渠道采集政策法规、安全事件、漏洞信息、恶意代码等方面信息。从互联网动态的、准确的、快速的获取威胁数据信息,并进行威胁数据的校验、过滤,数据标准化和数据归并,对数据进行去重、去杂、特征提取、关联分析等处理,筛选出高价值的数据信息,并最终存入威胁信息库。网络威胁数据采集的途径可包括政府网站、漏洞数据库、公司网站、行业论坛、社交平台、电子报刊、博客论坛、自媒体等。2. 威胁数据存储和检索利用分布式文件存储系统保存采集到的大量数据,对数据进行分批、压缩、冗余备份等处理,建立数据索引,以提供稳定、高效的数据访问调用方式。3. 针对资产的网络威胁分析通过数据关联,将用户的资产及应用数
