軟件與網(wǎng)絡(luò)態(tài)勢安全研究

尹杰 常力文 陳炳橋 趙敏

摘 要：當今社會，網(wǎng)絡(luò)安全領(lǐng)域是數(shù)字型網(wǎng)絡(luò)社會的研究重點，尤其對當前智慧城市的建設(shè)中，及時預測與監(jiān)測各種網(wǎng)絡(luò)漏洞，來保證各個互聯(lián)網(wǎng)公司系統(tǒng)安全，因此推廣網(wǎng)絡(luò)安全示范是數(shù)字化城市的關(guān)鍵，當前對基于大數(shù)據(jù)技術(shù)的WEB威脅分析態(tài)勢感知平臺創(chuàng)新試點項目，并需要加強安全威脅分析與預警平臺項目建設(shè)中實現(xiàn)落地加以推廣應用。當前安全態(tài)勢感知漏洞還存在許多建設(shè)難點，傳統(tǒng)技術(shù)架構(gòu)無法解決安全運營中的管理 “痛點”。現(xiàn)有技術(shù)架構(gòu)由于缺乏對海量數(shù)據(jù)集中化存儲支撐，造成數(shù)據(jù)碎片化，不利于進行數(shù)據(jù)管理的統(tǒng)一規(guī)劃，此外現(xiàn)有數(shù)據(jù)處理能力無法有效發(fā)現(xiàn)高級、持續(xù)的敏感信息泄露網(wǎng)絡(luò)與業(yè)務操作全局的軌跡。由此需要建立更加高效實用的安全監(jiān)測體系，利用大數(shù)據(jù)平臺及技術(shù)對應對新型安全威脅的感知、識別、分析方法和應用技術(shù)研究，實現(xiàn)數(shù)據(jù)安全、業(yè)務安全的風險監(jiān)測與防御;實現(xiàn)安全數(shù)據(jù)中心（SDC）的管理。

關(guān)鍵詞：WEB威脅;存儲支撐;風險監(jiān)測;SDC

1.結(jié)構(gòu)布局

本文主要設(shè)計了安全態(tài)勢平臺的工作，來實現(xiàn)檢測告警日志的實時報告，安全告警的及時展示功能。設(shè)計系統(tǒng)需要使用大數(shù)據(jù)分析技術(shù)來實現(xiàn)，功能點在于安全告警監(jiān)控與安全告警的處理。

具體操作步驟為首先數(shù)據(jù)的產(chǎn)生也需要使用工具來進行采集，實現(xiàn)結(jié)構(gòu)化的數(shù)據(jù)處理能力，使用flume采集相應的數(shù)據(jù)集，這是一類架構(gòu)簡單以及操作靈活的架構(gòu)，是日志數(shù)據(jù)的收集端，比如通過flume采集nginx日志，之后寫入數(shù)據(jù)處理端kafka（kafka是進行數(shù)據(jù)的緩存，存儲，并進行簡單的處理）應用，然后采用solr來建立索引日志，這是一款性能強大的全文搜索引擎。之后建立zookeeper組件集群，使用zookeeper建設(shè)各種復雜并且易錯率較高的分布式一致性服務封裝起來，構(gòu)成一個安全高效的集群序列，最終實現(xiàn)一系列的簡單易用接口提供給用戶使用，對告警日志進行分類整理操作，判斷安全告警的事件名稱，這類操作主要是通過Hdfs分布式操作來實現(xiàn)，然后實現(xiàn)落地動作操作，最終系統(tǒng)的整體框架就已經(jīng)搭建完成，有用數(shù)據(jù)最終需要存儲在所建立的mysql數(shù)據(jù)庫中，并保證數(shù)據(jù)庫容量，防止數(shù)據(jù)庫范圍太廣造成損失，告警管理：

1）可以看到各種告警，這些告警有的來源于IDS＼WAF等安全日志，也有部分是自行分析的，例如錯誤日志等;

2）搜索支持篩選，選擇高級搜索，支持告警級別，源IP，目的IP，告警時間以及告警狀態(tài)的搜索分析情況，并可以自行進行相應的處置操作;

數(shù)據(jù)流是系統(tǒng)所需要進行識別，篩選的，整個數(shù)據(jù)流包含清洗過濾、標準化、關(guān)聯(lián)補齊、數(shù)據(jù)標簽化以及存儲過程中數(shù)據(jù)在各個階段的格式定義，最后需要對整個數(shù)據(jù)流鉆取處理，存入創(chuàng)建數(shù)據(jù)庫中

2.告警功能與系統(tǒng)設(shè)計

后續(xù)是對安全告警的功能研究，通過對安全事件、日志以及網(wǎng)絡(luò)流量進行檢測，分析出網(wǎng)絡(luò)攻擊、系統(tǒng)攻擊、異常流量等威脅，產(chǎn)生安全告警，本功能以實時和統(tǒng)計的方式對安全告警進行展現(xiàn)。

告警狀態(tài)分為實時告警和歷史告警，經(jīng)過確認或處理后的告警狀態(tài)為歷史告警。而安全告警功能是告警監(jiān)控功能展示內(nèi)外部威脅分析產(chǎn)生的安全告警，會實時顯示對告警進行處理，包括確認、清除、派發(fā)、告警級別調(diào)整;對告警處置狀態(tài)展示，包括未處理等狀況;告警內(nèi)容包含有源IP、目地IP、業(yè)務系統(tǒng)、、事件類型、事件名稱、告警級別等，如下所示告警的字段信息，

time：2019-12-15_13：42：30;danger_degree：1;breaking_sighn：0;event：[50193]某某入侵攻擊件;src_addr：192.168.10.244;src_port：138;dst_addr：192.168.10.255;dst_ port： 138;protocol：UDP.NETBIOSDGM;user：xiaoming.

告警的處置過程需經(jīng)過生成、處理、關(guān)閉等幾個步驟。安全威脅與預警平臺產(chǎn)生告警，需要相應的避免不準確、信息不全、級別較低的告警占用，，同時不斷提升安全告警的準確與精煉.安全告警需要與處置建議條目相關(guān)聯(lián)，需要引用處置建議條目的屬性，存在告警名稱，告警級別，告警類型，相應的描述信息，并且本平臺以及相關(guān)日志生成設(shè)備的產(chǎn)品應具有誤報判斷能力，保證輸出的日志、使事件過濾掉大部分誤報。

所設(shè)計的平臺系統(tǒng)流程步驟如下，安全威脅分析與預警平臺分析產(chǎn)生的安全告警，由安全管理員在線進行告警審核。進行安全告警審核的系統(tǒng)操作時，依據(jù)安全告警、相關(guān)安全資產(chǎn)狀態(tài)等進行相應的處理。選擇告警級別調(diào)整;實時告警經(jīng)過確認或清除，告警狀態(tài)變更為已確認或已清除，同時，告警變更為歷史告警。當操作人員進行告警的日志處理時，可對安全告警信息進行必要的補充，幫助處理人明確告警中描述的威脅、解決目標。在補充階段可以調(diào)整所有的說明性文字、增加附屬文件，調(diào)整屬性，主要任務是對解決方案進行合理修訂，使其可執(zhí)行、可量化指標。完成安全預警的任務處理后，告警狀態(tài)變更為已完成，同時告警變更為歷史告警。

為了保證系統(tǒng)安全運行，防止系統(tǒng)受到外來攻擊、破壞和非法訪問，需要從不同層次并利用多種手段來保證系統(tǒng)的安全。主要包括系統(tǒng)的主機安全、網(wǎng)絡(luò)安全、信息保護、Web應用安全、安全保障以及審計日志等功能。主要通過Java語言來編寫系統(tǒng)分布式模塊，實現(xiàn)告警監(jiān)控的框架搭建，這也是本文所需要實現(xiàn)的難點，這是基于大數(shù)據(jù)進行操作的，需要包括有分布式的消息總線設(shè)計，分布式文件的處理，核心服務組件必須擁有高可用性能力，以保證在特殊情況下的系統(tǒng)穩(wěn)定性和高可用性如下所示為展示的實驗結(jié)果，具體為平臺系統(tǒng)界面的展示，網(wǎng)絡(luò)安全監(jiān)測的實驗效果

最終通過展示效果，發(fā)現(xiàn)了告警類型，具體內(nèi)容，源ip，目的ip，網(wǎng)路攻擊類型統(tǒng)計，展示出安全告警系統(tǒng)模塊的實現(xiàn)。

還需要對搜索模塊的研究設(shè)計，更具體的展示采集的告警日志，首先需要對采集資源的字段標準化，本文設(shè)計的主要安全監(jiān)測字段是EVENT_NAME的字段，這個字段主要記錄采集的告警具體信息，會顯示相應字段的鉆取信息，例如僵尸網(wǎng)絡(luò)，惡意鏈接等，選擇點擊 DST_IP字段，會發(fā)現(xiàn)許多互聯(lián)網(wǎng)IP，相當于一個搜索的條件篩選，將該目的IP的日志搜索出來。

3.結(jié)論分析

網(wǎng)絡(luò)安全的監(jiān)測需要大量日志的收集整理，對安全態(tài)勢行為進行分析，本文完成了日志識別整理，對告警日志的整合分析，具有一定的研究價值。

參考文獻：

[1]劉劍， 蘇璞睿， 楊珉， 和亮， 張源， 朱雪陽， 林惠民. 2018. 軟件與網(wǎng)絡(luò)安全研究綜述[J]. 軟件學報，29（1）：42-68.

[2]韓曉露， 劉云， 張振江， 呂欣， 李陽. 2019. 基于IFS-NARX模型的網(wǎng)絡(luò)安全態(tài)勢預測[J]. 吉林大學學報（工學版），49（2）：592-598.

[3]王禹賀. 2019. 工業(yè)控制網(wǎng)絡(luò)安全評估方法研究[D]. 哈爾濱：哈爾濱理工大學.

[4]趙松. 2019. 基于攻擊圖的網(wǎng)絡(luò)安全度量研究[D]. 西安：西安電子科技大學.

[5]Sahinaslan， Ender. 2019. On the Internet of Things： Security， Threat and Control[J]. AIP Conference Proceedings，2086（1）：030035（1-4）.