多源異構網絡安全檢測評估報告統(tǒng)計分析工具研究與應用

尹君 李寒箬 王海林 向華偉 趙曉平

關鍵詞：多源異構網絡安全；檢測評估；統(tǒng)計工具；分析工具

1引言

為滿足上級監(jiān)管單位的網絡安全合規(guī)管控要求，企業(yè)需要常態(tài)化開展各類安全檢查，針對不同類型的網絡安全風險，往往需要開展多種安全檢查，如面向不安全配置的基線核查，面向已知CVE和CNVD漏洞的主機安全漏洞檢查，面向Web應用系統(tǒng)的Web漏洞檢查。而隨著編碼安全和移動應用安全要求的進一步提高，源代碼安全檢查和移動應用測試也納入了檢查范圍。檢測評估人員須使用多個主流網絡安全廠家生產的漏洞掃描、基線核查等檢測評估工具，人工統(tǒng)計并分析檢測評估工具生成的多源、異構的網絡安全檢測評估報告，成本高、耗時長、易出錯，影響檢測評估的工作質量與交付效率。當前，市面上各類工具報告樣式復雜，有PDF版本的結果，也有HTML格式的結果，統(tǒng)計分析困難，多源異構網絡安全檢測評估報告統(tǒng)計分析工具根據(jù)當前主流使用的網絡安全檢測評估工具的主要類別、主流產品型號，分析檢測評估工具生成報告的文件格式、內容、數(shù)據(jù)類型等。設計源于檢測評估報告指標結果的統(tǒng)計分析數(shù)據(jù)場景。功能支持提取多源異構網絡安全檢測評估報告的內容、按照統(tǒng)計分析數(shù)據(jù)場景給出統(tǒng)計分析結果。完成統(tǒng)計分析工具的入網安評、源代碼安全審計，使其符合公司上線使用的安全標準[1]。

2多源異構網絡安全檢測評估報告統(tǒng)計分析工具研究

本文提供一種多源異構數(shù)據(jù)質量評價的方法，其主要內容有：S1，獲取多源異構海量數(shù)據(jù)，并將其作為評價對象；S2，針對要評價的數(shù)據(jù)集的特征、關聯(lián)業(yè)務和數(shù)據(jù)的歸屬，預先設定多維參數(shù)的數(shù)據(jù)質量準則，并預先設定各數(shù)據(jù)質量規(guī)則的各個維度參數(shù)的評價范圍；S3，利用預設的數(shù)據(jù)品質準則的維數(shù)和重要分量，構造出一套基于該模型的數(shù)據(jù)質量規(guī)則權矩陣；S4，通過計算數(shù)據(jù)質量規(guī)則的通過率，從數(shù)據(jù)的完整性、準確性、一致性等方面進行計算；采用時效性、規(guī)范性等多個維度的方法，分別計算出數(shù)據(jù)質量評價得分，并將其與數(shù)據(jù)質量規(guī)則的權重矩陣相結合，對所有數(shù)據(jù)質量規(guī)則的通過率進行加權求和：對要評價的資料集合進行綜合評價[2]。

在S1中，獲得多源、異構海量數(shù)據(jù)包括以標準化的任務模板對各種數(shù)據(jù)進行快速訪問：通過消息隊列技術，實現(xiàn)了多源異構實時數(shù)據(jù)的采集：利用數(shù)據(jù)總線技術實現(xiàn)多源異構的海量歷史數(shù)據(jù)的采集：將不同來源的資料儲存到記憶體資料庫或平行資料庫中，構成要評價的資料庫[3]。

在S2中，在預置多維參數(shù)數(shù)據(jù)質量規(guī)則時，包含所屬系統(tǒng)重要性、引用次數(shù)、約束類型；規(guī)則的完整性，評價對象的相關性，規(guī)則的重要性。

在S3中，數(shù)據(jù)質量規(guī)則權重矩陣計算式為：

3多源異構網絡安全檢測評估報告統(tǒng)計分析工具研制

3.1安全工具原始報告解析技術研究

原始報告一般為HTML格式，表現(xiàn)為一組HTML格式文件，其中報告根目錄包括總體報告頁面（index. html）、以主機維度的單主機問題頁面（host目錄，根據(jù)掃描對象數(shù)量，每個掃描對象1個html文件，以IP命名）和以漏洞維度的漏洞詳情頁面，如表1所列。

對于一次掃描中存在多個主機的情況，可以對host目錄下每個html文件逐一讀取后按上述單個主機漏洞解析方式即可完成1份原始主機掃描報告的解析與結構化存儲。

3.2多源異構網絡安全檢測評估報告統(tǒng)計分析

在對上述2種類型報告進行解析并形成結構化數(shù)據(jù)后，即可開展統(tǒng)計分析，根據(jù)用戶提供的報告類型，按照時間段查詢測評總體情況，以圖形界面直觀、簡潔地展現(xiàn)當前測試情況。用柱狀圖展示各單位測試類型統(tǒng)計情況。餅圖展示測試類型占比、主機漏洞掃描、Web漏洞掃描、源代碼安全檢查分布情況，移動應用靜態(tài)測試分布情況，操作系統(tǒng)基線掃描不符合項、中間件基線掃描不符合項、數(shù)據(jù)庫基線掃描不符合項、各單位測試情況、各系統(tǒng)測試情況相關數(shù)據(jù)。相關指標如表2所列。

根據(jù)具體工作需求，依托結構化的多源異構網絡安全檢測評估報告數(shù)據(jù)，可以按照模板生成相應的docx格式的總體報告。

4結束語

多源異構網絡安全檢測評估報告統(tǒng)計分析工具采用高度封裝集成的軟件設計思路，基于Python語言開發(fā)，并進行打包操作，使用sqlite存儲解析后的結構化數(shù)據(jù)，實現(xiàn)了開箱即用。目前，工具原型使用命令行方式運行，用戶可根據(jù)提示將對應報告放人相應的目錄下，實現(xiàn)原始報告的解析和匯總報告的生成，以圖形化的方式實現(xiàn)各類檢查結果的統(tǒng)計匯總，為網絡安全測試人員和管理人員提供了極大便利。