珠江委网络安全态势感知平台设计与应用

杨志琼，牟 舵

（水利部珠江水利委员会珠江水利综合技术中心，广东 广州 510611）

0 引言

态势感知是指“在一定时间和空间范围内，认知理解环境因素，并对未来的发展趋势进行预测”[1]。2016年4月19日，习近平总书记在全国网络安全和信息化工作座谈会上提出：“要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力”[2]。2019年5月出台的等保 2.0 技术标准，提出了“IATF + P2DR”理论体系，构建以网络态势感知为核心的网络安全动态防御体系[3]。

珠江水利委员会（以下简称珠江委）地处粤港澳大湾区、环北部湾经济带核心区位，是我国改革开放的前沿阵地，历年来都是境外敌对势力的攻击重点，因此，在珠江委开展网络安全态势感知平台的研究与应用，对准确研判珠江委网内安全态势，进一步提高珠江委网络安全的监测预警、主动防御和应急响应能力，保障关键信息基础设施正常运行具有重要意义。

1 珠江委网络安全防护的短板

在近几年公安部、水利部组织的攻防演练和演习中可以发现，珠江委在网络安全防护上仍有短板，主要体现在攻击行为溯源难度较大、网络安全监测预警能力薄弱和自动化防御能力不足 3 个方面。

1.1 攻击行为溯源难度较大

珠江委网内部署防火墙、入侵检测等多种安全设备，出现攻击行为时，将会产生海量的安全日志，安全人员通过人工筛查安全日志无法对攻击行为进行追踪溯源，很难采取有针对性的安全防护手段。

1.2 主动监测预警能力薄弱

在网络安全监测预警方面，珠江委缺乏主动监测预警有效手段，检查工作多数以人工方式进行，效率较低且难以全面掌握网内潜在风险，难以从“被动防护”向“主动防护”转变，安全处理依然很被动。

1.3 漏洞处置自动化程度不高

珠江委近年来在各类演练中虽然成功防御了重要目标系统，但网内也依然存在弱口令、暴力破解、任意文件上传等危险漏洞，而且漏洞多数靠人工进行处置，自动化率较低，基本无法抵御大规模的网络安全攻击行为。

2 珠江委网络安全态势感知需求分析

为实现对网内安全态势的透彻感知，深度还原网络攻击行为，需要分析主要功能需求，打造集全流量数据采集与分析、攻击行为重塑及自动告警等功能于一体的网络安全态势感知平台。

2.1 全流量数据采集与分析

数据资源是珠江委网络安全态势感知体系发挥效益的基础，因此，需要对网内关键节点的数据流量、系统日志等各类数据进行全流量采集与处理。网络安全态势感知平台通过端口匹配、流量特征监测和行为特征分析等检测技术，对网内存在的各类风险和攻击行为进行检测，生成的威胁日志为网内风险排查及网络安全事件追踪溯源提供数据支撑。

2.2 攻击行为重塑

攻击行为重塑是珠江委网络安全态势感知平台对安全事件追踪溯源、还原攻击行为的重要功能。网络安全态势感知平台通过事件关联等技术对碎片化的各类安全数据进行重组，实现整个攻击过程的还原。安全运维人员通过攻击行为的重塑、本地系统日志并融合外部情报等方式，可掌握整个攻击行为全貌，从而制定有针对性的防护手段。

2.3 自动告警

自动告警是珠江委网络安全态势感知体系发挥主动防护的重要环节。当网内出现安全事件时，网络安全态势感知平台应能通过图像、音频、短信等措施第一时间向安全运维人员发出告警。通过告警信息，安全运维人员可采取阻断有害连接、封堵终端 IP 等手段，及时处理安全事件。

2.4 脆弱性分析

近年来珠江委信息化建设不断取得新突破，网内新上线的各类网络设备、服务器、安全设备逐步增多，网络结构日趋复杂，相应的网内风险点也会同步增多，网内更易出现安全问题。态势感知平台需要能够结合资产信息对漏洞隐患进行分析，并对网内脆弱性的分布、趋势、处置时间进行统计分析。

3 珠江委网络安全态势感知关键技术

为确保网络安全态势感知平台能够实时、准确地显示珠江委整个网络安全态势状况，全面呈现网内潜在风险，实现网络安全防控风险关口前移，涉及许多相关的技术问题，主要包括数据融合、事件关联、威胁情报、态势预测及可视化等技术。

3.1 数据融合技术

数据融合是在特定空间内利用尽可能多的多源异构数据进行综合处理，从而实现对一类事件的准确识别与判断[4]。水利网络内的多源异构网络安全数据状态差异较大，数据的格式、内容、字段均有差异，随着网络规模的扩大，这种差异会更为明显。网络安全态势感知平台通过数据融合技术将采集的多源异构数据进行归一化融合，并从中提取 1 个特征矢量，平台根据特征矢量做出属性判决，从而判断网络内存在的潜在风险。采用数据融合技术不仅减少了数据传递的工作量，还为网络安全态势感知平台提供海量的数据资源。

3.2 事件关联技术

采用事件关联技术，网络安全态势感知平台可对采集到的多个安全日志进行关联分析，实现网络攻击行为重塑，为事件处置、责任追究等措施提供支持。目前主流的事件关联技术包括基于规则、情境和行为的关联分析方法。网络安全态势感知平台采用设备报警的关联分析方法，该类方法基于海量的设备日志、告警数据，采用大数据处理技术，过滤与系统无关的虚假和冗余安全事件，理清事件之间的相似、因果等关系，对事件进行聚合处理，实现更准确的安全报警。

3.3 态势预测技术

预测是指对事物或现象将要发生的或目前不明确的情况进行预先估计和推测的一种活动[5]。态势预测就是根据网络安全威胁发展变化的实际数据和历史资料，运用科学的理论、方法，各种经验、判断、知识，去推测、估计、分析其在未来一定时期内可能的变化情况，该技术可辅助安全运维人员对网络内未来一定时期的安全态势进行预测[6-7]。网络安全态势感知平台采用数据熵预测模型进行网内安全态势预测，对采集到的大量事件进行源和目的地址熵的计算，同时也计算出源、目的地址熵每个时间点的基线值。利用 EWMA（指数加权移动平均）算法，将当前时刻的熵值与学习期间的熵值进行比对，判断不同区域的地址熵数据是否异常。通过数据熵预测模型，预测网络风险发生类型、危害程度、影响范围及发展趋势。

3.4 可视化技术

可视化技术是利用计算机图形学和图像处理技术，将数据转换成图形或图像在屏幕上显示出来，并进行交互处理的理论、方法和技术[8]。网络安全态势感知平台主要采用的图形有网格图、矩阵图、点阵图、柱状图等，分析过程中常用到统计分析及大规模网络与图形数据处理等方法。在平台分析的每个阶段都充分利用可视化方法，将整体网络安全态势形成一个整体的网络安全态势图，辅助安全运维人员迅速定位网内潜在威胁。

4 珠江委网络安全态势感知平台设计

4.1 平台概述

珠江委网络安全态势感知平台实现的具体方法是：通过在网内的互联网区、业务应用区、终端区、安全管理区等安全区域部署的流量探针，对各区域进行全流量采集，实现包括 TCP 会话、HTTP头部信息及事务、登录行为等日志在内的全数据收集。网络安全态势感知平台根据数据的采集结果，对有价值的数据进行加工存储，融合第三方安全公司、互联网安全应急中心、中共中央网络安全和信息化委员会办公室（以下简称网信办）、水利部信息中心等机构的多方面情报，基于内置的相关模型算法进行关联分析，最终形成可视化界面进行数据展示。网络安全态势感知平台将根据网络现状，结合网络安全监测需要，从资产管理、风险感知、预警管理多个维度对网络的安全状态进行监测和分析，为水利行业有关单位的运维人员提供整体的网络安全态势信息，主要技术路线如图 1 所示。

图1 网络安全态势感知平台技术路线示意图

4.2 平台架构设计

珠江委网络安全态势感知平台分为数据采集、存储分析、核心业务和 BI 展示 4 个层次，架构图如图 2 所示。

图2 网络安全态势感知平台架构图

4 个层次分析如下：

1）数据采集层。利用流量探针，对网内各区域的网络、安全等设备的日志数据进行全面采集，并共享网信办、水利部信息中心等单位的威胁情报。

2）存储分析层。利用平台内置的各种模型算法，对采集的数据进行转换、存储和分析。

3）核心业务层。主要包括资产管理、风险感知、预警管理等功能。

4）BI 展示层。对网内整体安全态势、安全预警、失陷风险等多维度的安全态势信息进行专题展示。

4.3 平台功能设计

珠江委网络安全态势感知平台主要包括资产管理、风险感知、预警管理和安全态势信息专题展示等功能模块。

4.3.1 资产管理

资产管理模块将自动收集网络中各类 IP 资产开放端口、协议、服务、应用、版本、厂商等信息，辅助通过手工导入的方式获取网内资产数据，基于大数据的分类检索和统计技术，实现网内资产的发现、管理、变更比对、风险分析、信息整合等基本功能，从而使网络安全治理过程达到自动化、标准化、持续化、可视化。安全运维人员利用该模块，一方面可全面掌握网络内部的变化情况，对 IT 资产的存活、新增等情况及时进行监测和跟踪；另一方面，可对网内 IT 资产存在的潜在威胁进行快速预警，对高危漏洞进行准确检测。

4.3.2 风险感知

风险感知模块通过态势预测、数据融合等技术发现潜在的或已经发生的网络威胁事件并发出预警，以便采取有效的防护措施。安全运维人员通过该模块，可实时掌握分布于不同网段的威胁告警数据，并及时做出应对。主要包括以下 3 个功能：

1）溯源分析。溯源分析是针对安全事件，进行IP 回溯分析的流程，溯源分析通过源和目的 IP 进行判断，通过调查轨迹逐步定位到攻击者所处位置。

2）关联分析。采用数据融合技术能够实时地对采集到的不同类型的信息进行归一化和实时关联分析，重塑网络攻击行为，并通过统一的控制台界面实现实时、可视化的呈现，协助安全管理人员迅速准确地识别有价值的安全事件。

3）威胁预警分析。采用基于数据熵预测模型的态势预测技术，对网络上已经发生的或可能要发生的网络攻击事件进行有效、合理的分析，及时发现网内威胁倾向，并发出威胁预警。

4.3.3 预警管理

预警管理模块通过获取风险感知子系统发现的安全事件、安全威胁、漏洞等威胁信息，结合威胁情报信息进行深入分析，形成有效的安全预警信息，并及时通知安全运维人员。当发现威胁信息后，安全监测人员可利用预警管理模块对威胁信息进行分析研判，并根据研判结果进行相应的处置。主要实现以下 3 种预警管理：

1）风险预警。风险预警体现珠江委网络内未被处置的安全威胁信息的风险评估结果，因此风险统计依据是所有的未处置完成的告警信息，可直观地反映统计时间点未完成事件工单的风险状态。

2）安全威胁预警。安全威胁预警是针对珠江委网络上可能要发生的网络攻击事件进行的检测及告警，通过使用各种有效的方式分析不同安全设备采集的网络安全事件，预测网络安全态势和攻击事件。主要以全流量采集与分析技术为源数据采集方法，并结合安全设备日志预测潜在的或已经发生的网络威胁事件并发出预警，以便采取有效的防护措施。安全威胁预警对采集的告警数据进行全面分析，发现潜在威胁，并给出威胁预警。

3）安全事件预警。安全事件预警是利用部署在网内的探针获取安全信息，结合相应的分析模型，对珠江委网络内已经发现的安全事件进行准确的感知和预警。安全事件预警以威胁检测技术获取的数据为源数据，结合安全攻防人员对技战法的研发，对已经发现的安全事件进行感知并及时发出预警，以便采取有效的防护措施。常见的安全事件有暴力破解、同一源向外部发送大量邮件、检测到隐藏在本地的 FTP（文件传输协议）服务器等。

4.3.4 安全态势信息专题展示

安全态势信息专题展示模块利用可视化技术，将网内的整体安全状况、安全预警、外联风险和横向威胁等多维度的安全态势信息进行专题展示，将抽象的网络和系统数据进行可视化呈现，辅助安全运维人员快速掌握网络安全事件发展趋势。

5 珠江委网络安全态势感知平台应用

2021年，珠江委作为协同防守方参加公安部组织的网络安全攻防演习。演习期间，珠江委依托网络安全态势感知平台开展网内风险排查、事件分析、安全监测、安全预警等工作，建立了事先梳理、风险感知、安全监测、事件分析、事件处置的主动防御体系。演习期间，平台日均监测境内外疑似攻击行为 1 万起以上，恶意 IP 300 条以上，通过对监测发现的疑似网络攻击事件、异常网络流量、病毒木马程序等情况进行综合分析研判，安全运维人员根据相关告警信息完成应急处置，整个演习期间珠江委未出现重要信息系统被攻破的情况。

5.1 安全监测能力显著提高

珠江委网络安全态势感知平台的引入使珠江委网络安全防护能力得到明显增强。本次演习，安全运维人员充分利用平台的风险感知、预警管理等功能，基本实现了对整个珠江水利网网络安全态势的精准研判，为下一步安全事件处置打好了基础。同时，通过与漏洞扫描、下一代防火墙、APT（高级持续威胁）预警平台等工具协同使用，基本形成了网内风险排查、感知、分析、处置全过程闭环管理机制，取得了较好的应用效果。

5.2 主动防御能力明显提升

通过珠江委网络安全态势感知平台的使用，安全运维人员可第一时间定位网内存在的潜在风险点，及时采取关闭相应端口、封堵 IP、调整系统访问策略等加固措施，避免了风险进一步扩大。基本实现了防护手段由传统的事中单点处理向事前持续预警、事中协同响应和事后回溯优化转变，有效提升了珠江委网络安全的主动防御能力。

5.3 重要信息系统均未失陷

演习期间，珠江委关键信息基础设施、等保三级应用系统、水利工程控制系统、门户网站、综合办公系统、外网电子邮件系统、带有“国家、水利部或者珠江”名称的业务系统和面向互联网提供服务的应用系统（包括微信公众号）等应用均未发生被攻陷情况，各业务应用系统运行情况良好。

6 结语

网络安全态势感知平台在珠江委网络安全防护中的具体实践表明：平台解决了攻击行为重塑、安全威胁预警等问题，能够更好地辅助网络安全防护的日常工作。但目前网络安全态势感知平台尚未完全实现平台与硬件设备的实时联动，在关闭端口、封堵 IP 等方面仍未全面实现自动化，今后仍需进一步研究。

网络安全态势感知平台的使用，显著提高了网络安全主动防护水平，对降低安全运维人员工作强度，提升网内安全态势研判准确性等方面有重要实用意义。

下一步要在水利行业内加快推进网络态势感知技术的应用，打造全国水利网络安全防护一盘棋，为新发展阶段的水利行业高质量发展保驾护航。