许可

摘 要：随着校园信息化和智慧化建设的推进，校园网络及内部资产设备面临的安全风险日益增多。为了完善高校的网络安全管理和运营，本文基于WAF防火墙、交换机和服务器的事件信息，研究建立了统一的可视化网络安全态势感知平台，加强了网络主动防御机制，为实时分析网络攻击行为和网络安全运营的协同管理和决策提供了可靠的技术参考。

关键词：高职院校 安全态势感知 安全运营中心 网络安全管理

中图分类号：TP393.08-4 文献标识码：A 文章編号：1672-3791（2018）08（c）-0007-02

随着高等职业院校校园数字化建设的推进，当前校园网络的体系更加复杂，主要表现为网络安全威胁多样化、安全防护范围的扩大化和安全边界模糊，使得面临的网络安全风险也逐渐增多。根据《网络安全法》中网络安全等级保护制度的要求，高校需要加强安全防御的主动性、准确性和网络攻击定位效率，应该根据高校业务、应用和流程的特点，研究定制主动安全防御体系和感知网络安全态势[1]，实现网络风险评估的可视化，帮助高校认清网络威胁环境的变化，掌控网络风险发展趋势，为高校网络安全的管理运营提供了决策支持。

1 系统设计

1.1 功能设计

网络态势感知系统通过采集WAF防火墙、交换机等网络设备和安全设备的事件信息，分析识别关键事件信息，对网络安全态势进行智能评估和可视化展示。系统主要功能如图1所示，要求系统支持独立部署和分布式部署。

1.2 系统架构

如图2所示，该网络安全态势感知系统由事件采集代理、事件采集服务器、事件处理服务器、安全运营中心服务器和数据库服务器组成。

事件采集代理（Event Collection Agent，ECA）是安装在关键资产服务器操作系统里的消息事件代理客户端软件，负责采集重要系统的应用服务器关键日志信息或者关键资产服务器的Windows系统事件信息，并将采集的信息日志发送给ECS。事件采集服务器（Event Collection Server，ECS）用于采集网络设备（如交换机）、网络安全设备等硬件资产的日志信息或数据库系统的数据，并对数据进行去重、数据归一化等预处理，然后将预处理后的数据传送至EMC。事件处理服务器（Event Mangement Sever，EMC）是数据处理中心，通过聚类分析、关联分析、分类处理等数据挖掘技术，对消息事件进行分析处理，并识别资产的网络安全风险，完成数据入库并将实时信息发送至SOC。安全运营中心（Security Operation Center，SOC）是整个安全态势感知系统的控制管理模块，主要包括资产管理、网络管理、风险管理、风险预警管理、报表管理、报警管理和系统管理等功能，是供网络管理人员监控校园网络安全实时状况的态势感知系统。数据库服务器（DataBase Server，DBS）存储预处理后的原始数据、经过EMC后的各类数据、资产信息、用户数据、事件信息等系统的各类数据，并具备关键数据的备份功能。

2 系统实现

网络安全态势感知将网络安全设备、交换机、应用系统日志和关键资产服务器的Windows系统事件信息等数据作为数据源，主要通过SYSLOG方式、Agent代理采集和数据库管理系统（DBMS）配置等途径采集数据。

（1）SYSLOG方式。SYSLOG可以对防火墙、交换机、路由器和系统服务器等设备进行相应配置，采用UDP协议向指定服务器发送事件信息。该态势感知系统通过对学校校园网络已经配置的深信服的WAF防火墙和华三交换机进行配置，向ECS传输事件信息，为态势感知系统提供数据源。

（2）Agent代理采集。该方式通过在操作系统部署Agent代理扫描采集操作系统日志文件和IIS服务器日志文件，并将相关事件信息数据发送至指定服务器。该系统通过Agent代理提取包括log、txt、html等文件格式的日志信息，并发送至ECS，为态势感知系统分析关键资产设备和应用系统的运行情况提供日志数据。

（3）DBMS配置方式的采集。该方法通过数据库管理员对DBMS的事件信息和日志进行配置，实现对重要应用系统的数据库的关键事件信息的获取。本文通过ECS采用轮询的方式进行数据提取，为态势感知系统、了解应用系统访问和操作情况提供了数据基础。

3 态势感知关键技术分析

该系统安全态势分析的关键技术主要包括安全评估、态势评估、预警与响应和态势可视化等内容。

（1）安全评估。安全评估主要是通过EMS基于ECS预处理后的事件信息识别事件类型、并采用聚类分析、分类处理等数据处理方法，对消息事件进行分析处理，并识别资产的网络安全风险。同时，通过将Agent代理采集的服务器漏洞信息与已知的安全漏洞进行对比，识别其中存在安全隐患的服务器和漏洞信息，实现识别有安全风险的服务器，生成修复报告和处理意见，并通过可视化技术将攻击源的物理位置标注出来。

（2）态势评估。态势评估主要是通过数据挖掘和数据融合技术分析识别事件信息的时序特征、因果关系和不确定性，形成网络协同布防报告，为网络安全管理人员识别网络态势和网络安全处理措施的决策提供技术参考。本文主要采用包括关联分析、聚类分析、序列模式分析和安全阈值特征值设置[2]等数据挖掘技术对网络态势的时序性和因果性进行评估，并采用贝叶斯网络和D-S证据推理技术对具有相似性或不同特征的攻击行为数据进行融合集成[3]，然后建模分析，为识别具有不确定信息的攻击行为提供技术参考。

（3）预警与响应。预警主要是系统基于安全评估和态势评估的结果对确定的实时攻击行为，将预警结果显示在网络安全态势监控图中，并通过实时消息和语音报警的技术在态势感知系统进行实时反馈或提示，同时，提供响应处理的建议，便于安全运营管理员快速及时地处理漏洞和安全风险，或采取具有针对性的处理措施。

（4）态势可视化。态势可视化是指态势感知系统能够存储安全评估和态势评估的数据结果，并通过信息技术将网络态势实时监控、攻击路径分析、资产管理、网络管理、风险管理、风险预警管理、报表管理、报警管理和系统管理等功能可视化。

4 开发工具

该系统的采用C/S和B/S两种开发模式，其中事件采集代理Agent是Windows服务、事件采集服务器和事件处理服务器是C/S模式的客户端，安全运营中心服务器是B/S模式的WEB网站，并采用Visual Studio 2013集成开发环境使用.NET开发实现，数据库采用SQL Server 2012，图标插件采用Echarts 4.2。其中，C/S采用WPF的设计模式，B/S采用MVC的设计模式实现。

5 结语

本文通过融合防火墙、交换机、服务器和应用系统等资产的关键事件信息，研究建立了统一的面向高等职业院校的可视化网络安全态势感知平台，为学校的网络安全管理员实时分析网络攻击行为和网络安全运营决策提供了技术参考，也为高等职业院校的网络安全运营的协同管理和网络主动防御提供了一种新思路。网络安全态势感知分析技术是基于关键事件信息对网络安全主动防御的先进技术，如何对多源数据进行融合，并更快、更精确地进行数据分析是未来的重点研究内容。

参考文献

[1] 高薇，许浩，宁玉文，等.基于安全态势感知平台的高校网络SOC研究——以第四军医大学为例[J].计算机技术与发展，2018（1）：150-154.

[2] Zhao D， Liu J. Study on Network Security Situation Awareness based on Particle Swarm Optimization Algorithm[J].Computers & Industrial Engineeri-ng，2018，125（11）：764-775.

[3] 刘效武，王慧强，禹继国，等.基于多源融合的网络安全态势感知模型[J].解放军理工大学学报：自然科学版， 2012，13（4）：403-407.