呼亚杰

研究论文

农业农村部网络安全态势感知监测分析平台设计与实现

呼亚杰

农业农村部信息中心，北京 100125

为了做好网络安全防护，消除潜在风险隐患，保障网络基础设施和信息系统安全稳定运行，文章作者探索通过建设农业农村部网络安全态势感知监测分析平台，实现农业农村部网络安全态势感知、流量异常监测、事件安全预警、攻击追踪溯源、全景可视化展示等，有效应对各类网络安全挑战。农业农村部网络安全态势感知监测分析平台依托大数据技术、机器学习算法，进行全局网络安全态势评估、威胁异常排除、攻击事件处置，从而提升网络安全防护能力，实现了安全设备告警、网络及服务器日志、全网关键节点流量数据、管理数据等多源异构网络安全数据标准化；实现了集网络入侵、横向威胁、攻击者追踪溯源、资产威胁和应用安全等为一体的全局网络安全态势感知；实现了网络安全状况、攻击监测处置等全流程安全防御可视化展示；实现了全网络安全防御一体化，有力保障了业务系统的正常运行，有效防范了病毒木马等造成的破坏活动，极大提高了重大网络安全事件的快速发现和应急处置能力，为网络安全防护提供了高效的防护手段。通过农业农村部网络安全态势感知监测分析平台建设，为网络安全数据治理、一体化安全监测防御探索出了一条可复制可推广的有效路径，其建设思路为省级农业农村部门提供了实践参考。

网络安全；态势感知；数据治理；网络安全防护

1 引言

态势感知是指在特定时间和空间内提取系统要素，理解其含义并预测其可能产生的影响[1]，其概念源自于空中交通管制[2]。BASS首次提出网络态势感知的概念，并将其引入到网络安全领域[3]。网络安全态势感知技术能够对安全要素进行获取、理解和预测，是确保网络安全的一种重要手段[4]。随着互联网的快速发展，网络空间已经成为继陆、海、空、天之后的第五大战略空间，是影响国家安全、社会稳定、经济发展和文化传播的核心、关键和基础[5]。然而，网络在给人类带来便利的同时，也带来了诸多隐患。近年来，国内外网络安全事件频发，诸如：数据泄露、勒索软件和病毒木马等各类事件层出不穷，给国家安全和社会稳定造成了前所未有的冲击，网络空间安全形势日趋严峻。随着我国农业的国际地位和影响力快速提升，境外敌对势力、黑客组织和网上不法分子也加大了对我国农业农村部门的关注，农业农村部系统网络基础设施和重要业务系统已成为黑客组织的重要攻击对象之一。

2 农业农村部网络安全现状

据调查，农业农村部各司局单位多年来在政务外网共建设396个应用系统，265个网站，信息系统呈现点多面广的分散状态[6]，且早年各单位信息化水平不一[7]，应用系统建设大多围绕业务工作开展，对网络安全工作部署情况参差不齐。传统的网络安全防护主要依靠防火墙、入侵检测等进行被动防御，主动发现潜在攻击的能力不足，仅依靠边界防护无法应对新形势下的网络安全防护要求。网络安全设备日志、告警等信息不集中，不利于进行综合分析和科学研判，给网络安全埋下了隐患。网络安全集中化管理、体系化防御有待提高，重大网络安全事件的快速发现和应急处置能力不足。

3 平台建设情况

3.1 建设目标

文章通过建设农业农村网络安全态势感知监测分析平台，主要实现以下目标：一是网络安全资源有效整合；二是全方位网络安全态势感知；三是网络安全威胁实时监测；四是网络安全事件及时处置。

3.2 建设内容

建设农业农村部网络安全态势感知监测分析平台主要包括4方面工作。一是全方位数据采集。对网络中已部署的安全设备、网络设备、服务器及重要应用的安全日志数据进行采集；对全网关键节点流量数据进行采集；对资产类数据、管理类数据及外部威胁情报数据、监测共享数据动态接入。二是多源异构数据标准化。通过提取、清洗、关联、比对等技术手段，将多源异构数据统一格式，去重合并、日志泛化、结构化处理等，提高数据质量、强化数据标识，建立数据间的深层联系。三是全方位网络安全态势感知和威胁监测。利用数据挖掘技术对多源异构数据进行解析、聚合和挖掘；利用安全模型对事件场景进行检测，为业务安全提供全面态势分析和可视化展示；基于行为算法模型，精准识别各类潜在威胁攻击，为研判、决策及重要时期的网络安全保障工作提供支撑。四是安全事件应急处置。通过大数据态势感知监测分析平台，实时监测接入单位的网络安全状态，针对攻击事件第一时间发出通报预警，并进行快速反应处置。平台功能架构如图1所示。

图1 平台功能架构

3.3 建设方法

平台采用B/S架构进行搭建，对开源组件进行封装和增强，使用Manager系统提供集群管理的高可靠性、安全性、容错性和易用性。使用Hadoop分布式文件系统，提高数据访问吞吐量。使用MySQL关系型数据库进行元数据存储。使用Vue提供图形化用户Web界面展示。使用Java、Python等进行模块的设计、开发和封装等。主要功能模块如图2所示。

平台采用两级部署方式，如图3所示。

4 平台主要功能模块介绍

4.1 数据采集

4.1.1 流量采集

流量采集由流量探针完成，通过对网络协议解析还原，特征识别等实现流量中威胁信息检测。检测类型包括漏洞利用、webshell攻击、木马与间谍软件、恶意文件和异常报文等。

4.1.2 日志采集

日志采集有两种方式，一是通过网络日志流量探针进行主动采集，二是接收各种安全设备、网络设备及服务器等同步的日志信息进行被动采集。

4.1.3 其他信息采集

主要包括安全设备告警、设备资产、管理类采集功能，行业安全管理部门通报、市场漏洞特征库、病毒特征库等外部信息录入功能。如图4所示。

4.2 数据处理与存储

4.2. 1 数据处理

对信息不同来源，表达内容相同的日志、流量等数据进行去重合并、剔除冗余；对不同格式的日志、流量等数据进行标准化处理，统一格式；对离散化数据信息进行结构化整合。

图 2 平台主要功能模块

图3 平台部署架构

图4 数据采集流转

4.2.2 数据储存

将数据进行分类存储，采用Elasticsearch建立数据全文检索库，实现查询式数据分析和类百度式数据搜索功能，采用Hadoop平台存储分类数据并支撑各类分析引擎，为安全事件追踪溯源提供数据支撑。

4.3 数据分析

4.3.1 数据统计分析

按照各类告警、日志信息来源、规模及其响应级别，通过统计分析找出现有防御的薄弱环节，攻击者易于得手的攻击路径和遭受攻击后的影响范围，进行网络安全防御力量的动态调整。

4.3.2 数据挖掘分析

使用GBM决策树、无监督聚类等机器学习算法，对多维信息和多源数据进行数据挖掘分析，通过对网络异常事件横向、纵向挖掘，及时主动发现潜在攻击隐患，不断提高异常事件捕捉灵敏度，对威胁攻击做出精准预判，进行高效防御。

4.4 态势感知

4.4.1 网络攻击态势

动态可视化展示来自全世界不同地区的攻击源对农业农村部网络基础设施和信息系统的威胁情况，实时监控境内外攻击源的地域分布和国家排行，掌握各攻击链的威胁变化趋势及最新外部攻击情况。

4.4.2 横向威胁态势

动态可视化展示网络基础设施和信息系统之间违规操作及病毒传播路径，实时监控跨安全域和跨业务系统的访问情况，通过自由布局和圆形布局多种形式直观查看资产之间的威胁关系，及时发现并制止违规资产对内部环境造成的破坏。

4.4.3 应用安全态势

动态可视化展示应用服务的被访问状态和受攻击情况及网站区域访问量，访问地区排行，攻击网站排行，攻击类型排行，网站访问和攻击变化趋势等。

4.4.4 资产威胁态势

动态可视化展示资产和其他资产间的联系，当前资产的被攻击行为、攻击手段、攻击强度、当前状态、攻击影响范围等。

以农业农村部总体网络攻击态势为例，可视化展示如图5所示。

图5 网络攻击态势

4.5 威胁感知

4.5.1 安全事件威胁感知

实时监测攻击者和不法分子的攻击活动，支持各类告警事件、漏洞事件、资产事件、网站威胁事件以及平台自身事件的发现与识别，通过数据挖掘找出潜在威胁对象并进行可视化展示。

4.5.2 高危事件调查取证

对攻击事件的完整攻击链进行回溯，将系统日志、告警信息、漏洞信息、关联事件等进行综合分析，从攻击者视角出发，对其在时间维度上的破坏行为进行可视化，留存详细的攻击证据。

4.5.3 用户行为威胁感知

对指定应用系统进行流量监测，实时展示用户操作行为，识别可疑和违规操作，可提供用户行为倾向、访问资源分布等，用户异常行为包括访问频次超限、权限异常提升、违规访问和下载等。

以暴力破解事件威胁感知为例，可视化展示如图6所示。

4.6 安全事件溯源

4.6.1 攻击过程还原

对攻击事件进行深度分析，全量还原攻击路径，包括攻击次数、攻击手法等关键信息，将告警信息转换成有序的攻击链予以展示，支持攻击过程回放，真实还原攻击细节。

4.6.2 攻击溯源画像

最大化收集攻击者信息，分析攻击者内网横向移动影响，形成集攻击工具、攻击特征、遭受攻击资产范围等信息为一体的内网攻击图谱，建立攻击者档案，完成攻击者画像。如图7所示。

4.7 其他功能

除上述功能外，平台还具有数据检索、资产管理、等保管理、绩效考核、应急响应、系统管理等功能。

5 结果与讨论

通过建设农业农村部网络安全态势感知监测分析平台，实现了网络安全要素的有效整合，网络安全资源的充分利用，网络安全事件的发现能力和处置效率得到显著提高。据统计，自平台上线以来，第一时间监测发现并妥善处置网络安全事件44类共计214起，为128个应用系统、10个网站清除了安全隐患，极大地降低了安全事件的横向破坏能力。农业农村部网络安全一体化监测防御体系建设逐步实现。

5.1 网络安全要素集中化

农业农村部网络安全态势感知监测平台集中接入核心网络节点12种18台安全设备，4种16台网络设备，日均信息量800余万条，已经累计汇聚59.7亿，资产信息、漏洞信息持续更新，目前数据存储量已累计达到2.9T。农业农村部网络安全态势感知监测平台已然成为一个网络安全数据管理中心，网络安全设备管理中心，信息系统资产管理中心。网络安全要素的集中管理，大大提升了农业农村部的网络安全可控能力。

图7 攻击溯源画像

5.2 网络安全感知可视化

以网络攻击视角，将外部威胁、内部横向转移、资产风险态势、重要应用安全等不同场景、不同对象遭受的攻击类型、攻击来源、攻击频次、攻击路径和攻击趋势等进行直观地可视化展示，以大数据技术全面、透彻地分析评估攻击造成的影响和攻击态势的演化，极大地提高了网络安全监测预警能力和应对重大网络安全事件的快速发现能力，为辅助决策提供了直观可视化的支撑保障。

5.3 网络安全防御一体化

平台整合核心网络节点的关键网络及安全设备资源，联合部机关一级平台和直属单位二级平台，依托大数据分析技术进行一体化防御。针对安全事件进行联动处置，形成局部遭受攻击，整体不受影响，一点遭受攻击，全网进行预防的局面。一体化防御机制有效地阻断了网络攻击行为，显著地降低了安全事件的影响范围，极大地保障了数据和业务系统安全。随着边界设备的全面接入，网络威胁监测研判规则的不断优化，预警灵敏度的进一步提高，一体化防御机制正逐步从辅助决策走向智能化防护。

6 展望

文章以农业农村部网络安全防御为目的，开展全要素、全流量网络安全态势感知监测分析平台建设和实践，在实际的网络安全监测防护中取得了良好的效果，但也暴露了一些问题，比如：二级平台使用频率不高等。网络安全工作是一项复杂的系统工程，农业农村网络安全工作更是加快建设农业强国的重要组成部分。农业农村部网络安全态势感知监测分析平台是强化网络安全保障体系建设的落地和实践，需要在以后的工作中进一步地完善和推广，更好地发挥其在网络安全态势感知、安全事件威胁监测和攻击行为智能防御中的突出作用，为农业农村信息化事业发展筑牢安全屏障、为数字乡村建设保驾护航。

[1] 龚俭,臧小东,苏琪,等. 网络安全态势感知综述[J]. 软件学报,2017,28(4): 1010-1026.

Gong J, Zhang X D, Su Q, et al. Survey of network security situation awareness[J]. Journal of Software, 2017, 28(4): 1010-1026.

[2] Nolan M S. Fundamentals of air traffic control[J]. Delmar Cengage Learning, 1990, 2(2):859-863.

[3] Bass T. Intrusion detection systems and multisensor data fusion: Creating cyberspace situational awareness[J]. Communications of the ACM, 2000, 43(4):99-105.

[4] 谷晓鹏 . 面向威胁信息的网络安全态势感知研究[J]. 现代计算机,2022,28(19):57-62．

Gu X P. Research on network security situation awareness oriented to threat information[J]. Modern Computer, 2022, 28(19): 57-62.

[5] 李建华. 网络空间威胁情报感知、共享与分析技术综述[J]. 网络与信息安全学报, 2016,2(2):16-29.

Li J H. Overview of the technologies of threat intelligence sensing, sharing and analysis in Cyberspace[J]. Chinese Journal of Network and Information Security, 2016,2(2):16-29.

[6] 梁栋, 呼亚杰,唐文凤 . 农业农村部政务信息资源共享服务系统设计与实现[J]. 中国农业信息,2020,32(4):50-58.

Liang D, Hu Y J, Tang W F. Design and implementation of government information resources sharing service system of the Ministry of Agriculture and Rural Affairs[J]. China Agricultural Informatics,2020,32(4):50-58.

[7] 张燏. 农业农村部政务服务平台建设探索与实践[J]. 中国农业信息,2020,32(2):76-82.

Zhang Y. Exploration and practice on the construction of government affairs service platform of the Ministry of Agriculture and Rural Affairs [J]. China Agricultural Informatics, 2020, 32(2): 76-82.

Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform

HU Yajie

Information Center of Ministry Agriculture and Rural Affairs, Beijing 100125,China

In order to protect network security, eliminate potential risks, ensure the safe and stable operation of network infrastructure and information systems,this paper aims to build a network security situation awareness monitoring and analysis platform for the Ministry of Agriculture and Rural Affairs, to realize network security situation awareness, traffic anomaly monitoring, incident safety warning, attack tracking, panoramic visual display, effectively responding various network security threats and challenges. The platform relies on big data technology and machine learning algorithms to conduct global network security situation assessment, eliminate threat anomalies, and handle attack events, thereby improving network security protection capabilities, it has achieved standardization of multi-source heterogeneous network security data, network server logs, traffic data of key nodes, management data, implemented global network security situational awareness that integrates network intrusion, horizontal threats, attacker tracing, asset threats, and application security, realized the visualization display of the entire process of security defense, including network security status, attack monitoring and disposal, realized the integration of network security defense, effectively ensuring the normal operation of business systems, effectively preventing destructive activities caused by viruses and Trojans, greatly improving the ability to quickly detect and respond to major network security incidents, and providing efficient protection measures for network security protection. Through the construction of the network security situational awareness monitoring and analysis platform of the Ministry of Agriculture and Rural Affairs, an effective path that can be replicated and promoted for network security data governance and integrated security monitoring and defense has been explored, and its construction ideas provide practical reference for provincial agricultural and rural departments.

network security; situation awareness; data governance; network security protection

呼亚杰. 农业农村部网络安全态势感知监测分析平台设计与实现[J]. 农业大数据学报, 2023,5(1):68-75.

HU Yajie.Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform[J]. Journal of Agricultural Big Data, 2023,5(1): 68-75.

10.19788/j.issn.2096-6369.230115

2023-03-21

呼亚杰，男，硕士，研究方向：网络安全、农业大数据；E-mail: huyajie@agri.gov.cn。