网络安全统一监测和处置平台技术方案

信息通信 2019(Sum. No 201)INFORMATION & COMMUNICATIONS

网络安全统一监测和处置平台技术方案王耀强(河南联通，河南郑州450000)摘要：基于平台的实际应用场景，将平台功能分解为安全事件一键处置工具、安全威胁溯源工具和告警统一呈现平台三

大模块，同时与大数据平台和EMOS工单系统对接,实现安全设备日志的统一存储和统一派单能力。关键词:网络安全;安全事件;技术方案中图分类号:TP393 文献标识码:A 文章编号：1673-1131(2019)09-0098-02Technical Scheme of Unified Monitoring and disposal platform for Network SecurityWang Yaoqiang(Henan Unicorn, Zhengzhou, Henan, 450000)Abstract: based on the practical application scene ofthe platform, the platform functions are decomposed into three modules of

a safety event one-key disposal tool, a security threat tracing tool and an alarm unified rendering platform, and meanwhile, the platform functions are butted with the large data platform and the EMOS work order system, The unified storage and unified

dispatch capability of the security device log is realized.Key words :the technical scheme of network security security incident分为两类,例如僵木蠕、DDOS攻击等安全事件最主要影响的

0引言同时，为确保系统能够尽快投入运营，优先考虑在现网已 有的安全设备或系统基础上进行扩容或对接，降低开发难度,

提升工程建设速度。是系统或业务的正常运行,而网页篡改、DNS域名劫持、短彩

信系统控制最主要影响的是用户对于系统或业务的使用感知。因此，如何通过最快速、简易的处置方式有效阻止安全事

件的进一步扩散，降低用户对于安全事件的不良感知,是一键

1安全事件一键处置工具技术方案可行性分析1.1思路现网的安全事件种类虽多,但归根结底，主要分为僵木蠕 等病毒攻击、DDOS攻击、网页篡改、DNS域名劫持、短彩信系

处置工具的核心要点。1.2实现原理在互联网核心层出口对安全事件处置的手段主要有三种 方式:DDOS攻击流量清洗、IP地址封堵、域名URL封堵。通 过以上三种手段，可有效应对五类主要安全事件：统控制五大类。而以上五大类安全事件最主要产生的影响也3推广应用基于大数据技术的物资需求预测，提高了物资需求釆购

领用不合规行为，即解决项目物资领用合规性问题，也提高 了数据可靠性。的准确性，对物资管理提供了很大的帮助，在省公司层面，能 够满足省公司物资部以及省公司运检部等专业部室相关物资

管理、业务管理要求，提供辅助决策;也能够在面向地市公司，

参考文献：[1] 杨月，沈进.多元线性回归分析在人才需求预测中的应用.

商业研究,2006,485.在地市(县)公司、直属单位层面,为配网协议库存物资管理,

提供高效实用的管理抓手，有较强的可推广性。目前已在2019

[2] 董师师，黄哲学.随机森林理论浅析[J].集成技术,2013(1):

1-7.[3] 方匡南，朱建平,谢邦昌.基于随机森林方法的基金收益率

方向预测与交易策略研究[J].经济经纬,2010(2)=61-65.年配网协议库存年度需求计划、2019年配网协议库存第一批

申报中应用,，为省公司专业部门提报年度数据提供重要参考, 为省公司物资部确定釆购数量提供决策依据。其中第一批协

议库存物资需求申报金额减少了 7.86亿元，物资类别结构更

[4] 宋斌,卜涛,张洪青.电网建设项目物资需求预测研究[J].物

流技术,2013(5):319-321,336.加合理，准确性更高。[5] 魏佳明，韩家新.随机森林在储层孔隙度预测中的应用[J].

智能计算机与应用,2018(5):79-82.作者简介:陈国洪(1987-),男(汉族),福建福清人,研究生，主

4结语当前的配网物资总体需求预测准确性较高，已基本满

足要求并实现了自动预测申报，并已经应用在国网福建电

力公司协议库存物资需求计划申报。但部份物料准确性还

待提高，下一步将通过关联更多项目数据以及针对不同物 料使用特性采用不同预测模型提高预测准确性。同时，由

要研究方向:物流和大数据领域;刘烁(1988-)，女(汉族),福建

福州人，本科生，主要研究方向：物流和大数据领域；李燕燕

(1987-)，女(汉族),福建莆田人，本科生,主要研究方向:物流

和大数据领域;陈晔(1986-)，女(汉族),福建连江人，本科生,

于部分项目物资领用不合规影响数据质量，还将对模型预

测值与实际值偏差大的项目进行监测，检查项目是否物资

主要研究方向:物流和大数据领域。98

信息通信額全事件应对手段原理利用设备在互联网出口对传播個木孀

网运中心核心层路由器及

僵木细IP擒帝的控制端或受地址封堵68木嫡拠 染的肉机进行IP地址封坍， DDOS流JR牵引设涪阻止进一步偻播DDOSDDOS 流H 利用现网DDOSSW洗设备开 网运中心DDOS流谊清洗

清洗展清洗设备1P地址或域 在互联网出口对被篡改网贞 网运中心按心层路由器及 网社◎巴名URL封

培的IP地址或URL进疔封堵DDOS说鬣牵引设铸网运中心核心层賂由器、DNS城名 城名URL 在互联网出口对被劫持至错

劫持封堵误域名的URL进行封堵DNS域名设备及DE>0$流量牵引设备短彩信控

制IP在互联网出口对网内受控短 网运中心核心层路由器及

地址封堵彩信系统的1P地址进行封堵DDOS流艇牵引设备1.3技术方案1.3.1部署方案在互联网核心层路由器出口建设一键处置工具，并与现 网DDoS平台联动，实现处置DDoS安全事件和阻断IP功能; 与DNS服务器联动,下发停止解析URL指令,实现阻断URL 功能。1.3.2功能设计工具具备安全事件一键处置功能，是闭环的系统,当发现 安全事件时,及时生成基于安全事件的威胁标识，能和安全联

动设备同步,快速有效的实现威胁的拦截，实现全网安全能力 的提高。(1) DDoS攻击安全事件_键处置当网络中DDoS设备发现攻击事件时，将攻击事件上报 至一键处置平台，平台可根据事先预置的策略，与网络中的 DDoS设备联动，实现攻击流量自动引流清洗,确保被保护的 目标网站能被正常访问。(2) 1?地址安全事件一键处置一键处置平台支持阻断城域网内IP功能,在系统中输入 需要阻断的1P地址,平台根据事先预置的策略,与城域网中的 DDoS设备联动,将外网访问城域网内的流量牵引至DDoS设 备后丢弃，阻断对该IP地址的访问。(3) URL安全事件一键处置一键处置平台支持阻断URL功能,当在系统中输入需要 阻断的URL地址,平台向DNS服务器请求解析该URL,解析 N次，得到多个IP地址,将IP地址与平台内预置的地址库进 行对比：① 如果IP地址组不包含某运营商IP地址，说明该URL 在运营商网络内没有部署服务器。一键处置平台向DNS服 务器联动发送指令，DNS服务器停止解析该URL,内网用户 请求该地址,得到错误IP,无法访问。② 如果IP地址组包含运营商IP地址，说明该URL在运 营商网络内部署了服务器。平台首先给DNS服务器发送指 令,DNS服务器停止解析该URL,内网用户请求该地址，得到 错误EP,无法访问；同时将获取到的运营商内网的服务器IP, 根据事先预置的策略，与网络中的DDoS设备联动,将外网访 问城域网内的流量牵引至DDoS设备后丢弃，阻断外网对运 营商内网该URL的访问。2安全威胁溯源工具技术方案可行性分析2.1思路绝大多数的网络攻击均由肉机发动，这些肉机往往是在 各种网络行为中访问或下载了恶意网页或程序后感染了相关 病毒并被控制端服务器控制。一般此类病毒的散播均是无指

王耀强:网络安全统一监测和处置平台技术方案向性的，而是以广撒网的形式在网络上传播病毒。而此类病 毒中往往内嵌了与控制端服务器的通信代码，在肉机被感染 病毒后会主动发起与控制端服务器的通信，以此来建立彼此 的联系。因此可见，控制端服务器在网络攻击中扮演着关键 角色,不但包含着受控主机的信息，而且可以控制发动攻击。单纯对于肉机的安全防控往往起不到太大的效果，因此 控制端服务器可以很轻松的调动其它肉机持续发动攻击。而 一旦某个僵尸网络的控制端服务器被跟踪并攻破，则整个僵 尸网络将会无效化，所有失去了控制端的被感染肉机实质上 也将不能再形成进一步危害。为了避免控制端服务器被检测到，僵尸网络主控者主要 采用Fast・Flux技术以提高僵尸网络的健壮性，该技术采用_ 个不断变化的受控代理主机的网络进行通信。本质上是一种 DNS技术的新应用,是于DNS Resource Record(RR)上设定非 常短的TTL(Time To Live),并以循序的方式在一个IP集合中 做频繁替换，这些IP集合表示受控主机集合，在Fast-Flux技 术中作为proxy角色。因此，僵尸网络导致的DNS流量与合 法用户的DNS流量存在本质的区别，可通过提取相应特征对 采用Fast-Flux技术的僵尸网络进行检测，并对DNS的流量数 据使用分类器进行在线检测，发现非法域名，根据请求及访问 非法域名的流量发现控制端通道。2.2实现原理安全威胁溯源工具拟旁挂在某运营商DNS域名解析器 上,通过实时分析域名解析流量，发现非法域名，一是将已发 现的非法域名信息同步至DNS服务器，由DNS服务器停止 解析该域名;二是与一键处置工具联动,阻断非法域名解析出 的IP地址,切断僵尸网络与控制主机的连接。考虑到某运营商DNS域名解析器并不是全国网络的根 DNS域名解析器，无法对全网的控制端进行完全阻断。但以 上手段可以基于某运营商的网络，一是可以有效根除运营商 网内的控制端服务器，二是可以阻断某运营商网内被感染病 毒的肉机与外网控制端的联系。3告警统一呈现平台技术方案可行性分析3.1思路采集在互联网出口部署的全网安全设备告警日志，利用 关联分析对安全事件去重、去误报,提取需要高优先级处置安 全事件，将网络安全威胁进行可视化呈现，全方位展现全网安 全状态。安全管理员可以基于告警统一呈现平台快速査看全网的 整体安全状态，对信息资产以及安全事件进行全方位监控，实 现了网络安全可视化，快速发现和定位安全事件，缩小攻击时 间窗,及时消除现网的安全风险，实现主动防御，降低攻击损 失的作用。3.2实现原理考虑到15-16年，某运营商维护部门已试点上线了基于流 监测的DDOS流量监测系统，并于17年实现了 DDOS安全事 件告警在维护部门大屏的统一呈现。因此后续建议利用该系 统的呈现功能，并在此基础上进行适当改建扩容，实现其它各 类安全事件的统一呈现，充分发挥7*24小时的全网监控职责, 实现全网告警的统一管控。3.3技术方案(1)安全设备日志收集方案基于运维部门已有的DDOS安全事件告警(下转第103页)99信息通信|| 192.168.ia3.M0| | SFTP，W2.168.183.1-W烹

菅华:深團绑配置核査与口令自动化加固工具在实际工作中的应用需强制修改密码。- > 話舘密潇 20\" from 192.168-183」出击该BRSSSima-进入對BR券器撮作界面图14 Linux 口令自动化加固工具执行过程8 口令加固加固效果验证8.1 Windows操作系统加固效果执行完毕脚本后，修改系统时间到3个月以后（脚本执行 时间2017.12.22）,重启系统，需强制修改密码。曰期和时间2OHfr恫月22曰・12:40图17修改Linux系统时间更改曰期和时间fjnTOlBtt y ] [ 4月 niMi| ] 2?日『]伫.」Centos release 6.5 (Final)Other...Q(current) UNIX password: ||

Changing password for root.图15修改Windows系统时间图18 Linux系统密码更改提醒9结语本脚本简单易用,无需了解具体加固命令和配置,只需进 行简单操作即可完成加固。通过使用加固脚本，极大地提高 了运维人员的工作效率，减轻运维人员的重复劳动量。脚本 使用简单，适合大范围推广。参考文献：其他用户［1］ 工信部.［YD/T 2701-2014电信网和互联网安全防护基

线配置要求及检测要求操作系统］.［2］ 安恒信息.［明鉴安全基线远程评估系统测试方案］.图16 Windows系统密码更改提薩8.2 Linux操作系统加固效果验证执行完毕脚本后，修改系统时间到3个月以后，重启系统,作者简介:菅华（1973,男，内蒙古呼和浩特人,内蒙古电信网 络监控樹中心冲级蜩C,从事网络安全及相关工作十年以上。（上接第99页）采集能力,采集各类安全设备的syslog日志，并 通过自定义对应的方式,对应至各类威胁事件,进行统一分析 和展示。其中，主要将各类威胁事件分为DDoS攻击、病毒攻 击、木马攻击、端虫攻击、恶意文件下载、外联控制端服务器等 各类威胁事件类型。此外，还系统还需支持通过自定义的方 式，增加新的威胁事件类型，满足后续现网各类安全事件灵活 分类的需求。（2）安全事件统一监测地图展示方案支持将全网安全设备的日志进行分析后统一展示；

支持基于地域展示攻击地图，通过动态线与静态线,展示 当前网络中正在发生的攻击；攻击地圏展示界面支持全屏展示；攻击地图展示界面支持展示威胁度打分，以打分形式使 管理者直观判断当前的整网安全状态，分值越高表示威胁度 越高；攻击地图展示界面支持显示当前网络中的TOP攻击事 件；攻击地图展示界面支持显示当前网络中的TOP高危资 产；攻击地图展示界面支持攻击来源地区TOP排行。作者简介:王耀强（1981-）,男,河南周口人,工程师,研究方向： 网络安全管理。103