CN113486351A - 一种民航空管网络安全检测预警平台 - Google Patents

Abstract

本申请公开一种民航空管网络安全检测预警平台。包括安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点；安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；网站及应用监测提供实时安全监测；态势分析中心采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测；以及提供安全态势可视化展示和应用交互界面；分布式计算存储节点实现安全事件的分布式存储、全文索引和分析。采用本发明提供的方案，能够建立长效监测机制和统一的网站监测与预警，以实现对各网站安全的集中管理、批量处理、自动化安全监测，全面汇总重要网站和信息系统的安全风险。

Description

一种民航空管网络安全检测预警平台

技术领域

本申请涉及网络安全技术领域，尤其涉及一种民航空管网络安全检测预警平台。

背景技术

新一代威胁穿透一个网络窃取信息时，通常利用多种手段并经过多个阶段。攻击者结合使用Web、电子邮件和基于文件的攻击方式进行攻击。当前的防火墙，IPS，防病毒和Web安全网关几乎没有能力阻止使用零日漏洞、一次性恶意软件以及APT高级攻击手段的攻击者。

这些混合的多阶段的攻击之所以成功，是因为传统的安全技术依赖于静态的基于签名的或基于列表的模式匹配技术。许多零日和定向型威胁，通过在无辜的网页上或可下载的文件如JPEG图片和PDF文档里隐藏新型植入恶意软件来渗透系统。或者他们使用个性化的钓鱼邮件发送到精心挑选的受害者，带有貌似合理的消息和针对零日漏洞的恶意附件。或者他们在社交媒体网站上嵌入微博，包含恶意URL。每次受害者访问网站或打开附件，恶意软件主体就会安装在受害者的计算机上。这种恶意软件的代码通常包含利用操作系统、插件、浏览器或应用程序的多个未知漏洞，以确保它在系统中获得一个立足点。

最终，该代码会回连网络犯罪分子以获得进一步的指令和一个新的主体，或传送登录凭证，财务数据和其他有价值的信息。罪犯也可以进一步探索或用新的目标扩大他的僵尸网络。

除了利用技术优势，网络犯罪分子也意识到，他们可以分而治之，因为传统的防御和 IT部门是有组织的。传统的安全防御措施通常设置为把每个攻击方式作为单独的路径，每个阶段作为独立的事件来检查，而不是把这些阶段和方式作为精心策划的一系列网络事件来检测和分析。通过利用IT部门内部的技术和商业壁垒，一个水坑式网站感染看起来就像一个随机事件，归咎于一个终端用户访问可疑网站的拙劣决定。它不能追溯到原始的用来愚弄用户和启动一个多阶段的高级定向型攻击的鱼叉式钓鱼邮件。所以，经过多个阶段的网页和邮件攻击，网络罪犯可以获取数据而不被防护者发现，直到为时已晚。

现有技术对于网络安全通常采用如下几种方式：

防火墙：防火墙基于策略规则检测及管控http和Web流量，下一代防火墙增加了基于用户和应用的策略规则，加强了传统保护技术如IPS和AV，但并没有增加对流量内容或行为的动态检测。

IPS：签名、包检查、DNS解析和启发式分析不会检测出一个利用零日漏洞的异常攻击行为，特别是如果恶意代码被严重伪装或分段投送。

防病毒：恶意软件及其利用的漏洞是未知的(零日)，并且该网站有一个正常的声誉，传统的防病毒网关和Web过滤器将会让它通过。

反垃圾邮件：伪造的钓鱼网站使用不断变化的域名和网址，所以黑名单滞后于钓鱼网站的变化，而关闭一个钓鱼网站所需的平均时间超过26小时。

Web过滤：大部分出站过滤器阻止成人内容或浪费时间的娱乐网站，不到四分之一的企业限制社交网站。除此之外，动态URL、被黑的合法网站以及短期活跃的地址使静态URL黑名单过时了。

数据防泄露(DLP)：DLP工具主要是针对个人身份信息(PII)，如身份证号码、社会保障号码、执照号码、或健康数据等。这些工具的好坏取决于他们的规则，但对于检测凭证或知识产权的外泄来说粒度较粗和规则繁琐。而外传通道的加密则使数据泄露内容不被看见，其静态的检测方法与新一代威胁的动态属性不相匹配。

由上可见，现有技术对于网络安全存在如下缺陷：

(1)传统安全设备防护力不从心：用户部署约几十类不同厂家、不同类型的安全设备，告警数量众多，真正的威胁被淹没在海量的告警与日志信息中难以发现。

(2)异常文件和新型威胁难以发现：文件、邮件的过滤和文件动态检测能力不足，无法发现隐蔽的恶意代码及行为。

(3)威胁情报能力较弱：数据外联恶意URL或IP，APT高持续性攻击，低频的账号暴力破解等新型的威胁发现不及时。

(4)内部威胁难以防护：内部人员转发和跳板攻击的现象无法有效的检测和发现。

(5)缺乏快速手段追踪溯源：海量日志分析效率低，可视化能力差，事件的溯源难度和周期就会加大。

发明内容

本申请提供了一种民航空管网络安全检测预警平台，包括：安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点，其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署；

安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；

网站及应用监测，具体为针对网络群及APP，采用远程监控监测技术对网站应用提供 7*24小时实时安全监测；针对管理信息网，采用内网部署监测技术对内网网站及应用提供 7*24小时实时安全监测；

态势分析中心用于存储各类安全态势要素数据，并采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测，发现安全问题，并进行预警和响应；以及提供安全态势可视化展示和应用交互界面；以及对网络中分散的分布式计算存储节点进行集中管理；

分布式计算存储节点安装并运行在独立的服务器上，实现安全事件的分布式存储、全文索引和分析；以及当数据规模不断扩大时，通过增加分布式计算存储节点进行水平扩展。

如上所述的民航空管网络安全检测预警平台，其中，资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等，能够自动化扫描和探测网络中的资产，并进行精确识别；

日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件；

全流量采集系统通过部署在网络中的内外网关键节点位置，采集外网、内网本部、AFTN、气象以及情报系统区域交换机镜像端口全流量数据，对数据进行深度包检测、深度流检测和深度内容检测，发现流量中的网络层和应用层的安全威胁和攻击；

漏洞采集器为规划建设的网络漏洞扫描系统，平台驱动漏洞扫描器进行工作，采集全网发现的资产漏洞；

安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息，并进行安全配置合规性分析。

如上所述的民航空管网络安全检测预警平台，其中，从架构设计角度出发，民航空管网络安全检测预警平台包括功能应用层、场景分析层和监控预警子平台；

功能应用层包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块；

场景分析层定义了安全监测预警系统的分析方法，分析方法采用了分析引擎、分析场景、分析输出的分别定义；分析引擎为场景分析提供分析计算能力，分析引擎包括分析算法、离线计算引擎和实时计算引擎；分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景，以及用于内部威胁分析的用户行为分析场景；分析输出包括综合安全态势展示、实时攻击态势展示、恶意操作态势展示、异常流量态势展示和攻击画像展示；

监控预警子平台是具有独立服务能力的安全大数据中心，实现各类安全数据的采集、处理、汇聚、存储、检索能力，并提供数据订阅接口。

如上所述的民航空管网络安全检测预警平台，其中，分析引擎中分析算法包括关联分析、统计分析和数据挖掘；安全事件关联分析是采用基于规则匹配的方法，对多条异源异构事件进行特征匹配分析；事件统计分析是指采用统计学方法，对各类事件的状态、频次、发生周期进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果；数据挖掘指从既定业务目标，从大量的、不完全的、噪声的、模糊的、随机的实际应用数据中，提取隐含在其中的事先不知道的、但又是潜在用的信息和知识并进一步将其模型化的过程；

分析引擎中离线计算引擎是整个大数据中心里的核心数据存储区，存储了全量的历史明细数据，以及计算所有离线业务；

分析引擎中实时计算引擎采用分布式实时计算架构，能够动态调整存储容量，以及分离分析数据读写和离线数据。

如上所述的民航空管网络安全检测预警平台，其中，分析场景包括网络威胁分析模型、异常安全流量检测模型、系统恶意操作分析模型和威胁情报分析模型；

网络威胁分析模型：通过对网络中安全设备告警日志、系统日志等原始数据的过滤及分析，对网络、系统中攻击的整体情况进行统计和分析，输出明确告警信息、经过分析预测的趋势预警信息，以及网络威胁的态势信息；

异常安全流量检测模型：通过流量数据、安全设备日志分析和通过大数据智能学习刻画重要资产应用系统的流量基线，再通过网络流量变化的特征来确定流量异常行为发生的时间点，在每个流量异常行为发生的时间点对流量行为特征参数进行分析，以找出异常行为对应的目的IP地址，提取出与异常行为相关的流量进行综合分析，找出异常流量攻击行为；

系统恶意操作分析模型：通过对系统资源中系统告警日志、系统安全日志原始数据的过滤及分析，针对于系统中攻击进行统计和分析，输出明确告警信息、经过分析预测的预警信息，以及系统安全威胁的态势信息；

威胁情报分析模型：通过从云端获取可机读威胁情报自动创建分析规则，对本地网络中采集的数据进行实时比对，发现可疑的连接行为；同时，可利用威胁情报对历史数据进行比对，以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机，并可利用情报对安全事件进行溯源分析。

如上所述的民航空管网络安全检测预警平台，其中，网络威胁分析模型具体包括攻击检测分析、暴力破解检测分析、Web攻击检测分析、恶意扫描检测分析和恶意程序检测分析；

攻击检测分析是对来自互联网的攻击的原始数据进行标准化处理之后，再进行多维度统计分析，根据不同的分析结果，进行告警、态势、趋势预警输出，用于支撑网络威胁态势、安全告警监控展示；

暴力破解检测分析采用基于数据对比、分析的方式，检测出部分未被安全设备发现的密码猜测攻击行为，并且以更大概率的预测密码猜测攻击行为的发生；

Web攻击检测分析通过安全设备攻击告警日志、WEB流量、WEB站点日志、WEB中间件访问日志、WEB服务器日志等进行检测分析，统计分析WEB站点遭受的诸如CC攻击、注入攻击、WebShell攻击、跨站攻击等攻击行为的总体情况，并通过历史态势情况，预测可能会发生WEB攻击的情况；

恶意程序检测分析是通过分析安全设备的告警日志、网络流量，对网络中的恶意程序进行识别，并对威胁情况进行统计分析。

如上所述的民航空管网络安全检测预警平台，其中，监测预警子平台包括数据采集层、数据处理层、数据汇集层和数据接口层；数据采集层用于威胁分析的数据来源及采集对象，明确各类安全数据集中存储；采集后的原始数据经数据处理层进行清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据，以此规范数据在各个阶段的数据格式；明确标准化后的安全数据的目标存储位置，经数据汇集层对原始数据、标准化数据的智能数据检索，且通过数据接口层实现对外提供数据的能力。

如上所述的民航空管网络安全检测预警平台，其中，数据采集具体为，监控预警子平台为适配各种采集数据源，需要支持多种采集协议，以实现对各类数据的采集，包括安全对象属性、运行状态、安全事件、评估与检测数据；为实现对包括安全对象的属性、运行状态、安全事件、评估与检测数据的采集，针对不同类型的数据以及对应的适配协议，设置对应的采集频率。

如上所述的民航空管网络安全检测预警平台，其中，数据处理具体为：对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签处理，并将标准数据加载到数据存储中；

数据的清洗/过滤针对数据格式的不一致、数据输入错误、数据不完整问题，支持对数据进行转换和加工，其中数据转换组件包括字段映射、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分；

数据标准化即对异构原始数据进行统一格式化处理，以满足监测预警子平台数据格式定义的要求，并对于被标准化的原始日志进行保存；

数据关联补齐具体为根据采集到的数据之间存在的关联性，通过关联补齐后形成完整的数据，能够丰富数据本身，以便于后期的统计分析；

数据标签化具体为基于关联补齐后的数据，结合数据所属业务系统、设备类型等信息，在原数据基础上进行标记；

数据汇集存储用于对采集上来的不同类型的数据进行分类存储，以满足数据分析的要求，支持多种数据格式的存储，并提供多种存储方式。

如上所述的民航空管网络安全检测预警平台，其中，数据的存储方式包括关系型数据存储、分布式全文检索、分布式文件存储和分布式消息总线；

对于关系型数据存储：存储数据量较小，变化周期小的结构化数据，实现对二维数据的存储，支持主流的关系型数据库的部署；

对于分布式全文检索：存储需要对外提供全文检索的数据，实现对数据的检索操作，对海量数据的精确检索、模糊检索、范围检索以及多条件组合检索；

对于分布式文件存储：存储采集的原始数据、以及ETL后的标准化数据，能够实现各类数据的存储；

对于分布式消息总线：提供分布式的消息处理机制，具备高吞吐量、高并发的消息发布和消息订阅，用于实时数据处理；分布式消息总线实现对实时数据的监测、消息分发在线处理。

本申请实现的有益效果如下：采用本申请提供的民航空管网络安全检测预警平台，能够建立长效监测机制，建立统一的网站监测与预警，以实现对各企事业单位重要网站安全的集中管理、批量处理、自动化安全监测，全面汇总重要网站和信息系统的安全风险。基于监测、检查和报送的基础数据，进行大数据挖掘和分析，实现信息系统安全管理工作信息化。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本申请实施例一提供的一种安全监控预警系统的架构设计图；

图2为分析场景设计图；

图3为监控预警子平台的架构设计图；

图4是监控预警子平台的数据流程示意图；

图5是监测预警子平台的数据接口示意图。

具体实施方式

下面结和本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为解决现有技术存在的缺陷，本申请实施例提供一种民航空管网络安全检测预警平台，通过建立长效监测机制和统一的网站监测与预警，以实现对各企事业单位重要网站安全的集中管理、批量处理、自动化安全监测，全面汇总重要网站和信息系统的安全风险。基于监测、检查和报送的基础数据，进行大数据挖掘和分析，实现信息系统安全管理工作信息化。

实施例一

本申请实施例一提供一种民航空管网络安全检测预警平台，包括安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点，其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署；以下对各组件进行详细描述：

(1)安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；

其中，资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等，能够自动化扫描和探测网络中的资产，并进行精确识别；

日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件；

全流量采集系统通过部署在网络中的内外网关键节点位置，采集外网、内网本部、AFTN、气象以及情报系统区域交换机镜像端口全流量数据，对数据进行深度包检测、深度流检测和深度内容检测，发现流量中的网络层和应用层的安全威胁和攻击；

漏洞采集器为规划建设的网络漏洞扫描系统，平台驱动漏洞扫描器进行工作，采集全网发现的资产漏洞；

安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息，并进行安全配置合规性分析。

其中全流量采集系统为硬件形态，其余采集器可支持软件和硬件两种形态；五大类安全信息采集器可根据采集策略采集资产、日志、流量、性能等安全相关信息，并根据传输策略上传到态势分析中心，各采集器可由态势分析中心统一管理。

(2)网站及应用监测

具体地，针对网站群及APP，采用远程监测技术对网站应用提供7*24小时实时安全监测。包括网页木马监测，快速、准确的发现和定位针对网页的挂马行为。网页篡改监测可对WEB站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等网页文件进行非法篡改和破坏。网站可用性监测可有效监测域名劫持、DNS中毒等网站可用性问题，使安全管理人员对网站可用性进行详细的感知。网页关键字监测可对网站进行敏感关键字监测，实现精准的敏感字识别，确保网站内容符合互联网相关规定。

针对管理信息网，采用内网部署监测技术对内网网站及应用提供7*24小时实时安全监测。包括网站应用的漏洞扫描，快速、准确的发现和定位网页的脆弱性。网页篡改监测可对WEB站点目录提供全方位的保护，防止黑客通过特定手段进入内网，对网站和应用目录中的网页、电子文档、图片、数据库等网页文件进行非法篡改和破坏。网站变更和可用性监测可有效监测网页或网页图片的变更行为，使安全管理人员对网站变更和可用性进行详细的感知。网页关键字监测可对网站进行敏感关键字监测，实现精准的敏感字识别，确保网站内容符合内网数据发布相关规定。

(3)态势分析中心是系统核心软件，用于存储各类安全态势要素数据，并采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测，发现安全问题，并进行预警和响应。态势分析中心同时提供安全态势可视化展示和应用交互界面。态势分析中心底层的数据处理采用了分布式计算和搜索引擎技术对日志数据和流量元数据进行处理，可支持水平弹性扩展，既可以单节点工作，也可以通过多个节点构成集群实现计算和存储资源的扩展。

(4)分布式计算存储节点用于海量日志和流量元数据场景下。当数据规模不断扩大时，单节点的态势分析中心无法满足数据存储和分析需求时，可通过增加分布式计算存储节点进行水平扩展，分布式计算存储节点可支持弹性扩展，节点数量可根据数据规模灵活增减，并提供数据冗余存储，可根据数据可靠性需求，设置数据副本的数量，在不同的节点保存数据的多份备份，配置灵活简单。分布式计算存储节点可安装并运行在独立的服务器上，实现安全事件的分布式存储、全文索引和分析。态势分析中心可以对网络中分散的分布式计算存储节点进行集中管理。

本申请实施例中，选用AFTN(航空固定通信网)、气象及情报生产系统部署全流量采集引擎，数据初步处理后由内部交换平台汇聚至安全监测预警系统；

图1为安全监控预警系统的架构设计图，如图1所示，安全监测预警系统包括功能应用层、大数据分析层和监测预警子平台；所述安全监测预警系统在横向结构上采用全流量采集、网站安全监测、综合日志采集及远程安全评估子模块进行数据的采集、处理和分析和态势感知以及通报预警，目前该系统也具备全局范围内安全监控的保障能力；在纵向结构上覆盖局机关、直属单位的管理信息网；

(1)功能应用层包含了安全监测预警系统的主要用途，包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块等，同时提供本平台的系统管理入口和相关接口；通过建立网络安全态势一体化综合管理平台实现对等级保护检查的管理，创建通报预警、应急响应机制，通过建立7x24 小时的监测体系与全天候全方位网络安全态势感知分析能力实现情报共享；

(2)场景分析层，即大数据分析层定义了安全监测预警系统的分析方法，分析方法采用了分析引擎、分析场景、分析输出的分别定义；

分析引擎为场景分析提供分析计算能力，分析引擎包括分析算法、离线计算引擎和实时计算引擎；

具体地，分析算法包括关联分析、统计分析和数据挖掘；安全事件关联分析是采用基于规则匹配的方法，对多条异源异构事件进行特征匹配分析，当符合关联规则条件时得出事件分析结论的过程。提供了基于规则、基于统计、基于资产的关联分析功能，可以实现对于安全事件的误报排除、事件源推论、安全事件级别重新定义等能力。事件统计分析是指采用统计学方法，对各类事件的状态、频次、发生周期等数据量化特征进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果等内容，事件统计分析结果可直接用于事件性质的判定、解释和决策。数据挖掘指从既定业务目标，从大量的、不完全的、噪声的、模糊的、随机的实际应用数据中，提取隐含在其中的事先不知道的、但又是潜在用的信息和知识并进一步将其模型化的过程。目前主流的算法包括聚类分析、关联分析、决策树分析、回归分析等支持分类、聚类、关联分析等常用分析算法。

离线计算引擎为离线存储计算集群，是整个大数据中心里的核心数据存储区，存储了全量的历史明细数据，并且所有离线业务的计算都发生在这里。基本场景分析使用Hadoop集群存储全量存储数据，利用HBase、Hive等部件提供高性能的数据访问能力。

实时计算引擎采用分布式实时计算架构，存储容量可以动态调整，高可用和读写分离则可以使得数据读写和离线数据分析分离，提升使用的效率将输入数据流以时间片(秒级)为单位进行拆分，然后以类似批处理的方式处理每个时间片数据。

图2为分析场景设计图，分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景，以及用于内部威胁分析的用户行为分析场景，是利用大数据分析技术对空管存在的主要安全威胁和攻击事件进行检测。利用空管业务信息系统的安全日志和基础信息，对空管的内外部安全威胁状况从网络威胁分析、系统安全分析和用户行为分析三个维度进行态势安全分析。同时并利用安全威胁情报识别出空管潜在被攻击行为。信息系统监测与预警的场景为安全态势展示、安全告警监控、安全威胁情报管理等上层应用提供数据支撑。

如图2所示，分析场景包括网络威胁分析模型、异常安全流量检测模型、系统恶意操作分析模型和威胁情报分析模型；

具体地，网络威胁分析模型：通过对网络中安全设备告警日志、系统日志等原始数据的过滤及分析，对网络、系统中攻击的整体情况进行统计和分析，输出明确告警信息、经过分析预测的趋势预警信息，以及网络威胁的态势信息；通过资产和攻击两个维度进行攻击画像，识别攻击者以及资产受攻击情况；具体包括攻击检测分析、暴力破解检测分析、Web攻击检测分析、恶意扫描检测分析和恶意程序检测分析；

其中，攻击检测分析是对来自互联网的攻击的原始数据进行标准化处理之后，再进行多维度统计分析，根据不同的分析结果，进行告警、态势、趋势预警输出，用于支撑网络威胁态势、安全告警监控展示；

暴力破解检测分析采用基于数据对比、分析的方式，可以检测出部分未被安全设备发现的密码猜测攻击行为，并且可以更大概率的预测密码猜测攻击行为的发生。具体地，密码猜测攻击检测分析是通过对系统登录日志、安全设备(IDS/IPS、WAF)告警日志进行检测分析，统计分析密码猜测攻击的总体情况，并预测可能会发生密码猜测攻击的情况；

Web攻击检测分析通过安全设备攻击告警日志、WEB流量、WEB站点日志、WEB 中间件访问日志、WEB服务器日志等进行检测分析，统计分析WEB站点遭受的诸如 CC攻击、注入攻击、WebShell攻击、跨站攻击等攻击行为的总体情况，并通过历史态势情况，预测可能会发生WEB攻击的情况；具体地，从安全设备的告警日志中抽取出 WEB攻击的告警日志，基于WEB访问日志，利用检测算法对WEB组件访问日志中的访问请求(如URL、访问参数、访问类型等)进行检测分析，识别其中包含的web攻击事件，输出告警信息；

恶意扫描检测分析主要指针对WEB站点或者特定端口的扫描攻击行为，恶意扫描检测分析通过分析安全设备告警日志、网络流量、WEB站点日志和服务器日志，统计分析针对WEB站点或者特定端口的恶意扫描行为的总体情况，并预测可能会发生恶意扫描的情况；具体地，根据安全设备告警日志、WEB站点日志、服务器日志，以源IP 和扫描端口为唯一标识，针对不同的扫描特征，分析识别出针对WEB或针对主机的恶意扫描行为。

恶意程序检测分析是通过分析安全设备的告警日志、网络流量，对网络中的恶意程序进行识别，并对威胁情况进行统计分析。如：木马程序攻击行为的检测分析，并预测可能会发生恶意程序攻击的情况。

异常安全流量检测模型：通过流量数据、安全设备日志分析和通过大数据智能学习刻画重要资产应用系统的流量基线，再通过网络流量变化的特征来确定流量异常行为发生的时间点，然后在每个流量异常行为发生的时间点对流量行为特征参数进行分析，以找出异常行为对应的目的IP地址；最后，提取出与异常行为相关的流量进行综合分析，找出异常流量攻击行为；

通过流量的大小、流量的协议分布、流量的业务等，建立流量基线，能够表现流量特征的数值序列。流量基线是网络异常流量检测的常用方法。通过与流量基线的对比，可以在第一时间获取特定时期内的网络负载情况、负载变化情况，直观地评估网络流量的健康程度，针对异常流量特别是DDOS洪泛攻击、恶意扫描等网络安全事件的发现具有指导作用；

基于基线的流量异常检测，通过长时间的大数据智能学习刻画重要资产应用系统的流量基线，一旦当前流量与基线发送严重背离，识别流量异常事件。按照系统定义的时间窗口进行统计，对象包括目标应用系统、源地址及其地理信息(国家、省份、地市)或组织结构、协议、上行流量大小、下行流量大小等。通过安全设备日志分析和流量数据的基线检测方法对DOS/DDOS攻击和其他异常流量进行检测分析。

系统恶意操作分析模型：通过对系统资源中系统告警日志、系统安全日志等原始数据的过滤及分析，针对于系统中攻击进行统计和分析，输出明确告警信息、经过分析预测的预警信息，以及系统安全威胁的态势信息；具体包括通过重点监控干扰或破坏系统日志记录的行为，识别发现日志被恶意操作破坏的攻击行为，通过分析指定日志类型和日志ID、或关键字判断日志是否删除的恶意操作行为；以及通过重点监控资产帐号权限加大的行为，识别发现帐号被提权的恶意操作安全风险。具体对指定日志类型和日志ID、或关键字来判断是否有修改针对特权限的操作行为；以及通过指定日志事件级别判断错误日志事件来源或对应事件ID，以此查询出相关全部错误日志，了解错误产生的原因和出现问题的位置。

威胁情报分析模型：通过从云端获取(在线查询、云端推送或离线拷贝)可机读威胁情报，本地系统可自动创建分析规则，对本地网络中采集的数据进行实时比对，发现可疑的连接行为；同时，可利用威胁情报对历史数据进行比对，以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机，并可利用情报对安全事件进行溯源分析。

分析输出即各类态势展示，包括综合安全态势展示、实时攻击态势展示、恶意操作态势展示、异常流量态势展示和攻击画像展示。

(3)监测预警子平台是一个具有独立服务能力的安全大数据中心，实现各类安全数据的采集、处理、汇聚、存储、检索能力，并向上提供数据订阅接口。该中心以接口形式向信息系统安全监测与预警子平台的分析提供输入数据，同时接口也向上级单位平台和主管部门开放；

图3为监控预警子平台的架构设计图，如图3所示，监测预警子平台包括数据采集层、数据处理层、数据汇集层和数据接口层；数据采集层用于威胁分析的数据来源及采集对象，明确各类安全数据集中存储；采集后的原始数据经数据处理层进行清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据，以此规范数据在各个阶段的数据格式；明确标准化后的安全数据的目标存储位置，经数据汇集层对原始数据、标准化数据的智能数据检索，且通过数据接口层实现对外提供数据的能力；

如图4所示，监控预警子平台的数据流程具体为：针对数据在监控预警子平台的整个生命周期，数据流程包括清洗过滤、标准化、关联补齐、数据标签化以及存储；

监控预警子平台的数据采集具体为，监控预警子平台为适配各种采集数据源，需要支持多种采集协议，以实现对各类数据的采集，包括安全对象属性、运行状态、安全事件、评估与检测等数据；为实现对包括安全对象的属性、运行状态、安全事件、评估与检测等数据的采集，针对不同类型的数据以及对应的适配协议，设置采集频率，如下表1所示的适配协议、如下表2所示的数据来源：

表1

表2

其中，监控预警子平台的数据采集方式以主动采集为主，被动采集为辅。对于无存储功能或存储能力有限的采集对象，如防火墙、IDS等设备，优选采用被动采集方式；其他类型的采集对象建议优先采用主动方式采集数据；支持的数据采集方式如下：

1)主动采集：支持采集节点通过Ftp/Sftp、SNMP、file、JDBC/ODBC等协议主动采集数据。

2)被动采集：支持采集节点通过Syslog、Flow等协议被动接收数据。

监控预警子平台的数据处理具体为：为了满足信息系统监测与预警场景分析对数据质量的要求，数据处理(ETL)对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签等处理，并将标准数据加载到数据存储中，对于被标准化的数据应保存原始日志；

具体地，数据的清洗/过滤针对数据格式的不一致、数据输入错误、数据不完整等问题，支持对数据进行转换和加工。常用的数据转换组件有字段映射、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分等，实际处理过程中可以根据实际的需求灵活选择相应的组件；

数据标准化即对异构原始数据进行统一格式化处理，以满足监测预警子平台数据格式定义的要求，并对于被标准化的原始日志进行保存；具体地，在保证基本扩展能力的基础上，根据每种类型数据的标准库规则，实现相关字段的标准化；此外对于常用的字段，保证字段内容的一致性，消除不同事件对于相似问题描述的不一致性，满足依赖于这些字段的规则的可移植性；而且对于未被标准化的数据应保存原始日志，用于事后为该特定数据再定义标准化规则；

数据关联补齐具体为根据采集到的数据之间存在的关联性，通过关联补齐后形成完整的数据，能够丰富数据本身，以便于后期的统计分析；数据关联补齐的对象包括：补齐用户信息，即补齐的字段包含用户名、用户所属组织结构、用户角色、联系方式等信息；补齐资产信息，即补齐的字段包含资产名、资产IP、资产所属业务系统、资产标准系统、资产所属责任人、资产状态等信息；补齐威胁情报，即补齐的字段包含但不限于威胁情报名称、威胁情报编号、威胁情报威胁级别、威胁情报解决方案等信息；

数据标签化具体为基于关联补齐后的数据，结合数据所属业务系统、设备类型等信息，在原数据基础上进行标记；数据标签化的原则包括：根据业务系统打标签，标签的内容包含但不限于业务系统名称等信息；根据设备类型打标签，标签的内容包含但不限于设备类型名称等信息；根据时间来打标签，标签的内容包含但不限于是否工作日、是否节假日等信息；根据责任人来打标签，标签的内容包含但不限于第一责任人、直属领导等信息；根据数据自身逻辑的分类打标签，标签的内容包含但不限于登录标签、操作标签、攻击标签等信息；根据数据的使用目的打标签，标签的内容包含但不限于暴力破解、恶意操作、绕行访问等信息。

数据汇集存储用于对采集上来的不同类型的数据进行分类存储，以满足数据分析的要求，支持多种数据格式的存储，并提供多种存储方式；其中，数据存储规则根据数据结构类型的不同，支持以下三种类型的数据存储：第一种为非结构化数据：包括所有格式的文本文件、图片等；第二种为结构化数据：可以用关系表结构来表示，具备结构化数据的模式和内容；第三种为半结构化数据：介于非结构化数据和结构化数据之间，如：HTML文档等。

本申请实施例中，监测预警子平台将数据存储方式分为四类：关系型数据存储、分布式全文检索、分布式文件存储和分布式消息总线，各存储方式的定义如下：

对于关系型数据存储：存储数据量较小，变化周期小的结构化数据，如基础类数据(如资产数据，用户数据等)、场景分析结果数据、业务数据(如漏扫结果、合规结果)等；关系型数据存储实现对二维数据的存储，支持主流的关系型数据库的部署，包括Oracle、DB2、MicrosoftSQLServer、MySQL、Sybase等，支持对结构化数据存储，包括但并不限于资产数据、人员数据、工单数据、配置数据等业务类数据；

对于分布式全文检索：存储需要对外提供全文检索的数据，实现对数据的检索操作，对海量数据的精确检索、模糊检索、范围检索以及多条件组合检索，全文检索中的数据以JSON格式进行描述，可以对常见类型进行自动推断并确定类型；

对于分布式文件存储：存储采集的原始数据、以及ETL后的标准化数据。可以拓展支持分布式文件系统、NoSQL分布式数据库、分布式关系数据库；分布式文件系统实现各类数据的存储，主要用于日志、文件、文本文档、音视频等类型数据的存储管理，提供数据的读写操作。具体的数据存储对象包括：1)网络设备、安全设备、主机服务器等设备的日志；2)其他应用系统等同步过来不适合关系数据库存储的数据；分布式文件存储应支持各种大数据分析组件的部署，来满足后期功能的扩展，如Hive组件、Hbase组件、MPP组件、Spark组件等。

对于分布式消息总线：提供分布式的消息处理机制，具备高吞吐量、高并发的消息发布和消息订阅，用于实时数据处理；分布式消息总线实现对实时数据的监测、消息分发等在线处理。根据数据的来源或业务定义，将数据逻辑划分为不同的topic，每个topic划分为多个分区，分布在不同的物理节点之上，提高数据处理、数据发布和数据订阅的性能。

具体地，根据数据源的特性，设置如下表3所示的存储方式：

表3

另外，如图5所示，针对监控预警子平台提供的四类数据存储方式，对每种数据类型提供JDBC、RESTful、消息订阅、分布式文件标准接口；数据共享接口的交互要求包括：if_1、if_2、if_3、if_4、if_5；

具体地，if_1为关系型数据库对外统一提供JDBC接口，由外部系统携带安全数据平台提供的认证信息建立JDBC接口连接，安全数据平台认证通过后外部系统可进行数据的获取使用。if_2为分布式文件存储系统通过HIVE或Hbase等组件对外统一提供 JDBC接口，由外部系统携带安全数据平台提供的认证信息建立JDBC接口连接，安全数据平台认证通过后外部系统可进行数据的获取使用。if_3为分布式文件存储系统对外统一提供HDFSurl接口，由外部系统携带安全数据平台提供的认证信息建立连接，安全数据平台认证通过后外部系统可进行数据文件的获取使用。if_4为分布式全文检索对外统一提供RESTful接口，由外部系统携带安全数据平台提供的认证信息建立 RESTful接口连接，安全数据平台认证通过后外部系统可进行关键信息快速检索，并获取检索结果数据。if_5为分布式消息发布订阅系统对外统一提供消息订阅接口，由外部系统携带安全数据平台提供的认证信息建立消息订阅接口连接，安全数据平台认证通过后外部系统可获取订阅的数据。

实施例二

本申请实施例二提供本申请公开的民航空管网络安全检测预警平台的详细实例：

第一、先搭建基础平台团建；具体地，基于hadoop生态，搭建大数据基础平台，对Spark、Flink、Kafka、Elasticsearch等大数据技术架构进行整合和二次开发，满足平台对采集数据的实时流分析、交互式离线分析、关联分析及深度学习等不同场景的应用需求；开发统一的数据采集模块组，集成日志采集、基础数据采集、资产探测、及情报采集功能，针对不同数据类型选择对应存储方式，建立数据库关联方式，对泛化数据进行关联补齐并打标签；

同时，平台软件支持与已有接口的数据对接，可进行接口的定制开发，满足平台与已建系统对接要求；对于无对外接口的已建系统，支持与已建系统进行需求沟通，形成对接的技术方案，并实现平台端接口。根据已建系统与平台的对接要求，定制平台的数据格式，能满足平台与已建系统的对接，数据交互、展示等要求。根据对接要求，梳理与已建系统的处理流程，支持但不仅限于对已建系统传递的数据进行处理、分析、展示、反馈等。

第二、构建安全监测模块；具体地，安全监测模块包括安全监测功能和安全审计功能，其中，安全监测功能是用来向用户提供安全威胁与预警信息查看和分析的入口，通过历史安全数据的归纳总结、实时安全威胁分析以及对态势发展情况的预测评估，来全面描述全网的安全情况、影响评估和态势演化。安全审计功能包括综合安全态势、网络威胁态势、系统安全态势、用户行为态势以及安全态势报告；

其中，综合安全态势是安全态势的全局多维度呈现，包括网络威胁、系统安全、用户行为几个方面，支持图形化展示攻击总量、DDoS异常流量和业务异常流量、系统攻击、脆弱性、用户异常行为的统计趋势；展示网络威胁类型、系统攻击类型、脆弱性类型、异常行为类型的分布占比，支持详情钻取；图形化展示网络威胁的地域分布，针对系统攻击、脆弱性和异常行为的系统分布进行展示；

网络威胁态势能够多维度展示网络攻击情况，攻击类型包括不限于密码猜测攻击、 WEB攻击、恶意扫描、恶意程序等。提供攻击地图展示功能，以地理地图为底图，图形化呈现来自省外、国外的攻击现象，对攻击数据的实时展现和按时间周期统计展现；也可对DDOS异常流量进行审计展现；

系统安全态势多维度展示系统自身安全状态，包括系统攻击和脆弱性。以系统类型、系统攻击类型、系统攻击数量以及资产维度统计系统攻击。以信息系统为视角，图形化呈现信息系统资产脆弱性情况；

资产态势展示资总览信息，以主机、网络设备、应用系统、数据库、虚拟化的视角展示资产的事件、告警和漏洞。图形化方式展示漏洞的覆盖率和资产占比。

第三、构建安全检查模块；通过漏扫系统的二次开发接口集中调度漏扫系统并下发漏洞扫描任务，并自动化采集扫描结果，获得资产脆弱性。同时，针对无法自动化调度的情况，系统支持结果文件导入的方式导入主流漏扫系统扫描后的结果，也支持通过安全评估过程分析由人工录入获得。通过对IT资产的漏洞管理，可以有效的预防安全风险；

借助于漏洞扫描系统，平台针对该已确定或未确定“资产”触发一次或多次扫描行为，以发现它是否存在任何紧急或者高风险的漏洞。例如：当一台新服务添加到网络时，平台可以探测到它的基础信息和漏洞情况，以及是否遗漏关键补丁，然后安全态势感知与监测预警子平台可以通知安全运维团队进行漏洞修补或者相应计划，并对修补过程进行全程监督，如果该任务未得到执行，则督促或升级该问题。系统可记录每个资产的漏洞的发现情况、确认情况、修复情况等，进行漏洞全生命周期管理。系统能够统计分析漏洞检出率、复检率、修复率和修复周期等情况，根据统计数据帮助管理层提升漏洞管理水平，降低安全风险；

同时，通过自有安全漏洞情报库与系统管理的资产属性进行数据关联，通过情报与系统的资产数据融合分析，快速发现和预知资产存在的漏洞风险，加快检测速度和精准度，缩短风险停留时间。

第四、构建风险评估模块；遵循国家和国际风险评估标准，具有自动化、定量化计算资产及其业务系统的风险值的功能，协助管理人员进行定量的风险评估，可内置风险计算模型，综合考虑资产的价值、脆弱性和威胁，计算风险的可能性和风险的影响性。通过内置的风险计算模型，综合考虑资产的价值、脆弱性和威胁，展示当且资产、安全域和业务系统的风险值，并刻画出资产、安全域和业务系统随时间变化的风险变化曲线；

此外，系统能够展示出安全域的风险情况，标注安全域中资产风险的分布情况，辅助管理员进行风险分析，采取相应的风险处置对策。能够实现区域及全局风险的计算与展示，能够量化，并动态展示安全风险，使安全管理人员快速感知网络安全风险。

第五、构建应急响应模块；平台可对感知的安全问题实时进行预警和报警。系统可以对告警信息进行统计分析，可以根据统计结果直接钻取符合条件的告警信息，并支持对告警信息的追踪溯源。平台提供了多样化的告警通知方式，如实时屏幕显示、电子邮件和工单等。系统可提供工单跟踪功能，保障安全事件得到相应的处理；

对于工单管理，系统支持可定制化的工单流转功能实现安全运维与应急处置。系统可针对发现的安全事件、告警、预警和安全通知等创建工单，并自定义工单流转流程，通过工单的确认、审批和办结等完成安全管理工作的流转。工单可手工指派，既可以生成单次任务工单，也可以生成周期性任务工单，可设定优先级和工单时限等。在派发工单的时候，平台可以邮件方式、短信或微信方式通知运维人员及时处理。工单功能可实现安全运维管理工作的流程化、规范化和可追溯，保证了客户安全运维和管理工作的顺利实施和实施质量。也可以通过定制开发实现与第三方运维系统的对接，形成工单协同。管理人员可对工单进行统计分析，了解工单任务状况。

另外，平台为安全分析师和网络安全运维人员提供交互式分析的界面。通过简洁的搜索引擎界面，平台为安全分析师提供即席查询的能力。内置众多的关联规则，支持网络安全攻防检测、合规性检测。将分析结果具象化呈现给用户，一目了然展示安全事件的发生过程。日志检索提供关键字组合输入功能，实现日志快速检索，包含原始日志搜索、标准化日志搜索、自定义搜索模板。对于安全事件验证以及数据的人工深度挖据提供一个可视、便捷的的追踪溯源窗口。

第六、构建安全威胁预警模块；利用大数据分析技术对空管存在的主要安全威胁和攻击事件进行检测。利用空管业务信息系统的安全日志和基础信息，对空管的内外部安全威胁状况从网络威胁分析、系统安全分析和用户行为分析三个维度进行态势安全分析。同时并利用安全威胁情报识别出空管潜在被攻击行为。信息系统监测与预警的场景为安全态势展示、安全告警监控、安全威胁情报管理等上层应用提供数据支撑。

第七、构建安全配置核查模块；平台可支持手工维护、批量导入、外部接口同步等方式进行资产记录与维护，还可进行资产感知和测绘功能。当网络上出现一个新“资产”时，平台可通过探查扫描日志或者网络数据流自动感知它的存在。系统也可通过扫描指定的IP地址范围，嗅探有哪些新增资产，针对资产采用多种协议探测技术，发现更多网络服务类型和相关数据，结合系统的丰富的资产指纹库精确识别资产类型和版本、开放的端口范围，启动哪些服务。经过周期性对比和核实，实现根据网络资产数据和服务数据的图谱构建和自动化分析，并提供可视化呈现；

资产管理可以从多种维度和标准对资产进行分组、分域管理，这些分类标准可包括资产类型、业务系统、安全等级、地理位置、所属部门等。平台的资产管理可构建资产的拓扑视图，为管理人员提供良好的可视化界面。

第八、报表管理模块；统计报表和安全工作报告是平台重要的功能之一，是安全分析结果的呈现和安全管理工作的成果描述。安全统计报表通过对系统获取的有关数据进行汇总、计算、对比，综合分析和评价组织的信息安全状况的安全管理成果。报表分析属于基本分析范畴，它是对企业信息安全状况的动态统计分析，是在研究过去的基础上感知未来趋势，以便做出正确的安全管理决定。

安全统计报表是静态历史数据，只能概括地反映组织在一段时间内的安全状况与管理成果，应对报表进行综合分析，才能得到更有效的信息。安全管理人员综合安全统计结果、安全事件分析结果、知识库和案例等，生成安全分析报告，报告中具有丰富的数据元素和表现形式，有事件描述、图表数据予以佐证，提供修复建议和改进指南。提供周报、月报、季报和年报等报告，供安全管理人员参考。

系统既有丰富的内置报表，也提供报表编辑器，供管理员自定义报表。报表支持多种格式导出，包括支持EXCEL格式的报表导出。管理员可以对报表生成制定计划，定期自动生成报表，并支持邮件递送。管理员可对报表和报告设定共享权限，共享给其他用户，使相应人员阅读安全报告，了解安全动态。

第九、构建信息资源管理模块；通过软件集成完成此模块功能。信息资源管理是各信息系统使用单位，对信息资源规模信息、分类信息、设备信息、外协信息等进行多维度管理，落实信息资源信息化管理，达到提供详实准确的统计分析结果的目的。

本模块主要功能为对原有等保系统信息资源数据进行清洗后全部导入，实现日常空管信息资源数据管理并能够灵活查询数据，最终提供多维度信息资源数据统计分析结果；

其中，信息资源数据清洗，具体为按照国家相关标准要求，规范数据格式和内容，对已有系统的信息资源模块进行数据清洗，通过数据清洗，可使现有系统内信息资源数据所属专业、更新周期、年信息规模、留存时间等内容格式重新定义，制定编写规范，使数据更加合理完善，并带来应用价值；

信息资源管理，具体为针对现有工作模式，保留原等保系统信息资源数据、设备数据、外协单位数据，实现信息资源的日常维护，包括：新增、修改、删除、查看，并可根据特定查询条件可以实现组合查询，全局可以实现模糊查询，查询后可导出查询结果，查询条件包含业务分类、信息资源名称、来源系统、信息资产等；

信息资源统计分析具体为对原系统导入数据和新收集的信息资源进行统计分析，包含：对空管信息系统及信息资源整体情况分析，分析空管系统整体情况，注册单位数量、信息系统数量、信息资源数量和各地具体分布情况；空管信息系统等保定级情况，可对整体空管系统的信息系统等保评级有整体统计和分析，并按地图形式对各地区情况直观展示；空管系统运行情况，对空管系统按运行时间进行分组统计，各地区系统按照平均运行时间进行统计和展示；信息资源按专业分布情况，对空管系统的信息资源收集按照专业进行分析展示；信息规模情况，对信息资源进行收集，按照不同年份进行整体信息规模统计和展示，并对各地区信息规模进行统计分析和展示，也可按各专业进行信息规模统计分析；信息存储量情况，对空管系统信息资源的信息存储量情况按年份进行统计分析和展示。

第十、建立通报预警系统：对于国家关键基础设施和重要客户单位，安全管理有协同管理的需求，需要进行安全信息和通知的上传下达。系统支持安全事件通报、重要时期安全通报、安全态势通报等通报类型，提供通报下发、接收、上报工作流程管理，并且支持通报任务单次下发和周期性下发两种模式，还包括信息主动上报、安全月报上报等功能。

根据需要，系统支持与国家信息安全通报机制进行对接，可将国家级信息安全通报导入到平台中并发到下级单位，下级单位依据主管部门要求收集反馈信息，输出格式化报告报送信息安全通报主管部门，通报内容包括通报名称、接收单位、事件分级分类、通报要求等。

安全运维人员可使用系统收集整体安全通报情况，进行关联展示，可根据展示的内容形成组织安全通报的整体态势。

采用本申请提供的民航空管网络安全检测预警平台，能够实现如下技术效果：

1、一体化的安全管控界面

平台为相关安全管理人员提供了一体化安全管控功能界面，为不用层级的人员提供了多视角、多层次的管理视图。

对于网络安全管理层的高层领导，通过平台的整体视图可以掌握全网的整体安全态势，评估全网和重要业务信息系统安全机制的有效性情况，掌握安全下一步安全防护改进的重点，为安全管理提供必要的决策支撑。

对于网络安全管理层的各业务部门领导，可以通过系统的业务视图掌握所属业务信息系统的安全态势，查阅所属业务系统的运行报告和安全报告，并协调部门间运维流程和安全事件的处理。

对于网络安全执行人员，可以通过系统将上层次的工作目标落实分解，形成系统可执行的策略、指标、规则、计划和任务；可以通过系统的管理视图和仪表盘查看网络和业务系统的安全资产运行状况、安全风险走势、重要的安全事件处理情况，安全分析报表报告；可以随时掌握计划和任务的进展情况，实现对一线运维人员的考核。

平台首先提供了全局监视仪表板，可以在一个屏幕中看到不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。安全服务人员可以自定义仪表板，按需设计仪表板显示的内容和布局，可以为不同角色的用户建立不同维度的仪表板。

平台提供了实时审计视图，审计员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个部门、各个安全域、各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件。

平台提供了统计视图，审计员可以根据内置或者自定义的统计策略，从日志的多个维度实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问客户排行等。

平台提供了规则关联、统计关联等分析方法，通过建立科学的分析模型，协助相关使用人员对日志的分析深度与安全事件的识别准确度得到进一步的提升。

2、面向业务的统一安全管理

业务，是指企业和组织生产经营活动、事务处理等一系列过程的总和。随着信息技术的引入，业务已经与IT紧密耦合到了一起。从IT的角度来看，业务包括业务的 IT支撑系统(简称业务支撑系统)、业务数据、业务流程和业务的参与人员。其中，业务支撑系统是业务的基石，包括了承载业务运行的各种软硬件IT资源，例如网络设备、安全设备、主机、数据库、中间件等。这些IT资源有机的结合在一起，共同承担一组产生特定客户价值的任务，就形成了业务支撑系统。

平台会通过对业务中构成资产的漏洞和配置弱点进行分析，自动计算出业务的脆弱性指数。平台针对业务建立了一套多维度的关键威胁指标体系，并能够计算出业务的威胁指数。平台提出了一个基于安全指标体系的业务健康指数模型，能够从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度综合计算出业务的健康指数，以及业务健康指数随时间波动的业务健康指数曲线。

3、全方位资产和漏洞的生命周期管理

在大物移云技术发展下，对于来说，靠人工实现海量资产的管理已变得低效和繁琐，资产管理不好，无法有效的管理安全。安态全流量采集引擎知与安全服务安全服务平台安全服务平台可自动化发现网络空间的资产并利用自有资产指纹库进行精确识别，通过多种技术手段获取资产的各类属性信息，实现了资产信息的全方位管理，大幅降低了人工维护的工作量。

针对发现的资产，除了通过漏洞扫描系统可及时获取资产存在的漏洞之外，平台结合安全服务平台获取的外部漏洞情报库，与平台所管理的资产的属性信息进行比对，及时发现系统存在的最新漏洞。针对发现的安全漏洞，平台通知安全运维人员进行及时修复和处置，系统实现了对安全漏洞的发现、确认、修复和关闭形成了漏洞的全生命周期管理，有效消除安全漏洞长期驻留的风险。

4、维度安全事件分析与响应

平台是一个能够实现全网安全检测、预警及响应的平台。它提供了多维度的安全分析技术进行内外网安全威胁感知。在内网，它可以通过用户行为分析的技术高效感知内部违规操作和信息泄露，使管理人员了解内部安全风险。平台通过多层次安全分析技术和手段，对各类威胁进行检测、判断，给出响应处置建议和多种自动化响应方式，并通过可视化的方式，最终让管理人员辨别网络目前是否安全，哪里不安全，造成什么危害，影响范围如何，如何进行处置，以及处置的过程、结果如何。

平台提供多维度的安全事件分析方法，平台内置多种安全分析场景规则，也可以通过可视化方法编辑关联规则，强大的关联分析引擎实时分析采集的安全日志和流量源数据，及时发现已知的攻击和威胁，形成安全事件。针对未知威胁，平台提供了基于机器学习的异常行为检测方法，从海量日志和流量源数据中选择属性特征进行学习，构建实体的行为基线模型，通过实际值与预测值的偏差分析识别异常行为，并通过安全分析师进一步分析发现安全事件。针对攻击链行为，系统提供了深度分析技术，探索整个攻击链过程中的不同阶段的攻击，构建攻击行为链和影响性分析。系统还提供交互式安全分析手段，通过可视化页面，安全分析师可探索数据，通过多种数据可视化技术，依据安全分析经验，结合海量数据组合，发现网络安全事件。

针对发现的安全事件，平台提供多种响应方式，可多种方式及时通知相应责任人，并支持多种自动化响应方式，实现网络安全闭环管理。

5、助力《网络安全法》和《等级保护》合规管理

平台遵从网络安全法和信息系统等级保护中的相关安全设计和技术要求。

网络安全法是网络安全行业的国家法律，其明确提出了网络运行安全、网络信息安全与应急处置等要求。其第二十一条要求“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；”。系统提供安全实时监测和全天候全方位全流量采集引擎知，对各类网络日志进行集中采集和存储，并至少保存六个月以上，协助客户进行安全数据的统计、查询、分析和报告。系统支持安全安全服务安全服务平台和信息通报，可根据规范通过接口上报和下发安全信息。网络安全法规定我国实行网络安全等级保护制度。网络安全等级保护基本要求对定级信息系统提出的基本安全要求覆盖面广、安全措施分散，系统能够对基本安全要求中涉及物理、网络、主机、应用和数据相关的安全机制的有效性进行集中的审计。针对基本安全要求中设计系统运维管理的基本管理要求，系统提供资产发现与管理、设备管理、安全监测、业务监测、脆弱性管理、安全事件处置等方面的功能，为提供一个多维度的安全监测与运维管理技术支撑安全服务平台。

以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种民航空管网络安全检测预警平台，其特征在于，包括：安全信息采集器、网站及应用监测、态势分析中心及分布式计算存储节点，其中各类采集器、网站及应用监测、态势分析中心及分布式计算节点在内外网进行分别部署；

安全信息采集器包括资产采集器、日志采集器、全流量采集系统、漏洞采集器和安全配置采集器；

网站及应用监测，具体为针对网络群及APP，采用远程监控监测技术对网站应用提供7*24小时实时安全监测；针对管理信息网，采用内网部署监测技术对内网网站及应用提供7*24小时实时安全监测；

态势分析中心用于存储各类安全态势要素数据，并采用多种智能分析方法对态势要素进行分析，感知各类网络安全态势，进行安全监测，发现安全问题，并进行预警和响应；以及提供安全态势可视化展示和应用交互界面；以及对网络中分散的分布式计算存储节点进行集中管理；

分布式计算存储节点安装并运行在独立的服务器上，实现安全事件的分布式存储、全文索引和分析；以及当数据规模不断扩大时，通过增加分布式计算存储节点进行水平扩展。

2.如权利要求1所述的民航空管网络安全检测预警平台，其特征在于，

资产采集器包括服务器、网络设备、安全设备、数据库和应用系统等，能够自动化扫描和探测网络中的资产，并进行精确识别；

日志采集器用于采集全网已经部署和本次项目即将部署的的各类网络设备、安全设备及专项安全分析系统的日志和事件；

全流量采集系统通过部署在网络中的内外网关键节点位置，采集外网、内网本部、AFTN、气象以及情报系统区域交换机镜像端口全流量数据，对数据进行深度包检测、深度流检测和深度内容检测，发现流量中的网络层和应用层的安全威胁和攻击；

漏洞采集器为规划建设的网络漏洞扫描系统，平台驱动漏洞扫描器进行工作，采集全网发现的资产漏洞；

安全配置采集器用于采集全网终端、服务器、网络设备、安全设备、数据库、中间件和应用系统的安全配置信息，并进行安全配置合规性分析。

3.如权利要求1所述的民航空管网络安全检测预警平台，其特征在于，从架构设计角度出发，民航空管网络安全检测预警平台包括功能应用层、场景分析层和监控预警子平台；

功能应用层包括安全监测、安全检查、风险评估、应急响应、安全威胁预警、安全配置核查、报表管理及信息资源管理模块；

场景分析层定义了安全监测预警系统的分析方法，分析方法采用了分析引擎、分析场景、分析输出的分别定义；分析引擎为场景分析提供分析计算能力，分析引擎包括分析算法、离线计算引擎和实时计算引擎；分析场景包括适用于外部攻击分析的网络威胁分析场景、系统安全分析场景，以及用于内部威胁分析的用户行为分析场景；分析输出包括综合安全态势展示、实时攻击态势展示、恶意操作态势展示、异常流量态势展示和攻击画像展示；

监控预警子平台是具有独立服务能力的安全大数据中心，实现各类安全数据的采集、处理、汇聚、存储、检索能力，并提供数据订阅接口。

4.如权利要求3所述的民航空管网络安全检测预警平台，其特征在于，

分析引擎中分析算法包括关联分析、统计分析和数据挖掘；安全事件关联分析是采用基于规则匹配的方法，对多条异源异构事件进行特征匹配分析；事件统计分析是指采用统计学方法，对各类事件的状态、频次、发生周期进行计算、得出事件数据的分布状况、主要特征、时间序列的趋势性、是否存在异常值、事件汇总结果；数据挖掘指从既定业务目标，从大量的、不完全的、噪声的、模糊的、随机的实际应用数据中，提取隐含在其中的事先不知道的、但又是潜在用的信息和知识并进一步将其模型化的过程；

分析引擎中离线计算引擎是整个大数据中心里的核心数据存储区，存储了全量的历史明细数据，以及计算所有离线业务；

分析引擎中实时计算引擎采用分布式实时计算架构，能够动态调整存储容量，以及分离分析数据读写和离线数据。

5.如权利要求3所述的民航空管网络安全检测预警平台，其特征在于，分析场景包括网络威胁分析模型、异常安全流量检测模型、系统恶意操作分析模型和威胁情报分析模型；

网络威胁分析模型：通过对网络中安全设备告警日志、系统日志等原始数据的过滤及分析，对网络、系统中攻击的整体情况进行统计和分析，输出明确告警信息、经过分析预测的趋势预警信息，以及网络威胁的态势信息；

异常安全流量检测模型：通过流量数据、安全设备日志分析和通过大数据智能学习刻画重要资产应用系统的流量基线，再通过网络流量变化的特征来确定流量异常行为发生的时间点，在每个流量异常行为发生的时间点对流量行为特征参数进行分析，以找出异常行为对应的目的IP地址，提取出与异常行为相关的流量进行综合分析，找出异常流量攻击行为；

系统恶意操作分析模型：通过对系统资源中系统告警日志、系统安全日志原始数据的过滤及分析，针对于系统中攻击进行统计和分析，输出明确告警信息、经过分析预测的预警信息，以及系统安全威胁的态势信息；

威胁情报分析模型：通过从云端获取可机读威胁情报自动创建分析规则，对本地网络中采集的数据进行实时比对，发现可疑的连接行为；同时，可利用威胁情报对历史数据进行比对，以发现曾经发生过的APT攻击行为或本地网络中的Botnet主机，并可利用情报对安全事件进行溯源分析。

6.如权利要求5所述的民航空管网络安全检测预警平台，其特征在于，网络威胁分析模型具体包括攻击检测分析、暴力破解检测分析、Web攻击检测分析、恶意扫描检测分析和恶意程序检测分析；

攻击检测分析是对来自互联网的攻击的原始数据进行标准化处理之后，再进行多维度统计分析，根据不同的分析结果，进行告警、态势、趋势预警输出，用于支撑网络威胁态势、安全告警监控展示；

暴力破解检测分析采用基于数据对比、分析的方式，检测出部分未被安全设备发现的密码猜测攻击行为，并且以更大概率的预测密码猜测攻击行为的发生；

Web攻击检测分析通过安全设备攻击告警日志、WEB流量、WEB站点日志、WEB中间件访问日志、WEB服务器日志等进行检测分析，统计分析WEB站点遭受的诸如CC攻击、注入攻击、WebShell攻击、跨站攻击等攻击行为的总体情况，并通过历史态势情况，预测可能会发生WEB攻击的情况；

恶意程序检测分析是通过分析安全设备的告警日志、网络流量，对网络中的恶意程序进行识别，并对威胁情况进行统计分析。

7.如权利要求3所述的民航空管网络安全检测预警平台，其特征在于，监测预警子平台包括数据采集层、数据处理层、数据汇集层和数据接口层；数据采集层用于威胁分析的数据来源及采集对象，明确各类安全数据集中存储；采集后的原始数据经数据处理层进行清洗过滤、标准化、关联补齐、数据标签化后形成标准化数据，以此规范数据在各个阶段的数据格式；明确标准化后的安全数据的目标存储位置，经数据汇集层对原始数据、标准化数据的智能数据检索，且通过数据接口层实现对外提供数据的能力。

8.如权利要求7所述的民航空管网络安全检测预警平台，其特征在于，数据采集具体为，监控预警子平台为适配各种采集数据源，需要支持多种采集协议，以实现对各类数据的采集，包括安全对象属性、运行状态、安全事件、评估与检测数据；为实现对包括安全对象的属性、运行状态、安全事件、评估与检测数据的采集，针对不同类型的数据以及对应的适配协议，设置对应的采集频率。

9.如权利要求7所述的民航空管网络安全检测预警平台，其特征在于，数据处理具体为：对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签处理，并将标准数据加载到数据存储中；

数据的清洗/过滤针对数据格式的不一致、数据输入错误、数据不完整问题，支持对数据进行转换和加工，其中数据转换组件包括字段映射、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分；

数据标准化即对异构原始数据进行统一格式化处理，以满足监测预警子平台数据格式定义的要求，并对于被标准化的原始日志进行保存；

数据关联补齐具体为根据采集到的数据之间存在的关联性，通过关联补齐后形成完整的数据，能够丰富数据本身，以便于后期的统计分析；

数据标签化具体为基于关联补齐后的数据，结合数据所属业务系统、设备类型等信息，在原数据基础上进行标记；

数据汇集存储用于对采集上来的不同类型的数据进行分类存储，以满足数据分析的要求，支持多种数据格式的存储，并提供多种存储方式。

10.如权利要求7所述的民航空管网络安全检测预警平台，其特征在于，数据的存储方式包括关系型数据存储、分布式全文检索、分布式文件存储和分布式消息总线；

对于关系型数据存储：存储数据量较小，变化周期小的结构化数据，实现对二维数据的存储，支持主流的关系型数据库的部署；

对于分布式全文检索：存储需要对外提供全文检索的数据，实现对数据的检索操作，对海量数据的精确检索、模糊检索、范围检索以及多条件组合检索；

对于分布式文件存储：存储采集的原始数据、以及ETL后的标准化数据，能够实现各类数据的存储；

对于分布式消息总线：提供分布式的消息处理机制，具备高吞吐量、高并发的消息发布和消息订阅，用于实时数据处理；分布式消息总线实现对实时数据的监测、消息分发在线处理。

Images