农业农村部网络安全态势感知监测分析平台设计与实现_呼亚杰.pdf

农业大数据学报 2023,5(1):68-75 Journal of Agricultural Big Data DOI:10.19788/j.issn.2096-6369.230115 收稿日期：2023-03-21 作者简介：呼亚杰，男，硕士，研究方向：网络安全、农业大数据；E-mail:。农业农村部网络安全态势感知监测分析平台设计与实现 呼亚杰 农业农村部信息中心，北京 100125 摘要：为了做好网络安全防护，消除潜在风险隐患，保障网络基础设施和信息系统安全稳定运行，文章作者探索通过建设农业农村部网络安全态势感知监测分析平台，实现农业农村部网络安全态势感知、流量异常监测、事件安全预警、攻击追踪溯源、全景可视化展示等，有效应对各类网络安全挑战。农业农村部网络安全态势感知监测分析平台依托大数据技术、机器学习算法，进行全局网络安全态势评估、威胁异常排除、攻击事件处置，从而提升网络安全防护能力，实现了安全设备告警、网络及服务器日志、全网关键节点流量数据、管理数据等多源异构网络安全数据标准化；实现了集网络入侵、横向威胁、攻击者追踪溯源、资产威胁和应用安全等为一体的全局网络安全态势感知；实现了网络安全状况、攻击监测处置等全流程安全防御可视化展示；实现了全网络安全防御一体化，有力保障了业务系统的正常运行，有效防范了病毒木马等造成的破坏活动，极大提高了重大网络安全事件的快速发现和应急处置能力，为网络安全防护提供了高效的防护手段。通过农业农村部网络安全态势感知监测分析平台建设，为网络安全数据治理、一体化安全监测防御探索出了一条可复制可推广的有效路径，其建设思路为省级农业农村部门提供了实践参考。关键词：网络安全；态势感知；数据治理；网络安全防护 引用格式：呼亚杰.农业农村部网络安全态势感知监测分析平台设计与实现J.农业大数据学报,2023,5(1):68-75.HU Yajie.Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis PlatformJ.Journal of Agricultural Big Data,2023,5(1):68-75.Design and Implementation of Ministry Agriculture and Rural Affairs Network Security Situation Awareness Monitoring and Analysis Platform HU Yajie Information Center of Ministry Agriculture and Rural Affairs,Beijing 100125,China Abstract:In order to protect network security,eliminate potential risks,ensure the safe and stable operation of network infrastructure and information systems,this paper aims to build a network security situation awareness monitoring and analysis platform for the Ministry of Agriculture and Rural Affairs,to realize network security situation awareness,traffic anomaly monitoring,incident safety warning,attack tracking,panoramic visual display,effectively responding various network security threats and challenges.The 第 1 期 呼亚杰：农业农村部网络安全态势感知监测分析平台设计与实现 69 platform relies on big data technology and machine learning algorithms to conduct global network security situation assessment,eliminate threat anomalies,and handle attack events,thereby improving network security protection capabilities,it has achieved standardization of multi-source heterogeneous network security data,network server logs,traffic data of key nodes,management data,implemented global network security situational awareness that integrates network intrusion,horizontal threats,attacker tracing,asset threats,and application security,realized the visualization display of the entire process of security defense,including network security status,attack monitoring and disposal,realized the integration of network security defense,effectively ensuring the normal operation of business systems,effectively preventing destructive activities caused by viruses and Trojans,greatly improving the ability to quickly detect and respond to major network security incidents,and providing efficient protection measures for network security protection.Through the construction of the network security situational awareness monitoring and analysis platform of the Ministry of Agriculture and Rural Affairs,an effective path that can be replicated and promoted for network security data governance and integrated security monitoring and defense has been explored,and its construction ideas provide practical reference for provincial agricultural and rural departments.Key words:network security;situation awareness;data governance;network security protection 1 引言 态势感知是指在特定时间和空间内提取系统要素，理解其含义并预测其可能产生的影响1，其概念源自于空中交通管制2。BASS 首次提出网络态势感知的概念，并将其引入到网络安全领域3。网络安全态势感知技术能够对安全要素进行获取、理解和预测，是确保网络安全的一种重要手段4。随着互联网的快速发展，网络空间已经成为继陆、海、空、天之后的第五大战略空间，是影响国家安全、社会稳定、经济发展和文化传播的核心、关键和基础5。然而，网络在给人类带来便利的同时，也带来了诸多隐患。近年来，国内外网络安全事件频发，诸如：数据泄露、勒索软件和病毒木马等各类事件层出不穷，给国家安全和社会稳定造成了前所未有的冲击，网络空间安全形势日趋严峻。随着我国农业的国际地位和影响力快速提升，境外敌对势力、黑客组织和网上不法分子也加大了对我国农业农村部门的关注，农业农村部系统网络基础设施和重要业务系统已成为黑客组织的重要攻击对象之一。2 农业农村部网络安全现状 据调查，农业农村部各司局单位多年来在政务外网共建设 396 个应用系统，265 个网站，信息系统呈现点多面广的分散状态6，且早年各单位信息化水平不一7，应用系统建设大多围绕业务工作开展，对网络安全工作部署情况参差不齐。传统的网络安全防护主要依靠防火墙、入侵检测等进行被动防御，主动发现潜在攻击的能力不足，仅依靠边界防护无法应对新形势下的网络安全防护要求。网络安全设备日志、告警等信息不集中，不利于进行综合分析和科学研判，给网络安全埋下了隐患。网络安全集中化管理、体系化防御有待提高，重大网络安全事件的快速发现和应急处置能力不足。3 平台建设情况 3.1 建设目标 文章通过建设农业农村网络安全态势感知监测分析平台，主要实现以下目标：一是网络安全资源有效整合；二是全方位网络安全态势感知；三是网络安全威胁实时监测；四是网络安全事件及时处置。3.2 建设内容 建设农业农村部网络安全态势感知监测分析平台主要包括 4 方面工作。一是全方位数据采集。对网络中已部署的安全设备、网络设备、服务器及重要应用的安全日志数据进行采集；对全网关键节点流量数据进行采集；对资产类数据、管理类数据及外部威胁情报数据、监测共享数据动态接入。二是多源异构数据标准化。通过提取、清洗、关联、比对等技术手段，将多源异构数据统一格式，去重合并、日志泛化、结构化处理等，提高数据质量、强化数据标识，建立数据间的深层联系。三是全方位网络安全态势感知和威胁监测。利用数据挖掘技术对多源异构数据进行解析、聚合和挖掘；利用安全模型对事件场景进行检测，为业务安全提供全面态势分析和可视化展示；基于行为算法模型，精准识别各类潜在威胁攻击，为研判、决策及重要时期的网络安全保障工作提供支撑。四是安全事件应急处70 农 业 大 数 据 学 报 第5卷 置。通过大数据态势感知监测分析平台，实时监测接入单位的网络安全状态，针对攻击事件第一时间发出通报预警，并进行快速反应处置。平台功能架构如图 1 所示。图 1 平台功能架构 Fig.1 Platform functional architecture 3.3 建设方法 平台采用 B/S 架构进行搭建，对开源组件进行封装和增强，使用 Manager 系统提供集群管理的高可靠性、安全性、容错性和易用性。使用 Hadoop分布式文件系统，提高数据访问吞吐量。使用MySQL 关系型数据库进行元数据存储。使用 Vue提供图形化用户 Web 界面展示。使用 Java、Python等进行模块的设计、开发和封装等。主要功能模块如图 2 所示。平台采用两级部署方式，如图 3 所示。4 平台主要功能模块介绍 4.1 数据采集 4.1.1 流量采集 流量采集由流量探针完成，通过对网络协议解析 还原，特征识别等实现流量中威胁信息检测。检测类型包括漏洞利用、webshell 攻击、木马与间谍软件、恶意文件和异常报文等。4.1.2 日志采集 日志采集有两种方式，一是通过网络日志流量探针进行主动采集，二是接收各种安