基于事件过滤的安全分析平台

成果上报申请书成果名称基于事件过滤的安全分析平台成果申报单位湖北省（自治区/直辖市）公司成果承担部门/分公司网优中心成果专业类别*安全所属专业部门*安全线条成果研究类别*其他类成果省内评审结果*优秀关键词索引（3～5个）安全管控、安全分析、KETTLE应用投资0万元（指别的省引入应用大致需要的投资金额）产品版权归属单位中国移动湖北公司对企业现有标准规范的符合度：（按填写说明5）符合网络安全管控平台功能规范《融合通信安全总体技术要求》要求，编号QB-F-015-2014，建议在原有规划增加安全分析平台的功能。成果来源：如果该成果来源于集团研发计划内项目，请填写研发项目年度、项目名称及类型；否则填写“计划外项目”（按填写说明6）省内自立项目专利情况：如果该成果产出相关专利，且专利处于国知局专利申请审查阶段或已授权，请说明专利名称、类型、申请号、状态、是否海外申请等情况。（按填写说明7）无成果简介：简要描述成果目的和意义，解决的问题，取得的社会和经济效益。随着集中优化的进程不断加快，湖北移动网优中心承担了全省无线OMC，以及各类IT系统的集中安全管控工作。在日常的网络安全管理中，重点监控绕行问题、弱口令问题整改、合规问题整改和接入问题核查等问题，非常耗时耗力，如果不及时处理将引起重大的安全隐患。2014年湖北移动省网优中心牵头排查无线网安全问题隐患，成立安全数据问题分析专班，特别是针对安全管控平台及合规平台问题进行事件分析和过滤进行专题研究，探索一条自动化的网络安全管理机制。主要的思路是首先梳理集团的安全管控要求，提取其中的安全管控点，以及每个管控点对应的安全事件；第二是利用ETL中间件，定时采集和过滤异常安全事件，并给出分地市的量化评分，第三是建立地市派单机制，对安全问题进行闭环管控，这样一来就实现了在省中心对全省网络安全问题的集中管控水平，保障了网络的安全。结合KETTLE中间件的强大数据处理能力，对无线网设备的安全问题进行事件过滤和分析。不仅提高了日常工作效率而且大大提高了安全事件的处理能力和安全管控能力。项目创新点如下：创新点1：提高安全隐患排查效率通过事件过滤工具可以及时发现网络安全隐患问题，组织问题整改，便于跟踪管理，较人工排查效率明显提高。真正的成为安全防护的第一道坚实防线。创新点2：自由便捷的白名单管理由于大量的程序账号及内部系统登录连接，导致大量的登录地址需要剔除。在安全问题日益重要的当今，便捷的白名单管理可以大大提升安全隐患排查效率。创新点3：基于KETTLE组件具有高开发效率和低开发成本。KETTLE是开源ETL中间件（免费），支持对结构化和非结构化数据导入，以及全图形化设计过程，让开发人员将主要的精力放在规则上，以期提高开发效率。从使用效果来说，这些工具能够快速地构建一个工程来处理某个数据，相比较于传统的开发模式，节省60%的开发成本。省内试运行效果：描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等。效果一：安全异常事件的数量变少以前异常事件的核查都是采用人工处理，需要至少三四人天的时间去核查事件问题，而kettle在处理大量的数据时有着明显的优势，能够更快更准确的定位出问题，给安全管理人员节省出更多的时间去解决问题和优化安全管理流程，安全事件基本为由2014年第一季度的600件减少到2015年的第一季度的82件效果二：通过工单形成的闭环处理如下图所示，在KETTLE软件的帮助下，通过工单事件形成了闭环处理。在第一时间发现问题，然后就可以立刻发送工单，督促OMC厂家或者地市去解决的问题。用8个月发现了OMC厂家和地市的1400个安全问题，发出工单数约为500个，均督促相关厂家和设备商进行及时处理。效果三：集团考核安全指标的提升Kettle截止今日已经试运行了9个月，如下图所示，在这三个季度以来，集团安全指标由原来的不达标到现在的指标优秀。安全异常事件类型14年第三度15年第一季度绕行事件65.74%0.40%弱口令事件4.43%0.12%合规事件43.23%98.34%接入事件0%99.80%“成果上报申请书”的填写说明：1、“成果专业类别”指：核心网、无线、传输、IP、网管、业务支撑、管理信息系统、市场研究、数据业务、数据网络、通信电源、空调、其他。2、“成果研究类别”指：超前研究、新产品开发、相关网络解决方案、现有业务优化、其他。3、“所属专业部门”指：完成该成果的单位在省公司或地市分公司所属的专业部门线条。可填写：规划计划线条、网络线条、业务支撑线条、管理信息系统线条、数据线条、市场线条、集团客户线条、其他。4、“省内评审结果”指：优秀、通过。5、“对企业现有标准规范的符合度”指：列举该成果使用并符合的中国移动统一发布的企业标准的名称和编号，详细描述该成果在现有的企业标准基础上所需新增的功能要求（如业务流程的改变、设备新增的功能要求等）。6、成果来源指：如果该成果来源于集团研发计划内项目，请填写研发项目的年度、项目名称和类型（类型包括：集团重大研发项目、集团重点研发项目、省公司自立项目）。未列入集团研发计划的，请填写“计划外项目”。（集团研发计划请见集团每年的发文，或登录科技创新平台查阅。）7、专利情况指：1)类型：发明、实用新型、外观2）名称：该成果申请专利的名称3）申请号：由知识产权审查机构授予的该成果专利申请号4）状态：申请中、已授权8、“文章主体”：根据不同科技成果分类实施不同的主体要求，具体如下：1）超前研究类成果主体包括：背景情况技术特点分析标准化情况其他运营商应用情况（可选）技术发展趋势引入策略分析2）相关网络解决方案类成果主体包括：背景情况技术方案：概述、网络解决方案（如果涉及到网络方面的改造，信令改造，路由改造等，应有详细的描述）、设备及系统改造/建设要求、码号资源需求效果（解决了哪些问题）本省应用推广情况3）新产品开发类成果主体包括：业务及功能简介：业务概述、业务主要功能介绍技术实现方案：包括业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程、码号要求等业务申请和开通：包括用户范围及业务使用范围、业务申请与注销等业务商务模式及资费：包括商务模式、业务资费模式、业务收费方式等市场前景分析4）现有业务优化类成果主体包括：业务及功能简介：业务概述、业务主要功能介绍现有业务存在的问题：现有缺陷分析、解决问题的思路原有业务方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程优化后的方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程优化后达到的效果，产生的经济效益5）其他类成果主体，参考1）－4）的成果主体要求，阐述清楚项目背景、实现方案、解决的问题、取得的社会和经济效益等。

基于事件过滤的安全管控平台事件过滤项目背景安全管控是一个关系公司安全和产权、信息稳定、公司文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。中国移动拥有庞大的信息数据体系以及丰富的支撑平台，因此公司的安全与发展与安全管控系统的防护息息相关。根据工信部《关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》（工信部联保〔2012〕551号），以及《2013年省级基础电信企业网络与信息安全工作考核要点与评分标准》（工信厅保〔2012〕247号）中涉及网络维护部门的相关要求，完成年初网络工作会部署的任务，2013年湖北省按照网络与信息安全责任分工，围绕控制重要系统的主要风险，以技术手段建设和应用为抓手，深化基础性安全工作，完善生产流程和评价方法，整体提升网络与信息安全工作水平。如下图2-1所示，集团要求信息安全管控重点检查绕行问题、合规问题、弱口令问题和接入问题。传统的信息安全管控是通过定期抽查其中部分事件，进行手动分析处理，然后对问题地市和厂家进行派单。这种方式费时费力，无法及时针对重大质量问题及时处理，而且不能对整个网络安全有个整体的把控。2014年湖北移动省网优中心牵头排查无线网安全问题隐患，成立安全数据问题分析专班，特别是针对安全管控平台及合规平台问题进行事件分析和过滤进行专题研究，结合KETTLE中间件的强大数据处理能力，对无线网设备的安全问题进行事件过滤和分析。提出并开发了一种高效的基于事件过滤的安全管控平台，它实现了定时自动提取OMC等安全相关数据，根据安全管理员量身定制的算法对数据分析处理，结果推送等功能。这样就避免因为员工疏忽和数据不全面，导致不必要的错误，同时也节省了许多人力和物力资源，大大提高了安全管理的工作效率。图2-1安全管控的整体框架亟待解决的安全管控平台问题待解决问题分析安全管控平台主要事件包括登录问题事件、合规问题事件、弱口令问题事件、绕行问题事件、接入核查事件等。每个问题事件过滤所需的数据源类型多样，数据量大，这不仅需要大量的人力和物力进行处理，而且人员疏忽和数据处理样本过小的问题也导致处理结果准确性不足够高。对需求进行了充分了解后，研制出准确的数据分析模型和时间处理框架，以便轻松的将结果呈现出来。本次实现模式采用大数据处理模式——ETL，对数据进行抽取、清洗、下载。目前安全管控平台安全问题分析主要存在以下问题及难点。1）时间有限：通信工作人员使用和开发编程能力欠缺，数据提取及处理费时费力。购买预算：单独组织集成商开发成本较高，且存在维护困难的问题。事件数量：管控平台中需要核查的问题事件多样化，因此数据采集和结果运算算法复杂。4）数据源多样化：安全管控涉及的主设备厂家较多，数据源多样化，需要各种数据输入形式。5）可扩展性：人员变更和白名单内数据需要根据需要随时进行更新调整。问题1：数据量大，人工分析时间长随着4G网络的不断发展必然要造成网络规模迅速扩大，这使我们在整个网络安全管控方面有了新的挑战。如果再以传统模式中事件抽取的方式进行处理，不但会占用越来越多的人力物力，另外也无法对于安全管控平台的问题情况进行量化评估和针对重大问题及时分析处理。下面简单列举出基本数据的提取及处理时长：表2-1下列数据以网优中心现有网络规模进行统计数据类型规模提取时长（小时）处理时长（小时）接入设备约1000台13.52.5安全管控平台绕行数据100万83合规问题整改数据10万41弱口令问题整改数据10万41面对如此庞大的数据库，人工处理时长太长，而且处理周期频繁，安全管理人员的工作越来越繁重，所以急需一种高效的数据问题核查及分析方案，实现通过对数据问题分析和安全隐患排查的管理。问题2：事件选取集小，分析不全面安全问题是一直是中国移动非常核心的一部分，但是每年都要有一两千个安全问题出现，问题解决进展很缓慢。其中一个重要原因就是问题事件较多，而选取用来分析的集合较少，很难较为全面的去把控整个流程。图2-2安全管控问题分析流程解决对策安全事件模型如下图2-3所示，整个网络安全管理重点监控处理的事件有四个：绕行问题、弱口令问题整改、合规问题整改、接入问题核查。主要事件用例分为：设定自动运行机制，自动从厂家OMC、安全管控平台等提取日志数据；通过公式计算得到绕行率、弱口令率、合规整改率、接入率。1）绕行事件：如下图2-4所示，绕行事件分为白名单登录、4A登录、直连登录、桥接登录。4A绕行率=count(直连登录+桥接登录)/count（白名单+4A登录+直连登录+桥接登录）。2）弱口令事件：如下图2-5所示，弱口令事件的检测结果有两种：检测为弱口令、检测为非弱口令。弱口令率=count(检测为弱口令)/count(检测为弱口令+检测为非弱口令)；3）合规事件：如下图2-6所示，合规事件的核查结果也有两种：合规和不合规。对不合规的厂家地市进行派单整改。合规率=count（合规）/count（合规+不合规）。4）接入事件：如下图2-7所示，接入事件是与资源库中IP地址比对，因此检测结果分为两类：资源库匹配和资源库不匹配。接入率=count（匹配）/count(匹配+不匹配)。得到不符合规定绕行、弱口令、需要整改、接入有问题的详细厂家或者主机IP。对问题地市和厂家派单后续处理。地市和厂家可以通过4A平台连接远程服务器，下载有问题的IP地址详单。图2-3网络管理总概况图图2-4绕行事件图2-5弱口令事件图2-6接入事件图2-7合规事件工具选用结合上述要素，最后选择了Kettle作为ETL的开发中间件。kettle是一款国外开源的ETL工具，纯java编写；可以在Window、Linux、Unix上运行，绿色无需安装；数据抽取高效稳定，大大提高了效率；图形化设计界面，应用以及开发人员上手快。KETTLE组件处理数据的优势：ETL中间件使得网优人员只需要关注哪些数据需要导入，而不需要关注如何导入。多数据源输入支持多种数据库连接：kettle可连接数据库多达十多种，例如Postgresql、MySQL、Oracle、Informax等等支持各种格式的文件输入：如txt、csv、xls、xml、自定义表格等等易于理解可视化编程：基于图形界面设计，无需编码可复用插件:提供大量的插件，规范开发过程模块化组装：数据挖掘过程通过模块拼装实现易于变化模块化结构：方通过局部修改来完善功能。第三方插件：ETL中间件可以作为插件平台平台无关：不依赖底层硬件，方便集群部署闭环管理如下图2-8所示，在省网优、地市和厂家之间通过工单事件形成了闭环处理。省网优安全管理人员在第一时间发现问题，然后就可以立刻发送工单，督促OMC厂家或者地市去解决的问题。地市和设备商会根据具体情况进行整改和优化，然后回复工单。这种闭环形式可以督促跟踪行家解决问题，提高办事效率。使用8个月以来，发现了OMC厂家和地市的1400个安全问题，发出工单数约为500个，均督促相关厂家和设备商进行及时处理。图2-8闭环管理示意图详细技术方案整个流程框架是基于kettle设计，Kettle中文名称叫水壶，该项目的架构师MATT希望把各种数据放到一个壶里，然后以一种指定的格式流出。Kettle这个ETL工具集，它允许你管理来自不同数据库的数据，通过提供一个图形化的用户环境来描述你想做什么，而不是你想怎么做。如下图3所示，按照现在安全管理问题核查需求，针对四个问题进行概率核查和详情输出。将整个安全管控系统的实现模型分为四个模块：绕行率计算、接入率计算、合规率计算、弱口令率计算。如下图4所示，每个模块的实现模型都是按照ETL大数据处理方式进行设计，模块流程包括：事件数据搜集、事件过滤清洗、分析数据、问题结果呈现。针对每个问题的计算流程大体类似，现已绕行率计算模块为例，对每个模块的实现技术进行一一详述。图3-1项目实现框架图3-24A绕行率方案的总实现Job模块项目需求分析利用KETTLE中间件开发一套基于时间过滤的安全管控平台，该平台主要实现的功能为：自动从数据库中提取出所需要的源数据；利用KELLE中间件中和问题核查算法计算问题结果；将结果放到指定文件夹或者数据库表，供使用者查看。图3-3整体需求模块支持从各类平台以及各类型OMC上导出安全日志至工具中；使用kettle工具开发的安全分析平台分析数据数据；将结果结果保存在远程务器或者存储到数据库中；省网优、厂家和地市都可以登录服务器或者数据库客户端对分析结果进行浏览和下载。关键点分析（文本处理特性）支持多文档类型如上图3-3所示，借助于kettle工具的优势，本安全分析平台支持多数据输入：txt、csv、xml、xls、log等等文档类型，并且可以连接大多数数据库，如DB2、MySQL、PostGreSQL、SQLServer、ORACLE、Informax等等。如下图3-4所示，实现将文本文件归一化到数据库中需要经过如下kettle流程。整个数据库中数据表字段为IP地址、厂家制式、地市、时间、是否绕行。下图3-5是每个组件具体实现功能。图3-4实现模型图3-5kettle组件功能数据分析数据分析过程中要产生两个输出结果：概率和祥表。例如对绕行而言，要输出绕行率和绕行的IP地址。其实最核心的步骤就是数据输入，数据归一化到数据库中，计算概率通过简单的SQL代码即可实现。表输入，从数据库中将祥表数据数据到kettle中进行数据分析。此步骤可以在数据输入的过程中对字段进行分析处理，例如计算绕行率，首先计算绕行IP地址和总的IP地址的数量，然后二者相除即可得到绕行率。MicrosoftExcelWriter，将结果输出到指定位置的excel文档中。图3-6数据分析组件项目整体方案如下图3-7所示，将华为、大唐、诺西、中兴、爱立信的OMC日志文件自动导入到Postgresql数据库中，实现数据归一化。图3-8为爱立信实现将.log格式的文件信息归一化到运算所需的信息表中。图3-7数据导入集成模块图3-8立信数据导入实现组件数据导入思路:实现将OMC不同类型的日志文件导入到postgresql数据库中进行归一化，整体思路为：日志文件内容和日志文件名称信息按照需要导入到数据库表中。日志文件名称：中兴_4G或中兴_2G。祥表字段：序号字段名称PG数据类型字符类型1IPVarchar字符型2时间timestamp时间3用户名varchar字符型4制式text文本5地市text文本6是否绕行Int2整形祥表中字段信息来源解析从上面解析过程来看，如下图所示kettle实现过程按照实现流程依次为：获取厂家制式、获取地市、获取时间、增加字段是否绕行、字段删留和记录过滤。图3-9kettle实现整体流程图4A绕行率计算4A绕行率计算公式为：绕行IP数量/（绕行IP数量+非绕行IP数量），在将OMC日志信息归一化到数据库详表中后，数据表字段中有个字段：是否绕行。计算记录“是”记为count1.同时计算IP总数为count2。4A绕行率=count1/count2。具体实现是通过SQL代码实现，实现组件为“执行SQL脚本”。数据清空执行SQL脚本：实现数据表清空。目的有两个：1）为了防止同一天执行两次，所以在每次生成新数据前都把当天数据给删除。2）结果中没有时间记录，因此无法区分每次运行结果，因此系统只保留当天时间数据。自动运行配置项目设计完毕，就可以利用windows任务计划按一定周期去调度项目，实现自动运行，每天会按照指定的时间将结果推送到数据库中或文件夹中供使用者查看。图3-10是自动运行领域对象模型图，设定任务计划，每天按照计划内容调度运行项目，得到分析结果。图3-11为设定好的任务计划，本项目任务计划名称为wangyou0023。图3-10自动运行示意图图3-11任务计划界面Navicate客户端查看和下载结果项目使用者个人电脑上可安装一个navicate客户端，直接连接服务器的postgresql数据库，查看或下载分析结果。Navicat是以视觉化的图形用户界面而建的，让你可以以安全并且简单的方式创建、组织、访问并共用信息。NavicateforPostgreSQL界面如下图3-12所示：图3-12navicate客户端界面Navicate客户端可实现功能如下：查看数据表：双击要查看表格即可下载数据表：查询数据，然后根据导出向导导出数据修改数据表字段：右键点击表设计新建表、删除表、清空表取得的成效安全管控平台日常、周常需要处理数据量大，数据具有一定的规律性。Kettle工具的使用提高了处理数据的效率和准确性，使得更多的人力可以投入到问题的解决处理、数据的优化升级中。安全工作优化的突有表现：实现安全管理工作的规范化基于事件过滤模型和分析平台，一方面明确了工作的要求，同时也很分便进行工作的标准化作业，这个是一个特别核心的效果。在KETTLE软件的帮助下，问题概率核查比较方便，可以在第一时间发现问题，然后就立即发送工单督促OMC厂家或者地市去解决问题，形成了一系列的闭环问题处理过程。根据需要，网优中心安全管理人员又将绕行率、合规率、弱口令率、接入率指标纳入到厂家和地市考核当中。厂家、地市的周考核细化到了每天的日常统计中，极其快速的定位到了问题原因，并且为问题解决预留了更长时间，有利于充分解决问题。仅8个月发现了OMC厂家和地市的1400个安全问题，均督促相关人员对问题快速解决。图4-1闭环处理流程图提升安全问题分析效率1、如下表所示，以前的安全管控数据提取和数