基于SaaS大数据平台的安全防护系统设计与实现

骞 巍，刘莎莎，孙晶莹

(中国电建集团海外投资有限公司，北京 100048)

0 前 言

当下，全球已经全面进入了大数据时代，期刊《Science》在2011年发表的《Dealing With Data》中深入讨论了我们在数据洪流(data deluge，DD)中所面临的挑战，并指出人们在有效地组织和利用这些海量数据的基础上，将会更好地利用科学技术，达到发挥推动社会发展的巨大作用[1]。

在我国，随着云计算、大数据、物联网、移动支付等新兴技术的快速发展，以及智慧城市发展需求的提出，导致各种智能移动设备、传感器、电子商务网站、社交网络每时每刻都在产生结构各异的海量数据[2]。区别于传统的数据组成，容量大、结构复杂的大数据背后隐藏着更多的知识与智慧，并为人类理解世界和社会提供了新的契机[3]。TB、PB级数据已成为常见数据规模，数据规模的几何级增长远远超出了现有信息系统和传统计算技术的计算能力，因此，寻找高效的大数据处理技术已经成为必要。将信号转化为数据、将数据分析为信息、将信息提炼为知识、以知识促成决策和行动是大数据技术的根本驱动力[4]。

服务器是IT系统中的核心设备，服务器一旦出现故障，整个IT系统就会立马瘫痪，因而做好服务器的安全防护部署十分必要[5]。而对于政府部门和企业来说，机密文件较多，信息存储量大，日常运转对于计算机系统的依赖性较强，做好服务器安全防护方面的工作显得尤为重要。

随着大数据时代的来临，如何展示大数据分析挖掘得到的关键数据成为新的研究方向。可视化分析挖掘人类对于信息的认知能力与优势，将人、机有机融合，借助人机交互高效洞悉大数据背后的信息与规律，是大数据分析的重要方法。人类从外界获得的信息约有80%以上来自于视觉系统[6-7]。当大数据以直观的可视化图形方式展现时，利用人眼的感知能力可洞悉数据背后隐藏的信息，并可将其转化为知识。

1 系统概述

大数据服务器安全防护平台是基于SaaS大数据分析平台[8]DeepInsight进行开发、为内外网安全防护提供保障的可视化分析平台。平台能够采集并存储多种数据源，并对多种数据源进行处理和数据分析。该安全防护系统主要从资产、用户、数据、服务四个方面为用户提供多维度安全分析的平台，以确保企业用户对各类资源进行实时监控，并重点关注异常事件发展趋势。

2 模块设计与实现

本系统是基于大数据服务器的安全防护平台，为用户提供了一体化、组件化、交互式、可视化、高可扩展性的开发环境。本系统能够以资源、用户、数据、服务安全分析对象，追溯目标实体发生的安全异常行为，便于用户梳理安全事件线索，真正实现基于大数据服务器安全防护。

2.1 管理维护

控制中心负责完成系统的各项配置工作，如数据管理、采集配置、权限管理等，保证系统的正常运营、数据采集、权限分配等。

管理维护主要分为资产维护、采集策略、过滤策略和性能监控4个子模块。其中，资产维护模块用于查看当前维护的资产情况，可通过增、删、改、查对资产进行操作；采集策略模块通过配置Kibana相关参数来采集不同种类的数据；过滤策略模块通过配置Logstash过滤策略对采集到的数据进行规则筛选；性能监控模块可用于实时监控Kibana、Logstash和Beats[9]的相关性能。

2.2 安全态势

安全态势主要有实时播报、拓扑展示和发展趋势3个模块。实时播报模块主要展示异常事件表格数据，异常事件的类型主要分为4种：资产、用户、数据、服务。异常事件数据的采集需要在采集策略中进行配置。实时播报可以设置查询时间，也可以设置为自动刷新并设置刷新时间间隔，以实现实时滚动播报当前系统发生的安全异常时间。此外可以通过添加过滤条件或使用Lucene查询语法进行更精确的查询。

拓扑展示模块主要用来展示各个地域以及地域内各资产之间相互连接的形式。默认按上一次保存布局的结果显示拓扑结构。双击区域图表可以展示该区域内的资产拓扑结构，资产名称对应资产维护表中的用户名和IP号。

发展趋势模块主要是针对安全异常趋势进行分析，通过对资产、用户、数据和服务的安全异常历史数据进行分析，展示系统安全异常发展趋势。其中，周期执行功能模块可以定时查询发展趋势信息，周期时间类型支持日、时、分、秒4种类型；时间范围数据查询模块可以查询不同时间范围内系统安全异常发展趋势；资产、用户、数据和服务异常事件统计模块返回当前查询时间范围内对应异常事件类型的记录数、当前查询时间范围内对应异常事件类型的记录数与上一时间段异常记录数的差值。资产、用户、数据和服务异常趋势展示模块以时间轴的方式展示查询时间范围内各时间段资产、用户、数据和服务异常事件变化的趋势。资产、用户、数据和服务类型事件Top5模块主要是将查询时间范围内产生的4种异常事件按时间名称进行分组，统计异常事件的数量和严重程度，并按严重程度和异常事件数量进行排序。严重程度高的、相同严重程度事件数量多的排在前面，最终以表格的形式进行展示。

2.3 资产、用户及服务安全

资产包括企业IT环境中存在的网络设备、网络安全设备、服务器、台式机、移动电脑等。资产安全异常是指在有形物理资产上发现的安全异常，如：资产是否存在安全漏洞；是否受到安全攻击等。

系统提供Nessus系统漏洞扫描与分析工具，将采集到的系统漏洞数据写入Logstash，并通过Kibana进行多维度可视化分析，最终将分析结果通过仪表盘统一展示。

用户是指使用IT系统资源的企业员工、访客等。用户安全异常是指人在IT环境中操作所引起的安全异常，例如：用户上网行为异常，频繁访问重点监控的招聘网站；开关机异常，在非正常工作时间开关机；违规使用移动存储外设、无线网络；已解雇人员有IT操作痕迹；某员工账号存在异常大流量邮件传输等。

用户安全目前只针对流量进行分析，能监控到访问次数和访问流量，并通过Kibana进行多维度可视化分析，最终将分析结果通过仪表盘统一展示。

关键服务是指企业IT系统对内或对外提供的核心服务，如Web服务、SVN代码管理服务、关键数据库服务等。关键服务异常分析包括服务保活监控；服务资源占用情况监控；服务性能统计分析；服务用户操作行为审计等。

目前系统服务安全内容主要包括：故障预警趋势、服务响应时间、服务在线情况、故障预警详情。Heartbeat监控工具(服务响应时间、服务在线情况)将采集到的数据保存到Logstash中，并将Heartbeat采集到的异常数据再进行分析并保存，构成故障预警趋势和故障预警详情的数据源。在数据采集之后通过Kibana进行多维度可视化分析，最终将分析结果通过仪表盘统一展示。

服务安全模块下的资源使用趋势子模块主要展示CPU使用率、内存使用率、磁盘使用率。服务器性能监控工具Metricbeat(监控内容：CPU使用率、内存使用率、磁盘使用率)采集资源使用趋势数据。在数据采集之后通过Kibana进行多维度可视化分析，最终将分析结果通过仪表盘统一展示。

2.4 安全查询

安全查询主要由漏洞扫描、故障查询和流量查询3个模块组成。

漏洞扫描模块主要通过Nessus系统漏洞扫描与分析工具采集数据，系统每天会将采集到的系统漏洞数据写入数据库中。资产安全模块下的系统脆弱性即是基于此结果进行的分析。漏洞扫描可以设置查询时间，也可以设置为自动刷新并设置刷新时间间隔，以实现实时滚动播报当前查询时间范围内扫描到的系统漏洞。此外，可以通过添加过滤条件或使用Lucene查询语法进行更精确的查询。

故障查询模块主要由系统提供的服务预警数据采集功能采集数据，系统将采集到的服务故障预警数据写入数据库，此模块直接读取故障预警详情表结果。故障查询可以设置查询时间，也可以设置为自动刷新并设置刷新时间间隔，以实现实时滚动播报当前查询时间范围内发生的故障预警信息以及故障处理情况。此外，还可以通过添加过滤条件或使用Lucene查询语法进行更精确的查询。

流量查询模块主要由系统提供的网络流量监控工具采集数据，系统将采集到的流量监控数据写入数据库。用户可以查看各主机流量访问情况。流量查询可以设置查询时间，也可以设置为自动刷新并设置刷新时间间隔，以实现实时滚动播报当前查询时间范围内采集到各主机流量使用情况。此外可以通过添加过滤条件或使用Lucene查询语法进行更精确的查询。

2.5 大屏展示

大屏展示模块主要用于查看各服务器流量访问情况、异常报警情况、漏洞总数统计、各个正在使用中的服务器响应时间，它不仅可以通过拓扑更直观地了解到所有虚拟机与所在服务器的连接关系，还可以通过拓扑了解到虚拟机以及物理机的在线情况和警报情况。

拓扑展示分为3个区域，分别为A城市一区、二区(DMZ区)以及B城市。

拓扑图上有各个虚拟机以及物理机的分布情况，并可以通过拓扑连线关系，了解物理机与不同虚拟机的链接情况，清晰直观地锁定不同IP位置，同时，拓扑还具有告警展示的功能。机器报警时，拓扑图上会展示警告数量在所报警区域的一期右上方，单击告警机器时，还有观看告警机器详细报警的功能；另外，通过交互式平台的拓扑展示页面，还可以修改大屏展示中拓扑的连接情况。

3 结 语

企业大数据的应用为商业智能的发展注入了新的活力，助力企业基于SaaS大数据平台的服务器安全防护可视化系统的设计与实现。可视化能够有效地克服计算机自动化分析的劣势与不足，整合计算机的分析能力和人们对信息的感知能力，利用认识理论、人机交互技术辅助人们直观有效地洞悉大数据背后的信息，强调人类感知与计算机系统的深度耦合；构建结构化、非结构化、海量、空间4类数据资源关联模型，推进四类数据中心的数据融合，实现业务对4类数据资源的综合利用；把分散的异构数据进行整合，在自主可控、负载均衡的前提下，将数据资产化、可视化、共享化及云端化，构建企业大数据的生态圈。

在未来，企业基于SaaS大数据平台，需建立一套具有可用性高、伸缩性强、提供数据内在关系和价值的数据挖掘分析系统，为企业的发展、业务决策提供便捷、快速和高效的平台支撑。