李雁 高永龍 席新 陳緒 薛京生

摘 ?要： 本文通過對泛態(tài)勢感知與安全監(jiān)測技術(shù)的研究，探索建立新一代移動警務(wù)業(yè)務(wù)行為的安全管控體系，通過全程監(jiān)控移動警務(wù)業(yè)務(wù)的運行過程，全程采集應(yīng)用運行數(shù)據(jù)，集中分析安全風(fēng)險，提取安全事件并有針對性地提供管控手段，將固化安全基線轉(zhuǎn)化為動態(tài)且面向業(yè)務(wù)的安全服務(wù)，實現(xiàn)可信、可管、可控的安全目標(biāo)，提高健壯性和穩(wěn)定性，為移動警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和支撐。

關(guān)鍵詞：?移動警務(wù)，泛態(tài)勢感知，安全監(jiān)測，探析

中圖分類號： TP391.0????文獻標(biāo)識碼：?A????DOI：10.3969/j.issn.1003-6970.2019.09.004

本文著錄格式：李雁，高永龍，席新，等. 新一代移動警務(wù)泛態(tài)勢感知安全監(jiān)測研究探析[J]. 軟件，2019，40（9）：18-22

Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology

LI Yan，?GAO Yong-long，?XI Xin，?CHEN Xu，?XUE Jing-sheng^*

（Tianjin Public Security Bureau Science and Technology Information Office?300393， China）

【Abstract】： Through the study of general situational awareness and security monitoring technology， this paper explores the establishment of a new generation of mobile police business behavior security control system， through the entire monitoring of the mobile police business operation process， the entire process of collecting application operation data， centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible， manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.

【Key words】： Mobile policing; General situational perception; Security monitoring; Analysis

0??引言

為貫徹公安部“十三五科技發(fā)展規(guī)劃”要求，天津市公安局從自身應(yīng)用需求出發(fā)，正在進行基于4G公眾移動通訊網(wǎng)絡(luò)的新一代移動警務(wù)平臺的建設(shè)。按照“統(tǒng)一平臺接入、統(tǒng)一集中管控、統(tǒng)一標(biāo)準(zhǔn)規(guī)范”的原則，調(diào)整移動警務(wù)基礎(chǔ)架構(gòu)，創(chuàng)新移動應(yīng)用模式，完善安全保護策略，構(gòu)建更強大的網(wǎng)絡(luò)融合、數(shù)據(jù)融合安全環(huán)境，進一步推動移動警務(wù)應(yīng)用的蓬勃開展，提高公安機關(guān)應(yīng)急指揮、快速反應(yīng)、高效服務(wù)的能力。

1??現(xiàn)狀與需求分析

1.1??業(yè)務(wù)現(xiàn)狀

天津市公安局新一代移動警務(wù)系統(tǒng)于在2017年開始建設(shè)，現(xiàn)已包括基礎(chǔ)設(shè)施、應(yīng)用支撐、移動應(yīng)用、移動終端、安全防護和集中管控六個方面功能的集成平臺，同步制定了配套的標(biāo)準(zhǔn)規(guī)范體系和管理制度。網(wǎng)絡(luò)基礎(chǔ)設(shè)施由移動互聯(lián)網(wǎng)服務(wù)子平臺、聯(lián)網(wǎng)服務(wù)子平臺、安全接入子平臺、公安信息網(wǎng)服務(wù)子平臺構(gòu)成。其中聯(lián)網(wǎng)服務(wù)子平臺和公安信息網(wǎng)服務(wù)子平臺基于云架構(gòu)建設(shè)，移動互聯(lián)網(wǎng)服務(wù)子平臺基于公有云（后期可遷移至政務(wù)云）建設(shè)，安全接入子平臺進行了升級改造，符合公安部關(guān)于新一代移動警務(wù)總體技術(shù)方案要求。

在數(shù)據(jù)全量、實時采集的基礎(chǔ)上，采用機器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)，對采集到的海量數(shù)據(jù)進行實時或離線分析，發(fā)現(xiàn)終端、用戶和應(yīng)用異常行為，并提交相關(guān)人員進行研判，及時發(fā)現(xiàn)未知的用戶、應(yīng)用和終端的違規(guī)行為，從而彌補相關(guān)人員知識、經(jīng)驗的不足，保障移動警務(wù)業(yè)務(wù)的健康發(fā)展。比如可自動發(fā)現(xiàn)周期內(nèi)某用戶終端流量過大、不符合正常范圍區(qū)間等問題。

2.3安全事件的指令聯(lián)動，解決移動警務(wù)應(yīng)用的可控性

將移動警務(wù)所有要管理的業(yè)務(wù)要素形成基礎(chǔ)指標(biāo)，每個指標(biāo)項都對應(yīng)建立可量化的度量標(biāo)準(zhǔn)，以自動或輔助決策的形式關(guān)聯(lián)到控制指令，阻止危害行為的發(fā)生，形成事前預(yù)防、事中管控、事后追溯的全方位安全管控體系。

3??系統(tǒng)目標(biāo)、研究內(nèi)容與部署架構(gòu)

3.1系統(tǒng)目標(biāo)

采用大數(shù)據(jù)架構(gòu)，全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及應(yīng)用運行健康狀態(tài)、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，輔助安全管理員采取針對性響應(yīng)處置措施;具備網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，能及時發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力，可以威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進行快速判別，支撐安全決策和響應(yīng);建立動態(tài)安全預(yù)警機制，提升風(fēng)險管控、應(yīng)急響應(yīng)和整體安全防護水平^[6]。

3.2研究內(nèi)容

3.2.1??基于事件流的關(guān)聯(lián)分析技術(shù)

復(fù)雜事件處理是一種基于事件流（event streaming）的技術(shù)，是由史丹佛大學(xué)David Luckham 與Brian Fraseca 所提出。事件流（Event streaming）具有高吞吐量（throughput）、高度利用性（availability）、低度延遲（latency）等特性，讓企業(yè)能夠?qū)崟r決策。任何事情的發(fā)生可以認(rèn)為是一個“事件”，事情的發(fā)生產(chǎn)生一項數(shù)據(jù)，一項數(shù)據(jù)也可認(rèn)為是一個“事件”。業(yè)務(wù)系統(tǒng)的一個交易是一個事件，用戶的一個操作也是一個事件。這些事件具有共同點：數(shù)據(jù)量龐大、流式數(shù)據(jù)、永不止境。需要從海量事件中找出有意義的單個事件或事件組合，比如可疑交易數(shù)據(jù)（和正常交易價格有很大出入的多筆交易），并對數(shù)據(jù)進行分析處理。這個過程即為復(fù)雜事件處理。通過一定的規(guī)則，從不同的事件源中找出相關(guān)的事件組合，并對發(fā)現(xiàn)時間做進一步處理。適合的場景包括實時風(fēng)險管理、實時交易分析、網(wǎng)絡(luò)詐欺、網(wǎng)絡(luò)攻擊、態(tài)勢感知趨勢分析等^[7]。

3.2.2??基于上下文的用戶行為分析

用戶行為分析技術(shù)以用戶為中心，以機器學(xué)習(xí)為核心技術(shù)，分析各種用戶異常行為，通過深鉆和關(guān)聯(lián)促進分析結(jié)果更加準(zhǔn)確，及時應(yīng)對各類用戶群體的應(yīng)用風(fēng)險，諸如越權(quán)訪問、業(yè)務(wù)篡改、內(nèi)部欺詐、竊取數(shù)據(jù)等安全威脅，從技術(shù)層面為用戶提供異常行為安全分析支撐，從制度方面促進信息系統(tǒng)的規(guī)范化管理。

用戶行為分析技術(shù)是面向用戶異常行為模式的數(shù)據(jù)分析技術(shù)，用于幫助用戶及時發(fā)現(xiàn)和應(yīng)對用戶異常操作帶來的數(shù)據(jù)泄密等安全事件。用戶行為的分析過程，究其本質(zhì)實際上是一個從海量數(shù)據(jù)獲得有價值信息的數(shù)據(jù)挖掘過程，因此用戶異常行為分析可以參考數(shù)據(jù)挖掘和分析學(xué)科中的方法，基于數(shù)據(jù)分析工作和數(shù)學(xué)算法量化基線，建立模型，計算輸出各種異常行為場景。

用戶行為分析的核心是機器學(xué)習(xí)，通過使用有監(jiān)督或無監(jiān)督的各種機器學(xué)習(xí)算法挖掘各種用戶異常行為模式，檢測和識別前期沒有發(fā)現(xiàn)的安全風(fēng)險。有監(jiān)督式學(xué)習(xí)模式基于大量真實的樣本數(shù)據(jù)，應(yīng)用于快速發(fā)現(xiàn)未知異常;無監(jiān)督的機器學(xué)習(xí)方法保證了系統(tǒng)的自我學(xué)習(xí)，不斷調(diào)整和精確識別未知異常。

3.2.3??基于攻擊鏈的威脅行為分析

面對復(fù)雜場景，需要多種規(guī)則進行組合，多個維度進行關(guān)聯(lián)，通過關(guān)聯(lián)分析得到最終的攻擊鏈結(jié)果。

復(fù)雜事件處理、關(guān)聯(lián)分析可將多種類型事件進行多維度關(guān)聯(lián)，從而對不同類型事件進行分析，最終找到隱藏的有威脅的事件。比如攻擊鏈溯源分析，攻擊者在網(wǎng)絡(luò)中的行為被完整的展現(xiàn)出來，從攻擊手段，攻擊線路，攻擊影響，被攻擊者各個方面進行畫像。不管攻擊在在網(wǎng)絡(luò)中設(shè)置了多少次跳轉(zhuǎn)以及偽裝，都可以通過多維度的分析直接找到攻擊源頭。大數(shù)據(jù)態(tài)勢感知主要采用日志分析的方式來進行溯源分析，通過對接入的流量日志、安全日志、系統(tǒng)日志進行解析、關(guān)聯(lián)、挖掘，最終完整的繪制出攻擊鏈^[8]。

3.3部署架構(gòu)

新一代移動警務(wù)泛態(tài)勢感知安全監(jiān)測平臺分為前臺系統(tǒng)和后臺系統(tǒng)。前端為態(tài)勢可視化展示平臺，后端為數(shù)據(jù)采集和處理平臺根據(jù)系統(tǒng)組成及整體實現(xiàn)。其中的后端結(jié)構(gòu)如圖1所示。

從技術(shù)架構(gòu)來看，本研究采用以Hadoop生態(tài)組件為基礎(chǔ)的大數(shù)據(jù)處理技術(shù)，完成數(shù)據(jù)采集、數(shù)據(jù)實時處理、數(shù)據(jù)存儲、數(shù)據(jù)分析及業(yè)務(wù)展現(xiàn)等流程。其技術(shù)架構(gòu)如圖2所示。

4??關(guān)鍵技術(shù)研究

4.1深度流量包檢測探針

深度流量包檢測探針提供動態(tài)的、深度的、主動的安全檢測，為應(yīng)對新型攻擊帶來的威脅，從智慧識別、環(huán)境感知、行為分析三方面加強了對應(yīng)用協(xié)議、異常行為、惡意檔的檢測能力。

通過IP碎片重組、TCP流匯聚以及數(shù)據(jù)流狀態(tài)跟蹤等能力，對黑客采用任意分片方式進行的攻擊進行檢測。深度包檢測采用智慧協(xié)議識別技術(shù)，通過動態(tài)分析網(wǎng)絡(luò)報文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進行處理，高速、準(zhǔn)確地檢測出通過動態(tài)端口或者智能隧道實施的惡意入侵，可以準(zhǔn)確發(fā)現(xiàn)綁定在任意埠的各種惡意流量、漏洞攻擊。

4.2基于層次化時空特征學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測

基于網(wǎng)絡(luò)流量的空間特征學(xué)習(xí)、時序特征學(xué)習(xí)，建立層次化時空網(wǎng)絡(luò)安全監(jiān)測方法，構(gòu)建態(tài)勢感知算法和模型庫，以從網(wǎng)絡(luò)流量大數(shù)據(jù)中獲取準(zhǔn)確的態(tài)勢分析和預(yù)測結(jié)果。通過CNN對網(wǎng)絡(luò)流量數(shù)據(jù)、加密流量數(shù)據(jù)進行學(xué)習(xí)分類，通過RNN建立雙向網(wǎng)絡(luò)流量時序特征。將網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征與時序特征進行融合，建立網(wǎng)絡(luò)流量的異常分析模型。

4.3大數(shù)據(jù)分布式存儲

大數(shù)據(jù)分布式存儲架構(gòu)，充分考慮高可用性設(shè)計、數(shù)據(jù)存儲量大小、搜索分析效率、成本投入等因素。從搜索分析效率和數(shù)據(jù)存儲量方面考慮，本項目采用ElasticSearch技術(shù)，該技術(shù)具有企業(yè)級分布式文件系統(tǒng);高擴展性;支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲;支持超大規(guī)模文檔存儲并提供數(shù)據(jù)切分;支持原有數(shù)據(jù)安全迅速的遷移和備份;提供數(shù)據(jù)冗余副本機制，可動態(tài)設(shè)置副本數(shù)量并提供查詢的高吞吐量等特點。

4.4大數(shù)據(jù)分布式計算

大數(shù)據(jù)環(huán)境下，流式數(shù)據(jù)作為一種新型的數(shù)據(jù)類型，是實時數(shù)據(jù)處理所面向的數(shù)據(jù)類型，其相關(guān)研究發(fā)展迅速。本研究采用Spark Streaming流計算引擎，這是一個對實時數(shù)據(jù)流進行高通量、容錯處理的流式處理系統(tǒng)，可對多種數(shù)據(jù)源進行類似Map、

Reduce和Join等復(fù)雜操作，并將結(jié)果保存到外部文件系統(tǒng)、數(shù)據(jù)庫或應(yīng)用到實時儀表盤。整個流式計算根據(jù)業(yè)務(wù)的需求可以對中間的結(jié)果進行疊加或存儲到外部設(shè)備。

5??結(jié)語

從被動運維到主動運維，從被動防護到主動與自動防護，這就是本研究的目標(biāo)，而態(tài)勢感知則是必要手段。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)只有基于大數(shù)據(jù)的技術(shù)、數(shù)據(jù)驅(qū)動態(tài)勢感知以及場景驅(qū)動來可以實現(xiàn)。基于大數(shù)據(jù)架構(gòu)的泛態(tài)勢安全感知與安全監(jiān)測技術(shù)的研究與部署，可有效提高新一代移動警務(wù)平臺的健壯性和穩(wěn)定性，對移動業(yè)務(wù)的開展起到促進作用，從安全管理的視角為移動警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和管理支撐，因而具有廣泛的實戰(zhàn)應(yīng)用意義。

參考文獻

• 韓曉露， 劉云， 張振江， 呂欣， 李陽.?網(wǎng)絡(luò)安全態(tài)勢感知理論與技術(shù)綜述及難點問題研究.?信息安全與通信保密[J]， 2019（07）：?61-71.
• 王志奇， 陳宇， 雷亞.?基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢分析平臺.?警察技術(shù)[J].?2018（05）：?68-74.
• 董超， 劉雷.?大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究.?網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].?2019（07）：?60-62.
• 董煜， 林柏鋼.基于專網(wǎng)的移動警務(wù)安全保障系統(tǒng)設(shè)計與研究.?計算機工程與設(shè)計[J].?2007， 28（17）：?4319-4322.
• 肖薇， 計春雷.面向移動警務(wù)應(yīng)用的云計算平臺涉及與實現(xiàn)[C]//第八屆中國多智能體系統(tǒng)與控制會議論文集， 上海：?上海交通大學(xué)出版社， 2012：?303-305.
• 琚安康， 郭淵博， 朱泰銘， 王通.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)與工具研究.?計算機科學(xué)[J].?2017， 44（02）：?38-45.
• 王長會， 馬慶利.基于大數(shù)據(jù)的移動用戶行為分析研究.?現(xiàn)代信息科技[J].?2019， 3（12）：?58-60.
• 江沸菠， 王玲， 劉輝.?移動警務(wù)信息系統(tǒng)的設(shè)計與實現(xiàn).?信息安全與通信保密[J].?2006（11）， 103-105.
• 劉闖.?基于機器學(xué)習(xí)移動用戶行為分析研究[D].?長春：?長春理工大學(xué)， 2018.
• 段明琪.?基于日志分析的大數(shù)據(jù)威脅感知系統(tǒng)的研究[D].?北京：?北京郵電大學(xué)， 2008.
• 石峰.?移動警務(wù)信息系統(tǒng)安全技術(shù)研究與實現(xiàn)[D].?北京：?北京工業(yè)大學(xué)， 2009.
• 顏明.?移動警務(wù)通身份認(rèn)證的設(shè)計與實現(xiàn)[D].?合肥：?合肥工業(yè)大學(xué)， 2007.