新一代移动警务泛态势感知安全监测研究探析

2019-11-14李雁高永龙席新陈绪薛京生

软件 2019年9期

李雁高永龙席新陈绪薛京生

摘要：本文通过对泛态势感知与安全监测技术的研究，探索建立新一代移动警务业务行为的安全管控体系，通过全程监控移动警务业务的运行过程，全程采集应用运行数据，集中分析安全风险，提取安全事件并有针对性地提供管控手段，将固化安全基线转化为动态且面向业务的安全服务，实现可信、可管、可控的安全目标，提高健壮性和稳定性，为移动警务业务的开展提供安全服务和支撑。

关键词：移动警务，泛态势感知，安全监测，探析

中图分类号： TP391.0 文献标识码： A DOI：10.3969/j.issn.1003-6970.2019.09.004

本文著录格式：李雁，高永龙，席新，等. 新一代移动警务泛态势感知安全监测研究探析[J]. 软件，2019，40（9）：18-22

Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology

LI Yan， GAO Yong-long， XI Xin， CHEN Xu， XUE Jing-sheng^*

（Tianjin Public Security Bureau Science and Technology Information Office 300393， China）

【Abstract】： Through the study of general situational awareness and security monitoring technology， this paper explores the establishment of a new generation of mobile police business behavior security control system， through the entire monitoring of the mobile police business operation process， the entire process of collecting application operation data， centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible， manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.

【Key words】： Mobile policing; General situational perception; Security monitoring; Analysis

0 引言

為贯彻公安部“十三五科技发展规划”要求，天津市公安局从自身应用需求出发，正在进行基于4G公众移动通讯网络的新一代移动警务平台的建设。按照“统一平台接入、统一集中管控、统一标准规范”的原则，调整移动警务基础架构，创新移动应用模式，完善安全保护策略，构建更强大的网络融合、数据融合安全环境，进一步推动移动警务应用的蓬勃开展，提高公安机关应急指挥、快速反应、高效服务的能力。

1 现状与需求分析

1.1 业务现状

天津市公安局新一代移动警务系统于在2017年开始建设，现已包括基础设施、应用支撑、移动应用、移动终端、安全防护和集中管控六个方面功能的集成平台，同步制定了配套的标准规范体系和管理制度。网络基础设施由移动互联网服务子平台、联网服务子平台、安全接入子平台、公安信息网服务子平台构成。其中联网服务子平台和公安信息网服务子平台基于云架构建设，移动互联网服务子平台基于公有云（后期可迁移至政务云）建设，安全接入子平台进行了升级改造，符合公安部关于新一代移动警务总体技术方案要求。

在数据全量、实时采集的基础上，采用机器学习和数据挖掘技术，对采集到的海量数据进行实时或离线分析，发现终端、用户和应用异常行为，并提交相关人员进行研判，及时发现未知的用户、应用和终端的违规行为，从而弥补相关人员知识、经验的不足，保障移动警务业务的健康发展。比如可自动发现周期内某用户终端流量过大、不符合正常范围区间等问题。

2.3安全事件的指令联动，解决移动警务应用的可控性

将移动警务所有要管理的业务要素形成基础指标，每个指标项都对应建立可量化的度量标准，以自动或辅助决策的形式关联到控制指令，阻止危害行为的发生，形成事前预防、事中管控、事后追溯的全方位安全管控体系。

3 系统目标、研究内容与部署架构

3.1系統目标

采用大数据架构，全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，辅助安全管理员采取针对性响应处置措施;具备网络安全持续监控能力，能及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力，可以威胁相关的影响范围、攻击路径、目的、手段进行快速判别，支撑安全决策和响应;建立动态安全预警机制，提升风险管控、应急响应和整体安全防护水平^[6]。

3.2研究内容

3.2.1 基于事件流的关联分析技术

复杂事件处理是一种基于事件流（event streaming）的技术，是由史丹佛大学David Luckham 与Brian Fraseca 所提出。事件流（Event streaming）具有高吞吐量（throughput）、高度利用性（availability）、低度延迟（latency）等特性，让企业能够实时决策。任何事情的发生可以认为是一个“事件”，事情的发生产生一项数据，一项数据也可认为是一个“事件”。业务系统的一个交易是一个事件，用户的一个操作也是一个事件。这些事件具有共同点：数据量庞大、流式数据、永不止境。需要从海量事件中找出有意义的单个事件或事件组合，比如可疑交易数据（和正常交易价格有很大出入的多笔交易），并对数据进行分析处理。这个过程即为复杂事件处理。通过一定的规则，从不同的事件源中找出相关的事件组合，并对发现时间做进一步处理。适合的场景包括实时风险管理、实时交易分析、网络诈欺、网络攻击、态势感知趋势分析等^[7]。

3.2.2 基于上下文的用户行为分析

用户行为分析技术以用户为中心，以机器学习为核心技术，分析各种用户异常行为，通过深钻和关联促进分析结果更加准确，及时应对各类用户群体的应用风险，诸如越权访问、业务篡改、内部欺诈、窃取数据等安全威胁，从技术层面为用户提供异常行为安全分析支撑，从制度方面促进信息系统的规范化管理。

用户行为分析技术是面向用户异常行为模式的数据分析技术，用于帮助用户及时发现和应对用户异常操作带来的数据泄密等安全事件。用户行为的分析过程，究其本质实际上是一个从海量数据获得有价值信息的数据挖掘过程，因此用户异常行为分析可以参考数据挖掘和分析学科中的方法，基于数据分析工作和数学算法量化基线，建立模型，计算输出各种异常行为场景。

用户行为分析的核心是机器学习，通过使用有监督或无监督的各种机器学习算法挖掘各种用户异常行为模式，检测和识别前期没有发现的安全风险。有监督式学习模式基于大量真实的样本数据，应用于快速发现未知异常;无监督的机器学习方法保证了系统的自我学习，不断调整和精确识别未知异常。

3.2.3 基于攻击链的威胁行为分析

面对复杂场景，需要多种规则进行组合，多个维度进行关联，通过关联分析得到最终的攻击链结果。

复杂事件处理、关联分析可将多种类型事件进行多维度关联，从而对不同类型事件进行分析，最终找到隐藏的有威胁的事件。比如攻击链溯源分析，攻击者在网络中的行为被完整的展现出来，从攻击手段，攻击线路，攻击影响，被攻击者各个方面进行画像。不管攻击在在网络中设置了多少次跳转以及伪装，都可以通过多维度的分析直接找到攻击源头。大数据态势感知主要采用日志分析的方式来进行溯源分析，通过对接入的流量日志、安全日志、系统日志进行解析、关联、挖掘，最终完整的绘制出攻击链^[8]。

3.3部署架构

新一代移动警务泛态势感知安全监测平台分为前台系统和后台系统。前端为态势可视化展示平台，后端为数据采集和处理平台根据系统组成及整体实现。其中的后端结构如图1所示。

从技术架构来看，本研究采用以Hadoop生态组件为基础的大数据处理技术，完成数据采集、数据实时处理、数据存储、数据分析及业务展现等流程。其技术架构如图2所示。

4 关键技术研究

4.1深度流量包检测探针

深度流量包检测探针提供动态的、深度的、主动的安全检测，为应对新型攻击带来的威胁，从智慧识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意档的检测能力。

通过IP碎片重组、TCP流汇聚以及数据流状态跟踪等能力，对黑客采用任意分片方式进行的攻击进行检测。深度包检测采用智慧协议识别技术，通过动态分析网络报文中包含的协议特征，发现其所在协议，然后递交给相应的协议分析引擎进行处理，高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵，可以准确发现绑定在任意埠的各种恶意流量、漏洞攻击。

4.2基于层次化时空特征学习的网络流量异常检测

基于网络流量的空间特征学习、时序特征学习，建立层次化时空网络安全监测方法，构建态势感知算法和模型库，以从网络流量大数据中获取准确的态势分析和预测结果。通过CNN对网络流量数据、加密流量数据进行学习分类，通过RNN建立双向网络流量时序特征。将网络流量数据的空间特征与时序特征进行融合，建立网络流量的异常分析模型。

4.3大数据分布式存储

大数据分布式存储架构，充分考虑高可用性设计、数据存储量大小、搜索分析效率、成本投入等因素。从搜索分析效率和数据存储量方面考虑，本项目采用ElasticSearch技术，该技术具有企业级分布式文件系统;高扩展性;支持结构化和非结构化数据存储;支持超大规模文档存储并提供数据切分;支持原有数据安全迅速的迁移和备份;提供数据冗余副本机制，可动态设置副本数量并提供查询的高吞吐量等特点。

4.4大数据分布式计算

大数据环境下，流式数据作为一种新型的数据类型，是实时数据处理所面向的数据类型，其相关研究发展迅速。本研究采用Spark Streaming流计算引擎，这是一个对实时数据流进行高通量、容错处理的流式处理系统，可对多种数据源进行类似Map、

Reduce和Join等复杂操作，并将结果保存到外部文件系统、数据库或应用到实时仪表盘。整个流式计算根据业务的需求可以对中间的结果进行叠加或存储到外部设备。

5 结语

从被动运维到主动运维，从被动防护到主动与自动防护，这就是本研究的目标，而态势感知则是必要手段。网络安全态势感知技术只有基于大数据的技术、数据驱动态势感知以及场景驱动来可以实现。基于大数据架构的泛态势安全感知与安全监测技术的研究与部署，可有效提高新一代移动警务平台的健壮性和稳定性，对移动业务的开展起到促进作用，从安全管理的视角为移动警务业务的开展提供安全服务和管理支撑，因而具有广泛的实战应用意义。

参考文献