李雁 高永龍 席新 陳緒 薛京生

摘 ?要： 本文通過(guò)對(duì)泛態(tài)勢(shì)感知與安全監(jiān)測(cè)技術(shù)的研究，探索建立新一代移動(dòng)警務(wù)業(yè)務(wù)行為的安全管控體系，通過(guò)全程監(jiān)控移動(dòng)警務(wù)業(yè)務(wù)的運(yùn)行過(guò)程，全程采集應(yīng)用運(yùn)行數(shù)據(jù)，集中分析安全風(fēng)險(xiǎn)，提取安全事件并有針對(duì)性地提供管控手段，將固化安全基線轉(zhuǎn)化為動(dòng)態(tài)且面向業(yè)務(wù)的安全服務(wù)，實(shí)現(xiàn)可信、可管、可控的安全目標(biāo)，提高健壯性和穩(wěn)定性，為移動(dòng)警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和支撐。

關(guān)鍵詞：?移動(dòng)警務(wù)，泛態(tài)勢(shì)感知，安全監(jiān)測(cè)，探析

中圖分類號(hào)： TP391.0????文獻(xiàn)標(biāo)識(shí)碼：?A????DOI：10.3969/j.issn.1003-6970.2019.09.004

本文著錄格式：李雁，高永龍，席新，等. 新一代移動(dòng)警務(wù)泛態(tài)勢(shì)感知安全監(jiān)測(cè)研究探析[J]. 軟件，2019，40（9）：18-22

Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology

LI Yan，?GAO Yong-long，?XI Xin，?CHEN Xu，?XUE Jing-sheng^*

（Tianjin Public Security Bureau Science and Technology Information Office?300393， China）

【Abstract】： Through the study of general situational awareness and security monitoring technology， this paper explores the establishment of a new generation of mobile police business behavior security control system， through the entire monitoring of the mobile police business operation process， the entire process of collecting application operation data， centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible， manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.

【Key words】： Mobile policing; General situational perception; Security monitoring; Analysis

0??引言

為貫徹公安部“十三五科技發(fā)展規(guī)劃”要求，天津市公安局從自身應(yīng)用需求出發(fā)，正在進(jìn)行基于4G公眾移動(dòng)通訊網(wǎng)絡(luò)的新一代移動(dòng)警務(wù)平臺(tái)的建設(shè)。按照“統(tǒng)一平臺(tái)接入、統(tǒng)一集中管控、統(tǒng)一標(biāo)準(zhǔn)規(guī)范”的原則，調(diào)整移動(dòng)警務(wù)基礎(chǔ)架構(gòu)，創(chuàng)新移動(dòng)應(yīng)用模式，完善安全保護(hù)策略，構(gòu)建更強(qiáng)大的網(wǎng)絡(luò)融合、數(shù)據(jù)融合安全環(huán)境，進(jìn)一步推動(dòng)移動(dòng)警務(wù)應(yīng)用的蓬勃開展，提高公安機(jī)關(guān)應(yīng)急指揮、快速反應(yīng)、高效服務(wù)的能力。

1??現(xiàn)狀與需求分析

1.1??業(yè)務(wù)現(xiàn)狀

天津市公安局新一代移動(dòng)警務(wù)系統(tǒng)于在2017年開始建設(shè)，現(xiàn)已包括基礎(chǔ)設(shè)施、應(yīng)用支撐、移動(dòng)應(yīng)用、移動(dòng)終端、安全防護(hù)和集中管控六個(gè)方面功能的集成平臺(tái)，同步制定了配套的標(biāo)準(zhǔn)規(guī)范體系和管理制度。網(wǎng)絡(luò)基礎(chǔ)設(shè)施由移動(dòng)互聯(lián)網(wǎng)服務(wù)子平臺(tái)、聯(lián)網(wǎng)服務(wù)子平臺(tái)、安全接入子平臺(tái)、公安信息網(wǎng)服務(wù)子平臺(tái)構(gòu)成。其中聯(lián)網(wǎng)服務(wù)子平臺(tái)和公安信息網(wǎng)服務(wù)子平臺(tái)基于云架構(gòu)建設(shè)，移動(dòng)互聯(lián)網(wǎng)服務(wù)子平臺(tái)基于公有云（后期可遷移至政務(wù)云）建設(shè)，安全接入子平臺(tái)進(jìn)行了升級(jí)改造，符合公安部關(guān)于新一代移動(dòng)警務(wù)總體技術(shù)方案要求。

在數(shù)據(jù)全量、實(shí)時(shí)采集的基礎(chǔ)上，采用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)，對(duì)采集到的海量數(shù)據(jù)進(jìn)行實(shí)時(shí)或離線分析，發(fā)現(xiàn)終端、用戶和應(yīng)用異常行為，并提交相關(guān)人員進(jìn)行研判，及時(shí)發(fā)現(xiàn)未知的用戶、應(yīng)用和終端的違規(guī)行為，從而彌補(bǔ)相關(guān)人員知識(shí)、經(jīng)驗(yàn)的不足，保障移動(dòng)警務(wù)業(yè)務(wù)的健康發(fā)展。比如可自動(dòng)發(fā)現(xiàn)周期內(nèi)某用戶終端流量過(guò)大、不符合正常范圍區(qū)間等問(wèn)題。

2.3安全事件的指令聯(lián)動(dòng)，解決移動(dòng)警務(wù)應(yīng)用的可控性

將移動(dòng)警務(wù)所有要管理的業(yè)務(wù)要素形成基礎(chǔ)指標(biāo)，每個(gè)指標(biāo)項(xiàng)都對(duì)應(yīng)建立可量化的度量標(biāo)準(zhǔn)，以自動(dòng)或輔助決策的形式關(guān)聯(lián)到控制指令，阻止危害行為的發(fā)生，形成事前預(yù)防、事中管控、事后追溯的全方位安全管控體系。

3??系統(tǒng)目標(biāo)、研究?jī)?nèi)容與部署架構(gòu)

3.1系統(tǒng)目標(biāo)

采用大數(shù)據(jù)架構(gòu)，全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，輔助安全管理員采取針對(duì)性響應(yīng)處置措施;具備網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，能及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力，可以威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，支撐安全決策和響應(yīng);建立動(dòng)態(tài)安全預(yù)警機(jī)制，提升風(fēng)險(xiǎn)管控、應(yīng)急響應(yīng)和整體安全防護(hù)水平^[6]。

3.2研究?jī)?nèi)容

3.2.1??基于事件流的關(guān)聯(lián)分析技術(shù)

復(fù)雜事件處理是一種基于事件流（event streaming）的技術(shù)，是由史丹佛大學(xué)David Luckham 與Brian Fraseca 所提出。事件流（Event streaming）具有高吞吐量（throughput）、高度利用性（availability）、低度延遲（latency）等特性，讓企業(yè)能夠?qū)崟r(shí)決策。任何事情的發(fā)生可以認(rèn)為是一個(gè)“事件”，事情的發(fā)生產(chǎn)生一項(xiàng)數(shù)據(jù)，一項(xiàng)數(shù)據(jù)也可認(rèn)為是一個(gè)“事件”。業(yè)務(wù)系統(tǒng)的一個(gè)交易是一個(gè)事件，用戶的一個(gè)操作也是一個(gè)事件。這些事件具有共同點(diǎn)：數(shù)據(jù)量龐大、流式數(shù)據(jù)、永不止境。需要從海量事件中找出有意義的單個(gè)事件或事件組合，比如可疑交易數(shù)據(jù)（和正常交易價(jià)格有很大出入的多筆交易），并對(duì)數(shù)據(jù)進(jìn)行分析處理。這個(gè)過(guò)程即為復(fù)雜事件處理。通過(guò)一定的規(guī)則，從不同的事件源中找出相關(guān)的事件組合，并對(duì)發(fā)現(xiàn)時(shí)間做進(jìn)一步處理。適合的場(chǎng)景包括實(shí)時(shí)風(fēng)險(xiǎn)管理、實(shí)時(shí)交易分析、網(wǎng)絡(luò)詐欺、網(wǎng)絡(luò)攻擊、態(tài)勢(shì)感知趨勢(shì)分析等^[7]。

3.2.2??基于上下文的用戶行為分析

用戶行為分析技術(shù)以用戶為中心，以機(jī)器學(xué)習(xí)為核心技術(shù)，分析各種用戶異常行為，通過(guò)深鉆和關(guān)聯(lián)促進(jìn)分析結(jié)果更加準(zhǔn)確，及時(shí)應(yīng)對(duì)各類用戶群體的應(yīng)用風(fēng)險(xiǎn)，諸如越權(quán)訪問(wèn)、業(yè)務(wù)篡改、內(nèi)部欺詐、竊取數(shù)據(jù)等安全威脅，從技術(shù)層面為用戶提供異常行為安全分析支撐，從制度方面促進(jìn)信息系統(tǒng)的規(guī)范化管理。

用戶行為分析技術(shù)是面向用戶異常行為模式的數(shù)據(jù)分析技術(shù)，用于幫助用戶及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)用戶異常操作帶來(lái)的數(shù)據(jù)泄密等安全事件。用戶行為的分析過(guò)程，究其本質(zhì)實(shí)際上是一個(gè)從海量數(shù)據(jù)獲得有價(jià)值信息的數(shù)據(jù)挖掘過(guò)程，因此用戶異常行為分析可以參考數(shù)據(jù)挖掘和分析學(xué)科中的方法，基于數(shù)據(jù)分析工作和數(shù)學(xué)算法量化基線，建立模型，計(jì)算輸出各種異常行為場(chǎng)景。

用戶行為分析的核心是機(jī)器學(xué)習(xí)，通過(guò)使用有監(jiān)督或無(wú)監(jiān)督的各種機(jī)器學(xué)習(xí)算法挖掘各種用戶異常行為模式，檢測(cè)和識(shí)別前期沒(méi)有發(fā)現(xiàn)的安全風(fēng)險(xiǎn)。有監(jiān)督式學(xué)習(xí)模式基于大量真實(shí)的樣本數(shù)據(jù)，應(yīng)用于快速發(fā)現(xiàn)未知異常;無(wú)監(jiān)督的機(jī)器學(xué)習(xí)方法保證了系統(tǒng)的自我學(xué)習(xí)，不斷調(diào)整和精確識(shí)別未知異常。

3.2.3??基于攻擊鏈的威脅行為分析

面對(duì)復(fù)雜場(chǎng)景，需要多種規(guī)則進(jìn)行組合，多個(gè)維度進(jìn)行關(guān)聯(lián)，通過(guò)關(guān)聯(lián)分析得到最終的攻擊鏈結(jié)果。

復(fù)雜事件處理、關(guān)聯(lián)分析可將多種類型事件進(jìn)行多維度關(guān)聯(lián)，從而對(duì)不同類型事件進(jìn)行分析，最終找到隱藏的有威脅的事件。比如攻擊鏈溯源分析，攻擊者在網(wǎng)絡(luò)中的行為被完整的展現(xiàn)出來(lái)，從攻擊手段，攻擊線路，攻擊影響，被攻擊者各個(gè)方面進(jìn)行畫像。不管攻擊在在網(wǎng)絡(luò)中設(shè)置了多少次跳轉(zhuǎn)以及偽裝，都可以通過(guò)多維度的分析直接找到攻擊源頭。大數(shù)據(jù)態(tài)勢(shì)感知主要采用日志分析的方式來(lái)進(jìn)行溯源分析，通過(guò)對(duì)接入的流量日志、安全日志、系統(tǒng)日志進(jìn)行解析、關(guān)聯(lián)、挖掘，最終完整的繪制出攻擊鏈^[8]。

3.3部署架構(gòu)

新一代移動(dòng)警務(wù)泛態(tài)勢(shì)感知安全監(jiān)測(cè)平臺(tái)分為前臺(tái)系統(tǒng)和后臺(tái)系統(tǒng)。前端為態(tài)勢(shì)可視化展示平臺(tái)，后端為數(shù)據(jù)采集和處理平臺(tái)根據(jù)系統(tǒng)組成及整體實(shí)現(xiàn)。其中的后端結(jié)構(gòu)如圖1所示。

從技術(shù)架構(gòu)來(lái)看，本研究采用以Hadoop生態(tài)組件為基礎(chǔ)的大數(shù)據(jù)處理技術(shù)，完成數(shù)據(jù)采集、數(shù)據(jù)實(shí)時(shí)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析及業(yè)務(wù)展現(xiàn)等流程。其技術(shù)架構(gòu)如圖2所示。

4??關(guān)鍵技術(shù)研究

4.1深度流量包檢測(cè)探針

深度流量包檢測(cè)探針提供動(dòng)態(tài)的、深度的、主動(dòng)的安全檢測(cè)，為應(yīng)對(duì)新型攻擊帶來(lái)的威脅，從智慧識(shí)別、環(huán)境感知、行為分析三方面加強(qiáng)了對(duì)應(yīng)用協(xié)議、異常行為、惡意檔的檢測(cè)能力。

通過(guò)IP碎片重組、TCP流匯聚以及數(shù)據(jù)流狀態(tài)跟蹤等能力，對(duì)黑客采用任意分片方式進(jìn)行的攻擊進(jìn)行檢測(cè)。深度包檢測(cè)采用智慧協(xié)議識(shí)別技術(shù)，通過(guò)動(dòng)態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理，高速、準(zhǔn)確地檢測(cè)出通過(guò)動(dòng)態(tài)端口或者智能隧道實(shí)施的惡意入侵，可以準(zhǔn)確發(fā)現(xiàn)綁定在任意埠的各種惡意流量、漏洞攻擊。

4.2基于層次化時(shí)空特征學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測(cè)

基于網(wǎng)絡(luò)流量的空間特征學(xué)習(xí)、時(shí)序特征學(xué)習(xí)，建立層次化時(shí)空網(wǎng)絡(luò)安全監(jiān)測(cè)方法，構(gòu)建態(tài)勢(shì)感知算法和模型庫(kù)，以從網(wǎng)絡(luò)流量大數(shù)據(jù)中獲取準(zhǔn)確的態(tài)勢(shì)分析和預(yù)測(cè)結(jié)果。通過(guò)CNN對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)、加密流量數(shù)據(jù)進(jìn)行學(xué)習(xí)分類，通過(guò)RNN建立雙向網(wǎng)絡(luò)流量時(shí)序特征。將網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征與時(shí)序特征進(jìn)行融合，建立網(wǎng)絡(luò)流量的異常分析模型。

4.3大數(shù)據(jù)分布式存儲(chǔ)

大數(shù)據(jù)分布式存儲(chǔ)架構(gòu)，充分考慮高可用性設(shè)計(jì)、數(shù)據(jù)存儲(chǔ)量大小、搜索分析效率、成本投入等因素。從搜索分析效率和數(shù)據(jù)存儲(chǔ)量方面考慮，本項(xiàng)目采用ElasticSearch技術(shù)，該技術(shù)具有企業(yè)級(jí)分布式文件系統(tǒng);高擴(kuò)展性;支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ);支持超大規(guī)模文檔存儲(chǔ)并提供數(shù)據(jù)切分;支持原有數(shù)據(jù)安全迅速的遷移和備份;提供數(shù)據(jù)冗余副本機(jī)制，可動(dòng)態(tài)設(shè)置副本數(shù)量并提供查詢的高吞吐量等特點(diǎn)。

4.4大數(shù)據(jù)分布式計(jì)算

大數(shù)據(jù)環(huán)境下，流式數(shù)據(jù)作為一種新型的數(shù)據(jù)類型，是實(shí)時(shí)數(shù)據(jù)處理所面向的數(shù)據(jù)類型，其相關(guān)研究發(fā)展迅速。本研究采用Spark Streaming流計(jì)算引擎，這是一個(gè)對(duì)實(shí)時(shí)數(shù)據(jù)流進(jìn)行高通量、容錯(cuò)處理的流式處理系統(tǒng)，可對(duì)多種數(shù)據(jù)源進(jìn)行類似Map、

Reduce和Join等復(fù)雜操作，并將結(jié)果保存到外部文件系統(tǒng)、數(shù)據(jù)庫(kù)或應(yīng)用到實(shí)時(shí)儀表盤。整個(gè)流式計(jì)算根據(jù)業(yè)務(wù)的需求可以對(duì)中間的結(jié)果進(jìn)行疊加或存儲(chǔ)到外部設(shè)備。

5??結(jié)語(yǔ)

從被動(dòng)運(yùn)維到主動(dòng)運(yùn)維，從被動(dòng)防護(hù)到主動(dòng)與自動(dòng)防護(hù)，這就是本研究的目標(biāo)，而態(tài)勢(shì)感知?jiǎng)t是必要手段。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)只有基于大數(shù)據(jù)的技術(shù)、數(shù)據(jù)驅(qū)動(dòng)態(tài)勢(shì)感知以及場(chǎng)景驅(qū)動(dòng)來(lái)可以實(shí)現(xiàn)。基于大數(shù)據(jù)架構(gòu)的泛態(tài)勢(shì)安全感知與安全監(jiān)測(cè)技術(shù)的研究與部署，可有效提高新一代移動(dòng)警務(wù)平臺(tái)的健壯性和穩(wěn)定性，對(duì)移動(dòng)業(yè)務(wù)的開展起到促進(jìn)作用，從安全管理的視角為移動(dòng)警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和管理支撐，因而具有廣泛的實(shí)戰(zhàn)應(yīng)用意義。

參考文獻(xiàn)

• 韓曉露， 劉云， 張振江， 呂欣， 李陽(yáng).?網(wǎng)絡(luò)安全態(tài)勢(shì)感知理論與技術(shù)綜述及難點(diǎn)問(wèn)題研究.?信息安全與通信保密[J]， 2019（07）：?61-71.
• 王志奇， 陳宇， 雷亞.?基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)分析平臺(tái).?警察技術(shù)[J].?2018（05）：?68-74.
• 董超， 劉雷.?大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合技術(shù)研究.?網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].?2019（07）：?60-62.
• 董煜， 林柏鋼.基于專網(wǎng)的移動(dòng)警務(wù)安全保障系統(tǒng)設(shè)計(jì)與研究.?計(jì)算機(jī)工程與設(shè)計(jì)[J].?2007， 28（17）：?4319-4322.
• 肖薇， 計(jì)春雷.面向移動(dòng)警務(wù)應(yīng)用的云計(jì)算平臺(tái)涉及與實(shí)現(xiàn)[C]//第八屆中國(guó)多智能體系統(tǒng)與控制會(huì)議論文集， 上海：?上海交通大學(xué)出版社， 2012：?303-305.
• 琚安康， 郭淵博， 朱泰銘， 王通.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)與工具研究.?計(jì)算機(jī)科學(xué)[J].?2017， 44（02）：?38-45.
• 王長(zhǎng)會(huì)， 馬慶利.基于大數(shù)據(jù)的移動(dòng)用戶行為分析研究.?現(xiàn)代信息科技[J].?2019， 3（12）：?58-60.
• 江沸菠， 王玲， 劉輝.?移動(dòng)警務(wù)信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).?信息安全與通信保密[J].?2006（11）， 103-105.
• 劉闖.?基于機(jī)器學(xué)習(xí)移動(dòng)用戶行為分析研究[D].?長(zhǎng)春：?長(zhǎng)春理工大學(xué)， 2018.
• 段明琪.?基于日志分析的大數(shù)據(jù)威脅感知系統(tǒng)的研究[D].?北京：?北京郵電大學(xué)， 2008.
• 石峰.?移動(dòng)警務(wù)信息系統(tǒng)安全技術(shù)研究與實(shí)現(xiàn)[D].?北京：?北京工業(yè)大學(xué)， 2009.
• 顏明.?移動(dòng)警務(wù)通身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)[D].?合肥：?合肥工業(yè)大學(xué)， 2007.