陳希，馬冰珂

(1 中國移動通信集團福建有限公司，福州 350001；2 中國移動通信有限公司研究院，北京 100053）

公網(wǎng)資產(chǎn)、業(yè)務網(wǎng)站和手機移動應用等作為直接暴露在互聯(lián)網(wǎng)側并面向終端用戶的信息系統(tǒng)和應用，在重大活動期間，極易成為黑客的首選攻擊目標和發(fā)起后續(xù)攻擊的入口，因此需要針對公網(wǎng)資產(chǎn)和網(wǎng)站漏洞、手機惡意應用、網(wǎng)站不良信息等潛在信息安全風險采取更加有效的監(jiān)測和防范措施。

然而，目前已有的技術應對措施基本都是特異性的技術手段，只能應對特定類型的安全威脅和風險，缺少整體協(xié)調處理和感知能力。因此，當安全事件較多、安全威脅類型較為復雜時，已有的特異性的應對手段無法從全局角度監(jiān)測和感知信息系統(tǒng)的運行狀態(tài)和當前所面臨的主要安全風險，無法滿足全方位保障信息系統(tǒng)安全性的要求。

態(tài)勢感知技術是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風險的技術，其以安全大數(shù)據(jù)為基礎，能夠從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應處置能力的一種方式。通過態(tài)勢感知技術，提升對整個信息系統(tǒng)的全局感知能力，有效掌握系統(tǒng)的運行狀態(tài)和安全風險，以及系統(tǒng)一段時間內的運行和安全趨勢。態(tài)勢感知技術在電信網(wǎng)中也已經(jīng)得到了一定程度的應用。

本文首先對態(tài)勢感知平臺的關鍵技術進行了研究和分析，重點對態(tài)勢感知平臺核心功能的數(shù)據(jù)集成、數(shù)據(jù)分析和數(shù)據(jù)展示等關鍵技術進行了介紹和梳理。在相關研究內容的基礎上，本文設計開發(fā)了一套信息安全態(tài)勢感知平臺用于廈門重要活動信息安全保障，支持對重點資產(chǎn)和網(wǎng)站、不良信息以及手機移動應用的安全監(jiān)測和態(tài)勢感知等功能，取得了較好的態(tài)勢感知效果。

1 信息安全態(tài)勢感知關鍵技術

信息安全態(tài)勢感知中涉及到大量安全事件和數(shù)據(jù)的集中處理，因此需要在數(shù)據(jù)集成、數(shù)據(jù)分析以及數(shù)據(jù)展示等方面使用大量關鍵技術，本節(jié)對涉及到的各項技術進行了簡要介紹。

1.1 數(shù)據(jù)集成關鍵技術

數(shù)據(jù)處理的一項關鍵技術是將不同來源、不同類型和不同格式的數(shù)據(jù)進行集中處理，使得這些數(shù)據(jù)在物理上或者邏輯上具有一定程度的一致性，便于數(shù)據(jù)的全面共享和集中管理，這個過程就是數(shù)據(jù)集成。目前廣泛使用的數(shù)據(jù)集成技術手段為ETL技術。作為數(shù)據(jù)倉庫構造的一個關鍵環(huán)節(jié)，其主要功能是將不同來源、格式和類型的關系和非關系數(shù)據(jù)進行集中抽取，并在臨時中間層進行集中清洗、轉換和集成，處理后的數(shù)據(jù)加載到數(shù)據(jù)倉庫中。經(jīng)過ETL流程處理后的數(shù)據(jù)一般作為后續(xù)數(shù)據(jù)處理的基礎，圖1給出了一個簡單的ETL流程。

圖1 數(shù)據(jù)集成關鍵技術

1.1.1 數(shù)據(jù)抽取

數(shù)據(jù)集成的第一個步驟是數(shù)據(jù)抽取，其主要功能是從原始數(shù)據(jù)源中抽取對于后續(xù)數(shù)據(jù)處理有用的關鍵數(shù)據(jù)。數(shù)據(jù)抽取主要有以下幾種方式。

（1）全量抽?。菏且环N比較簡單的數(shù)據(jù)抽取方式，全量抽取將源數(shù)據(jù)中的數(shù)據(jù)表、數(shù)據(jù)視圖等數(shù)據(jù)原封不動地從數(shù)據(jù)庫中提取出來，全量抽取的一個關鍵要求是要將抽取后的數(shù)據(jù)轉換成ETL工具可以識別和處理的格式。

（2）增量抽?。菏且环N相對復雜的數(shù)據(jù)抽取方式。顧名思義，增量抽取在已抽取數(shù)據(jù)的基礎上，只針對自上次抽取以來數(shù)據(jù)庫中新增或修改的數(shù)據(jù)進行抽取。增量抽取是應用更為廣泛的一種數(shù)據(jù)抽取方式。

1.1.2 數(shù)據(jù)轉換和加工

數(shù)據(jù)抽取后的結果往往不能夠完全滿足后續(xù)處理的需求，因此一般會對數(shù)據(jù)抽取后的結果數(shù)據(jù)進行一定程度的轉換和加工。數(shù)據(jù)轉換和加工操作通常在ETL引擎中進行單獨操作，也可以在數(shù)據(jù)抽取過程中結合關系數(shù)據(jù)庫協(xié)同進行。

（1）ETL引擎中的數(shù)據(jù)轉換和加工：ETL引擎一般都會提供用于數(shù)據(jù)轉換和加工的組件，包括字段映射、數(shù)據(jù)過濾、數(shù)據(jù)清洗、數(shù)據(jù)替換、數(shù)據(jù)計算、數(shù)據(jù)驗證、數(shù)據(jù)加解密、數(shù)據(jù)合并、數(shù)據(jù)拆分等，這些組件可以按照具體的處理需求進行選取組合以及流程化執(zhí)行。

（2）在數(shù)據(jù)庫中進行數(shù)據(jù)加工：SQL語句和函數(shù)本身就提供了強大的數(shù)據(jù)處理功能，相比在ETL引擎中的數(shù)據(jù)轉換和加工，直接利用SQL語句進行數(shù)據(jù)轉換和加工具有簡潔清晰的特點。但這種方式的一個局限性在于許多操作無法簡單通過SQL語句來直接實現(xiàn)，此時可以結合ETL引擎進行協(xié)同處理。

1.1.3 數(shù)據(jù)裝載

ETL過程的最后一個步驟是對數(shù)據(jù)進行統(tǒng)一裝載。對于目的數(shù)據(jù)庫是關系數(shù)據(jù)庫的情形，主要有兩種數(shù)據(jù)裝載方式。

（1）直接使用SQL語句進行insert、update和delete等操作。

（2）使用sqlldr等批量裝載方式。

針對所需執(zhí)行操作類型的不同以及需要裝載數(shù)據(jù)規(guī)模大小的不同，裝載數(shù)據(jù)的方式也具有一定程度的特異性。大多數(shù)情況下直接使用第一種方法，因為關系數(shù)據(jù)庫會針對SQL語句的操作進行記錄，當出現(xiàn)問題時可以進行恢復。部分應用場景對于數(shù)據(jù)裝載的效率要求較高，適合使用批量裝載方式。

1.2 數(shù)據(jù)分析關鍵技術

信息安全態(tài)勢感知平臺通過集中分析和處理各類安全事件和風險，分析出當前信息安全態(tài)勢和發(fā)展趨勢等信息。為取得較優(yōu)的分析結果，通常使用關聯(lián)分析、綜合關聯(lián)分析等技術提升數(shù)據(jù)分析功能的準確率及執(zhí)行效率。

1.2.1 關聯(lián)分析

圖2 關聯(lián)分析技術

如圖2所示，關聯(lián)分析一般基于規(guī)則匹配的方法，通過分析和創(chuàng)建具體的匹配規(guī)則，對不同類型和結構的事件根據(jù)特征規(guī)則進行匹配，并得出事件分析結論的過程。關聯(lián)分析條件一般根據(jù)安全事件中的一些關鍵和基本屬性作為限制條件，通過對事件關鍵屬性值的具體比較分析等確定規(guī)則匹配的具體結果。

1.2.2 綜合關聯(lián)分析

如圖3所示，綜合關聯(lián)分析的主要功能是通過對多種關聯(lián)分析功能進行結合和統(tǒng)一判斷，將原始的安全事件和安全漏洞數(shù)據(jù)通過多重關聯(lián)分析的判斷和匹配。

綜合關聯(lián)分析系統(tǒng)一般提供3種基本的關聯(lián)分析類型，即規(guī)則關聯(lián)分析、統(tǒng)計關聯(lián)分析和漏洞庫關聯(lián)分析。綜合關聯(lián)分析的具體規(guī)則和關聯(lián)條件的創(chuàng)建，需要考慮各關聯(lián)分析模塊具體功能的特性和不同，綜合考慮業(yè)務和應用安全域和安全控制策略等來進行具體設定。

圖3 綜合關聯(lián)分析技術

1.3 數(shù)據(jù)展示關鍵技術

目前主流的數(shù)據(jù)展示功能一般采用新一代互聯(lián)網(wǎng)前端編程語言HTML5以及響應式布局，瀏覽器插件支持GPU硬件加速功能，能夠提高界面呈現(xiàn)效果，帶來更好、更快的用戶體驗。

1.3.1 大屏展示技術

針對大屏監(jiān)控的優(yōu)化技術，在UI改進上，提供多種富媒體呈現(xiàn)技術保障數(shù)據(jù)呈現(xiàn)直觀、布局合理、形象化，通過多頁輪播、單頁組合等方式可以有效發(fā)揮多屏、單屏等提升有效可視面積和視覺呈現(xiàn)效果，同時充分考慮到監(jiān)控和展示的需求，保證重要的告警和異常數(shù)據(jù)能夠通過聲光電等方式不被客戶遺漏。

1.3.2 磁貼式展示

態(tài)勢感知呈現(xiàn)界面一般采用磁貼式布局，使用方便，方便擴展，靈活定制，可以自由組合監(jiān)控界面，大幅提高監(jiān)控工作效率。磁貼式數(shù)據(jù)展示可支持客戶根據(jù)當前主要需求，以任意定義的多樣式多維度進行詳細頁面數(shù)據(jù)展示，從而根據(jù)不同階段的具體需求對重點安全指標等進行定制化的監(jiān)測。

2 信息安全態(tài)勢感知平臺設計實現(xiàn)

2.1 平臺功能需求

從功能需求角度具體來說，態(tài)勢感知平臺需要支持對重點資產(chǎn)和網(wǎng)站、移動應用、業(yè)務服務終端等的重點監(jiān)測，重點關注網(wǎng)站中存在的安全漏洞、反動涉黃等不良信息、手機移動應用中的惡意URL地址、對自由移動應用的惡意篡改以及業(yè)務服務終端的安全漏洞等安全風險。為實現(xiàn)上述目的，平臺需要支持各類安全知識庫，包含常見的安全漏洞庫、不良信息庫、惡意應用URL庫以及惡意移動應用樣本庫等。此外，平臺還需要采集各類型的系統(tǒng)運行數(shù)據(jù)和安全事件數(shù)據(jù)等，包括資產(chǎn)及網(wǎng)站的運行數(shù)據(jù)、網(wǎng)站內容數(shù)據(jù)、自由移動應用的數(shù)據(jù)、惡意應用URL數(shù)據(jù)以及終端安全的監(jiān)測數(shù)據(jù)等，平臺的具體功能需求示意在圖4中給出。

2.2 平臺技術架構

圖4 態(tài)勢感知平臺總體功能需求

按照信息安全態(tài)勢感知平臺的功能需求，對平臺技術架構進行具體劃分。如圖5所示，態(tài)勢感知平臺采用分層設計，在對應層級集成所需的功能模塊，各層級間協(xié)同工作，各功能模塊間分工配合，實現(xiàn)對各類信息安全時間的態(tài)勢感知和預警。

（1）數(shù)據(jù)采集層：主要功能是實現(xiàn)重點資產(chǎn)及網(wǎng)站數(shù)據(jù)、自有網(wǎng)站信息、統(tǒng)一DPI流量數(shù)據(jù)、自有移動應用信息等原始數(shù)據(jù)，以及各項監(jiān)測數(shù)據(jù)等的采集，在采集數(shù)據(jù)的基礎上對數(shù)據(jù)進行規(guī)則化處理和存儲，并建立相應的數(shù)據(jù)標識、索引和檢索等，為安全分析層的進一步分析處理做好準備。

（2）安全分析層：是態(tài)勢感知平臺的核心模塊，主要功能是對資產(chǎn)、網(wǎng)站及終端運行狀態(tài)和安全風險監(jiān)測數(shù)據(jù)、網(wǎng)站不良信息監(jiān)測數(shù)據(jù)、惡意應用URL監(jiān)測數(shù)據(jù)、自有移動應用篡改監(jiān)測數(shù)據(jù)等進行檢測和分析，從中得到當前信息安全整體態(tài)勢和發(fā)展趨勢等信息，分析模塊的整體功能示意如圖5所示。安全分析層除了包含上述各功能模塊外，還依賴于各項關鍵支撐技術和資源，包括安全技術庫和安全知識庫等。

（3）態(tài)勢感知層：主要功能是針對安全分析層得到的分析數(shù)據(jù)和結果，設計指標體系并按指標進行統(tǒng)計分析和可視化展示。態(tài)勢感知層作為平臺的用戶使用界面，將統(tǒng)計信息、分析結果及定位信息進行多級展示，其整體功能示意如圖5所示。態(tài)勢感知層通過多級指標體系，反映宏觀的安全態(tài)勢以及微觀的異常行為情況。

圖5 態(tài)勢感知平臺技術架構

2.3 平臺具體實現(xiàn)

2.3.1 網(wǎng)站運行狀態(tài)監(jiān)測

重要活動信息安全保障中，態(tài)勢感知平臺的第一大核心功能是對網(wǎng)站的運行狀態(tài)進行監(jiān)測與態(tài)勢感知。通過收集網(wǎng)站信息和監(jiān)測數(shù)據(jù)，對網(wǎng)站的分布情況、開放端口及服務、健康程度等重點運行指標進行監(jiān)測，同時對網(wǎng)站當前的漏洞信息、分布、感染趨勢等進行重點監(jiān)測和快速處置。

2.3.2 不良信息監(jiān)測

態(tài)勢感知平臺的第二大核心功能是對網(wǎng)站的不良信息監(jiān)測與態(tài)勢感知。通過爬取和收集網(wǎng)站的內容數(shù)據(jù)進行檢測分析和過濾，同時對網(wǎng)站頁面的內容變動進行重點監(jiān)測，能夠對網(wǎng)站中存在的不良信息進行快速報警和處理，并對不良信息的統(tǒng)計情況、分布、發(fā)展趨勢等進行監(jiān)測。

2.3.3 移動應用監(jiān)測

態(tài)勢感知平臺的第三大核心功能是對移動應用的安全監(jiān)測與態(tài)勢感知。通過收集統(tǒng)一DPI流量數(shù)據(jù)，從中提取惡意應用URL和惡意應用樣本等信息，并對惡意樣本進行靜態(tài)和動態(tài)分析，能夠對惡意應用的發(fā)展趨勢、分布、感染態(tài)勢等進行監(jiān)測。

3 總結

本文對態(tài)勢感知技術在信息安全保障領域的多項關鍵技術和應用進行了研究，并設計開發(fā)了一套信息安全態(tài)勢感知平臺用于重要活動信息安全保障，支持對重點資產(chǎn)和網(wǎng)站、不良信息以及手機移動應用的安全監(jiān)測和態(tài)勢感知等功能，具有較好的態(tài)勢感知能力。下一步，應圍繞以下工作方向繼續(xù)提升平臺的態(tài)勢感知能力和效果。

（1） 提升平臺的數(shù)據(jù)采集能力，支持更多類型信息安全事件和數(shù)據(jù)的采集，如詐騙短彩信、釣魚網(wǎng)站、詐騙電話、偽基站等。

（2） 提升平臺的數(shù)據(jù)和態(tài)勢分析能力，支持對更多類型安全風險和事件的態(tài)勢和發(fā)展趨勢分析等。

（3） 提升平臺的數(shù)據(jù)挖掘能力，對數(shù)據(jù)深層次的內容進行挖掘如溯源等，方便后續(xù)處置。

[1] 龔儉, 臧小東, 蘇琪, 等. 網(wǎng)絡安全態(tài)勢感知綜述[J]. 軟件學報, 2017,28(4).

[2] 張勇, 譚小彬, 崔孝林, 等. 基于Markov博弈模型的網(wǎng)絡安全態(tài)勢感知方法[J]. 軟件學報, 2011,22(3).

[3] 葛琳, 季新生, 江濤. 電信網(wǎng)信息內容安全事件態(tài)勢感知模型研究[J]. 電信科學, 2017,30(2).