許卓偉

摘 要：如何在信息技術(shù)日益發(fā)展的網(wǎng)絡(luò)大環(huán)境下提高信息全面保障的能力以及提升信息可靠處理效率，成為當(dāng)前有關(guān)部門研究的重點(diǎn)。本文對(duì)態(tài)勢(shì)感知技術(shù)內(nèi)涵進(jìn)行了簡(jiǎn)要分析，重點(diǎn)探討了態(tài)勢(shì)感知技術(shù)在信息安全保障中的應(yīng)用情況，以期為不斷提升態(tài)勢(shì)感知技術(shù)深度應(yīng)用水平，更好地發(fā)揮其優(yōu)勢(shì)方面的探究提供一定的參考或者幫助。

關(guān)鍵詞：態(tài)勢(shì)感知技術(shù) 信息安全 保障 防范 不良監(jiān)測(cè) 應(yīng)用

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2018）11（a）-000-02

1 態(tài)勢(shì)感知技術(shù)內(nèi)涵及關(guān)鍵技術(shù)探討

隨著網(wǎng)絡(luò)安全事件發(fā)生率越來(lái)越高，安全威脅形勢(shì)日益嚴(yán)峻，新形勢(shì)下對(duì)加強(qiáng)網(wǎng)絡(luò)信息安全提出了更高的要求，既需要不斷地對(duì)特異性應(yīng)對(duì)處理技術(shù)進(jìn)行升級(jí)，同時(shí)還要關(guān)口前移，不斷提高全局防控能力，借助感知信息系統(tǒng)，對(duì)各類發(fā)生的運(yùn)行狀態(tài)和可能面臨的安全風(fēng)險(xiǎn)等進(jìn)行綜合比較和研究，進(jìn)而構(gòu)建全方位的信息防護(hù)系統(tǒng)，才能不斷提高綜合防御和處理水平。

態(tài)勢(shì)感知技術(shù)作為一種動(dòng)態(tài)的、基礎(chǔ)的、綜合性的安全風(fēng)險(xiǎn)防控技術(shù)，通過(guò)構(gòu)建安全大數(shù)據(jù)平臺(tái)，從而從全局的角度對(duì)安全風(fēng)險(xiǎn)或者威脅進(jìn)行識(shí)別、排查、分析和響應(yīng)。

1.1 數(shù)據(jù)集成處理技術(shù)

對(duì)于數(shù)據(jù)管理事項(xiàng)而言，其中重要的一項(xiàng)基礎(chǔ)工作是對(duì)各類數(shù)據(jù)進(jìn)行收集、整理和集中處理，將關(guān)聯(lián)數(shù)據(jù)進(jìn)行整合，提高數(shù)據(jù)邏輯性和系統(tǒng)性。數(shù)據(jù)集成技術(shù)是態(tài)勢(shì)感知技術(shù)的一項(xiàng)基礎(chǔ)部分，最常用的技術(shù)當(dāng)屬數(shù)據(jù)倉(cāng)庫(kù)技術(shù)。該技術(shù)主要是通過(guò)對(duì)不同渠道、模式和類型的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行集中抽取，并構(gòu)建一個(gè)臨時(shí)中間層進(jìn)行過(guò)渡處理，從而實(shí)現(xiàn)數(shù)據(jù)綜合調(diào)度和加載，為后續(xù)數(shù)據(jù)基礎(chǔ)處理和深度應(yīng)用等奠定基礎(chǔ)。

數(shù)據(jù)集成處理技術(shù)是一個(gè)系統(tǒng)的應(yīng)用過(guò)程，主要涉及數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換與加工處理、數(shù)據(jù)裝載3個(gè)環(huán)節(jié)。

數(shù)據(jù)集成處理的第一個(gè)階段是數(shù)據(jù)抽取，也就是從信息數(shù)據(jù)庫(kù)中抽取有用的關(guān)鍵的數(shù)據(jù)，進(jìn)而為后續(xù)應(yīng)用等奠定基礎(chǔ)。數(shù)據(jù)抽取需要根據(jù)不同的實(shí)際需要選擇不同的抽取模式，通?？煞譃槿砍槿『驮隽砍槿煞N。前者是直接對(duì)原數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)直接進(jìn)行提取，進(jìn)而按照既定的轉(zhuǎn)換模式和格式進(jìn)行識(shí)別和處理。后者主要是在已經(jīng)進(jìn)行基礎(chǔ)抽取的基礎(chǔ)上按照相關(guān)的要求進(jìn)行再次抽取和數(shù)據(jù)提取，從而更好地篩選出新增或者刪除等變化的數(shù)據(jù)。

數(shù)據(jù)集成處理的第二個(gè)階段是數(shù)據(jù)的加工環(huán)節(jié)。數(shù)據(jù)提取完成后需要對(duì)數(shù)據(jù)提取情況進(jìn)行加工和轉(zhuǎn)化，按照既定的需求和轉(zhuǎn)換模式轉(zhuǎn)化成便于協(xié)同處理的數(shù)據(jù)信息。進(jìn)行數(shù)據(jù)轉(zhuǎn)換既可以直接在數(shù)據(jù)倉(cāng)庫(kù)技術(shù)引擎系統(tǒng)中進(jìn)行直接處理，也可以進(jìn)行數(shù)據(jù)抽取和轉(zhuǎn)換同步處理。前者主要是借助數(shù)據(jù)倉(cāng)庫(kù)技術(shù)引擎系統(tǒng)內(nèi)部的支撐技術(shù)，為數(shù)據(jù)轉(zhuǎn)換、加工提供相應(yīng)的功能服務(wù)，直接實(shí)現(xiàn)數(shù)據(jù)計(jì)算、分析、檢驗(yàn)、替換、過(guò)濾、加密防護(hù)以及拆分與合并等，按照既定的流程模式進(jìn)行有序操作即可。后者主要是借助SQL語(yǔ)句和函數(shù)自身具備的數(shù)據(jù)處理功能進(jìn)行參數(shù)轉(zhuǎn)化和處理。當(dāng)然由于數(shù)據(jù)本身的多樣性，決定了后續(xù)處理難度較大。

數(shù)據(jù)集成處理的第三個(gè)階段是數(shù)據(jù)裝載階段，在裝載階段一方面可以借助SQL語(yǔ)句進(jìn)行直接進(jìn)行升級(jí)、刪除等處理，另一方面為了提高集中裝載效率，也可以借助sqlldr技術(shù)進(jìn)行批量裝載，但是需要針對(duì)不同的數(shù)據(jù)類型和差異進(jìn)行規(guī)范化處理，必要時(shí)還要進(jìn)行數(shù)據(jù)恢復(fù)，所以處理難度較大。

1.2 數(shù)據(jù)分析處理技術(shù)

在信息安全保障體系中引入態(tài)勢(shì)感知技術(shù)，除了進(jìn)行基礎(chǔ)數(shù)據(jù)處理以外，還要對(duì)信息進(jìn)行關(guān)聯(lián)度分析，從而更好地提升數(shù)據(jù)深度挖掘處理分析水平，更好地加以應(yīng)用。該技術(shù)有兩種處理模式：一種是按照一定的規(guī)則和匹配方式創(chuàng)建相應(yīng)的關(guān)聯(lián)指標(biāo)，設(shè)置相關(guān)的限制條件，從而對(duì)關(guān)鍵事件和關(guān)注的要素進(jìn)行提取，橫向縱向?qū)Ρ确治?，形成具體的分析結(jié)果。另一種是綜合關(guān)聯(lián)分析。該技術(shù)還可以分成規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)與漏洞庫(kù)關(guān)聯(lián)3種方法。將相關(guān)的安全事件和漏洞數(shù)據(jù)等通過(guò)設(shè)定相應(yīng)的規(guī)則，進(jìn)行多重關(guān)聯(lián)分析，創(chuàng)建具體的功能情境，進(jìn)而對(duì)數(shù)據(jù)進(jìn)行多維度分析，總結(jié)相關(guān)的特征和差異，提高綜合處理水平。

1.3 數(shù)據(jù)展示技術(shù)

該技術(shù)目前最新的功能是可以借助互聯(lián)網(wǎng)前端編程語(yǔ)言HTML5、響應(yīng)式布局、瀏覽器插件支持從而實(shí)現(xiàn)良好的界面展示效果，提高數(shù)據(jù)展示的直觀性、形象化，滿足用戶的個(gè)體需求。通常可以分為大屏展示和磁貼式展示兩種技術(shù)。根據(jù)用戶不同需求和展示的具體維度，設(shè)定不同的定義模式，從而實(shí)現(xiàn)個(gè)體化模式監(jiān)測(cè)和豐富的內(nèi)容展現(xiàn)。

2 態(tài)勢(shì)感知技術(shù)在信息安全保障中的應(yīng)用設(shè)計(jì)

態(tài)勢(shì)感知技術(shù)在信息安全保障中具體應(yīng)用，需要根據(jù)基本需求進(jìn)行綜合設(shè)計(jì)，才能保證技術(shù)功能的發(fā)揮。具體應(yīng)當(dāng)包含以下幾個(gè)環(huán)節(jié)。

（1）根據(jù)具體信息安全保障要求，確定態(tài)勢(shì)感知技術(shù)的具體設(shè)計(jì)目的或者功能模塊。通常態(tài)勢(shì)感知平臺(tái)的運(yùn)行是為了滿足相應(yīng)的功能需要，在信息安全保障方面主要是為了防止信息泄露、被惡意攻擊或者防范服務(wù)器終端漏洞等。為了實(shí)現(xiàn)這一目的，一方面需要加強(qiáng)基礎(chǔ)平臺(tái)建設(shè)，確保態(tài)勢(shì)感知平臺(tái)系統(tǒng)能夠支持建立各類不良信息、安全漏洞、惡意移動(dòng)應(yīng)用樣本庫(kù)等防護(hù)體系。另一方面不斷完善數(shù)據(jù)集成系統(tǒng)，對(duì)系統(tǒng)運(yùn)行數(shù)據(jù)、安全事件等相關(guān)信息實(shí)時(shí)動(dòng)態(tài)采集，從而更好地實(shí)現(xiàn)平臺(tái)多功能感知及自動(dòng)監(jiān)測(cè)。

（2）根據(jù)整體信息安全保障要求和設(shè)計(jì)目標(biāo)，構(gòu)建完善的平臺(tái)技術(shù)體系。通常按照態(tài)勢(shì)感知技術(shù)體系基本層級(jí)配置要求，可以設(shè)置成數(shù)據(jù)采集層、安全分析層、態(tài)勢(shì)感知層3個(gè)處理層級(jí)和功能模塊。最底層的基礎(chǔ)部分是數(shù)據(jù)采集功能模塊，主要是為了對(duì)各類和網(wǎng)站資源、資產(chǎn)、流量以及移動(dòng)數(shù)據(jù)相關(guān)的原始數(shù)據(jù)、監(jiān)測(cè)數(shù)據(jù)等進(jìn)行收集，并按照采集處理程序進(jìn)行分步處理、存儲(chǔ)和共享，對(duì)數(shù)據(jù)進(jìn)行分類、標(biāo)識(shí)和檢索，完成基本數(shù)據(jù)整合。中間層級(jí)是安全分析模塊，該部分功能模塊是最關(guān)鍵的技術(shù)模塊，主要是對(duì)關(guān)聯(lián)數(shù)據(jù)、不良信息以及安全風(fēng)險(xiǎn)等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，建立自動(dòng)化檢測(cè)和惡意攻擊篡改防御體系，需要配置安全技術(shù)庫(kù)、安全知識(shí)庫(kù)等關(guān)鍵技術(shù)和資源，對(duì)信息動(dòng)態(tài)變化情況和發(fā)展態(tài)勢(shì)進(jìn)行綜合分析、研判和總結(jié)。態(tài)勢(shì)感知功能模塊主要是對(duì)前兩個(gè)層級(jí)收集整理分析的數(shù)據(jù)結(jié)果按照既定的設(shè)計(jì)頁(yè)面和指標(biāo)統(tǒng)計(jì)系統(tǒng)進(jìn)行分類整合，同時(shí)進(jìn)行跟蹤定位，動(dòng)態(tài)可視化進(jìn)行展示，對(duì)安全態(tài)勢(shì)以及異常行為等進(jìn)行全面多級(jí)監(jiān)控，便于進(jìn)行總結(jié)和觀測(cè)是否存在不良狀況。

在信息安全保障體系建設(shè)中態(tài)勢(shì)感知技術(shù)以其獨(dú)特的優(yōu)勢(shì)發(fā)揮著重要的防護(hù)和保障作用，在具體運(yùn)行過(guò)程中，一方面可以通過(guò)對(duì)網(wǎng)站等各類數(shù)據(jù)以及監(jiān)測(cè)到的各類數(shù)據(jù)等進(jìn)行動(dòng)態(tài)監(jiān)控，從而針對(duì)可能存在的隱患點(diǎn)進(jìn)行重點(diǎn)監(jiān)督排查，確保網(wǎng)站始終處于安全防護(hù)動(dòng)態(tài)管理狀態(tài)下。另一方面還可以對(duì)網(wǎng)站各類攻擊信息等進(jìn)行重點(diǎn)過(guò)濾、篩選和監(jiān)測(cè)，一旦超出設(shè)定標(biāo)準(zhǔn)，將立即啟動(dòng)報(bào)警響應(yīng)程序，同時(shí)動(dòng)態(tài)監(jiān)測(cè)各類不良信息的變化、歷史數(shù)據(jù)規(guī)律等情況。此外隨著技術(shù)不斷升級(jí)，態(tài)勢(shì)感知技術(shù)還可以借助收集的統(tǒng)一深度報(bào)告檢測(cè)流量數(shù)據(jù)，對(duì)惡意樣本等進(jìn)行綜合多維度分析，并對(duì)發(fā)展態(tài)勢(shì)進(jìn)行觀察、預(yù)測(cè)和研判，提前便于制定防護(hù)處理措施，降低不良風(fēng)險(xiǎn)發(fā)生率和擴(kuò)散度。

3 結(jié)語(yǔ)

總之，態(tài)勢(shì)感知技術(shù)在信息安全保障領(lǐng)域具有強(qiáng)大的支撐保障作用，相信隨著技術(shù)不斷升級(jí)，將會(huì)在更多的領(lǐng)域?qū)崿F(xiàn)更多的功能，從而為維護(hù)網(wǎng)絡(luò)信息安全，提高信息綜合處置利用水平提供重要的技術(shù)支持。

參考文獻(xiàn)

[1] 葛琳.電信網(wǎng)信息內(nèi)容安全事件態(tài)勢(shì)感知技術(shù)研究[D].解放軍信息工程大學(xué)，2014.

[2] 舒航，王穎穎，程魯鑫.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].福建電腦，2017，33（8）：5-8.

[3] 丁聰.基于粗糙集的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法研究[D].蘭州大學(xué)，2015.