李雁 高永龍 席新 陳緒 薛京生

摘 ?要： 本文通過對泛態(tài)勢感知與安全監(jiān)測技術(shù)的研究，探索建立新一代移動(dòng)警務(wù)業(yè)務(wù)行為的安全管控體系，通過全程監(jiān)控移動(dòng)警務(wù)業(yè)務(wù)的運(yùn)行過程，全程采集應(yīng)用運(yùn)行數(shù)據(jù)，集中分析安全風(fēng)險(xiǎn)，提取安全事件并有針對性地提供管控手段，將固化安全基線轉(zhuǎn)化為動(dòng)態(tài)且面向業(yè)務(wù)的安全服務(wù)，實(shí)現(xiàn)可信、可管、可控的安全目標(biāo)，提高健壯性和穩(wěn)定性，為移動(dòng)警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和支撐。

關(guān)鍵詞：?移動(dòng)警務(wù)，泛態(tài)勢感知，安全監(jiān)測，探析

中圖分類號(hào)： TP391.0????文獻(xiàn)標(biāo)識(shí)碼：?A????DOI：10.3969/j.issn.1003-6970.2019.09.004

本文著錄格式：李雁，高永龍，席新，等. 新一代移動(dòng)警務(wù)泛態(tài)勢感知安全監(jiān)測研究探析[J]. 軟件，2019，40（9）：18-22

Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology

LI Yan，?GAO Yong-long，?XI Xin，?CHEN Xu，?XUE Jing-sheng^*

（Tianjin Public Security Bureau Science and Technology Information Office?300393， China）

【Abstract】： Through the study of general situational awareness and security monitoring technology， this paper explores the establishment of a new generation of mobile police business behavior security control system， through the entire monitoring of the mobile police business operation process， the entire process of collecting application operation data， centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible， manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.

【Key words】： Mobile policing; General situational perception; Security monitoring; Analysis

0??引言

為貫徹公安部“十三五科技發(fā)展規(guī)劃”要求，天津市公安局從自身應(yīng)用需求出發(fā)，正在進(jìn)行基于4G公眾移動(dòng)通訊網(wǎng)絡(luò)的新一代移動(dòng)警務(wù)平臺(tái)的建設(shè)。按照“統(tǒng)一平臺(tái)接入、統(tǒng)一集中管控、統(tǒng)一標(biāo)準(zhǔn)規(guī)范”的原則，調(diào)整移動(dòng)警務(wù)基礎(chǔ)架構(gòu)，創(chuàng)新移動(dòng)應(yīng)用模式，完善安全保護(hù)策略，構(gòu)建更強(qiáng)大的網(wǎng)絡(luò)融合、數(shù)據(jù)融合安全環(huán)境，進(jìn)一步推動(dòng)移動(dòng)警務(wù)應(yīng)用的蓬勃開展，提高公安機(jī)關(guān)應(yīng)急指揮、快速反應(yīng)、高效服務(wù)的能力。

1??現(xiàn)狀與需求分析

1.1??業(yè)務(wù)現(xiàn)狀

天津市公安局新一代移動(dòng)警務(wù)系統(tǒng)于在2017年開始建設(shè)，現(xiàn)已包括基礎(chǔ)設(shè)施、應(yīng)用支撐、移動(dòng)應(yīng)用、移動(dòng)終端、安全防護(hù)和集中管控六個(gè)方面功能的集成平臺(tái)，同步制定了配套的標(biāo)準(zhǔn)規(guī)范體系和管理制度。網(wǎng)絡(luò)基礎(chǔ)設(shè)施由移動(dòng)互聯(lián)網(wǎng)服務(wù)子平臺(tái)、聯(lián)網(wǎng)服務(wù)子平臺(tái)、安全接入子平臺(tái)、公安信息網(wǎng)服務(wù)子平臺(tái)構(gòu)成。其中聯(lián)網(wǎng)服務(wù)子平臺(tái)和公安信息網(wǎng)服務(wù)子平臺(tái)基于云架構(gòu)建設(shè)，移動(dòng)互聯(lián)網(wǎng)服務(wù)子平臺(tái)基于公有云（后期可遷移至政務(wù)云）建設(shè)，安全接入子平臺(tái)進(jìn)行了升級改造，符合公安部關(guān)于新一代移動(dòng)警務(wù)總體技術(shù)方案要求。

在數(shù)據(jù)全量、實(shí)時(shí)采集的基礎(chǔ)上，采用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)，對采集到的海量數(shù)據(jù)進(jìn)行實(shí)時(shí)或離線分析，發(fā)現(xiàn)終端、用戶和應(yīng)用異常行為，并提交相關(guān)人員進(jìn)行研判，及時(shí)發(fā)現(xiàn)未知的用戶、應(yīng)用和終端的違規(guī)行為，從而彌補(bǔ)相關(guān)人員知識(shí)、經(jīng)驗(yàn)的不足，保障移動(dòng)警務(wù)業(yè)務(wù)的健康發(fā)展。比如可自動(dòng)發(fā)現(xiàn)周期內(nèi)某用戶終端流量過大、不符合正常范圍區(qū)間等問題。

2.3安全事件的指令聯(lián)動(dòng)，解決移動(dòng)警務(wù)應(yīng)用的可控性

將移動(dòng)警務(wù)所有要管理的業(yè)務(wù)要素形成基礎(chǔ)指標(biāo)，每個(gè)指標(biāo)項(xiàng)都對應(yīng)建立可量化的度量標(biāo)準(zhǔn)，以自動(dòng)或輔助決策的形式關(guān)聯(lián)到控制指令，阻止危害行為的發(fā)生，形成事前預(yù)防、事中管控、事后追溯的全方位安全管控體系。

3??系統(tǒng)目標(biāo)、研究內(nèi)容與部署架構(gòu)

3.1系統(tǒng)目標(biāo)

采用大數(shù)據(jù)架構(gòu)，全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，輔助安全管理員采取針對性響應(yīng)處置措施;具備網(wǎng)絡(luò)安全持續(xù)監(jiān)控能力，能及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力，可以威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，支撐安全決策和響應(yīng);建立動(dòng)態(tài)安全預(yù)警機(jī)制，提升風(fēng)險(xiǎn)管控、應(yīng)急響應(yīng)和整體安全防護(hù)水平^[6]。

3.2研究內(nèi)容

3.2.1??基于事件流的關(guān)聯(lián)分析技術(shù)

復(fù)雜事件處理是一種基于事件流（event streaming）的技術(shù)，是由史丹佛大學(xué)David Luckham 與Brian Fraseca 所提出。事件流（Event streaming）具有高吞吐量（throughput）、高度利用性（availability）、低度延遲（latency）等特性，讓企業(yè)能夠?qū)崟r(shí)決策。任何事情的發(fā)生可以認(rèn)為是一個(gè)“事件”，事情的發(fā)生產(chǎn)生一項(xiàng)數(shù)據(jù)，一項(xiàng)數(shù)據(jù)也可認(rèn)為是一個(gè)“事件”。業(yè)務(wù)系統(tǒng)的一個(gè)交易是一個(gè)事件，用戶的一個(gè)操作也是一個(gè)事件。這些事件具有共同點(diǎn)：數(shù)據(jù)量龐大、流式數(shù)據(jù)、永不止境。需要從海量事件中找出有意義的單個(gè)事件或事件組合，比如可疑交易數(shù)據(jù)（和正常交易價(jià)格有很大出入的多筆交易），并對數(shù)據(jù)進(jìn)行分析處理。這個(gè)過程即為復(fù)雜事件處理。通過一定的規(guī)則，從不同的事件源中找出相關(guān)的事件組合，并對發(fā)現(xiàn)時(shí)間做進(jìn)一步處理。適合的場景包括實(shí)時(shí)風(fēng)險(xiǎn)管理、實(shí)時(shí)交易分析、網(wǎng)絡(luò)詐欺、網(wǎng)絡(luò)攻擊、態(tài)勢感知趨勢分析等^[7]。

3.2.2??基于上下文的用戶行為分析

用戶行為分析技術(shù)以用戶為中心，以機(jī)器學(xué)習(xí)為核心技術(shù)，分析各種用戶異常行為，通過深鉆和關(guān)聯(lián)促進(jìn)分析結(jié)果更加準(zhǔn)確，及時(shí)應(yīng)對各類用戶群體的應(yīng)用風(fēng)險(xiǎn)，諸如越權(quán)訪問、業(yè)務(wù)篡改、內(nèi)部欺詐、竊取數(shù)據(jù)等安全威脅，從技術(shù)層面為用戶提供異常行為安全分析支撐，從制度方面促進(jìn)信息系統(tǒng)的規(guī)范化管理。

用戶行為分析技術(shù)是面向用戶異常行為模式的數(shù)據(jù)分析技術(shù)，用于幫助用戶及時(shí)發(fā)現(xiàn)和應(yīng)對用戶異常操作帶來的數(shù)據(jù)泄密等安全事件。用戶行為的分析過程，究其本質(zhì)實(shí)際上是一個(gè)從海量數(shù)據(jù)獲得有價(jià)值信息的數(shù)據(jù)挖掘過程，因此用戶異常行為分析可以參考數(shù)據(jù)挖掘和分析學(xué)科中的方法，基于數(shù)據(jù)分析工作和數(shù)學(xué)算法量化基線，建立模型，計(jì)算輸出各種異常行為場景。

用戶行為分析的核心是機(jī)器學(xué)習(xí)，通過使用有監(jiān)督或無監(jiān)督的各種機(jī)器學(xué)習(xí)算法挖掘各種用戶異常行為模式，檢測和識(shí)別前期沒有發(fā)現(xiàn)的安全風(fēng)險(xiǎn)。有監(jiān)督式學(xué)習(xí)模式基于大量真實(shí)的樣本數(shù)據(jù)，應(yīng)用于快速發(fā)現(xiàn)未知異常;無監(jiān)督的機(jī)器學(xué)習(xí)方法保證了系統(tǒng)的自我學(xué)習(xí)，不斷調(diào)整和精確識(shí)別未知異常。

3.2.3??基于攻擊鏈的威脅行為分析

面對復(fù)雜場景，需要多種規(guī)則進(jìn)行組合，多個(gè)維度進(jìn)行關(guān)聯(lián)，通過關(guān)聯(lián)分析得到最終的攻擊鏈結(jié)果。

復(fù)雜事件處理、關(guān)聯(lián)分析可將多種類型事件進(jìn)行多維度關(guān)聯(lián)，從而對不同類型事件進(jìn)行分析，最終找到隱藏的有威脅的事件。比如攻擊鏈溯源分析，攻擊者在網(wǎng)絡(luò)中的行為被完整的展現(xiàn)出來，從攻擊手段，攻擊線路，攻擊影響，被攻擊者各個(gè)方面進(jìn)行畫像。不管攻擊在在網(wǎng)絡(luò)中設(shè)置了多少次跳轉(zhuǎn)以及偽裝，都可以通過多維度的分析直接找到攻擊源頭。大數(shù)據(jù)態(tài)勢感知主要采用日志分析的方式來進(jìn)行溯源分析，通過對接入的流量日志、安全日志、系統(tǒng)日志進(jìn)行解析、關(guān)聯(lián)、挖掘，最終完整的繪制出攻擊鏈^[8]。

3.3部署架構(gòu)

新一代移動(dòng)警務(wù)泛態(tài)勢感知安全監(jiān)測平臺(tái)分為前臺(tái)系統(tǒng)和后臺(tái)系統(tǒng)。前端為態(tài)勢可視化展示平臺(tái)，后端為數(shù)據(jù)采集和處理平臺(tái)根據(jù)系統(tǒng)組成及整體實(shí)現(xiàn)。其中的后端結(jié)構(gòu)如圖1所示。

從技術(shù)架構(gòu)來看，本研究采用以Hadoop生態(tài)組件為基礎(chǔ)的大數(shù)據(jù)處理技術(shù)，完成數(shù)據(jù)采集、數(shù)據(jù)實(shí)時(shí)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析及業(yè)務(wù)展現(xiàn)等流程。其技術(shù)架構(gòu)如圖2所示。

4??關(guān)鍵技術(shù)研究

4.1深度流量包檢測探針

深度流量包檢測探針提供動(dòng)態(tài)的、深度的、主動(dòng)的安全檢測，為應(yīng)對新型攻擊帶來的威脅，從智慧識(shí)別、環(huán)境感知、行為分析三方面加強(qiáng)了對應(yīng)用協(xié)議、異常行為、惡意檔的檢測能力。

通過IP碎片重組、TCP流匯聚以及數(shù)據(jù)流狀態(tài)跟蹤等能力，對黑客采用任意分片方式進(jìn)行的攻擊進(jìn)行檢測。深度包檢測采用智慧協(xié)議識(shí)別技術(shù)，通過動(dòng)態(tài)分析網(wǎng)絡(luò)報(bào)文中包含的協(xié)議特征，發(fā)現(xiàn)其所在協(xié)議，然后遞交給相應(yīng)的協(xié)議分析引擎進(jìn)行處理，高速、準(zhǔn)確地檢測出通過動(dòng)態(tài)端口或者智能隧道實(shí)施的惡意入侵，可以準(zhǔn)確發(fā)現(xiàn)綁定在任意埠的各種惡意流量、漏洞攻擊。

4.2基于層次化時(shí)空特征學(xué)習(xí)的網(wǎng)絡(luò)流量異常檢測

基于網(wǎng)絡(luò)流量的空間特征學(xué)習(xí)、時(shí)序特征學(xué)習(xí)，建立層次化時(shí)空網(wǎng)絡(luò)安全監(jiān)測方法，構(gòu)建態(tài)勢感知算法和模型庫，以從網(wǎng)絡(luò)流量大數(shù)據(jù)中獲取準(zhǔn)確的態(tài)勢分析和預(yù)測結(jié)果。通過CNN對網(wǎng)絡(luò)流量數(shù)據(jù)、加密流量數(shù)據(jù)進(jìn)行學(xué)習(xí)分類，通過RNN建立雙向網(wǎng)絡(luò)流量時(shí)序特征。將網(wǎng)絡(luò)流量數(shù)據(jù)的空間特征與時(shí)序特征進(jìn)行融合，建立網(wǎng)絡(luò)流量的異常分析模型。

4.3大數(shù)據(jù)分布式存儲(chǔ)

大數(shù)據(jù)分布式存儲(chǔ)架構(gòu)，充分考慮高可用性設(shè)計(jì)、數(shù)據(jù)存儲(chǔ)量大小、搜索分析效率、成本投入等因素。從搜索分析效率和數(shù)據(jù)存儲(chǔ)量方面考慮，本項(xiàng)目采用ElasticSearch技術(shù)，該技術(shù)具有企業(yè)級分布式文件系統(tǒng);高擴(kuò)展性;支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ);支持超大規(guī)模文檔存儲(chǔ)并提供數(shù)據(jù)切分;支持原有數(shù)據(jù)安全迅速的遷移和備份;提供數(shù)據(jù)冗余副本機(jī)制，可動(dòng)態(tài)設(shè)置副本數(shù)量并提供查詢的高吞吐量等特點(diǎn)。

4.4大數(shù)據(jù)分布式計(jì)算

大數(shù)據(jù)環(huán)境下，流式數(shù)據(jù)作為一種新型的數(shù)據(jù)類型，是實(shí)時(shí)數(shù)據(jù)處理所面向的數(shù)據(jù)類型，其相關(guān)研究發(fā)展迅速。本研究采用Spark Streaming流計(jì)算引擎，這是一個(gè)對實(shí)時(shí)數(shù)據(jù)流進(jìn)行高通量、容錯(cuò)處理的流式處理系統(tǒng)，可對多種數(shù)據(jù)源進(jìn)行類似Map、

Reduce和Join等復(fù)雜操作，并將結(jié)果保存到外部文件系統(tǒng)、數(shù)據(jù)庫或應(yīng)用到實(shí)時(shí)儀表盤。整個(gè)流式計(jì)算根據(jù)業(yè)務(wù)的需求可以對中間的結(jié)果進(jìn)行疊加或存儲(chǔ)到外部設(shè)備。

5??結(jié)語

從被動(dòng)運(yùn)維到主動(dòng)運(yùn)維，從被動(dòng)防護(hù)到主動(dòng)與自動(dòng)防護(hù)，這就是本研究的目標(biāo)，而態(tài)勢感知?jiǎng)t是必要手段。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)只有基于大數(shù)據(jù)的技術(shù)、數(shù)據(jù)驅(qū)動(dòng)態(tài)勢感知以及場景驅(qū)動(dòng)來可以實(shí)現(xiàn)?；诖髷?shù)據(jù)架構(gòu)的泛態(tài)勢安全感知與安全監(jiān)測技術(shù)的研究與部署，可有效提高新一代移動(dòng)警務(wù)平臺(tái)的健壯性和穩(wěn)定性，對移動(dòng)業(yè)務(wù)的開展起到促進(jìn)作用，從安全管理的視角為移動(dòng)警務(wù)業(yè)務(wù)的開展提供安全服務(wù)和管理支撐，因而具有廣泛的實(shí)戰(zhàn)應(yīng)用意義。

參考文獻(xiàn)

• 韓曉露， 劉云， 張振江， 呂欣， 李陽.?網(wǎng)絡(luò)安全態(tài)勢感知理論與技術(shù)綜述及難點(diǎn)問題研究.?信息安全與通信保密[J]， 2019（07）：?61-71.
• 王志奇， 陳宇， 雷亞.?基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢分析平臺(tái).?警察技術(shù)[J].?2018（05）：?68-74.
• 董超， 劉雷.?大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究.?網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J].?2019（07）：?60-62.
• 董煜， 林柏鋼.基于專網(wǎng)的移動(dòng)警務(wù)安全保障系統(tǒng)設(shè)計(jì)與研究.?計(jì)算機(jī)工程與設(shè)計(jì)[J].?2007， 28（17）：?4319-4322.
• 肖薇， 計(jì)春雷.面向移動(dòng)警務(wù)應(yīng)用的云計(jì)算平臺(tái)涉及與實(shí)現(xiàn)[C]//第八屆中國多智能體系統(tǒng)與控制會(huì)議論文集， 上海：?上海交通大學(xué)出版社， 2012：?303-305.
• 琚安康， 郭淵博， 朱泰銘， 王通.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)與工具研究.?計(jì)算機(jī)科學(xué)[J].?2017， 44（02）：?38-45.
• 王長會(huì)， 馬慶利.基于大數(shù)據(jù)的移動(dòng)用戶行為分析研究.?現(xiàn)代信息科技[J].?2019， 3（12）：?58-60.
• 江沸菠， 王玲， 劉輝.?移動(dòng)警務(wù)信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).?信息安全與通信保密[J].?2006（11）， 103-105.
• 劉闖.?基于機(jī)器學(xué)習(xí)移動(dòng)用戶行為分析研究[D].?長春：?長春理工大學(xué)， 2018.
• 段明琪.?基于日志分析的大數(shù)據(jù)威脅感知系統(tǒng)的研究[D].?北京：?北京郵電大學(xué)， 2008.
• 石峰.?移動(dòng)警務(wù)信息系統(tǒng)安全技術(shù)研究與實(shí)現(xiàn)[D].?北京：?北京工業(yè)大學(xué)， 2009.
• 顏明.?移動(dòng)警務(wù)通身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)[D].?合肥：?合肥工業(yè)大學(xué)， 2007.