新一代移動警務泛態勢感知安全監測研究探析

李雁 高永龍 席新 陳緒 薛京生

摘 ?要： 本文通過對泛態勢感知與安全監測技術的研究，探索建立新一代移動警務業務行為的安全管控體系，通過全程監控移動警務業務的運行過程，全程采集應用運行數據，集中分析安全風險，提取安全事件并有針對性地提供管控手段，將固化安全基線轉化為動態且面向業務的安全服務，實現可信、可管、可控的安全目標，提高健壯性和穩定性，為移動警務業務的開展提供安全服務和支撐。

關鍵詞：?移動警務，泛態勢感知，安全監測，探析

中圖分類號： TP391.0????文獻標識碼：?A????DOI：10.3969/j.issn.1003-6970.2019.09.004

本文著錄格式：李雁，高永龍，席新，等. 新一代移動警務泛態勢感知安全監測研究探析[J]. 軟件，2019，40（9）：18-22

Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology

LI Yan，?GAO Yong-long，?XI Xin，?CHEN Xu，?XUE Jing-sheng^*

（Tianjin Public Security Bureau Science and Technology Information Office?300393， China）

【Abstract】： Through the study of general situational awareness and security monitoring technology， this paper explores the establishment of a new generation of mobile police business behavior security control system， through the entire monitoring of the mobile police business operation process， the entire process of collecting application operation data， centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible， manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.

【Key words】： Mobile policing; General situational perception; Security monitoring; Analysis

0??引言

為貫徹公安部“十三五科技發展規劃”要求，天津市公安局從自身應用需求出發，正在進行基于4G公眾移動通訊網絡的新一代移動警務平臺的建設。按照“統一平臺接入、統一集中管控、統一標準規范”的原則，調整移動警務基礎架構，創新移動應用模式，完善安全保護策略，構建更強大的網絡融合、數據融合安全環境，進一步推動移動警務應用的蓬勃開展，提高公安機關應急指揮、快速反應、高效服務的能力。

1??現狀與需求分析

1.1??業務現狀

天津市公安局新一代移動警務系統于在2017年開始建設，現已包括基礎設施、應用支撐、移動應用、移動終端、安全防護和集中管控六個方面功能的集成平臺，同步制定了配套的標準規范體系和管理制度。網絡基礎設施由移動互聯網服務子平臺、聯網服務子平臺、安全接入子平臺、公安信息網服務子平臺構成。其中聯網服務子平臺和公安信息網服務子平臺基于云架構建設，移動互聯網服務子平臺基于公有云（后期可遷移至政務云）建設，安全接入子平臺進行了升級改造，符合公安部關于新一代移動警務總體技術方案要求。

在數據全量、實時采集的基礎上，采用機器學習和數據挖掘技術，對采集到的海量數據進行實時或離線分析，發現終端、用戶和應用異常行為，并提交相關人員進行研判，及時發現未知的用戶、應用和終端的違規行為，從而彌補相關人員知識、經驗的不足，保障移動警務業務的健康發展。比如可自動發現周期內某用戶終端流量過大、不符合正常范圍區間等問題。

2.3安全事件的指令聯動，解決移動警務應用的可控性

將移動警務所有要管理的業務要素形成基礎指標，每個指標項都對應建立可量化的度量標準，以自動或輔助決策的形式關聯到控制指令，阻止危害行為的發生，形成事前預防、事中管控、事后追溯的全方位安全管控體系。

3??系統目標、研究內容與部署架構

3.1系統目標

采用大數據架構，全面感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態、通過全流量分析技術實現完整的網絡攻擊溯源取證，輔助安全管理員采取針對性響應處置措施;具備網絡安全持續監控能力，能及時發現各種攻擊威脅與異常;具備威脅調查分析及可視化能力，可以威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判別，支撐安全決策和響應;建立動態安全預警機制，提升風險管控、應急響應和整體安全防護水平^[6]。

3.2研究內容

3.2.1??基于事件流的關聯分析技術

復雜事件處理是一種基于事件流（event streaming）的技術，是由史丹佛大學David Luckham 與Brian Fraseca 所提出。事件流（Event streaming）具有高吞吐量（throughput）、高度利用性（availability）、低度延遲（latency）等特性，讓企業能夠實時決策。任何事情的發生可以認為是一個“事件”，事情的發生產生一項數據，一項數據也可認為是一個“事件”。業務系統的一個交易是一個事件，用戶的一個操作也是一個事件。這些事件具有共同點：數據量龐大、流式數據、永不止境。需要從海量事件中找出有意義的單個事件或事件組合，比如可疑交易數據（和正常交易價格有很大出入的多筆交易），并對數據進行分析處理。這個過程即為復雜事件處理。通過一定的規則，從不同的事件源中找出相關的事件組合，并對發現時間做進一步處理。適合的場景包括實時風險管理、實時交易分析、網絡詐欺、網絡攻擊、態勢感知趨勢分析等^[7]。

3.2.2??基于上下文的用戶行為分析

用戶行為分析技術以用戶為中心，以機器學習為核心技術，分析各種用戶異常行為，通過深鉆和關聯促進分析結果更加準確，及時應對各類用戶群體的應用風險，諸如越權訪問、業務篡改、內部欺詐、竊取數據等安全威脅，從技術層面為用戶提供異常行為安全分析支撐，從制度方面促進信息系統的規范化管理。

用戶行為分析技術是面向用戶異常行為模式的數據分析技術，用于幫助用戶及時發現和應對用戶異常操作帶來的數據泄密等安全事件。用戶行為的分析過程，究其本質實際上是一個從海量數據獲得有價值信息的數據挖掘過程，因此用戶異常行為分析可以參考數據挖掘和分析學科中的方法，基于數據分析工作和數學算法量化基線，建立模型，計算輸出各種異常行為場景。

用戶行為分析的核心是機器學習，通過使用有監督或無監督的各種機器學習算法挖掘各種用戶異常行為模式，檢測和識別前期沒有發現的安全風險。有監督式學習模式基于大量真實的樣本數據，應用于快速發現未知異常;無監督的機器學習方法保證了系統的自我學習，不斷調整和精確識別未知異常。

3.2.3??基于攻擊鏈的威脅行為分析

面對復雜場景，需要多種規則進行組合，多個維度進行關聯，通過關聯分析得到最終的攻擊鏈結果。

復雜事件處理、關聯分析可將多種類型事件進行多維度關聯，從而對不同類型事件進行分析，最終找到隱藏的有威脅的事件。比如攻擊鏈溯源分析，攻擊者在網絡中的行為被完整的展現出來，從攻擊手段，攻擊線路，攻擊影響，被攻擊者各個方面進行畫像。不管攻擊在在網絡中設置了多少次跳轉以及偽裝，都可以通過多維度的分析直接找到攻擊源頭。大數據態勢感知主要采用日志分析的方式來進行溯源分析，通過對接入的流量日志、安全日志、系統日志進行解析、關聯、挖掘，最終完整的繪制出攻擊鏈^[8]。

3.3部署架構

新一代移動警務泛態勢感知安全監測平臺分為前臺系統和后臺系統。前端為態勢可視化展示平臺，后端為數據采集和處理平臺根據系統組成及整體實現。其中的后端結構如圖1所示。

從技術架構來看，本研究采用以Hadoop生態組件為基礎的大數據處理技術，完成數據采集、數據實時處理、數據存儲、數據分析及業務展現等流程。其技術架構如圖2所示。

4??關鍵技術研究

4.1深度流量包檢測探針

深度流量包檢測探針提供動態的、深度的、主動的安全檢測，為應對新型攻擊帶來的威脅，從智慧識別、環境感知、行為分析三方面加強了對應用協議、異常行為、惡意檔的檢測能力。

通過IP碎片重組、TCP流匯聚以及數據流狀態跟蹤等能力，對黑客采用任意分片方式進行的攻擊進行檢測。深度包檢測采用智慧協議識別技術，通過動態分析網絡報文中包含的協議特征，發現其所在協議，然后遞交給相應的協議分析引擎進行處理，高速、準確地檢測出通過動態端口或者智能隧道實施的惡意入侵，可以準確發現綁定在任意埠的各種惡意流量、漏洞攻擊。

4.2基于層次化時空特征學習的網絡流量異常檢測

基于網絡流量的空間特征學習、時序特征學習，建立層次化時空網絡安全監測方法，構建態勢感知算法和模型庫，以從網絡流量大數據中獲取準確的態勢分析和預測結果。通過CNN對網絡流量數據、加密流量數據進行學習分類，通過RNN建立雙向網絡流量時序特征。將網絡流量數據的空間特征與時序特征進行融合，建立網絡流量的異常分析模型。

4.3大數據分布式存儲

大數據分布式存儲架構，充分考慮高可用性設計、數據存儲量大小、搜索分析效率、成本投入等因素。從搜索分析效率和數據存儲量方面考慮，本項目采用ElasticSearch技術，該技術具有企業級分布式文件系統;高擴展性;支持結構化和非結構化數據存儲;支持超大規模文檔存儲并提供數據切分;支持原有數據安全迅速的遷移和備份;提供數據冗余副本機制，可動態設置副本數量并提供查詢的高吞吐量等特點。

4.4大數據分布式計算

大數據環境下，流式數據作為一種新型的數據類型，是實時數據處理所面向的數據類型，其相關研究發展迅速。本研究采用Spark Streaming流計算引擎，這是一個對實時數據流進行高通量、容錯處理的流式處理系統，可對多種數據源進行類似Map、

Reduce和Join等復雜操作，并將結果保存到外部文件系統、數據庫或應用到實時儀表盤。整個流式計算根據業務的需求可以對中間的結果進行疊加或存儲到外部設備。

5??結語

從被動運維到主動運維，從被動防護到主動與自動防護，這就是本研究的目標，而態勢感知則是必要手段。網絡安全態勢感知技術只有基于大數據的技術、數據驅動態勢感知以及場景驅動來可以實現。基于大數據架構的泛態勢安全感知與安全監測技術的研究與部署，可有效提高新一代移動警務平臺的健壯性和穩定性，對移動業務的開展起到促進作用，從安全管理的視角為移動警務業務的開展提供安全服務和管理支撐，因而具有廣泛的實戰應用意義。

參考文獻

• 韓曉露， 劉云， 張振江， 呂欣， 李陽.?網絡安全態勢感知理論與技術綜述及難點問題研究.?信息安全與通信保密[J]， 2019（07）：?61-71.
• 王志奇， 陳宇， 雷亞.?基于大數據的網絡安全態勢分析平臺.?警察技術[J].?2018（05）：?68-74.
• 董超， 劉雷.?大數據網絡安全態勢感知中數據融合技術研究.?網絡安全技術與應用[J].?2019（07）：?60-62.
• 董煜， 林柏鋼.基于專網的移動警務安全保障系統設計與研究.?計算機工程與設計[J].?2007， 28（17）：?4319-4322.
• 肖薇， 計春雷.面向移動警務應用的云計算平臺涉及與實現[C]//第八屆中國多智能體系統與控制會議論文集， 上海：?上海交通大學出版社， 2012：?303-305.
• 琚安康， 郭淵博， 朱泰銘， 王通.網絡安全事件關聯分析技術與工具研究.?計算機科學[J].?2017， 44（02）：?38-45.
• 王長會， 馬慶利.基于大數據的移動用戶行為分析研究.?現代信息科技[J].?2019， 3（12）：?58-60.
• 江沸菠， 王玲， 劉輝.?移動警務信息系統的設計與實現.?信息安全與通信保密[J].?2006（11）， 103-105.
• 劉闖.?基于機器學習移動用戶行為分析研究[D].?長春：?長春理工大學， 2018.
• 段明琪.?基于日志分析的大數據威脅感知系統的研究[D].?北京：?北京郵電大學， 2008.
• 石峰.?移動警務信息系統安全技術研究與實現[D].?北京：?北京工業大學， 2009.
• 顏明.?移動警務通身份認證的設計與實現[D].?合肥：?合肥工業大學， 2007.