新一代移动警务泛态势感知安全监测研究探析
打开文本图片集
摘 要: 本文通过对泛态势感知与安全监测技术的研究,探索建立新一代移动警务业务行为的安全管控体系,通过全程监控移动警务业务的运行过程,全程采集应用运行数据,集中分析安全风险,提取安全事件并有针对性地提供管控手段,将固化安全基线转化为动态且面向业务的安全服务,实现可信、可管、可控的安全目标,提高健壮性和稳定性,为移动警务业务的开展提供安全服务和支撑。
关键词: 移动警务,泛态势感知,安全监测,探析
中图分类号: TP391.0 文献标识码: A DOI:10.3969/j.issn.1003-6970.2019.09.004
本文著录格式:李雁,高永龙,席新,等. 新一代移动警务泛态势感知安全监测研究探析[J]. 软件,2019,40(9):18-22
Discussion on the New Generation Mobile Policing General Situational Perception Security Monitoring Technology
LI Yan, GAO Yong-long, XI Xin, CHEN Xu, XUE Jing-sheng*
(Tianjin Public Security Bureau Science and Technology Information Office 300393, China)
【Abstract】: Through the study of general situational awareness and security monitoring technology, this paper explores the establishment of a new generation of mobile police business behavior security control system, through the entire monitoring of the mobile police business operation process, the entire process of collecting application operation data, centralized analysis of security risks. To extract security incidents and provide targeted control means to convert the solidified security baseline into dynamic and business-oriented security services so as to achieve credible, manageable and controllable security objectives and improve the robustness and stability of the new generation of mobile police platforms; Provide security services and support for the development of mobile police business.
【Key words】: Mobile policing; General situational perception; Security monitoring; Analysis
0 引言
為贯彻公安部“十三五科技发展规划”要求,天津市公安局从自身应用需求出发,正在进行基于4G公众移动通讯网络的新一代移动警务平台的建设。按照“统一平台接入、统一集中管控、统一标准规范”的原则,调整移动警务基础架构,创新移动应用模式,完善安全保护策略,构建更强大的网络融合、数据融合安全环境,进一步推动移动警务应用的蓬勃开展,提高公安机关应急指挥、快速反应、高效服务的能力。
1 现状与需求分析
1.1 业务现状
天津市公安局新一代移动警务系统于在2017年开始建设,现已包括基础设施、应用支撑、移动应用、移动终端、安全防护和集中管控六个方面功能的集成平台,同步制定了配套的标准规范体系和管理制度。网络基础设施由移动互联网服务子平台、联网服务子平台、安全接入子平台、公安信息网服务子平台构成。其中联网服务子平台和公安信息网服务子平台基于云架构建设,移动互联网服务子平台基于公有云(后期可迁移至政务云)建设,安全接入子平台进行了升级改造,符合公安部关于新一代移动警务总体技术方案要求。
移动应用包括专业应用、综合应用、互联网应用和基础共性应用/组件,基于应用支撑体系实现应用的快速开发、发布和高效运行、有效管理。已上线警务微信、移动办公、法律法规、公安新闻、人像识别、NFC身份证识别、语音组件等基础共性应用/组件,开展了民生警务、实名盾、互联网采集等多项应用。
平台基于国产密码、自主可信计算和网络安全设备,提供了覆盖系统用户、移动终端、网络边界、服务器主机、应用系统和数据的安全防护措施。集中管控平台对移动警务平台的业务要素、主要流程可进行初步的安全信息数据采集及必要的日志分析。
1.2 功能需求
当前我国网络安全领域正面临多种挑战。首先,随着外部攻击的多样化以及自身安全体系的发展,网络安全架构日趋复杂,各种类型的安全设备、安全数据越来越多,随着数据的爆炸,传统的分析能力明显不足。內控与合规的深入,越来越需要储存与分析更多的安全信息,并快速地做出决策和响应。其次,数据正日益成为业务发展的核心动力,也成为黑客的主要攻击目标。对黑客而言,集中攻击移动警务应用或平台,可降低攻击成本,提升攻击收益。再次,传统的访问控制多依赖于角色,而未来的业务完全基于大数据开展,难以准确实现角色划分,也难以为角色授予恰当的权限。面对大数据量、细粒度数据审计能力的不足,新一代移动警务的大数据建设不能简单套用传统的安全风险评估模型,也不能简单沿用现有的评估指标体系和工具集合,因此迫切需要建设结合移动警务特点的大数据分析和感知平台。
1.3 国内外态势感知的研究概况
1.3.1 态势感知的起源
态势感知的概念[1]最早是由美国空军提出,是为提升空战能力,分析空战环境信息、快速判断当前及未来形势,以作出正确反应而进行的研究探索。上世纪90年代这个概念被引入了信息安全领域,最知名的2003年开始的美国的爱因斯坦计划即国家网络空间安全保护系统(The National Cybersecurity Protection System)于2013年已开始第三期建设,美国DHS(国土安全部)对态势感知进行了不断探索。
态势感知偏重于检测和响应分析能力的建设,这是最迫切的现实性安全需要。态势感知不止是“大屏”,真正的态势感知是为了安全能力的落地,集全网安全可视、检测、预警及响应于一体[2]。
1.3.2 态势感知系统的作用
可用一句话概括:分析安全环境信息、快速判断当前及未来形势,以作出正确响应。“全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位,可以理解为时间维度和检测内容维度。在时间维度上,需要利用已有实时或准实时的检测技术,还需要通过更长时间数据来分析发现异常行为特别是失陷情况。在内容维度上,也需要覆盖网络流量、终端行为、内容载荷等方面。
要等够完整提供以下检测能力:基于流量特征的实时检测(WAF、IPS、NGFW);基于流量日志的异常分析机制(流量传感器、Hunting、UEBA);针对内容的静态、动态分析机制(沙箱);基于终端行为特征的实时检测(ESP);基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)等。
“态”指是从全局角度看到的现状,包括组织自身的威胁状态和整体的安全环境,需要尽可能的发现攻击事件或攻击线索,同时需要对涉及到的报警提供进一步的分析,包括:是真实的攻击吗?是否可能误报?是否把扫描识别为真实攻击?是什么性质的攻击?定向或者随机?可能的影响范围和危害?缓解或者清除的方法及难度等。
“势”即未来的状态。要能预测组织未来的安全状态,需要对现阶段所面临的攻击事件特别是定向攻击事件有深入的了解,包括:是新的攻击团队还是已知团伙?攻击者的意图?攻击者的技战术水平及特点?是否属于一次大型战役的一部分等。
了解这些信息,同时通过信息和情报共享,对同行业或相似部门的相关此类信息也有所了解,就能够预测未来可能处于的安全状态以及需要防御的重点,即预测预防能力[3]。
1.3.3 存在的主要问题
国内外类似的大数据安全管理及集中审计平台产品主要包括IBM QRadar、Splunk、启明星辰(泰合)等,这些产品在各自领域都做了长期的技术投入和经验积累,取得了较好的效果。但也存在一些弊端,一是没有采用大数据技术框架,缺乏大数据采集、分析和处理能力;二是尚未做到针对网络威胁和用户异常行为的动态防御和动态响应机制,尚未真正实现移动数据全生命周期闭环管理等[4]。
2 泛态势安全感知研究的现实意义
2.1 深度的审计能力,解决全网运行状态的可知性
通过日志埋点、业务上报、手动导入等多种采集手段,汇聚移动应用软件运行及用户操作的全路径信息,并通过关联处理建立数据立方,形成软件运行和用户操作行为的全景视图,支持多维度、多形式的快速审计,对应用、终端和用户行为进行实时监控,对业务运转状态、运维环境状态、安全防护状态进行实时感知、理解、预测和评估,全面掌握移动警务运行的当前、历史及单点、全局状态,及时发现和预测危及业务连续性、设备运行和设施安全的事件发生,为采取应对措施赢得时间,降低事件的危害或阻止危害事件的发生[5]。例如可关联审计到什么用户?在哪个终端?什么应用?什么操作行为?内容是什么?等。
2.2 异常行为自动发现,解决管理对象的透明化
在数据全量、实时采集的基础上,采用机器学习和数据挖掘技术,对采集到的海量数据进行实时或离线分析,发现终端、用户和应用异常行为,并提交相关人员进行研判,及时发现未知的用户、应用和终端的违规行为,从而弥补相关人员知识、经验的不足,保障移动警务业务的健康发展。比如可自动发现周期内某用户终端流量过大、不符合正常范围区间等问题。
2.3 安全事件的指令联动,解决移动警务应用的可控性
将移动警务所有要管理的业务要素形成基础指标,每个指标项都对应建立可量化的度量标准,以自动或辅助决策的形式关联到控制指令,阻止危害行为的发生,形成事前预防、事中管控、事后追溯的全方位安全管控体系。
3 系统目标、研究内容与部署架构
3.1 系統目标
采用大数据架构,全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证,辅助安全管理员采取针对性响应处置措施;具备网络安全持续监控能力,能及时发现各种攻击威胁与异常;具备威胁调查分析及可视化能力,可以威胁相关的影响范围、攻击路径、目的、手段进行快速判别,支撑安全决策和响应;建立动态安全预警机制,提升风险管控、应急响应和整体安全防护水平[6]。
3.2 研究内容
3.2.1 基于事件流的关联分析技术
复杂事件处理是一种基于事件流(event streaming)的技术,是由史丹佛大学David Luckham 与Brian Fraseca 所提出。事件流(Event streaming)具有高吞吐量(throughput)、高度利用性(availability)、低度延迟(latency)等特性,让企业能够实时决策。任何事情的发生可以认为是一个“事件”,事情的发生产生一项数据,一项数据也可认为是一个“事件”。业务系统的一个交易是一个事件,用户的一个操作也是一个事件。这些事件具有共同点:数据量庞大、流式数据、永不止境。需要从海量事件中找出有意义的单个事件或事件组合,比如可疑交易数据(和正常交易价格有很大出入的多笔交易),并对数据进行分析处理。这个过程即为复杂事件处理。通过一定的规则,从不同的事件源中找出相关的事件组合,并对发现时间做进一步处理。适合的场景包括实时风险管理、实时交易分析、网络诈欺、网络攻击、态势感知趋势分析等[7]。
3.2.2 基于上下文的用户行为分析
用户行为分析技术以用户为中心,以机器学习为核心技术,分析各种用户异常行为,通过深钻和关联促进分析结果更加准确,及时应对各类用户群体的应用风险,诸如越权访问、业务篡改、内部欺诈、窃取数据等安全威胁,从技术层面为用户提供异常行为安全分析支撑,从制度方面促进信息系统的规范化管理。
用户行为分析技术是面向用户异常行为模式的数据分析技术,用于帮助用户及时发现和应对用户异常操作带来的数据泄密等安全事件。用户行为的分析过程,究其本质实际上是一个从海量数据获得有价值信息的数据挖掘过程,因此用户异常行为分析可以参考数据挖掘和分析学科中的方法,基于数据分析工作和数学算法量化基线,建立模型,计算输出各种异常行为场景。
用户行为分析的核心是机器学习,通过使用有监督或无监督的各种机器学习算法挖掘各种用户异常行为模式,检测和识别前期没有发现的安全风险。有监督式学习模式基于大量真实的样本数据,应用于快速发现未知异常;无监督的机器学习方法保证了系统的自我学习,不断调整和精确识别未知异常。
3.2.3 基于攻击链的威胁行为分析
面对复杂场景,需要多种规则进行组合,多个维度进行关联,通过关联分析得到最终的攻击链结果。
复杂事件处理、关联分析可将多种类型事件进行多维度关联,从而对不同类型事件进行分析,最终找到隐藏的有威胁的事件。比如攻击链溯源分析,攻击者在网络中的行为被完整的展现出来,从攻击手段,攻击线路,攻击影响,被攻击者各个方面进行画像。不管攻击在在网络中设置了多少次跳转以及伪装,都可以通过多维度的分析直接找到攻击源头。大数据态势感知主要采用日志分析的方式来进行溯源分析,通过对接入的流量日志、安全日志、系统日志进行解析、关联、挖掘,最终完整的绘制出攻击链[8]。
3.3 部署架构
新一代移动警务泛态势感知安全监测平台分为前台系统和后台系统。前端为态势可视化展示平台,后端为数据采集和处理平台根据系统组成及整体实现。其中的后端结构如图1所示。
从技术架构来看,本研究采用以Hadoop生态组件为基础的大数据处理技术,完成数据采集、数据实时处理、数据存储、数据分析及业务展现等流程。其技术架构如图2所示。
4 关键技术研究
4.1 深度流量包检测探针
深度流量包检测探针提供动态的、深度的、主动的安全检测,为应对新型攻击带来的威胁,从智慧识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意档的检测能力。
通过IP碎片重组、TCP流汇聚以及数据流状态跟踪等能力,对黑客采用任意分片方式进行的攻击进行检测。深度包检测采用智慧协议识别技术,通过动态分析网络报文中包含的协议特征,发现其所在协议,然后递交给相应的协议分析引擎进行处理,高速、准确地检测出通过动态端口或者智能隧道实施的恶意入侵,可以准确发现绑定在任意埠的各种恶意流量、漏洞攻击。
4.2 基于层次化时空特征学习的网络流量异常检测
基于网络流量的空间特征学习、时序特征学习,建立层次化时空网络安全监测方法,构建态势感知算法和模型库,以从网络流量大数据中获取准确的态势分析和预测结果。通过CNN对网络流量数据、加密流量数据进行学习分类,通过RNN建立双向网络流量时序特征。将网络流量数据的空间特征与时序特征进行融合,建立网络流量的异常分析模型。
4.3 大数据分布式存储
大数据分布式存储架构,充分考虑高可用性设计、数据存储量大小、搜索分析效率、成本投入等因素。从搜索分析效率和数据存储量方面考虑,本项目采用ElasticSearch技术,该技术具有企业级分布式文件系统;高扩展性;支持结构化和非结构化数据存储;支持超大规模文档存储并提供数据切分;支持原有数据安全迅速的迁移和备份;提供数据冗余副本机制,可动态设置副本数量并提供查询的高吞吐量等特点。
4.4 大数据分布式计算
大数据环境下,流式数据作为一种新型的数据类型,是实时数据处理所面向的数据类型,其相关研究发展迅速。本研究采用Spark Streaming流计算引擎,这是一个对实时数据流进行高通量、容错处理的流式处理系统,可对多种数据源进行类似Map、
Reduce和Join等复杂操作,并将结果保存到外部文件系统、数据库或应用到实时仪表盘。整个流式计算根据业务的需求可以对中间的结果进行叠加或存储到外部设备。
5 结语
从被动运维到主动运维,从被动防护到主动与自动防护,这就是本研究的目标,而态势感知则是必要手段。网络安全态势感知技术只有基于大数据的技术、数据驱动态势感知以及场景驱动来可以实现。基于大数据架构的泛态势安全感知与安全监测技术的研究与部署,可有效提高新一代移动警务平台的健壮性和稳定性,对移动业务的开展起到促进作用,从安全管理的视角为移动警务业务的开展提供安全服务和管理支撑,因而具有广泛的实战应用意义。
参考文献
- 韩晓露, 刘云, 张振江, 吕欣, 李阳. 网络安全态势感知理論与技术综述及难点问题研究. 信息安全与通信保密[J], 2019(07): 61-71.
- 王志奇, 陈宇, 雷亚. 基于大数据的网络安全态势分析平台. 警察技术[J]. 2018(05): 68-74.
- 董超, 刘雷. 大数据网络安全态势感知中数据融合技术研究. 网络安全技术与应用[J]. 2019(07): 60-62.
- 董煜, 林柏钢.基于专网的移动警务安全保障系统设计与研究. 计算机工程与设计[J]. 2007, 28(17): 4319-4322.
- 肖薇, 计春雷.面向移动警务应用的云计算平台涉及与实现[C]//第八届中国多智能体系统与控制会议论文集, 上海: 上海交通大学出版社, 2012: 303-305.
- 琚安康, 郭渊博, 朱泰铭, 王通.网络安全事件关联分析技术与工具研究. 计算机科学[J]. 2017, 44(02): 38-45.
- 王长会, 马庆利.基于大数据的移动用户行为分析研究. 现代信息科技[J]. 2019, 3(12): 58-60.
- 江沸菠, 王玲, 刘辉. 移动警务信息系统的设计与实现. 信息安全与通信保密[J]. 2006(11), 103-105.
- 刘闯. 基于机器学习移动用户行为分析研究[D]. 长春: 长春理工大学, 2018.
- 段明琪. 基于日志分析的大数据威胁感知系统的研究[D]. 北京: 北京邮电大学, 2008.
- 石峰. 移动警务信息系统安全技术研究与实现[D]. 北京: 北京工业大学, 2009.
- 颜明. 移动警务通身份认证的设计与实现[D]. 合肥: 合肥工业大学, 2007.
下一篇:“信息战超级杀手”