態(tài)勢感知技術(shù)在信息安全保障中的應(yīng)用

陳希，馬冰珂

(1 中國移動通信集團(tuán)福建有限公司，福州 350001；2 中國移動通信有限公司研究院，北京 100053）

公網(wǎng)資產(chǎn)、業(yè)務(wù)網(wǎng)站和手機(jī)移動應(yīng)用等作為直接暴露在互聯(lián)網(wǎng)側(cè)并面向終端用戶的信息系統(tǒng)和應(yīng)用，在重大活動期間，極易成為黑客的首選攻擊目標(biāo)和發(fā)起后續(xù)攻擊的入口，因此需要針對公網(wǎng)資產(chǎn)和網(wǎng)站漏洞、手機(jī)惡意應(yīng)用、網(wǎng)站不良信息等潛在信息安全風(fēng)險采取更加有效的監(jiān)測和防范措施。

然而，目前已有的技術(shù)應(yīng)對措施基本都是特異性的技術(shù)手段，只能應(yīng)對特定類型的安全威脅和風(fēng)險，缺少整體協(xié)調(diào)處理和感知能力。因此，當(dāng)安全事件較多、安全威脅類型較為復(fù)雜時，已有的特異性的應(yīng)對手段無法從全局角度監(jiān)測和感知信息系統(tǒng)的運(yùn)行狀態(tài)和當(dāng)前所面臨的主要安全風(fēng)險，無法滿足全方位保障信息系統(tǒng)安全性的要求。

態(tài)勢感知技術(shù)是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風(fēng)險的技術(shù)，其以安全大數(shù)據(jù)為基礎(chǔ)，能夠從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式。通過態(tài)勢感知技術(shù)，提升對整個信息系統(tǒng)的全局感知能力，有效掌握系統(tǒng)的運(yùn)行狀態(tài)和安全風(fēng)險，以及系統(tǒng)一段時間內(nèi)的運(yùn)行和安全趨勢。態(tài)勢感知技術(shù)在電信網(wǎng)中也已經(jīng)得到了一定程度的應(yīng)用。

本文首先對態(tài)勢感知平臺的關(guān)鍵技術(shù)進(jìn)行了研究和分析，重點對態(tài)勢感知平臺核心功能的數(shù)據(jù)集成、數(shù)據(jù)分析和數(shù)據(jù)展示等關(guān)鍵技術(shù)進(jìn)行了介紹和梳理。在相關(guān)研究內(nèi)容的基礎(chǔ)上，本文設(shè)計開發(fā)了一套信息安全態(tài)勢感知平臺用于廈門重要活動信息安全保障，支持對重點資產(chǎn)和網(wǎng)站、不良信息以及手機(jī)移動應(yīng)用的安全監(jiān)測和態(tài)勢感知等功能，取得了較好的態(tài)勢感知效果。

1 信息安全態(tài)勢感知關(guān)鍵技術(shù)

信息安全態(tài)勢感知中涉及到大量安全事件和數(shù)據(jù)的集中處理，因此需要在數(shù)據(jù)集成、數(shù)據(jù)分析以及數(shù)據(jù)展示等方面使用大量關(guān)鍵技術(shù)，本節(jié)對涉及到的各項技術(shù)進(jìn)行了簡要介紹。

1.1 數(shù)據(jù)集成關(guān)鍵技術(shù)

數(shù)據(jù)處理的一項關(guān)鍵技術(shù)是將不同來源、不同類型和不同格式的數(shù)據(jù)進(jìn)行集中處理，使得這些數(shù)據(jù)在物理上或者邏輯上具有一定程度的一致性，便于數(shù)據(jù)的全面共享和集中管理，這個過程就是數(shù)據(jù)集成。目前廣泛使用的數(shù)據(jù)集成技術(shù)手段為ETL技術(shù)。作為數(shù)據(jù)倉庫構(gòu)造的一個關(guān)鍵環(huán)節(jié)，其主要功能是將不同來源、格式和類型的關(guān)系和非關(guān)系數(shù)據(jù)進(jìn)行集中抽取，并在臨時中間層進(jìn)行集中清洗、轉(zhuǎn)換和集成，處理后的數(shù)據(jù)加載到數(shù)據(jù)倉庫中。經(jīng)過ETL流程處理后的數(shù)據(jù)一般作為后續(xù)數(shù)據(jù)處理的基礎(chǔ)，圖1給出了一個簡單的ETL流程。

圖1 數(shù)據(jù)集成關(guān)鍵技術(shù)

1.1.1 數(shù)據(jù)抽取

數(shù)據(jù)集成的第一個步驟是數(shù)據(jù)抽取，其主要功能是從原始數(shù)據(jù)源中抽取對于后續(xù)數(shù)據(jù)處理有用的關(guān)鍵數(shù)據(jù)。數(shù)據(jù)抽取主要有以下幾種方式。

（1）全量抽?。菏且环N比較簡單的數(shù)據(jù)抽取方式，全量抽取將源數(shù)據(jù)中的數(shù)據(jù)表、數(shù)據(jù)視圖等數(shù)據(jù)原封不動地從數(shù)據(jù)庫中提取出來，全量抽取的一個關(guān)鍵要求是要將抽取后的數(shù)據(jù)轉(zhuǎn)換成ETL工具可以識別和處理的格式。

（2）增量抽?。菏且环N相對復(fù)雜的數(shù)據(jù)抽取方式。顧名思義，增量抽取在已抽取數(shù)據(jù)的基礎(chǔ)上，只針對自上次抽取以來數(shù)據(jù)庫中新增或修改的數(shù)據(jù)進(jìn)行抽取。增量抽取是應(yīng)用更為廣泛的一種數(shù)據(jù)抽取方式。

1.1.2 數(shù)據(jù)轉(zhuǎn)換和加工

數(shù)據(jù)抽取后的結(jié)果往往不能夠完全滿足后續(xù)處理的需求，因此一般會對數(shù)據(jù)抽取后的結(jié)果數(shù)據(jù)進(jìn)行一定程度的轉(zhuǎn)換和加工。數(shù)據(jù)轉(zhuǎn)換和加工操作通常在ETL引擎中進(jìn)行單獨(dú)操作，也可以在數(shù)據(jù)抽取過程中結(jié)合關(guān)系數(shù)據(jù)庫協(xié)同進(jìn)行。

（1）ETL引擎中的數(shù)據(jù)轉(zhuǎn)換和加工：ETL引擎一般都會提供用于數(shù)據(jù)轉(zhuǎn)換和加工的組件，包括字段映射、數(shù)據(jù)過濾、數(shù)據(jù)清洗、數(shù)據(jù)替換、數(shù)據(jù)計算、數(shù)據(jù)驗證、數(shù)據(jù)加解密、數(shù)據(jù)合并、數(shù)據(jù)拆分等，這些組件可以按照具體的處理需求進(jìn)行選取組合以及流程化執(zhí)行。

（2）在數(shù)據(jù)庫中進(jìn)行數(shù)據(jù)加工：SQL語句和函數(shù)本身就提供了強(qiáng)大的數(shù)據(jù)處理功能，相比在ETL引擎中的數(shù)據(jù)轉(zhuǎn)換和加工，直接利用SQL語句進(jìn)行數(shù)據(jù)轉(zhuǎn)換和加工具有簡潔清晰的特點。但這種方式的一個局限性在于許多操作無法簡單通過SQL語句來直接實現(xiàn)，此時可以結(jié)合ETL引擎進(jìn)行協(xié)同處理。

1.1.3 數(shù)據(jù)裝載

ETL過程的最后一個步驟是對數(shù)據(jù)進(jìn)行統(tǒng)一裝載。對于目的數(shù)據(jù)庫是關(guān)系數(shù)據(jù)庫的情形，主要有兩種數(shù)據(jù)裝載方式。

（1）直接使用SQL語句進(jìn)行insert、update和delete等操作。

（2）使用sqlldr等批量裝載方式。

針對所需執(zhí)行操作類型的不同以及需要裝載數(shù)據(jù)規(guī)模大小的不同，裝載數(shù)據(jù)的方式也具有一定程度的特異性。大多數(shù)情況下直接使用第一種方法，因為關(guān)系數(shù)據(jù)庫會針對SQL語句的操作進(jìn)行記錄，當(dāng)出現(xiàn)問題時可以進(jìn)行恢復(fù)。部分應(yīng)用場景對于數(shù)據(jù)裝載的效率要求較高，適合使用批量裝載方式。

1.2 數(shù)據(jù)分析關(guān)鍵技術(shù)

信息安全態(tài)勢感知平臺通過集中分析和處理各類安全事件和風(fēng)險，分析出當(dāng)前信息安全態(tài)勢和發(fā)展趨勢等信息。為取得較優(yōu)的分析結(jié)果，通常使用關(guān)聯(lián)分析、綜合關(guān)聯(lián)分析等技術(shù)提升數(shù)據(jù)分析功能的準(zhǔn)確率及執(zhí)行效率。

1.2.1 關(guān)聯(lián)分析

圖2 關(guān)聯(lián)分析技術(shù)

如圖2所示，關(guān)聯(lián)分析一般基于規(guī)則匹配的方法，通過分析和創(chuàng)建具體的匹配規(guī)則，對不同類型和結(jié)構(gòu)的事件根據(jù)特征規(guī)則進(jìn)行匹配，并得出事件分析結(jié)論的過程。關(guān)聯(lián)分析條件一般根據(jù)安全事件中的一些關(guān)鍵和基本屬性作為限制條件，通過對事件關(guān)鍵屬性值的具體比較分析等確定規(guī)則匹配的具體結(jié)果。

1.2.2 綜合關(guān)聯(lián)分析

如圖3所示，綜合關(guān)聯(lián)分析的主要功能是通過對多種關(guān)聯(lián)分析功能進(jìn)行結(jié)合和統(tǒng)一判斷，將原始的安全事件和安全漏洞數(shù)據(jù)通過多重關(guān)聯(lián)分析的判斷和匹配。

綜合關(guān)聯(lián)分析系統(tǒng)一般提供3種基本的關(guān)聯(lián)分析類型，即規(guī)則關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞庫關(guān)聯(lián)分析。綜合關(guān)聯(lián)分析的具體規(guī)則和關(guān)聯(lián)條件的創(chuàng)建，需要考慮各關(guān)聯(lián)分析模塊具體功能的特性和不同，綜合考慮業(yè)務(wù)和應(yīng)用安全域和安全控制策略等來進(jìn)行具體設(shè)定。

圖3 綜合關(guān)聯(lián)分析技術(shù)

1.3 數(shù)據(jù)展示關(guān)鍵技術(shù)

目前主流的數(shù)據(jù)展示功能一般采用新一代互聯(lián)網(wǎng)前端編程語言HTML5以及響應(yīng)式布局，瀏覽器插件支持GPU硬件加速功能，能夠提高界面呈現(xiàn)效果，帶來更好、更快的用戶體驗。

1.3.1 大屏展示技術(shù)

針對大屏監(jiān)控的優(yōu)化技術(shù)，在UI改進(jìn)上，提供多種富媒體呈現(xiàn)技術(shù)保障數(shù)據(jù)呈現(xiàn)直觀、布局合理、形象化，通過多頁輪播、單頁組合等方式可以有效發(fā)揮多屏、單屏等提升有效可視面積和視覺呈現(xiàn)效果，同時充分考慮到監(jiān)控和展示的需求，保證重要的告警和異常數(shù)據(jù)能夠通過聲光電等方式不被客戶遺漏。

1.3.2 磁貼式展示

態(tài)勢感知呈現(xiàn)界面一般采用磁貼式布局，使用方便，方便擴(kuò)展，靈活定制，可以自由組合監(jiān)控界面，大幅提高監(jiān)控工作效率。磁貼式數(shù)據(jù)展示可支持客戶根據(jù)當(dāng)前主要需求，以任意定義的多樣式多維度進(jìn)行詳細(xì)頁面數(shù)據(jù)展示，從而根據(jù)不同階段的具體需求對重點安全指標(biāo)等進(jìn)行定制化的監(jiān)測。

2 信息安全態(tài)勢感知平臺設(shè)計實現(xiàn)

2.1 平臺功能需求

從功能需求角度具體來說，態(tài)勢感知平臺需要支持對重點資產(chǎn)和網(wǎng)站、移動應(yīng)用、業(yè)務(wù)服務(wù)終端等的重點監(jiān)測，重點關(guān)注網(wǎng)站中存在的安全漏洞、反動涉黃等不良信息、手機(jī)移動應(yīng)用中的惡意URL地址、對自由移動應(yīng)用的惡意篡改以及業(yè)務(wù)服務(wù)終端的安全漏洞等安全風(fēng)險。為實現(xiàn)上述目的，平臺需要支持各類安全知識庫，包含常見的安全漏洞庫、不良信息庫、惡意應(yīng)用URL庫以及惡意移動應(yīng)用樣本庫等。此外，平臺還需要采集各類型的系統(tǒng)運(yùn)行數(shù)據(jù)和安全事件數(shù)據(jù)等，包括資產(chǎn)及網(wǎng)站的運(yùn)行數(shù)據(jù)、網(wǎng)站內(nèi)容數(shù)據(jù)、自由移動應(yīng)用的數(shù)據(jù)、惡意應(yīng)用URL數(shù)據(jù)以及終端安全的監(jiān)測數(shù)據(jù)等，平臺的具體功能需求示意在圖4中給出。

2.2 平臺技術(shù)架構(gòu)

圖4 態(tài)勢感知平臺總體功能需求

按照信息安全態(tài)勢感知平臺的功能需求，對平臺技術(shù)架構(gòu)進(jìn)行具體劃分。如圖5所示，態(tài)勢感知平臺采用分層設(shè)計，在對應(yīng)層級集成所需的功能模塊，各層級間協(xié)同工作，各功能模塊間分工配合，實現(xiàn)對各類信息安全時間的態(tài)勢感知和預(yù)警。

（1）數(shù)據(jù)采集層：主要功能是實現(xiàn)重點資產(chǎn)及網(wǎng)站數(shù)據(jù)、自有網(wǎng)站信息、統(tǒng)一DPI流量數(shù)據(jù)、自有移動應(yīng)用信息等原始數(shù)據(jù)，以及各項監(jiān)測數(shù)據(jù)等的采集，在采集數(shù)據(jù)的基礎(chǔ)上對數(shù)據(jù)進(jìn)行規(guī)則化處理和存儲，并建立相應(yīng)的數(shù)據(jù)標(biāo)識、索引和檢索等，為安全分析層的進(jìn)一步分析處理做好準(zhǔn)備。

（2）安全分析層：是態(tài)勢感知平臺的核心模塊，主要功能是對資產(chǎn)、網(wǎng)站及終端運(yùn)行狀態(tài)和安全風(fēng)險監(jiān)測數(shù)據(jù)、網(wǎng)站不良信息監(jiān)測數(shù)據(jù)、惡意應(yīng)用URL監(jiān)測數(shù)據(jù)、自有移動應(yīng)用篡改監(jiān)測數(shù)據(jù)等進(jìn)行檢測和分析，從中得到當(dāng)前信息安全整體態(tài)勢和發(fā)展趨勢等信息，分析模塊的整體功能示意如圖5所示。安全分析層除了包含上述各功能模塊外，還依賴于各項關(guān)鍵支撐技術(shù)和資源，包括安全技術(shù)庫和安全知識庫等。

（3）態(tài)勢感知層：主要功能是針對安全分析層得到的分析數(shù)據(jù)和結(jié)果，設(shè)計指標(biāo)體系并按指標(biāo)進(jìn)行統(tǒng)計分析和可視化展示。態(tài)勢感知層作為平臺的用戶使用界面，將統(tǒng)計信息、分析結(jié)果及定位信息進(jìn)行多級展示，其整體功能示意如圖5所示。態(tài)勢感知層通過多級指標(biāo)體系，反映宏觀的安全態(tài)勢以及微觀的異常行為情況。

圖5 態(tài)勢感知平臺技術(shù)架構(gòu)

2.3 平臺具體實現(xiàn)

2.3.1 網(wǎng)站運(yùn)行狀態(tài)監(jiān)測

重要活動信息安全保障中，態(tài)勢感知平臺的第一大核心功能是對網(wǎng)站的運(yùn)行狀態(tài)進(jìn)行監(jiān)測與態(tài)勢感知。通過收集網(wǎng)站信息和監(jiān)測數(shù)據(jù)，對網(wǎng)站的分布情況、開放端口及服務(wù)、健康程度等重點運(yùn)行指標(biāo)進(jìn)行監(jiān)測，同時對網(wǎng)站當(dāng)前的漏洞信息、分布、感染趨勢等進(jìn)行重點監(jiān)測和快速處置。

2.3.2 不良信息監(jiān)測

態(tài)勢感知平臺的第二大核心功能是對網(wǎng)站的不良信息監(jiān)測與態(tài)勢感知。通過爬取和收集網(wǎng)站的內(nèi)容數(shù)據(jù)進(jìn)行檢測分析和過濾，同時對網(wǎng)站頁面的內(nèi)容變動進(jìn)行重點監(jiān)測，能夠?qū)W(wǎng)站中存在的不良信息進(jìn)行快速報警和處理，并對不良信息的統(tǒng)計情況、分布、發(fā)展趨勢等進(jìn)行監(jiān)測。

2.3.3 移動應(yīng)用監(jiān)測

態(tài)勢感知平臺的第三大核心功能是對移動應(yīng)用的安全監(jiān)測與態(tài)勢感知。通過收集統(tǒng)一DPI流量數(shù)據(jù)，從中提取惡意應(yīng)用URL和惡意應(yīng)用樣本等信息，并對惡意樣本進(jìn)行靜態(tài)和動態(tài)分析，能夠?qū)阂鈶?yīng)用的發(fā)展趨勢、分布、感染態(tài)勢等進(jìn)行監(jiān)測。

3 總結(jié)

本文對態(tài)勢感知技術(shù)在信息安全保障領(lǐng)域的多項關(guān)鍵技術(shù)和應(yīng)用進(jìn)行了研究，并設(shè)計開發(fā)了一套信息安全態(tài)勢感知平臺用于重要活動信息安全保障，支持對重點資產(chǎn)和網(wǎng)站、不良信息以及手機(jī)移動應(yīng)用的安全監(jiān)測和態(tài)勢感知等功能，具有較好的態(tài)勢感知能力。下一步，應(yīng)圍繞以下工作方向繼續(xù)提升平臺的態(tài)勢感知能力和效果。

（1） 提升平臺的數(shù)據(jù)采集能力，支持更多類型信息安全事件和數(shù)據(jù)的采集，如詐騙短彩信、釣魚網(wǎng)站、詐騙電話、偽基站等。

（2） 提升平臺的數(shù)據(jù)和態(tài)勢分析能力，支持對更多類型安全風(fēng)險和事件的態(tài)勢和發(fā)展趨勢分析等。

（3） 提升平臺的數(shù)據(jù)挖掘能力，對數(shù)據(jù)深層次的內(nèi)容進(jìn)行挖掘如溯源等，方便后續(xù)處置。

[1] 龔儉, 臧小東, 蘇琪, 等. 網(wǎng)絡(luò)安全態(tài)勢感知綜述[J]. 軟件學(xué)報, 2017,28(4).

[2] 張勇, 譚小彬, 崔孝林, 等. 基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J]. 軟件學(xué)報, 2011,22(3).

[3] 葛琳, 季新生, 江濤. 電信網(wǎng)信息內(nèi)容安全事件態(tài)勢感知模型研究[J]. 電信科學(xué), 2017,30(2).