一種為移動警務態勢感知提供基礎支撐的安全管控系統

高永龍 陳緒 席新 李雁

摘要：本文根據移動警務信息化建設需求，在分析當前移動警務信息網絡安全現狀和現有安全管控系統的基礎上，提出了一種為移動警務態勢感知提供基礎支撐的安全管控系統。該系統在廣泛采集網絡組件狀態信息和在網各應用系統日志文件的基礎上，通過異常用戶關聯審計、基于規則的分析和基于機器學習的異常日志分析等，能感知網絡安全態勢，并可根據策略給出安全警報和防護建議。

關鍵詞：移動警務;態勢感知;安全管控;策略

中圖分類號：TP391.0 文獻標識碼：A 文章編號：1007-9416（2019）11-0149-04

0 引言

隨著移動警務信息化建設的深入和網絡規模的不斷擴大，網絡系統面臨不斷變化的蠕蟲病毒、大規模網絡攻擊等安全威脅。傳統的網絡安全設備不能準確、有效地發現和利用事件之間存在的關聯關系，具有較高的誤報率和漏報率。網絡安全態勢感知是解決這些問題的有效途徑[1]，即通過在一定時間及空間范圍內感知所發生的網絡安全事件，針對安全數據進行綜合處理，分析系統受到的攻擊行為，提供網絡安全的“全局視圖”，評估網絡系統的整體安全狀態和推測未來的安全趨勢[2]。

移動警務信息系統目前在用的管控系統，大多未規劃一體化的動態策略管理與指令聯動能力，沒有真正發揮出安全管控系統的態勢感知能力，需要在現有系統基礎上，構建一個覆蓋業務運行狀態、環境運營狀態、安全運行狀態的全網監控體系，實現對全網管控對象的一體化分析與監測，從而為實現移動警務態勢感知提供基礎支撐。基于此，系統應實現包括數據采集、數據存儲、數據分析、UI展示等主要功能。

1 業務架構

為實現移動警務態勢感知基礎支撐的主要功能，整個系統劃分為數據采集、集中分析、數據可視化展示與集中運維管理控制，以及配套的標準規范建設。

（1）數據采集與標準化：圍繞各類管控對象，依據設備類元數據標準與采集標準，構建適配器，實現對各類異構管控對象數據源的數據采集、數據轉換能力，形成標準化的數據裝入數據存儲。采集的內容包括基礎信息、業務日志、安全事件等。（2）關聯分析與預測：運用大數據技術，實現對用戶行為與安全事件的關聯分析與預測。（3）可視化：從業務、安全、運維多個角度，進行全面的系統態勢分析與報表可視化展示。（4）集中運維：以資產管理為基礎，圍繞網內的各類安全事件與運維事件，實現對問題、事件、變更、發布等的運維流程處理，過程中積累沉淀知識庫。（5）標準規范：由于涉及管控對象眾多，需要建立一套標準規范進行統一管理，具體體現在對各類管控對象的日志收集與策略管控層面。形成的標準規范包括：

1）設備類元數據：按照設備分類，建立一套設備或應用的標準對象化描述，包括基礎信息、狀態信息、事件信息與策略管控等信息。2）基于設備類元數據描述，建立設備采集規范與策略上報與下發規范。

2 數據架構

數據是實現態勢感知的基礎元素，態勢感知安全管控系統的基礎支撐作用核心體現在數據。數據載體分散在管控對象和管控中心兩端，采用基于Hadoop的大數據平臺[3，4]和基于Elasticsearch的分布式存儲和索引技術。

（1）管控對象端的數據包括需上報的設備的日志、策略、事件信息以及指令執行反饋信息。（2）管控中心端對上報數據進行處理。包括標準化裝載、存儲、指標化，并依據指標進行業務分析、事件分析、策略管控。

3 邏輯部署架構

移動警務網從整體上看，可分為部、省、市三級管理。市級安全管控系統將采集到的管控對象日志數據上傳至省級管控中心，省級管控中心根據部級要求上報數據[5]。

省級態勢感知安全管控系統由I，II，III區前置機與總態勢感知安全管控中心構成。其中各區的前置機部署采集適配器與規則/指令適配器，負責分別采集I，II，III類區的管控對象的日志，進行數據標準化預處理后經過日志/指令交換通道統一上報匯集到III類區域中的態勢感知安全管控中心，實現統一存儲，并基于存儲構建分析與展示。圖3為態勢感知安全管控系統邏輯部署架構圖。

4 數據采集

系統支持最廣泛的數據采集，以期為異常分析提供最全面的數據支持。系統采用主動接口上報與輪詢掃描兩種方式采集應用系統和設備產生的日志、事件與策略數據，依據設備類元數據與采集規范，適配不同類型、不同型號設備或應用，并通過數據匯聚處理，實現對各類異構設備或應用的標準化處理。支持SNMP、syslog、netflow、API接口等數據采集渠道。系統對采集的信息進行標準化、歸一化處理，清洗掉不一致、不完整、重復的日志類信息，并完成相關信息依據規則的映射與轉換。采集到的數據或者轉換后的數據通過自定義的加載器加載到不同類型的數據庫（如ES、mysql）中[6]。

移動警務信息系統分為三個互相隔離的區域，因此所有的數據都通過Restful API發給每個區的消息隊列后，經過消息隊列的中轉，最后統一匯總到三區公安內網區。所有的數據分析和展示都通過三區的管控中心和日志審計系統提供的Restful API進行獲取。圖4為態勢感知安全管控系統數據流圖。

在本系統設計當中，為建立一套實時全文搜索系統，采用了Elasticsearch提供的分布式大數據存儲系統和倒查排序搜索系統[7]，使得系統具有準實時全文搜索能力、可靠的容災備份能力、PB級數據存儲擴展能力、算力的平滑擴展能力。表1是數據采集和存儲相關性能指標，表2是數據采集定義標準。

5 監測審計和異常行為分析

5.1 用戶行為關聯審計

將用戶信息以及終端信息、應用信息、請求數據服務信息等用戶操作行為進行關聯審計。

5.2 基于規則的用戶行為異常分析

首先統計歷史數據，對用戶，機構，或設備等統計畫像。之后對最新日志進行分析，或對統計的畫像信息進行分析，對不符合畫像特征（比如出現過陌生應用或操作），或不符合一些其他定義的規則（比如訪問頻率過高），標記為異常行為，最后生成用戶畫像，如圖5所示。

5.3 異常日志分析

異常日志分析子系統，是整個分析系統的核心功能，也是態勢感知安全管控系統為態勢感知能力提供支撐的基礎。[8]異常日志分析子系統負責從采集到的異常日志信息中，利用非監督的機器學習算法分析可疑連接，對接入被監控系統的異常日志信息，利用機器學習的方法，從異常日志信息中分離出可疑的日志信息，經過上下文增強、噪聲過濾、白名單和啟發式算法等等一系列手段，最終產生少量且準確的安全威脅事件呈現給用戶。它利用主題建模來發現正常和異常的網絡行為，為每個IP 地址的異常日志建立概率模型，每一條異常日志都會被該模型進行評分，將其中得分較低的日志標記為“可疑”以作進一步分析。

系統流程涉及四個節點：數據源（公安網絡異常日志），數據接入系統（sas），數據分析系統（異常日志分析系統），UI系統（安全集中監控與審計系統）。

本文采用模糊聚類[9-10]的算法，該算法過程比較簡單，其過程可分為以下3步：（1）進行訓練樣本的標準化處理;（2）進行聚類，即利用適當的距離模式求得數據的模糊矩陣，并利用聚類算法實現樣本的聚類;（3）求得最優聚類結果。模糊聚類模型的建立可以通過下面4個步驟實現：

假設樣本數量為n，每個樣本有m個量化指標，xij則為樣本的指標。

6 結語

隨著移動警務建設的深入發展，網絡安全問題日益突出，本文介紹的態勢感知安全管控系統雖然已經具備了部分網絡安全態勢感知能力，但是由于該系統數據來源局限于日志數據和網絡組件的狀態信息，尚無法全量實時關聯分析全網數據，其態勢感知能力局限性較大。

下一步，我們將研究如何實時分析移動警務系統全量數據，并結合本文介紹的態勢感知安全管控系統，全面感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態，為移動警務信息系統安穩定運行提供安全保證。

參考文獻

[1] 席榮榮，云曉春，金舒原，等.網絡安全態勢感知研究綜述[J].計算機應用，2012，32（1）：1-4+59.

[2] Ousterhout K，Rasti R，Ratnasamy S，et al.Making sense of performance data analytics frameworks[C]//Proceedings of the 12th USENIX Symposium on Networked Systems Design and Implementation （NSDI） Oakland，CA.2015：293-307.

[3] Michael Armbrust，Reynold S.Xin，Cheng Lian，et al.Spark SQL： Relational data processing in Spark[C]//Proceedings of the 2015 ACM SIGMOD International Conference on Management of Data. ACM，2015：1383-1394.

[4] 張波.基于大數據技術的公安移動警務通信數據處理平臺設計與實現[D].濟南：山東大學，2016.

[5] 于兆良，張文濤，葛慧，等.基于Hadoop平臺的日志分析模型[J].計算機工程與設計，2016，37（2）：338-344+428.

[6] Lee M，Jung H，Cho M.On a Hadoop-based Analytics Service System[J].International Journal of Advances in Soft Computing & Its Applications，2015，7（1）：35-39.

[7] 段明琪.基于日志分析的大數據威脅感知系統的研究[D].北京：北京郵電大學，2019：31-35.

[8] 王長會，馬慶利.基于大數據的移動用戶行為分析研究[J].現代信息科技，2019，3（12）：58-60.

[9] 胡聰，劉翠玲，吳尚.基于大數據日志的預警技術分析[J].電氣技術，2016（06）：328-329.

[10] 韓曉露，劉云，張振江，等.網絡安全態勢感知理論與技術綜述及難點問題研究[J].信息安全與通信保密，2019（07）：61-71.

[11] 張曉宇.基于流被動測量的時間測度的研究[D].南京：東南大學，2009.

[12] 石金龍，孫翼.基于Libnids庫的Internet網絡協議還原系統研究[J].電子技術，2014（03）：13-19.