陈希,马冰珂
(1 中国移动通信集团福建有限公司,福州 350001;2 中国移动通信有限公司研究院,北京 100053)
公网资产、业务网站和手机移动应用等作为直接暴露在互联网侧并面向终端用户的信息系统和应用,在重大活动期间,极易成为黑客的首选攻击目标和发起后续攻击的入口,因此需要针对公网资产和网站漏洞、手机恶意应用、网站不良信息等潜在信息安全风险采取更加有效的监测和防范措施。
然而,目前已有的技术应对措施基本都是特异性的技术手段,只能应对特定类型的安全威胁和风险,缺少整体协调处理和感知能力。因此,当安全事件较多、安全威胁类型较为复杂时,已有的特异性的应对手段无法从全局角度监测和感知信息系统的运行状态和当前所面临的主要安全风险,无法满足全方位保障信息系统安全性的要求。
态势感知技术是一种基于环境的、动态、整体地洞悉安全风险的技术,其以安全大数据为基础,能够从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。通过态势感知技术,提升对整个信息系统的全局感知能力,有效掌握系统的运行状态和安全风险,以及系统一段时间内的运行和安全趋势。态势感知技术在电信网中也已经得到了一定程度的应用。
本文首先对态势感知平台的关键技术进行了研究和分析,重点对态势感知平台核心功能的数据集成、数据分析和数据展示等关键技术进行了介绍和梳理。在相关研究内容的基础上,本文设计开发了一套信息安全态势感知平台用于厦门重要活动信息安全保障,支持对重点资产和网站、不良信息以及手机移动应用的安全监测和态势感知等功能,取得了较好的态势感知效果。
信息安全态势感知中涉及到大量安全事件和数据的集中处理,因此需要在数据集成、数据分析以及数据展示等方面使用大量关键技术,本节对涉及到的各项技术进行了简要介绍。
数据处理的一项关键技术是将不同来源、不同类型和不同格式的数据进行集中处理,使得这些数据在物理上或者逻辑上具有一定程度的一致性,便于数据的全面共享和集中管理,这个过程就是数据集成。目前广泛使用的数据集成技术手段为ETL技术。作为数据仓库构造的一个关键环节,其主要功能是将不同来源、格式和类型的关系和非关系数据进行集中抽取,并在临时中间层进行集中清洗、转换和集成,处理后的数据加载到数据仓库中。经过ETL流程处理后的数据一般作为后续数据处理的基础,图1给出了一个简单的ETL流程。
图1 数据集成关键技术
1.1.1 数据抽取
数据集成的第一个步骤是数据抽取,其主要功能是从原始数据源中抽取对于后续数据处理有用的关键数据。数据抽取主要有以下几种方式。
(1)全量抽取:是一种比较简单的数据抽取方式,全量抽取将源数据中的数据表、数据视图等数据原封不动地从数据库中提取出来,全量抽取的一个关键要求是要将抽取后的数据转换成ETL工具可以识别和处理的格式。
(2)增量抽取:是一种相对复杂的数据抽取方式。顾名思义,增量抽取在已抽取数据的基础上,只针对自上次抽取以来数据库中新增或修改的数据进行抽取。增量抽取是应用更为广泛的一种数据抽取方式。
1.1.2 数据转换和加工
数据抽取后的结果往往不能够完全满足后续处理的需求,因此一般会对数据抽取后的结果数据进行一定程度的转换和加工。数据转换和加工操作通常在ETL引擎中进行单独操作,也可以在数据抽取过程中结合关系数据库协同进行。
(1)ETL引擎中的数据转换和加工:ETL引擎一般都会提供用于数据转换和加工的组件,包括字段映射、数据过滤、数据清洗、数据替换、数据计算、数据验证、数据加解密、数据合并、数据拆分等,这些组件可以按照具体的处理需求进行选取组合以及流程化执行。
(2)在数据库中进行数据加工:SQL语句和函数本身就提供了强大的数据处理功能,相比在ETL引擎中的数据转换和加工,直接利用SQL语句进行数据转换和加工具有简洁清晰的特点。但这种方式的一个局限性在于许多操作无法简单通过SQL语句来直接实现,此时可以结合ETL引擎进行协同处理。
1.1.3 数据装载
ETL过程的最后一个步骤是对数据进行统一装载。对于目的数据库是关系数据库的情形,主要有两种数据装载方式。
(1)直接使用SQL语句进行insert、update和delete等操作。
(2)使用sqlldr等批量装载方式。
针对所需执行操作类型的不同以及需要装载数据规模大小的不同,装载数据的方式也具有一定程度的特异性。大多数情况下直接使用第一种方法,因为关系数据库会针对SQL语句的操作进行记录,当出现问题时可以进行恢复。部分应用场景对于数据装载的效率要求较高,适合使用批量装载方式。
信息安全态势感知平台通过集中分析和处理各类安全事件和风险,分析出当前信息安全态势和发展趋势等信息。为取得较优的分析结果,通常使用关联分析、综合关联分析等技术提升数据分析功能的准确率及执行效率。
1.2.1 关联分析
图2 关联分析技术
如图2所示,关联分析一般基于规则匹配的方法,通过分析和创建具体的匹配规则,对不同类型和结构的事件根据特征规则进行匹配,并得出事件分析结论的过程。关联分析条件一般根据安全事件中的一些关键和基本属性作为限制条件,通过对事件关键属性值的具体比较分析等确定规则匹配的具体结果。
1.2.2 综合关联分析
如图3所示,综合关联分析的主要功能是通过对多种关联分析功能进行结合和统一判断,将原始的安全事件和安全漏洞数据通过多重关联分析的判断和匹配。
综合关联分析系统一般提供3种基本的关联分析类型,即规则关联分析、统计关联分析和漏洞库关联分析。综合关联分析的具体规则和关联条件的创建,需要考虑各关联分析模块具体功能的特性和不同,综合考虑业务和应用安全域和安全控制策略等来进行具体设定。
图3 综合关联分析技术
目前主流的数据展示功能一般采用新一代互联网前端编程语言HTML5以及响应式布局,浏览器插件支持GPU硬件加速功能,能够提高界面呈现效果,带来更好、更快的用户体验。
1.3.1 大屏展示技术
针对大屏监控的优化技术,在UI改进上,提供多种富媒体呈现技术保障数据呈现直观、布局合理、形象化,通过多页轮播、单页组合等方式可以有效发挥多屏、单屏等提升有效可视面积和视觉呈现效果,同时充分考虑到监控和展示的需求,保证重要的告警和异常数据能够通过声光电等方式不被客户遗漏。
1.3.2 磁贴式展示
态势感知呈现界面一般采用磁贴式布局,使用方便,方便扩展,灵活定制,可以自由组合监控界面,大幅提高监控工作效率。磁贴式数据展示可支持客户根据当前主要需求,以任意定义的多样式多维度进行详细页面数据展示,从而根据不同阶段的具体需求对重点安全指标等进行定制化的监测。
从功能需求角度具体来说,态势感知平台需要支持对重点资产和网站、移动应用、业务服务终端等的重点监测,重点关注网站中存在的安全漏洞、反动涉黄等不良信息、手机移动应用中的恶意URL地址、对自由移动应用的恶意篡改以及业务服务终端的安全漏洞等安全风险。为实现上述目的,平台需要支持各类安全知识库,包含常见的安全漏洞库、不良信息库、恶意应用URL库以及恶意移动应用样本库等。此外,平台还需要采集各类型的系统运行数据和安全事件数据等,包括资产及网站的运行数据、网站内容数据、自由移动应用的数据、恶意应用URL数据以及终端安全的监测数据等,平台的具体功能需求示意在图4中给出。
图4 态势感知平台总体功能需求
按照信息安全态势感知平台的功能需求,对平台技术架构进行具体划分。如图5所示,态势感知平台采用分层设计,在对应层级集成所需的功能模块,各层级间协同工作,各功能模块间分工配合,实现对各类信息安全时间的态势感知和预警。
(1)数据采集层:主要功能是实现重点资产及网站数据、自有网站信息、统一DPI流量数据、自有移动应用信息等原始数据,以及各项监测数据等的采集,在采集数据的基础上对数据进行规则化处理和存储,并建立相应的数据标识、索引和检索等,为安全分析层的进一步分析处理做好准备。
(2)安全分析层:是态势感知平台的核心模块,主要功能是对资产、网站及终端运行状态和安全风险监测数据、网站不良信息监测数据、恶意应用URL监测数据、自有移动应用篡改监测数据等进行检测和分析,从中得到当前信息安全整体态势和发展趋势等信息,分析模块的整体功能示意如图5所示。安全分析层除了包含上述各功能模块外,还依赖于各项关键支撑技术和资源,包括安全技术库和安全知识库等。
(3)态势感知层:主要功能是针对安全分析层得到的分析数据和结果,设计指标体系并按指标进行统计分析和可视化展示。态势感知层作为平台的用户使用界面,将统计信息、分析结果及定位信息进行多级展示,其整体功能示意如图5所示。态势感知层通过多级指标体系,反映宏观的安全态势以及微观的异常行为情况。
图5 态势感知平台技术架构
2.3.1 网站运行状态监测
重要活动信息安全保障中,态势感知平台的第一大核心功能是对网站的运行状态进行监测与态势感知。通过收集网站信息和监测数据,对网站的分布情况、开放端口及服务、健康程度等重点运行指标进行监测,同时对网站当前的漏洞信息、分布、感染趋势等进行重点监测和快速处置。
2.3.2 不良信息监测
态势感知平台的第二大核心功能是对网站的不良信息监测与态势感知。通过爬取和收集网站的内容数据进行检测分析和过滤,同时对网站页面的内容变动进行重点监测,能够对网站中存在的不良信息进行快速报警和处理,并对不良信息的统计情况、分布、发展趋势等进行监测。
2.3.3 移动应用监测
态势感知平台的第三大核心功能是对移动应用的安全监测与态势感知。通过收集统一DPI流量数据,从中提取恶意应用URL和恶意应用样本等信息,并对恶意样本进行静态和动态分析,能够对恶意应用的发展趋势、分布、感染态势等进行监测。
本文对态势感知技术在信息安全保障领域的多项关键技术和应用进行了研究,并设计开发了一套信息安全态势感知平台用于重要活动信息安全保障,支持对重点资产和网站、不良信息以及手机移动应用的安全监测和态势感知等功能,具有较好的态势感知能力。下一步,应围绕以下工作方向继续提升平台的态势感知能力和效果。
(1) 提升平台的数据采集能力,支持更多类型信息安全事件和数据的采集,如诈骗短彩信、钓鱼网站、诈骗电话、伪基站等。
(2) 提升平台的数据和态势分析能力,支持对更多类型安全风险和事件的态势和发展趋势分析等。
(3) 提升平台的数据挖掘能力,对数据深层次的内容进行挖掘如溯源等,方便后续处置。
[1] 龚俭, 臧小东, 苏琪, 等. 网络安全态势感知综述[J]. 软件学报, 2017,28(4).
[2] 张勇, 谭小彬, 崔孝林, 等. 基于Markov博弈模型的网络安全态势感知方法[J]. 软件学报, 2011,22(3).
[3] 葛琳, 季新生, 江涛. 电信网信息内容安全事件态势感知模型研究[J]. 电信科学, 2017,30(2).