基于態(tài)勢(shì)感知技術(shù)的信息安全探究與實(shí)踐

1引言

在各行各業(yè)中，網(wǎng)絡(luò)信息技術(shù)已經(jīng)基本實(shí)現(xiàn)普及應(yīng)用，基于信息網(wǎng)絡(luò)技術(shù)的應(yīng)用人們的生活和生產(chǎn)方式發(fā)生了極大改變。首先，信息網(wǎng)絡(luò)技術(shù)的利用擴(kuò)展人們的感知范圍，實(shí)現(xiàn)遠(yuǎn)程操控，可以對(duì)更多領(lǐng)域進(jìn)行深入探索；其次，信息網(wǎng)絡(luò)技術(shù)的支撐使人們獲取信息不再受時(shí)間和地點(diǎn)的限制，從某種意義上真正實(shí)現(xiàn)了“地球村”的夢(mèng)想。此外，計(jì)算機(jī)技術(shù)的普及極大提升人們信息處理能力，傳統(tǒng)模式下需要耗費(fèi)海量人力物力資源的數(shù)據(jù)處理可以通過(guò)計(jì)算機(jī)技術(shù)在短期內(nèi)快速完成，有效提升科技水平。隨著信息技術(shù)的不斷發(fā)展，信息數(shù)據(jù)上傳共享已經(jīng)成為一種主要發(fā)展趨勢(shì)，如果信息技術(shù)無(wú)法得到正確使用，將會(huì)帶來(lái)不可挽回的損失。因此，在應(yīng)用信息網(wǎng)絡(luò)技術(shù)的過(guò)程中也要充分保障信息技術(shù)的安全性，這也是當(dāng)今信息技術(shù)領(lǐng)域的一項(xiàng)永恒話題。

2信息安全態(tài)勢(shì)感知技術(shù)的關(guān)鍵

2.1數(shù)據(jù)集成技術(shù)

數(shù)據(jù)集成技術(shù)的關(guān)鍵在于對(duì)類(lèi)型、格式都不相同的各類(lèi)數(shù)據(jù)實(shí)施集中化處理，數(shù)據(jù)處理后就能讓個(gè)人

摘要：在互聯(lián)網(wǎng)應(yīng)用不斷深入的形勢(shì)下，各類(lèi)手機(jī)APP、網(wǎng)站信息及網(wǎng)絡(luò)資產(chǎn)直接暴露在互聯(lián)網(wǎng)中，它們都屬于網(wǎng)絡(luò)黑客和網(wǎng)絡(luò)攻擊者的授權(quán)目標(biāo)。為進(jìn)一步提升信息安全技術(shù)水平，保障重大活動(dòng)期間的信息安全，文章探討了態(tài)勢(shì)感知技術(shù)在信息安全領(lǐng)域的應(yīng)用。

關(guān)鍵詞：信息安全；態(tài)勢(shì)感知技術(shù)；應(yīng)用

中圖法分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A信息數(shù)據(jù)保持邏輯一致性，為數(shù)據(jù)的后期集中化管理和共享奠定基礎(chǔ)。從數(shù)據(jù)倉(cāng)庫(kù)的整體構(gòu)架可知，ETL技術(shù)屬于核心環(huán)節(jié)，利用該技術(shù)可以對(duì)各類(lèi)關(guān)系和非關(guān)系數(shù)據(jù)進(jìn)行集中抽取，并利用臨時(shí)中間層來(lái)完成篩選、轉(zhuǎn)換和集中應(yīng)用，最終在數(shù)據(jù)倉(cāng)庫(kù)中完成加載。通過(guò)ETL技術(shù)可以順利實(shí)現(xiàn)對(duì)數(shù)據(jù)的深度處理。圖1是ETL技術(shù)數(shù)據(jù)處理的一般流程。

2.1.1數(shù)據(jù)抽取

數(shù)據(jù)抽取是實(shí)現(xiàn)數(shù)據(jù)集成的第一步，通過(guò)數(shù)據(jù)抽取機(jī)制將原始數(shù)據(jù)提取出來(lái)，為后期進(jìn)行數(shù)據(jù)處理提供充足的數(shù)據(jù)基礎(chǔ)。數(shù)據(jù)抽取主要有以下幾種方式。

（1）全量抽取。全量抽取本身屬于一種相對(duì)比較簡(jiǎn)單的數(shù)據(jù)抽取方式，主要從數(shù)據(jù)庫(kù)中提取出數(shù)據(jù)表、數(shù)據(jù)視圖等，在提取過(guò)程中不做任何處理和改變，其中最為關(guān)鍵的是數(shù)據(jù)在抽取之后需要對(duì)其格式進(jìn)行轉(zhuǎn)換，以便ETL工具可以進(jìn)行識(shí)別和處理。

（2）增量抽取。該數(shù)據(jù)抽取方式相對(duì)比較復(fù)雜，主要是對(duì)數(shù)據(jù)庫(kù)中已經(jīng)完成新增或修改之后的數(shù)據(jù)實(shí)時(shí)抽取，本質(zhì)上是將已經(jīng)完成抽屜的數(shù)據(jù)作為抽取對(duì)象。該數(shù)據(jù)抽取方式在當(dāng)今數(shù)據(jù)抽取領(lǐng)域中最為常見(jiàn)。

2.1.2數(shù)據(jù)轉(zhuǎn)換和加工

數(shù)據(jù)完成程序后并不能直接進(jìn)行數(shù)據(jù)處理，必須對(duì)抽取數(shù)據(jù)進(jìn)行進(jìn)一步轉(zhuǎn)換和加工后才能進(jìn)行后續(xù)數(shù)據(jù)處理操作。數(shù)據(jù)的轉(zhuǎn)換和處理通常情況下是在ETL應(yīng)用中來(lái)完成，數(shù)據(jù)抽取和關(guān)系數(shù)據(jù)庫(kù)可以實(shí)現(xiàn)同步操作。

（1） ETL引擎。在整個(gè)數(shù)據(jù)提取的過(guò)程中，ETL引擎主要作用是完成數(shù)據(jù)的轉(zhuǎn)換和加工等相關(guān)操作，其中涉及字段映射、數(shù)據(jù)清洗、數(shù)據(jù)計(jì)算、數(shù)據(jù)驗(yàn)證等相關(guān)加工組件，可以結(jié)合數(shù)據(jù)處理需求對(duì)數(shù)據(jù)處理組件進(jìn)行合理選擇，在此基礎(chǔ)上可以實(shí)現(xiàn)數(shù)據(jù)處理的流程化。

（2）數(shù)據(jù)加工。在數(shù)據(jù)處理加工領(lǐng)域，SQL具備極強(qiáng)處理能力，與ETL引擎數(shù)據(jù)加工和轉(zhuǎn)化過(guò)程相比，SQL的數(shù)據(jù)處理過(guò)程更加簡(jiǎn)單。但需注意的是，在進(jìn)行數(shù)據(jù)轉(zhuǎn)換和加工的過(guò)程中，SQL語(yǔ)句的應(yīng)用也會(huì)受到一定限制，如很多數(shù)據(jù)處理，操作無(wú)法通過(guò)簡(jiǎn)單SQL語(yǔ)句來(lái)實(shí)現(xiàn)，針對(duì)這種情況，需要將上述兩種數(shù)據(jù)處理工具進(jìn)行結(jié)合后才能完成數(shù)據(jù)的協(xié)同處理。

2.1.3數(shù)據(jù)裝載

對(duì)提取數(shù)據(jù)進(jìn)行統(tǒng)一裝載式ETL數(shù)據(jù)處理是最后一個(gè)環(huán)節(jié)，如果目的數(shù)據(jù)庫(kù)屬于關(guān)系數(shù)據(jù)庫(kù)，就需通過(guò)以下兩種方式來(lái)完成數(shù)據(jù)裝載。

（1）通過(guò)對(duì)SQL語(yǔ)句進(jìn)行直接使用可以完成insert，update和delete等操作。

（2）使用sqlldr來(lái)完成數(shù)據(jù)的批量裝載。

在數(shù)據(jù)操作類(lèi)型和裝載規(guī)模不同的情況下，實(shí)際使用的裝載方式會(huì)體現(xiàn)出一定的差異。利用SQL語(yǔ)句進(jìn)行數(shù)據(jù)操作的過(guò)程中一旦出現(xiàn)關(guān)系數(shù)據(jù)庫(kù)問(wèn)題可以實(shí)時(shí)進(jìn)行恢復(fù)，因此，在數(shù)據(jù)裝載過(guò)程中通常都會(huì)以第一種方式來(lái)進(jìn)行處理。而第二種數(shù)據(jù)裝載方式通常是應(yīng)用于對(duì)重載速率要求較為嚴(yán)格的情況，通過(guò)第二種方式可以批量進(jìn)行數(shù)據(jù)裝載。

2.2數(shù)據(jù)分析技術(shù)

（1）數(shù)據(jù)關(guān)聯(lián)分析。在整個(gè)數(shù)據(jù)關(guān)聯(lián)分析過(guò)程中，最為關(guān)鍵的環(huán)節(jié)是規(guī)則匹配，通過(guò)設(shè)定一定的匹配規(guī)則，可以對(duì)類(lèi)型和結(jié)構(gòu)不同的各類(lèi)事件數(shù)據(jù)進(jìn)行相互匹配，在此基礎(chǔ)上通過(guò)事件分析可以得出相應(yīng)結(jié)論。在進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析的過(guò)程中，通常情況下會(huì)利用安全事件的基本屬性或關(guān)鍵屬性來(lái)作為整個(gè)過(guò)程的限定條件，在對(duì)不同事件的關(guān)鍵屬性進(jìn)行分析對(duì)比后就可以設(shè)定相應(yīng)的匹配規(guī)則。關(guān)聯(lián)分析技術(shù)流程如圖2所示。

（2）綜合關(guān)聯(lián)分析。綜合關(guān)聯(lián)分析是在充分結(jié)合多種關(guān)聯(lián)分析功能之后做出的統(tǒng)一判斷，利用多種管理分析方法完成原始安全事件及安全漏洞數(shù)據(jù)的判斷和匹配。

2.3數(shù)據(jù)展示技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，為進(jìn)一步提升數(shù)據(jù)展示界面的呈現(xiàn)效果，有效改善用戶(hù)體驗(yàn)，主流數(shù)據(jù)技術(shù)通常會(huì)采HTML5前端編程語(yǔ)言以及響應(yīng)式布局模式，同時(shí)會(huì)通過(guò)應(yīng)用瀏覽器插件來(lái)提升GPU硬件的加速功能。

（1）大屏展示技術(shù)。大屏展示技術(shù)主要是充分借助UI來(lái)進(jìn)行相應(yīng)改進(jìn)，并向客戶(hù)展示綜合多種富媒體的一種數(shù)據(jù)呈現(xiàn)技術(shù)，通過(guò)該數(shù)據(jù)呈現(xiàn)方式可以更加體現(xiàn)出數(shù)據(jù)的直觀性、形象性，而且能夠保證數(shù)據(jù)展示的合理性。在大屏展示過(guò)程中，可以將單頁(yè)組合以及多頁(yè)輪播等各類(lèi)展示方式進(jìn)行充分融合，從而提升視覺(jué)呈現(xiàn)效果，而且通過(guò)大屏展示技術(shù)能夠?qū)?shù)據(jù)展示和監(jiān)控需求進(jìn)行融合。在出現(xiàn)異常數(shù)據(jù)的情況下也能夠通過(guò)聲光電等多種模式發(fā)出警告，避免出現(xiàn)數(shù)據(jù)遺漏等問(wèn)題。

（2）磁貼式展示。在當(dāng)今的態(tài)勢(shì)感知界面中，磁貼式布局已經(jīng)實(shí)現(xiàn)了普及應(yīng)用，該布局方式不僅具有極大的便捷性，而且可擴(kuò)展性強(qiáng)，可以實(shí)現(xiàn)靈活定制，同時(shí)可以將各類(lèi)監(jiān)控界面進(jìn)行自由組合，從而提升監(jiān)控效率，磁貼式數(shù)據(jù)展示技術(shù)以用戶(hù)自身需求為基礎(chǔ)進(jìn)一步拓展頁(yè)面數(shù)據(jù)，從而讓頁(yè)面數(shù)據(jù)展示出多樣化和多維度的特征，進(jìn)而實(shí)現(xiàn)根據(jù)特定階段需求來(lái)完成特定安全數(shù)據(jù)的針對(duì)性監(jiān)測(cè)。

3信息安全保障中態(tài)勢(shì)感知平臺(tái)技術(shù)的應(yīng)用

3.1態(tài)勢(shì)感知平臺(tái)功能

信息安全態(tài)勢(shì)感知平臺(tái)必須應(yīng)用到移動(dòng)應(yīng)用、重點(diǎn)監(jiān)測(cè)業(yè)務(wù)服務(wù)端等，而且在該平臺(tái)的支撐下可以實(shí)現(xiàn)對(duì)各類(lèi)安全漏洞、負(fù)面信息、惡意URL地址等不安全事件的實(shí)時(shí)監(jiān)控?；谄脚_(tái)的建設(shè)需求，在構(gòu)建信息安全態(tài)勢(shì)感知平臺(tái)的過(guò)程中，必須實(shí)現(xiàn)對(duì)安全漏洞庫(kù)、惡意應(yīng)用URL庫(kù)、不良信息庫(kù)等各類(lèi)安全知識(shí)庫(kù)的有效支持。另外，平臺(tái)在運(yùn)行過(guò)程中，可以實(shí)時(shí)采集各類(lèi)安全事件數(shù)據(jù)以及平臺(tái)運(yùn)行關(guān)鍵數(shù)據(jù)。

3.2態(tài)勢(shì)感知平臺(tái)技術(shù)構(gòu)架

（1）數(shù)據(jù)采集層。數(shù)據(jù)采集層的主要作用是對(duì)各類(lèi)移動(dòng)應(yīng)用信息、動(dòng)態(tài)網(wǎng)站及資產(chǎn)數(shù)據(jù)、自由網(wǎng)站信息數(shù)據(jù)等進(jìn)行實(shí)時(shí)采集和監(jiān)測(cè)，通過(guò)對(duì)采集數(shù)據(jù)進(jìn)行規(guī)則化處理和存儲(chǔ)，為各類(lèi)數(shù)據(jù)建立相應(yīng)的數(shù)據(jù)標(biāo)識(shí)、索引和檢索等，進(jìn)而為后續(xù)進(jìn)行數(shù)據(jù)分析打下基礎(chǔ)。

（2）數(shù)據(jù)安全分析層。數(shù)據(jù)安全分析層是整個(gè)態(tài)勢(shì)感知平臺(tái)的核心模塊之一，通過(guò)該層可以完成對(duì)網(wǎng)站、負(fù)面信息數(shù)據(jù)以及各類(lèi)安全風(fēng)險(xiǎn)的動(dòng)態(tài)化監(jiān)測(cè)及分析，并通過(guò)數(shù)據(jù)分析可以預(yù)測(cè)信息安全未來(lái)的發(fā)展趨勢(shì)，而該層功能須由安全知識(shí)庫(kù)和安全技術(shù)庫(kù)等相關(guān)資源的有效支撐。

（3）態(tài)勢(shì)感知層。數(shù)據(jù)安全分析層最終得出分析結(jié)果后，必須通過(guò)態(tài)勢(shì)感知層根據(jù)結(jié)果數(shù)據(jù)來(lái)設(shè)計(jì)相應(yīng)的安全指標(biāo)體系，同時(shí)完成對(duì)各類(lèi)數(shù)據(jù)的統(tǒng)計(jì)分析并實(shí)現(xiàn)數(shù)據(jù)的可視化展示。態(tài)勢(shì)感知層是直接面向用戶(hù)的使用界面，該層對(duì)各類(lèi)信息和分析結(jié)果進(jìn)行統(tǒng)計(jì)之后，通過(guò)展示界面進(jìn)行多級(jí)展示.在設(shè)計(jì)出多級(jí)指標(biāo)體系后，可以對(duì)當(dāng)前信息安全的基本態(tài)勢(shì)和各類(lèi)信息事件存在的微觀異常進(jìn)行宏觀反映。

3.3態(tài)勢(shì)感知平臺(tái)功能實(shí)現(xiàn)

（1）網(wǎng)站運(yùn)行狀態(tài)監(jiān)測(cè)。態(tài)勢(shì)感知平臺(tái)可以對(duì)重大活動(dòng)期間網(wǎng)站平臺(tái)的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和態(tài)勢(shì)感知，以保障信息安全。通過(guò)平臺(tái)對(duì)網(wǎng)站的各類(lèi)信息數(shù)據(jù)進(jìn)行監(jiān)測(cè)和收集，同時(shí)可以完成網(wǎng)站布局狀況、端口開(kāi)放情況、網(wǎng)站運(yùn)行健康程度等各項(xiàng)指標(biāo)的實(shí)時(shí)監(jiān)測(cè)，并重點(diǎn)對(duì)網(wǎng)站存在的漏洞信息、漏洞分布狀況、漏洞感染發(fā)展趨勢(shì)等進(jìn)行實(shí)施監(jiān)測(cè)，并采取快速處置措施。

（2）不良信息監(jiān)測(cè)。對(duì)各類(lèi)網(wǎng)站的不良信息進(jìn)行動(dòng)態(tài)化監(jiān)測(cè)和態(tài)勢(shì)感知是平臺(tái)的另一個(gè)主要功能。平臺(tái)可以從網(wǎng)站中爬取和收集相關(guān)個(gè)人數(shù)據(jù)，并通過(guò)安全分析層進(jìn)行數(shù)據(jù)過(guò)濾和分析，實(shí)現(xiàn)網(wǎng)站頁(yè)面內(nèi)容變化狀況的重點(diǎn)監(jiān)測(cè)，故在發(fā)現(xiàn)不良信息時(shí)可以第一時(shí)間做出快速反應(yīng)，同時(shí)該平臺(tái)可以實(shí)時(shí)監(jiān)測(cè)網(wǎng)站不良信息統(tǒng)計(jì)狀況、分布形勢(shì)和發(fā)展趨勢(shì)等。

（3）移動(dòng)應(yīng)用監(jiān)測(cè)。對(duì)各類(lèi)移動(dòng)應(yīng)用進(jìn)行安全監(jiān)測(cè)和態(tài)勢(shì)感知是信息安全態(tài)勢(shì)感知平臺(tái)的第3個(gè)主要功能。平臺(tái)可以實(shí)現(xiàn)dpi數(shù)據(jù)流量的全面收集和統(tǒng)一處理，在此基礎(chǔ)上通過(guò)數(shù)據(jù)分析技術(shù)，可以將其中惡意應(yīng)用樣本以及惡意應(yīng)用URL等數(shù)據(jù)進(jìn)行提取，通過(guò)靜態(tài)和動(dòng)態(tài)數(shù)據(jù)分析可以充分把握惡意信息的基本分布狀況和感染狀態(tài)。

4結(jié)束語(yǔ)

本文重點(diǎn)分析了信息安全態(tài)勢(shì)感知平臺(tái)的構(gòu)建過(guò)程，同時(shí)梳理了平臺(tái)的各項(xiàng)功能實(shí)現(xiàn)。在應(yīng)用該平臺(tái)的過(guò)程中，可以實(shí)現(xiàn)對(duì)各類(lèi)網(wǎng)站、不良信息和手機(jī)APP的實(shí)時(shí)監(jiān)測(cè)及動(dòng)態(tài)感知，其強(qiáng)大的態(tài)勢(shì)感知能力是最主要的特征。此外，感知平臺(tái)在信息安全保障領(lǐng)域的應(yīng)用仍具備較大潛力，因此，在后續(xù)的研究過(guò)程中仍需從多個(gè)層面進(jìn)行深入研究，以全面提升平臺(tái)的態(tài)勢(shì)感知能力和應(yīng)用效果。例如，可以通過(guò)平臺(tái)結(jié)構(gòu)優(yōu)化和應(yīng)用先進(jìn)的數(shù)據(jù)采集技術(shù)來(lái)提升平臺(tái)數(shù)據(jù)采集能力，從而讓平臺(tái)的數(shù)據(jù)采集機(jī)制全面覆蓋釣魚(yú)網(wǎng)站、詐騙短信、招聘電話等。此外，態(tài)勢(shì)感知也是該平臺(tái)的一項(xiàng)核心功能，在后續(xù)研究中也要不斷提升平臺(tái)的數(shù)據(jù)和態(tài)勢(shì)分析能力，從而進(jìn)一步提升和擴(kuò)大安全風(fēng)險(xiǎn)事態(tài)發(fā)展趨勢(shì)的分析能力及分析范圍。

作者簡(jiǎn)介：

謝躍偉（1985—），本科，工程師，研究方向：計(jì)算機(jī)應(yīng)用。