基于時(shí)空網(wǎng)格的數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)溯流平臺(tái)關(guān)鍵技術(shù)研究＊

金華松

（福建中信網(wǎng)安信息科技有限公司，福建 福州 350014）

0 引言

隨著現(xiàn)代社會(huì)對(duì)數(shù)據(jù)快速增長(zhǎng)和數(shù)據(jù)資產(chǎn)安全的日益關(guān)注，有效地對(duì)數(shù)據(jù)進(jìn)行監(jiān)測(cè)、管理和保護(hù)變得越來越重要。近年來，很多學(xué)者已經(jīng)針對(duì)數(shù)據(jù)資產(chǎn)安全進(jìn)行深入的探討。朱俊豐等［1］通過建立基于時(shí)空大數(shù)據(jù)的平臺(tái)，快速構(gòu)建了“新冠”疫情地圖應(yīng)用，實(shí)現(xiàn)對(duì)疫情數(shù)據(jù)的有效監(jiān)控。黃朔等［2］提出了一種基于時(shí)空網(wǎng)格數(shù)據(jù)的平臺(tái)系統(tǒng)，強(qiáng)調(diào)了數(shù)據(jù)的時(shí)空維度對(duì)數(shù)據(jù)安全性的影響。郭晟楠［3］從預(yù)測(cè)的角度對(duì)時(shí)空數(shù)據(jù)學(xué)習(xí)方法進(jìn)行深入的研究。盡管已有很多研究針對(duì)數(shù)據(jù)資產(chǎn)安全和時(shí)空數(shù)據(jù)進(jìn)行了探討，但是在數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)領(lǐng)域，如何將時(shí)空網(wǎng)格技術(shù)與安全監(jiān)測(cè)技術(shù)有效結(jié)合，特別是如何利用時(shí)空網(wǎng)格實(shí)現(xiàn)數(shù)據(jù)溯流，仍然存在研究空白。此外，當(dāng)前的研究很少涉及評(píng)估基于時(shí)空網(wǎng)格的溯流算法的效率與準(zhǔn)確性。本研究通過引入時(shí)空網(wǎng)格技術(shù)，探討其在數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)中的關(guān)鍵應(yīng)用，并設(shè)計(jì)一個(gè)基于時(shí)空網(wǎng)格的數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)溯流平臺(tái)。

1 時(shí)空網(wǎng)格技術(shù)的原理與應(yīng)用

1.1 時(shí)空網(wǎng)格的定義與構(gòu)造

時(shí)空網(wǎng)格是一個(gè)多維的數(shù)據(jù)結(jié)構(gòu)，旨在捕捉并顯示數(shù)據(jù)在時(shí)間和空間維度上的變化和分布，其基本構(gòu)思源于將空間和時(shí)間2 個(gè)維度融合，創(chuàng)建了一個(gè)離散的、多維的網(wǎng)狀結(jié)構(gòu)。在空間上，時(shí)空網(wǎng)格將地理空間劃分為規(guī)則或非規(guī)則的單元格，每一個(gè)單元格都對(duì)應(yīng)一個(gè)特定的空間區(qū)域。在時(shí)間上，每個(gè)單元格會(huì)被進(jìn)一步細(xì)分為一系列連續(xù)或離散的時(shí)刻，每個(gè)時(shí)刻都代表一個(gè)特定的時(shí)間區(qū)間。這種結(jié)構(gòu)使數(shù)據(jù)可以在每一個(gè)空間單元的每一個(gè)時(shí)間點(diǎn)上都能夠被捕獲和存儲(chǔ)。此外，為支持多尺度和多粒度的數(shù)據(jù)查詢和分析，時(shí)空網(wǎng)格的構(gòu)造通常會(huì)考慮多種分辨率，從宏觀的大區(qū)域、長(zhǎng)時(shí)間跨度，到微觀的小區(qū)域、短時(shí)間跨度［4］，提供了一個(gè)強(qiáng)大的框架，不僅可以有效地存儲(chǔ)和管理大量的時(shí)空數(shù)據(jù)，還可以為時(shí)空數(shù)據(jù)分析和模式挖掘提供有力的工具。

1.2 時(shí)空數(shù)據(jù)模型

時(shí)空網(wǎng)格模型是一種專門為處理和分析在時(shí)間和空間維度上變化的數(shù)據(jù)而設(shè)計(jì)的結(jié)構(gòu)化模型，這種模型將連續(xù)的空間和時(shí)間信息離散化，形成一個(gè)多維格網(wǎng)，其中每個(gè)格子代表特定的空間區(qū)域和時(shí)間范圍，其核心思想在于將時(shí)間和空間作為數(shù)據(jù)維度的組成部分同等對(duì)待。時(shí)空網(wǎng)格模型的關(guān)鍵在于其能夠?yàn)楦鞣N各樣的時(shí)空查詢提供高效、一致且直觀的表示，無論是關(guān)于特定空間位置在一段時(shí)間內(nèi)的變化，還是關(guān)于某一特定時(shí)刻的空間分布情況。此外，時(shí)空網(wǎng)格模型為大規(guī)模時(shí)空數(shù)據(jù)的存儲(chǔ)、檢索和分析提供了便利。不僅如此，該模型支持從不同的粒度和視角對(duì)數(shù)據(jù)進(jìn)行觀察，從而為復(fù)雜的時(shí)空數(shù)據(jù)分析任務(wù)提供強(qiáng)大的靈活性和可擴(kuò)展性。

1.3 時(shí)空數(shù)據(jù)索引技術(shù)

時(shí)空數(shù)據(jù)索引技術(shù)針對(duì)的是在時(shí)間和空間2 個(gè)維度上都存在的數(shù)據(jù)，其主要目的是提高時(shí)空數(shù)據(jù)的查詢效率，滿足高效的數(shù)據(jù)檢索、更新和分析需求。這種技術(shù)融合了傳統(tǒng)的空間數(shù)據(jù)索引方法和時(shí)間序列數(shù)據(jù)索引方法，形成一個(gè)多維索引結(jié)構(gòu)。其中，R 樹、四叉樹和k-d 樹等結(jié)構(gòu)經(jīng)常被用作空間維度的索引，而B+樹、日志結(jié)構(gòu)合并樹等常被用于時(shí)間維度的索引。對(duì)于動(dòng)態(tài)變化的時(shí)空數(shù)據(jù)，特別是大數(shù)據(jù)環(huán)境下的數(shù)據(jù)，時(shí)空數(shù)據(jù)索引技術(shù)可以極大地提高點(diǎn)查詢、范圍查詢、相鄰查詢的操作效率。這種技術(shù)的核心優(yōu)勢(shì)在于能夠減少為滿足查詢需求而必須掃描的數(shù)據(jù)量，從而為實(shí)時(shí)分析、動(dòng)態(tài)監(jiān)測(cè)和預(yù)測(cè)提供支持。

2 數(shù)據(jù)資產(chǎn)的特性與挑戰(zhàn)

數(shù)據(jù)資產(chǎn)作為企業(yè)和組織在數(shù)字化時(shí)代的核心價(jià)值載體，具有獨(dú)特性、多變性、時(shí)效性和復(fù)雜性等主要特性。獨(dú)特性意味著數(shù)據(jù)資產(chǎn)通常與特定的應(yīng)用場(chǎng)景、業(yè)務(wù)過程或?qū)嶓w相關(guān)；多變性則指數(shù)據(jù)資產(chǎn)可以以多種格式、來源和粒度存在，其內(nèi)容及價(jià)值會(huì)隨時(shí)間和環(huán)境而變化；時(shí)效性體現(xiàn)在數(shù)據(jù)資產(chǎn)的價(jià)值會(huì)隨著時(shí)間的推移而減少或增長(zhǎng)，特別是在高速變化的商業(yè)環(huán)境中；數(shù)據(jù)資產(chǎn)的復(fù)雜性來源于其與各種技術(shù)、流程、政策和文化因素的交互作用［5］。與此同時(shí)，數(shù)據(jù)資產(chǎn)面臨的挑戰(zhàn)主要包括數(shù)據(jù)安全、質(zhì)量、一致性、隱私和合規(guī)性等問題。在復(fù)雜的技術(shù)和業(yè)務(wù)環(huán)境中，如何有效地管理和利用數(shù)據(jù)資產(chǎn)，以實(shí)現(xiàn)其最大的經(jīng)濟(jì)和社會(huì)價(jià)值，已成為當(dāng)今組織和企業(yè)關(guān)注的關(guān)鍵議題。

3 安全監(jiān)測(cè)技術(shù)

3.1 傳統(tǒng)安全監(jiān)測(cè)方法

傳統(tǒng)安全監(jiān)測(cè)方法主要圍繞固定的閾值、模式匹配及基于規(guī)則的策略進(jìn)行操作，這些方法大多采用預(yù)先定義的安全規(guī)則或已知的威脅模式識(shí)別異常或惡意行為。例如，入侵檢測(cè)系統(tǒng)（IDS）經(jīng)常利用已知的簽名庫(kù)匹配潛在的威脅行為，而防火墻則基于預(yù)設(shè)的規(guī)則監(jiān)控特定的網(wǎng)絡(luò)流量。這些方法在面對(duì)已知威脅時(shí)相對(duì)有效，但隨著技術(shù)進(jìn)步和威脅行為的復(fù)雜化，它們可能在檢測(cè)零日攻擊、高級(jí)持續(xù)性威脅（APT）和其他復(fù)雜威脅時(shí)顯得力不從心。此外，由于依賴于靜態(tài)規(guī)則和已知簽名，這些方法可能產(chǎn)生較高的誤報(bào)率和漏報(bào)率，增加了安全分析師的工作負(fù)擔(dān)，并且往往缺乏對(duì)上、下文的分析能力，無法有效地解析復(fù)雜的攻擊場(chǎng)景和行為模式。

3.2 基于時(shí)空網(wǎng)格的安全監(jiān)測(cè)策略

基于時(shí)空網(wǎng)格的安全監(jiān)測(cè)策略是一個(gè)新穎的方法，它將時(shí)間和空間2 個(gè)維度整合進(jìn)監(jiān)測(cè)框架中，為數(shù)據(jù)資產(chǎn)的安全提供高度的上、下文敏感性。時(shí)空網(wǎng)格將監(jiān)測(cè)區(qū)域劃分為多個(gè)時(shí)空單元，每個(gè)單元都反映了特定時(shí)間和空間范圍內(nèi)的信息狀態(tài)，允許監(jiān)測(cè)系統(tǒng)在精確的時(shí)間和位置上捕獲和分析數(shù)據(jù)異?；顒?dòng)。相較于傳統(tǒng)方法，這種策略可以更為有效地識(shí)別出細(xì)微、分散或延遲的威脅行為。例如，當(dāng)一個(gè)惡意活動(dòng)在不同的時(shí)間和位置逐步展開時(shí)，通過分析其在時(shí)空網(wǎng)格中的分布和模式，可以更準(zhǔn)確地識(shí)別和預(yù)測(cè)其行為軌跡。此外，時(shí)空網(wǎng)格的策略也提供了更豐富的上、下文信息，幫助安全分析師理解攻擊的整體情境和可能的目標(biāo)。這種方法不僅可以提高攻擊檢測(cè)的準(zhǔn)確性和效率，還有助于減少誤報(bào)和漏報(bào)，使安全響應(yīng)更為迅速和具有針對(duì)性。

3.3 異常檢測(cè)與響應(yīng)機(jī)制

異常檢測(cè)與響應(yīng)機(jī)制是信息安全領(lǐng)域的核心組成部分，旨在及時(shí)發(fā)現(xiàn)并對(duì)潛在的威脅進(jìn)行響應(yīng)。從技術(shù)角度看，異常檢測(cè)是基于建立正常行為模型并與實(shí)時(shí)行為進(jìn)行對(duì)比，以識(shí)別不符合預(yù)期模式的行為，這種檢測(cè)可以基于統(tǒng)計(jì)學(xué)方法、機(jī)器學(xué)習(xí)算法或行為分析技術(shù)實(shí)現(xiàn)。一旦檢測(cè)到異常，即可觸發(fā)預(yù)定的響應(yīng)機(jī)制。響應(yīng)策略的選擇依賴于異常的性質(zhì)、影響范圍和潛在后果［6］。常見的響應(yīng)行動(dòng)包括發(fā)出警報(bào)、隔離受影響的系統(tǒng)、限制網(wǎng)絡(luò)流量或自動(dòng)執(zhí)行預(yù)定義的修復(fù)腳本。為提高檢測(cè)準(zhǔn)確性，減少誤報(bào)，異常檢測(cè)系統(tǒng)應(yīng)當(dāng)能夠?qū)崟r(shí)學(xué)習(xí)并調(diào)整其行為模型，同時(shí)需要與其他安全系統(tǒng)（如入侵檢測(cè)系統(tǒng)、防火墻和終端安全解決方案）緊密集成，以獲取全局視圖并進(jìn)行協(xié)同防御。此外，響應(yīng)機(jī)制也需能夠區(qū)分真實(shí)威脅與虛假警報(bào)，在避免不必要干預(yù)的同時(shí)，對(duì)真正的安全事件給予足夠的關(guān)注和迅速的反應(yīng)。

4 溯流技術(shù)在數(shù)據(jù)資產(chǎn)安全中的應(yīng)用

4.1 溯流技術(shù)概述

溯流技術(shù)通常應(yīng)用于信息安全和網(wǎng)絡(luò)取證領(lǐng)域，主要目的是追蹤數(shù)據(jù)的來源和流向，從而確定數(shù)據(jù)的原始來源、經(jīng)過的節(jié)點(diǎn)及其在網(wǎng)絡(luò)中的傳播方式，該技術(shù)是基于對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包或事件進(jìn)行深入分析，以識(shí)別其源頭和傳播路徑；核心思想是通過分析數(shù)據(jù)流的特征、時(shí)間戳、源/目標(biāo)地址和其他相關(guān)屬性，構(gòu)建數(shù)據(jù)在網(wǎng)絡(luò)中的傳播圖譜。溯流技術(shù)對(duì)應(yīng)對(duì)檢測(cè)網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露和非法數(shù)據(jù)訪問問題尤為關(guān)鍵，因?yàn)樗軌蚪沂緪阂庑袨榈钠鹪春蛡鞑C(jī)制。對(duì)于組織來說，溯流技術(shù)不僅能夠追溯安全事件的根源，對(duì)犯罪行為進(jìn)行取證，而且能夠幫助安全團(tuán)隊(duì)預(yù)測(cè)和預(yù)防未來的威脅。此外，隨著大數(shù)據(jù)和復(fù)雜網(wǎng)絡(luò)環(huán)境的出現(xiàn)，溯流技術(shù)也逐漸融入機(jī)器學(xué)習(xí)和人工智能算法，從而提高了追蹤精度，擴(kuò)展了應(yīng)用范圍。

4.2 基于時(shí)空網(wǎng)格的溯流算法設(shè)計(jì)

基于時(shí)空網(wǎng)格的溯流算法設(shè)計(jì)考慮數(shù)據(jù)在時(shí)間和空間維度的特性，從而在大數(shù)據(jù)環(huán)境中實(shí)現(xiàn)有效的溯源分析。首先，該設(shè)計(jì)將數(shù)據(jù)按照生成和流動(dòng)的時(shí)間進(jìn)行排序，并通過時(shí)空網(wǎng)格將每一個(gè)數(shù)據(jù)點(diǎn)映射到特定的時(shí)間－空間單元中。此時(shí)，每一個(gè)時(shí)空單元格都包含特定時(shí)間窗口內(nèi)某一空間位置的數(shù)據(jù)。其次，算法利用一個(gè)二維矩陣，其中列代表時(shí)間序列，行代表空間序列，該矩陣的每一個(gè)單元格都存儲(chǔ)與其對(duì)應(yīng)時(shí)空單元相關(guān)的數(shù)據(jù)信息，此矩陣可以視為數(shù)據(jù)流動(dòng)的地圖，而數(shù)據(jù)流動(dòng)路徑則可以通過分析這一矩陣得到。為追蹤數(shù)據(jù)的具體流向，算法會(huì)分析相鄰時(shí)空單元之間的數(shù)據(jù)變動(dòng)情況，包括數(shù)據(jù)的生成、消失和變化等情況［7］。例如，如果某一時(shí)空單元在時(shí)間t有數(shù)據(jù)A，在時(shí)間t+1 這一數(shù)據(jù)消失，同時(shí)在相鄰的時(shí)空單元中出現(xiàn)，則可以推斷數(shù)據(jù)從一個(gè)位置流向另一個(gè)位置。此外，為提高溯流的準(zhǔn)確性，算法還會(huì)考慮數(shù)據(jù)的屬性和關(guān)聯(lián)性，以判斷數(shù)據(jù)是否真正從一個(gè)位置流向另一個(gè)位置。例如，如果兩個(gè)相鄰的時(shí)空單元在相同的時(shí)間窗口內(nèi)都有數(shù)據(jù)A 和數(shù)據(jù)B，而數(shù)據(jù)A 和B 之間存在強(qiáng)烈的關(guān)聯(lián)性，那么可以進(jìn)一步確認(rèn)數(shù)據(jù)的流動(dòng)路徑。最后，該算法將所有的數(shù)據(jù)流動(dòng)路徑整合，形成一個(gè)完整的數(shù)據(jù)溯源圖，數(shù)據(jù)溯源圖不僅展現(xiàn)了數(shù)據(jù)的流動(dòng)過程，還展現(xiàn)了數(shù)據(jù)在不同時(shí)間、不同地點(diǎn)的狀態(tài)變化，為進(jìn)一步的數(shù)據(jù)分析和決策提供了重要的參考依據(jù)。

4.3 溯流算法的效率與準(zhǔn)確性評(píng)估

表1為溯流算法效率與準(zhǔn)確性示例?；跁r(shí)空網(wǎng)格的溯流算法在不同大小的數(shù)據(jù)集上的效率和準(zhǔn)確性得到具體評(píng)估。在數(shù)據(jù)集大小與溯流時(shí)間的關(guān)系中，處理更大的數(shù)據(jù)集需要更多的時(shí)間，但該增長(zhǎng)并非嚴(yán)格線性，說明算法具有一定的擴(kuò)展性。真實(shí)溯源路徑數(shù)與檢測(cè)到的溯源路徑數(shù)的對(duì)比顯示算法具有較高的準(zhǔn)確性，特別是在10 GB 的數(shù)據(jù)集上，其準(zhǔn)確率達(dá)到97%。召回率同樣在3個(gè)數(shù)據(jù)集上都維持在較高的水平，表明該溯流算法能夠有效地識(shí)別出絕大部分的真實(shí)數(shù)據(jù)流路徑。綜合來看，此算法在效率和準(zhǔn)確性上均表現(xiàn)出色，尤其在處理大型數(shù)據(jù)集時(shí)仍能保持高水準(zhǔn)的性能。

表1 溯流算法效率與準(zhǔn)確性示例

5 平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

5.1 平臺(tái)架構(gòu)設(shè)計(jì)

平臺(tái)架構(gòu)設(shè)計(jì)是確保系統(tǒng)性能、擴(kuò)展性和穩(wěn)定性的關(guān)鍵環(huán)節(jié)。為實(shí)現(xiàn)基于時(shí)空網(wǎng)格的數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)與溯流功能，平臺(tái)采用分層設(shè)計(jì)策略。第一層是數(shù)據(jù)接入層，負(fù)責(zé)各種數(shù)據(jù)源的接入與初步的數(shù)據(jù)清洗和預(yù)處理；第二層是核心計(jì)算層，包含所有的算法模塊，如時(shí)空網(wǎng)格構(gòu)建、安全監(jiān)測(cè)策略及溯流算法；第三層是服務(wù)層，提供API接口和服務(wù)，為上層應(yīng)用提供數(shù)據(jù)支持；第四層是應(yīng)用與展示層，包括數(shù)據(jù)可視化、報(bào)警系統(tǒng)及各種安全報(bào)告的生成模塊。此外，整體架構(gòu)中融入了高效的數(shù)據(jù)存儲(chǔ)與查詢機(jī)制，如時(shí)空數(shù)據(jù)索引技術(shù)，以保證在大數(shù)據(jù)量下的查詢效率。

5.2 關(guān)鍵模塊與功能描述

在基于時(shí)空網(wǎng)格的數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)溯流平臺(tái)中，關(guān)鍵模塊被精心設(shè)計(jì)以實(shí)現(xiàn)細(xì)致和精準(zhǔn)的功能。首先，數(shù)據(jù)處理模塊主要負(fù)責(zé)數(shù)據(jù)的收集、預(yù)處理、清洗和轉(zhuǎn)換，確保輸入平臺(tái)的數(shù)據(jù)具有高質(zhì)量和統(tǒng)一的格式。其次，時(shí)空網(wǎng)格構(gòu)建模塊利用先進(jìn)的算法將整合后的數(shù)據(jù)映射到特定的時(shí)空網(wǎng)格中，為后續(xù)數(shù)據(jù)分析提供便利。安全監(jiān)測(cè)策略模塊則在此基礎(chǔ)上進(jìn)行數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)，憑借一系列的策略和閾值設(shè)定，實(shí)時(shí)識(shí)別潛在的安全威脅。溯流算法模塊作為核心組件，對(duì)所有檢測(cè)到的異常進(jìn)行深入分析，確定其溯源路徑，從而迅速鎖定數(shù)據(jù)被泄露或篡改的源頭。最后，報(bào)告和可視化模塊負(fù)責(zé)將所有分析結(jié)果以圖形和報(bào)告的形式呈現(xiàn)給用戶，使其能夠輕松理解并采取相應(yīng)措施［8］。這些模塊協(xié)同工作，為數(shù)據(jù)資產(chǎn)的安全性提供了強(qiáng)有力的技術(shù)支撐。

5.3 平臺(tái)實(shí)現(xiàn)與測(cè)試驗(yàn)證

基于時(shí)空網(wǎng)格的數(shù)據(jù)資產(chǎn)安全監(jiān)測(cè)溯流平臺(tái)的實(shí)際實(shí)現(xiàn)階段，采用模塊化和分層的設(shè)計(jì)策略，保證各組件的高度協(xié)同性和可擴(kuò)展性。首先，選擇具有高并發(fā)處理能力和低延遲響應(yīng)特性的編程語(yǔ)言和框架，確保平臺(tái)可以處理大規(guī)模數(shù)據(jù)流并實(shí)時(shí)響應(yīng)。其次，為驗(yàn)證平臺(tái)的功能和性能進(jìn)行一系列測(cè)試，這些測(cè)試包括單元測(cè)試、集成測(cè)試和系統(tǒng)測(cè)試，確保每個(gè)模塊都能正常工作并滿足預(yù)定要求。在此基礎(chǔ)上，還進(jìn)行大量的性能測(cè)試和壓力測(cè)試，模擬了各種實(shí)際運(yùn)行環(huán)境和極端情況，驗(yàn)證平臺(tái)的穩(wěn)定性和擴(kuò)展能力。測(cè)試結(jié)果顯示，平臺(tái)在大多數(shù)情況下都能達(dá)到預(yù)期的性能指標(biāo)，并在面對(duì)突發(fā)事件時(shí)能夠迅速、準(zhǔn)確響應(yīng)。這一系列實(shí)驗(yàn)和測(cè)試流程可確保平臺(tái)在真實(shí)環(huán)境中高效、穩(wěn)定地運(yùn)行，為保障數(shù)據(jù)資產(chǎn)的安全。

6 結(jié)語(yǔ)

在信息時(shí)代的背景下，數(shù)據(jù)資產(chǎn)日益顯現(xiàn)出其無可替代的價(jià)值。然而，隨著數(shù)據(jù)資產(chǎn)規(guī)模的快速擴(kuò)增和應(yīng)用領(lǐng)域的不斷擴(kuò)展，其安全性問題也日益凸顯。本文針對(duì)數(shù)據(jù)資產(chǎn)的安全監(jiān)測(cè)問題，提出一個(gè)基于時(shí)空網(wǎng)格的監(jiān)測(cè)溯流平臺(tái)，結(jié)合時(shí)空網(wǎng)格技術(shù)、安全監(jiān)測(cè)技術(shù)和溯流技術(shù)，為數(shù)據(jù)資產(chǎn)提供一種更為穩(wěn)健、高效和智能的保護(hù)手段。