天津市滨海新区公安局大数据安全解决方案

　　一、天津市滨海新区公安局基本情况

　　2009 年天津市滨海新区公安局成立，同时向新区政府和天津市公安局汇报工作，以新区管理为主。滨海新区公安局管辖了10 个分局、2 个商务区和天津港。

　　近年来随着滨海新区公安局警务信息化建设快速发展，公安各业 务系统安全架构也日趋复杂。随着安全数据快速增长，以往数据快速 处理能力不足、安全处理能力分散、未能形成整合优势等问题日益突出。针对这些问题，2015 年滨海新区公安局决定建设一套基于大数据安全信息检索和分析系统，既能满足数据处理和存储要求，又可以 对安全数据进行统一管理和分析的信息安全平台—大数据安全智能分析平台，并于同年 9 月上线运行。

　　二、解决方案介绍

　　我局制定了“建立以大数据安全分析平台为纽带的主动防御为方法，纵深防御为基础的一体化网络安全防御体系”的目标，从一体化安全技术架构、主动化安全威胁管理、智能化网络威胁感知、高效化网络安全运营等四大领域重点发力，突破传统离散、被动的防御模式，提升信息系统健壮性，强化主动应对网络攻击的能力。

　　滨海公安局大数据安全解决方案是通过建立的一套以大数据处 理技术为基础的智能安全分析平台，将其作为纵深防御体系中重要的纽带，全方位整合孤立的防护孤岛和信息孤岛，对网络设备、安全设备、应用系统、终端、数据库等各种日志等海量安全数据进行集中采 集、存储和分析，打破了原有安全防护措施的烟囱式防护方式，将所 有安全防护措施打通，利用其对海量数据的高效计算能力，结合关联 分析、机器学习、攻击链分析、威胁情报、可视化等手段，建立丰富 的威胁检测模型，实现网络攻击事前、事中、事后的闭环管理，实现 网络防御从被动到主动的转变，建立起滨海公安智能的全网安全态势感知能力。

　　1、一体化安全技术架构

　　大数据安全分析平台采用一体化分布式采集、存储和分析的技术 架构，作为我局公安网集中的安全数据汇总枢纽，为我局整体安全分 析和安全管理提供了全面的安全数据资源池。平台收集的信息包括以下：

　　网络行为数据：包括网络设备、主机、应用、安全设备记录的日志和告警信息；

　　内部情报数据：整个网络中所有的资产信息、相关的人员信息、 账号信息以及与资产相关的漏洞信息和安全配置信息等。

　　大数据安全分析平台对数据源收集的信息进行标准化和丰富化 处理，从而为平台的交互分析和智能威胁检测提供高质量的数据。

　　目前平台每天采集的数据量在 4.2 亿条，存储空间 300GB，依据网络安全法的要求，平台 ElasticSearch 部署在17台服务器，数据总量已接近60TB。

　　2、主动化安全威胁管理

　　在一体化的大数据技术平台架构的基础上，充分利用大数据分析 的模型算法和处理能力，从海量数据中智能挖掘有价值的信息，经过

　　2年多的模型积累，到目前已经建立了接近 400 个分析模型和算法，覆盖了主机安全、网络安全、恶意软件、应用安全、业务安全、数据 安全、异常和违规行为等 7 大类 30 种网络威胁，全方位主动的检测网络攻击和内部违规行为。

　　同时大数据安全分析平台通过对安全事件上下文关联分析、安全 事件相关性分析，在安全事件关联分析的基础上，大数据平台通过基 于机器学习的安全异常行为检测分析，全方位提高安全检测与分析的准确性。

　　3.智能化网络威胁感知

　　大数据安全分析平台利用全面的数据采集能力以及强大的安全 分析引擎，实现智能的网络安全态势感知能力。全面掌握来自外部的 攻击行为和内部违规和异常行为，并对安全风险进行实时预警。

　　从全局角度出发，大数据安全分析能够将实时数据转化为动态展示的形式，直观的反映当前网络内的安全状况，其中包括外网攻击态势，查看当前内到外、外到内的攻击，攻击结果、路径地图、手段等。 同时也能反映当前网络威胁活动，能够看到采集的数据源之间的威胁事件的关联性，发生的源和目的态势，直观感知并呈现全网安全态势。

公安网安全态势感知中心

　　4.高效化网络安全运营

　　通过建设大数据安全分析平台，有效的将平台、人员、制度、流 程有机的结合起来，从信息安全事件的事前、事中、和事后三个维度 出发，依托于大数据安全分析平台，形成信息安全工作的闭环，实现信息安全运营工作的自动化，极大提高了我局信息安全管理和运营效率。

　　以内部、外部各方面的安全数据为支撑，通过大数据安全分析平台对数据的采集、建模、分析、告警，自动发现信息安全事件；安全监控员对平台发现的安全事件进行监控和通报，对不确认的安全事件提交给安全分析人员，一旦安全分析人员确定此安全事件，平台能够提供实时响应的机制，对于发生的安全事件能够及时通知运维人员， 并触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理，提升运维效率。

　　三、技术先进性

　　深度关联分析

　　大数据安全分析平台对系统采集的实时数据流进行深度关联分析，包括系统日志、资产、漏洞等信息之间采用基于规则、基于统计、 基于资产的关联方法，综合分析生成安全告警。

　　针对所有安全事件，能够借助平台独有的事件关联分析引擎进 行多种关联分析，并生成安全告警事件；

　　通过规则模型匹配后可以对实时的数据进行检测并生成告警， 从而发现传统安全设备无法发现的潜在威胁；

　　通过关联事件分析技术可检测出不同类型的威胁和攻击，可识 别出杂音、减少假肯定次数并迅速识别出真正的威胁，从而加快响应速度。

　　关联分析能力依赖于平台自身的 CEP 分析引擎，通过在流式数据中发现符合某种特征的模式进而触发对应的后续动作，既支持基于单 条事件的简单无状态的模式匹配（例如基于事件中的某个字段进行筛 选过滤），也可以支持基于关联／聚合／时间窗口等跨事件的复杂有 状态模式匹配（例如计算滑动时间窗口移动均值）。

　　机器学习

　　通过机器学习和算法对大量的历史日志和安全信息的关联，对用 户的行为进行一个长周期的分析，建立正常用户行为基线或画像，找 出异常行为和隐藏的威胁，无论是外部 APT 攻击，还是内部人员账号失窃或是盗取内部数据。

　　大数据安全分析平台分析以无监督学习（异常检测）为主，并有 人工辅助的半监督学习（专家、管理人员反馈）。

　　其采用的算法结构：无监督异常分析－人工确定异常－产生标记

　　
样本－半监督学习，并混合多种算法：降维+聚类+决策树。避免单一算法的缺陷。

　　可视化云图分析

　　将图数据库中每一个数据项作为单个图元元素表示，大量的数据集构成数据图像，同时将数据的各个属性值以多维数据的形式表示， 可以从不同的维度观察数据，从而对数据进行更深入的观察和分析。

　　数据空间：由 n 维属性和 m 个元素组成的数据集所构成的多维信息空间

　　数据开发：利用一定的算法和工具对数据进行定量的推演和计算

　　数据分析：对多维数据进行切片、块、旋转等动作剖析数据， 从而能多角度多侧面观察数据。

　　构建可视化:可视化映射将数据表映射为可视化结构，由标记、 以及标记的图形属性等可视化表征组成，将可视化结构根据位置、比例、大小等参数设置显示在输出设备上。

　　四、实施过程

　　我局大数据安全分析解决方案的落地经历了需求调研、数据梳理、 平台搭建、模型建立和上线运营 5 个阶段：

　　1、需求调研

　　通过对我局网络安全现状进行详细、深入地调查，分析我局当前所面临的安全风险与存在问题，并以调查分析结果为依据确定大数据 安全分析平台的建设目标、内容及实施方案。需求调研阶段主要的工作内容包括：

　　当前网络安全建设现状分析；

　　网络安全风险评估与问题分析；

　　网络安全相关合规要求分析；

　　确定大数据安全分析平台建设目标与内容；

　　编制并论证大数据安全分析建设实施方案。

　　2、数据梳理

　　依据大数据安全分析平台的建设目标、内容以及实施方案，对平

　　台所需要的数据进行梳理，明确各项数据的类型、来源、内容与用途， 确保大数据分析平台输入数据的丰富性与多样性。数据梳理阶段的主要工作包括：

　　依据建设目标与内容，分析平台所必需的数据类别；

　　按不同类别对数据资源进行归类，包括安全类、管理类、流量 类、基础类等；

　　按不同的数据类别，通过数据用途分析，进一步确定平台所需 数据内容；

　　汇总所有数据属性信息，评估确认数据的充分性与多样性。

　　3、平台搭建

　　依据大数据安全分析平台实施方案，明确平台部署方式与所需硬 件资源，并进行基础平台与应用功能建设。平台搭建阶段主要工作包括：

　　明确平台部署方式，确认并准备平台所需网络环境与硬件资 源；

　　搭建大数据安全分析基础平台，内容包括日志采集、数据解析及标准化、字段转义、事件识别、数据丰富化、数据存储等；

　　实现大数据分析平台应用功能，内容包括数据关联分析、网络 流量安全分析、安全事件生命周期管理、攻击溯源分析、安全 态势分析、可视化仪表盘、报表报告管理等。

　　4、模型建立

　　大数据安全平台搭建完成后，建立安全分析场景模型，以使大数 据安全平台能够实现其安全分析的功能，并能发挥大数据安全分析的 效果。模型建立阶段工作包括：

　　依据我局网络应用特点分析其所面临的安全风险；

　　按照每一项安全风险详细分析安全场景，包括场景名称、场景 描述、分析逻辑、支持数据来源等。

　　依据网络安全场景建立安全分析模型与安全分析规则，并基于 大数据安全分析平台进行数据抽取与补全。

　　5、平台运营

　　以上平台建设实施完成后，正式进入大数据安全分析运营阶段， 通过运维岗位人员配备、安全分析与事件处置制度、流程完善，有效 的将平台、人员、制度、流程有机的结合起来，使大数据安全分析平 台能够真正发挥其应有的作用。平台运营阶段工作包括：

　　建立大数据安全分析平台运营机制，配备运维岗位人员，完善 相关制度、流程；

　　按安全运维制度、流程要求，依托于大数据安全分析平台，对 整体网络安全进行统一的监控、分析与检测；

　　对大数据分析平台所产生的告警信息进行深入分析挖掘，发现 安全事件及时报告处理；

　　根据安全事件性质与处理结果，对网络安全防护措施进行完 善，对大数据安全分析平台进行调优。

　　五、建设成效

　　自大数据安全分析平台上线运营以来，在外部攻击、内部违规行为以及 APT 攻击等各方面成效显著，已累计发现疑似攻击行为 1339 万次，经平台分析统计，其中排除误报的 140 万次，成功拦截了 467.5 万次，其余均为无危害行为。使我局网络安全工作实现了从独立工作到协同防御的转变，实现了网络安全从被动防护到主动防御的转变。

　　1.从独立工作到协同防御

　　大数据安全分析平台通过统一收集、集中存储消除各安全系统孤立情况，从海量汇总信息中屏蔽大量无用信息，及时告警重要的安全事件，通过关联分析和长周期的机器学习，发现隐藏较深的安全威胁。

　　通过建立与大数据安全分析平台配套的安全威胁运行分析机制， 形成了网络安全监控、预警、处置、调查、加固的管理流程，实现了 网络安全监控、安全异常与威胁分析、事件分析、应急处置等各项工 作的协同。

　　2.从被动防护到主动防护

　　大数据安全分析平台有效弥补了其它安全防护系统不足，促进并 提高了其它安全防护系统的运行效果，实现安全技术和安全管理有机 结合，实现网络安全工作的统一指挥调度。

　　以病毒管理为例，大数据安全分析平台上线以来，就 2016 年和

　　2017 年第一季度网络版杀毒软件的查杀病毒数据对比来看，每月环比下降约 51.9%。感染的病毒种类同比下降 75.6%，环比下降约 43.9%。

　　每月感染终端数同比下降 62.4%，环比下降约 56.5%。

　　六、实战检验

　　2017 年 5 月 12 日 WannaCry 勒索病毒在世界范围内爆发，全国公安网络和系统都不同程度的感染了勒索病毒。而滨海新区公安局由于 建立了以大数据安全分析平台为纽带的纵深防御体系，在病毒爆发的 事情、事中、事后都进行了快速的处理，有效避免了大规模爆发，并 在 12 小时内恢复了业务运行，充分体现了大数据安全分析平台实战能力。

　　事前：在 4 月 NSA 武器库泄露时结合威胁情报立刻针对 135、137、

　　139、445、3389 端口设立自动告警规则，因此第一时间发现了 445 端口扫描异常行为并迅速全网安装补丁；

　　事中：通过大数据安全分析平台第一时间定位染毒设备，并及时进行下线断网处理，病毒扩散得以控制；在防火墙上立即阻断 445 等端口的使用和访问；及时提取病毒样本提交防病毒厂商进行分析，12 小时拿到病毒特征码，立刻对全网设备进行查杀；利用桌面小助手，向所有终端推送命令脚本，关闭 445、135、137、138、

　　139 等端口；其间大数据安全分析平台持续监控，针对异常行为及时告警排查；

　　事后：在大数据安全分析平台中新增威胁检测模型，对 WannaCry 及变种病毒进行持续监控；利用大数据安全分析平台存储的原始日志，对病毒来源进行追踪溯源，确定病毒来自于内部 U 盘拷贝。

编辑：广翰楼