具备安全态势感知能力的安全管理平台

1 安全态势感知概述
1.1 态势感知溯源
如果追根溯源，态势感知（SituationAwareness）这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要，在二战后美国空军对提升飞行员空战能力的人因工程学（HumanFactor）研究过程中被提出来，至今仍然是军事科学领域的重要研究课题。后来，态势感知渐渐被信息技术（IT）领域所采用，属于人工智能（Artificial Intelligence）范畴。
一般地，态势感知的核心部分可以理解为一个渐进明晰的过程，借鉴人工智能领域的黑板系统（BlackboardSystem），可由下图所示的三级模型来表示：

图：态势感知核心过程示意图

　　它通过态势要素获取，获得必要的数据，然后通过数据分析进行态势理解，进而实现对未来短期时间内的态势预测。注意，态势感知最终达成的目标是实现对未来的短期预测，是一个动态、准实时系统。

　　1.2 安全态势感知

　　在上个世纪末90年代，态势感知才被引入到信息技术安全领域，并首先用于对下一代入侵检测系统的研究，出现了网络安全态势感知（NetworkSituation Awareness），或者安全态势感知（Security SituationAwareness）的概念。本文中，SA特指安全态势感知。

　　目前，对于安全态势感知尚无统一定义，以下给出几个描述性定义：

　　定义1（来自维基百科）：态势感知是指一定时间和空间内环境因素的获取，理解和对未来短期的预测。

　　定义 2：所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。

　　2 安全态势感知模型

　 　说到态势感知，就必须提到数据融合（DataFusion）。数据融合是指将来自多个信息源的数据收集起来，进行关联、组合，提升数据的有效性和精确度。可以看出，数据融合的研究与态势感知在很多方面都是相似的。目前，大部分安全态势感知的模型都是基于美国的军事机构JDL 给出的数据融合模型衍生出来的。如下图所示，为我们展示了一个典型的安全态势感知模型：

 

图：一个典型的态势感知模型

　　在这个基于人机交互的模型中，态势感知的实现被分为了5个级别（阶段），首先是对IT资源进行要素信息采集，然后经过不同级别的处理及其不断反馈，最终通过态势可视化实现人机交互。5个处理级别分为是：

 

• 数据预处理：可选的级别，对于部分不够规整的数据进行预处理，例如用户分布式处理、杂质过滤，等等。
• 事件提取：是指要素信息采集后的事件标准化、修订，以及事件基本特征的扩展。
• 态势评估：包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息。
• 影响评估：它将当前态势映射到未来，对参与者设想或预测行为的影响进行评估。
• 资源管理、过程控制与优化：通过建立一定的优化指标，对整个融合过程进行实时监控与评价，实现相关资源的最优分配。

　 　当前，态势感知领域还有一个发展方向是复杂事件处理（Complex EventProcessing，简称CEP），主要应用于金融、能源等行业的商业智能分析过程。基于CEP，学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用，本文不再讨论。
 

　　应当说，到目前为止，安全态势感知大体上处于学术界研究领域，核心的技术还有待于突破，包括数据融合技术、数据挖掘技术、模式识别技术等，尤其是对态势预测的研究尚处于起步阶段，整体上距离产品化还有不少的距离。

但是，基于安全态势感知理论，部分技术已经可以指导现在的产品研发，并且一部分较成熟技术和模型已经实现了产品化和商业化。

　　3 实例分析：安全管理系统的态势感知模型

下图展示了一个安全管理系统的态势感知模型：

 

 

图：态势感知模型

整个模型分为以下几个主要部分：

 

•  要素信息采集：在SOC2.0中，要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志，等等。
•  事件归一化：对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展，例如增加地理位置信息，增加 CIA安全属性，增加分类属性，等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面，事件会进入实时事件库，供态势评估使用，另一方面，事件会同时进入历史事件数据库，进行持久化存储，为历史数据挖掘、追踪及分析服务。此外，归一化后的事件可以直接可视化展示在用户界面上。
•  事件预处理：也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如，某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析，并转变为标准化事件。事件预处理是可选的处理过程。
•  态 势评估：包括关联分析（Correlation Analysis）、态势分析（Situation  Analysis）、态势评价（Situation Evaluation），核心是事件关联分析。关联分析就是要使用采用数据融合（Data Fusion）技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图，借助态势可视化为管理员提供辅助决策信息，同时为更高阶段的业务评估提供输入。
•  业务评估：包括业务风 险评估（Business Risk Assessment）和业务影响评估（Business Impact Assessment），还包括业务合规审计（BusinessComplianceAudit）。业务风险评估主要采用面向业务的风险评估方法，通过业务的价值、弱点和威胁情况得到量的出业务风险数值；业务影响评估主要分析业务的实际流程，获知业务中断带来的实际影响，从而找到业务对风险的承受程度。
•  预警与响应：态势评估和业务评估的结果都可以送入预警与响应模块，一方面借助态势可视化进行预警展示，另一方面，送入流程处理模块进行流程化响应与安全风险运维。
•  流程处理：主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中，该功能是由独立的运维管理系统（OperationManagement System）担当。
•  用户接口（态势可视化）：实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势，等等，是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与，而不是一个自治系统。
•  历史数据分析：这部分实际上不属于态势感知的范畴。我们已经提到，态势感知是一个动态准实时系统，他偏重于对信息的实时分析和预测。

　　4 SOC2.0与安全态势感知的关系

　　SOC2.0强调要利用安全态势感知技术去进行业务连续性管理和业务风险管理，包括利用数据融合、复杂事件处理技术去进行业务影响评估，以及业务安全风险评估。

　　而传统的SOC1.0在这方面则有所欠缺。首先，SOC1.0采集的态势要素信息不全面，尤其是缺少网络拓扑数据，以及IT资源的可用性数据；其次，SOC1.0的风险评估过程没有面向业务，仅仅针对资产，风险分析的结果无法指导客户的业务运营保障；再次，SOC1.0没有业务评估这个处理阶段；最后，缺乏态势可视化的手段，局限于统计、分布图表，缺少对安全威胁事件的可视化展示与交互式分析。

　　在SOC2.0的理念中，安全态势感知系统相当于人体的神经系统。单点防御设备——包括防火墙、入侵检测、漏洞扫描系统，等等——相当于神经元，SOC2.0管理中心相当于神经中枢——大脑，而事件的处理过程就相当于神经传导和处理过程。从这个角度来看，SOC2.0处理数据、将信息变成知识的过程与人脑的对外界信息的感知过程是类似的。

　　无论具体实现的技术和手段如何，SOC2.0的目标就是要为用户的IT资源及其业务系统穿上一件保护外套，部署一套全方位的安全保障体系（态势感知网络），如下图所示：

　5 小结

　　通过对态势感知模型的分析，可以发现，下一代安全管理平台（SOC2.0）在信息处理过程中具有数据融合（DataFusion）的特点，因而天然可以作为态势感知理论和技术的应用载体。同时，态势感知相关技术的发展和成熟有助于SOC2.0为用户抽取出有价值的安全信息和安全知识。

　　最后，安全态势感知技术的突破和应用还为将来的安全管理平台（SOC）作为网络可生存性（NetworkSurvivability）的控制中枢提供了基础支撑。