`
snoopy7713
  • 浏览: 1149051 次
  • 性别: Icon_minigender_2
  • 来自: 火星郊区
博客专栏
Group-logo
OSGi
浏览量:0
社区版块
存档分类
最新评论

具备安全态势感知能力的安全管理平台

阅读更多

1 安全态势感知概述
1.1 态势感知溯源

如果追根溯源,态势感知(SituationAwareness)这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(HumanFactor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。
一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(BlackboardSystem),可由下图所示的三级模型来表示:

图:态势感知核心过程示意图

  它通过态势要素获取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测。注意,态势感知最终达成的目标是实现对未来的短期预测,是一个动态、准实时系统。
  1.2 安全态势感知
  在上个世纪末90年代,态势感知才被引入到信息技术安全领域,并首先用于对下一代入侵检测系统的研究,出现了网络安全态势感知(NetworkSituation Awareness),或者安全态势感知(Security SituationAwareness)的概念。本文中,SA特指安全态势感知。
  目前,对于安全态势感知尚无统一定义,以下给出几个描述性定义:
  定义1(来自维基百科):态势感知是指一定时间和空间内环境因素的获取,理解和对未来短期的预测。
  定义 2:所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。
  2 安全态势感知模型
   说到态势感知,就必须提到数据融合(DataFusion)。数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。可以看出,数据融合的研究与态势感知在很多方面都是相似的。目前,大部分安全态势感知的模型都是基于美国的军事机构JDL 给出的数据融合模型衍生出来的。如下图所示,为我们展示了一个典型的安全态势感知模型:

 

图:一个典型的态势感知模型
  在这个基于人机交互的模型中,态势感知的实现被分为了5个级别(阶段),首先是对IT资源进行要素信息采集,然后经过不同级别的处理及其不断反馈,最终通过态势可视化实现人机交互。5个处理级别分为是:

 

  • 数据预处理:可选的级别,对于部分不够规整的数据进行预处理,例如用户分布式处理、杂质过滤,等等。
  • 事件提取:是指要素信息采集后的事件标准化、修订,以及事件基本特征的扩展。
  • 态势评估:包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。
  • 影响评估:它将当前态势映射到未来,对参与者设想或预测行为的影响进行评估。
  • 资源管理、过程控制与优化:通过建立一定的优化指标,对整个融合过程进行实时监控与评价,实现相关资源的最优分配。
   当前,态势感知领域还有一个发展方向是复杂事件处理(Complex EventProcessing,简称CEP),主要应用于金融、能源等行业的商业智能分析过程。基于CEP,学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用,本文不再讨论。
 
  应当说,到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离产品化还有不少的距离。

但是,基于安全态势感知理论,部分技术已经可以指导现在的产品研发,并且一部分较成熟技术和模型已经实现了产品化和商业化。

  3 实例分析:安全管理系统的态势感知模型

下图展示了一个安全管理系统的态势感知模型:

 

 

图:态势感知模型
整个模型分为以下几个主要部分:


 

  •  要素信息采集:在SOC2.0中,要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志,等等。
  •  事件归一化:对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展,例如增加地理位置信息,增加 CIA安全属性,增加分类属性,等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面,事件会进入实时事件库,供态势评估使用,另一方面,事件会同时进入历史事件数据库,进行持久化存储,为历史数据挖掘、追踪及分析服务。此外,归一化后的事件可以直接可视化展示在用户界面上。
  •  事件预处理:也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如,某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析,并转变为标准化事件。事件预处理是可选的处理过程。
  •  态 势评估:包括关联分析(Correlation Analysis)、态势分析(Situation  Analysis)、态势评价(Situation Evaluation),核心是事件关联分析。关联分析就是要使用采用数据融合(Data Fusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
  •  业务评估:包括业务风 险评估(Business Risk Assessment)和业务影响评估(Business Impact Assessment),还包括业务合规审计(BusinessComplianceAudit)。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
  •  预警与响应:态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
  •  流程处理:主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中,该功能是由独立的运维管理系统(OperationManagement System)担当。
  •  用户接口(态势可视化):实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
  •  历史数据分析:这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。
  4 SOC2.0与安全态势感知的关系
  SOC2.0强调要利用安全态势感知技术去进行业务连续性管理和业务风险管理,包括利用数据融合、复杂事件处理技术去进行业务影响评估,以及业务安全风险评估。
  而传统的SOC1.0在这方面则有所欠缺。首先,SOC1.0采集的态势要素信息不全面,尤其是缺少网络拓扑数据,以及IT资源的可用性数据;其次,SOC1.0的风险评估过程没有面向业务,仅仅针对资产,风险分析的结果无法指导客户的业务运营保障;再次,SOC1.0没有业务评估这个处理阶段;最后,缺乏态势可视化的手段,局限于统计、分布图表,缺少对安全威胁事件的可视化展示与交互式分析。
  在SOC2.0的理念中,安全态势感知系统相当于人体的神经系统。单点防御设备——包括防火墙、入侵检测、漏洞扫描系统,等等——相当于神经元,SOC2.0管理中心相当于神经中枢——大脑,而事件的处理过程就相当于神经传导和处理过程。从这个角度来看,SOC2.0处理数据、将信息变成知识的过程与人脑的对外界信息的感知过程是类似的。
  无论具体实现的技术和手段如何,SOC2.0的目标就是要为用户的IT资源及其业务系统穿上一件保护外套,部署一套全方位的安全保障体系(态势感知网络),如下图所示:

 5 小结

  通过对态势感知模型的分析,可以发现,下一代安全管理平台(SOC2.0)在信息处理过程中具有数据融合(DataFusion)的特点,因而天然可以作为态势感知理论和技术的应用载体。同时,态势感知相关技术的发展和成熟有助于SOC2.0为用户抽取出有价值的安全信息和安全知识。
  最后,安全态势感知技术的突破和应用还为将来的安全管理平台(SOC)作为网络可生存性(NetworkSurvivability)的控制中枢提供了基础支撑。
分享到:
评论

相关推荐

    基于生成对抗网络的网络安全态势感知平台.pdf

    为了解决这些问题,提出了一种响应式的网络安全态势感知平台架构,该架构在传统网络安全态势感知的基础上,与统一的数据管理和决策支持系统相结合,从而实现感知与行动的一体化建设。 生成对抗网络(GAN,...

    网络安全态势感知技术研究.pdf

    为了提高网络安全态势感知能力,需要加强实时监控能力、检测能力、完整的漏洞发现能力、高级威胁检测能力,并完善预警通报体系。这要求安全人员不仅需要定期扫描漏洞,还要能够及时提供安全预警和快速的安全应急响应...

    网络安全态势感知框架及随机森林评估模型.pdf

    此外,网络安全态势感知的主要思想是分析网络基础设施中的环境并创建特定事件和可视化,为网络安全管理提供了重要的技术手段。 在网络安全态势感知的实施过程中,还应关注态势感知模型在动态环境中的应用。由于网络...

    关于网络安全态势感知的预警技术分析.pdf

    总的来说,网络安全态势感知的预警技术是一个涵盖多个领域的复杂系统,它要求技术研究人员不断研究和开发新的检测方法和技术,同时也需要网络安全人员具备高度的警觉性和专业知识,以便能够及时准确地识别和应对网络...

    网络安全态势感知在高速公路联网收费系统中的应用.pdf

    通过建立部级安全态势感知平台,可以实现对全国高速公路联网收费系统的统一监控和管理,从而达到横向交互、纵向协同的安全管理目标。 此外,文章中提到的ETC车道交易量数据表明,全国联网收费系统每天处理的交易量...

    网络安全态势感知实训平台设计与实践.pdf

    网络安全态势感知(NSSA)是一种网络安全管理的新方法,它基于对分布式环境中信息的动态获取,通过数据分析、语义提取、模式识别等综合分析处理手段,实时评估网络的安全态势,从而发现攻击行为和攻击意图,为安全...

    企业网络安全态势感知平台架构研究.pdf

    企业网络安全态势感知平台是一种网络信息安全解决方案,它能够实时监测、分析和预警企业网络环境中的各种安全事件。态势感知的概念起源于1988年,由美国恩兹利博士提出,其核心过程分为三个阶段:获取态势要素、态势...

    IT与OT网络安全态势感知平台联合开发技术与实践.pdf

    网络安全态势感知平台(Situation Awareness Platform, SAP)应运而生。该平台能够实时监控企业IT和OT系统,对异常行为和潜在威胁进行分析,提供预警,并在必要时采取应对措施。这一平台是保护企业网络安全的关键...

    医院网络安全态势感知平台构建与应用.pdf

    医院网络安全态势感知平台的系统需求包括对安全威胁的全面检测能力。威胁检测是平台的核心功能之一,它可以分为基础检测和深度检测两个层次。基础检测关注于对外部威胁的初步识别,例如异常会话检测、加密通道分析、...

    基于互联网安全智慧化管理的网络安全态势感知预警平台探索与推广.pdf

    本文讨论的“基于互联网安全智慧化管理的网络安全态势感知预警平台探索与推广”内容涉及了互联网安全中的智慧化管理和态势感知预警两个核心概念,它们是确保网络安全的重要手段和趋势。 首先,我们来解析“互联网...

    一种自适应的网络安全态势感知系统设计.pdf

    网络安全态势感知是一种关键的技术,它涉及到对网络环境中各种状态、威胁和事件的实时监控、理解和预测,以提升网络防御的效率和效果。随着信息化的快速发展,政府、军队和企业等关键信息网络的规模不断扩大,网络...

    安全态势感知系统.docx

    综上所述,平安态势感知系统是网络安全防御的关键工具,它通过全面的数据收集、智能分析和可视化呈现,帮助企业或机构及时发现和应对网络安全威胁,提高整体安全防护能力。选择一个好的平安态势感知系统,需要考虑其...

    顺丰安全态势感知实践.pdf

    安全态势感知(Situation Awareness,SA)是一种基于大数据的安全管理方法,旨在通过实时分析和预测安全风险,提前防范潜在威胁。在顺丰的实践中,这一系统不仅涵盖了网络安全和漏洞分析,还包括了移动安全、安全...

    湖北省广播电视网络安全态势感知平台设计.pdf

    湖北省广播电视网络安全态势感知平台的设计旨在提升行业内的网络安全保护能力,实现对网络安全威胁的及时预警和有效应对。 **建设目标** 1. **业务目标**:平台的主要目的是提高核心业务系统和关键基础设施的安全...

    构建支撑网络安全态势感知的大数据平台.pdf

    网络安全态势感知是信息安全领域的高级应用,它的核心在于借助大量数据的分析处理来对网络安全状态...通过整合现有的大数据平台技术和工具,可以有效地提升网络安全态势感知的能力,实现网络安全的主动防御和精确预判。

    网络安全态势感知在铁路信息安全的应用.pdf

    同时,安全人才的培养和储备也是保障网络安全态势感知有效实施的关键因素,他们需要具备深入的技术知识、分析能力和快速响应能力。 在应急响应方面,网络安全态势感知能够提供快速、准确的事件响应策略。一旦发生...

    电网调度系统网络安全态势感知分析.pdf

    电网调度系统的网络安全态势感知分析是一个复杂而系统的工程,需要电力企业不断加强对网络安全的重视,积极引入先进的网络安全态势感知技术,以全面提升电网调度系统的安全防护能力。这不仅是技术上的挑战,也是电力...

    电力物联网全场景安全态势感知解决方案.docx

    电力物联网全场景安全态势感知解决方案的目标是构建一套综合性的安全态势感知平台,该平台不仅能够全面感知电力物联网的安全态势,还应具备安全作业管理、安全业务服务和作战指挥等功能。具体来说,其内涵包含以下几...

Global site tag (gtag.js) - Google Analytics