具備安全態勢感知能力的安全管理平臺

    【摘要】安全管理平臺（SOC）最大的特色之一就是收集網絡中各種異構信息源的數據，進行綜合分析，構建起一套業務安全視圖，展示給管理員一個全網安全的總覽圖。通過安全管理平臺（SOC）的層層抽象，原本複雜的安全數據提升為了安全事件，進而提升為業務決策信息和安全知識，這個過程的本質上就是安全態勢感知。作為本系列的第四篇文章，將詳細闡述SOC2.0是如何將安全態勢感知理論和技術運用到安全管理實踐中去的，並以網御神州SecFox安全管理系統為實例加以說明。

1 安全態勢感知概述

1.1 態勢感知溯源

    如果追根溯源，態勢感知（Situation Awareness）這個概念來自我國古代的《孫子兵法》。而現代意義上的態勢感知研究也來自於戰爭的需要，在二戰後美國空軍對提升飛行員空戰能力的人因工程學（Human Factor）研究過程中被提出來，至今仍然是軍事科學領域的重要研究課題。後來，態勢感知漸漸被信息技術（IT）領域所採用，屬於人工智慧（Artificial Intelligence）範疇。

    一般地，態勢感知的核心部分可以理解為一個漸進明晰的過程，借鑑人工智慧領域的黑板系統（Blackboard System），可由下圖所示的三級模型來表示：
 

圖：態勢感知核心過程示意圖

    它通過態勢要素獲取，獲得必要的數據，然後通過數據分析進行態勢理解，進而實現對未來短期時間內的態勢預測。注意，態勢感知最終達成的目標是實現對未來的短期預測，是一個動態、準實時系統。

1.2 安全態勢感知

    在上個世紀末90年代，態勢感知才被引入到信息技術安全領域，並首先用於對下一代入侵檢測系統的研究，出現了網絡安全態勢感知（Network Situation Awareness），或者安全態勢感知（Security Situation Awareness）的概念。本文中，SA特指安全態勢感知。

    目前，對於安全態勢感知尚無統一定義，以下給出幾個描述性定義：

    定義1（來自維基百科）：態勢感知是指一定時間和空間內環境因素的獲取，理解和對未來短期的預測。

    定義2：所謂網絡態勢是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。網絡態勢感知是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢。

2 安全態勢感知模型

    說到態勢感知，就必須提到數據融合（Data Fusion）。數據融合是指將來自多個信息源的數據收集起來，進行關聯、組合，提升數據的有效性和精確度。可以看出，數據融合的研究與態勢感知在很多方面都是相似的。目前，大部分安全態勢感知的模型都是基於美國的軍事機構JDL給出的數據融合模型衍生出來的。如下圖所示，為我們展示了一個典型的安全態勢感知模型：

圖：一個典型的態勢感知模型

    在這個基於人機互動的模型中，態勢感知的實現被分為了5個級別（階段），首先是對IT資源進行要素信息採集，然後經過不同級別的處理及其不斷反饋，最終通過態勢可視化實現人機互動。5個處理級別分為是：

    1) 數據預處理：可選的級別，對於部分不夠規整的數據進行預處理，例如用戶分布式處理、雜質過濾，等等。

    2) 事件提取：是指要素信息採集後的事件標準化、修訂，以及事件基本特徵的擴展。

    3) 態勢評估：包括關聯分析和態勢分析。態勢評估的結果是形成態勢分析報告和網絡綜合態勢圖，為網絡管理員提供輔助決策信息。

    4) 影響評估：它將當前態勢映射到未來，對參與者設想或預測行為的影響進行評估。

    5) 資源管理、過程控制與優化：通過建立一定的優化指標，對整個融合過程進行實時監控與評價，實現相關資源的最優分配。

    當前，態勢感知領域還有一個發展方向是複雜事件處理（Complex Event Processing，簡稱CEP），主要應用於金融、能源等行業的商業智能分析過程。基於CEP，學術界和產業界也提出了一些態勢感知的模型。我們以後會專門論述CEP在安全事件管理領域的運用，本文不再討論。

    應當說，到目前為止，安全態勢感知大體上處於學術界研究領域，核心的技術還有待於突破，包括數據融合技術、數據挖掘技術、模式識別技術等，尤其是對態勢預測的研究尚處於起步階段，整體上距離產品化還有不少的距離。

    但是，基於安全態勢感知理論，部分技術已經可以指導現在的產品研發，並且一部分較成熟技術和模型已經實現了產品化和商業化。

3 實例分析：網御神州SecFox安全管理系統的態勢感知模型

    網御神州是國內首家將態勢感知相關技術應用於成熟產品的廠家，網神SecFox安全管理系統是國內首個具有態勢感知能力的安全管理平臺（SOC）。下圖展示了網神SecFox安全管理系統的態勢感知模型：

圖：網神SecFox安全管理系統的態勢感知模型

    整個模型分為以下幾個主要部分：

    1) 要素信息採集：在SOC2.0中，要素信息至少應該包括IT資產信息、拓撲信息、弱點信息、IT資源性能和運行狀態信息、各種告警、警報、事件、日誌，等等。

    2) 事件歸一化：對採集上來的各種要素信息進行事件標準化、歸一化、並對原始事件的屬性進行擴展，例如增加地理位置信息，增加CIA安全屬性，增加分類屬性，等等。在事件歸一化過程中最重要的就是統一事件的嚴重等級和事件的意圖及結果。事件歸一化為後續的事件分析提供了準備。一方面，事件會進入實時事件庫，供態勢評估使用，另一方面，事件會同時進入歷史事件資料庫，進行持久化存儲，為歷史數據挖掘、追蹤及分析服務。此外，歸一化後的事件可以直接可視化展示在用戶界面上。

    3) 事件預處理：也是對採集上來的各種要素信息進行事件標準化和歸一化處理。事件預處理尤其是指採集具有專項信息採集和處理能力的分布式模塊。例如，某個預處理模塊通過網絡協議抓包的方式對資料庫訪問操作進行解析，並轉變為標準化事件。事件預處理是可選的處理過程。

    4) 態勢評估：包括關聯分析（Correlation Analysis）、態勢分析（Situation Analysis）、態勢評價（Situation Evaluation），核心是事件關聯分析。關聯分析就是要使用採用數據融合（Data Fusion）技術對多源異構數據從時間、空間、協議等多個方面進行關聯和識別。態勢評估的結果是形成態勢評價報告和網絡綜合態勢圖，藉助態勢可視化為管理員提供輔助決策信息，同時為更高階段的業務評估提供輸入。

    5) 業務評估：包括業務風險評估（Business Risk Assessment）和業務影響評估（Business Impact Assessment），還包括業務合規審計（Business Compliance Audit）。業務風險評估主要採用面向業務的風險評估方法，通過業務的價值、弱點和威脅情況得到量的出業務風險數值；業務影響評估主要分析業務的實際流程，獲知業務中斷帶來的實際影響，從而找到業務對風險的承受程度。

    6) 預警與響應：態勢評估和業務評估的結果都可以送入預警與響應模塊，一方面藉助態勢可視化進行預警展示，另一方面，送入流程處理模塊進行流程化響應與安全風險運維。

    7) 流程處理：主要是指按照運維流程進行風險管理的過程。在網神SecFox安全管理體系中，該功能是由獨立的運維管理系統（Operation Management System）擔當。

    8) 用戶接口（態勢可視化）：實現安全態勢的可視化、交互分析、追蹤、下鑽、統計、分布、趨勢，等等，是用戶與系統的交互接口。態勢感知系統的運行需要用戶的主動參與，而不是一個自治系統。

    9) 歷史數據分析：這部分實際上不屬於態勢感知的範疇。我們已經提到，態勢感知是一個動態準實時系統，他偏重於對信息的實時分析和預測。在SecFox安全管理系統中，除了具備態勢感知能力，還具備歷史數據挖掘能力。

    SecFox安全管理系統作為上述安全態勢感知系統模型的一個實例，雖然不是很完善，但是已經實現了其中一些關鍵技術，包括總體架構已經搭建起來、並實現了基於流數據的實時關聯分析技術、高性能事件處理技術、海量事件分析技術、信息可視化技術，等等，詳見http://www.legendsec.com/newsec.php?up=3&cid=99。網御神州在態勢感知的Level0～2實現了技術突破，並產品化，已經在多個實際客戶那裡得到了驗證。

    未來，網御神州將進一步研究數據融合技術，使得態勢感知更加準確、發現時間更短。進一步研究數據挖掘技術，包括模式識別、聚類分析，等等；進一步研究安全態勢可視化技術，使得可視化展示能力和效果更好。未來，我們還將逐步探索態勢預測的技術領域。這些都首先需要在技術上取得突破，然後逐步應用在產品之中。

4 SOC2.0與安全態勢感知的關係

    SOC2.0強調要利用安全態勢感知技術去進行業務連續性管理和業務風險管理，包括利用數據融合、複雜事件處理技術去進行業務影響評估，以及業務安全風險評估。

    而傳統的SOC1.0在這方面則有所欠缺。首先，SOC1.0採集的態勢要素信息不全面，尤其是缺少網絡拓撲數據，以及IT資源的可用性數據；其次，SOC1.0的風險評估過程沒有面向業務，僅僅針對資產，風險分析的結果無法指導客戶的業務運營保障；再次，SOC1.0沒有業務評估這個處理階段；最後，缺乏態勢可視化的手段，局限於統計、分布圖表，缺少對安全威脅事件的可視化展示與交互式分析。

    在SOC2.0的理念中，安全態勢感知系統相當於人體的神經系統。單點防禦設備——包括防火牆、入侵檢測、漏洞掃描系統，等等——相當於神經元，SOC2.0管理中心相當於神經中樞——大腦，而事件的處理過程就相當於神經傳導和處理過程。從這個角度來看，SOC2.0處理數據、將信息變成知識的過程與人腦的對外界信息的感知過程是類似的。

    無論具體實現的技術和手段如何，SOC2.0的目標就是要為用戶的IT資源及其業務系統穿上一件保護外套，部署一套全方位的安全保障體系（態勢感知網絡），如下圖所示：
 

圖：SOC2.0的安全保障目標

5 小結

    通過對網御神州SecFox安全管理系統的態勢感知模型的分析，可以發現，下一代安全管理平臺（SOC2.0）在信息處理過程中具有數據融合（Data Fusion）的特點，因而天然可以作為態勢感知理論和技術的應用載體。同時，態勢感知相關技術的發展和成熟有助於SOC2.0為用戶抽取出有價值的安全信息和安全知識。

    最後，安全態勢感知技術的突破和應用還為將來的安全管理平臺（SOC）作為網絡可生存性（Network Survivability）的控制中樞提供了基礎支撐。

6 關於網御神州的安全管理平臺

    網御神州安全管理團隊根據長期以來在安全管理領域的深入研究，結合來自客戶的需求與市場的現狀，提出了具有完全自主智慧財產權的、面向業務的網神SecFox安全管理與審計產品理念，尤其強調網絡管理、安全管理與運維管理的一體化，為政府、軍隊、公安、稅務、電力、保險、電信、金融、交通、醫療、製造、廣電等各個領域的客戶提供全面的安全運營保障平臺。網御神州建立了專門的安全管理研發和實施隊伍——SOC事業部，在國內市場突飛猛進，取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產品市場研究年度報告》中網御神州連續兩年位居安全管理（SOC）市場第一名，成為了中國安全管理市場的領導廠商。