1?安全態(tài)勢(shì)感知概述
1.1?態(tài)勢(shì)感知溯源
如果追根溯源，態(tài)勢(shì)感知（SituationAwareness）這個(gè)概念來(lái)自我國(guó)古代的《孫子兵法》。而現(xiàn)代意義上的態(tài)勢(shì)感知研究也來(lái)自于戰(zhàn)爭(zhēng)的需要，在二戰(zhàn)后美國(guó)空軍對(duì)提升飛行員空戰(zhàn)能力的人因工程學(xué)（HumanFactor）研究過(guò)程中被提出來(lái)，至今仍然是軍事科學(xué)領(lǐng)域的重要研究課題。后來(lái)，態(tài)勢(shì)感知漸漸被信息技術(shù)（IT）領(lǐng)域所采用，屬于人工智能（Artificial Intelligence）范疇。
一般地，態(tài)勢(shì)感知的核心部分可以理解為一個(gè)漸進(jìn)明晰的過(guò)程，借鑒人工智能領(lǐng)域的黑板系統(tǒng)（BlackboardSystem），可由下圖所示的三級(jí)模型來(lái)表示：

圖：態(tài)勢(shì)感知核心過(guò)程示意圖

它通過(guò)態(tài)勢(shì)要素獲取，獲得必要的數(shù)據(jù)，然后通過(guò)數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解，進(jìn)而實(shí)現(xiàn)對(duì)未來(lái)短期時(shí)間內(nèi)的態(tài)勢(shì)預(yù)測(cè)。注意，態(tài)勢(shì)感知最終達(dá)成的目標(biāo)是實(shí)現(xiàn)對(duì)未來(lái)的短期預(yù)測(cè)，是一個(gè)動(dòng)態(tài)、準(zhǔn)實(shí)時(shí)系統(tǒng)。 1.2?安全態(tài)勢(shì)感知 在上個(gè)世紀(jì)末90年代，態(tài)勢(shì)感知才被引入到信息技術(shù)安全領(lǐng)域，并首先用于對(duì)下一代***檢測(cè)系統(tǒng)的研究，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知（NetworkSituation Awareness），或者安全態(tài)勢(shì)感知（Security SituationAwareness）的概念。本文中，SA特指安全態(tài)勢(shì)感知。 目前，對(duì)于安全態(tài)勢(shì)感知尚無(wú)統(tǒng)一定義，以下給出幾個(gè)描述性定義： 定義1（來(lái)自維基百科）：態(tài)勢(shì)感知是指一定時(shí)間和空間內(nèi)環(huán)境因素的獲取，理解和對(duì)未來(lái)短期的預(yù)測(cè)。 定義 2：所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。 　　2?安全態(tài)勢(shì)感知模型 說(shuō)到態(tài)勢(shì)感知，就必須提到數(shù)據(jù)融合（DataFusion）。數(shù)據(jù)融合是指將來(lái)自多個(gè)信息源的數(shù)據(jù)收集起來(lái)，進(jìn)行關(guān)聯(lián)、組合，提升數(shù)據(jù)的有效性和精確度。可以看出，數(shù)據(jù)融合的研究與態(tài)勢(shì)感知在很多方面都是相似的。目前，大部分安全態(tài)勢(shì)感知的模型都是基于美國(guó)的軍事機(jī)構(gòu)JDL 給出的數(shù)據(jù)融合模型衍生出來(lái)的。如下圖所示，為我們展示了一個(gè)典型的安全態(tài)勢(shì)感知模型：

?

圖：一個(gè)典型的態(tài)勢(shì)感知模型 在這個(gè)基于人機(jī)交互的模型中，態(tài)勢(shì)感知的實(shí)現(xiàn)被分為了5個(gè)級(jí)別（階段），首先是對(duì)IT資源進(jìn)行要素信息采集，然后經(jīng)過(guò)不同級(jí)別的處理及其不斷反饋，最終通過(guò)態(tài)勢(shì)可視化實(shí)現(xiàn)人機(jī)交互。5個(gè)處理級(jí)別分為是：

數(shù)據(jù)預(yù)處理：可選的級(jí)別，對(duì)于部分不夠規(guī)整的數(shù)據(jù)進(jìn)行預(yù)處理，例如用戶分布式處理、雜質(zhì)過(guò)濾，等等。 事件提取：是指要素信息采集后的事件標(biāo)準(zhǔn)化、修訂，以及事件基本特征的擴(kuò)展。 態(tài)勢(shì)評(píng)估：包括關(guān)聯(lián)分析和態(tài)勢(shì)分析。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖，為網(wǎng)絡(luò)管理員提供輔助決策信息。 影響評(píng)估：它將當(dāng)前態(tài)勢(shì)映射到未來(lái)，對(duì)參與者設(shè)想或預(yù)測(cè)行為的影響進(jìn)行評(píng)估。 資源管理、過(guò)程控制與優(yōu)化：通過(guò)建立一定的優(yōu)化指標(biāo)，對(duì)整個(gè)融合過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控與評(píng)價(jià)，實(shí)現(xiàn)相關(guān)資源的最優(yōu)分配。 當(dāng)前，態(tài)勢(shì)感知領(lǐng)域還有一個(gè)發(fā)展方向是復(fù)雜事件處理（Complex EventProcessing，簡(jiǎn)稱CEP），主要應(yīng)用于金融、能源等行業(yè)的商業(yè)智能分析過(guò)程。基于CEP，學(xué)術(shù)界和產(chǎn)業(yè)界也提出了一些態(tài)勢(shì)感知的模型。我們以后會(huì)專門論述CEP在安全事件管理領(lǐng)域的運(yùn)用，本文不再討論。 ? 應(yīng)當(dāng)說(shuō)，到目前為止，安全態(tài)勢(shì)感知大體上處于學(xué)術(shù)界研究領(lǐng)域，核心的技術(shù)還有待于突破，包括數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、模式識(shí)別技術(shù)等，尤其是對(duì)態(tài)勢(shì)預(yù)測(cè)的研究尚處于起步階段，整體上距離產(chǎn)品化還有不少的距離。 但是，基于安全態(tài)勢(shì)感知理論，部分技術(shù)已經(jīng)可以指導(dǎo)現(xiàn)在的產(chǎn)品研發(fā)，并且一部分較成熟技術(shù)和模型已經(jīng)實(shí)現(xiàn)了產(chǎn)品化和商業(yè)化。 　　3?實(shí)例分析：安全管理系統(tǒng)的態(tài)勢(shì)感知模型 下圖展示了一個(gè)安全管理系統(tǒng)的態(tài)勢(shì)感知模型：

?

圖：態(tài)勢(shì)感知模型 整個(gè)模型分為以下幾個(gè)主要部分：

?

• 要素信息采集：在SOC2.0中，要素信息至少應(yīng)該包括IT資產(chǎn)信息、拓?fù)湫畔ⅰ⑷觞c(diǎn)信息、IT資源性能和運(yùn)行狀態(tài)信息、各種告警、警報(bào)、事件、日志，等等。
• 事件歸一化：對(duì)采集上來(lái)的各種要素信息進(jìn)行事件標(biāo)準(zhǔn)化、歸一化、并對(duì)原始事件的屬性進(jìn)行擴(kuò)展，例如增加地理位置信息，增加 CIA安全屬性，增加分類屬性，等等。在事件歸一化過(guò)程中最重要的就是統(tǒng)一事件的嚴(yán)重等級(jí)和事件的意圖及結(jié)果。事件歸一化為后續(xù)的事件分析提供了準(zhǔn)備。一方面，事件會(huì)進(jìn)入實(shí)時(shí)事件庫(kù)，供態(tài)勢(shì)評(píng)估使用，另一方面，事件會(huì)同時(shí)進(jìn)入歷史事件數(shù)據(jù)庫(kù)，進(jìn)行持久化存儲(chǔ)，為歷史數(shù)據(jù)挖掘、追蹤及分析服務(wù)。此外，歸一化后的事件可以直接可視化展示在用戶界面上。
• 事件預(yù)處理：也是對(duì)采集上來(lái)的各種要素信息進(jìn)行事件標(biāo)準(zhǔn)化和歸一化處理。事件預(yù)處理尤其是指采集具有專項(xiàng)信息采集和處理能力的分布式模塊。例如，某個(gè)預(yù)處理模塊通過(guò)網(wǎng)絡(luò)協(xié)議抓包的方式對(duì)數(shù)據(jù)庫(kù)訪問(wèn)操作進(jìn)行解析，并轉(zhuǎn)變?yōu)闃?biāo)準(zhǔn)化事件。事件預(yù)處理是可選的處理過(guò)程。
• 態(tài) 勢(shì)評(píng)估：包括關(guān)聯(lián)分析（Correlation Analysis）、態(tài)勢(shì)分析（Situation? Analysis）、態(tài)勢(shì)評(píng)價(jià)（Situation Evaluation），核心是事件關(guān)聯(lián)分析。關(guān)聯(lián)分析就是要使用采用數(shù)據(jù)融合（Data Fusion）技術(shù)對(duì)多源異構(gòu)數(shù)據(jù)從時(shí)間、空間、協(xié)議等多個(gè)方面進(jìn)行關(guān)聯(lián)和識(shí)別。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)評(píng)價(jià)報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖，借助態(tài)勢(shì)可視化為管理員提供輔助決策信息，同時(shí)為更高階段的業(yè)務(wù)評(píng)估提供輸入。
• 業(yè)務(wù)評(píng)估：包括業(yè)務(wù)風(fēng) 險(xiǎn)評(píng)估（Business Risk Assessment）和業(yè)務(wù)影響評(píng)估（Business Impact Assessment），還包括業(yè)務(wù)合規(guī)審計(jì)（BusinessComplianceAudit）。業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估主要采用面向業(yè)務(wù)的風(fēng)險(xiǎn)評(píng)估方法，通過(guò)業(yè)務(wù)的價(jià)值、弱點(diǎn)和威脅情況得到量的出業(yè)務(wù)風(fēng)險(xiǎn)數(shù)值；業(yè)務(wù)影響評(píng)估主要分析業(yè)務(wù)的實(shí)際流程，獲知業(yè)務(wù)中斷帶來(lái)的實(shí)際影響，從而找到業(yè)務(wù)對(duì)風(fēng)險(xiǎn)的承受程度。
• 預(yù)警與響應(yīng)：態(tài)勢(shì)評(píng)估和業(yè)務(wù)評(píng)估的結(jié)果都可以送入預(yù)警與響應(yīng)模塊，一方面借助態(tài)勢(shì)可視化進(jìn)行預(yù)警展示，另一方面，送入流程處理模塊進(jìn)行流程化響應(yīng)與安全風(fēng)險(xiǎn)運(yùn)維。
• 流程處理：主要是指按照運(yùn)維流程進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程。在網(wǎng)神SecFox安全管理體系中，該功能是由獨(dú)立的運(yùn)維管理系統(tǒng)（OperationManagement System）擔(dān)當(dāng)。
• 用戶接口（態(tài)勢(shì)可視化）：實(shí)現(xiàn)安全態(tài)勢(shì)的可視化、交互分析、追蹤、下鉆、統(tǒng)計(jì)、分布、趨勢(shì)，等等，是用戶與系統(tǒng)的交互接口。態(tài)勢(shì)感知系統(tǒng)的運(yùn)行需要用戶的主動(dòng)參與，而不是一個(gè)自治系統(tǒng)。
• 歷史數(shù)據(jù)分析：這部分實(shí)際上不屬于態(tài)勢(shì)感知的范疇。我們已經(jīng)提到，態(tài)勢(shì)感知是一個(gè)動(dòng)態(tài)準(zhǔn)實(shí)時(shí)系統(tǒng)，他偏重于對(duì)信息的實(shí)時(shí)分析和預(yù)測(cè)。

　　4?SOC2.0與安全態(tài)勢(shì)感知的關(guān)系 SOC2.0強(qiáng)調(diào)要利用安全態(tài)勢(shì)感知技術(shù)去進(jìn)行業(yè)務(wù)連續(xù)性管理和業(yè)務(wù)風(fēng)險(xiǎn)管理，包括利用數(shù)據(jù)融合、復(fù)雜事件處理技術(shù)去進(jìn)行業(yè)務(wù)影響評(píng)估，以及業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估。 而傳統(tǒng)的SOC1.0在這方面則有所欠缺。首先，SOC1.0采集的態(tài)勢(shì)要素信息不全面，尤其是缺少網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)，以及IT資源的可用性數(shù)據(jù)；其次，SOC1.0的風(fēng)險(xiǎn)評(píng)估過(guò)程沒(méi)有面向業(yè)務(wù)，僅僅針對(duì)資產(chǎn)，風(fēng)險(xiǎn)分析的結(jié)果無(wú)法指導(dǎo)客戶的業(yè)務(wù)運(yùn)營(yíng)保障；再次，SOC1.0沒(méi)有業(yè)務(wù)評(píng)估這個(gè)處理階段；最后，缺乏態(tài)勢(shì)可視化的手段，局限于統(tǒng)計(jì)、分布圖表，缺少對(duì)安全威脅事件的可視化展示與交互式分析。 在SOC2.0的理念中，安全態(tài)勢(shì)感知系統(tǒng)相當(dāng)于人體的神經(jīng)系統(tǒng)。單點(diǎn)防御設(shè)備——包括防火墻、***檢測(cè)、漏洞掃描系統(tǒng)，等等——相當(dāng)于神經(jīng)元，SOC2.0管理中心相當(dāng)于神經(jīng)中樞——大腦，而事件的處理過(guò)程就相當(dāng)于神經(jīng)傳導(dǎo)和處理過(guò)程。從這個(gè)角度來(lái)看，SOC2.0處理數(shù)據(jù)、將信息變成知識(shí)的過(guò)程與人腦的對(duì)外界信息的感知過(guò)程是類似的。 無(wú)論具體實(shí)現(xiàn)的技術(shù)和手段如何，SOC2.0的目標(biāo)就是要為用戶的IT資源及其業(yè)務(wù)系統(tǒng)穿上一件保護(hù)外套，部署一套全方位的安全保障體系（態(tài)勢(shì)感知網(wǎng)絡(luò)），如下圖所示：

　5?小結(jié)

通過(guò)對(duì)態(tài)勢(shì)感知模型的分析，可以發(fā)現(xiàn)，下一代安全管理平臺(tái)（SOC2.0）在信息處理過(guò)程中具有數(shù)據(jù)融合（DataFusion）的特點(diǎn)，因而天然可以作為態(tài)勢(shì)感知理論和技術(shù)的應(yīng)用載體。同時(shí)，態(tài)勢(shì)感知相關(guān)技術(shù)的發(fā)展和成熟有助于SOC2.0為用戶抽取出有價(jià)值的安全信息和安全知識(shí)。 最后，安全態(tài)勢(shì)感知技術(shù)的突破和應(yīng)用還為將來(lái)的安全管理平臺(tái)（SOC）作為網(wǎng)絡(luò)可生存性（NetworkSurvivability）的控制中樞提供了基礎(chǔ)支撐。 　　6 主要參考文獻(xiàn)

[1] Mica R. Endsley. Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors Journal.1995，37(1) :32-64.

[2] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, Communications of the ACM, April 2000/ Vol.43.No.4, pp. 99-105.

[3] White, F.E., A Model for Data Fusion, Proc. 1st National, Symposium on Sensor Fusion, 1988.

[4] Tim Bass, Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems, 1999 IRIS National Symposium on Sensor and Data Fusion, 24-27 May 1999.

[5] James Llinas, Christopher Bowman et al., Revisiting the JDL Data Fusion Model II, Proceedings of the Seventh International Conference on Information Fusion., 2004.

[6] 韋勇, 連一峰, 基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型, 計(jì)算機(jī)學(xué)報(bào), 2009.4, 32(4): 763-772.

? 【后記】對(duì)態(tài)勢(shì)感知（Situation Awareness）的研究始于03年，當(dāng)時(shí)更多的是研究性質(zhì)，為了寫(xiě)paper，做863（《多信息源智能化安全強(qiáng)審計(jì)系統(tǒng)》項(xiàng)目），后來(lái)，漸漸地將它的一些思想運(yùn)用到SOC中，發(fā)現(xiàn)還是不錯(cuò)的。SA這個(gè)詞比較形象地說(shuō)明了SOC要達(dá)到的一個(gè)目標(biāo)。

總結(jié)

以上是生活随笔為你收集整理的具备安全态势感知能力的安全管理平台的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。