1 安全态势感知概述
1.1 态势感知溯源
如果追根溯源,态势感知(SituationAwareness)这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要,在二战后美国空军对提升飞行员空战能力的人因工程学(HumanFactor)研究过程中被提出来,至今仍然是军事科学领域的重要研究课题。后来,态势感知渐渐被信息技术(IT)领域所采用,属于人工智能(Artificial Intelligence)范畴。
一般地,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(BlackboardSystem),可由下图所示的三级模型来表示:
图:态势感知核心过程示意图
当前,态势感知领域还有一个发展方向是复杂事件处理(Complex EventProcessing,简称CEP),主要应用于金融、能源等行业的商业智能分析过程。基于CEP,学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用,本文不再讨论。
应当说,到目前为止,安全态势感知大体上处于学术界研究领域,核心的技术还有待于突破,包括数据融合技术、数据挖掘技术、模式识别技术等,尤其是对态势预测的研究尚处于起步阶段,整体上距离产品化还有不少的距离。
但是,基于安全态势感知理论,部分技术已经可以指导现在的产品研发,并且一部分较成熟技术和模型已经实现了产品化和商业化。 3 实例分析:安全管理系统的态势感知模型 下图展示了一个安全管理系统的态势感知模型: |
-
要素信息采集:在SOC2.0中,要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志,等等。
-
事件归一化:对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展,例如增加地理位置信息,增加 CIA安全属性,增加分类属性,等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面,事件会进入实时事件库,供态势评估使用,另一方面,事件会同时进入历史事件数据库,进行持久化存储,为历史数据挖掘、追踪及分析服务。此外,归一化后的事件可以直接可视化展示在用户界面上。
-
事件预处理:也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如,某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析,并转变为标准化事件。事件预处理是可选的处理过程。
-
态 势评估:包括关联分析(Correlation Analysis)、态势分析(Situation Analysis)、态势评价(Situation Evaluation),核心是事件关联分析。关联分析就是要使用采用数据融合(Data Fusion)技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图,借助态势可视化为管理员提供辅助决策信息,同时为更高阶段的业务评估提供输入。
-
业务评估:包括业务风 险评估(Business Risk Assessment)和业务影响评估(Business Impact Assessment),还包括业务合规审计(BusinessComplianceAudit)。业务风险评估主要采用面向业务的风险评估方法,通过业务的价值、弱点和威胁情况得到量的出业务风险数值;业务影响评估主要分析业务的实际流程,获知业务中断带来的实际影响,从而找到业务对风险的承受程度。
-
预警与响应:态势评估和业务评估的结果都可以送入预警与响应模块,一方面借助态势可视化进行预警展示,另一方面,送入流程处理模块进行流程化响应与安全风险运维。
-
流程处理:主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中,该功能是由独立的运维管理系统(OperationManagement System)担当。
-
用户接口(态势可视化):实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势,等等,是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与,而不是一个自治系统。
-
历史数据分析:这部分实际上不属于态势感知的范畴。我们已经提到,态势感知是一个动态准实时系统,他偏重于对信息的实时分析和预测。
5 小结
[1] Mica R. Endsley. Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors Journal.1995,37(1) :32-64.
[2] Tim Bass, Intrusion Detection Systems and Multisensor Data Fusion, Communications of the ACM, April 2000/ Vol.43.No.4, pp. 99-105.
[3] White, F.E., A Model for Data Fusion, Proc. 1st National, Symposium on Sensor Fusion, 1988.
[4] Tim Bass, Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems, 1999 IRIS National Symposium on Sensor and Data Fusion, 24-27 May 1999.
[5] James Llinas, Christopher Bowman et al., Revisiting the JDL Data Fusion Model II, Proceedings of the Seventh International Conference on Information Fusion., 2004.
[6] 韦勇, 连一峰, 基于日志审计与性能修正算法的网络安全态势评估模型, 计算机学报, 2009.4, 32(4): 763-772.