1安全態(tài)勢感知概述

1.1態(tài)勢感知溯源

如果追根溯源，態(tài)勢感知（Situation Awareness）這個概念來自我國古代的《孫子兵法》。而現(xiàn)代意義上的態(tài)勢感知研究也來自于戰(zhàn)爭的需要，在二戰(zhàn)后美國空軍對提升飛行員空戰(zhàn)能力的人因工程學（Human Factor）研究過程中被提出來，至今仍然是軍事科學領(lǐng)域的重要研究課題。后來，態(tài)勢感知漸漸被信息技術(shù)（IT）領(lǐng)域所采用，屬于人工智能（Artificial Intelligence）范疇。
一般地，態(tài)勢感知的核心部分可以理解為一個漸進明晰的過程，借鑒人工智能領(lǐng)域的黑板系統(tǒng)（Blackboard System），可由下圖所示的三級模型來表示：

圖：態(tài)勢感知核心過程示意圖

它通過態(tài)勢要素獲取，獲得必要的數(shù)據(jù)，然后通過數(shù)據(jù)分析進行態(tài)勢理解，進而實現(xiàn)對未來短期時間內(nèi)的態(tài)勢預(yù)測。注意，態(tài)勢感知最終達成的目標是實現(xiàn)對未來的短期預(yù)測，是一個動態(tài)、準實時系統(tǒng)。

1.2 安全態(tài)勢感知

在上個世紀末90年代，態(tài)勢感知才被引入到信息技術(shù)安全領(lǐng)域，并首先用于對下一代入侵檢測系統(tǒng)的研究，出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知（Network Situation Awareness），或者安全態(tài)勢感知（Security Situation Awareness）的概念。本文中，SA特指安全態(tài)勢感知。

目前，對于安全態(tài)勢感知尚無統(tǒng)一定義，以下給出幾個描述性定義：

定義1（來自維基百科）：態(tài)勢感知是指一定時間和空間內(nèi)環(huán)境因素的獲取，理解和對未來短期的預(yù)測。

定義2：所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。網(wǎng)絡(luò)態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測最近的發(fā)展趨勢。

2 安全態(tài)勢感知模型

說到態(tài)勢感知，就必須提到數(shù)據(jù)融合（Data Fusion）。數(shù)據(jù)融合是指將來自多個信息源的數(shù)據(jù)收集起來，進行關(guān)聯(lián)、組合，提升數(shù)據(jù)的有效性和精確度?？梢钥闯?，數(shù)據(jù)融合的研究與態(tài)勢感知在很多方面都是相似的。目前，大部分安全態(tài)勢感知的模型都是基于美國的軍事機構(gòu)JDL給出的數(shù)據(jù)融合模型衍生出來的。如下圖所示，為我們展示了一個典型的安全態(tài)勢感知模型：

圖：一個典型的態(tài)勢感知模型

在這個基于人機交互的模型中，態(tài)勢感知的實現(xiàn)被分為了5個級別（階段），首先是對IT資源進行要素信息采集，然后經(jīng)過不同級別的處理及其不斷反饋，最終通過態(tài)勢可視化實現(xiàn)人機交互。5個處理級別分為是：

1) 數(shù)據(jù)預(yù)處理：可選的級別，對于部分不夠規(guī)整的數(shù)據(jù)進行預(yù)處理，例如用戶分布式處理、雜質(zhì)過濾，等等。

2) 事件提?。菏侵敢匦畔⒉杉蟮氖录藴驶?、修訂，以及事件基本特征的擴展。

3) 態(tài)勢評估：包括關(guān)聯(lián)分析和態(tài)勢分析。態(tài)勢評估的結(jié)果是形成態(tài)勢分析報告和網(wǎng)絡(luò)綜合態(tài)勢圖，為網(wǎng)絡(luò)管理員提供輔助決策信息。

4) 影響評估：它將當前態(tài)勢映射到未來，對參與者設(shè)想或預(yù)測行為的影響進行評估。

5) 資源管理、過程控制與優(yōu)化：通過建立一定的優(yōu)化指標，對整個融合過程進行實時監(jiān)控與評價，實現(xiàn)相關(guān)資源的最優(yōu)分配。

當前，態(tài)勢感知領(lǐng)域還有一個發(fā)展方向是復(fù)雜事件處理（Complex Event Processing，簡稱CEP），主要應(yīng)用于金融、能源等行業(yè)的商業(yè)智能分析過程。基于CEP，學術(shù)界和產(chǎn)業(yè)界也提出了一些態(tài)勢感知的模型。我們以后會專門論述CEP在安全事件管理領(lǐng)域的運用，本文不再討論。

應(yīng)當說，到目前為止，安全態(tài)勢感知大體上處于學術(shù)界研究領(lǐng)域，核心的技術(shù)還有待于突破，包括數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、模式識別技術(shù)等，尤其是對態(tài)勢預(yù)測的研究尚處于起步階段，整體上距離產(chǎn)品化還有不少的距離。

但是，基于安全態(tài)勢感知理論，部分技術(shù)已經(jīng)可以指導(dǎo)現(xiàn)在的產(chǎn)品研發(fā)，并且一部分較成熟技術(shù)和模型已經(jīng)實現(xiàn)了產(chǎn)品化和商業(yè)化。

3 實例分析：網(wǎng)御神州SecFox安全管理系統(tǒng)的態(tài)勢感知模型

網(wǎng)御神州是國內(nèi)首家將態(tài)勢感知相關(guān)技術(shù)應(yīng)用于成熟產(chǎn)品的廠家，網(wǎng)神SecFox安全管理系統(tǒng)是國內(nèi)首個具有態(tài)勢感知能力的安全管理平臺（SOC）。下圖展示了網(wǎng)神SecFox安全管理系統(tǒng)的態(tài)勢感知模型：

圖：網(wǎng)神SecFox安全管理系統(tǒng)的態(tài)勢感知模型

整個模型分為以下幾個主要部分：

1) 要素信息采集：在SOC2.0中，要素信息至少應(yīng)該包括IT資產(chǎn)信息、拓撲信息、弱點信息、IT資源性能和運行狀態(tài)信息、各種告警、警報、事件、日志，等等。

2) 事件歸一化：對采集上來的各種要素信息進行事件標準化、歸一化、并對原始事件的屬性進行擴展，例如增加地理位置信息，增加CIA安全屬性，增加分類屬性，等等。在事件歸一化過程中最重要的就是統(tǒng)一事件的嚴重等級和事件的意圖及結(jié)果。事件歸一化為后續(xù)的事件分析提供了準備。一方面，事件會進入實時事件庫，供態(tài)勢評估使用，另一方面，事件會同時進入歷史事件數(shù)據(jù)庫，進行持久化存儲，為歷史數(shù)據(jù)挖掘、追蹤及分析服務(wù)。此外，歸一化后的事件可以直接可視化展示在用戶界面上。

3) 事件預(yù)處理：也是對采集上來的各種要素信息進行事件標準化和歸一化處理。事件預(yù)處理尤其是指采集具有專項信息采集和處理能力的分布式模塊。例如，某個預(yù)處理模塊通過網(wǎng)絡(luò)協(xié)議抓包的方式對數(shù)據(jù)庫訪問操作進行解析，并轉(zhuǎn)變?yōu)闃藴驶录?。事件預(yù)處理是可選的處理過程。

4) 態(tài)勢評估：包括關(guān)聯(lián)分析（Correlation Analysis）、態(tài)勢分析（Situation Analysis）、態(tài)勢評價（Situation Evaluation），核心是事件關(guān)聯(lián)分析。關(guān)聯(lián)分析就是要使用采用數(shù)據(jù)融合（Data Fusion）技術(shù)對多源異構(gòu)數(shù)據(jù)從時間、空間、協(xié)議等多個方面進行關(guān)聯(lián)和識別。態(tài)勢評估的結(jié)果是形成態(tài)勢評價報告和網(wǎng)絡(luò)綜合態(tài)勢圖，借助態(tài)勢可視化為管理員提供輔助決策信息，同時為更高階段的業(yè)務(wù)評估提供輸入。

5) 業(yè)務(wù)評估：包括業(yè)務(wù)風險評估（Business Risk Assessment）和業(yè)務(wù)影響評估（Business Impact Assessment），還包括業(yè)務(wù)合規(guī)審計（Business Compliance Audit）。業(yè)務(wù)風險評估主要采用面向業(yè)務(wù)的風險評估方法，通過業(yè)務(wù)的價值、弱點和威脅情況得到量的出業(yè)務(wù)風險數(shù)值；業(yè)務(wù)影響評估主要分析業(yè)務(wù)的實際流程，獲知業(yè)務(wù)中斷帶來的實際影響，從而找到業(yè)務(wù)對風險的承受程度。

6) 預(yù)警與響應(yīng)：態(tài)勢評估和業(yè)務(wù)評估的結(jié)果都可以送入預(yù)警與響應(yīng)模塊，一方面借助態(tài)勢可視化進行預(yù)警展示，另一方面，送入流程處理模塊進行流程化響應(yīng)與安全風險運維。

7) 流程處理：主要是指按照運維流程進行風險管理的過程。在網(wǎng)神SecFox安全管理體系中，該功能是由獨立的運維管理系統(tǒng)（Operation Management System）擔當。

8) 用戶接口（態(tài)勢可視化）：實現(xiàn)安全態(tài)勢的可視化、交互分析、追蹤、下鉆、統(tǒng)計、分布、趨勢，等等，是用戶與系統(tǒng)的交互接口。態(tài)勢感知系統(tǒng)的運行需要用戶的主動參與，而不是一個自治系統(tǒng)。

9) 歷史數(shù)據(jù)分析：這部分實際上不屬于態(tài)勢感知的范疇。我們已經(jīng)提到，態(tài)勢感知是一個動態(tài)準實時系統(tǒng)，他偏重于對信息的實時分析和預(yù)測。在SecFox安全管理系統(tǒng)中，除了具備態(tài)勢感知能力，還具備歷史數(shù)據(jù)挖掘能力。

SecFox安全管理系統(tǒng)作為上述安全態(tài)勢感知系統(tǒng)模型的一個實例，雖然不是很完善，但是已經(jīng)實現(xiàn)了其中一些關(guān)鍵技術(shù)，包括總體架構(gòu)已經(jīng)搭建起來、并實現(xiàn)了基于流數(shù)據(jù)的實時關(guān)聯(lián)分析技術(shù)、高性能事件處理技術(shù)、海量事件分析技術(shù)、信息可視化技術(shù)，等等，詳見http://www.legendsec.com/newsec.php?up=3&cid=99。網(wǎng)御神州在態(tài)勢感知的Level0～2實現(xiàn)了技術(shù)突破，并產(chǎn)品化，已經(jīng)在多個實際客戶那里得到了驗證。

未來，網(wǎng)御神州將進一步研究數(shù)據(jù)融合技術(shù)，使得態(tài)勢感知更加準確、發(fā)現(xiàn)時間更短。進一步研究數(shù)據(jù)挖掘技術(shù)，包括模式識別、聚類分析，等等；進一步研究安全態(tài)勢可視化技術(shù)，使得可視化展示能力和效果更好。未來，我們還將逐步探索態(tài)勢預(yù)測的技術(shù)領(lǐng)域。這些都首先需要在技術(shù)上取得突破，然后逐步應(yīng)用在產(chǎn)品之中。

4 SOC2.0與安全態(tài)勢感知的關(guān)系

SOC2.0強調(diào)要利用安全態(tài)勢感知技術(shù)去進行業(yè)務(wù)連續(xù)性管理和業(yè)務(wù)風險管理，包括利用數(shù)據(jù)融合、復(fù)雜事件處理技術(shù)去進行業(yè)務(wù)影響評估，以及業(yè)務(wù)安全風險評估。

而傳統(tǒng)的SOC1.0在這方面則有所欠缺。首先，SOC1.0采集的態(tài)勢要素信息不全面，尤其是缺少網(wǎng)絡(luò)拓撲數(shù)據(jù)，以及IT資源的可用性數(shù)據(jù)；其次，SOC1.0的風險評估過程沒有面向業(yè)務(wù)，僅僅針對資產(chǎn)，風險分析的結(jié)果無法指導(dǎo)客戶的業(yè)務(wù)運營保障；再次，SOC1.0沒有業(yè)務(wù)評估這個處理階段；最后，缺乏態(tài)勢可視化的手段，局限于統(tǒng)計、分布圖表，缺少對安全威脅事件的可視化展示與交互式分析。

在SOC2.0的理念中，安全態(tài)勢感知系統(tǒng)相當于人體的神經(jīng)系統(tǒng)。單點防御設(shè)備--包括防火墻、入侵檢測、漏洞掃描系統(tǒng)，等等--相當于神經(jīng)元，SOC2.0管理中心相當于神經(jīng)中樞--大腦，而事件的處理過程就相當于神經(jīng)傳導(dǎo)和處理過程。從這個角度來看，SOC2.0處理數(shù)據(jù)、將信息變成知識的過程與人腦的對外界信息的感知過程是類似的。

無論具體實現(xiàn)的技術(shù)和手段如何，SOC2.0的目標就是要為用戶的IT資源及其業(yè)務(wù)系統(tǒng)穿上一件保護外套，部署一套全方位的安全保障體系（態(tài)勢感知網(wǎng)絡(luò)），如下圖所示：

圖：SOC2.0的安全保障目標

5小結(jié)

通過對網(wǎng)御神州SecFox安全管理系統(tǒng)的態(tài)勢感知模型的分析，可以發(fā)現(xiàn)，下一代安全管理平臺（SOC2.0）在信息處理過程中具有數(shù)據(jù)融合（Data Fusion）的特點，因而天然可以作為態(tài)勢感知理論和技術(shù)的應(yīng)用載體。同時，態(tài)勢感知相關(guān)技術(shù)的發(fā)展和成熟有助于SOC2.0為用戶抽取出有價值的安全信息和安全知識。

最后，安全態(tài)勢感知技術(shù)的突破和應(yīng)用還為將來的安全管理平臺（SOC）作為網(wǎng)絡(luò)可生存性（Network Survivability）的控制中樞提供了基礎(chǔ)支撐。

6關(guān)于網(wǎng)御神州的安全管理平臺

網(wǎng)御神州安全管理團隊根據(jù)長期以來在安全管理領(lǐng)域的深入研究，結(jié)合來自客戶的需求與市場的現(xiàn)狀，提出了具有完全自主知識產(chǎn)權(quán)的、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計產(chǎn)品理念，尤其強調(diào)網(wǎng)絡(luò)管理、安全管理與運維管理的一體化，為政府、軍隊、公安、稅務(wù)、電力、保險、電信、金融、交通、醫(yī)療、制造、廣電等各個領(lǐng)域的客戶提供全面的安全運營保障平臺。網(wǎng)御神州建立了專門的安全管理研發(fā)和實施隊伍--SOC事業(yè)部，在國內(nèi)市場突飛猛進，取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產(chǎn)品市場研究年度報告》中網(wǎng)御神州連續(xù)兩年位居安全管理（SOC）市場第一名，成為了中國安全管理市場的領(lǐng)導(dǎo)廠商。