日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
深入SOC2.0系列4:具備安全態(tài)勢(shì)感知能力的安全管理平臺(tái)

1安全態(tài)勢(shì)感知概述

1.1態(tài)勢(shì)感知溯源

如果追根溯源,態(tài)勢(shì)感知(Situation Awareness)這個(gè)概念來(lái)自我國(guó)古代的《孫子兵法》。而現(xiàn)代意義上的態(tài)勢(shì)感知研究也來(lái)自于戰(zhàn)爭(zhēng)的需要,在二戰(zhàn)后美國(guó)空軍對(duì)提升飛行員空戰(zhàn)能力的人因工程學(xué)(Human Factor)研究過(guò)程中被提出來(lái),至今仍然是軍事科學(xué)領(lǐng)域的重要研究課題。后來(lái),態(tài)勢(shì)感知漸漸被信息技術(shù)(IT)領(lǐng)域所采用,屬于人工智能(Artificial Intelligence)范疇。
一般地,態(tài)勢(shì)感知的核心部分可以理解為一個(gè)漸進(jìn)明晰的過(guò)程,借鑒人工智能領(lǐng)域的黑板系統(tǒng)(Blackboard System),可由下圖所示的三級(jí)模型來(lái)表示:

圖:態(tài)勢(shì)感知核心過(guò)程示意圖

它通過(guò)態(tài)勢(shì)要素獲取,獲得必要的數(shù)據(jù),然后通過(guò)數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解,進(jìn)而實(shí)現(xiàn)對(duì)未來(lái)短期時(shí)間內(nèi)的態(tài)勢(shì)預(yù)測(cè)。注意,態(tài)勢(shì)感知最終達(dá)成的目標(biāo)是實(shí)現(xiàn)對(duì)未來(lái)的短期預(yù)測(cè),是一個(gè)動(dòng)態(tài)、準(zhǔn)實(shí)時(shí)系統(tǒng)。

1.2 安全態(tài)勢(shì)感知

在上個(gè)世紀(jì)末90年代,態(tài)勢(shì)感知才被引入到信息技術(shù)安全領(lǐng)域,并首先用于對(duì)下一代入侵檢測(cè)系統(tǒng)的研究,出現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Situation Awareness),或者安全態(tài)勢(shì)感知(Security Situation Awareness)的概念。本文中,SA特指安全態(tài)勢(shì)感知。

目前,對(duì)于安全態(tài)勢(shì)感知尚無(wú)統(tǒng)一定義,以下給出幾個(gè)描述性定義:

定義1(來(lái)自維基百科):態(tài)勢(shì)感知是指一定時(shí)間和空間內(nèi)環(huán)境因素的獲取,理解和對(duì)未來(lái)短期的預(yù)測(cè)。

定義2:所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶(hù)行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)最近的發(fā)展趨勢(shì)。

2 安全態(tài)勢(shì)感知模型

說(shuō)到態(tài)勢(shì)感知,就必須提到數(shù)據(jù)融合(Data Fusion)。數(shù)據(jù)融合是指將來(lái)自多個(gè)信息源的數(shù)據(jù)收集起來(lái),進(jìn)行關(guān)聯(lián)、組合,提升數(shù)據(jù)的有效性和精確度。可以看出,數(shù)據(jù)融合的研究與態(tài)勢(shì)感知在很多方面都是相似的。目前,大部分安全態(tài)勢(shì)感知的模型都是基于美國(guó)的軍事機(jī)構(gòu)JDL給出的數(shù)據(jù)融合模型衍生出來(lái)的。如下圖所示,為我們展示了一個(gè)典型的安全態(tài)勢(shì)感知模型:

圖:一個(gè)典型的態(tài)勢(shì)感知模型

在這個(gè)基于人機(jī)交互的模型中,態(tài)勢(shì)感知的實(shí)現(xiàn)被分為了5個(gè)級(jí)別(階段),首先是對(duì)IT資源進(jìn)行要素信息采集,然后經(jīng)過(guò)不同級(jí)別的處理及其不斷反饋,最終通過(guò)態(tài)勢(shì)可視化實(shí)現(xiàn)人機(jī)交互。5個(gè)處理級(jí)別分為是:

1) 數(shù)據(jù)預(yù)處理:可選的級(jí)別,對(duì)于部分不夠規(guī)整的數(shù)據(jù)進(jìn)行預(yù)處理,例如用戶(hù)分布式處理、雜質(zhì)過(guò)濾,等等。

2) 事件提取:是指要素信息采集后的事件標(biāo)準(zhǔn)化、修訂,以及事件基本特征的擴(kuò)展。

3) 態(tài)勢(shì)評(píng)估:包括關(guān)聯(lián)分析和態(tài)勢(shì)分析。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)分析報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖,為網(wǎng)絡(luò)管理員提供輔助決策信息。

4) 影響評(píng)估:它將當(dāng)前態(tài)勢(shì)映射到未來(lái),對(duì)參與者設(shè)想或預(yù)測(cè)行為的影響進(jìn)行評(píng)估。

5) 資源管理、過(guò)程控制與優(yōu)化:通過(guò)建立一定的優(yōu)化指標(biāo),對(duì)整個(gè)融合過(guò)程進(jìn)行實(shí)時(shí)監(jiān)控與評(píng)價(jià),實(shí)現(xiàn)相關(guān)資源的最優(yōu)分配。

當(dāng)前,態(tài)勢(shì)感知領(lǐng)域還有一個(gè)發(fā)展方向是復(fù)雜事件處理(Complex Event Processing,簡(jiǎn)稱(chēng)CEP),主要應(yīng)用于金融、能源等行業(yè)的商業(yè)智能分析過(guò)程。基于CEP,學(xué)術(shù)界和產(chǎn)業(yè)界也提出了一些態(tài)勢(shì)感知的模型。我們以后會(huì)專(zhuān)門(mén)論述CEP在安全事件管理領(lǐng)域的運(yùn)用,本文不再討論。

應(yīng)當(dāng)說(shuō),到目前為止,安全態(tài)勢(shì)感知大體上處于學(xué)術(shù)界研究領(lǐng)域,核心的技術(shù)還有待于突破,包括數(shù)據(jù)融合技術(shù)、數(shù)據(jù)挖掘技術(shù)、模式識(shí)別技術(shù)等,尤其是對(duì)態(tài)勢(shì)預(yù)測(cè)的研究尚處于起步階段,整體上距離產(chǎn)品化還有不少的距離。

但是,基于安全態(tài)勢(shì)感知理論,部分技術(shù)已經(jīng)可以指導(dǎo)現(xiàn)在的產(chǎn)品研發(fā),并且一部分較成熟技術(shù)和模型已經(jīng)實(shí)現(xiàn)了產(chǎn)品化和商業(yè)化。

3 實(shí)例分析:網(wǎng)御神州SecFox安全管理系統(tǒng)的態(tài)勢(shì)感知模型

網(wǎng)御神州是國(guó)內(nèi)首家將態(tài)勢(shì)感知相關(guān)技術(shù)應(yīng)用于成熟產(chǎn)品的廠(chǎng)家,網(wǎng)神SecFox安全管理系統(tǒng)是國(guó)內(nèi)首個(gè)具有態(tài)勢(shì)感知能力的安全管理平臺(tái)(SOC)。下圖展示了網(wǎng)神SecFox安全管理系統(tǒng)的態(tài)勢(shì)感知模型:

圖:網(wǎng)神SecFox安全管理系統(tǒng)的態(tài)勢(shì)感知模型

整個(gè)模型分為以下幾個(gè)主要部分:

1) 要素信息采集:在SOC2.0中,要素信息至少應(yīng)該包括IT資產(chǎn)信息、拓?fù)湫畔?、弱點(diǎn)信息、IT資源性能和運(yùn)行狀態(tài)信息、各種告警、警報(bào)、事件、日志,等等。

2) 事件歸一化:對(duì)采集上來(lái)的各種要素信息進(jìn)行事件標(biāo)準(zhǔn)化、歸一化、并對(duì)原始事件的屬性進(jìn)行擴(kuò)展,例如增加地理位置信息,增加CIA安全屬性,增加分類(lèi)屬性,等等。在事件歸一化過(guò)程中最重要的就是統(tǒng)一事件的嚴(yán)重等級(jí)和事件的意圖及結(jié)果。事件歸一化為后續(xù)的事件分析提供了準(zhǔn)備。一方面,事件會(huì)進(jìn)入實(shí)時(shí)事件庫(kù),供態(tài)勢(shì)評(píng)估使用,另一方面,事件會(huì)同時(shí)進(jìn)入歷史事件數(shù)據(jù)庫(kù),進(jìn)行持久化存儲(chǔ),為歷史數(shù)據(jù)挖掘、追蹤及分析服務(wù)。此外,歸一化后的事件可以直接可視化展示在用戶(hù)界面上。

3) 事件預(yù)處理:也是對(duì)采集上來(lái)的各種要素信息進(jìn)行事件標(biāo)準(zhǔn)化和歸一化處理。事件預(yù)處理尤其是指采集具有專(zhuān)項(xiàng)信息采集和處理能力的分布式模塊。例如,某個(gè)預(yù)處理模塊通過(guò)網(wǎng)絡(luò)協(xié)議抓包的方式對(duì)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)操作進(jìn)行解析,并轉(zhuǎn)變?yōu)闃?biāo)準(zhǔn)化事件。事件預(yù)處理是可選的處理過(guò)程。

4) 態(tài)勢(shì)評(píng)估:包括關(guān)聯(lián)分析(Correlation Analysis)、態(tài)勢(shì)分析(Situation Analysis)、態(tài)勢(shì)評(píng)價(jià)(Situation Evaluation),核心是事件關(guān)聯(lián)分析。關(guān)聯(lián)分析就是要使用采用數(shù)據(jù)融合(Data Fusion)技術(shù)對(duì)多源異構(gòu)數(shù)據(jù)從時(shí)間、空間、協(xié)議等多個(gè)方面進(jìn)行關(guān)聯(lián)和識(shí)別。態(tài)勢(shì)評(píng)估的結(jié)果是形成態(tài)勢(shì)評(píng)價(jià)報(bào)告和網(wǎng)絡(luò)綜合態(tài)勢(shì)圖,借助態(tài)勢(shì)可視化為管理員提供輔助決策信息,同時(shí)為更高階段的業(yè)務(wù)評(píng)估提供輸入。

5) 業(yè)務(wù)評(píng)估:包括業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估(Business Risk Assessment)和業(yè)務(wù)影響評(píng)估(Business Impact Assessment),還包括業(yè)務(wù)合規(guī)審計(jì)(Business Compliance Audit)。業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估主要采用面向業(yè)務(wù)的風(fēng)險(xiǎn)評(píng)估方法,通過(guò)業(yè)務(wù)的價(jià)值、弱點(diǎn)和威脅情況得到量的出業(yè)務(wù)風(fēng)險(xiǎn)數(shù)值;業(yè)務(wù)影響評(píng)估主要分析業(yè)務(wù)的實(shí)際流程,獲知業(yè)務(wù)中斷帶來(lái)的實(shí)際影響,從而找到業(yè)務(wù)對(duì)風(fēng)險(xiǎn)的承受程度。

6) 預(yù)警與響應(yīng):態(tài)勢(shì)評(píng)估和業(yè)務(wù)評(píng)估的結(jié)果都可以送入預(yù)警與響應(yīng)模塊,一方面借助態(tài)勢(shì)可視化進(jìn)行預(yù)警展示,另一方面,送入流程處理模塊進(jìn)行流程化響應(yīng)與安全風(fēng)險(xiǎn)運(yùn)維。

7) 流程處理:主要是指按照運(yùn)維流程進(jìn)行風(fēng)險(xiǎn)管理的過(guò)程。在網(wǎng)神SecFox安全管理體系中,該功能是由獨(dú)立的運(yùn)維管理系統(tǒng)(Operation Management System)擔(dān)當(dāng)。

8) 用戶(hù)接口(態(tài)勢(shì)可視化):實(shí)現(xiàn)安全態(tài)勢(shì)的可視化、交互分析、追蹤、下鉆、統(tǒng)計(jì)、分布、趨勢(shì),等等,是用戶(hù)與系統(tǒng)的交互接口。態(tài)勢(shì)感知系統(tǒng)的運(yùn)行需要用戶(hù)的主動(dòng)參與,而不是一個(gè)自治系統(tǒng)。

9) 歷史數(shù)據(jù)分析:這部分實(shí)際上不屬于態(tài)勢(shì)感知的范疇。我們已經(jīng)提到,態(tài)勢(shì)感知是一個(gè)動(dòng)態(tài)準(zhǔn)實(shí)時(shí)系統(tǒng),他偏重于對(duì)信息的實(shí)時(shí)分析和預(yù)測(cè)。在SecFox安全管理系統(tǒng)中,除了具備態(tài)勢(shì)感知能力,還具備歷史數(shù)據(jù)挖掘能力。

SecFox安全管理系統(tǒng)作為上述安全態(tài)勢(shì)感知系統(tǒng)模型的一個(gè)實(shí)例,雖然不是很完善,但是已經(jīng)實(shí)現(xiàn)了其中一些關(guān)鍵技術(shù),包括總體架構(gòu)已經(jīng)搭建起來(lái)、并實(shí)現(xiàn)了基于流數(shù)據(jù)的實(shí)時(shí)關(guān)聯(lián)分析技術(shù)、高性能事件處理技術(shù)、海量事件分析技術(shù)、信息可視化技術(shù),等等,詳見(jiàn)http://www.legendsec.com/newsec.php?up=3&cid=99。網(wǎng)御神州在態(tài)勢(shì)感知的Level0~2實(shí)現(xiàn)了技術(shù)突破,并產(chǎn)品化,已經(jīng)在多個(gè)實(shí)際客戶(hù)那里得到了驗(yàn)證。

未來(lái),網(wǎng)御神州將進(jìn)一步研究數(shù)據(jù)融合技術(shù),使得態(tài)勢(shì)感知更加準(zhǔn)確、發(fā)現(xiàn)時(shí)間更短。進(jìn)一步研究數(shù)據(jù)挖掘技術(shù),包括模式識(shí)別、聚類(lèi)分析,等等;進(jìn)一步研究安全態(tài)勢(shì)可視化技術(shù),使得可視化展示能力和效果更好。未來(lái),我們還將逐步探索態(tài)勢(shì)預(yù)測(cè)的技術(shù)領(lǐng)域。這些都首先需要在技術(shù)上取得突破,然后逐步應(yīng)用在產(chǎn)品之中。

4 SOC2.0與安全態(tài)勢(shì)感知的關(guān)系

SOC2.0強(qiáng)調(diào)要利用安全態(tài)勢(shì)感知技術(shù)去進(jìn)行業(yè)務(wù)連續(xù)性管理和業(yè)務(wù)風(fēng)險(xiǎn)管理,包括利用數(shù)據(jù)融合、復(fù)雜事件處理技術(shù)去進(jìn)行業(yè)務(wù)影響評(píng)估,以及業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估。

而傳統(tǒng)的SOC1.0在這方面則有所欠缺。首先,SOC1.0采集的態(tài)勢(shì)要素信息不全面,尤其是缺少網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù),以及IT資源的可用性數(shù)據(jù);其次,SOC1.0的風(fēng)險(xiǎn)評(píng)估過(guò)程沒(méi)有面向業(yè)務(wù),僅僅針對(duì)資產(chǎn),風(fēng)險(xiǎn)分析的結(jié)果無(wú)法指導(dǎo)客戶(hù)的業(yè)務(wù)運(yùn)營(yíng)保障;再次,SOC1.0沒(méi)有業(yè)務(wù)評(píng)估這個(gè)處理階段;最后,缺乏態(tài)勢(shì)可視化的手段,局限于統(tǒng)計(jì)、分布圖表,缺少對(duì)安全威脅事件的可視化展示與交互式分析。

在SOC2.0的理念中,安全態(tài)勢(shì)感知系統(tǒng)相當(dāng)于人體的神經(jīng)系統(tǒng)。單點(diǎn)防御設(shè)備--包括防火墻、入侵檢測(cè)、漏洞掃描系統(tǒng),等等--相當(dāng)于神經(jīng)元,SOC2.0管理中心相當(dāng)于神經(jīng)中樞--大腦,而事件的處理過(guò)程就相當(dāng)于神經(jīng)傳導(dǎo)和處理過(guò)程。從這個(gè)角度來(lái)看,SOC2.0處理數(shù)據(jù)、將信息變成知識(shí)的過(guò)程與人腦的對(duì)外界信息的感知過(guò)程是類(lèi)似的。

無(wú)論具體實(shí)現(xiàn)的技術(shù)和手段如何,SOC2.0的目標(biāo)就是要為用戶(hù)的IT資源及其業(yè)務(wù)系統(tǒng)穿上一件保護(hù)外套,部署一套全方位的安全保障體系(態(tài)勢(shì)感知網(wǎng)絡(luò)),如下圖所示:

圖:SOC2.0的安全保障目標(biāo)

5小結(jié)

通過(guò)對(duì)網(wǎng)御神州SecFox安全管理系統(tǒng)的態(tài)勢(shì)感知模型的分析,可以發(fā)現(xiàn),下一代安全管理平臺(tái)(SOC2.0)在信息處理過(guò)程中具有數(shù)據(jù)融合(Data Fusion)的特點(diǎn),因而天然可以作為態(tài)勢(shì)感知理論和技術(shù)的應(yīng)用載體。同時(shí),態(tài)勢(shì)感知相關(guān)技術(shù)的發(fā)展和成熟有助于SOC2.0為用戶(hù)抽取出有價(jià)值的安全信息和安全知識(shí)。

最后,安全態(tài)勢(shì)感知技術(shù)的突破和應(yīng)用還為將來(lái)的安全管理平臺(tái)(SOC)作為網(wǎng)絡(luò)可生存性(Network Survivability)的控制中樞提供了基礎(chǔ)支撐。

6關(guān)于網(wǎng)御神州的安全管理平臺(tái)

網(wǎng)御神州安全管理團(tuán)隊(duì)根據(jù)長(zhǎng)期以來(lái)在安全管理領(lǐng)域的深入研究,結(jié)合來(lái)自客戶(hù)的需求與市場(chǎng)的現(xiàn)狀,提出了具有完全自主知識(shí)產(chǎn)權(quán)的、面向業(yè)務(wù)的網(wǎng)神SecFox安全管理與審計(jì)產(chǎn)品理念,尤其強(qiáng)調(diào)網(wǎng)絡(luò)管理、安全管理與運(yùn)維管理的一體化,為政府、軍隊(duì)、公安、稅務(wù)、電力、保險(xiǎn)、電信、金融、交通、醫(yī)療、制造、廣電等各個(gè)領(lǐng)域的客戶(hù)提供全面的安全運(yùn)營(yíng)保障平臺(tái)。網(wǎng)御神州建立了專(zhuān)門(mén)的安全管理研發(fā)和實(shí)施隊(duì)伍--SOC事業(yè)部,在國(guó)內(nèi)市場(chǎng)突飛猛進(jìn),取得了令人矚目的市場(chǎng)成就。在CCID2008年和2009年《中國(guó)信息安全產(chǎn)品市場(chǎng)研究年度報(bào)告》中網(wǎng)御神州連續(xù)兩年位居安全管理(SOC)市場(chǎng)第一名,成為了中國(guó)安全管理市場(chǎng)的領(lǐng)導(dǎo)廠(chǎng)商。


分享名稱(chēng):深入SOC2.0系列4:具備安全態(tài)勢(shì)感知能力的安全管理平臺(tái)
網(wǎng)站路徑:http://m.5511xx.com/article/djjhsci.html