浅谈网络安全态势感知

一、基本概念

前美国空军首席科学家Endsley博士给出的动态环境中态势感知的通用定义是:

态势感知是感知大量的时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态。

在这个定义中，我们可以提炼出态势感知的三个要素：感知、理解、预测。并且这三个要素存在着层次上的递进关系：

感知：感知和获取环境中的重要线索和元素；
理解：整合感知到的数据和信息，分析其相关性；
预测：基于对环境信息的感知和理解，预测相关知识在未来的发展趋势。

对应到网络安全领域，我们可以给网络安全态势感知一个基本的描述：

网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户。

其对应的过程也可以分解为以下四个：

数据采集：通过各种检测工具，对影响系统安全性的要素进行检测采集获取，这一步是态势感知的前提。
态势理解：对采集到的数据使用分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出网络的整体安全状况，这一步是态势感知的基础。
态势评估：定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的核心。
态势预测：通过对态势评估输出的数据进行建模分析，预测网络安全状况的发展趋势，这一步是态势感知的目标。

二、整体架构

以下一个成熟的安全态势感知系统的整体架构示意图：

可以看到，基本还是遵循了安全态势感知的分层次概念的。

首先通过多个数据源，采集到海量安全性数据。传统的IDS、IPS等技术基本属于这一层。
然后通过数据清洗、融合、归一化等手段，使数据能在某些层面反映出网络的安全态势状况。
之后，智能分析层通过对数据的进一步分析，评估网络的安全态势，预测网络安全态势发展趋势。
评估和预测结果在交互呈现层以数据可视化的形式展现出来。

三、主要功能

网络安全态势感知要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施，以图、表等可视化形式展现给用户。网络态势感知的结果主要应该包括以下八部分：

资产评估：评估网络中每个资产的性能状况和安全状况，包括资产的性能利用率、重要性、存在的威胁和脆弱性的数量、安全状况等；
威胁评估：评估网络中恶意代码和网络入侵的类型、数量、分布节点和危害等级等；
脆弱性评估：评估网络中漏洞和管理配置脆弱性的类型、数量、分布节点和危害等级等；
安全事件评估：评估网络中安全事件的类型、数量、分布节点和危害等级等；
整体态势评估：综合分析网络的安全状态、给出网络的安全态势值，包括整个网络的安全态势的保密性、完整性和可用性分量及综合态势值；
安全态势预测：预测网络中威胁数量、脆弱性数量、安全事件和整体态势的发展趋势；
加固方案：分析危害最大的威胁、脆弱性和安全事件，给出相应的解决方法；
报表生成：根据不同的应用需求，生成不同的安全报表，安全报表的格式规范、内容详实、针对性强。

从平台建设的角度来讲，一个安全态势感知平台应该具备如下功能：

可视：通过多维度的安全数据仪表盘，将网络重点环节的实时运行及安全状态多维度的展示给安全人员，方便安全人员及时掌握网络整体状况。
可知：全量收集各种安全数据，便提供检索功能，便于安全人员从海量日志中查找到安全事件对应的日志。
可管：通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。
可控：充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。
可塑：通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。
可预警：实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。

四、发展趋势

态势感知平台是大数据安全领域规模增长最迅速的产品。2017年国内感知市场规模约计20亿人民币，占安全市场的5%。国内的厂商平台一般含有的功能：资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。目前，态势感知更多是提供数据分析结果，在大数据分析技术应用与预测方面，仍然做的不够。

当前安全态势感知的发展状态：

安全态势感知打破了传统安全体系中各类安全产品各自为战形成的安全孤岛。将各类安全设备的log采集到统一的日志存储平台，实现了集中存储。
以资产为核心，通过互联网已公开的漏洞信息、恶意域名、代理攻击IP等信息与资产进行匹配，呈现网络的安全风险状况。
多以汇总数据和静态呈现为主，采用定期刷新统计数据为主，智能分析技术应用较少。
主要定位于事件分析、风险可视、告警管理等。
整合了一定报表生成功能，以满足内控、审计方面的要求。

未来态势感知的发展趋势：

数据采集阶段，态势感知2.0要求安全厂商以API接口和SDN网络对接，突破Vxlan技术限制，使之可以采集东西向的流量。在云环境时代，东西流量占据了业务流量的大部分。
态势感知与大数据、人工智能联合，将态势感知技术扩展到业务风险控制领域。如采用Storm对数据流进行实时处理，可以满足近实时的风险发现。
结合机器学习和深度学习技术提供更精准的评估和预测能力。更好实现风险预警、响应处理，提高对未来的预测、实时处置能力。系统可以从采集的数据中学习，形成一个具有自身相关特性的分析模型。
系统可以动态扩展和云化。随着云计算基础设施的大量使用, 要求对安全威胁和攻击的处置能力也是可以随着云计算平台扩展而可动态扩展的, 实现网络安全态势感知系统的基础平台云化，使其态势感知能力可以随着保护对象的规模变化而动态变化。

五、总结

安全态势感知是一种新兴的安全概念，而不是单一的一种安全技术。是一种基于环境的、动态、整体地洞悉安全风险的能力。从前面的介绍，可以知道安全态势感知的前提是安全大数据。在安全大数据的基础上，进行数据整合、特征提取，然后应用一系列态势评估算法生成网络的整体态势状况，应用态势预测算法预测态势的发展状况。最后在交互层，使用数据可视化技术，将态势状况和预测情况展示给安全人员，方便安全人员直观便捷的了解网络当前状态及预期的风险。

参考资料：

《网络安全态势感知模型研究与系统实现》
《网络安全态势感知关键技术研究及发展趋势分析》
知乎回答
锐捷安全态势感知解决方案
云安全：浅谈态势感知