从概念到架构——详细解析态势感知系统

2018年，全球知名的社交平台Facebook一年出现两次大型数据泄露事件，总泄露客户信息高达到7900万条。而安德玛、万豪集团、华住集团等也相继有媒体爆出严重的信息泄露事件。但上述事件仅仅是网络安全事件的冰山一角，全球网络安全形势日趋严峻，影响的范围也更加广泛。根据IDC市场调研发现，仅有13%的企业级用户使用了自动化防御技术，且应用程度有限。

企业级用户一旦遭受攻击威胁将直接影响业务正常运营，造成难以计量的严重后果。而企业和组织对自身业务及其对应的安全威胁的感知与发现能力不足，是网络安全问题不断、安全响应和处置严重滞后的关键短板。

安全态势感知可以理解为客户的安全大脑，是一个集检测、预警、响应处置为一体的大数据安全分析平台。其以全流量分析为核心，结合威胁报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术，实现威胁可视化、攻击与可疑流量可视化等功能。可有效帮助客户在高级威胁入侵之后，损失发生之前及时发现威胁。

态势感知(Situational Awareness/Situation Awareness,SA)的概念最早在军事领域被提出。目前是大数据安全领域规模增长最迅速的产品。态势感知的市场规模从2017年开始，就在以每年25%的速度增长。目前的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台。而国外一般不谈态势感知系统，多称为威胁管理、威胁发现产品，并把网络安全态势感知作为由多个系统、工具整合实现的状态效果。

目前的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台。但在不同的行业中，也有不同的核心技术需求：

金融行业有着更多的业务场景，注重关联分析能力、威胁告警精确度、用户行为分析能力；
运营商的SOC（Security Operation Center）除了关注自身的安全，也会注重利用本身的数据资源优势，拓宽行业市场；
能源行业的IT种类繁多，非常注意安全生产，因此看重产品的兼容性、可连续性；
政府机构关注对外部攻击防范、高级威胁检测。

但总的来说，态势感知（SA）目前理论上主要分为以下三个部分：

对环境元素的感知对状态的的理解对未来状态的预测

为了可以更好地理解态势感知，我们可以先来看一下态势感知会涉及到的一些专业术语：

攻击者视角：站在黑客攻击场景上获取的攻击告警、威胁等运营数据
防御者视角：站在甲方安全视角上主动获取到的防御引擎部署情况、漏洞信息等运营数据
告警事件：由DDoS检测引擎、主机安全检测引擎、全流量检测引擎发现的高价值安全事件
威胁事件：通过京东云提供的基于安全威胁模型大数据关联的新型攻击事件，包含实时分析事件、离线分析事件
引擎覆盖率：由网络入侵检测引擎、DDoS基础防护检测引擎和主机安全检测引擎启动覆盖率组成，网络入侵检测引擎启动覆盖率=已开启NIDS监控的公网IP数量/当前用户下所有公网IP数量，主机安全检测引擎启动覆盖率=已安装主机安全软件云服务器数量/当前用户下所有云服务器数量，DDoS基础防护启动覆盖率默认为100%，用户无法手工调整。权重为1：1：1，引擎开启监控的覆盖率越高，其捕捉安全事件的能力越强，故使用安全引擎覆盖率量化衡量其开启率。最佳实践为100%
主机漏洞：主机系统方面漏洞
网站漏洞：主要针对web网站相关的漏洞

云环境下的安全态势感知

通常企业和政府机构在面临安全问题时，就像暗夜中的武侠与刺客。虽然双方各有高招，但奈何“看不见”、“摸不着”，多数时候只能靠着感觉或被刺伤后才能发现对方的存在。

借助京东在大数据上的优势，京东云Cloud Situation Awareness（CSA） V4.0在公有云计算的环境下，在用户充分授权的情况下，收集各个安全组件的海量数据，通过大数据关联分析和机器学习技术，从全局视角提升用户对安全威胁的发现识别、理解分析和响应处置，最终帮助用户提高安全决策的能力。

CSA产品优势

安全感知能力

通过收集云上安全组件，全面感知已知/未知威胁的能力——针对自动化攻击，通过大数据实时关联分析技术，使用安全威胁模型获取黑客入侵的蛛丝马迹。

态势感知大数据分析处理工作流

安全理解能力

通过云上安全组件提供的海量日志，从中关联分析出安全运维人员能理解的安全事件的能力——针对APT攻击，通过大数据离线关联分析技术，监控长期潜伏的高级黑客攻击事件。

7天告警事件分析

安全预测能力

通过机器学习或者深度学习等AI技术，预测云上资产将要发生的威胁的能力——通过威胁情报、动态行为分析、机器学习异常检测具备未知威胁发现的安全能力。

京东云为用户提供的大数据安全分析产品，通过数据建模、行为学习、情报关联分析，可全面洞悉安全全景、发现入侵和攻击威胁，帮助客户建设自己的安全监控和防御体系。为用户带来：全方位态势和可视化感知，不论是企业或是政府机构，都可以切实地体会到“安全感”。

典型用户架构

对比传统安全，态势感知利用大数据，可对高级攻击者使用的0day漏洞攻击进行防御；同时，可对各种潜在威胁及时识别汇报；从网络层到主机层再到应用层，让安全成为一个整体，增强全局的可见性。

相比公有云中小型租户的低门槛、易操作需求，对于公有云大型租户而言未知威胁检测能力和深度应急响应能力是关键。

传统的SOC，关联分析和数据存储，都使用的类似Oracle等关系型数据库错数据存储，关联分析也是通过传统SQL语句查询来实现的。但京东云采用新型的SOC安全管理平台，使用先进的大数据存储和分析技术，在毫秒级的查询响应时间，秒级的关联分析。可实现企业架构灵活部署、安全数据全面接入，为用户提供全面的威胁情报。

企业级租户架构图

适合于政务部门的网络安全态势感知系统，实质就是努力实现对政务部门网络系统的整体安全状态的7*24小时实时监控，从资产、攻击、漏洞、运行、威胁和风险各个维度全方位感知整个网络系统的安全状态与发展趋势。

通过专有云态势感知设备和公有云太适合感知进行联动，统一威胁情报管理，可有效提升威胁入侵行为的排查效率。定制化安全大屏再将数字转化为信息，直观呈现网络安全状态也可有效保证安全事件能够得到及时的关注并进行及时处置。

政务级租户架构图

总结

Data All in One / SOC on Cloud / Build Security Capacity
京东云安全态势感知解决方案以大数据技术架构为核心开发的集安全要素获取、分析、处理、跟踪、预测为一体的全流程安全解决方案。结合机器学习、云端情报联动等技术，实现对整体网络的安全态势感知。但我们也相信，随着网络恶意攻击的“商业化”，云上的安全态势感知系统还将会迎来更多的升级与变化。

==================================================

点击“京东云”，可了解更多安全产品信息哦~

欢迎点击“京东云”了解更多精彩内容。