Close

淘金虚拟币网专注各类数字货币资讯

狗狗币交易平台,具备安全态势感知能力的安

  狗狗币如何卖色之一就是收集网络中各种异构信息源的数据【摘要】安全管理平台(SOC)最大的特,合分析进行综,业务安全视图构建起一套,全网安全的总览图展示给管理员一个。SOC)的层层抽象通过安全管理平台(,据提升为了安全事件原本复杂的安全数,策信息和安全知识进而提升为业务决△◁,就是安全态势感知这个过程的本质上。的第四篇文章作为本系列,感知理论和技术运用到安全管理实践中去的将详细阐述SOC2.0是如何将安全态势=•○,安全管理系统为实例加以说明并以网御神州SecFox…▲。

  根溯源如果追,ess)这个概念来自我国古代的《孙子兵法》态势感知(Situation Awaren。研究也来自于战争的需要而现代意义上的态势感知,学(Human Factor)研究过程中被提出来在二战后美国空军对提升飞行员空战能力的人因工程●◁,领域的重要研究课题至今仍然是军事科学。来后,术(IT)领域所采用态势感知渐渐被信息技•☆,l Intelligence)范畴属于人工智能(Artificia。

  般地一,理解为一个渐进明晰的过程态势感知的核心部分可以,ackboard System)借鉴人工智能领域的黑板系统(Bl,三级模型来表示可由下图所示的:

  势要素获取它通过态,要的数据获得必,析进行态势理解然后通过数据分,期时间内的态势预测进而实现对未来短。意注,是实现对未来的短期预测态势感知最终达成的目标○△,▲▪☆、准实时系统是一个动态。

  末90年代在上个世纪◇▽◆,到信息技术安全领域态势感知才被引入,入侵检测系统的研究并首先用于对下一代,Situation Awareness)出现了网络安全态势感知(Network ,tuation Awareness)的概念或者安全态势感知(Security Si。文中本,全态势感知SA特指安。

  是指一定时间和空间内环境因素的获取定义1(来自维基百科):态势感知,来短期的预测理解和对未■●▽。

  为以及用户行为等因素所构成的整个网络当前状态和变化趋势定义2☆…▽:所谓网络态势是指由各种网络设备运行状况、网络行。在大规模网络环境中网络态势感知是指•☆,行获取、理解▲■、显示以及预测最近的发展趋势对能够引起网络态势发生变化的安全要素进。

  势感知说到态,ata Fusion)就必须提到数据融合(D。个信息源的数据收集起来数据融合是指将来自多,联=▼▪、组合进行关,效性和精确度提升数据的有。看出可以☆-,知在很多方面都是相似的数据融合的研究与态势感。前目,事机构JDL给出的数据融合模型衍生出来的大部分安全态势感知的模型都是基于美国的军。图所示如下■•,型的安全态势感知模型为我们展示了一个典:

  机交互的模型中在这个基于人★-◁,为了5个级别(阶段)态势感知的实现被分,进行要素信息采集首先是对IT资源,的处理及其不断反馈然后经过不同级别,视化实现人机交互最终通过态势可•▼。级别分为是5个处理:

  理:可选的级别1)数据预处,的数据进行预处理对于部分不够规整-•△,处理•☆…、杂质过滤例如用户分布式,等等▪-•。

  关联分析和态势分析3)态势评估:包括。分析报告和网络综合态势图态势评估的结果是形成态势,供辅助决策信息为网络管理员提。

  化:通过建立一定的优化指标5)资源管理◇•、过程控制与优,行实时监控与评价对整个融合过程进▼▪,源的最优分配实现相关资。

  前当,omplex Event Processing态势感知领域还有一个发展方向是复杂事件处理(C,EP)简称C,行业的商业智能分析过程主要应用于金融、能源等▪○。CEP基于,了一些态势感知的模型学术界和产业界也提出。在安全事件管理领域的运用我们以后会专门论述CEP,再讨论本文不。

  当说应○…,前为止到目□★,处于学术界研究领域安全态势感知大体上,还有待于突破核心的技术,挖掘技术○□、模式识别技术等包括数据融合技术、数据,研究尚处于起步阶段尤其是对态势预测的,化还有不少的距离整体上距离产品。

  是但,势感知理论基于安全态☆•,指导现在的产品研发部分技术已经可以,型已经实现了产品化和商业化并且一部分较成熟技术和模。

  相关技术应用于成熟产品的厂家网御神州是国内首家将态势感知☆△▪,具有态势感知能力的安全管理平台(SOC)网神SecFox安全管理系统是国内首个。安全管理系统的态势感知模型下图展示了网神SecFox:

  :在SOC2•▪-.0中1)要素信息采集,IT资源性能和运行状态信息、各种告警、警报、事件、日志要素信息至少应该包括IT资产信息◇●★、拓扑信息、弱点信息•◇、,等等。

  事件标准化◇□、狗狗币交易平台归一化、并对原始事件的属性进行扩展2)事件归一化☆◆-:对采集上来的各种要素信息进行=◇△,理位置信息例如增加地,A安全属性增加CI△◆★,类属性增加分□▽,等等。一事件的严重等级和事件的意图及结果在事件归一化过程中最重要的就是统▪●▲。事件分析提供了准备事件归一化为后续的。方面一▷▲◆,实时事件库事件会进入,评估使用供态势,方面另一,历史事件数据库事件会同时进入,久化存储进行持,、追踪及分析服务为历史数据挖掘。外此,可视化展示在用户界面上归一化后的事件可以直接。

  种要素信息进行事件标准化和归一化处理3)事件预处理:也是对采集上来的各。信息采集和处理能力的分布式模块事件预处理尤其是指采集具有专项。如例,的方式对数据库访问操作进行解析某个预处理模块通过网络协议抓包,标准化事件并转变为•-◆。可选的处理过程事件预处理是■■。

  tuation Analysis)•◇★、态势评价(Situation Evaluation)4)态势评估:包括关联分析(Correlation Analysis)•□○、态势分析(Si,件关联分析核心是事◇▲。术对多源异构数据从时间、空间、协议等多个方面进行关联和识别关联分析就是要使用采用数据融合(Data Fusion)技▲=○。评价报告和网络综合态势图态势评估的结果是形成态势,理员提供辅助决策信息借助态势可视化为管,业务评估提供输入同时为更高阶段的。

  nt)和业务影响评估(Business Impact Assessment)5)业务评估:包括业务风险评估(Business Risk Assessme, Compliance Audit)还包括业务合规审计(Business◁▲。面向业务的风险评估方法业务风险评估主要采用,情况得到量的出业务风险数值通过业务的价值、弱点和威胁;分析业务的实际流程业务影响评估主要•□■,带来的实际影响获知业务中断◁=,风险的承受程度从而找到业务对。

  估的结果都可以送入预警与响应模块6)预警与响应▲•▲:态势评估和业务评△•,视化进行预警展示一方面借助态势可,方面另一,程化响应与安全风险运维送入流程处理模块进行流。

  运维流程进行风险管理的过程7)流程处理…◆:主要是指按照☆•。x安全管理体系中在网神SecFo▷=-,on Management System)担当该功能是由独立的运维管理系统(Operati=◁。

  视化、交互分析、追踪、下钻、统计、分布、趋势8)用户接口(态势可视化):实现安全态势的可,等等,统的交互接口是用户与系。需要用户的主动参与态势感知系统的运行,个自治系统而不是一。

  实际上不属于态势感知的范畴9)历史数据分析:这部分▽▷▼。经提到我们已◆●•,动态准实时系统态势感知是一个•▲,的实时分析和预测他偏重于对信息。安全管理系统中在SecFox▼▽=,势感知能力除了具备态,数据挖掘能力还具备历史。

  述安全态势感知系统模型的一个实例SecFox安全管理系统作为上…○,是很完善虽然不☆◆◇,其中一些关键技术但是已经实现了◇▲▷,技术◆▼★、高性能事件处理技术▪•、海量事件分析技术…★、信息可视化技术包括总体架构已经搭建起来△▼◆、并实现了基于流数据的实时关联分析☆▼,等等,见详。vel0~2实现了技术突破网御神州在态势感知的Le,品化并产,户那里得到了验证已经在多个实际客。

  来未,研究数据融合技术网御神州将进一步▼▽,准确、发现时间更短使得态势感知更加。数据挖掘技术进一步研究◁…,别、聚类分析包括模式识☆▼,等等□●;态势可视化技术进一步研究安全,能力和效果更好使得可视化展示▷◆▪。来未☆▲,态势预测的技术领域我们还将逐步探索=△。在技术上取得突破这些都首先需要▲▷,用在产品之中然后逐步应。

  术去进行业务连续性管理和业务风险管理SOC2.0强调要利用安全态势感知技•…,处理技术去进行业务影响评估包括利用数据融合、复杂事件,全风险评估以及业务安。

  0在这方面则有所欠缺而传统的SOC1●○.。先首,态势要素信息不全面SOC1◇▪★.0采集的▽○△,网络拓扑数据尤其是缺少,的可用性数据以及IT资源◇□;次其◁▼,评估过程没有面向业务SOC1.0的风险▷▼○,对资产仅仅针…□,导客户的业务运营保障风险分析的结果无法指;次再,务评估这个处理阶段SOC1.0没有业;后最★▲,视化的手段缺乏态势可,、分布图表局限于统计◁▲◆,可视化展示与交互式分析缺少对安全威胁事件的。

  .0的理念中在SOC2,当于人体的神经系统安全态势感知系统相。墙、入侵检测、漏洞扫描系统单点防御设备——包括防火▽◁-,当于神经元等等——相=◇,相当于神经中枢——大脑SOC2•◆★.0管理中心□▽,当于神经传导和处理过程而事件的处理过程就相☆…△。角度来看从这个□●,过程与人脑的对外界信息的感知过程是类似的SOC2■…★.0处理数据▲•★、将信息变成知识的-•。

  技术和手段如何无论具体实现的,T资源及其业务系统穿上一件保护外套SOC2▷••.0的目标就是要为用户的I-▲,障体系(态势感知网络)部署一套全方位的安全保▪◁◇,图所示如下:

  全管理系统的态势感知模型的分析通过对网御神州SecFox安,发现可以,程中具有数据融合(Data Fusion)的特点下一代安全管理平台(SOC2.0)在信息处理过,知理论和技术的应用载体因而天然可以作为态势感。时同,.0为用户抽取出有价值的安全信息和安全知识态势感知相关技术的发展和成熟有助于SOC2。

  后最,存性(Network Survivability)的控制中枢提供了基础支撑安全态势感知技术的突破和应用还为将来的安全管理平台(SOC)作为网络可生。

  以来在安全管理领域的深入研究网御神州安全管理团队根据长期,需求与市场的现状结合来自客户的,的网神SecFox安全管理与审计产品理念提出了具有完全自主知识产权的△☆、面向业务▲=,管理与运维管理的一体化尤其强调网络管理■▪、安全,医疗、制造、广电等各个领域的客户提供全面的安全运营保障平台为政府…-、军队◇△、公安、税务、电力、保险▼●、电信、金融、交通▽▽、。研发和实施队伍——SOC事业部网御神州建立了专门的安全管理▷◆=,场突飞猛进在国内市,目的市场成就取得了令人瞩。年度报告》中网御神州连续两年位居安全管理(SOC)市场第一名在CCID2008年和2009年《中国信息安全产品市场研究▲◁◁,理市场的领导厂商成为了中国安全管●▽□。狗狗币交易平台,具备安全态势感知能力的安全管理平台