一、态势感知
1、概念:
态势感知(SA --- Situational Awareness)是对一定时间和空间内的环境元素进行感知,并对这个元素的含义进行理解,最终预测这些元素在未来的发展状态。
“态势”不是“事件”
“小李,隔壁老王趁你上班去你家了”—— 这是事件;
“小李,我感觉隔壁老王看你老婆的眼神不太对,你要多关注” —— 这是态势;
作用:
态势感知能够检测出超过20大类的云上安全风险,包括DDos攻击、暴力破解、web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术,态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析,为用户呈现出全局安全的攻击态势。
2、工作原理:
通过日志采集探针和流量传感器分别进行不同系统日志和流量日志的采集和处理任务。分析主要体现在引擎的丰富性和检测的准确性,通过关联分析引擎、异常分析引擎、数据统计引擎、批处理引擎等进行威胁判定,结果通过多维度综合判断来保障威胁判定的严谨性。业务层与服务、大数据、采集为基础搭建威胁发现、感知、分析、风险管理的功能。让平台成为用户发现威胁的眼睛和分析威胁的大脑,让宏观监控、精准分析、定点处理成为现实。
采集层分析:
-
流量探针:相当于在PC端部署小型IDS,将处理后的数据传输给服务器端的NIDS
-
日志探针:需在主机上收集日志。将收集后的日志在日志分析系统上再次进行处理后,再将日志信息传输给NIDS
-
资产探针:收集本地资产,上报给NIDS
-
漏洞探针:PC端安装小型杀毒软件,扫描漏洞
-
资产包括:数字资产:主机数量,操作系统,版本等等,将拓扑结构内的交换机、路由器、服务器、业务系统等等进行汇总,进行资产盘点。
-
资产盘点的方法:主机中安装资产代理程序,收集本地资产信息
3、现状及问题:
4、态势感知的三个层级:
Endsley(人来的,态势感知和人机交互的理论)将态势感知分为了三个层级,分别是:态势要素感知、态势理解、态势预测。
-
态势要素感知(Level 1):感知环境中相关要素的状态、属性和动态等信息。
-
态势理解(Level 2):通过识别、解读和评估的过程,将不相关的要素信息联系起来,并关注这些信息对预期目标的影响。
-
态势预测(Level 3):对前两级信息的理解,预测未来的发展态势和可能产生的影响。
上图是Endsley模型
由此可以看出,要做到态势感知,需要具备感知能力和理解能力,然后就是预测能力。态势感知是将现有信息加工后寻求特定时间线上的最优方案。
态势感知也可以从时间概念上进行理解,也就是态势感知的根本任务:了解昨天,思考今天,预测明天。
-
举例说明态势感知
相信上面的解释还是会有些绕口。这里就举个简单的例子来说明这整个态势感知的过程吧。
首先,还是你的收集的20万猫娘的数据,给你家的那只小猫娘提供一点点参考。
你凭借着你的热爱,成功找出了20万只猫娘的健康状态和身体情况。在这里,你发现了一些特点,比如健康状况良好的猫娘会有各种各样的表现,无一例外的表现出粘人的特点和对主人的浓厚兴趣;而还有感冒等小病的猫娘则有各种各样的反映,并没有统一的共性。一整套流程下来,我们就得出了一份份文件记录这些猫娘的很多信息。这个过程就是态势要素提取。
当然,你并不满足。于是你针对各种各样的病症开始了各种各样的分析,比方说眼睛红、有气无力、呼吸声音很重等等。虽然这可不是人能够完成的事情,但你还是凭着你的热情,一半人力一半计算机辅助地筛除了一只活到现在都没有得过病的猫娘数据,并得出了关于猫娘生病的一些普适性的公式,也就是症状与病症的映射。这个过程就是态势理解。
最后,你在和你家的小猫娘生活的时候,你发现了小猫娘出现了很类似你之前收集过的某种特征,于是你立马把对照表拿了出来,一一比对。最后,你发现你的小猫娘很可能是患了感冒,于是喂她吃了些对症的药,好好地陪了她一整天。这个过程就是态势预测。
第二天她又生龙活虎的了,粘着你不放。
5、人机交互
人机交互的本质就是通过不断调整的目标驱动操作和数据驱动反馈循环,完成阶段性任务目标。
主要涉及到用户与态势感知系统之间的交互和信息呈现方式:
-
可视化展示:态势感知系统通过可视化界面向用户呈现与安全情境相关的信息,如图表、地图、仪表盘等形式。这有助于用户直观地了解和分析当前的安全状况。
-
实时监控与预警:通过实时监测和预警功能,态势感知系统提供即时的安全事件通知和警报,以帮助用户及时发现和响应安全问题。
-
情报分析与推断:态势感知系统通过对采集到的数据进行分析和推断,生成有针对性的情报,并将其呈现给用户。这使用户能够了解潜在威胁、异常行为等关键信息。
-
交互式查询与搜索:用户可以与态势感知系统进行交互,进行关键字查询、数据过滤和搜索操作,以快速定位和检索所需的信息。
-
操作与决策支持:态势感知系统可以提供决策支持功能,如建议行动、风险评估等,以帮助用户做出明智的决策和应对措施。
-
反馈与反应:态势感知系统在用户执行操作或做出决策后,提供相应的反馈和反应,确保用户的意图被准确理解并得到正确处理。
-
自定义与个性化:一些态势感知系统允许用户根据自己的需求和偏好进行界面布局、数据呈现方式等方面的定制和个性化设置
6、主要功能
网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表等可视化形式展现给用户。结果如下:
-
资产评估:评估网络中每个资产的性能状况和安全状况,包括资产的性能利用率、重要性、存在的威胁和脆弱性的数量、安全状况等;
-
威胁评估:评估网络中恶意代码和网络入侵的类型、数量、分布节点和危害等级等;
-
脆弱性评估:评估网络中漏洞和管理配置脆弱性的类型、数量、分布节点和危害等级等;
-
安全事件评估:评估网络中安全事件的类型、数量、分布节点和危害等级等;
-
整体态势评估:综合分析网络的安全状态、给出网络的安全态势值,包括整个网络的安全态势的保密性、完整性和可用性分量及综合态势值;
-
安全态势预测:预测网络中威胁数量、脆弱性数量、安全事件和整体态势的发展趋势;
-
加固方案:分析危害最大的威胁、脆弱性和安全事件,给出相应的解决方法;
-
报表生成:根据不同的应用需求,生成不同的安全报表,安全报表的格式规范、内容详实、针对性强。
安全态势感知平台应该具备如下功能:
-
可视:通过多维度的安全数据仪表盘,将网络重点环节的实时运行及安全状态多维度的展示给安全人员,方便安全人员及时掌握网络整体状况。
-
可知: 全量收集各种安全数据,便提供检索功能,便于安全人员从海量日志中查找到安全事件对应的日志。
-
可管: 通过监测操作系统、安全设备、网络设备、应用程序和数据库的安全配置和安全日志, 结合安全基线、威胁情报和知识库进行多维度安全分析, 对发现的漏洞和脆弱性及时处置。
-
可控: 充分利用大数据的分析模型和机器学习等算法, 为用户建立行为画像, 可以基于已知威胁检测和异常行为分析来发现多态恶意代码、APT攻击等未知威胁攻击, 并对分析出来的安全事件、异常行为等进行实时告警, 通过可视化展现、邮件等方式及时通报给相关网络安全人员进行处置。
-
可溯:通过威胁情报、规则匹配和大数据分析模型等技术对给定的安全事件进行追踪溯源, 刻画网络安全事件的攻击路径, 为网络安全人员采取措施和溯源提供依据。
-
可预警:实时动态展示当前网络安全状况, 并呈现一定时间内整个网络空间环境安全要素, 从已知数据推演分析将要发生的安全事件, 实现对安全威胁事件的预测和判断发生的概率。
部署:
大数据安全态势感知规模化的防护从三个方面来实现:
-
云防护网络:通过在全国部署的云防护节点,对用户系统提供抗DDOS、应用层安全防护、重大安全事件预警等功能
-
流量清洗:为用户系统提供清洗防护设备,进行可管理的防御和监控
-
蜜罐监测:通过构建蜜罐对众多的攻击和渗透进行诱捕,对新样本进行采集,降低风险,同步收集最新的安全态势等信息
厂商
-
启明星辰白鹭系统
-
深信服 SIP 系统