基于OODA環(huán)的網(wǎng)絡(luò)安全態(tài)勢感知平臺

盧 騰，胡 威，程 杰，崔兆偉，劉玉寬，張振山

（1國家電網(wǎng)有限公司信息通信分公司 北京 100761）（2中孚信息股份有限公司 北京 100048）

1 引言

網(wǎng)絡(luò)安全中最困難的挑戰(zhàn)是安全風(fēng)險本身在不斷變化。傳統(tǒng)網(wǎng)絡(luò)安全解決方案中，組織將大部分資源投入集中在邊界安全上，以保護(hù)其最關(guān)鍵的系統(tǒng)組件并防御已知攻擊。隨著勒索病毒[1]、APT[2]和DDos[3]攻擊等新型網(wǎng)絡(luò)威脅的發(fā)展和變化，組織的系統(tǒng)需要更積極主動和適應(yīng)性更強(qiáng)的網(wǎng)絡(luò)安全方法。

與許多網(wǎng)絡(luò)安全術(shù)語一樣，態(tài)勢感知是對威脅以及這些威脅如何隨時間或環(huán)境變量波動而變化的分析與預(yù)測過程。態(tài)勢感知意味著了解組織數(shù)據(jù)及其擁有的其他數(shù)據(jù)面臨的當(dāng)前威脅[4]，以及未來可能的威脅，其本質(zhì)上，就是通過了解組織的環(huán)境并準(zhǔn)確預(yù)測和響應(yīng)可能發(fā)生的潛在問題來規(guī)避風(fēng)險，或者制定有效的對策來保護(hù)組織關(guān)鍵任務(wù)。

2 研究現(xiàn)狀

有研究在1985年提出了“態(tài)勢感知”理論，將其定義為“在一定的時間和空間范圍內(nèi)對環(huán)境要素的感知，對其意義的理解，以及對其在不久的將來狀態(tài)的映射”[4]。1999年，美國Tim Bass認(rèn)為未來的網(wǎng)絡(luò)管理和空中交通管制之間有著驚人的相似之處，根據(jù)空中交通管制提出網(wǎng)絡(luò)態(tài)勢感知的概念[5]。目前已經(jīng)發(fā)展為能夠提供實(shí)時識別、分析、預(yù)警安全威脅等功能的安全管理系統(tǒng)，為用戶實(shí)現(xiàn)威脅檢測、響應(yīng)、溯源等自動化安全運(yùn)營服務(wù)。近年來，全球網(wǎng)絡(luò)空間局部沖突不斷，網(wǎng)絡(luò)攻擊復(fù)雜性持續(xù)上升，各方均在加強(qiáng)網(wǎng)絡(luò)武器研發(fā)，提高基于網(wǎng)絡(luò)信息體系的作戰(zhàn)能力。

3 基于OODA的網(wǎng)絡(luò)安全態(tài)勢感知

在網(wǎng)絡(luò)安全事件中，迅速采取行動至關(guān)重要。據(jù)統(tǒng)計，大約超過一半的網(wǎng)絡(luò)釣魚電子郵件在一小時內(nèi)會被點(diǎn)擊，11%的網(wǎng)絡(luò)釣魚電子郵件在發(fā)送后的一分鐘內(nèi)被點(diǎn)擊。另外，當(dāng)黑客測試被攻擊系統(tǒng)的網(wǎng)絡(luò)防御時，是在與網(wǎng)絡(luò)防御者的知識和技能進(jìn)行較量，防御者在這個過程中做的任何混淆攻擊者認(rèn)知的事情都會帶來巨大的回報。

3.1 OODA循環(huán)

OODA循環(huán)是一個迭代的學(xué)習(xí)系統(tǒng)和決策過程，由已故的美國空軍戰(zhàn)斗機(jī)飛行員和軍事戰(zhàn)略家John R.Boyd提出。OODA循環(huán)包括四個階段，分別是觀察（Observe）、定位（Orient）、決定（Decide）、行動（Act）[4]。

3.2 OODA循環(huán)與網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知可以提供監(jiān)視和攻擊分析能力，對應(yīng)OODA環(huán)中的觀察和定位兩個階段，配合后續(xù)決策以及事件響應(yīng)和恢復(fù)能力（對應(yīng)OODA環(huán)中的決定和行動）即可完成網(wǎng)絡(luò)空間安全運(yùn)營效果的整體提升?；贠ODA循環(huán)的網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)理念，從觀察和定位出發(fā)，同時考慮決策和行動，才能為構(gòu)造出體現(xiàn)整個安全運(yùn)營能力的OODA循環(huán)、形成安全對抗體系能力奠定堅(jiān)實(shí)基礎(chǔ)，詳見圖1。

圖1 態(tài)勢感知與OODA循環(huán)關(guān)系

3.3 基于OODA的態(tài)勢感知平臺總體架構(gòu)設(shè)計

本文中設(shè)計的網(wǎng)絡(luò)態(tài)勢感知平臺架構(gòu)，可面向不同的用戶群體，自主組合可視化展現(xiàn)模塊。態(tài)勢感知平臺的信息流來自不同的平臺，基于多種資源持續(xù)監(jiān)控分析，運(yùn)用多種技術(shù)組合、知識信息、人員判斷，研判出網(wǎng)絡(luò)安全事件，進(jìn)行實(shí)時告警及聯(lián)動相應(yīng)安全防護(hù)設(shè)備處置。同時，典型安全數(shù)據(jù)不斷擴(kuò)充知識庫、智能算法不斷優(yōu)化規(guī)則，實(shí)現(xiàn)告警的精準(zhǔn)研判。該平臺以不同維度，實(shí)現(xiàn)了安全可視化。

4 網(wǎng)絡(luò)安全態(tài)勢感知平臺建設(shè)

4.1 數(shù)據(jù)采集

態(tài)勢感知平臺數(shù)據(jù)來源于多方面，包括但不限于安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件等。

4.2 數(shù)據(jù)轉(zhuǎn)化

通過各種方式采集到的數(shù)據(jù)，需要經(jīng)過轉(zhuǎn)化處理，再提供到上層運(yùn)用算法進(jìn)行安全分析。

4.3 數(shù)據(jù)存儲

平臺具有多種存儲方式，針對建設(shè)單位產(chǎn)生的靜態(tài)數(shù)據(jù)和實(shí)時數(shù)據(jù)進(jìn)行分別存儲。存儲形式具有可擴(kuò)展性。

（1）Mysql數(shù)據(jù)庫，主要存儲靜態(tài)數(shù)據(jù)，比如國家地域信息、靜態(tài)模板、位置距離等。同時，針對資產(chǎn)臺賬、歷史情報和數(shù)據(jù)進(jìn)行存儲。

（2）ES數(shù)據(jù)庫，Elasticsearch（簡稱ES）數(shù)據(jù)庫存儲動態(tài)數(shù)據(jù)或?qū)崟r數(shù)據(jù)，是一個搜索的服務(wù)器，提供對大量數(shù)據(jù)的快速的檢索功能，大大提升了系統(tǒng)效率。針對網(wǎng)絡(luò)中鏡像的流量信息、設(shè)備上采集到的數(shù)據(jù)進(jìn)行數(shù)據(jù)治理后，依據(jù)結(jié)構(gòu)存儲到ES數(shù)據(jù)庫，供后續(xù)數(shù)據(jù)分析使用。

最終，形成4大庫：資產(chǎn)庫、基礎(chǔ)庫、原數(shù)據(jù)庫和情報庫。資產(chǎn)庫存放用戶資產(chǎn)設(shè)備和網(wǎng)絡(luò)信息、基礎(chǔ)庫主要存放模板信息、原數(shù)據(jù)庫存放實(shí)時數(shù)據(jù)、情報庫存放具有典型特征的歷史數(shù)據(jù)和威脅情報，用于構(gòu)建用戶自己的知識庫體系。

4.4 數(shù)據(jù)分析

數(shù)據(jù)分析針對原數(shù)據(jù)進(jìn)行智能分析，包括：關(guān)聯(lián)分析、情報分析、規(guī)則分析、用戶行為分析、機(jī)器學(xué)習(xí)、流量分析等功能，依據(jù)分析結(jié)果進(jìn)行威脅告警。

4.4.1 關(guān)聯(lián)分析

對采集的數(shù)據(jù)進(jìn)行集中收集、存儲，智能關(guān)聯(lián)分析告警源，關(guān)聯(lián)是指找出大量事件中存在的關(guān)系，并從這些大量事件中抽取出真正重要的少量事件。借助先進(jìn)的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地對所有范式化后的日志流進(jìn)行安全事件關(guān)聯(lián)分析。系統(tǒng)提供了三種事件關(guān)聯(lián)分析技術(shù)：

1）基于規(guī)則的關(guān)聯(lián)分析

基于規(guī)則的關(guān)聯(lián)分析是指系統(tǒng)通過事件關(guān)聯(lián)引擎進(jìn)行規(guī)則匹配，識別已知模式的攻擊和違規(guī)的過程，屬于最經(jīng)典和傳統(tǒng)的一種關(guān)聯(lián)分析技術(shù)。基于規(guī)則的關(guān)聯(lián)分析核心在于規(guī)則的編寫。

2）基于情景的關(guān)聯(lián)分析

基于情境（Context）的關(guān)聯(lián)分析是指將安全事件與當(dāng)前網(wǎng)絡(luò)和業(yè)務(wù)的實(shí)際運(yùn)行環(huán)境進(jìn)行關(guān)聯(lián)，透過更廣泛的信息相關(guān)性分析，識別安全威脅。這種技術(shù)也被稱作“情境感知”（Context-Aware），支持基于資產(chǎn)、弱點(diǎn)、網(wǎng)絡(luò)告警、拓?fù)涞那榫酬P(guān)聯(lián)分析。

3）基于行為的關(guān)聯(lián)分析

事件行為分析是基于異常檢測的主動分析模式，通過對實(shí)時活動與基準(zhǔn)行為的對比來揭示可疑的攻擊活動，可以智能發(fā)現(xiàn)隱藏的攻擊行為。系統(tǒng)支持兩種行為分析技術(shù)：動態(tài)基線技術(shù)和預(yù)測分析技術(shù)。

4.4.2 其他分析方法

1）情報分析。平臺可通過網(wǎng)絡(luò)爬蟲和API接口收集各安全廠商、國家平臺、安全社區(qū)、商業(yè)平臺發(fā)布的威脅情報信息，通過IDS、APT檢測、僵木蠕檢測、蜜罐網(wǎng)絡(luò)收集攻擊痕跡，并結(jié)合外部威脅情報，應(yīng)用基于日志存儲查詢、數(shù)據(jù)流匹配等手段，進(jìn)行精確情報分析[2]。

2）規(guī)則分析。規(guī)則分析是通過解析后的事件匹配規(guī)則模型，平臺內(nèi)置多種安全規(guī)則庫，及機(jī)器學(xué)習(xí)的算法，自動優(yōu)化安全規(guī)則庫。

3）用戶行為分析。通過機(jī)器學(xué)習(xí)優(yōu)化UEBA庫，建立用戶正常行為基線。通過用戶行為分析引擎進(jìn)行多維度的比對，及時發(fā)現(xiàn)用戶嚴(yán)重偏離基線的異常行為。

4）機(jī)器學(xué)習(xí)分析。機(jī)器學(xué)習(xí)算法對大量的歷史日志和安全信息進(jìn)行關(guān)聯(lián)，對用戶的行為進(jìn)行一個長周期的分析，建立正常用戶行為基線或畫像，找出異常行為和隱藏的威脅。

5）流量分析。基于DPI和DFI對流量進(jìn)行識別、解析和檢測，通過智能分析引擎和用戶行為分析引擎對流量進(jìn)行匹配。DPI包檢測技術(shù)要對數(shù)據(jù)包進(jìn)行拆包，DFI通過流量特征模型匹配，效率上DFI速度更快。

4.5 決策處置

4.5.1 平臺響應(yīng)處置

平臺通過對數(shù)據(jù)分析后，生成安全告警，并提供實(shí)時響應(yīng)的機(jī)制，對于發(fā)生的安全告警能夠及時通知運(yùn)維人員，方式包含但不限于以下方式：郵件、短信、工單等多種方式，并可以觸發(fā)響應(yīng)處理流程，直至跟蹤到問題處理完畢，從而實(shí)現(xiàn)安全事件的閉環(huán)管理，提升運(yùn)維效率[3]。

4.5.2 預(yù)測可視化

平臺可提供用戶網(wǎng)絡(luò)內(nèi)整體網(wǎng)絡(luò)安全態(tài)勢感知，展示包括外部態(tài)勢、資產(chǎn)態(tài)勢、告警態(tài)勢。平臺對用戶單位內(nèi)采集的海量日志數(shù)據(jù)實(shí)現(xiàn)實(shí)時綜合性監(jiān)控，可根據(jù)用戶不同的安全分析應(yīng)用場景，自定義屬于自己的儀表盤。展示方式包括餅圖、面積圖等，點(diǎn)擊儀表盤上的數(shù)據(jù)，可支持?jǐn)?shù)據(jù)下鉆。充分利用組織安全設(shè)備生產(chǎn)的大量數(shù)據(jù)，整合信息孤島，深入分析問題，提高決策質(zhì)量[4]。

5 結(jié)論

OODA理念闡述觀察、定位、決策、行動四步方法，運(yùn)用到網(wǎng)絡(luò)安全空間，理解為對安全環(huán)境信息采集、數(shù)據(jù)治理和分析、安全預(yù)測和處置，其中預(yù)測和處置內(nèi)容包含OODA決策和行動內(nèi)容[5]。本文闡述的態(tài)勢感知平臺，從用戶處采集各類信息，經(jīng)處理和分析后，能夠告警安全威脅事件，同時，可以通過二次分析預(yù)測進(jìn)行安全可視化展示，供用戶進(jìn)行安全決策。平臺能夠不斷擴(kuò)充知識庫，支持搜索功能，能夠?yàn)橛脩籼峁┖诳彤嬒?、溯源分析等?nèi)容。態(tài)勢感知平臺合理運(yùn)用了OODA閉環(huán)思想，基于各種數(shù)據(jù)信息，服務(wù)于網(wǎng)絡(luò)安全。