基于OODA環的網絡安全態勢感知平臺

盧 騰，胡 威，程 杰，崔兆偉，劉玉寬，張振山

（1國家電網有限公司信息通信分公司 北京 100761）（2中孚信息股份有限公司 北京 100048）

1 引言

網絡安全中最困難的挑戰是安全風險本身在不斷變化。傳統網絡安全解決方案中，組織將大部分資源投入集中在邊界安全上，以保護其最關鍵的系統組件并防御已知攻擊。隨著勒索病毒[1]、APT[2]和DDos[3]攻擊等新型網絡威脅的發展和變化，組織的系統需要更積極主動和適應性更強的網絡安全方法。

與許多網絡安全術語一樣，態勢感知是對威脅以及這些威脅如何隨時間或環境變量波動而變化的分析與預測過程。態勢感知意味著了解組織數據及其擁有的其他數據面臨的當前威脅[4]，以及未來可能的威脅，其本質上，就是通過了解組織的環境并準確預測和響應可能發生的潛在問題來規避風險，或者制定有效的對策來保護組織關鍵任務。

2 研究現狀

有研究在1985年提出了“態勢感知”理論，將其定義為“在一定的時間和空間范圍內對環境要素的感知，對其意義的理解，以及對其在不久的將來狀態的映射”[4]。1999年，美國Tim Bass認為未來的網絡管理和空中交通管制之間有著驚人的相似之處，根據空中交通管制提出網絡態勢感知的概念[5]。目前已經發展為能夠提供實時識別、分析、預警安全威脅等功能的安全管理系統，為用戶實現威脅檢測、響應、溯源等自動化安全運營服務。近年來，全球網絡空間局部沖突不斷，網絡攻擊復雜性持續上升，各方均在加強網絡武器研發，提高基于網絡信息體系的作戰能力。

3 基于OODA的網絡安全態勢感知

在網絡安全事件中，迅速采取行動至關重要。據統計，大約超過一半的網絡釣魚電子郵件在一小時內會被點擊，11%的網絡釣魚電子郵件在發送后的一分鐘內被點擊。另外，當黑客測試被攻擊系統的網絡防御時，是在與網絡防御者的知識和技能進行較量，防御者在這個過程中做的任何混淆攻擊者認知的事情都會帶來巨大的回報。

3.1 OODA循環

OODA循環是一個迭代的學習系統和決策過程，由已故的美國空軍戰斗機飛行員和軍事戰略家John R.Boyd提出。OODA循環包括四個階段，分別是觀察（Observe）、定位（Orient）、決定（Decide）、行動（Act）[4]。

3.2 OODA循環與網絡安全態勢感知

網絡安全態勢感知可以提供監視和攻擊分析能力，對應OODA環中的觀察和定位兩個階段，配合后續決策以及事件響應和恢復能力（對應OODA環中的決定和行動）即可完成網絡空間安全運營效果的整體提升。基于OODA循環的網絡安全態勢感知建設理念，從觀察和定位出發，同時考慮決策和行動，才能為構造出體現整個安全運營能力的OODA循環、形成安全對抗體系能力奠定堅實基礎，詳見圖1。

圖1 態勢感知與OODA循環關系

3.3 基于OODA的態勢感知平臺總體架構設計

本文中設計的網絡態勢感知平臺架構，可面向不同的用戶群體，自主組合可視化展現模塊。態勢感知平臺的信息流來自不同的平臺，基于多種資源持續監控分析，運用多種技術組合、知識信息、人員判斷，研判出網絡安全事件，進行實時告警及聯動相應安全防護設備處置。同時，典型安全數據不斷擴充知識庫、智能算法不斷優化規則，實現告警的精準研判。該平臺以不同維度，實現了安全可視化。

4 網絡安全態勢感知平臺建設

4.1 數據采集

態勢感知平臺數據來源于多方面，包括但不限于安全設備、網絡設備、操作系統、應用系統、數據庫、中間件等。

4.2 數據轉化

通過各種方式采集到的數據，需要經過轉化處理，再提供到上層運用算法進行安全分析。

4.3 數據存儲

平臺具有多種存儲方式，針對建設單位產生的靜態數據和實時數據進行分別存儲。存儲形式具有可擴展性。

（1）Mysql數據庫，主要存儲靜態數據，比如國家地域信息、靜態模板、位置距離等。同時，針對資產臺賬、歷史情報和數據進行存儲。

（2）ES數據庫，Elasticsearch（簡稱ES）數據庫存儲動態數據或實時數據，是一個搜索的服務器，提供對大量數據的快速的檢索功能，大大提升了系統效率。針對網絡中鏡像的流量信息、設備上采集到的數據進行數據治理后，依據結構存儲到ES數據庫，供后續數據分析使用。

最終，形成4大庫：資產庫、基礎庫、原數據庫和情報庫。資產庫存放用戶資產設備和網絡信息、基礎庫主要存放模板信息、原數據庫存放實時數據、情報庫存放具有典型特征的歷史數據和威脅情報，用于構建用戶自己的知識庫體系。

4.4 數據分析

數據分析針對原數據進行智能分析，包括：關聯分析、情報分析、規則分析、用戶行為分析、機器學習、流量分析等功能，依據分析結果進行威脅告警。

4.4.1 關聯分析

對采集的數據進行集中收集、存儲，智能關聯分析告警源，關聯是指找出大量事件中存在的關系，并從這些大量事件中抽取出真正重要的少量事件。借助先進的智能事件關聯分析引擎，系統能夠實時不間斷地對所有范式化后的日志流進行安全事件關聯分析。系統提供了三種事件關聯分析技術：

1）基于規則的關聯分析

基于規則的關聯分析是指系統通過事件關聯引擎進行規則匹配，識別已知模式的攻擊和違規的過程，屬于最經典和傳統的一種關聯分析技術。基于規則的關聯分析核心在于規則的編寫。

2）基于情景的關聯分析

基于情境（Context）的關聯分析是指將安全事件與當前網絡和業務的實際運行環境進行關聯，透過更廣泛的信息相關性分析，識別安全威脅。這種技術也被稱作“情境感知”（Context-Aware），支持基于資產、弱點、網絡告警、拓撲的情境關聯分析。

3）基于行為的關聯分析

事件行為分析是基于異常檢測的主動分析模式，通過對實時活動與基準行為的對比來揭示可疑的攻擊活動，可以智能發現隱藏的攻擊行為。系統支持兩種行為分析技術：動態基線技術和預測分析技術。

4.4.2 其他分析方法

1）情報分析。平臺可通過網絡爬蟲和API接口收集各安全廠商、國家平臺、安全社區、商業平臺發布的威脅情報信息，通過IDS、APT檢測、僵木蠕檢測、蜜罐網絡收集攻擊痕跡，并結合外部威脅情報，應用基于日志存儲查詢、數據流匹配等手段，進行精確情報分析[2]。

2）規則分析。規則分析是通過解析后的事件匹配規則模型，平臺內置多種安全規則庫，及機器學習的算法，自動優化安全規則庫。

3）用戶行為分析。通過機器學習優化UEBA庫，建立用戶正常行為基線。通過用戶行為分析引擎進行多維度的比對，及時發現用戶嚴重偏離基線的異常行為。

4）機器學習分析。機器學習算法對大量的歷史日志和安全信息進行關聯，對用戶的行為進行一個長周期的分析，建立正常用戶行為基線或畫像，找出異常行為和隱藏的威脅。

5）流量分析。基于DPI和DFI對流量進行識別、解析和檢測，通過智能分析引擎和用戶行為分析引擎對流量進行匹配。DPI包檢測技術要對數據包進行拆包，DFI通過流量特征模型匹配，效率上DFI速度更快。

4.5 決策處置

4.5.1 平臺響應處置

平臺通過對數據分析后，生成安全告警，并提供實時響應的機制，對于發生的安全告警能夠及時通知運維人員，方式包含但不限于以下方式：郵件、短信、工單等多種方式，并可以觸發響應處理流程，直至跟蹤到問題處理完畢，從而實現安全事件的閉環管理，提升運維效率[3]。

4.5.2 預測可視化

平臺可提供用戶網絡內整體網絡安全態勢感知，展示包括外部態勢、資產態勢、告警態勢。平臺對用戶單位內采集的海量日志數據實現實時綜合性監控，可根據用戶不同的安全分析應用場景，自定義屬于自己的儀表盤。展示方式包括餅圖、面積圖等，點擊儀表盤上的數據，可支持數據下鉆。充分利用組織安全設備生產的大量數據，整合信息孤島，深入分析問題，提高決策質量[4]。

5 結論

OODA理念闡述觀察、定位、決策、行動四步方法，運用到網絡安全空間，理解為對安全環境信息采集、數據治理和分析、安全預測和處置，其中預測和處置內容包含OODA決策和行動內容[5]。本文闡述的態勢感知平臺，從用戶處采集各類信息，經處理和分析后，能夠告警安全威脅事件，同時，可以通過二次分析預測進行安全可視化展示，供用戶進行安全決策。平臺能夠不斷擴充知識庫，支持搜索功能，能夠為用戶提供黑客畫像、溯源分析等內容。態勢感知平臺合理運用了OODA閉環思想，基于各種數據信息，服務于網絡安全。