基于OODA环的网络安全态势感知平台

卢 腾，胡 威，程 杰，崔兆伟，刘玉宽，张振山

（1国家电网有限公司信息通信分公司 北京 100761）（2中孚信息股份有限公司 北京 100048）

1 引言

网络安全中最困难的挑战是安全风险本身在不断变化。传统网络安全解决方案中，组织将大部分资源投入集中在边界安全上，以保护其最关键的系统组件并防御已知攻击。随着勒索病毒[1]、APT[2]和DDos[3]攻击等新型网络威胁的发展和变化，组织的系统需要更积极主动和适应性更强的网络安全方法。

与许多网络安全术语一样，态势感知是对威胁以及这些威胁如何随时间或环境变量波动而变化的分析与预测过程。态势感知意味着了解组织数据及其拥有的其他数据面临的当前威胁[4]，以及未来可能的威胁，其本质上，就是通过了解组织的环境并准确预测和响应可能发生的潜在问题来规避风险，或者制定有效的对策来保护组织关键任务。

2 研究现状

有研究在1985年提出了“态势感知”理论，将其定义为“在一定的时间和空间范围内对环境要素的感知，对其意义的理解，以及对其在不久的将来状态的映射”[4]。1999年，美国Tim Bass认为未来的网络管理和空中交通管制之间有着惊人的相似之处，根据空中交通管制提出网络态势感知的概念[5]。目前已经发展为能够提供实时识别、分析、预警安全威胁等功能的安全管理系统，为用户实现威胁检测、响应、溯源等自动化安全运营服务。近年来，全球网络空间局部冲突不断，网络攻击复杂性持续上升，各方均在加强网络武器研发，提高基于网络信息体系的作战能力。

3 基于OODA的网络安全态势感知

在网络安全事件中，迅速采取行动至关重要。据统计，大约超过一半的网络钓鱼电子邮件在一小时内会被点击，11%的网络钓鱼电子邮件在发送后的一分钟内被点击。另外，当黑客测试被攻击系统的网络防御时，是在与网络防御者的知识和技能进行较量，防御者在这个过程中做的任何混淆攻击者认知的事情都会带来巨大的回报。

3.1 OODA循环

OODA循环是一个迭代的学习系统和决策过程，由已故的美国空军战斗机飞行员和军事战略家John R.Boyd提出。OODA循环包括四个阶段，分别是观察（Observe）、定位（Orient）、决定（Decide）、行动（Act）[4]。

3.2 OODA循环与网络安全态势感知

网络安全态势感知可以提供监视和攻击分析能力，对应OODA环中的观察和定位两个阶段，配合后续决策以及事件响应和恢复能力（对应OODA环中的决定和行动）即可完成网络空间安全运营效果的整体提升。基于OODA循环的网络安全态势感知建设理念，从观察和定位出发，同时考虑决策和行动，才能为构造出体现整个安全运营能力的OODA循环、形成安全对抗体系能力奠定坚实基础，详见图1。

图1 态势感知与OODA循环关系

3.3 基于OODA的态势感知平台总体架构设计

本文中设计的网络态势感知平台架构，可面向不同的用户群体，自主组合可视化展现模块。态势感知平台的信息流来自不同的平台，基于多种资源持续监控分析，运用多种技术组合、知识信息、人员判断，研判出网络安全事件，进行实时告警及联动相应安全防护设备处置。同时，典型安全数据不断扩充知识库、智能算法不断优化规则，实现告警的精准研判。该平台以不同维度，实现了安全可视化。

4 网络安全态势感知平台建设

4.1 数据采集

态势感知平台数据来源于多方面，包括但不限于安全设备、网络设备、操作系统、应用系统、数据库、中间件等。

4.2 数据转化

通过各种方式采集到的数据，需要经过转化处理，再提供到上层运用算法进行安全分析。

4.3 数据存储

平台具有多种存储方式，针对建设单位产生的静态数据和实时数据进行分别存储。存储形式具有可扩展性。

（1）Mysql数据库，主要存储静态数据，比如国家地域信息、静态模板、位置距离等。同时，针对资产台账、历史情报和数据进行存储。

（2）ES数据库，Elasticsearch（简称ES）数据库存储动态数据或实时数据，是一个搜索的服务器，提供对大量数据的快速的检索功能，大大提升了系统效率。针对网络中镜像的流量信息、设备上采集到的数据进行数据治理后，依据结构存储到ES数据库，供后续数据分析使用。

最终，形成4大库：资产库、基础库、原数据库和情报库。资产库存放用户资产设备和网络信息、基础库主要存放模板信息、原数据库存放实时数据、情报库存放具有典型特征的历史数据和威胁情报，用于构建用户自己的知识库体系。

4.4 数据分析

数据分析针对原数据进行智能分析，包括：关联分析、情报分析、规则分析、用户行为分析、机器学习、流量分析等功能，依据分析结果进行威胁告警。

4.4.1 关联分析

对采集的数据进行集中收集、存储，智能关联分析告警源，关联是指找出大量事件中存在的关系，并从这些大量事件中抽取出真正重要的少量事件。借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统提供了三种事件关联分析技术：

1）基于规则的关联分析

基于规则的关联分析是指系统通过事件关联引擎进行规则匹配，识别已知模式的攻击和违规的过程，属于最经典和传统的一种关联分析技术。基于规则的关联分析核心在于规则的编写。

2）基于情景的关联分析

基于情境（Context）的关联分析是指将安全事件与当前网络和业务的实际运行环境进行关联，透过更广泛的信息相关性分析，识别安全威胁。这种技术也被称作“情境感知”（Context-Aware），支持基于资产、弱点、网络告警、拓扑的情境关联分析。

3）基于行为的关联分析

事件行为分析是基于异常检测的主动分析模式，通过对实时活动与基准行为的对比来揭示可疑的攻击活动，可以智能发现隐藏的攻击行为。系统支持两种行为分析技术：动态基线技术和预测分析技术。

4.4.2 其他分析方法

1）情报分析。平台可通过网络爬虫和API接口收集各安全厂商、国家平台、安全社区、商业平台发布的威胁情报信息，通过IDS、APT检测、僵木蠕检测、蜜罐网络收集攻击痕迹，并结合外部威胁情报，应用基于日志存储查询、数据流匹配等手段，进行精确情报分析[2]。

2）规则分析。规则分析是通过解析后的事件匹配规则模型，平台内置多种安全规则库，及机器学习的算法，自动优化安全规则库。

3）用户行为分析。通过机器学习优化UEBA库，建立用户正常行为基线。通过用户行为分析引擎进行多维度的比对，及时发现用户严重偏离基线的异常行为。

4）机器学习分析。机器学习算法对大量的历史日志和安全信息进行关联，对用户的行为进行一个长周期的分析，建立正常用户行为基线或画像，找出异常行为和隐藏的威胁。

5）流量分析。基于DPI和DFI对流量进行识别、解析和检测，通过智能分析引擎和用户行为分析引擎对流量进行匹配。DPI包检测技术要对数据包进行拆包，DFI通过流量特征模型匹配，效率上DFI速度更快。

4.5 决策处置

4.5.1 平台响应处置

平台通过对数据分析后，生成安全告警，并提供实时响应的机制，对于发生的安全告警能够及时通知运维人员，方式包含但不限于以下方式：邮件、短信、工单等多种方式，并可以触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理，提升运维效率[3]。

4.5.2 预测可视化

平台可提供用户网络内整体网络安全态势感知，展示包括外部态势、资产态势、告警态势。平台对用户单位内采集的海量日志数据实现实时综合性监控，可根据用户不同的安全分析应用场景，自定义属于自己的仪表盘。展示方式包括饼图、面积图等，点击仪表盘上的数据，可支持数据下钻。充分利用组织安全设备生产的大量数据，整合信息孤岛，深入分析问题，提高决策质量[4]。

5 结论

OODA理念阐述观察、定位、决策、行动四步方法，运用到网络安全空间，理解为对安全环境信息采集、数据治理和分析、安全预测和处置，其中预测和处置内容包含OODA决策和行动内容[5]。本文阐述的态势感知平台，从用户处采集各类信息，经处理和分析后，能够告警安全威胁事件，同时，可以通过二次分析预测进行安全可视化展示，供用户进行安全决策。平台能够不断扩充知识库，支持搜索功能，能够为用户提供黑客画像、溯源分析等内容。态势感知平台合理运用了OODA闭环思想，基于各种数据信息，服务于网络安全。