一种基于循环对抗的网络安全态势感知方法及系统与流程

本发明实施例涉及网络安全防护技术领域，尤其涉及一种基于循环对抗的网络安全态势感知方法及系统。

背景技术：

近年来，随着信息化及网络安全技术的发展，网络安全威胁越来越高级，呈现出新的特征和形势，比如由于持续增长的黑色产业规模和全业务链条，攻击者更加缜密、资源更加丰富、技能更为精湛，可以精心策划针对特定行业或组织的具有特定经济或政治目的的攻击。与此同时，这些较以往更高级的威胁，也呈现出新的行为和技术特征，如广泛撒网搜寻和利用已被攻陷主机、采用“免杀”型木马，绕过和逃逸技术演变等。

电力作为关键信息基础设施高度集中的行业，正是上述高级威胁的重灾区。2010年的伊朗核电站“震网”病毒攻击、2015年乌克兰电网发生世界首例因遭受黑客攻击而造成的大规模停电事故等案例说明，高级定向攻击可以轻而易举的绕过传统安全防护体系，从而给电力企业网络安全技术措施的部署带来全新的挑战。

在当前的网络安全攻防环境下，防御体系架构偏静态，缺乏对实时攻防状态的及时感知能力，本身不足以抵御坚定、持续的攻击者或高级威胁。如何利用组织内外的海量数据，构建动态的网络安全技术体系架构，通过网络安全状态监测、威胁情报共享、安全数据分析、安全威胁预测等环节提高电力基础设施中的网络安全防护能力成为了一个急需解决的问题。

在网络安全态势感知的分析过程中，会应用到很多成熟的分析模型，这些模型的分析方法虽各不相同，但多数都包含了感知、理解和预测的三个要素。目前市面上的态势感知产品普遍基于感知模型或数据融合模型，其代表为各种由siem或soc产品发展而来的态势感知产品。

(1)感知模型(endsley模型)

endsley模型中，态势感知始于感知。

感知包含对网络环境中重要组成要素的状态、属性及动态等信息，以及将其归类整理的过程。

理解则是对这些重要组成要素的信息的融合与解读，不仅是对单个分析对象的判断分析，还包括对多个关联对象的整合梳理。同时，理解是随着态势的变化而不断更新演变的，不断将新的信息融合进来形成新的理解。

在了解态势要素的状态和变化的基础上，对态势中各要素即将呈现的状态和变化进行预测。

(2)数据融合模型(jdl模型)

jdl(jointdirectorsoflaboratories)模型是信息融合系统中的一种信息处理方式，由美国国防部成立的数据融合联合指挥实验室提出。

jdl模型将来自不同数据源的数据和信息进行综合分析，根据它们之间的相互关系，进行目标识别、身份估计、态势评估和威胁评估，融合过程会通过不断的精炼评估结果来提高评估的准确性。

在网络安全态势感知中，面对来自内外部大量的安全数据，通过jdl模型进行数据的融合分析，能够实现对分析目标的感知、理解与影响评估，为后续的预测提供重要的分析基础和支撑。

基于感知模型或数据融合模型的siem及soc产品的安全态势感知平台建设模式，其安全要素获取维度分为两个大类：流量分析和日志采集分析，同时再结合威胁情报、智能分析等技术实现对整网安全问题的分析、定位以及安全状态的可视化度量。

现有态势感知分析方法绝大多数是对传统的siem和soc产品的继承和发展，通过加入威胁情报、大数据、智能分析等技术，使得态势感知平台比siem和soc相比具有更好的感知、预测能力。无论是siem和soc产品，还是态势感知产品的分析技术的的核心是对现有安全产品的安全监测结果进行采集和综合分析。同时，现有的态势感知普遍以技术为主导，忽略了安全工作落地的问题。具体如下：

1)数据盲点问题。siem和soc是以尊重在流量、端点、日志等方面的既有结果为基础的，那么在基础能力中未被采集的数据一定不会出现在siem和soc中。也就是说，siem和soc的有效性一定程度上取决于向它供给相关日志、流量等环节的有效性，因此，一旦这些环节的基础能力不足，就会导致出现盲点。而在siem和soc如今的实践上，我们已经看到了包括基础能力不足导致感知盲点、海量日志产生噪音效应、无法保留线索、无法进一步溯源、无法定位关键威胁等一系列问题。

2)预测有效性问题。现有的态势感知平台基本延续siem、soc的分析方法，通过数据的预处理、去重、归并等手段压缩原始事件数据，采用基于统计、基于趋势、基于关联等方法进行分析建模，安全告警往往都是基于单一场景，对于apt之类的高级定向攻击往往缺乏分析预测能力，即：无法通过循环分析模式，来应对复杂的攻击场景。

3)安全工作落地问题。组织内的安全告警主要为安全攻击和内部违规行为告警，其中内部违规行为告警一般占大部分。传统态势感知平台为纯技术分析平台，主要解决安全攻击、漏洞、脆弱性等方面的感知、预测、分析难题，但是由于缺乏对组织的管理制度、工作机制的理解、学习、关联能力，这就使得态势感知平台仅仅成为it人员应对外部威胁的工具，而无法成为组织安全工作的最高门户。即：平台无法将人、技术、管理进行深入融合，解决安全工作落地问题。

技术实现要素：

本发明提供一种基于循环对抗的网络安全态势感知方法及系统，以解决现有技术的不足。

为实现上述目的，本发明提供以下的技术方案：

第一方面，本发明实施例提供一种基于循环对抗的网络安全态势感知方法，包括：

在ppdr模型阶段，将由ppdr模型采集到的原始数据通过大数据存储和分析，形成各种安全告警，并输出到态势感知阶段；

在态势感知阶段，将所述安全告警结合态势感知模型，进行动态实时的安全分析，实现对态势的评估，并输出态势感知结果到安全决策阶段；

在安全决策阶段，利用所述态势感知结果，在人员、流程和技术三个要素的指导下，形成以组织风险为导向的决策分析，实时绘制出组织的网络安全指数，按照雷达图识别出组织在安全治理方面的短板，为组织提供针对性、科学性和有效性的安全决策，并输出到体系落地阶段；

在体系落地阶段，对组织的人员、技术、管理进行有效融合，将所述安全决策一方面反馈给ppdr模型阶段的所述ppdr模型，致使所述ppdr模型的采集能力迭代提高，另一方面以推送指令的形式下发给各种安全防护设备，协同联动地调整安全策略。

进一步地，所述基于循环对抗的网络安全态势感知方法中，所述原始数据包括各种系统日志、安全日志、脆弱性扫描结果、审计数据、流量数据、主机状态和主机配置。

进一步地，所述基于循环对抗的网络安全态势感知方法中，所述态势感知模型包括总体态势模型、合规态势模型、资产态势模型、攻击态势模型和漏洞态势模型。

进一步地，所述基于循环对抗的网络安全态势感知方法中，所述组织风险包括网络攻击风险、合规风险、基线风险、员工违规行为风险和漏洞处置风险。

第二方面，本发明实施例提供一种基于循环对抗的网络安全态势感知系统，包括：

数据采集模块，用于在ppdr模型阶段，将由ppdr模型采集到的原始数据通过大数据存储和分析，形成各种安全告警，并输出到态势感知阶段；

态势评估模块，用于在态势感知阶段，将所述安全告警结合态势感知模型，进行动态实时的安全分析，实现对态势的评估，并输出态势感知结果到安全决策阶段；

决策提供模块，用于在安全决策阶段，利用所述态势感知结果，在人员、流程和技术三个要素的指导下，形成以组织风险为导向的决策分析，实时绘制出组织的网络安全指数，按照雷达图识别出组织在安全治理方面的短板，为组织提供针对性、科学性和有效性的安全决策，并输出到体系落地阶段；

决策落地模块，用于在体系落地阶段，对组织的人员、技术、管理进行有效融合，将所述安全决策一方面反馈给ppdr模型阶段的所述ppdr模型，致使所述ppdr模型的采集能力迭代提高，另一方面以推送指令的形式下发给各种安全防护设备，协同联动地调整安全策略。

进一步地，所述基于循环对抗的网络安全态势感知系统中，所述原始数据包括各种系统日志、安全日志、脆弱性扫描结果、审计数据、流量数据、主机状态和主机配置。

进一步地，所述基于循环对抗的网络安全态势感知系统中，所述态势感知模型包括总体态势模型、合规态势模型、资产态势模型、攻击态势模型和漏洞态势模型。

进一步地，所述基于循环对抗的网络安全态势感知系统中，所述组织风险包括网络攻击风险、合规风险、基线风险、员工违规行为风险和漏洞处置风险。

本发明实施例提供的一种基于循环对抗的网络安全态势感知方法及系统，基于循环对抗的思路，将传统的“应急响应”转变为“持续响应”，对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制，可以实现安全技术体系从传统的被动防御逐步迈向主动感知，从单纯防御迈向积极对抗，从独立防护迈向情报驱动的全面技术转型升级。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例一提供的一种基于循环对抗的网络安全态势感知方法的流程示意图；

图2是本发明实施例二提供的一种基于循环对抗的网络安全态势感知系统的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

请参阅附图1，为本发明实施例一提供的一种基于循环对抗的网络安全态势感知方法的流程示意图，该方法适用于网络安全防护的场景，该方法由基于循环对抗的网络安全态势感知系统来执行。该方法具体包括如下步骤：

s101、在ppdr模型阶段，将由ppdr模型采集到的原始数据通过大数据存储和分析，形成各种安全告警，并输出到态势感知阶段；

其中，所述原始数据包括各种系统日志、安全日志、脆弱性扫描结果、审计数据、流量数据、主机状态和主机配置。

需要说明的是，该架构以持续监测为核心，驱动实现了预测、防护、检测和响应的安全循环，相对传统的pdr架构，在预测环节增加了安全威胁预测、在检测环节强化了基于行为的检测，更深入的诠释了动态防御的理念，从而可以自适应于电网it基础架构和业务应用系统的变化，并能形成统一安全策略应对未来更加隐秘、专业的高级攻击。

s102、在态势感知阶段，将所述安全告警结合态势感知模型，进行动态实时的安全分析，实现对态势的评估，并输出态势感知结果到安全决策阶段；

其中，所述态势感知模型包括总体态势模型、合规态势模型、资产态势模型、攻击态势模型和漏洞态势模型。

需要说明的是，该动态体系架构强化了态势感知的数据分析、处理和理解能力，通过对ppdr模型阶段输出的安全告警，再结合态势感知模型(如总体态势、合规态势、资产态势、攻击态势、漏洞态势等)，进行动态实时的安全分析，来实现对态势的呈现。同时，结合模型感知能力，分析攻击者的意图，把握网络安全状况及未来发展趋势，以及时、准确、高效的网络安全数据支撑安全管理员决策。态势感知是一个承上启下的核心阶段，以它为核心实现了安全分析与业务支撑之间的循环迭代。态势感知阶段为安全决策阶段提供各种基于各种感知模型的分析结果。

s103、在安全决策阶段，利用所述态势感知结果，在人员、流程和技术三个要素的指导下，形成以组织风险为导向的决策分析，实时绘制出组织的网络安全指数，按照雷达图识别出组织在安全治理方面的短板，为组织提供针对性、科学性和有效性的安全决策，并输出到体系落地阶段；

其中，所述组织风险包括网络攻击风险、合规风险、基线风险、员工违规行为风险和漏洞处置风险。

s104、在体系落地阶段，对组织的人员、技术、管理进行有效融合，将所述安全决策一方面反馈给ppdr模型阶段的所述ppdr模型，致使所述ppdr模型的采集能力迭代提高，另一方面以推送指令的形式下发给各种安全防护设备，协同联动地调整安全策略。

需要说明的是，该阶段主要将组织的安全管理制度、机制、流程等转化为平台的分析策略、电子流程等，将安全工作从it部门延展到全员，结合绩效手段等，撬动所有人员的安全意识提升、安全行为合规、安全告警处置，以实现快速的风险处置。即实现：人、技术、管理的有效融合。

以上4个阶段相互作用，在安全决策过程中，需要在人员、流程和技术三个要素的指导下，充分利用外部威胁情报和内部的各种日志、扫描、流量、审计等数据，以数字化的安全能力支撑高效精准的安全决策。安全决策的结果一方面反馈给ppdr模型，用于其迭代提高；另一方面以pushcommand的形式下发给各种安全防护设备，协同联动的调整其安全防护策略，从而提高安全保障能力。

需要说明的是，传统的态势感知平台侧重于构建技术能力，主要包括预测、防御、检测、响应等，仍以发现风险为主，组织的安全工作仍处于应急响应模式阶段；还有就是，传统的态势感知平台仍定位于it技术人员的工作平台，无法把组织的安全决策者、普通员工等按职责和流程进行融合，无法支撑组织的安全决策、体系落地工作。本发明从组织的安全治理视角出发，强调技术和管理并重，在构建态势感知能力的同时，强调决策支持，强调人、技术、管理的体系融合，从而为循环对抗提供管理、技术、流程、人员的支撑。

循环对抗(ooda模型)的概念直接来自boyd控制循环模型，它描述了目的与活动的感知过程，并将感知循环过程分为观察、判断、决策、行动这4个阶段。其中，观察实现了从物理域跨越到信息域；判断和决策属于认知域；而行动实现信息域到物理域的闭合，完成循环。前3个阶段类似于jdl数据融合模型，而行动阶段考虑了决策对真实世界中的影响来闭合循环，更适用于需要进行主动干预的环境中。ooda是指观察(oberve)、调整(orient)、决策(decide)以及行动(act)，它是信息战领域的一个概念。ooda是一个不断收集信息、评估决策和采取行动的过程。

与基于感知模型和数据融合模型的网络安全态势感知分析方法相比，从ooda循环的定义就可以看出，它非常适用于有着“对抗”特征的网络安全领域，尤其适合进入主动安全防御阶段的组织重点考虑。因为主动防御阶段本身就是以实时安全分析为中心，以持续快速响应为驱动，通过内外部情报驱动的决策与行动以对抗威胁，并动态适应调整安全策略。

同时，从网络安全分析的思路上看，传统的分析模型对分析的结果侧重于防御和拦截，而基于循环对抗的分析思路是侧重于与攻击者的博弈过程。将ooda循环应用在网络安全态势感知中，攻击者与分析者都面临这样的循环过程：在观察中感知攻击与被攻击，在理解中调整并决策攻击与防御方法，预测对手下一个动作并发起行动，同时进入下一轮的观察。如果分析者的ooda循环比攻击者快，那么分析者有可能“进入”对方的循环中，从而占据优势。例如通过关注对方正在进行或者可能进行的事情，即分析对手的ooda环，来判断对手下一步将采取的动作，而先于对方采取行动。

本发明实施例提供的一种基于循环对抗的网络安全态势感知方法，基于循环对抗的思路，将传统的“应急响应”转变为“持续响应”，对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制，可以实现安全技术体系从传统的被动防御逐步迈向主动感知，从单纯防御迈向积极对抗，从独立防护迈向情报驱动的全面技术转型升级。

实施例二

如图2所示，本发明实施例提供一种基于循环对抗的网络安全态势感知系统，具体包括如下模块：

数据采集模块21，用于在ppdr模型阶段，将由ppdr模型采集到的原始数据通过大数据存储和分析，形成各种安全告警，并输出到态势感知阶段；

态势评估模块22，用于在态势感知阶段，将所述安全告警结合态势感知模型，进行动态实时的安全分析，实现对态势的评估，并输出态势感知结果到安全决策阶段；

决策提供模块23，用于在安全决策阶段，利用所述态势感知结果，在人员、流程和技术三个要素的指导下，形成以组织风险为导向的决策分析，实时绘制出组织的网络安全指数，按照雷达图识别出组织在安全治理方面的短板，为组织提供针对性、科学性和有效性的安全决策，并输出到体系落地阶段；

决策落地模块24，用于在体系落地阶段，对组织的人员、技术、管理进行有效融合，将所述安全决策一方面反馈给ppdr模型阶段的所述ppdr模型，致使所述ppdr模型的采集能力迭代提高，另一方面以推送指令的形式下发给各种安全防护设备，协同联动地调整安全策略。

优选的，所述原始数据包括各种系统日志、安全日志、脆弱性扫描结果、审计数据、流量数据、主机状态和主机配置。

优选的，所述态势感知模型包括总体态势模型、合规态势模型、资产态势模型、攻击态势模型和漏洞态势模型。

优选的，所述组织风险包括网络攻击风险、合规风险、基线风险、员工违规行为风险和漏洞处置风险。

上述系统可执行本发明任意实施例所提供的方法，具备执行方法相应的功能模块和有益效果。

本发明实施例提供的一种基于循环对抗的网络安全态势感知系统，基于循环对抗的思路，将传统的“应急响应”转变为“持续响应”，对安全威胁进行实时动态分析，自动适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制，可以实现安全技术体系从传统的被动防御逐步迈向主动感知，从单纯防御迈向积极对抗，从独立防护迈向情报驱动的全面技术转型升级。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。