深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台

核心提示： 2安全态势感知模型说到态势感知，就必须提到数据融合（Data Fusion），深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台(2)，数据融合是指将来自多个信息源的数据收集起来，进行关联、组合，学术界和产业界也提出了一些态势感知的模型，我们以后会专门论述CEP在安全事件管理领域的运

2　安全态势感知模型

说到态势感知，就必须提到数据融合（Data Fusion）。数据融合是指将来自多个信息源的数据收集起来，进行关联、组合，提升数据的有效性和精确度。可以看出，数据融合的研究与态势感知在很多方面都是相似的。目前，大部分安全态势感知的模型都是基于美国的军事机构JDL给出的数据融合模型衍生出来的。如下图所示，为我们展示了一个典型的安全态势感知模型：

图：一个典型的态势感知模型

在这个基于人机交互的模型中，态势感知的实现被分为了5个级别（阶段），首先是对IT资源进行要素信息采集，然后经过不同级别的处理及其不断反馈，最终通过态势可视化实现人机交互。5个处理级别分为是：

1)　数据预处理：可选的级别，对于部分不够规整的数据进行预处理，例如用户分布式处理、杂质过滤，等等。

2)　事件提取：是指要素信息采集后的事件标准化、修订，以及事件基本特征的扩展。

3)　态势评估：包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息。

4)　影响评估：它将当前态势映射到未来，对参与者设想或预测行为的影响进行评估。

5)　资源管理、过程控制与优化：通过建立一定的优化指标，对整个融合过程进行实时监控与评价，实现相关资源的最优分配。

当前，态势感知领域还有一个发展方向是复杂事件处理（Complex Event Processing，简称CEP），主要应用于金融、能源等行业的商业智能分析过程。基于CEP，学术界和产业界也提出了一些态势感知的模型。我们以后会专门论述CEP在安全事件管理领域的运用，本文不再讨论。