深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台

核心提示： 应当说，到目前为止，深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台(3)，安全态势感知大体上处于学术界研究领域，核心的技术还有待于突破，为历史数据挖掘、追踪及分析服务，此外，包括数据融合技术、数据挖掘技术、模式识别技术等，尤其是对态势预测的研究尚处于起步阶段

应当说，到目前为止，安全态势感知大体上处于学术界研究领域，核心的技术还有待于突破，包括数据融合技术、数据挖掘技术、模式识别技术等，尤其是对态势预测的研究尚处于起步阶段，整体上距离产品化还有不少的距离。

但是，基于安全态势感知理论，部分技术已经可以指导现在的产品研发，并且一部分较成熟技术和模型已经实现了产品化和商业化。

3　实例分析：网御神州SecFox安全管理系统的态势感知模型

网御神州是国内首家将态势感知相关技术应用于成熟产品的厂家，网神SecFox安全管理系统是国内首个具有态势感知能力的安全管理平台（SOC）。下图展示了网神SecFox安全管理系统的态势感知模型：

图：网神SecFox安全管理系统的态势感知模型

整个模型分为以下几个主要部分：

1)　要素信息采集：在SOC2.0中，要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志，等等。

2)　事件归一化：对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展，例如增加地理位置信息，增加CIA安全属性，增加分类属性，等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面，事件会进入实时事件库，供态势评估使用，另一方面，事件会同时进入历史事件数据库，进行持久化存储，为历史数据挖掘、追踪及分析服务。此外，归一化后的事件可以直接可视化展示在用户界面上。