信息化觀察網(wǎng)

2016年5月16日，美國國防部國防信息系統(tǒng)局（DISA）發(fā)布了《大數(shù)據(jù)平臺和網(wǎng)絡(luò)分析態(tài)勢感知能力》文件，簡要介紹了該機(jī)構(gòu)的大數(shù)據(jù)平臺（BDP）及其網(wǎng)絡(luò)分析態(tài)勢感知能力（CSAAC）。

1、大數(shù)據(jù)平臺

大數(shù)據(jù)平臺（BDP）項(xiàng)目是由DISA開發(fā)的開源解決方案，由鮑勃·蘭德雷斯主要負(fù)責(zé)。該平臺支持?jǐn)?shù)據(jù)采集、關(guān)聯(lián)分析以及虛擬化基礎(chǔ)設(shè)施，能夠數(shù)小時(shí)內(nèi)完成數(shù)百臺服務(wù)器的安裝部署。BDP可以驅(qū)動(dòng)CSAAC的大部分功能套件，能夠?qū)SAAC中的數(shù)據(jù)、分析過程、可視化結(jié)果共享至各個(gè)任務(wù)合作方，包括國防部網(wǎng)絡(luò)運(yùn)維人員、企業(yè)服務(wù)用戶、網(wǎng)絡(luò)作戰(zhàn)部隊(duì)與網(wǎng)絡(luò)保護(hù)團(tuán)隊(duì)以及其他政府機(jī)構(gòu)。BDP項(xiàng)目的主要功能如圖1所示。

圖1 DISA開發(fā)的大數(shù)據(jù)平臺（BDP）主要功能

該平臺的最大優(yōu)勢體現(xiàn)在它并非單純地為DISA服務(wù)，還可利用它處理其他服務(wù)，并由其他合作方將它安裝在本地環(huán)境中，而且安裝過程非常簡單，任何具有Linux操作系統(tǒng)與Hadoop經(jīng)驗(yàn)的用戶都能夠快速上手。該平臺最大的挑戰(zhàn)在于對數(shù)據(jù)進(jìn)行分析并理解其含義，由于目前缺少數(shù)據(jù)分析方面的人才，DISA希望各合作方能夠參與這一領(lǐng)域，并將更多數(shù)據(jù)科學(xué)家引入該團(tuán)隊(duì)及運(yùn)營體系，這也從側(cè)面體現(xiàn)了“人”在大數(shù)據(jù)分析和態(tài)勢感知中的重要性。

2、網(wǎng)絡(luò)分析態(tài)勢感知能力

DISA提供一整套基于云的解決方案，用來對國防部信息網(wǎng)絡(luò)（DoDIN）的海量數(shù)據(jù)進(jìn)行收集，同時(shí)提供分析與可視化處理工具以對態(tài)勢進(jìn)行理解，該方案被稱為“網(wǎng)絡(luò)分析態(tài)勢感知能力”（CSAAC）。該方案可用于“非加密網(wǎng)絡(luò)協(xié)議路由網(wǎng)”（NIPRNET）與“保密網(wǎng)絡(luò)協(xié)議路由網(wǎng)”（SIPRNET），可使網(wǎng)絡(luò)分析人員及作戰(zhàn)人員用一種全新的綜合性視角審視DoDIN的活動(dòng)。CSAAC方案的整體情況如圖2所示。

圖2 網(wǎng)絡(luò)分析態(tài)勢感知能力（CSAAC）方案整體情況

CSAAC能夠提供以下幾類能力：

網(wǎng)絡(luò)運(yùn)行與態(tài)勢感知：該方案能夠提供近實(shí)時(shí)的網(wǎng)絡(luò)態(tài)勢感知能力，輔助DoDIN快速掌握各類網(wǎng)絡(luò)安全事件事故、資產(chǎn)配置狀態(tài)以及網(wǎng)關(guān)過濾等情況。

異常檢測：異常檢測套件可以偵測到對美國國防部敏感數(shù)據(jù)的完整性、機(jī)密性或可用性造成威脅的已認(rèn)證用戶。這項(xiàng)服務(wù)還允許分析人員在偵測到潛在內(nèi)部威脅后，向有關(guān)部門發(fā)出告警。

網(wǎng)絡(luò)防御作戰(zhàn)：“按指標(biāo)作戰(zhàn)”屬于CSAAC的網(wǎng)絡(luò)操作能力之一。該方案能夠幫助網(wǎng)絡(luò)安全分析人員利用自動(dòng)化工作流程審查網(wǎng)絡(luò)威脅報(bào)告，提取潛在指標(biāo)，發(fā)出告警，并在必要時(shí)自動(dòng)執(zhí)行防御性對策流程。

從運(yùn)行效果看，CSAAC增強(qiáng)了美國國防部網(wǎng)絡(luò)的整體安全水平，同時(shí)有力地保證了決策的制定和執(zhí)行。網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)部門負(fù)責(zé)人巴特丹稱，在將數(shù)據(jù)導(dǎo)入系統(tǒng)后，DISA對數(shù)據(jù)進(jìn)行檢索、排序、解析并探究其中的深層含義，提出問題并找到所需答案，如故障或異常，在此基礎(chǔ)上，DISA最終編寫出網(wǎng)絡(luò)環(huán)境內(nèi)各類異常狀況的對應(yīng)分析結(jié)論。

總體來說，DISA通過大數(shù)據(jù)平臺和網(wǎng)絡(luò)分析態(tài)勢感知能力方案的結(jié)合，構(gòu)建了一套具有宏觀視角的系統(tǒng)，有效地幫助安全運(yùn)營人員找到問題的答案，從而做出正確合理的指揮控制決策。該項(xiàng)目也為我國開展大數(shù)據(jù)平臺和網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)提供一定的指導(dǎo)。