2016年5月16日,美国国防部国防信息系统局(DISA)发布了《大数据平台和网络分析态势感知能力》文件,简要介绍了该机构的大数据平台(BDP)及其网络分析态势感知能力(CSAAC)。
1、大数据平台
大数据平台(BDP)项目是由DISA开发的开源解决方案,由鲍勃·兰德雷斯主要负责。该平台支持数据采集、关联分析以及虚拟化基础设施,能够数小时内完成数百台服务器的安装部署。BDP可以驱动CSAAC的大部分功能套件,能够将CSAAC中的数据、分析过程、可视化结果共享至各个任务合作方,包括国防部网络运维人员、企业服务用户、网络作战部队与网络保护团队以及其他政府机构。BDP项目的主要功能如图1所示。
图1 DISA开发的大数据平台(BDP)主要功能
该平台的最大优势体现在它并非单纯地为DISA服务,还可利用它处理其他服务,并由其他合作方将它安装在本地环境中,而且安装过程非常简单,任何具有Linux操作系统与Hadoop经验的用户都能够快速上手。该平台最大的挑战在于对数据进行分析并理解其含义,由于目前缺少数据分析方面的人才,DISA希望各合作方能够参与这一领域,并将更多数据科学家引入该团队及运营体系,这也从侧面体现了“人”在大数据分析和态势感知中的重要性。
2、网络分析态势感知能力
DISA提供一整套基于云的解决方案,用来对国防部信息网络(DoDIN)的海量数据进行收集,同时提供分析与可视化处理工具以对态势进行理解,该方案被称为“网络分析态势感知能力”(CSAAC)。该方案可用于“非加密网络协议路由网”(NIPRNET)与“保密网络协议路由网”(SIPRNET),可使网络分析人员及作战人员用一种全新的综合性视角审视DoDIN的活动。CSAAC方案的整体情况如图2所示。
图2 网络分析态势感知能力(CSAAC)方案整体情况
CSAAC能够提供以下几类能力:
网络运行与态势感知:该方案能够提供近实时的网络态势感知能力,辅助DoDIN快速掌握各类网络安全事件事故、资产配置状态以及网关过滤等情况。
异常检测:异常检测套件可以侦测到对美国国防部敏感数据的完整性、机密性或可用性造成威胁的已认证用户。这项服务还允许分析人员在侦测到潜在内部威胁后,向有关部门发出告警。
网络防御作战:“按指标作战”属于CSAAC的网络操作能力之一。该方案能够帮助网络安全分析人员利用自动化工作流程审查网络威胁报告,提取潜在指标,发出告警,并在必要时自动执行防御性对策流程。
从运行效果看,CSAAC增强了美国国防部网络的整体安全水平,同时有力地保证了决策的制定和执行。网络态势感知系统部门负责人巴特丹称,在将数据导入系统后,DISA对数据进行检索、排序、解析并探究其中的深层含义,提出问题并找到所需答案,如故障或异常,在此基础上,DISA最终编写出网络环境内各类异常状况的对应分析结论。
总体来说,DISA通过大数据平台和网络分析态势感知能力方案的结合,构建了一套具有宏观视角的系统,有效地帮助安全运营人员找到问题的答案,从而做出正确合理的指挥控制决策。该项目也为我国开展大数据平台和网络安全态势感知能力建设提供一定的指导。
