态势感知整理版

态势感知研究和应用现状

0、定义

0.1态势感知

“态势感知”这个词最早源于军事。美国研发的各类导弹预警系统，就是这个概念最初的应用。公认的态势感知概念是：在特定时空下，对动态环境中各元素或对象的感知、理解以及对未来状态的预测。

0.2网络态势

网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

0.3网络态势感知

网络态势感知则是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3]

态势是一种状态、一种趋势，是整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性，环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性是态势随时间不断变化，态势信息不仅包括过去和当前的状态，还要对未来的趋势做出预测；整体性是态势各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其他网络实体的状态，进而影响整个网络的态势。

0.4网络安全态势感知

网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全提供保障。借助网络安全态势感知，网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况，对发起攻击的网络采取有效措施；网络用户可以清楚地掌握所在网络的安全状态和趋势，做好相应的防范准备，避免和减少网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案提供基础。[7]

0.5深度态势感知

深度态势感知的含义是“对态势感知的感知，是一种人机智慧，既包括了人的智慧，也融合了机器的智能（人工智能）”,是能指+所指，既涉及事物的属性（能指、感觉）又关联它们之间的关系（所指、知觉），既能够理解弦外之音，也能够明白言外之意。它是在Endsley以主体态势感知（包括信息输入、处理、输出环节）的基础上，是包括人、机（物）、环境（自然、社会）及其相互关系的整体系统趋势分析，具有“软/硬”两种调节反馈机制；既包括自组织、自适应，也包括他组织、互适应；既包括局部的定量计算预测，也包括全局的定性算计评估，是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲，深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动（如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反

馈等）的综合体现。既能够在信息、资源不足情境下运转，也能够在信息、资源超载情境下作用。[11]

1、研究现状

1.1网络安全态势体系结构

网络安全态势体系结构的实现形式主要有：C-S模式、B-S 模式、三层模式的B-S 结构、基于agent 的模型以及基于云计算的感知模式。基于agent 的模型是目前应用比较广泛的方式，具有动态执行、异步计算、并行求解及智能化路由的优点，极大地提高态势感知的速度与效率。大连理工大学许彪提出基于智能agent 的网络安全预测模型，充分发挥agent 的独立性和可扩展性等优点。东北石油大学卢爱平等提出基于移动agent 的网络安全态势感知模型，体现网络安全态势框架的动态化和分布式。中国电力科学研究院蒋诚智等提出基于智能agent 的电力信息网络安全态势感知模型，在数据采集层、评估分析层、协调管理层和态势决策层等部署agent，对电力信息网络安全监控和管理有一定的指导意义。哈尔滨工程大学郭方方等提出基于一种云计算的四层网络安全态势感知模型研究，有效解决节点处理能力不足的问题，解决了网络态势信息生成准确性的问题。云计算的分布式文件存储方法和并行计算方法能够很好地解决大规模数据的高效存储和处理问题。基于云计算的网络安全态势感知模型及方法的研究是网络安全防护领域的新方向，但是该技术目前还处于研究阶段。[10]

1.2网络安全态势感知方法

当前态势评估方法主要包括贝叶斯网络理论、隐马尔可夫模型、D-S 证据理论、模糊逻辑等。电子工程学院熊杰等研究贝叶斯网络的推理模型及信息传播算法并验证其有效性。空军工程大学方研等提出基于隐马尔科夫模型的网络安全态势评估方法。西安邮电学院李胜现等提出基于改进隐马尔可夫模型的网络动态风险评估方法，使用改进蚁群算法训练隐马尔可夫模型。南京理工大学孟锦等提出改进的时变D-S 证据理论方法对多传感器的证据进行融合。很多学者采用多种评估相结合的方法，如刘炜等利用模糊识别和D-S 证据理论，较好地解决多样本识别的不一致问题，有效地对识别结果进行融合。宁波大学张红兵等提出用模糊逻辑和贝叶斯网络技术结合的方法处理随机环境中的态势评估。哈尔滨工程大学司加全提出自适用模糊神经推理系统，采用神经网络与模糊系统相结合的评估方式。[10]

1.3网络安全态势预测

目前有很多预测方法，如神经网络、灰色理论、时间序列分析和支持向量机等。上海交通大学任伟等利用径向基函数（Radial–BasisFunction，RBF）神经网络方法对网络安全态势进行了预测。广东工业大学尤马彦等提出基于Elman 神经网络的网络安全态势预测方法。哈尔滨工程大学张永波研究灰色系统理论在预测模型中的应用。林肯实验室的Braun 和Jeswani 以及Lu 等利用支持向量机作为融合技术，对多源、多属性信息进行融合，从而产生对态势的感知。南京邮电大学瓮乾村提出基于粒子群优化的支持向量机预测方法。综合目前网络安全态势预测算法的优缺点，很多研究人员采用多种预测方式相结合的方式对态势进行预测。如辽宁行政学院姚晔提出基于熵值法的网络安全态势组合预测模型。江西理工大学曾斌等提出一种遗传算法和支持向量机相结合的网络安全态势预测模型。[10]

2、应用现状

2.1态势感知的提出

1）传统的安全设备、软件和系统无法有效应对新的威胁

传统的安全设备、软件和系统不懂得新出现的违规和异常的意义和逻辑，只是单纯的依赖特征库匹配进行着机械式的拦截/放行判断，无法去有效判断敌人，防护也无从说起，即传统安全防御手段对未知威胁没有防御作用，主要体现在：攻击者与防御者在信息上不对称；缺少本地原始数据，难以溯源分析；缺少能在海量数据中快速分析的工具；无法对信息系统内的海量数据进行有效利用。[12] 2）安全技术专家能力有限

虽然，攻击者留下的访问痕迹若是给有经验的安全技术专家，很可能可以熟练地从海量信息中分析出来，但我们又不可能一直依靠专家24小时进行攻击分析。

3）需要基于大数据分析实现安全监测预警

基于以上两点，需要将不眠不休与安全专家的分析能力结合起来。这一点，所有厂商都有了共同的认知，那就是基于大数据分析实现安全监测预警——安全态势感知。

2.2态势感知的三个阶段：

目前厂商普遍认为态势感知可以分为三个阶段：态势认知、态势理解和态势预测。[1]

1）态势认知

态势认知是了解当前的状态，包括状态识别与确认（攻击发现），以及对态势认知所需信息来源和素材的质量评价。

2）态势理解

态势理解则包括了解攻击的影响、攻击者（对手）的行为和当前态势发生的原因及方式。简单可概括为：损害评估、行为分析（攻击行为的趋势与意图分析）和因果分析（包括溯源分析和取证分析）。

3）态势预测

态势预测则是对态势发展情况的预测评估，主要包括态势演化（态势跟踪）和影响评估（情境推演）。

2.3态势感知能带来的价值

安全态势感知，遵循格物而致知的理念，推究分析安全事件的规律从而产生并具备对潜伏威胁的检测和发现能力，最终直观呈现安全现状及威胁。

2.4“爱因斯坦”（EINSTEIN）计划

“爱因斯坦”计划是美国联邦政府主导的一个网络安全自动监测项目，由国土安全部（DHS）下属的美国计算机应急响应小组（US-CERT）开发，用于监测针对政府网络的入侵行为，保护政府网络系统安全。“爱因斯坦”计划分为三个阶段，具有四种能力，包括：入侵检测、入侵防御、数据分析和信息共享。其中，爱因斯坦3计划的总体目标是识别并标记恶意网络传输（尤其是恶意邮件），以增强网络空间的安全分析、态势感知和安全响应能力。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应。美国政府仍然在支持该计划，2016年2月美国总统奥巴马发布的《网络安全国家行动计划》，“计划”中指出将要拓展“爱因斯坦”项目。[4]

2.5“PLANX”项目

“PLANX”是DARPA在2012年公布的一个项目，主要目标是开发革命性的技术在实时、大规模和动态的网络环境中理解、规划和管理网络战。基于一个

建立的通用地图，帮助军方网络操作人员可视化战场以及在战场中执行任务。该项目主要寻求在四个关键领域的创新研究：理解网络作战空间，自动化构建可核查可量化的网络操作，开发在动态、存在争夺以及敌对的网络环境中进行操作的操作系统或者平台和大型网络作战空间的可视化与交互。其中，大型网络作战空间的可视化与交互包括：开发直观的视图和整体用户体验，网络作战空间的协同交互能够提供计划、操作、态势感知和战争博弈功能。

2.6网络态势感知分析能力（CSAAC）

美国国防信息系统局（简称DISA）提供一整套基于云的解决方案，旨在对来自美国国防部信息网络（简称DoDIN）的大规模流量进行收集，同时提供分析与可视化处理工具以提取数据中包含的信息。这套解决方案集合被统称为“网络态势感知分析能力”（简称CSAAC），且目前已经面向非安全互联网协议路由网络（简称NIPRNET）与保密IP路由网络（简称SIPRNET）交付。CSAAC能够提供以下几种功能类型：

·DoDIN运营与态势感知。以DoD企业邮件监控为例，CSAAC能够为运营人员提供近实时态势感知能力，从而快速掌握事故、具体配置状态以及邮件网关过滤等相关情况。

·防御性网络操作(简称DCO)。按指标作战（简称FbI）属于CSAAC之内的网络操作能力之一。FbI能够帮助企业计算机网络分析师利用自动化工作流审查网络威胁报告，提取潜在指标，面向未来进程提供警报并在必要时自动执行DoD对策流程。

·异常检测。异常检测套件属于CSAAC功能之一，专门负责检测可能对敏感性DoD数据的完整性、机密性或者可用性造成威胁的已验证用户。这项服务还允许分析师在检测到潜在内部威胁后向有关部门发出警告。[6]

2.7NSA公开项目

美国国家安全局（NSA）开发的，现以开源软件的方式向公众公开的32个项目中也包含了专门用于态势感知的工具GRASSMARLIN，用于提供工业控制系统（ICS）、数据采集与监视控制（SCADA）网络的态势感知以确保网络安全。

2.8 360安全态势感知系统

360安全态势感知系统是基于环境的、动态、整体地洞悉安全风险的系统，以安全大数据为基础，帮助政府监管机构、行业和企业，从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力，实现安全能力的落地。其主要提出四大核心功能：检测、分析响应、预测预防和防御等功能。[13]

2.9匡恩威胁态势感知平台

匡恩威胁态势感知平台通过主动探测特定IP网络空间方式，不仅能够检索在线的工业控制系统、关键信息基础设施以及物联网设备，而且可以获得其详细系统信息和地理位置，并分析安全隐患，是一套对区域内工控及物联网设备进行网络安全态势分析、威胁量化评级以及安全预警的系统。[5]

2.10“谛听”网络空间安全态势感知平台

东北大学“谛听”网络安全团队设计并实现的“谛听”网络空间安全态势感知平台支持22种服务的协议指纹识别，实现基于威胁情报分析的全网工控资产画像，协议全覆盖、行业可细分、趋势可感知，实现工控设备的多维数据采集、蜜罐识别、漏洞扫描与评估等功能。

3、扩展应用

3.1网络态势大数据可视化平台

网络态势大数据可视化平台的作用将抽象的网络和系统数据进行可视化呈现，从而对网络中的安全设备、网络设备、应用系统、操作系统等整体环境进行安全状态监测，帮助用户快速掌握网络状况，识别网络异常、入侵，把握网络安全事件发展趋势，全方位感知网络安全态势。[2]

3.2主动防御技术

主动防御技术是采用行为算法针对新型未知攻击、组织化攻击进行防御的技术。主动防御技术在监控、分析、侦测等环节中采用主动感知，对未知威胁采取行为识别、智能处理和防御加固等主动性技术来进行防御。主动防御技术在未知的攻击发生的事前、事中和事后都需要对受保护的系统进行主动防御和相应的测试性操作，以确保系统的正常运行。[9]

3.3网络靶场

网络靶场是进行网络攻防武器试验的专业实验室，也是各国“网军”提前演练战术战法的练兵场。网络靶场通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战的战场环境，可有效针对敌方的电子和网络攻击等进行战争预演，以迅速提升网络攻防作战能力。

2008年，美国国防部高级研究计划局发布关于开展“国家网络靶场”项目研发工作的公告，明确提出“国家网络靶场”是国家网络安全计划的一部分。美国的“国家网络靶场”项目主要包括初步概念设计、交付靶场原型、进行靶场试验管理和正式运行4个阶段。其研究重点是：支撑网络空间安全技术演示验证、网络武器装备研制试验、攻防对抗演练以及网络风险评估分析等。

在建设网络靶场方面，英国也不甘落后，不仅建设了先进的“国家网络靶场”，还将部分靶场与美国“国家网络靶场”联网，建立了联合网络靶场，以便进行网络作战协同训练、评估和演习。此外，日本、加拿大和北约等相继建立了自己的网络靶场，欧洲防务署专门批准了网络攻防测试靶场的建设计划。网络靶场，已成为网络军事强国的基础标配。[8]

参考文献：

[1]安全牛。“态势感知为什么会火？”，2017-07-22；

[2]数字冰雹大数据可视化。“网络态势大数据可视化系统”，2016-03-16；

[3]E安全。“防止“黑天鹅”事件需态势感知态势感知又如何实现？”，2017-04-13；

[4] HPArkTeamArkTeam。““爱因斯坦”（EINSTEIN）计划综述”，2016-10-03；

[5]匡恩网络。“北美DDoS事件与IOT安防监控设备安全（二）”，2016-10-26；

[6]E安全。“美国国防信息系统局的大数据平台与分析功能”，2016-05-20；

[7] 曹蓉蓉。“大数据环境下网络安全态势感知研究”，数字图书馆论坛，2014年第02期（总第117期）；

[8] 网信军民融合。“网络靶场：未来军事对抗新战场”，2017-08-06；

[9] 鹏越网络空间安全研究院。“模拟攻击与防御设计”，2017-07-26；

[10] 管小娟，张涛，马媛媛，邓松。“网络安全态势感知研究综述”，2014年第12卷第5期，ELECTRIC POWER ICT；

[11]战略前沿技术。“深度态势感知”，2016-07-17；

[12] 360企业安全。“大数据安全分析及态势感知——企业网络的安全倍增器”，2016-06-14；

[13] 360企业安全。“态势感知驱动安全运营体系创新”，2017-06-10。

网络空间安全态势感知与大数据分析平台建设方案V1.0

网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力，统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高 效的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理， 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息 系统和网络，实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力： 一类是网站云监测，发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 （黑链 / 暗链）、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力，目前 360 补天漏洞众测平台注册有 多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。 第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测，发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里，与云端 IOC 威胁情报进行比对，发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比 对，把流量的历史、各种因素都关联起来，发现深度的威胁。 第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘 分析和关联，发现更深层次的安全威胁 1、网站安全数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术， 实现对重点网站安全性与可用性的监测，及时发现网站漏洞、网站挂马、网站篡改 （黑链 / 暗链）、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT

态势感知整理版

态势感知研究和应用现状 0、定义 0.1态势感知 “态势感知”这个词最早源于军事。美国研发的各类导弹预警系统，就是这个概念最初的应用。公认的态势感知概念是：在特定时空下，对动态环境中各元素或对象的感知、理解以及对未来状态的预测。 0.2网络态势 网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 0.3网络态势感知 网络态势感知则是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3] 态势是一种状态、一种趋势，是整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性，环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性是态势随时间不断变化，态势信息不仅包括过去和当前的状态，还要对未来的趋势做出预测；整体性是态势各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其他网络实体的状态，进而影响整个网络的态势。 0.4网络安全态势感知 网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全提供保障。借助网络安全态势感知，网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况，对发起攻击的网络采取有效措施；网络用户可以清楚地掌握所在网络的安全状态和趋势，做好相应的防范准备，避免和减少网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案提供基础。[7] 0.5深度态势感知 深度态势感知的含义是“对态势感知的感知，是一种人机智慧，既包括了人的智慧，也融合了机器的智能（人工智能）”,是能指+所指，既涉及事物的属性（能指、感觉）又关联它们之间的关系（所指、知觉），既能够理解弦外之音，也能够明白言外之意。它是在Endsley以主体态势感知（包括信息输入、处理、输出环节）的基础上，是包括人、机（物）、环境（自然、社会）及其相互关系的整体系统趋势分析，具有“软/硬”两种调节反馈机制；既包括自组织、自适应，也包括他组织、互适应；既包括局部的定量计算预测，也包括全局的定性算计评估，是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲，深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动（如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反

网络空间安全态势感知与大数据分析平台建设方案V1.0

网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力，统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高效的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理，定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统和网络，实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力： 一类是云监测，发现可用性的监测、漏洞、挂马、篡改（黑链/暗链）、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。 第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测，发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进行比对，发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。 第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分析和关联，发现更深层次的安全威胁。

网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0

网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力，统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高效的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理，定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统和网络，实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力：

一类是云监测，发现可用性的监测、漏洞、挂马、篡改（黑链/暗链）、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。 第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测，发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进行比对，发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。 第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分析和关联，发现更深层次的安全威胁。 1、安全数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术，实现对重点安全性与可用性的监测，及时发现漏洞、挂马、篡改（黑链/暗链）、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测：在云端实现对DDoS攻击的监测与发现，对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析，同时将分析结果实时推送给本地的大数据平台数据专用存储引擎；目前云监控中心拥有全国30多个省的流量监控资源，可以快速获取互联网上DDoS攻击的异常流量信息，

电力物联网全场景安全态势感知解决方案

电力物联网全场景安全态势感知解决方案 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系，提升电力物联网全场景安全态势感知能力，解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。 摘要 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系，提升电力物联网全场景安全态势感知能力，解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。对全业务电力物联网的各环节进行安全保障，防止恶意渗透攻击、防止数据丢失、防止恶意篡改，确保接入终端可信、传输通道可靠、业务应用可控，实现全景安全监测，全面提高全业务电力物联网安全综合防御能力。 关键词：电力物联网；全场景安全态势感知体系；云边协同；局部安全自治；联防联动机制 内容目录： 0 引言 1 目标及内涵 1.1 电力物联网特点

1.2 总体目标 2 关键产品及防护能力 2.1 “云”态势感知技术及产品 2.2 “网”态势感知技术及产品 2.3 “边”态势监测技术及产品 2.4 “端”态势监测技术及产品 3 应用案例 4 结语 ０引言 电力物联网是物联网在电力行业的具体表现形式和应用落地，通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备，以及人和物连接起来，产生共享数据，为用户、电网、发电、供应商和政府社会服务，以电网为枢纽，发挥平台和共享作用，为全行业和更多市场主体发展创造更大机遇，提供价值服务。作为落实建设能源互联网，加快新型数字基础设施建设的核心任务，建设电力物联网势不可挡。 然而，电力物联网的建设将极大改变现有电力业务模式和专业体系，也不可避免的对电网现有网络安全防护体系产生冲击；同时，随着国内外安全形势的不断变化，以及国家要求的进一步明确，都对物联网安全提出了新要求。

基于可视化的安全态势感知

基于可视化的安全态势感知 -世博会业务系统的信息保障 郁郎 关键词：网络安全；信息保障；安全态势；安全可视化；业务影响度 1.引言 被誉为“经济、科技、文化”奥林匹克的世界博览会，将于2010年在中国上海举办，作为信息时代下的一届世博会，上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时，上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见，信息系统是上海世博会筹办工作的中枢神经，信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模，世博信息安全是一项复杂工程，涉及面相当广泛，从基建设施，例如网络设备、主机、安全设备；到数据库、操作系统、中间件；再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。 在经典的IATF纵深防御理论中，针对类似于世博会这样大规模信息系统的运营，提出了“信息保障”[1]的概念，并在其技术框架中给出了人（People）、技术（Technology）、操作（Operation）三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环，如何有效对安全系统进行操控，如何依据系统提供的信息做出正确的决策？都是我们在保障信息安全时所面临的严峻挑战。 为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集，其目标在于解决目前安全系统的普遍存在的一个通病－对安全状态“看不见、看不懂、看不透！”，有效提升人对目前安全态势（security situation）的感知能力，对潜在的安全威胁做出预警，从而让人做出正确的决策。 本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点，分析基于“ 业务影响程度”（mission impact）的安全态势评估方法，阐述如何以保障和促进世博各项业务系统的运转为目标，使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知（Security Awareness）？ “一幅好图胜过千言万语！”这句话体现了安全态势感知的关键－可视化，一定是通过图形的方法把安全数据展示给人，人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力，计算机处理十万条安全事件的速度远比人快上千倍万倍，但从一幅图中发现其变化的趋势以及深层次的原因，人们的直觉却强大的多，这种客观的直觉我们称之为“态势感知”，通过计算机数据能力，再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程，原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程，安全态势感知是一个从底层数据到抽象信息，到获取高层知识的过程。

【安全】信息安全态势感知平台技术白皮书

【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息，成都思维世纪科技有限责任公司（以下简称“思维世纪”）有权更改或撤销其内容。 未经思维世纪的事先书面许可，不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。

目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。

安全态势感知平台

点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志，实时监控网络流量，利用大数据实时分析，采 取主动的安全分析和实时态势感知，快速发现威胁，控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点，并介绍一下安全态势感知平台哪家比较好。 事件收集，安全态势感知平台提供主动获取和被动接收多种事件获取方式，可收集所有类 型的事件信息。利用模式匹配进行数据解析，可解析所有格式的事件与日志，事件解析过程中，对解析规则进行智能学习，自动进行规则分类，可实现快速解析。正则表达式可灵活配置，灵 活接入新的事件与日志信息，产品可自由扩容，具备灵活的事件合并策略及强大的事件合并能力。 流量监控，安全态势感知平台流量监控实时监控网络流入流出的网络流量，通过对流量进 行协议识别和深度包检测，并对数据包进行还原与重组，提取数据流量中的内容，并对内容进 行检测，通过对检测结果的分析，发现数据流量中的异常行为，携带的病毒、木马以及恶意软件，隐藏的泄密行为等。 事件分析，安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析，挖掘真正的威胁，利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则，并提供灵活的规则配置界面，可根据需要自由配置，关联分析引擎可自由扩展，通过调度中心灵活控制，产品具有自由的扩容能力与强大的分析能力。 告警分析与处理，安全态势感知平台告警分析对关联分析结果进行深入分析，结合漏洞信息、资产信息、告警策略信息等，分析告警事件与资产之间的关联关系，告警事件与漏洞之间 的关联关系，利用网络安全指标体系计算网络风险值，发现高风险事件，高风险资产，并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件，进行持续跟踪分析，

态势感知研究的方法论

2011.02/中国信息安全/ 41 文/中国科技大学网络态势感知研究中心 王砚方 态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语，态势感知已成为研究网络安全所必需解决的问题，但业内的专家对此可能有不同的理解。本文企望通过相关的介绍和分析提出一己的看法。“态势感知”概念的来源由于人的因素在动态系统（如飞机驾驶、空中交通管制、电力网管理等）中彰显出越来越大的重要性，M.R.Endsley在1995年提出人类决策模型，总结出包括采集、理解和预测三个层次的态势感知模型。此模型基于各元素间的确定关系，例如由飞机的航速、方位角及风速判断它的落地点和落地时间，机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。再如战斗机驾驶员根据空中环境的动态变化，按规定的程序作战场上的各种相应的战术动作。在自动控制设备运行时，遇到异常时操作员如何介入，也可按专家事先制定的方案进行。总之，Endsley模型是指导人——机器的互动的原则：如果用较多的人工，可以得到对机器设备状态的较多的感知，因而可使设备接近最佳的状态；而如果自动程度较高，可以节省人工，但操作员的感知较少，遇 到不理想的情况就难以作出抉择，在这个问题 上，Endsley模型就是要解决人工同自动化之间最好的折中。这种模型适用于处理简单的系统，专家的先验的成分较多。显然，它不适用于复杂网络。事实上自这个模型提出的十五年来，在许多方面开拓了研究，如人员培训、设计、工作团队协调等方法有不少成果。国内有学者把它作为通用的理论模型，提出基于流量和局域网的单机日志的数据融合，建立大规模网络安全的态势评估模型。 到上世纪末，已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题，出现了把网络上安全传感器和计算机上的防入侵等

态势感知方案

XX单位 安全感知平台项目建设方案

目录 1 项目概况 (1) 1.1 项目名称 (1) 1.2 编制依据 (1) 1.3 项目立项依据 (2) 1.4 项目建设的必要性 (3) 1.5 项目建设目标 (4) 1.6 总投资估算 (5) 2 需求分析 (5) 2.1 信息化和安全建设现状分析 (5) 2.2 行业现状和攻防对抗需求分析 (6) 2.2.1 传统威胁有增无减，新型威胁层出不穷 (6) 2.2.2 已有检测技术难以应对新型威胁 (7) 2.2.3 未知威胁检测能力已经成为标配 (8) 2.3 现有安全体系的不足分析 (8) 2.3.1 看不清自身业务逻辑 (9) 2.3.2 看不见潜藏威胁隐患 (10) 2.3.3 缺乏整体安全感知能力 (11) 3 方案理念 (13) 3.1 看清业务逻辑 (13) 3.2 看见潜在威胁 (14)

3.3 看懂安全风险 (15) 3.4 辅助分析决策 (16) 4 解决方案 (16) 4.1 方案概述 (16) 4.2 安全感知系统 (17) 4.2.1 系统架构 (17) 4.2.2 部署拓扑 (18) 4.2.3 组件实现 (19) 4.2.4 主要功能 (28) 4.3 监测响应服务 (41) 4.3.1 安全事件监测、预警和通报 (41) 4.3.2 安全事件应急响应处置 (42) 4.3.3 重要时期信息安全保障 (44) 4.3.4 常规驻场值守服务 (44) 5 方案价值和主要技术优势 (44) 5.1 全网业务资产可视化 (44) 5.2 全网访问关系可视化 (45) 5.3 多维度威胁检测能力 (47) 5.4 安全风险告警和分析 (48) 5.5 全局视角态势可感知 (49) 6 价格估算表..................................................... 错误!未定义书签。

360态势感知与安全运营平台

360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期

目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理（收费模块） (11) 4.4 漏洞管理（收费模块） (12) 4.5 日志搜索 (12) 4.6 调查分析（收费模块） (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知（收费模块） (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)

1产品概述 360 态势感知与安全运营平台（以下简称NGSOC，Next Generation Security Operation Center）是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段，结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理，可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理，并能提供对威胁的事前预警、事中发现、事后回溯功能，贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验，同时将来自互联网公司的大数据技术注入到了产品的开发过程中，可以既满足海量日志下的快速计算分析需要，又能够兼顾大量基础管理功能，同时也汲取了国内SOC 经常无人使用的失败经验，有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现，并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外，也使用了大量新型安全技术，其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板，既可以帮助企业发现威胁，也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下，NGSOC产品正在引领国内安全管理产品市场的变革，同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据，360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件，同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件，如下图所示：

网络安全态势感知技术发展

作者版权所有 请勿转载

网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载

目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载

网络与信息安全的外部形势变化 近年来，国内外网络与信息安全事件频发，威胁和风险环境已经发生了显著的变化，新的安全漏洞和网络攻击方式不断涌现，对安全防护提出更高要求。 ?黑产链条发展迅猛，外部攻击手法不断升级：漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”；DDOS攻击、APT攻击、拖库、撞库等手法花式翻新； ?资产规模及种类日趋庞大，安全管理难度加大：操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等； ?网络与信息安全的内涵在不断扩充，价值不断提升：以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ，再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显，业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万， “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载

网络安全态势感知的定义及目标 目前，业界普遍接受“网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势 ，并以可视化方式展现给用户，并给出响应的报表和应对措施”的论述，但是尚未有统一的定义。经过多年的市场探索，态势感知系统通常作为安全运营体系的技术平台，旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来，国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同： 构建安全防护的“大脑”， 更好地加强纵深防 御，建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力，最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年，Tim Bass 提出：下一代NIDS 应该融合大量异构数据源，实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下，对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载

网络安全态势感知研究现状及分析

网络安全态势感知研究现状及分析 ［摘要］网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 ［关键词］CBR原理；网络安全态势感知；研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如：主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统（Intrusion Detection System,IDS）是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99％。误报警产生的原因可以分为两类：第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷；第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、

业互联网安全监测与态势感知解决方案

业互联网安全监测与态势感知解决方案

一、项目概况 通信管理局担负协调管理省内通信网、互联网、工业互联网网络信息安全的重要职责。为进一步规划统筹省内工业企业网络安全建设，推进“两化融合”进程，实现工业网络向数字化、网络化、智能化转变，某省通信管理局与中新赛克独家合作，通过在监管侧部署工业互联网安全监测与态势感知平台，实现对设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。 1.项目背景 今年来，我国从法律法规、战略规划、标准规范等多个层面对工业互联网安 全做出了一系列工作部署，提出了一系列工作要求。某通信管理局在对管局侧信 安系统“专线资源”进行审核时发现，省内企业基数大、工业资产类型繁杂难以实 现有效地统一监管，主要存在以下几种典型的安全问题： ●部分基础企业对互联网专线信息存在漏报、误报等问题，导致管局对专 线数据监管不全，且缺少核验机制； ●对于专线的使用仅仅存在于数据统计，缺乏数据资源获取手段和对专线 数据进行深入挖掘分析的技术手段，无法发现数据的潜在价值； ●缺少对工业互联网协议与设备的识别能力、缺少对专线中存在的工业互 联网安全事件的监测预警、处置溯源能力、安全态势分析能力； ●针对专线接入的重点用户、关键基础设施缺少安全监管和保障手段。 因此，为规范对专线监管的内容和范围，省通信管理局希望通过部署工业互 联网安全监测与态势感知平台，实现对违法开办互联网信息服务进行管控、黑灰 产业链监测预警、防范互联网诈骗、为工业互联网安全等工作打下基础。 2.项目简介 本项目提出的工业互联网安全联动解决方案以工业网络安全数据、关键基础 设施行业数据为基础，以包含工控设备资产指纹、漏洞信息、安全设备信息、物 联网传感数据及工业网络模型等海量数据的资源池为支撑，运用自主知识产权的 云计算、大数据及人工智能安全感知技术，精准定位暴露在网上的工业系统、工业 云平台以及工业设备，进行全面的漏洞扫描，并通过AI 分析网络安全威胁态

网络安全态势感知系统结构研究

网络安全态势感知系统结构研究 Computer Engineering and 2008, 44( 1) Applications 计算机工程与应用 ◎网络、通信与安全◎ 摘要: 网络安全态势感知是实现网络安全监测和预警的一种新技术, 融合 防火墙、防病毒软件、入侵监测系统( IDS) 、安全审计系统等安全措施的数据信息, 对整个网络的当前状况进行评估, 对未来的变化趋势进行预测。深入分 析国内外相关研究后, 建立了一个网络安全态势感知概念模型和体系结构, 分 析研究构成网络安全态势感知系统的数据的特征提取、网络安全评估、网络应 急响应、网络安全预警等重要组成部分, 这将为下一步安全态势感知系统的实 现奠定理论的基础。 关键词: 网络态势感知; 安全评估; 安全预警 随着网络规模的不断壮大, 网络结构的日益复杂, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 传统的网络安全管理模式仅仅依靠防火墙、 防病毒、IDS 等单一的网络安全防护技术来实现被动的网络安全管理, 已满足 不了目前网络安全的要求, 因此迫切需要新的技术来对网络安全状况进行实时 监控和预警。安全态势感知技术就是对当前和未来一段时间内的网络安全状态 进行定量和定性的评价, 实时监测和预警的一种新的安全技术。 论文研究工作主要是围绕网络安全态势感知系统模型, 分析研究构成网络 安全态势感知系统的数据的特征提取、网络安全评估、网络应急响应、网络安 全预警等重要组成部分, 这将为下一步安全态势感知系统的实现奠定了理论的 基础。 1 相关研究工作 网络安全态势感知是应网络安全监控需求而出现的一种新技术, 目前正处 于起步阶段。态势感知源于航天飞行的相关研究, 目前广泛应用于航天飞机、 军事战场、空中交通监管等领域。随着网络的不断壮大和普及应用, 网络病毒、Dos/DDos 攻击等构成的威胁和损失越来越大, 很多研究人员和机构已经开始意识到仅仅依赖于现有的网络安全产品是无法实现对整个网络安全态势的实时监控, 因此迫切需要一项新方法来完成该项任务, 于是提出了网络安全态势感知 系统研究。1999 年, Bass等人首次提出了网络态势感知概念[1], 即网络安全 态势感知, 并将网络态势感知和空中交通监管( ATC) 态势感知进行了类比,旨 在把ATC 态势感知的成熟理论和技术借鉴到网络态势感知中去, 随后提出了基 于多传感器数据融合的网络安全态势感知框架模型。很多研究者和研究机构也

2018年安全威胁态势感知平台项目可行性研究报告

2018年安全威胁态势感知平台项目可行性研究 报告 一、项目实施背景介绍 (3) 1、项目概述 (3) 2、安全威胁态势感知平台介绍 (3) 3、整体构架图 (5) 4、平台实现路径 (5) （1）平台框架 (5) （2）基础模块 (7) （3）态势分析组件 (9) 二、项目实施的必要性 (10) 1、加大研发投入，提升公司技术实力，促进公司未来发展 (10) 2、满足市场需求，促使网络威胁可视化 (11) 3、有效增强公司产品竞争力，提升客户体验 (12) 三、项目实施的可行性 (12) 1、领先的研发能力，为本项目的实施奠定了技术基础 (12) 2、已有产品研发为本项目研发提供参考，降低研发难度 (13) 3、快速产业化能力，为项目的实施提供了良好的保障 (14) 四、项目投资概算 (14) 1、设备投资 (15) （1）硬件设备投入 (15) （2）软件投入 (16) 2、基本预备费 (16) 3、研发费用 (16) 4、市场推广费 (16)

5、铺底流动资金 (17) 五、项目建设规模与建设进度计划 (17) 1、建设规模 (17) 2、项目实施进度安排 (17) 3、项目实施的阶段性目标 (18) 六、项目效益测算 (18)

一、项目实施背景介绍 1、项目概述 本项目计划总投资11,536.98万元，通过购进先进软硬件设备，引进研发人员，以大数据分析处理引擎为基础，利用安全威胁分析和建模关键算法、威胁情报关联分析技术、可视化技术等关键技术，开发一个能实现对安全威胁进行智能感知与防控的平台系统。 2、安全威胁态势感知平台介绍 威胁态势感知是近年来在信息安全领域兴起的一个技术方向，其核心理念是构建安全威胁大数据分析平台，通过数学建模与机器学习发现网络中潜在的入侵和攻击等安全威胁，建立针对未知威胁的动态安全监控与防御体系，从而避免因网络攻击导致的企业数据泄露、信息系统被破坏等安全问题。 威胁态势感知可对某个特定范围内的网络、系统、应用、业务等环境因素进行理解及分析，包括两部分内容。 “态”：即为当前的状态。根据已有可掌握的信息，分析出当前网络中的安全威胁现状，包括攻击次数、篡改网站数、攻击流量、攻击目标和攻击源统计等。 “势”：即为未来的发展趋势。根据“态”的分析结果，通过建立精确的模型和算法，预测出未来可能会遭到的攻击，为用户提供未来安全建设的依据。

2019年安全可视化与态势感知平台研发及产业化项目可行性研究报告

2019年安全可视化与态势感知平台研发及产业化项目可行性研究报告 2019年4月

目录 一、项目概况 (3) 二、项目建设的必要性 (3) 1、顺应市场需求，促使网络威胁可视化 (3) 2、产品升级换代，形成公司业务优势，提升竞争力 (4) 三、项目建设的可行性 (4) 1、产业政策大力扶持 (4) 2、良好的人才和技术储备 (5) 四、项目建设资金计划 (5) 五、项目实施方式及地点 (6) 六、项目实施进度 (6) 七、项目效益测算 (7)

一、项目概况 安全可视化与态势感知平台融合业务视角与安全视角关键数据，在安全域基础架构之上构建基于安全生态下业务全生命周期的策略自适应分析与可视化平台，为业务运行安全保驾护航。该项目将在加强现有的核心技术研发和配套条件基础上，投入更多的技术资源，加大自主创新力度，在基于大数据的安全分析、机器学习、威胁感知算法建模、安全可视化技术等方面进一步提升并完善安全可视化与态势感知平台。同时通过市场推广，聚焦行业应用，力争将平台打造成政府或企业整体网络安全态势感知解决方案不可或缺的“内网感知”组件，满足企业发展和国民经济建设的需要，从而取得良好的经济效益及社会效益。 二、项目建设的必要性 1、顺应市场需求，促使网络威胁可视化 随着互联网技术的发展和社会信息化程度的不断提高，网络安全受到了越来越多的关注。面对种类繁多的攻击威胁，传统的安全产品或安全手段一般只能在一定范围内发挥特定的作用，互相之间缺乏有效的数据融合和协同管理机制。同时，面对众多分散的信息，网络安全管理人员无法及时的发现、应对这些网络攻击威胁。因而，众多客户具有了解整体网络安全状况，预警未知威胁的迫切需求，恶意威胁的集中化、可视化和可分析化渐渐成为企业对安全投资的趋势，安全