当前位置：文档库 › 基于大数据的网络空间态势感知

基于大数据的网络空间态势感知

基于大数据的安全感知研究

摘要：随着“互联网+”的到来，网络数据爆发性增长，传统的安全分析手段已经无法分析

处理如此大量的数据。随着大数据技术的成熟、应用和推广，网络安全态势感知技术有了新

的发展方向大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态

势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据

技术在安全感知方面的促进做一些探讨。

关键词：大数据网络安全态势感知并行计算

Network Security Situation Awareness Based on Big Data

Li Yingzhuang1 Wang Yao2 Zhou Zhengcheng2 Zou Xueqin2

（China Mobile Group Hainan Co., Ltd.,Hainan,570125）

Abstract: With the "Internet plus" the arrival of the explosive growth of network

data security analysis, the traditional method has been unable to deal with such a

large amount of data analysis. Along with the promotion and application of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big

data technology of parallel computing, efficient query, creating a breakthrough opportunity is the key technology of large-scale network security situation awareness.

In this paper, we will discuss the security situation awareness and the promotion

of large data technology in large scale network environment.

Keywords: Big Data,Network Security,Situation Awareness, Parallel computing

1.引言

随着“互联网+”、智能制造等新兴业态的快速发展，互联网快速渗透到工业

各领域各环节，客观上导致工业行业原有相对封闭的使用环境被逐渐打破，传统

网络与信息安全威胁加速向各类网络、系统、设备渗透，病毒、木马日益猖獗。

提出新的挑战，而且我国目前信息系统安全产业和信息安全法律法规和标准不完

善，导致国信息安全保障工作滞后于信息技术发展。

面对复杂严峻的网络与信息安全形势，2015年1月，公安部颁布了《关于加

快推进网络与信息安全通报机制建设的通知》（公信安[2015]21号）文件。《关

于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息

安全信息通报机制，积极推动专门机构建设，建立安全态势感知监测通报手段和

信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通报

平台。实现对重要和网上重要信息系统的安全监测、网上计算机病毒木马传播监

测、通报预警、应急处置、态势分析、安全事件（事故）管理、督促整改等功能，为开展相关工作提供技术保障。

2016年4月19日，习总书记在讲话中指出：我们要保持清醒头脑，各方面齐抓共管，切实维护网络安全。其中很重要的一点就是建立“全天候全方位感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。”

随着信息化的发展，网络安全案件向着高频率，高危害，难追溯的方向发展。急需一种安全监测手段，提供网络安全监测，攻击溯源能力，能够发现多种安全事件线索，发现攻击源头，大大增强了网络安全防御能力和威慑能力。

2.安全态势感知研究

2.1.1 大数据体系建设

大数据在电商、互联网等行业的广泛应用，各行各业已经开始认识到大数据对于行业未来发展的意义。对于信息安全领域不断涌现的高级攻击手段，以及云计算技术在一些企业、政府部门中的应用，传统的安全设备已无法容纳大量的数据信息来进行安全分析和防御。因此将大数据技术应用在信息安全领域，建立信息安全领域的大数据存储分析平台非常必要。

系统支持针对海量历史网络通信数据进行综合分析，挖掘具有强潜伏性和持续时间长等特征的高级、复杂的窃密行为及网络攻击活动：通过各种数据挖掘分析技术，进行海量历史数据的数据挖掘分析，获得更多更有效的结论和报告。辅助应用系统快速定位安全事件和问题。

2.1.2 关键技术方案

构建面向信息安全领域的大数据平台，自动、智能、快速的对复杂来源的海量数据进行采集，并针对大数据分布式计算特性和算法特性对数据进行统一预处理，形成统一的分布式存储管理系统。利用分布式计算架构对数据进行快速计算和挖掘分析，以采集的大数据为基础，构建相应的业务模型和可视化分析，从而发现和揭示隐含的要素和关联。

图 2.1 安全大数据分析

1、数据源采集

信息安全领域的数据源根据类型的不同，包括结构化数据，非结构化数据和半结构化数据，数据采集方式主要通过syslog和flow技术进行采集，对于大量多源异构数据源，采用前置探针，对数据进行集中收集、规化等工作，将数据整合后统一发送到大数据应用系统，应用系统将根据安全事件之间的相关性，进行关联分析，得到更为准确的监测信息，发现攻击源。

2、大数据预处理

原始数据中存在着大量杂乱的、重复的、不完整的数据，严重影响到数据挖掘算法的执行效率，甚至可能导致挖掘结构的偏差。因此，在数据挖掘算法执行之前，必须对收集到的原始数据进行预处理，从而改进数据的质量，提高数据挖掘过程的效率、精度和性能。大数据预处理利用数据切片，数据分类，数据聚合，数据索引标记等技术对原始数据进行层级化的聚合、重组、清洗、提取、转换、管理、切分等预处理操作，统一标准接口，统一数据标准，并通过分布式存储管理技术，在满足一致性要求的基础上，实现安全、可靠、快速、有效的对多类型、多格式的数据统一存储管理。

3、大数据分布式计算

大数据分布式计算通过两个或多个计算机互相共享信息，将需要进行大量计算的数据分割成小块，由多台计算机分别计算，再对运算结果进行统一合并。采

用分布式任务调度机制，动态灵活的将计算资源进行分配和调度，从而达到资源利用最大化，计算节点不会出现闲置和过载的情况，采用分布式实时计算框架和分布式离线计算框架相结合的分布式计算框架和模块化设计，构建一个支持多种分布式计算模型的统一动态调度、管理和计算的大数据分布式计算平台，有效的支撑大数据挖掘分析。

4、大数据挖掘分析

通过上述数据采集、数据预处理、数据分布式计算等过程，大数据已纳入分布式存储管理中，这些数据信息已可以用于查询、统计、分析，得到大量对业务有用的信息，然而，隐藏和淹没在这些大数据之中更重要的信息，如数据整体特征描述、关联分析、精细化分类、模式识别等，是无法用传统查询统计方法来获取的。为了得到这些有用的信息，需要采用数据挖掘分析技术，自动智能的对大数据分析、探索、挖掘，探寻数据的模式及特征，寻找数据被的信息变化，从而最终使用蕴藏在数据中的信息和知识。

数学模型库是针对所有算法的特征，构建一个通用库，实现了大数据格式的数据结构定义，对算法参数，数学模型库，模型评估体系和挖掘分析的结果等进行统一管理，提供了数据挖掘分析的入口，根据输入的算法参数，自动调用挖掘分析所用的算法及其相应的模型等。

数据挖掘算法工具库针对大数据分布式存储管理，分布式计算的特性，统一匹配各种数据挖掘算法，根据具体业务需求，工具库可配置相应的算法进行挖掘，具备灵活的动态扩展和分布式任务调度机制。

数据挖掘接口封装是屏蔽底层算法的细节差异，统一向上层提供数据挖掘的处理接口，接口封装在保证了系统功能独立的同时增加了系统的可扩展性和灵活性，当与之互联的外围系统发生变化时，只需修改相应接口程序。

5、信息安全数据应用

随着大数据技术的不断创新和广泛应用，信息安全领域越来越迫切需要依托大数据处理技术来实现网络攻击的分析，面向信息安全领域的大数据分析平台在大数据采集、预处理、分布式计算和挖掘分析的基础上，需面向信息系统提供信息安全保证服务。

2.1.3 安全分析模型

安全态势感知使用大量安全分析模型，如

事件理解引擎设计

事件理解引擎将归并后的日志，基于一定的事件理解规则，进行关联分析，将日志理解为安全事件，提高告警准确性，并降低日志量。

过去服务人员通过手动的形式，将各种安全日志进行关联分析，分析出事件，现在，我们将过去积累的东西，抽象成分析模型，并将分析模型在Spark-streaming 中进行代码实现，从而完成了从过去的安全服务分析，到现在的大数据智能化分析方案。

图 2.2 事件理解引擎

攻击链模型设计

攻击链分析模型通过分析各个网络安全设备收集的安全日志和流量日志生成网络安全事件，进行正反双向推理，正向推理预警潜在威胁，反向推理还原攻击情景。

攻击链挖掘程序在网络安全事件的基础之上，按照目的资产的维度将各个安全事件进行聚合，并对应到攻击链的各个阶段，从而发现当前网络中的脆弱主机。网络安全管理员通过分析攻击链的结果，可以了解整个网络当前的安全态势，并且有针对性的对脆弱资产进行加固，提升网络的安全性和抗攻击能力。

图 2.3 攻击链模型

情报关联模型设计

通过云端情报与本地事件的关联分析，大幅度提高安全事件告警准确度，并能够基于云端情报信息，实现潜在威胁报警。

云端情报，能够给企业端分析引擎提供知识库输入，如恶意IP 、恶意URL 等，安全日志经过分析引擎时，与知识库进行匹配，将日志打上标签，产生安全事件，事件再上传到云端情报，进行情报验证，提高分析准确性，此外，查询云端情报中恶意IP 信息，分析恶意IP 其他攻击行为，并反馈，实现预警功能。

图 2.4 情报关联分析

风险评估模型设计

外部威胁、系统脆弱性，都会为资产带来风险，我们通过风险评估模型，将外部威胁、资产脆弱性，结合资产价值，进行风险评估，通过风险评估，得到风险计分，基于风险评分，产生处置方式的决策，进行脆弱性修补，威胁阻断。

系统对整个系统的风险进行评估，针对每个资产，都会对其外部发起的一些安全事件，如入侵事件、异常流量事件、僵木蠕事件等作为威胁进行评分；又会对其部自身的一些脆弱性，如系统漏洞、安全等进行评分。最后，再结合资产价值，进行综合分析，得出基于资产组、业务域乃至整个系统的安全评分。事件云端情报预警事件

验证后事件事件上传情报验证情报预警知识库提供分析引擎事件分析威胁资产

风险风险计分处置方式

脆弱性

存在

破坏

产生风险评估决策修复阻止

图 2.5 风险评估模型

2.1.4 安全态势感知

基于上述大数据安全体系、及安全分析模型，实现了基于大数据的安全态势感知系统。

系统采用大数据挖掘思路进行挖掘分析，通过收集各种网络安全数据，并通过大数据平台进行分析，结合威胁情报进行关联，再基于可视化技术，实现网络安全态势感知呈现。

图 2.6 大数据挖掘分析

系统可以针对整体围或某一特定时间与环境，基于这样的条件进行因素理解与分析，最终形成历史的整体态势以及对未来短期的预测。通过态势分析能够很好的洞察企业部整体安全状态，通过量化的评判指标能够直观的理解当前态势情况。

3.结语

大数据为我们带来了巨大的财富，同样带来了巨大的安全挑战。为了应对这些安全挑战，我们不能仅在表面做文章，需要做到纵深防御、全面防护，建立多层塔防式防御体系，层层保护业务的安全运行, 滴水不漏；需要形成一套安全大

基于大数据的网络空间态势感知

基于大数据的安全感知研究摘要：随着“互联网+”的到来，网络数据爆发性增长，传统的安全分析手段已经无法分析处理如此大量的数据。随着大数据技术的成熟、应用和推广，网络安全态势感知技术有了新的发展方向大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知的关键技术创造了突破的机遇。本文将对大规模网络环境下的安全态势感知、大数据技术在安全感知方面的促进做一些探讨。关键词：大数据网络安全态势感知并行计算 Network Security Situation Awareness Based on Big Data Li Yingzhuang1 Wang Yao2 Zhou Zhengcheng2 Zou Xueqin2 （China Mobile Group Hainan Co., Ltd.,Hainan,570125） Abstract: With the "Internet plus" the arrival of the explosive growth of network data security analysis, the traditional method has been unable to deal with such a large amount of data analysis. Along with the promotion and application of big data technology, mature, situational awareness of network security technology has the characteristics of a new direction for the development of mass storage, unique big data technology of parallel computing, efficient query, creating a breakthrough opportunity is the key technology of large-scale network security situation awareness. In this paper, we will discuss the security situation awareness and the promotion of large data technology in large scale network environment. Keywords: Big Data,Network Security,Situation Awareness, Parallel computing 1.引言随着“互联网+”、智能制造等新兴业态的快速发展，互联网快速渗透到工业各领域各环节，客观上导致工业行业原有相对封闭的使用环境被逐渐打破，传统网络与信息安全威胁加速向各类网络、系统、设备渗透，病毒、木马日益猖獗。提出新的挑战，而且我国目前信息系统安全产业和信息安全法律法规和标准不完善，导致国信息安全保障工作滞后于信息技术发展。面对复杂严峻的网络与信息安全形势，2015年1月，公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》（公信安[2015]21号）文件。《关于加快推进网络与信息安全通报机制建设的通知》要求建立省市两级网络与信息安全信息通报机制，积极推动专门机构建设，建立安全态势感知监测通报手段和信息通报预警及应急处置体系。明确要求建设网络与信息安全态势感知监测通报平台。实现对重要和网上重要信息系统的安全监测、网上计算机病毒木马传播监

网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0

一类是云监测，发现可用性的监测、漏洞、挂马、篡改（黑链/暗链）、钓鱼、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测，发现webshell等攻击利用事件。第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进行比对，发现APT 等高级威胁告警。第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分析和关联，发现更深层次的安全威胁。 1、安全数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术，实现对重点安全性与可用性的监测，及时发现漏洞、挂马、篡改（黑链/暗链）、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测：在云端实现对DDoS攻击的监测与发现，对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析，同时将分析结果实时推送给本地的大数据平台数据专用存储引擎；目前云监控中心拥有全国30多个省的流量监控资源，可以快速获取互联网上DDoS攻击的异常流量信息，

2017年中国信息安全行业发展现状及未来发展趋势分析

2017年中国信息安全行业发展现状及未来发展趋势分析（一）行业主管部门、监管体制以及主要法律法规和政策 1、行业主管部门和行业监管体制信息安全行业主要受信息产业及安全主管部门的监管，具体如下：数据来源：公开资料整理 2、行业主要法律法规及政策（1）行业主要法律法规信息安全行业，受到信息安全行业相关法律法规的管理。行业的主要法律法规如下：

数据来源：公开资料整理（2）行业主要发展政策

行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

信息安全是指对信息系统的硬件、软件、系统中的数据及依托其开展的业务进行保护，使得它们不会由于偶然的或者恶意的原因而遭到未经授权的访问、泄露、破坏、修改、审阅、检查、记录或销毁，保证信息系统连续可靠地正常运行。信息安全具有真实性、机密性、完整性、不可否认性、可用性、可核查性和可控性七个主要属性：数据来源：公开资料整理 2、信息安全行业的技术、产品和服务（1）信息安全技术为了实现信息安全的七个核心属性，需要从信息系统的物理安全、运行安全、数据安全、内容安全、信息内容对抗等五个方面进行安全建设与安全防范。因而，目前信息安全的主流技术包括信息系统自身的安全技术（物理安全和运行安全技术）、信息自身的安全技术（数据安全与内容安全技术）、信息利用的安全技术（信息对抗技术），具体如下：

数据来源：公开资料整理（2）信息安全产品信息安全产品按照功能分类主要包括：防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子签名类产品、安全审计类产品以及终端安全管理产品等。主要产品的情况如下：

网络空间安全态势感知与大数据分析平台建设方案V1.0

网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1 网络空间态势感知系统系统建设平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置。日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制。战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力，统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高效的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理，定期组织攻防演练。 1.1.1 安全监测子系统安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统和网络，实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。安全监测子系统有六类安全威胁监测的能力：一类是网站云监测，发现网站可用性的监测、网站漏洞、网站挂马、网站篡改（黑链 / 暗链）、钓鱼网站、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力，目前 360 补天漏洞众测平台注册有多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测，发现 webshell 等攻击利用事件。第四类把流量日志存在大数据的平台里，与云端 IOC 威胁情报进行比对，发现等高级威胁告警。第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分析和关联，发现更深层次的安全威胁 1、网站安全数据监测：采用云监测、互联网漏洞众测平台及云多点探测等技术，实现对重点网站安全性与可用性的监测，及时发现网站漏洞、网站挂马、网站篡改（黑链 / 暗链）、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT

网络空间安全态势感知与大数据分析平台建设方案V1.0

网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上，涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设平台按系统功能可分为两大部分：日常威胁感知和战时指挥调度应急处置。日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能，及时感知发生的安全事件，并根据安全事件的危害程度启用不同的处置机制。战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力，统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门，进行协同高效的应急处置和安全保障，同时为哈密各单位提升网络安全防御能力进行流程管理，定期组织攻防演练。 1.1.1安全监测子系统安全监测子系统实时监测哈密全市网络安全情况，及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的，全面监测哈密全市重保单位信息系统和网络，实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别，并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。安全监测子系统有六类安全威胁监测的能力：一类是云监测，发现可用性的监测、漏洞、挂马、篡改（黑链/暗链）、钓鱼、和访问异常等安全事件第二类是众测漏洞平台的漏洞发现能力，目前360补天漏洞众测平台注册有4万多白帽子，他们提交的漏洞会定期同步到态势感知平台，加强平台漏洞发现的能力。第三类是对流量的检测，把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测，发现webshell等攻击利用事件。第四类把流量日志存在大数据的平台里，与云端IOC威胁情报进行比对，发现APT 等高级威胁告警。第五类是把安全专家的分析和挖掘能力在平台落地，写成脚本，与流量日志比对，把流量的历史、各种因素都关联起来，发现深度的威胁。第六类是基于机器学习模型和安全运营专家，把已经发现告警进行深层次的挖掘分析和关联，发现更深层次的安全威胁。

大数据平台安全解决方案

Solution 解决方案大数据平台安全解决方案防止数据窃取和泄露确保数据合规使用避免数据孤岛产生方案价值大数据平台安全解决方案为大数据平台提供完善的数据安全防护体系，保护核心数据资产不受侵害，同时保障平台的大数据能被安全合规的共享和使用。数据安全防护体系以至安盾?智能安全平台为核心进行建设。智能安全平台支持三权分立、安全分区、数据流转、报警预警和审计追溯等五种安全策略，以及嵌入式防火墙、访问控制、安全接入协议等三道安全防线，保证安全体系在系统安全接入、安全运维、数据流转、数据使用、数据导出脱敏、用户管理、用户行为审计追溯等方面的建设，保障大数据平台安全高效运行。智能安全平台提供安全云桌面，保证数据不落地的访问方式，并可根据需求提供高性能计算资源和图形处理资源，并支持“N+M”高可靠性架构，保证云桌面的稳定运行，为平台用户提供安全高效的数据使用环境。提供数据不落地的访问方式以及完善的文档审批和流转功能提供五种安全策略和三道安全防线提供严格的用户权限管理和强大的用户行为审计和追溯功能提供高性能、高可靠稳定运行的大数据使用环境方案亮点如欲了解有关志翔科技至安盾? ZS-ISP、至明? ZS-ISA安全探针产品的更多信息，请联系您的志翔科技销售代表，或访问官方网站：https://www.wendangku.net/doc/0f1502093.html, 更多信息志翔科技是国内创新型的大数据安全企业，致力于为政企客户提供核心数据保护和业务风险管控两个方向的产品及服务。志翔科技打破传统固定访问边界，以数据为新的安全中心，为企业构筑兼具事前感知、发现，事中阻断，事后溯源，并不断分析与迭代的安全闭环，解决云计算时代的“大安全”挑战。志翔科技是2017年IDC中国大数据安全创新者，2018年安全牛中国网络安全50强企业。2019年，志翔云安全产品入选Gartner《云工作负载保护平台市场指南》。关于志翔科技北京志翔科技股份有限公司https://www.wendangku.net/doc/0f1502093.html, 电话： 010- 82319123邮箱：contact@https://www.wendangku.net/doc/0f1502093.html, 北京市海淀区学院路35号世宁大厦1101 邮编：100191 扫码关注志翔

【安全】信息安全态势感知平台技术白皮书

目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。动态掌握全网风险状态 ................................... 错误!未定义书签。实时感知未来风险趋势 ................................... 错误!未定义书签。安全管理提供数据支撑 ................................... 错误!未定义书签。决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。解决问题场景 ................................................... 错误!未定义书签。具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。解决问题场景 ................................................... 错误!未定义书签。具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。解决问题场景 ................................................... 错误!未定义书签。具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。解决问题场景 ................................................... 错误!未定义书签。具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。

中国信息安全行业发展现状及未来发展趋势分析

年中国信息安全行业发展现状及未来发展趋势分析

————————————————————————————————作者：————————————————————————————————日期：

数据来源：公开资料整理

（2）行业主要发展政策行业主要发展政策如下：数据来源：公开资料整理（二）信息安全行业概况及未来发展趋势 1、信息安全的定义

大数据平台系统项目安全保障

大数据平台系统项目安全保障安全是系统正常运行的保证。根据本项目的业务特点和需要，以及现有的网络安全状况，建立一个合理、实用、先进、可靠、综合、统一的安全保障体系，确保信息安全和业务系统的正常运行。一、规章制度建设 1.1机房管理制度为保证系统每天24小时，全年365天不间断运行，加强防火、防盗、防病毒等安全意识，应该制定严格的机房管理制度，以下列出常见的机房管理方面的十条规定：（1）路由器、交换机和服务器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或更换，更不能挪作它用。（2）要求上机工作人员严格执行机房的有关规定，严格遵守操作规程，严禁违章作业。（3）要求上机工作人员，都必须严格遵守机房的安全、防火制度，严禁烟火。不准在机房内吸烟。严禁将照相机、摄像机和易燃、易爆物品带入机房。机房工作人员要掌握防火技能，定期检查消防设施是否正常。出现异常情况应立即报警，切断电源，用灭火设备扑救。

（4）要求外来人员必须经有关部门批准，才能进入放置服务器的机房，一般人员无故不得在机房长时间逗留。（5）要求机房值班人坚守工作岗位，不得擅离职守；下班时，值班人员要对所有计算机的电源进行细致的检查，该关的要切断电源，并检查门窗是否关好。（6）双休日、节假日，要有专人检查网络运行情况，如发现问题及时解决，并做好记录处理，解决不了的及时报告。（7）机房内所有设备、仪器、仪表等物品和软件、资料要妥善保管，向外移（带）设备及物品，需有主管领导的批示或经机房工作负责人批准。制定数据管理制度。对数据实施严格的安全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。（8）网管人员应做好网络安全工作，服务器的各种帐号严格保密。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。统一管理计算机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件，做好操作系统的补丁修正工作。（9）保持机房卫生，值班人员应及时组织清扫。（10）保护机房肃静，严禁在机房内游艺或进行非业务活动。

2020年全球及中国信息安全市场规模分析及预测

2020年全球及中国信息安全市场规模分析及预测网络安全相关法规、政策逐渐落地，推动整体行业的发展。1）合规性政策陆续出台提升网络安全产品服务空间。2017年，《网络安全法》出台，从顶层设计上将网络安全法制化。2019 年 5 月 13 日，《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布，将于 2019 年12 月 1 日开始实施，标志着国家对信息安全技术与网络安全保护迈入 2.0时代。等保 2.0 为中国网络安全市场注入又一强力催化剂，进一步保障和提升中国在未来几年引领全球网络安全市场增速。 2）促进性法规进一步推动行业加速发展。2019 年 6 月，《国家网络安全产业发展规划》正式发布，根据规划，到2020 年，依托产业园带动北京市网络安全产业规模超过 1000 亿元，拉动 GDP 增长超过 3300 亿元，打造不少 3 家年收入超过 100 亿元的骨干企业。此外，地方政府网络安全产业规划陆续出台，为网络安全行业提供场地、资金、人才等实质性发展支持。护网行动力度加大，凸显国家对网络安全的重视。自 2016 年以来，公安部每年开展针对关键信息基础设施的实战攻防演习，被称为“护网行动”。伴随着等保 2.0 时代的到来，同时为加强新中国成立 70 周年大庆的安全保卫，2019年“护网行动”涉及范围扩大至工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位，充分彰显国家对网络安全的重视。护网行动力度的加大，也极大促进了政企对网络安全的投入，推动安全市场的发展。

基于可视化的安全态势感知

基于可视化的安全态势感知 -世博会业务系统的信息保障郁郎关键词：网络安全；信息保障；安全态势；安全可视化；业务影响度 1.引言被誉为“经济、科技、文化”奥林匹克的世界博览会，将于2010年在中国上海举办，作为信息时代下的一届世博会，上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时，上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见，信息系统是上海世博会筹办工作的中枢神经，信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模，世博信息安全是一项复杂工程，涉及面相当广泛，从基建设施，例如网络设备、主机、安全设备；到数据库、操作系统、中间件；再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。在经典的IATF纵深防御理论中，针对类似于世博会这样大规模信息系统的运营，提出了“信息保障”[1]的概念，并在其技术框架中给出了人（People）、技术（Technology）、操作（Operation）三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环，如何有效对安全系统进行操控，如何依据系统提供的信息做出正确的决策？都是我们在保障信息安全时所面临的严峻挑战。为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集，其目标在于解决目前安全系统的普遍存在的一个通病－对安全状态“看不见、看不懂、看不透！”，有效提升人对目前安全态势（security situation）的感知能力，对潜在的安全威胁做出预警，从而让人做出正确的决策。本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点，分析基于“ 业务影响程度”（mission impact）的安全态势评估方法，阐述如何以保障和促进世博各项业务系统的运转为目标，使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知（Security Awareness）？ “一幅好图胜过千言万语！”这句话体现了安全态势感知的关键－可视化，一定是通过图形的方法把安全数据展示给人，人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力，计算机处理十万条安全事件的速度远比人快上千倍万倍，但从一幅图中发现其变化的趋势以及深层次的原因，人们的直觉却强大的多，这种客观的直觉我们称之为“态势感知”，通过计算机数据能力，再采用不同的算法把安全数据图形化我们称之为“安全可视化”。安全态势感知本身一个系统工程，原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程，安全态势感知是一个从底层数据到抽象信息，到获取高层知识的过程。

智能态势感知系统

智能态势感知系统产品简介产品文档

【版权声明】 ?2013-2018 腾讯云版权所有本文档著作权归腾讯云单独所有，未经腾讯云事先书面许可，任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。【商标声明】及其它腾讯云服务相关的商标均为腾讯云计算（北京）有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标，依法由权利人所有。【服务声明】本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况，部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定，除非双方另有约定，否则，腾讯云对本文档内容不做任何明示或模式的承诺或保证。

文档目录产品简介产品概述产品优势应用场景

产品简介产品概述最近更新时间：2018-12-18 17:16:40 什么是腾讯态势感知（私有云）？腾讯态势感知（私有云）（下文也叫御见）是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位，推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障，可针对企业面临的外部攻击和内部潜在风险，进行深度检测，为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警，能及时智能处理安全威胁，实现企业全网安全态势可知、可见、可控的闭环。主要功能态势总览通过态势总览，直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等，运用安全评分、趋势图、柱状图、分布图等直观图形，实现可视化展示，结合平台所收集、加工、分析后的多维数据，直观查看结果，方便安全运维人员及时发现和处理威胁，从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险，极大地提高了安全运维团队的监测、管理、处置安全事件的效率。资产感知提供资产可视功能，帮助用户从资产的角度了解安全态势。盘点现有资产，对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段，摸清企业内网资产，建立完整、丰富的资产库，为实现威胁、风险事件与企业内网资产紧密关联打下基础，方便运维人员对企业内网资产进行管理。威胁发现对接第三方设备日志、流量日志、威胁情报等数据，御见大数据分析平台对数据进行清洗、过滤、归一后，进行安全规则检测，实时发现最新威胁事件，并进行威胁态势感知与威胁事件告警，方便运维人员查询具体的威胁事件，从中获得威胁事件更详细信息，帮助调查分析、溯源事件、联动处置问题。风险预警实时收集互联网最新安全漏洞情报，向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险，全面分析事件详情，为客户提供专业的处置方案，协助客户快速定位问题、精准定位溯源、及时正确处置威胁，做到及时查漏补缺、防患未然。

2020-2024年中国信息安全产业深度分析及产业投资战略研究报告

2020-2024年中国信息安全产业深度分析及产业投资战略研究报告[交付形式]: e-mali电子版或特快专递 https://www.wendangku.net/doc/0f1502093.html,/ 第一章信息安全相关概述及分类 1.1信息安全概述 1.1.1信息安全的定义 1.1.2信息安全发展历程 1.1.3信息安全产业链分析 1.2信息安全的分类 1.2.1客户维度 1.2.2产品维度 1.2.3价值链维度第二章2018-2020年信息安全行业发展环境分析 2.1经济环境 2.1.1宏观经济概况 2.1.2对外经济分析 2.1.3固定资产投资 2.1.4数字化发展水平 2.1.5软件业运行情况 2.1.6转型升级态势 2.1.7宏观经济展望 2.2政策环境 2.2.1个人信息安全保护政策 2.2.2法律明确保障个人信息 2.2.3个人信息保护政策动态 2.2.4信息安全相关政策分析 2.2.5信息安全等级保护要求 2.2.6网络安全保障政策动态 2.3社会环境

2.3.1社会消费规模 2.3.2居民收入水平 2.3.3居民消费水平 2.3.4消费市场特征 2.4技术环境 2.4.1知识专利研发水平 2.4.2信息系统安全技术 2.4.3信息数据安全技术第三章2018-2020年全球信息安全行业发展分析3.1全球信息安全行业发展态势 3.1.1信息安全事件回顾 3.1.2网络空间战略布局 3.1.3网络安全市场规模 3.1.4网络安全交易规模 3.1.5信息安全问题升级 3.1.6信息安全发展策略 3.1.7信息安全行业趋势 3.2美国 3.2.1信息安全保密法规 3.2.2信息安全投资趋势 3.2.3信息安全管理策略 3.2.4网络安全战略规划 3.3欧盟 3.3.1信息安全保密法规 3.3.2信息安全管理策略 3.3.3信息安全战略规划 3.4日本 3.4.1信息安全保密法规 3.4.2网络安全官民合作 3.4.3信息安全国际合作 3.4.4网络安全发展战略 3.5俄罗斯 3.5.1信息安全保密法规 3.5.2信息安全市场规模 3.5.3信息安全发展措施 3.5.4信息安全行业趋势 3.6其他国家 3.6.1加拿大 3.6.2新加坡 3.6.3澳大利亚第四章2018-2020年中国信息安全行业发展分析4.1中国信息安全产业发展特点分析 4.1.1产业发展渐趋成熟 4.1.2市场发展热度上升

大数据环境下网络安全态势感知研究

□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系上海 200433 大数据环境下网络安全态势感知研究摘要：随着网络规模和应用的迅速扩大，网络安全威胁不断增加，单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测，大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上，对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。关键词：网络安全，态势感知，大数据，数据融合，态势预测 DOI：10.3772/j.issn.1673—2286.2014.02.003 1 引言随着计算机和通信技术的迅速发展，计算机网络的应用越来越广泛，其规模越来越庞大，多层面的网络安全威胁和安全风险也在不断增加，网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大，网络攻击行为向着分布化、规模化、复杂化等趋势发展，仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术，已不能满足网络安全的需求，迫切需要新的技术，及时发现网络中的异常事件，实时掌握网络安全状况，将之前很多时候亡羊补牢的事中、事后处理，转向事前自动评估预测，降低网络安全风险，提高网络安全防护能力。网络安全态势感知技术能够综合各方面的安全因素，从整体上动态反映网络安全状况，并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点，为大规模网络安全态势感知技术的突破创造了机遇，借助大数据分析，对成千上万的网络日志等信息进行自动分析处理与深度挖掘，对网络的安全状态进行分析评价，感知网络中的异常事件与整体安全态势。 2 网络安全态势相关概念 2.1 网络态势感知态势感知（Situation Awareness，SA）的概念是1988年Endsley提出的，态势感知是在一定时间和空间内对环境因素的获取，理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。图1 态势感知的三级模型态势理解（二级）态势预测（三级）态势要素获取（一级）所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知（Cyberspace Situation Awareness，CSA）是1999年Tim Bass首次提出的，网络态势感知是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。态势是一种状态、一种趋势，是整体和全局的概念，任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性，环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性是态势随时间不断变化，态势信息不仅包括过去和当前的状态，还要对未来的趋 2014年第02期（总第117期）11

大数据安全分析(分析篇)

这一篇应该是比较容易引起争议的，大家现在乐于说看见（visibility ）的力量，如何看到却是一个尚在探索中的问题。数据是看到的基础条件，但是和真正的看见还有巨大的差距。我们需要看到什么？什么样的方法使我们真正看到？安全分析和事件响应网络空间的战斗和现实世界有很大的相似性，因此往往可以进行借鉴。美国空军有一套系统理论，有非常的价值，值得深入思考并借鉴，它就是OODA周期模型：观察（Observe）：实时了解我们网络中发生的事件。这里面包括传统的被动检测方式：各种已知检测工具的报警，或者来自第三方的通报（如：用户或者国家部门）。但我们知道这是远远不够的，还需要采用更积极的检测方式。即由事件响应团队基于已知行为模式、情报甚至于某种灵感，积极地去主动发现入侵事件。这种方式有一个很炫的名字叫做狩猎。定位（Orient）：在这里我们要根据相关的环境信息和其他情报，对以下问题进行分析：这是一个真实的攻击吗？是否成功？是否损害了其它资产？攻击者还进行了哪些活动？决策（Decision）：即确定应该做什么。这里面包括了缓解、清除、恢复，同时也可能包括选择请求第三方支持甚至于反击。而反击往往涉及到私自执法带来的风险，并且容易出错伤及无辜，一般情况下不是好的选择。行动（Action）：能够根据决策，快速展开相应活动。 OODA模型相较传统的事件响应六步曲（参见下图），突出了定位和决策的过程，在现今攻击技术越来越高超、过程越来越复杂的形势下，无疑是必要的：针对发现的事件，我们采取怎样的行动，需要有足够的信息和充分的考量。在整个模型中，观察（对应下文狩猎部分）、定位与决策（对应下文事件响应）这三个阶段就是属于安全分析的范畴，也是我们下面要讨论的内容，附带地也将提出个人看法，关于大数据分析平台支撑安全分析活动所需关键要素。

安全态势感知平台

点击文章中飘蓝词可直接进入官网查看安全态势感知平台安全态势感知平台通过收集各类安全日志，实时监控网络流量，利用大数据实时分析，采取主动的安全分析和实时态势感知，快速发现威胁，控制威胁。今天给大家谈一谈一下安全态势感知平台的特点，并介绍一下安全态势感知平台哪家比较好。事件收集，安全态势感知平台提供主动获取和被动接收多种事件获取方式，可收集所有类型的事件信息。利用模式匹配进行数据解析，可解析所有格式的事件与日志，事件解析过程中，对解析规则进行智能学习，自动进行规则分类，可实现快速解析。正则表达式可灵活配置，灵活接入新的事件与日志信息，产品可自由扩容，具备灵活的事件合并策略及强大的事件合并能力。流量监控，安全态势感知平台流量监控实时监控网络流入流出的网络流量，通过对流量进行协议识别和深度包检测，并对数据包进行还原与重组，提取数据流量中的内容，并对内容进行检测，通过对检测结果的分析，发现数据流量中的异常行为，携带的病毒、木马以及恶意软件，隐藏的泄密行为等。事件分析，安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析，挖掘真正的威胁，利用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则，并提供灵活的规则配置界面，可根据需要自由配置，关联分析引擎可自由扩展，通过调度中心灵活控制，产品具有自由的扩容能力与强大的分析能力。告警分析与处理，安全态势感知平台告警分析对关联分析结果进行深入分析，结合漏洞信息、资产信息、告警策略信息等，分析告警事件与资产之间的关联关系，告警事件与漏洞之间的关联关系，利用网络安全指标体系计算网络风险值，发现高风险事件，高风险资产，并对整体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件，进行持续跟踪分析，

大数据平台系统安全方案

大数据平台系统安全方案 1使用安全在大数据智能化平台系统建设的环节，系统安全主要通过制定系统资源访问限制策略，实现系统的数据访问安全。（1）账号管理系统中的权限必须通过角色才能分配给账号；账号、角色、权限管理符合最小化权限原则；程序账号不能人工使用，不能在程序中使用预设账号，程序用账号密码可修改；（2）系统安全配置完成数据库、操作系统、网络配置和网络设备的基线配置、补丁安装；平台访问采用加密的SSH或SSL方式，登录进行密码保护；能够在系统管理界面显示当前活动的TCP/UDP服务端口列表以及已建IP连接列表。（3）日志管理应用系统、操作系统、数据库、网络设备、防火墙等的操作有完整的日志记录；系统自身产生的运行日志和告警日志发至安全监控系统统一存储管理；应用系统本身提供友好的日志查询和统计界面，应用系统可保存短期日志；

（4）系统管理在系统中存在很多应用服务器，对于关键应用服务器的系统本身和运行于其上的应用，应给予专门的保护，防止未授权用户的非法访问。系统建设之后达到以下效果：通过良好的口令管理、登录活动记录和报告、用户和网络活动的周期检查，防止未被授权使用系统的用户进入系统。对于需要登录系统访问的用户，通过产品提供的安全策略强制实现用户口令安全规则，如限制口令长度、限定口令修改时间间隔等，保证其身份的合法性。能够按照用户、组模式对操作系统的访问进行控制，防止已授权或未授权的用户存取相互的重要信息。不同部门或类型的用户只能访问相应的文件或应用，可以采取授权方式限定用户对主机的访问范围。能够防止恶意用户占用过多系统资源(CPU、内存、文件系统等)，从而防止因无系统资源导致系统对其他用户的不可用的事件发生。能够对主机的安全事件进行详细的记录，并根据需要随时进行查阅。提供完善的漏洞扫描手段，及时发现系统的安全隐患，并据此提供必要的解决方案。（5）应用安全应用安全主要通过对各用户访问系统功能限制和数据访问范围的合理配置来实现。（6）权限管理