一、引信

近年来网络安全领域快速发展，当前的网络安全可谓是内忧外患，传统的老三样边界防护根本无法应对今天的安全问题。很多新的攻击，特别是高级持续性威胁（APT）的出现，会严重影响业务应用的连续性，造成最具价值的数据资产泄露，各种网络安全漏洞大量存在和不断被发现。虽然企业不断的投入资金进行信息安全防护，增加了防火墙、IDS、防病毒、终端防护等各类设备系统，但还不能掌握全网安全状况，在与黑客的攻防斗争往往落于下风。

习总书记在网信工作座谈会上的讲话（419讲话）中明确提出了关于在信息系统中建立态势感知机制的重要性，包括提到了“全天候全方位感知网络安全态势”、“加强大数据挖掘分析、“感知网络安全态势是最基本最基础的工作”、“更好感知网络安全态势，做好风险防范”等一些重要观点，从信息安全战略层面，明确了态势感知能力的重要性。

二、网络与信息安全的发展趋势

安全能力从“防范”为主转向“融合各种信息快速检测和响应能力”的构建，已经成为当下安全建设的共识，通过建设整体、区域、系统、用户终端四级一体化的网络安全态势感知体系，构建集中式的监控、管理、流程、展示平台，及时、准确、全面反映与掌握各信息系统的安全运行状态，保障各业务系统的正常运行，实现全天候全方位感知网络安全态势，及时预测安全状况和发展趋势，提前预警安全威胁，为制定有预见性的应急预案提供基础。

三、安全态势感知平台建设目标

（1）大数据技术架构，可实现用户全网海量数据规模的安全信息采集和集中存储，在此基础上对数据进行综合处理和关联分析，最终通过大量的态势呈现可视化技术，为用户展示面向全网业务资产防护的安全态势，帮助用户感知隐患和威胁，进而提供决策支撑。
（2）系统为开放式获取多维海量安全要素信息的开放式平台系统，聚焦于利用高性能安全数据集中分析平台来实现安全要素信息的集中获取、分析挖掘和综合呈现。
（3）态势感知平台系统可灵活的对接用户网络中的安全设备或安全子系统， 实现各类型多厂商安全监测防护资源的整合，通过现有及待建安全子系统的对接，态势感知系统可覆盖全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息，并在此基础上综合分析呈现，形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析、安全风险态势等在内的多视角全方位的态势感知系统。

四、网络安全管理平台架构设计

平台提供了开放式的信息获取架构，部署于用户的网络中，且通过多样化的接口方式与网络中各类型安全设备、数据流量、防护探针及来自外部的威胁情报，也包括可能来自扩容的安全设备系统。

平台系统通过监控数据进行集中分析处理，通过精简过滤、针对统计、趋势归纳、关联分析、挖掘预测等数据融合手段，感知威胁和风险，并可结合用户业务特点和安全需求进行态势感知的可视化展示。

4.1态势感知平台系统架构

态势感知平台系统由安全要素采集，数据存储、数据分析、数据展现四个层面组成，平台架构示意图如下：

图4-1 网络安全管理平台总体架构图

各功能介绍：

安全要素采集：提供开放式的信息采集接口，对用户网络环境内的IT资产及各安全厂商的安全产品或安全系统进行信息采集，并可提供非结构化的数据采集接口，收集各类情境数据和威胁情报，根据业务扩展需要自定义功能模块。

大数据存储：海量安全大数据的分布式存储，非结构化和结构化的数据存储能力，可为上层的数据分析应用提供高效数据库支撑，满足来自不同业务的需求。

数据分析：提供大数据技术和架构支撑的快速数据关联和检索功能。提供丰富的关联分析、数据挖掘、态势分析和大数据统计功能，是平台的核心分析处理技术。通过数据处理引擎实现平台分析能力。

数据展现：通过提供的数据采集和处理能力向用户呈现态势感知能力，用于服务全网的网络安全态势呈现，支撑用户的安全防护工作。

4.2平台特性

4.2.1 态势感知平台的实现

通过业务上和用户网络上各环节的安全监测传感器所产生的监测信息作为数据源由态势感知平台统一获取，可全面的采集安全要求和最大限度的用户网络中已有的安全监测防护手段。平台系统通过资产安置、运行感知、漏洞感知、共计感知、风险感知和威胁感知总览，实现全方位的态势感知。

4.2.2 态势感知数据分析

面向总体安全态势的监测和认知进行数据的融合、关联分析和发掘。将分析处理工作，作为上层态势呈现提供数据和计算的支撑。

4.2.3 多维度态势呈现

平台为用户呈现全方位的态势感知，通过攻击感知、漏洞感知、威胁感知、资产感知、运行感知作为态势感知的实现框架，并在态势感知过程中所有的数据分析及可视化呈现都可以再对应的维度中进行。

4.2.4 通告预警及处置

通过态势分析以及态势呈现所发现的安全问题及相关预警，平台内置的运维支撑模块进行通告和处置。

五、关键技术

5.1安全要素获取

数据采集模块实现了系统数据采集的开放性，提供了多样的数据对接接口，可采集各类设备系统上报的异构事件日志，可并行实现对非结构化、结构化以及海量安全信息的采集。结构化数据由日志及结构化信息的采集服务接口实现对接，包括Syslog、SNMP Trap、WMI等，可采集的安全要素信息包括安全事件、运行日志及性能数据等信息。非结构化数据由一系列文档或文件采集API组成，可采集脆弱性结果、WEB/XML/文本等信息以及各类情报数据。

5.2高性能日志采集 

系统支持通过多种协议方式采集日志，包括：syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等等。系统自带日志采集功能，支持在用户网络中分布式部署多日志采集器，并进行日志泛化，分类、过滤和归并，实现对分散管理对象的日志采集，降低网络中日志留的带宽占用率。

5.3细粒度监控

平台可全方位监控细粒度，具有丰富的监控指标。管理员通过可视化图表查看监控指标信息，可对监控指标设置告警阈值，将监控指标数据保存并进行历史分析。

5.4流量采集技术

支持多应用协议元数据的获取，包括HTTP协议、DNS协议、SMTP协议、SMB协议、LDAP协议、mysql协议、telnet协议、FTP协议等。基于行为分析和网络性能指标，对这些流数据进行增强和扩充，以vflow为主体进行分析与安全检测。

可将数据融合从低到高分为三个层次：数据级融合、特征级融合与决策级融合。

六、态势感知平台功能设计

6.1资产感知

通过主动发现、创建或导入的方式来识别和梳理目标网络中要被防护的资产及业务。获得被防护对象信息将态势分析呈现。

资产感知融合平台所收集的各类攻击威胁信息和脆弱性信息，形成资产及业务视角的安全态势。安全态势将从资产类型、安全域角度和业务系统角度来判断资产的整体安全防护状态，多视角查看资产弱点、资产受攻击情况及资产风险的相关态势信息。

图6-1 资产感知

6.2威胁感知

通过收取来自外部的威胁情报信息，经过比对分析发现网络及安全对象的潜在威胁、漏洞威胁和攻击威胁。

（1）态势信息获取：通过自动同步/抓取/导入来自内外部的威胁情报和漏洞情报给予利用，提高威胁分析的时效性和准确性。通过结合外部情报，分析内部和外部整个攻击路径。示意图如下：

图 6-2

（3）威胁比对：通过数据关联，将用户的资产与威胁相关联，挖掘用户资产面临的隐患、判断威胁的严重程度。

6.3漏洞感知

漏洞扫描、基线核查所扫描的全网漏洞弱点进行弱点态势呈现，使用户统一把控全网各区域各资产业务类型的弱点暴露。所呈现的态势包括漏洞的分布统计、影响的资产范围、长时间未处理高危漏洞情况、破坏及影响最高的安全弱点、漏洞及配置弱点在全网的风险态势、漏洞的综合处置情况等。对各类脆弱性信息的分析处理，结合安全对象信息，漏洞感知可以从资产类型、安全域和业务系统维度进行漏洞态势的呈现。

图6-3 漏洞感知

6.44攻击感知

攻击感知基于汇总全网相关的攻击行为相关信息，通过统计分析、关联融合等手段对攻击信息进行处理，从而获得全景式的攻击态势监视。攻击感知从遭受攻击、攻击的类型、分布、攻击关系、趋势、攻击结果等维度进行攻击态势的呈现。包括分别从内部和外部的视角监视受攻击和发起攻击的态势，攻击在网络、主机、应用、数据层面上的分布和趋势，攻击源目的关系态势，攻击类型在不同安全域及业务系统或资产类型上的分布，攻击成功与否的结果态势等。

图6-4 攻击感知

6.5运行感知

通过对各类信息资产和业务系统的性能与可用性信息进行全方位细粒度的监控，提供多样化的可视化图表；系统自动计算业务的整体性能指数，同时自动计算业务的脆弱性指数和业务的威胁指数，连同业务性能指数，综合计算业务的健康度，绘制健康度随时间变化的业务健康曲线。

6.6风险感知

风险的角度来衡量被防护对象的安全态势，在平台的态势呈现过程中，风险感知存在于资产感知、漏洞感知和态势总揽当中，通过在各维度中为对应的目标，给定风险值，来帮助用户把握安全态势。

图6-6 风险感知

七、总结

“看的见”是网络安全防护的重要能力，只有具备“看的见”能力才能更好的了解正在发生的各种安全行为，了解哪些才是真正有威胁的攻击行为。基于全流量和元数据，对多维度、多层次的数据源进行整合，通过构建大数据感知与分析平台提供全面的态势感知和高效精准的分析技术，全面提升网络空间感知与防御能力。