当前位置：文档之家› 网络安全态势感知技术发展

网络安全态势感知技术发展

•黑产链条发展迅猛，外部攻击手法不断升级：漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”；DDOS攻击、APT攻击、拖库、撞库等手法花式翻新；•资产规模及种类日趋庞大，安全管理难度加大：操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等；•网络与信息安全的内涵在不断扩充，价值不断提升：以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳入企业整体的网络与信息安全防护体系。

•以0day漏洞入侵员工电脑或手机，再向企业内网渗透•“内外”威胁的边界变得模糊•攻击趋利目的明显，业务漏洞利用“巧妙”•业务逻辑漏洞、帐号管控风险变大•全球Mirai僵尸肉鸡超过百万，“小试牛刀”就让互联网瘫痪•对IoT设备的安全管理仍在探索作者版权所有请勿转载网络安全态势感知的定义及目标目前，业界普遍接受“网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化方式展现给用户，并给出响应的报表和应对措施”的论述，但是尚未有统一的定义。

经过多年的市场探索，态势感知系统通常作为安全运营体系的技术平台，旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。

近年来，国内业界厂商、大型客户对“安全态势感知系统”的定位逐步趋同：构建安全防护的“大脑”，更好地加强纵深防御，建设主动防御、持续检测、应急响应、溯源取证、风险预警等安全能力，最终实现安全运营的闭环管理。

基于数据融合的网络态势感知功能模型•1999年，Tim Bass 提出：下一代NIDS 应该融合大量异构数据源，实现网络空间的态势感知。

态势感知的三个阶段•在一定的时空条件下，对环境因素进行获取、理解以及对未来状态进行预测。

随着技术的发展成熟、实施成本的不断降低，相关的商用产品不断涌现，并逐步成长为一项有潜力的安全服务。

•A国于2003年开始实施“E计划”：自动地收集、关联、分析和共享政府之间的计算机安全信息，从而使得各政府机构能够接近实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。

•A国A运营商于2006年前后推出面向企业的安全管理服务，并衍生细分的安全产品：充分发挥运营商在大网侧的数据优势、网络运维能力优势，产品类型包括从宏观的企业网络安全态势到细分的移动办公安全、数据安全、应急响应服务等。

其中，“网络安全态势感知”的重要性被明确指出后，相关产品呈现出快速发展、百家争鸣的发展态势。

•随着网络安全的内涵不断扩充，安全态势感知与应用场景密切结合，出现了一系列新功能、新部署形式的相关产品，例如基于云服务的Web 网站安全态势感知、基于AI 的业务安全态势感知等等。

从国内主流网络安全态势感知产品的市场统计对比来看，它们不仅仅是宏观层面的大屏展示，更是结合了微观、中观层面的安全数据、平台和安全能力。

•应用场景不断明确、细化：部署前，梳理清晰需要监测与防护的最关键的业务资产和主要面临的安全威胁；•技术生态化加强、不断推动安全能力落地：包括从微观层面获取完整的安全大数据，结合威胁情报能力；从中观层面灵活采用各类算法分析数据、发现威胁和异常；最后，合理运用安全服务来落地安全能力。

数据来源：网络安全态势感知技术及应用发展蓝皮书，2019国内主流网络安全态势感知产品的功能架构作者版权所有请勿转载网络安全态势感知相关产品的发展趋势提升安全检测能力加快安全响应速度构建纵深防御体系网络威胁发展趋势安全防护要求对网络安全态势感知的要求构建安全态势指标体系•需要科学、合理地衡量安全风险充分使用各类威胁情报，选择合适的分析算法•根据目标场景，灵活使用各类AI 算法、威胁情报资源，不断提升对安全事件的检测能力不断完善的可视化及快速检索能力•提升决策精度当前的网络安全威胁朝着目标精确、计划严密、运作专业和长期渗透的方向发展，而安全防护呈现出典型的“时间对抗”特征，网络安全态势感知对于打破攻防的信息不对称、加快应急响应速度等方面具有重要意义。

•“安全只是一种动态的均衡状态”、“没有攻不破的网络和系统”等安全理念被逐渐接受，从时间、空间两个维度，全面、准确、细粒度地感知各类攻击行为，进而提升主动防御能力，是网络安全态势感知相关产品的意义所在。

•开源生态圈的繁荣，进一步降低了技术的应用成本，并极大地提高了技术的发展、迭代速度；而网络安全态势感知系统是良好的技术输出载体。

网络安全态势感知系统的技术架构核心分析算法的快速进步•“数据驱动”、“A I驱动”和“TI驱动”等理念都带来了深远的影响。

作者版权所有请勿转载关键技术(一)—基于攻击链的威胁识别技术几乎每个重大安全事件，都是由大量的恶意行为动作组合完成，并且存在明显的先后顺序，可以在以下方面提升对攻击链的检测能力：1.资产侦查、漏洞探测和暴力破解等行为具有明显的异常模式，占据较长的时间窗口，因此也是发现异常的良好时机；2.攻击者的行为记录分散在不同类型的日志中，需要有良好的计算模型，去支持相关的安全分析功能；3.对于已发现的威胁，可以灵活采取多种应对策略，实现更高价值的攻击溯源；4.结合资产信息数据，对攻击/恶意行为进行关联，输出差异化的、高价值的态势感知结果。

作者版权所有请勿转载关键技术(二)—网络安全态势评估技术传统的安全风险评估技术层次化的安全态势评估技术传统的安全风险评估技术，提供了对少量资产的定性/定量风险评估手段，难以推广应用到广泛的网络安全态势评估场景，可在以下方面提升网络安全态势评估能力：1.态势评估的前提是广泛而全面的数据源，网络探针、安全探针的部署位置，决定了数据源的冗余度及全面性；2.指标的计算复杂度及可信度，与态势评估的目标密切相关，后者越清晰，前者越简单；3.CIA的三大目标中，A比较容易评估，但是C和I是一个综合结果，不容易得到精确评估；如数据安全、业务安全评估，是一个高价值的评估场景，需要引入与场景密切相关的指标定义、及风险评估方法。

目标是分类、聚类还是预测？数据是连续还是离散？在低数据维度的应用场景中，简单的算法也可以取得很好的效果；基于聚类的资产探测技术2.重视训练样本库的构建。

有监督算法占据了绝大多数的应用场景，但是有标签的训练数据却不容易获得；3.重视特征选择，增强对识别结果的可解释性。

在安全应急响应场景中，往往需要花大量时间排除误报，特征选择有助于快速发现告警的原因，并更好地改进分类器的效果。

对加密流量的安全分析是网络安全技术发展热点，当前主要在以下方面进行尝试探索：1.基于SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2等协议版本，训练相应的流量分类器，提升流量分类的精度；2.基于已知的恶意代码/暴力破解工具/漏洞利用工具等，训练得到不同加密协议下的恶意行为流量模型；3.特征定义处于核心位置。

看似信息量有限的特征空间，其实还有很大的探索空间，例如加密认证阶段的报文序列特征等。

数据包特征定义数据流特征定义单个数据包大小客户端口号平均数据包大小服务端口号数据包大小的方差值数据流传输的数据量最小/最大数据包的大小比标识位被设置的TCP 数据包数量数据包的平均间隔时间负载非空的TCP 数据包数量数据包之间间隔时间的方差值同一个流中数据包的个数数据包速率数据流的持续时间……作者版权所有请勿转载目录•网络安全态势感知的背景及目标•网络安全态势感知的关键技术•在运营商网络的应用思考作者版权所有请勿转载网络安全态势感知在基础网络运营的应用案例分析随着5G 、NB-IoT 等技术的快速成熟，万物互联时代已经到来，带来网络运行数据及原始安全数据的海量增长，基础网络的安全态势感知面临新的挑战与机遇。

•基于多种异构操作系统的海量智能终端，超越了传统终端安全管理的范畴，基础网络侧的安全检测必不可少。

•对具有重大传播风险的端口流量监测，是发现未知威胁，提升基础设施安全运营能力的重要途径。

Mirai 僵尸网络的监测与治理•绝大多数肉鸡为家用路由器、摄像头等智能IoT 设备•这些终端的操作系统类型比较分散，难以建立类似PC 和手机的终端安全产品A 国A 运营商的基础网络安全态势预警•对常见操作系统端口的流量监测，有助于防范重大安全漏洞的风险传播•在WannaCry 爆发的半年前，发布了TCP 445端口的流量预警，体现了难以替代的情报价值Mirai 僵尸网络肉鸡的Ba n n e r 信息Petya 在北美的传播态势作者版权所有请勿转载网络安全态势感知在运营商的建设及应用以网络安全态势感知为核心，带动网络安全运营体系的高效运转及持续优化，形成对安全风险的闭环管理，并为网络大数据的价值挖掘及变现创造契机。

传统的网络安全运营体系往往只是注重安全组件和安全设施的建设部署，而疏于安全运营体系的建设，使用功能有限，对安全事件的检测能力不足、对整体安全态势的感知及预测能力较弱。

e商务文档

网络安全态势感知技术发展

相关文档推荐：