當前網(wǎng)絡(luò )安全形勢復雜，網(wǎng)絡(luò )攻擊仍處于高發(fā)態(tài)勢，涉及到國家級網(wǎng)絡(luò )公共基礎設施、國計民生的重要信息系統和日益增長(cháng)的移動(dòng)終端，涵蓋了病毒、木馬、漏洞、流量攻擊等多種類(lèi)型，攻擊門(mén)檻不斷降低，攻擊對象更加廣泛，攻擊手段復雜多樣，攻擊范圍跨洲跨國，攻擊目的利益驅動(dòng)，總體來(lái)看，現階段的安全攻防形勢呈現出專(zhuān)業(yè)化、商業(yè)化、國際化和移動(dòng)化等特點(diǎn)。

面對這種復雜的安全攻防形勢，國內的監管機構也在逐步深化落實(shí)安全等級保護等合規制度。在完成多種安全設備的部署實(shí)現被動(dòng)的防御之后，用戶(hù)開(kāi)始考慮更深層次的問(wèn)題：1）安全風(fēng)險的主動(dòng)檢測問(wèn)題，系統是否具備對于未知威脅的云端識別和檢測能力？能否實(shí)現提前的威脅預警？2）多設備協(xié)同防護的問(wèn)題，是否具備對攻擊進(jìn)行快速響應聯(lián)動(dòng)以及對攻擊路徑進(jìn)行追蹤溯源的能力？3）安全防御體系建設和安全情報共享相結合的問(wèn)題，能否結合安全情報實(shí)現二次攻擊的分析和挖掘？對用戶(hù)行為和流量趨勢能否準確檢測判斷異常情況？4）簡(jiǎn)易化運維管理的問(wèn)題，企業(yè)是否能實(shí)現安全合規的定期自檢測能力？海量設備能否實(shí)現云中的智能配置管理和故障診斷？在這種背景下，安全態(tài)勢感知應運而生。

態(tài)勢感知是以安全大數據為基礎，對能夠引起網(wǎng)絡(luò )態(tài)勢發(fā)生變化的要素進(jìn)行獲取、理解、評估、呈現以及對未來(lái)發(fā)展趨勢預測的一個(gè)過(guò)程；是從全局視角提升對安全威脅的發(fā)現識別、理解分析、響應處置的一種能力；是通過(guò)智能分析和聯(lián)動(dòng)響應，結合機器學(xué)習和人工智能，實(shí)現“安全大腦”的閉環(huán)決策，并在云端實(shí)現安全能力的落地實(shí)踐。

圖1 態(tài)勢感知的定義

安全態(tài)勢感知將圍繞風(fēng)險、資產(chǎn)、業(yè)務(wù)應用等對象，從安全日志、終端行為、網(wǎng)絡(luò )流量、業(yè)務(wù)運營(yíng)數據、資產(chǎn)管理和故障診斷等多源數據采集著(zhù)手，通對全局安全狀態(tài)評價(jià)、外部攻擊評級、系統自身狀態(tài)合規自檢等手段，實(shí)現“事態(tài)可評估”；通過(guò)對攻擊趨勢分析、異常流量趨勢判斷和終端行為異常檢測，實(shí)現“趨勢可預測”；通過(guò)對未知威脅的檢測識別、流量/行為/資產(chǎn)的狀態(tài)監控和多維度風(fēng)險分析和可視化呈現，實(shí)現“風(fēng)險可感應”；通過(guò)對攻擊溯源取證、云網(wǎng)端的協(xié)同聯(lián)動(dòng)、工單流程的閉環(huán)處理、以及設備策略的自適應調整，實(shí)現“知行可管控”。圍繞態(tài)勢感知的定義和內涵進(jìn)行落地實(shí)踐，才能實(shí)現用戶(hù)對于安全態(tài)勢的全面掌控。

一、態(tài)勢感知的主要內容和設計思路

1、態(tài)勢感知的主要內容

安全態(tài)勢感知是一個(gè)系統性工程，需要從技術(shù)支撐、組織保障、運行維護、外部合作等方面進(jìn)行協(xié)同聯(lián)動(dòng)，才有可能真正發(fā)揮價(jià)值。從技術(shù)支撐的角度看，安全態(tài)勢感知需要涵蓋以下六個(gè)方面的內容。

● 攻擊態(tài)勢感知

通過(guò)對各種網(wǎng)絡(luò )安全設備、服務(wù)器中間件和主機安全日志等信息采集分析，實(shí)現對整網(wǎng)安全攻擊情況的可視化呈現和趨勢預測。除了攻擊類(lèi)型、攻擊趨勢，攻擊源和攻擊目的TOP分析呈現外，對于二次攻擊的模型分析和數據挖掘、攻擊路徑分析和追蹤溯源等方面進(jìn)行突破，為后續的安全策略生成和聯(lián)動(dòng)響應提供必要的技術(shù)支撐。

● 威脅態(tài)勢感知

威脅態(tài)勢主要涉及的是針對安全漏洞利用、病毒、蠕蟲(chóng)、木馬和惡意代碼等風(fēng)險檢測情況，針對入侵防御、防病毒網(wǎng)關(guān)、WEB安全網(wǎng)關(guān)、email安全網(wǎng)關(guān)、沙箱等多種設備進(jìn)行信息采集和分析預測，從多個(gè)維度對這些威脅形勢進(jìn)行呈現，同時(shí)結合外部情報信息實(shí)現對未知安全風(fēng)險進(jìn)行分析判斷和預警，為后續的響應決策贏(yíng)得時(shí)間。

● 流量態(tài)勢感知

流量分析是態(tài)勢感知的重要內容，圍繞用戶(hù)、業(yè)務(wù)、關(guān)鍵鏈路和互聯(lián)網(wǎng)訪(fǎng)問(wèn)等多個(gè)維度的流量分析，一方面可以實(shí)現對用戶(hù)和業(yè)務(wù)訪(fǎng)問(wèn)的精細化管理，建立網(wǎng)絡(luò )流量的多種流量基線(xiàn)，從而為后續的鏈路、帶寬和服務(wù)器擴容提供技術(shù)支撐。另一方面，通過(guò)對多維度實(shí)時(shí)流量的監控，可以有效發(fā)現網(wǎng)絡(luò )中的異常攻擊流量，用戶(hù)訪(fǎng)問(wèn)異常行為，以及諸如DDOS攻擊和病毒蠕蟲(chóng)攻擊的信息，提升對于流量攻擊的風(fēng)險把控和防御。

● 行為態(tài)勢感知

用戶(hù)行為態(tài)勢分析，是提升內網(wǎng)安全合規的重要手段，通過(guò)分析監控用戶(hù)終端的進(jìn)程、終端外部媒介的使用行為、互聯(lián)網(wǎng)出口用戶(hù)的流量訪(fǎng)問(wèn)、以及用戶(hù)主機的各種email/FTP/HTTP等外發(fā)行為，結合機器學(xué)習和人工智能算法，準確找到用戶(hù)行為之間的關(guān)聯(lián)，一方面可以為用戶(hù)進(jìn)行畫(huà)像，對其訪(fǎng)問(wèn)軌跡、互聯(lián)網(wǎng)訪(fǎng)問(wèn)的內容和關(guān)注重點(diǎn)等進(jìn)行分析，同時(shí)通過(guò)數據挖掘找到其興趣愛(ài)好，為后續的信息推送等服務(wù)提供支撐。另一方面，對用戶(hù)的外部文件傳送、HTTP訪(fǎng)問(wèn)、以及諸如email郵件發(fā)送等行為進(jìn)行安全審計，通過(guò)機器學(xué)習的算法找到其不同行為之間的關(guān)聯(lián)，對潛在的用戶(hù)異常行為進(jìn)行挖掘和判斷，確保安全合規和信息泄露防護的需求。

● 運維態(tài)勢感知

圍繞著(zhù)用戶(hù)、資產(chǎn)、和業(yè)務(wù)的關(guān)聯(lián)，聚焦資產(chǎn)或業(yè)務(wù)的狀態(tài)監控、性能監控、配置基線(xiàn)管理、運維告警和故障診斷，結合大數據的分析方法，全面感知和監控資產(chǎn)的運營(yíng)狀態(tài)和安全指數，為運維決策和聯(lián)動(dòng)響應提供可視化的呈現和簡(jiǎn)易化的操作；同時(shí)也可以實(shí)現對用戶(hù)的遠程代維代管，為后續的安全云運維增值業(yè)務(wù)的開(kāi)展提供幫助。

● 合規態(tài)勢感知

在當前強調等保合規的情況下，企業(yè)安全合規檢查一直是用戶(hù)感興趣的話(huà)題。通過(guò)安全合規自檢平臺，內置專(zhuān)業(yè)等保工具箱，針對業(yè)務(wù)和應用層面，全面評估系統在業(yè)務(wù)流轉、業(yè)務(wù)邏輯、業(yè)務(wù)交付等環(huán)節的安全風(fēng)險，深度挖掘和識別網(wǎng)絡(luò )各層存在的安全漏洞，提升系統和業(yè)務(wù)的可控性可靠性和合規性。

2、態(tài)勢感知的設計思路

分析態(tài)勢感知的定義和內容，可以發(fā)現其有四個(gè)明顯的特點(diǎn)：

● 行業(yè)需求差異性：針對不同的行業(yè)，其輸入的數據源和分析的目的都會(huì )有所不同，好的態(tài)勢感知系統，要具備用戶(hù)個(gè)性化和行業(yè)化的定制能力，深入了解各個(gè)行業(yè)的特定應用和用戶(hù)關(guān)注的重點(diǎn)需求，這就要求態(tài)勢感知需要具備平臺化的設計要求；

● 環(huán)境動(dòng)態(tài)變化性：網(wǎng)絡(luò )中影響安全形勢變化的因素隨時(shí)都在變化，包括網(wǎng)絡(luò )中的人、設備、應用等各個(gè)方面。面對這種變化，需要態(tài)勢感知具備對環(huán)境變化的敏感性和智能化、提高對風(fēng)險分析的快速性和準確性，實(shí)現對安全風(fēng)險的及時(shí)響應和決策。

● 多角色/多維度的層次化呈現：安全態(tài)勢感知是一個(gè)復雜的系統，圍繞資產(chǎn)、業(yè)務(wù)、用戶(hù)的安全風(fēng)險分析和異常行為挖掘都會(huì )有差異化的呈現要求，包括為了滿(mǎn)足三權分立的要求需要對管理員角色進(jìn)行嚴格的權限控制。在多租戶(hù)的環(huán)境下，也需要考慮不同租戶(hù)的數據隔離和可視化內容呈現的區別。這意味著(zhù)要有很好的可視化技術(shù)來(lái)支撐。

● 趨勢或態(tài)勢的全局性：安全態(tài)勢感知是面向全局的趨勢分析和態(tài)勢掌控，結合安全情報形成的各種安全風(fēng)險或態(tài)勢的預警信息，可以反饋到數據源接入的各層用戶(hù)，其本身也可以作為一種服務(wù)能力交付給有需要的用戶(hù)。

根據態(tài)勢感知的四個(gè)特點(diǎn)，安全態(tài)勢感知的設計需要遵循四個(gè)原則：平臺化、智能化、可視化、服務(wù)化。

● 平臺化是基礎。需要構建開(kāi)放式的態(tài)勢感知系統平臺框架，通過(guò)提供開(kāi)放安全數據接口A(yíng)PI，實(shí)現用戶(hù)數據的差異化導入和用戶(hù)業(yè)務(wù)需求的個(gè)性化呈現；

● 智能化是核心。面對多樣化的安全風(fēng)險，需要充分利用多種安全分析引擎設計，并借助機器學(xué)習和人工智能等高級算法，實(shí)現對安全風(fēng)險的準確識別和深度挖掘；

● 可視化是手段。要從不同視角和維度進(jìn)行風(fēng)險呈現，以恰當、直觀(guān)的圖表，針對不同角色定義差異化將數據指標形象化、直觀(guān)化、具體化的呈現，支持多維聯(lián)動(dòng)交互，為管理決策提供支撐。

● 服務(wù)化是目的。通過(guò)安全即服務(wù)的交付模型，在安全態(tài)勢感知的情況合作共享、安全態(tài)勢感知云中心的安全檢測和防御等方面，為各級租戶(hù)提供差異化的服務(wù)能力交付。

二、 態(tài)勢感知關(guān)鍵技術(shù)實(shí)現

1、基于機器學(xué)習的深度威脅分析

深度威脅分析一直是目前的熱點(diǎn)研究方向，尤其是針對未知攻擊流量進(jìn)行檢測和預警。機器學(xué)習結合情報共享是一種檢測未知威脅的有效方法。利用機器學(xué)習技術(shù)，可以對成千上萬(wàn)的網(wǎng)絡(luò )日志、威脅情報等信息進(jìn)行自動(dòng)分析處理與深度挖掘，充分融合借鑒有監督、無(wú)監督和半監督模型的特點(diǎn)，通過(guò)分類(lèi)、聚類(lèi)、回歸、深度學(xué)習等算法進(jìn)行模型訓練，從海量數據中甄別出潛在的安全威脅并提取關(guān)鍵特征，真正實(shí)現機器學(xué)習在安全態(tài)勢感知的落地實(shí)踐，掌控全網(wǎng)安全態(tài)勢，提前預警安全風(fēng)險。

2、用戶(hù)/流量異常行為預測

在異常行為分析預測過(guò)程中，圍繞網(wǎng)絡(luò )流量、用戶(hù)行為、外部情報等數據，利用數學(xué)建模、機器學(xué)習、關(guān)聯(lián)挖掘等核心技術(shù)，為每個(gè)用戶(hù)行為進(jìn)行精確畫(huà)像，建立用戶(hù)行為模型和用戶(hù)行為基線(xiàn)。通過(guò)用戶(hù)歷史行為學(xué)習，同類(lèi)用戶(hù)行為偏離，危險行為模型三個(gè)維度挖掘用戶(hù)異常行為，防止內網(wǎng)用戶(hù)進(jìn)行資產(chǎn)破壞和數據竊取。同時(shí)圍繞用戶(hù)和業(yè)務(wù)的流量訪(fǎng)問(wèn)模型，基于業(yè)務(wù)、用戶(hù)和關(guān)鍵鏈路建立流量訪(fǎng)問(wèn)基線(xiàn)，結合情境分析和機器學(xué)習算法實(shí)現對異常流程的有效檢測，為企業(yè)的安全合規和信息泄露保護提供有效的參考。

3、云化安全運維技術(shù)

充分利用安全云平臺，實(shí)現智能化安全運維是提升運維效率的有效手段。在對全網(wǎng)資產(chǎn)進(jìn)行資源管理的基礎上，以業(yè)務(wù)應用為牽引，實(shí)現多維度數據采集和狀態(tài)監控、性能監控以及全生命周期配置管理的流程，并充分利用可視化技術(shù)呈現實(shí)現全景運維。在這個(gè)落地實(shí)踐的過(guò)程中，緊密?chē)�繞管理統一化、決策智能化、服務(wù)容器化和運維可視化這四個(gè)原則，實(shí)現平臺型運維的最佳實(shí)踐。在滿(mǎn)足企業(yè)簡(jiǎn)易化運維的基礎上，還可以對未來(lái)的云運維SAAS服務(wù)提供技術(shù)支撐。

4、可視化技術(shù)實(shí)現

系統可視化設計是人機交付的重要窗口，根據不同行業(yè)的業(yè)務(wù)特點(diǎn)，結合多角色的差異化呈現需求，提供多維度的視圖剖面和多樣化的數據顯示效果，使得不同的監管角色能夠實(shí)時(shí)掌握全局安全態(tài)勢狀況，保障業(yè)務(wù)的順暢運行。為了達到這個(gè)效果，可以充分利用3D圖表、雷達圖、拓撲圖、熱度圖等樣式，清晰完整展現整個(gè)網(wǎng)絡(luò )的運行狀態(tài)。從不同視角和維度對攻擊、威脅、風(fēng)險等進(jìn)行實(shí)時(shí)呈現，對全網(wǎng)資產(chǎn)、流量、業(yè)務(wù)和行為進(jìn)行多維度透視呈現。通過(guò)訪(fǎng)問(wèn)關(guān)系分析、路徑分析、合規分析、變更分析等環(huán)節，實(shí)現安全策略的生命周期閉環(huán)且可視化。

結束語(yǔ)

態(tài)勢感知系統的落地實(shí)踐，可以提升用戶(hù)的安全體驗，成就客戶(hù)價(jià)值。首先，用戶(hù)通過(guò)對已知風(fēng)險和未知風(fēng)險的多維度分析和可視化呈現，可以快速發(fā)現問(wèn)題并通過(guò)聯(lián)動(dòng)響應來(lái)解決問(wèn)題；其次，通過(guò)對安全風(fēng)險的趨勢分析和異常行為預測，能夠提早感知風(fēng)險，增強了對風(fēng)險的預判和決策能力；另外，通過(guò)云化運維的設計實(shí)現，可以提升全局安全設備的運維效率，減少故障診斷和業(yè)務(wù)恢復的時(shí)間；最后，根據態(tài)勢感知專(zhuān)業(yè)安全合規自檢結果，可以對系統進(jìn)行安全加固完善，滿(mǎn)足企業(yè)的安全合規的要求，真正實(shí)現對安全風(fēng)險的“主動(dòng)發(fā)現、協(xié)同防御、智能進(jìn)化、預知未來(lái)”。