业互联网安全监测与态势感知解决方案
业互联网安全监测与态势感知解决方案
一、项目概况
通信管理局担负协调管理省内通信网、互联网、工业互联网网络信息安全的重要职责。为进一步规划统筹省内工业企业网络安全建设,推进“两化融合”进程,实现工业网络向数字化、网络化、智能化转变,某省通信管理局与中新赛克独家合作,通过在监管侧部署工业互联网安全监测与态势感知平台,实现对设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。
1.项目背景
今年来,我国从法律法规、战略规划、标准规范等多个层面对工业互联网安
全做出了一系列工作部署,提出了一系列工作要求。某通信管理局在对管局侧信
安系统“专线资源”进行审核时发现,省内企业基数大、工业资产类型繁杂难以实
现有效地统一监管,主要存在以下几种典型的安全问题:
●部分基础企业对互联网专线信息存在漏报、误报等问题,导致管局对专
线数据监管不全,且缺少核验机制;
●对于专线的使用仅仅存在于数据统计,缺乏数据资源获取手段和对专线
数据进行深入挖掘分析的技术手段,无法发现数据的潜在价值;
●缺少对工业互联网协议与设备的识别能力、缺少对专线中存在的工业互
联网安全事件的监测预警、处置溯源能力、安全态势分析能力;
●针对专线接入的重点用户、关键基础设施缺少安全监管和保障手段。
因此,为规范对专线监管的内容和范围,省通信管理局希望通过部署工业互
联网安全监测与态势感知平台,实现对违法开办互联网信息服务进行管控、黑灰
产业链监测预警、防范互联网诈骗、为工业互联网安全等工作打下基础。
2.项目简介
本项目提出的工业互联网安全联动解决方案以工业网络安全数据、关键基础
设施行业数据为基础,以包含工控设备资产指纹、漏洞信息、安全设备信息、物
联网传感数据及工业网络模型等海量数据的资源池为支撑,运用自主知识产权的
云计算、大数据及人工智能安全感知技术,精准定位暴露在网上的工业系统、工业
云平台以及工业设备,进行全面的漏洞扫描,并通过AI 分析网络安全威胁态
势、流量分析关联技术实现完整的网络攻击溯源取证,并具有高度可视化的界面,帮助相关主管部门对关键基础设施进行设备和控制的安全防护、对工业网络进行风险评估、态势感知、监测预警及应急处置。
本项目将公司的工业互联网探针系统与大数据安全态势感知系统联动,工业互联网流量的接入侧部署工业互联网探针设备,部署方式可串接部署也可以旁路部署。工业互联网探针支持多达30 多种工业协议识别,支持用户自定义协议识别和元数据提取,支持协议特征库在线升级,支持实时生成工控设备流量日志,
工控设备终端设备应用、行为日志,以及工控设备网关或后台管理中心日志/操作系统日志/数据库等日志。工业互联网流量在经过工业互联网探针后,工业互联网探针将生成的日志送到安全态势感知系统进行数据的分析挖掘与融合,这样可以大大减轻安全态势感知系统的处理压力,提高安全态势感知系统的性能。3.项目目标
本项目以进一步做好省内基础通信企业专线业务管理,强化属地网络信息安全技术监管,根据前期企业调研情况结合工作实际,扩大相关企业专线技术手段建设范围,有效完善体系化的技术保障能力为总体目标。
●全量:全量端口全量数据,实现对省内基础运营商的数据专线类型的全
量端口、全量数据全覆盖;
●准确:准确的技术核验手段,实现对省内专线流量和企业上报数据的准
确的技术核验手段,有效防止企业漏报、错报;
●多维:多维度的数据分析,实现对省内专线流量多维度的数据分析,形
成统一资源池;
●开放:开放的能力平台,实现省通管局统一能力平台的建设,开放端口,
能够为其他业务部门提供相应的业务数据支撑;
●安全:安全保障重点用户,对省内政府、化工、能源、工控等关键行业
网站的域名、IP、APP、资产信息进行重点保障。
二、项目实施概况
本项目方案提供工业互联网流量采集、流量清洗、大数据分析与挖掘、工业
设备和工业系统资产暴露情况监测、工业互联网安全漏洞扫描、异常流量分析、木马病毒等网络攻击检测与溯源等一站式的解决方案,使工业互联网安全态势感知系统更专业、更高效、更系统。
1.项目总体架构和主要内容
(1)总体技术架构
图 1 工业互联网安全态势感知系统总体技术架构
●数据源:通过大范围、深层次的数据采集,以及异构数据的协议转换与
边缘处理,构建工业互联网平台的数据基础;
●IaaS:IaaS 层提供数据导入/导出管理、数据存储、数据标准、元数据管
理、血缘分析、数据质量管理等服务;
●PaaS:PaaS 层提供资产指纹库、漏洞资源库、研判资源库、安全知识库、
业务数据库、专题数据库、以及原始数据库,为DaaS 层的数据分析提
供数据库;
●DaaS:DaaS 层引入人工智能、机器学习以及神经网络等先进大数据分
析技术对数据进行分析;
●SaaS:工业互联网对外开放的接口,通过SaaS 层对工业互联网的网络
安全态势进行安全监测、安全态势分析以及预警处置。
本项目充分利用公司现有技术优势,创新性的将工业互联网探针与智能大数据系统联动使用,开发了工业互联网安全联动解决方案。其中工业互联网探针部
署在工业互联网接入侧,利用其高性能的接入和处理能力,灵活的日志和流量内容识别能力,对工业互联网流量进行实时的清洗,分析与转化,将生成的日志信息提供给后面的大数据分析系统,日志的输出比大概为千分之五,即1T 的工业互联网数据流量,经过第一级的工业互联网探针处理后,只有5G 的流量送给后面的智能大数据分析系统进行网络安全态势的感知。此种方案解决了大数据系统普遍存在的接入能力差,处理性能较弱的问题,此外由于流量已经经过清洗与转换,大大提高了大数据分析系统的处理效率,从而提高了网络安全态势感知的实时性。
图 2 工业互联网安全态势感知平台架构
(2)安全解决方案
中新赛克工业互联网安全态势感知系统总体技术方案目标是构建工业互联网安全共同体,如图 3 所示:以行业/区域监管部门(GOV)为中心,将企业侧工控系统数据、暴露在公网的工业数据以及工业云平台数据接入政府监管部门工业互联网态势感知平台并建立工业安全漏洞数据库,进行实时分析和风险预防,对相关的工业互联网安全风险及漏洞等及时通报给各企业和平台,同时可以通过工业安全漏洞数据库将最新的漏洞、安全风险同步通知各企业、平台做好安全防护工作,从而构建工业互联网共同体。
●在运营商核心路由器上做规则过滤,筛选出工业专线流量,并通过镜像
方式将流量接入到工业互联网探针;
●工业互联网探针支持工业协议的解析、工业设备指纹的提取等,对接入
的流量进行预处理生成全息日志;
●工业互联网安全监测与态势感知平台对全息日志进行数据治理、数据分
析,并结合人工智能等技术进行工业资产、工控漏洞、工业云平台、安
全事件的监测。
图 3 工业互联网安全联动解决方案网络架构
2.安全及可靠性
(1)安全性
系统设计保障用户、业务、数据解耦,确保原始数据安全,同时硬件配备高
性能防火墙,身份证识别设备、指纹识别设备、杀毒软件严格防护系统和网络的安全。严格控制数据访问权限,做到“事前申请、事中监控、事后备案”。建立严格
的安全授权管理机制。
(2)可靠性
系统设计选用工作性能稳定的软、硬件。保证系统可靠连续7*24 小时的无故障运行。数据备份存储,且存储系统布置容灾系统,确保数据存储可靠。
本系统可支持7*24 小时稳定运行,软件系统全年无故障率不低于99.999%。
三、下一步实施计划
该项目已在某省通信管理局进行部署与实施,从实施效果来看,该项目经受
住了实战考验,且基本达到了预期设定的目标,得到了有关主管部门的高度认可,为工业互联网的安全保障提供了有力的支撑。下一步建设的主要内容有: 完善工业互联网安全联动解决方案在项目实施过程中遇到的问题,进一
步的优化此防御体系;
●探索利用区块链、物联网等新技术在工业互联网安全防护的创新应用,
有效推动解决设备、控制、网络、平台和数据等多层次安全问题;
●进一步优化可视化界面,做到资产可视、威胁可视、攻击可视、路径可
视。
四、项目创新点和实施效果
1.项目先进性及创新点
(1)项目的先进性
数据采集设备采用专用硬件,采用业界领先的硬件平台架构,在硬件集成度、处理性能方面处于业界领先水平。
系统软件设计采用当前最新的分布式并行技术,使用Docker,Hadoop,Spark,Flink,HBase,ElasticSearch,Neo4j,Tensorflow 等组件,代表了未来一段时期的技术和方案的发展趋势。系统充分利用目前先进的云计算和海量数据处理关键技术,保证系统技术的前瞻性和先进性。
(2)项目的创新点
●通过建立被动监测为主、主动监测为辅的采集手段、数据核验校正手段,
提升省内工业资产数据的准确性、完整性,从而支撑省主管部门摸清家
底,了解省内工业设备资产的真实情况;
●该系统行为分析建模能力支持50 多种数据建模模型、20 多种工业场景
模型和机器学习自主建模,具备不依赖规则而检测低概率威胁的能力,
有效检测APT 攻击和潜伏在网络内部的未知威胁,提升整体网络安全能
力;
●海量的数据支撑:PB 级海量数据,为各类服务与分析提供了丰富的数据
支持
2.实施效果
(1)工业控制系统与设备暴露情况监测实施效果
本项目开发的工业互联网安全联动解决方案通过全面采集和分析工控设备
信息,对互联网上的工业控制系统进行扫描探测,定位工控设备位置,最小粒度可定位到某省份的具体某一企业/单位,并进行高度可视化界面呈现,有利于主管
部门摸清省内的资产家底。
(2)工业控制系统及设备漏洞态势感知实施效果
省通信管理局通过部署该平台,对全网的工业控制系统以及设备进行全面的扫描,捕捉开放的工控端口,PLC 设备漏洞、上位机软件漏洞与弱点、摄像头漏洞、应用程序SQL 漏洞、系统文件上传漏洞,并将这些漏洞信息反馈给相关主管部门,再传达到企业进行漏洞的修复,部署之后,企业的网络攻击次数下降非常明显,有效的保护了企业资产,也为相关主管部门做相关决策提供支撑(3)木马病毒攻击态势感知与溯源分析实施效果
随着工业互联网的发展,暴露在公网上的工业设备以及控制系统会越来越多,这样就给了一些不法分子通过植入病毒或者木马入侵设备和控制系统的机会。该系统的部署成功拦截了多达几十次的木马与病毒入侵事件,并且威胁溯源分析模块将终端与网关病毒信息日志进行大数据关联分析,进行病毒源精确溯源定位,抓获不法分子,从源头上快速精准消除病毒隐患,大大提高了省内的安全保障能力。
(4)企业安全运维成本实施效果
企业可将暴露在公网上的外部网络的安全维护工作交与本系统,不仅可以节
约大量安全运维成本,且安全质量有保障。
电力物联网全场景安全态势感知解决方案
电力物联网全场景安全态势感知解决方案 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。 摘要 电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。对全业务电力物联网的各环节进行安全保障,防止恶意渗透攻击、防止数据丢失、防止恶意篡改,确保接入终端可信、传输通道可靠、业务应用可控,实现全景安全监测,全面提高全业务电力物联网安全综合防御能力。 关键词:电力物联网;全场景安全态势感知体系;云边协同;局部安全自治;联防联动机制 内容目录: 0 引言 1 目标及内涵 1.1 电力物联网特点
1.2 总体目标 2 关键产品及防护能力 2.1 “云”态势感知技术及产品 2.2 “网”态势感知技术及产品 2.3 “边”态势监测技术及产品 2.4 “端”态势监测技术及产品 3 应用案例 4 结语 0引言 电力物联网是物联网在电力行业的具体表现形式和应用落地,通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务,以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。作为落实建设能源互联网,加快新型数字基础设施建设的核心任务,建设电力物联网势不可挡。 然而,电力物联网的建设将极大改变现有电力业务模式和专业体系,也不可避免的对电网现有网络安全防护体系产生冲击;同时,随着国内外安全形势的不断变化,以及国家要求的进一步明确,都对物联网安全提出了新要求。
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
大规模网络安全态势感知——需求、挑战与技术
大规模网络安全态势感知 —需求、挑战与技术
贾焰 教授 国防科大计算机学院网络所 2009年10月22日
报告内容
什么是态势感知? ? 网络安全态势感知研究意义 ? 网络安全态势感知关键技术 ? YH-SAS
?
一个新型的网络安全态势感知系统
?
机遇和挑战
态势感知定义
?
wikipedia
?
Situation awareness, or SA, is the perception of environmental elements within a volume of time and space, the comprehension of their meaning, and the projection of their status in the near future.
态势感知就是在一定的时空条件下,对环境因
素进行获取、理解以及对其未来状态进行预 测。
态势要素获取 (一级) 态势理解 (二级) 态势预测 (三级)
态势感知定义(续)
?
Adam, 1993
SA
is simply “knowing what is going on so you can figure out what to do”。
态势感知可简单理解为“了解将要发生的事以便
做好准备”。
?
Moray, 2005
SA
is a shorthand description for “keeping track of what is going on around you in a complex, dynamic environment” 。
态势感知可简单描述为“始终掌握你周边复杂、
动态环境的变化”。
态势感知整理版
态势感知研究和应用现状 0、定义 0.1态势感知 “态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的感知、理解以及对未来状态的预测。 0.2网络态势 网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 0.3网络态势感知 网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。[3] 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋势做出预测;整体性是态势各实体间相互关系的体现,某些网络实体状态发生变化,会影响到其他网络实体的状态,进而影响整个网络的态势。 0.4网络安全态势感知 网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全提供保障。借助网络安全态势感知,网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况,对发起攻击的网络采取有效措施;网络用户可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,避免和减少网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。[7] 0.5深度态势感知 深度态势感知的含义是“对态势感知的感知,是一种人机智慧,既包括了人的智慧,也融合了机器的智能(人工智能)”,是能指+所指,既涉及事物的属性(能指、感觉)又关联它们之间的关系(所指、知觉),既能够理解弦外之音,也能够明白言外之意。它是在Endsley以主体态势感知(包括信息输入、处理、输出环节)的基础上,是包括人、机(物)、环境(自然、社会)及其相互关系的整体系统趋势分析,具有“软/硬”两种调节反馈机制;既包括自组织、自适应,也包括他组织、互适应;既包括局部的定量计算预测,也包括全局的定性算计评估,是一种具有自主、自动弥聚效应的信息修正、补偿的期望-选择-预测-控制体系。从某种意义上讲,深度态势感知是为完成主题任务在特定环境下组织系统充分运用各种类人认知活动(如目的、感觉、注意、动因、预测、自动性、运动技能、计划、模式识别、决策、动机、经验及知识的提取、存储、执行、反
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
智能态势感知系统
智能态势感知系统 产品简介 产品文档
【版权声明】 ?2013-2018 腾讯云版权所有 本文档著作权归腾讯云单独所有,未经腾讯云事先书面许可,任何主体不得以任何形式复制、修改、抄袭、传播全部或部分本文档内容。 【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有。本文档涉及的第三方主体的商标,依法由权利人所有。 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整。您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证。
文档目录 产品简介 产品概述 产品优势 应用场景
产品简介 产品概述 最近更新时间:2018-12-18 17:16:40 什么是腾讯态势感知(私有云)? 腾讯态势感知(私有云)(下文也叫御见)是腾讯面向政府、军队、金融、制造业、医疗、教育等大型企事业单位,推出的安全大数据分析及可视化平台。御见以安全检测为核心、以事件关联分析和腾讯威胁情报为重点、以 3D 可视化为特色、以可靠服务为保障,可针对企业面临的外部攻击和内部潜在风险,进行深度检测,为企业提供及时的安全告警。通过对海量数据进行多维度分析和及时预警,能及时智能处理安全威胁,实现企业全网安全态势可知、可见、可控的闭环。 主要功能 态势总览 通过态势总览,直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示,结合平台所收集、加工、分析后的多维数据,直观查看结果,方便安全运维人员及时发现和处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,极大地提高了安全运维团队的监测、管理、处置安全事件的效率。 资产感知 提供资产可视功能,帮助用户从资产的角度了解安全态势。盘点现有资产,对资产进行编辑管理。通过流量发现、第三设备导入、用户主动添加等手段,摸清企业内网资产,建立完整、丰富的资产库,为实现威胁、风险事件与企业内网资产紧密关联打下基础,方便运维人员对企业内网资产进行管理。 威胁发现 对接第三方设备日志、流量日志、威胁情报等数据,御见大数据分析平台对数据进行清洗、过滤、归一后,进行安全规则检测,实时发现最新威胁事件,并进行威胁态势感知与威胁事件告警,方便运维人员查询具体的威胁事件,从中获得威胁事件更详细信息,帮助调查分析、溯源事件、联动处置问题。 风险预警 实时收集互联网最新安全漏洞情报,向客户传递最新漏洞情报。通过持续监控外部威胁和内部风险,全面分析事件详情,为客户提供专业的处置方案,协助客户快速定位问题、精准定位溯源、及时正确处置威胁,做到及时查漏补缺、防患未然。
【安全】信息安全态势感知平台技术白皮书
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
网络安全态势的预测网络安全态势感知
网络安全态势的预测网络安全态势感知 :TP3 :A 摘要:网络安全态势感知的基本目标是网络安全预测。本文重点论述了网络安全态势常用的三种方法并对其应用实现进行了分析和展望。关键词:网络安全态势预测;神经智能网络;时间序列;支持向量机 Abstract:Network security situation forecast situation awareness is one of the basic goals. This paper mainly discusses the work security situation monly used three methods and its application in the trend of the development of realization are analyzed and prospected. Key words:Network security situation forecast ;Nerve intelligent work ;Time series ;Support vector machine (SVM) 1 引言 根据网络安全态势的以往的信息和目前状况情态可以对网络未 来一个阶段的发展趋势进行预测,这就是网络安全态势的预测。由于网络攻击的随机性和不确定性,这就使得安全态势变化是一个复杂的非线性过程,常规传统的预测模型较有局限性。目前网络安全态势预测通常采用神经智能网络、时间序列预测法和支持向量机等方法。
2 网络安全态势的预测 目前神经智能网络是最常用的网络态势预测方法,该算法是先 输入一些数据作为训练样本,然后根据网络能力调整权值,建立网络态势预测模型,而后运用模型,实现从输入状态到输出状态空间的映射,该映射为非线性映射。 神经智能网络具有很多优点,其中自学习、自适应性和非线性 处理尤为突出。网络之所以具有良好的容错性和稳健性,是因为神经网络内部神经元之间存在复杂的连接,连接权值的矩阵具有可变性,这使得模型运算中存在高度的冗余。但是神经智能网络存在许多缺陷:如过分拟合或者训练不够,训练时间短,可信的解释难以提供。 时间序列法是对时间序列的以往数据研究找出随着时间的变化 态势发展的规律,并利用这种规律推断未来,从而预测未来态势。在预测网络安全态势中,建立函数y=f(t),y即网络安全态势值,该值是有态势评估获取而来的,此态势值是非线性的。预测出的网络安全态势值通常被看作一个时间序列,设定y={yi|yi∈r,i=1,2,…,l}为网络安全态势值的时间序列,然后通过序列的前n个时刻的态势 值预测出后m个网络安全态势的值。
态势感知方案
XX单位 安全感知平台项目建设方案
目录 1 项目概况 (1) 1.1 项目名称 (1) 1.2 编制依据 (1) 1.3 项目立项依据 (2) 1.4 项目建设的必要性 (3) 1.5 项目建设目标 (4) 1.6 总投资估算 (5) 2 需求分析 (5) 2.1 信息化和安全建设现状分析 (5) 2.2 行业现状和攻防对抗需求分析 (6) 2.2.1 传统威胁有增无减,新型威胁层出不穷 (6) 2.2.2 已有检测技术难以应对新型威胁 (7) 2.2.3 未知威胁检测能力已经成为标配 (8) 2.3 现有安全体系的不足分析 (8) 2.3.1 看不清自身业务逻辑 (9) 2.3.2 看不见潜藏威胁隐患 (10) 2.3.3 缺乏整体安全感知能力 (11) 3 方案理念 (13) 3.1 看清业务逻辑 (13) 3.2 看见潜在威胁 (14)
3.3 看懂安全风险 (15) 3.4 辅助分析决策 (16) 4 解决方案 (16) 4.1 方案概述 (16) 4.2 安全感知系统 (17) 4.2.1 系统架构 (17) 4.2.2 部署拓扑 (18) 4.2.3 组件实现 (19) 4.2.4 主要功能 (28) 4.3 监测响应服务 (41) 4.3.1 安全事件监测、预警和通报 (41) 4.3.2 安全事件应急响应处置 (42) 4.3.3 重要时期信息安全保障 (44) 4.3.4 常规驻场值守服务 (44) 5 方案价值和主要技术优势 (44) 5.1 全网业务资产可视化 (44) 5.2 全网访问关系可视化 (45) 5.3 多维度威胁检测能力 (47) 5.4 安全风险告警和分析 (48) 5.5 全局视角态势可感知 (49) 6 价格估算表..................................................... 错误!未定义书签。
大数据环境下网络安全态势感知研究
□ 曹蓉蓉 / 南京政治学院上海校区军事信息管理系 上海 200433 大数据环境下网络安全态势感知研究 摘要:随着网络规模和应用的迅速扩大,网络安全威胁不断增加,单一的网络安全防护技术已经不能满足需要。网络安全态势感知能够从整体上动态反映网络安全状况并对网络安全的发展趋势进行预测,大数据的特点为大规模网络安全态势感知研究的突破创造了机遇。文章在介绍网络安全态势相关概念和技术的基础上,对利用大数据开展基于多源日志的网络安全态势感知研究进行了探讨。 关键词:网络安全,态势感知,大数据,数据融合,态势预测 DOI:10.3772/j.issn.1673—2286.2014.02.003 1 引言 随着计算机和通信技术的迅速发展,计算机网络的应用越来越广泛,其规模越来越庞大,多层面的网络安全威胁和安全风险也在不断增加,网络病毒、Dos/ DDos攻击等构成的威胁和损失越来越大,网络攻击行为向着分布化、规模化、复杂化等趋势发展,仅仅依靠防火墙、入侵检测、防病毒、访问控制等单一的网络安全防护技术,已不能满足网络安全的需求,迫切需要新的技术,及时发现网络中的异常事件,实时掌握网络安全状况,将之前很多时候亡羊补牢的事中、事后处理,转向事前自动评估预测,降低网络安全风险,提高网络安全防护能力。 网络安全态势感知技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对网络安全的发展趋势进行预测和预警。大数据技术特有的海量存储、并行计算、高效查询等特点,为大规模网络安全态势感知技术的突破创造了机遇,借助大数据分析,对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全状态进行分析评价,感知网络中的异常事件与整体安全态势。 2 网络安全态势相关概念 2.1 网络态势感知 态势感知(Situation Awareness,SA)的概念是1988年Endsley提出的,态势感知是在一定时间和空间内对环境因素的获取,理解和对未来短期的预测。整个态势感知过程可由图1所示的三级模型直观地表示出来。 图1 态势感知的三级模型 态势理解 (二级) 态势预测 (三级)态势要素获取 (一级) 所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络态势感知(Cyberspace Situation Awareness,CSA)是1999年Tim Bass首次提出的,网络态势感知是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。 态势是一种状态、一种趋势,是整体和全局的概念,任何单一的情况或状态都不能称之为态势。因此对态势的理解特别强调环境性、动态性和整体性,环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络;动态性是态势随时间不断变化,态势信息不仅包括过去和当前的状态,还要对未来的趋 2014年第02期(总第117期)11
态势感知研究的方法论
2011.02/中国信息安全/ 41 文/中国科技大学网络态势感知研究中心 王砚方 态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语,态势感知已成为研究网络安全所必需解决的问题,但业内的专家对此可能有不同的理解。本文企望通过相关的介绍和分析提出一己的看法。“态势感知”概念的来源由于人的因素在动态系统(如飞机驾驶、空中交通管制、电力网管理等)中彰显出越来越大的重要性,M.R.Endsley在1995年提出人类决策模型,总结出包括采集、理解和预测三个层次的态势感知模型。此模型基于各元素间的确定关系,例如由飞机的航速、方位角及风速判断它的落地点和落地时间,机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。再如战斗机驾驶员根据空中环境的动态变化,按规定的程序作战场上的各种相应的战术动作。在自动控制设备运行时,遇到异常时操作员如何介入,也可按专家事先制定的方案进行。总之,Endsley模型是指导人——机器的互动的原则:如果用较多的人工,可以得到对机器设备状态的较多的感知,因而可使设备接近最佳的状态;而如果自动程度较高,可以节省人工,但操作员的感知较少,遇 到不理想的情况就难以作出抉择,在这个问题 上,Endsley模型就是要解决人工同自动化之间最好的折中。这种模型适用于处理简单的系统,专家的先验的成分较多。显然,它不适用于复杂网络。事实上自这个模型提出的十五年来,在许多方面开拓了研究,如人员培训、设计、工作团队协调等方法有不少成果。国内有学者把它作为通用的理论模型,提出基于流量和局域网的单机日志的数据融合,建立大规模网络安全的态势评估模型。 到上世纪末,已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题,出现了把网络上安全传感器和计算机上的防入侵等
网络安全态势感知技术发展
作者版权所有 请勿转载
网络安全态势感知技术发展及在运营商网络的应用思考 刘东鑫 中国电信网络与信息安全研究院安全研究员 作者版权所有 请勿转载
目录 ?网络安全态势感知的背景及目标 ?网络安全态势感知的关键技术 ?在运营商网络的应用思考作者版权所有 请勿转载
网络与信息安全的外部形势变化 近年来,国内外网络与信息安全事件频发,威胁和风险环境已经发生了显著的变化,新的安全漏洞和网络攻击方式不断涌现,对安全防护提出更高要求。 ?黑产链条发展迅猛,外部攻击手法不断升级:漏洞及相关利用工具、敏感数据等黑产交易日益“繁荣”;DDOS攻击、APT攻击、拖库、撞库等手法花式翻新; ?资产规模及种类日趋庞大,安全管理难度加大:操作系统和第三方通用软硬件的高危漏洞频发、内部资产不清晰造成的防护遗漏、内部员工的账号泄露和非法操作等; ?网络与信息安全的内涵在不断扩充,价值不断提升:以账号安全、交易欺诈、信用欺诈和支付欺诈为代表的风控和反欺诈相关工作被纳 入企业整体的网络与信息安全防护体系。 ?以0day漏洞入侵员工电脑或手机 ,再向企业内网渗透 ?“内外”威胁的边界变得模糊 ?攻击趋利目的明显,业务漏洞利用 “巧妙” ?业务逻辑漏洞、帐号管控风险变大?全球Mirai僵尸肉鸡超过百万, “小试牛刀”就让互联网瘫痪 ?对IoT设备的安全管理仍在探索 作者版权所有 请勿转载
网络安全态势感知的定义及目标 目前,业界普遍接受“网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势 ,并以可视化方式展现给用户,并给出响应的报表和应对措施”的论述,但是尚未有统一的定义。经过多年的市场探索,态势感知系统通常作为安全运营体系的技术平台,旨在实现“安全能力集成、数据智能分析、安全威胁感知、应急协同处置、运营可视化”等多个目标。 近年来,国内业界厂商、大型客 户对“安全态势感知系统”的定位逐步趋同: 构建安全防护的“大脑”, 更好地加强纵深防 御,建设主动防御、持续 检测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营的闭 环管理。 基于数据融合的网络态势感知功能模型 ? 1999年,Tim Bass 提出:下一代NIDS 应该融合大量异构数据源,实现网络空间的态势感知。 态势感知的三个阶段 ? 在一定的时空条件下,对环境因素进行获取、理解以及对未来状态进行预测。 作者版权所有 请勿转载
安全态势感知平台
点击文章中飘蓝词可直接进入官网查看 安全态势感知平台 安全态势感知平台通过收集各类安全日志,实时监控网络流量,利用大数据实时分析,采 取主动的安全分析和实时态势感知,快速发现威胁,控制威胁。今天给大家谈一谈一下安全态 势感知平台的特点,并介绍一下安全态势感知平台哪家比较好。 事件收集,安全态势感知平台提供主动获取和被动接收多种事件获取方式,可收集所有类 型的事件信息。利用模式匹配进行数据解析,可解析所有格式的事件与日志,事件解析过程中,对解析规则进行智能学习,自动进行规则分类,可实现快速解析。正则表达式可灵活配置,灵 活接入新的事件与日志信息,产品可自由扩容,具备灵活的事件合并策略及强大的事件合并能力。 流量监控,安全态势感知平台流量监控实时监控网络流入流出的网络流量,通过对流量进 行协议识别和深度包检测,并对数据包进行还原与重组,提取数据流量中的内容,并对内容进 行检测,通过对检测结果的分析,发现数据流量中的异常行为,携带的病毒、木马以及恶意软件,隐藏的泄密行为等。 事件分析,安全态势感知平台基于僵尸网络活动模式的僵尸网络检测、多维交叉关联的网 络安全事件分析挖掘、基于协作的慢速DDoS检测、基于推理空间划分的大规模并行推理引擎、多种预测方式有机结合的网络安全态势预测、基于特征事件序列频繁情节的预测技术、基于高容错、自适应神经网络的预测技术。通过大数据实时、多维度关联分析,挖掘真正的威胁,利 用数据挖掘与机器学习提升网络安全态势预测能力。产品内置丰富的关联分析规则,并提供灵活的规则配置界面,可根据需要自由配置,关联分析引擎可自由扩展,通过调度中心灵活控制,产品具有自由的扩容能力与强大的分析能力。 告警分析与处理,安全态势感知平台告警分析对关联分析结果进行深入分析,结合漏洞信息、资产信息、告警策略信息等,分析告警事件与资产之间的关联关系,告警事件与漏洞之间 的关联关系,利用网络安全指标体系计算网络风险值,发现高风险事件,高风险资产,并对整 体威胁告警情况进行自动调整。针对分析发现的可疑威胁源与高风险事件,进行持续跟踪分析,
网络安全态势感知研究现状及分析
网络安全态势感知研究现状及分析 [摘要]网络安全态势感知是网络安全领域的热点课题,开展这项研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、发现潜在恶意的入侵行为、提高系统的反击能力等具有重要的意义。本文探讨了研究的现状并分析了其重要性。 [关键词]CBR原理;网络安全态势感知;研究现状 1 CBR原理概述 1.1 简单误报识别 一是利用网络拓扑信息及主机配置信息识别误报。比如:主机安装apache 作为Web服务器针对IIs服务器的unicode攻击报警就可以通过主机配置信息识别为误报。二是基于入侵场景完整性原则识别误报。一般来说,一次成功的黑客入侵是通过多个相关入侵攻击活动组成的。相反,孤立的单一入侵报警则很有可能是误报或是失败的入侵企图。因此,基于此假设,我们可以有效识别部分误报。三是利用漏洞扫描器的检测结果验证入侵报警是否为误报。入侵检测系统(Intrusion Detection System,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。实际中运行的IDS均存在着大量的误报警,据统计误报警的数量最高可达99%。误报警产生的原因可以分为两类:第一类是攻击特征描述不完善或者检测系统自身在算法和分析方法等方面存在缺陷;第二类是网络数据包内确实包含攻击特征,但是对于具体的目标或者环境没有作用或不构成威胁,仍被判定为攻击的情况。事实上,由于报警被误判后的代价是不均衡的,即真报警被误判为误报警所付出的代价要比相反的大,因此如何在保证较高的检测率和较低的误报率的前提下降低IDS的误报警已经成为入侵检测领域的研究热点。 1.2 网络安全态势感知的产生 现有的网络安全防护主要依靠病毒检测、入侵检测和防火墙等单点安全设备,由于它们彼此间缺乏有效协作,使得各类安全设备的效能无法得到充分发挥,网络系统的安全问题已成为影响Internet和各类应用发展的主要问题。网络安全态势感知(Network Security Situation Awareness,NSSA)在此背景下产生,目的是从总体上把握网络系统运行的安全状况及未来趋势,实时感知目前网络所面临的威胁,为及时、准确的决策提供可靠依据,最终将网络不安全带来的风险和损失降至最低。 目前,对网络安全态势感知的研究主要集中于日志分析、NetFlow、SNMP和面向服务等方面,提出了基于异质多传感器、灰色Verhulst、层次化的网络安全态势感知模型,基于数据融合、粗糙集、博弈理论、支持向量机等理论的网络安全态势感知方法,基于小波分析、神经网络、遗传算法等理论的网络安全态势动态预测方法。上述模型及方法的提出极大推动了网络安全态势感知理论的向前发展,在某些领域已开始应用并取得一定效果。但是,由于上述方法均不能从网络行为的本质把握网络运行规律,使得现有网络安全态势感知系统存在着感知范围窄、
360态势感知与安全运营平台
360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期
目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理(收费模块) (11) 4.4 漏洞管理(收费模块) (12) 4.5 日志搜索 (12) 4.6 调查分析(收费模块) (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知(收费模块) (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)
1产品概述 360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
探索网络安全态势感知系统[Word文档]
探索网络安全态势感知系统 本文档格式为WORD,感谢你的阅读。 最新最全的学术论文期刊文献年终总结年终报告工作总结个人总结述职报告实习报告单位总结演讲稿 探索网络安全态势感知系统 1网络安全态势感知系统的模型 网络安全态势感知系统是通过融合防火墙、防毒、杀毒软件、入侵检测系统、安全审计系统等技术组成,是实现网络安全实时监测与及时预警的新型感知技术。网络安全态势感知技术能够对网络的目前的运行安全情况进行实时的监测并做出相应的评估,还能够对网络未来一段时间内的变化趋势进行预测。网络安全态势感知系统主要分为了四个层次,第一个层次为特征提取,这一层次中的主要任务是将大量的数据信息进行整合与精炼并从中提取出网络安全态势信息。第二个层次为安全评估,作为网络安全态势感知系统的核心,这一层次的主要任务是将第一个层次中提取出的网络安全态势信息进行分析,利用入侵检测系统、防火墙等技术对网络信息安全进行评估。第三个层次为态势感知,这一层次是将安全评估的信息与信息源进行识别,确定二者之间的关系并根据威胁程度生成安全态势图,将网络安全的现状与可能的发展趋势直观的体现。第四个层次为预警,是根据安全态势图分析网络安全的发展趋势,对可能存在网络安全隐患的情况做出及时的预警,便于网络安全管理人员的介入并采取有针对性的措施进行处理。根据网络安全态势感知概念模型的四个层次,笔者又试探性的构建了网络安全态势感知系统体系结构模型,从上图中我们可以直观的了解网络安全态势感知系统的体系结构构成,便于相关人员进行分析与研究。 2网络安全态势感知系统关键模块分析 网络安全态势感知概念图中,我们可以发现网络安全态势感知系统主要由四个层次即特征提取、安全评估、态势感知与预警构成。针对这四个层次,下面进行进一步的分析。