态势感知行业研究方向

态势感知行业研究方向

翟立超

（山西财经大学）

摘要：随着网络空间的扩大，层出不穷的新型网络攻击与高频率的攻击行为给网络攻击溯源及网络安全事件调查增加了难度。所以网络安全企业必须要建立起完善可靠的网络安全态势感知平台来增加企业竞争力，那么企业当前对态势感知的研究需要解决的问题有哪些，研究目标是什么，主要研究内容有哪些，将是衡量一个企业核心竞争力的关键因素，那么我们就这三个方面来进行介绍。

关键词：网络空间；态势感知

1、态势感知拟解决的关键问题

（1）多源异构环境下安全数据的融合

网络安全风险的产生及网络安全事件的形成往往是多个网络安全因素综合作用的结果。从这个角度说，要想做到全方位网络威胁的态势感知就要获取多个网络安全要素并对其进行汇总融合、深度关联分析、综合数据挖掘及研判。而在这些环节中多源异构安全数据的融合是前提及核心，多源异构安全数据融合解决的是将不同地域与机构、不同设备类型、不同格式结构、不同数据体现形式、不同数据提供方式、不同量级、不同渠道来源的所有安全数据实现有价值的高效融合。

（2）多模型网络安全威胁分析及未知攻击发现

纵观世界网络安全形势，网络攻击组织正朝着规模化、有目的性、有组织性的方向发展。网络攻击手段及技术正逐步演变为长周期、高隐秘性、多种攻击技术相结合、现实环境与网络空间相结合的“单点难防”趋势。网络安全形势的变化，对传统的网络安全威胁识别、分析及未知攻击发现技术提出了极大的挑战。基于传统的经典统计学的分析方法已不能满足当前网络安全形势下对威胁识别及攻击发现的需求及要求。

以传统经典统计学的分析方法为基础，结合以大数据技术为支撑的关联分析、大数据专有算法分析、人工智能及机器学习算法、可视化分析等技术构建的“多模型网络安全威胁分析方法”可对新形势下的网络安全威胁进行有效识别，并从一定程度上实现对未知攻击的发现。

（3）网络安全威胁态势感知与决策支撑

传统的网络安全检测与防护手段已经不能满足当前网络安全管理的需求，更加无法应对日益严峻的网络安全形势。基于安全要素提取与分析的网络安全威胁态势感知可对网络安全攻击威胁和网络安全状态进行实时评估和预测，可为实现积极主动、综合防范的信息安全保障体系建设提供决策依据，为网络安全规划和管理策略的制定提供科学依据[26]。

（4）网络安全风险的智能及安全事件的通报预警、调查处置机制的建立

网络安全威胁及系统、网络本身的脆弱性是网络安全风险形成的根源所在，除了对网络安全威胁进行有效的识别，对网络及系统的脆弱性识别及管理也是重中之重。集中的脆弱性检测及监测平台可对检测目标或组织的脆弱性进行统一管理，实现对脆弱性的聚焦与趋势分析等，为网络安全风险研判提供参考依据，同时相关的脆弱性分析结果也可形成通报预警信息，实现网络安全风险信息共享。

《网络安全法》第五章监测预警及应急处置要求：在国家层面及重点行业领域建立检测预警及通报机制[27]。对安全事件应制定应急预案并定期进行演练，安全事件发生后应开展调查处置工作。

网络安全的通报预警及调查处置工作是信息安全保障的重要组成部分。建立通报预警及调查处置机制，建设相关的平台系统并研制配套的技术设备是当前落实通报预警及调查处置工作的当务之急。

2、复杂或高级持续性威胁攻击下的追踪溯源

网络攻击者往往伪造攻击地址或利用“跳板”及僵尸网络发起攻击，传统的基于电子证据取证的单纯线索分析往往不能奏效。在海量多源异构数据的融合下，复杂的大规模攻击行为的追踪溯源往往需要结合多种技术手段（如，ICMP溯源法、日志记录溯源法、链路测试溯源法）并借助关联挖掘、可视化分析等分析方法，通过多维碰撞输出溯源线索。

网络安全管理工作及重大安全活动的集中化、规范化、流程化管理信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。目前，针对等级保护的政策法规、标准规范体系已经相当完善，现阶段等级保护工作的首要任务是落地实施。对于等级保护工作过程进行业务流程的梳理、对等级保护相关的数据及工作流程进行集中、统一、规范化的管理是促进等级保护工作得以高效有序开展的必要基础，也是促进等级保护工作落地的有效支撑。

针对重点单位保卫及重大安保保障由于涉及技术、资源、能力的综合整合和调度工作，工作复杂度及难度成为了安保活动能否顺利完成的关键。对重点单位保卫及重大安全保障工作进行工作过程分析、业务流程梳理形成知识库、经验库、业务流程库，实现安保工作的集中化、流程化、规范化管理。

3、网络空间安全态势感知研究目标

研究基于多源异构信息融合技术及多种新型智能威胁分析建模技术，并据此构建基于大数据的实时网络安全威胁态势感知原型系统。具体目标如下：

1.实现多源安全信息的汇聚融合、处理、存储与管理，支持TB级的实时数据接入及PB级的离线数据接入与存储。

2.支持基于经典统计学的威胁分析方法，并突破基于智能学习的多种新型威胁分析技术，构建综合威胁分析模型体系。

3.研究多种实时监测技术、网络安全威胁识别分析技术、大数据可视化分析技术，构建基于大数据的网络安全态势感知原型系统。

4.研究网络安全通报预警机制及持续监督方法，构建网络安全通报预警平台原型系统。

5.研究并应用多种电子取证技术，实现网络安全事件数据采集的自动化、事件线索提取多样化、分析的高效化。构建处置工作统一管理、处置数据集中分析、处置效果可跟踪评估的综合事件应急处置平台原型系统。

6.研究网络攻击溯源所涉及的多部门联动工作机制，探索并实现网络攻击溯源的多技术融合方法，初步构建应用于网络攻击溯源的综合性原型系统。

7.研究等级保护工作业务规范化与流程化的工作方法，实现等级保护基数据的集中化管理，构建等级保护工作综合管理平台原型系统。

8.研究重大安全保障及重点单位保卫的工作方法及实施流程，构建安保工作统一指挥调度平台和管理系统原型。

作者简介：翟立超（1993-），男，山西灵石人，山西财经大学信息管理学院计算机应用技术研究生，研究方向：网络安全态势感知。