态势感知有什么作用（态势感知是什么）

态势感知有什么作用（态势感知是什么）

面对越来越专业的恶意攻击，已无法再用传统的边界隔离理念，日渐臃肿的攻击特征库，与黑客多变的渗透技术，智能的HaaS服务，隐蔽的信道相抗衡了。因此，态势感知成为未来网络安全的关键。

时间维度上，既需要利用已有实时或准实时的检测技术，同时还需要通过更长时间数据来分析发现异常行为，特别是失陷情况；而内容维度上，则需要覆盖网络流量、终端行为、内容载荷三个方面，并完整提供以下5类检测能力（或者说至少4类），它们是基于流量特征的实时检测(WAF、IPS、NGFW等)、基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)、针对内容的静态、动态分析机制(沙箱)、基于终端行为特征的实时检测(ESP)、基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)。

感知网络资产：IT系统越来越复杂，从而产生大量的无主资产、僵尸资产，且这些资产长时间无人维护，存在大量的漏洞和配置违规，为用户网络安全带来了极大隐患。因此，首先要摸清资产家底。任何网络入侵和攻击都是以资产为载体或目标，如果网络资产是一笔糊涂账，那么网络安全状况将无法保障。

感知资产脆弱性：网络安全脆弱性主要包括资产漏洞和弱密码等配置不当。脆弱性已经成为网络攻击者入侵网络窃取信息或者破坏系统的重要入口。因此，“摸清家底”的一个重点就是要摸清资产的脆弱性。如果资产漏洞和不合理配置不明确，将无法进行资产安全加固并采取防护措施。

感知安全事件：大部分的安全告警事件并不是孤立产生的，它们之间存在一定的时序或因果联系。结合安全告警事件的运行环境，对原来相对孤立的低层网络安全事件数据集进行关联整合，并通过过滤、聚合等手段去伪存真，发掘隐藏在这些数据之后的事件之间的真实联系，确定事件的时间、地点、人物、起因、经过和结果。

感知网络威胁：面对层出不穷的网络攻击和新的网络安全形势，感知网络威胁的方法可以概括为“知己”和“知彼”两个方面。“知己”方面是采集内部网络流量数据、日志数据和安全数据等，进行基于大数据分析、人工智能技术的异常行为检测，发现隐藏在海量数据中的网络异常行为；“知彼”方面是通过监测、交换和购买等各种方式，搜集恶意样板Hash值、恶意IP地址、恶意域名、攻击网络或者主机特征、攻击工具、攻击战技术、攻击组织等网络威胁情报数据，用于支撑安全运行维护、安全检测分析和安全运营管理。

感知网络攻击：在网络攻击的一次迭代过程中，一般分为情报收集、目标扫描、实施攻击、维持访问和擦除痕迹5个阶段[5]。感知网络攻击是持续不断地收集当前网络中的攻防对抗数据。一方面实时展现当前网络中的攻防对抗实况，深入挖掘各种攻击行为，如端口扫描、口令猜测、缓冲区溢出攻击、拒绝服务攻击、IP地址欺骗以及会话劫持等；另一方面，借助网络异常行为检测和历史攻击信息，分析潜藏的高危攻击行为和未知威胁，并协助安全分析师抽取高价值的威胁情报。

感知安全风险：网络安全风险感知是在感知网络资产、脆弱性、安全事件、安全威胁和安全攻击的基础上，进一步进行数据融合分析，建立全网的安全风险指标体系和风险评估模型，从抽象的高度来评估当前网络的整体安全风险。风险评估可采用定量与定性相结合的综合评估方法。层次分析法（AHP）是一种典型的评估方法，是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断予以量化，从而为决策者提供定量形式的决策依据。

更多相关文章：