第一部分 基礎知識

第1章 開啟網絡安全態勢感知的旅程

我們的生活樣式就像一幅油畫，從近看，看不出所以然來，要欣賞它的美，就非站遠一點不可。

——亞瑟·叔本華，德國哲學家

1.1 引言

網絡空間實在太寬泛，包羅萬象，而且已經發展得異常復雜，遠超人類直覺所能感知的范圍，每天流經網絡上的比特數比全世界所有海灘上的沙子還要多。過去的十年間，我們目睹了計算能力的指數級增長和各種計算設備的爆炸式應用，IT基礎設施正在發生深刻變化，虛擬化技術、軟件定義網絡、移動互聯網技術逐漸從概念走向實際應用，云計算的興起、BYOD的普及改變了傳統的數據中心架構和人們的工作方式，使得傳統的網絡邊界變得模糊甚至消失，這給傳統的、以安全邊界為核心的防護思想和安全產品帶來了巨大的挑戰。與此同時，非法利用和破壞信息系統也發展成為有組織的犯罪行為和敵對國家的活動。網絡攻擊的實施者不再是個人，而是有著明確政治、經濟利益目的的“黑產”組織、國家機構等，攻擊的手段和工具也日新月異（“零日漏洞”已成為網絡空間地下黑市的搶手貨）。網絡空間威脅已經呈現出集團化、工具化、流程化的趨勢，這給傳統的以檢測為核心的防御手段帶來了巨大挑戰。

過去，人們更多地依靠安全分析員的經驗和安全工具來感知和分析網絡的安全狀態，然而，安全分析員所擁有的知識量有限，各種安全工具也都有短板?，F如今，面對網絡空間安全形勢所帶來的挑戰，在強大的計算機和數據分析平臺的支持下，我們希望網絡安全態勢感知能改變這一局面。借助新型網絡安全態勢感知技術，可更全面地了解當前網絡安全狀態，預測其發展趨勢并做出有效規劃和響應，更高效、更科學地檢驗和支撐人的直覺觀點，保護如今日益龐大和復雜的基礎設施系統。

網絡安全態勢感知本質上就是獲取并理解大量網絡安全數據，判斷當前整體安全狀態并預測短期未來趨勢?？傮w而言，其可分為三個階段：態勢提取、態勢理解和態勢預測。其中，態勢提取至少包含通過收集相關的信息素材，對當前狀態進行識別和確認；態勢理解至少包含了解攻擊造成的影響、攻擊者的行為意圖以及當前態勢發生的原因和方式；態勢預測則包含跟蹤態勢的演化方式，以及評估當前態勢的發展趨勢，預測攻擊者將來可能采取的行動路徑。雖然我們的理想狀況是可以在沒有人工干預的情況下進行自動化感知和防御，但目前的技術發展還未能達到如此智能化的水平。也許，隨著新技術的發展和人工智能的革新，未來有一天真的能夠實現這個愿景。但在目前，我們所研究的網絡安全態勢感知系統仍是硬件設備、計算軟件和人類思維決策的共同組成體。

本書試圖提供當今網絡安全態勢感知中重要主題的概覽。每一章都將著重闡述網絡安全態勢感知的某個方面，并討論網絡安全人員進行態勢感知所采用的理論、方法和技術。盡管每個主題都可以作為一個方向擴展出豐富的內容，甚至寫出一本書，但我們仍然只是對它們進行概述，這樣做的目的是想為讀者進一步深造提供一個良好的起點，希望本書能夠激起讀者進一步探究網絡安全態勢感知領域的興趣。

本章將帶領讀者開啟通往網絡安全態勢感知世界的旅程，我們將從網絡安全簡史談起，然后引入核心術語和相關模型，從宏觀上介紹網絡安全態勢感知的產生背景和基礎知識。同樣不能忽視的是各國在網絡安全領域進行的認知和實踐活動，因此本章還會談到我國網絡安全態勢感知相關的政策和發展歷程，以及以美國為代表的先進國家在網絡安全方面的實踐經驗，最后給出一些系統建設方面的意見和建議。

1.2 網絡安全簡史

不了解過去就難以理解未來。在探討網絡安全態勢感知這一主題之前，先來看一下網絡安全的簡縮版發展史。

1.2.1 計算機網絡

計算機網絡從20世紀60年代發展至今，已經形成從小型的辦公局域網絡到全球性廣域網的規模，對現代人類的生產、經濟、生活等方方面面都產生了巨大的影響。1962年，由美國國防部（DOD）資助、國防部高級研究計劃局（ARPA）主持研究建立了數據包交換計算機網絡ARPANET。ARPANET利用租用的通信線路，將美國加州大學洛杉磯分校、加州大學圣巴巴拉分校、斯坦福大學和猶他大學四個節點的計算機連接起來，構成了專門完成主機間通信任務的通信子網。該網絡采用分組交換技術傳送信息，這種技術能夠保證四所大學間的網絡不會因為某條線路被切斷，而影響其他線路間的通信。當時的人們根本想不到，20年后計算機網絡在現代信息社會中會扮演如此重要的角色。ARPANET已從最初四個節點發展成為橫跨全世界一百多個國家和地區，掛接數萬個網絡、數千萬臺計算機、數億用戶的互聯網（Internet）。由ARPANET發展而來的Internet，是目前全世界最大的國際型計算機互聯網絡，目前仍在快速發展中。

1.2.2 惡意代碼

網絡的發展給人們帶來了諸多便利和好處，然而也帶來了惡意行為的肆虐，這就是下面要講的惡意代碼。北京郵電大學的楊義先教授說：“如果說普通代碼是佛，那么惡意代碼就是魔。佛與魔除了分別代表正義與邪惡之外，其他本領其實都不相上下?！睆膼阂獯a的作惡能力來看，只有你想不到的，沒有它做不到的。

對于2010年席卷全球工業界的“震網”病毒事件，相信讀者多少有所耳聞。這是一款專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，該病毒具有超強的破壞性和自我復制能力，已感染全球超過45000個網絡，曾造成伊朗核電站1/5的離心機報廢、約3萬終端被感染、監控錄像被篡改、放射性物質被泄漏，危害不亞于切爾諾貝利核電站事故。這款病毒以其強大的破壞性，使得伊朗被迫關閉核電站，讓美國不廢一兵一卒就將其工業控制系統摧毀。該惡意代碼能夠成功的關鍵是它同時調用了幾個所謂的“零日漏洞”，即新發現的還未被人惡意利用過的軟件缺陷，這幾個漏洞分別是RPC遠程執行漏洞、快捷方式文件解析漏洞、打印機后臺程序服務漏洞、內核模式驅動程序漏洞和任務計劃程序漏洞。然而，更加可怕的是，“震網”病毒的歷史使命并未結束，它還能夠進入多種工業控制軟件并奪取一系列核心生產設備的控制權，攻擊電力、運輸、石油、化工、汽車等重要工業和民用基礎設施。這還只是影響力較大的病毒之一，事實上，全球每天都在上演著各式各樣的惡意代碼進行破壞的“戲碼”。

為什么惡意代碼有如此大的破壞力呢？因為計算機由硬件和軟件兩部分組成，前者決定了它的“體力”，后者決定了它的“智力”。軟件不過就是指令和數據的集合，表現形式是代碼。人類把做“好事”的代碼稱為善意代碼，把做“壞事”的代碼稱為惡意代碼，但從計算機角度看，它們都是代碼，沒有任何區別。在信息時代到處都有計算機的身影，它可以大至一間屋子（如超算中心），小到一個微型器件（如嵌入式芯片），并與人們的生活密切相關。凡是計算機能做的事情，即（善意）代碼可做的“善事”，也都可以由惡意代碼轉換成“惡事”，從而影響人們的工作生活，這就是惡意代碼“邪惡無邊”的原因。而且從制造難度上看，惡意代碼比善意代碼更容易編寫，因為普遍的規律是“敗事容易成事難”。惡意代碼以其制造的容易性、破壞的強大性，已經形成了一個個“黑色部落”，演化出了一個龐大的“家族”。這個“家族”里比較典型的有四種：病毒、僵尸網絡、木馬、蠕蟲（簡稱為“毒僵木蠕”）。此外，還有后門、下載器、間諜軟件、內核套件、勒索軟件等其他類型。

1. 病毒

病毒（這里指計算機病毒），從其名字就可以感受到它的威力，就像生物病毒一樣，感染者非病即死。世界上第一款病毒雛形出現在20世紀60年代初的美國貝爾實驗室里，三個年輕的程序員編寫了一個名為“磁芯大戰”的游戲，游戲中可通過復制自身來擺脫對方的控制。20世紀70年代，美國作家雷恩在其出版的《P1的青春》一書中構思了一種能夠自我復制的計算機程序，并第一次稱之為計算機病毒。1983年11月，在國際計算機安全學術研討會上美國計算機專家首次將病毒程序在vax/750計算機上進行了實驗，世界上第一個計算機病毒就這樣出現了。但真正意義上在世界上流行的第一個病毒出現在20世紀80年代后期，在巴基斯坦，兩個以編程為生的兄弟為了打擊那些盜版軟件的使用者，設計出了一款名為“巴基斯坦智囊”的病毒，該病毒在全世界廣為傳播。雖然其形狀不像生物病毒，但在行為特征方面，計算機病毒比生物病毒有過之而無不及，都具有感染性、傳播性、隱蔽性、可激發性等破壞性，而且還能自我繁殖、互相傳染和激活再生。按照感染策略，病毒可分為非常駐型病毒和常駐型病毒。顧名思義，前者短暫停留，一旦摸清被攻擊者的情況就快速展開感染、復制、繁殖；后者則長期隱藏在受害者體內，一旦時機成熟就會像癌細胞一樣不斷分裂，復制自身，消耗系統資源，不斷作惡。當然，與生物分類的多樣性類似，病毒還有其他許多分類方法，在此不一一列舉，你只需要知道它的基本行為特征和破壞力就夠了。

2. 僵尸網絡

僵尸網絡，聽上去也是一個讓人犯怵的名字。攻擊者通過各種途徑傳播僵尸程序（雖然本質上是病毒，但它只是充當了一個攻擊平臺的角色）以感染互聯網上的大量主機，而被感染的主機通過一個控制信道接收攻擊者的指令，組成一個受控的“僵尸網絡”，眾多計算機就在不知不覺中成為被人利用的一種工具?！敖┦W絡”是一種由引擎驅動的惡意因特網行為，常與之一起出現的詞還有DDo S（Distributed Denial of Service，分布式拒絕服務攻擊），后者是利用服務請求來耗盡被攻擊網絡的系統資源，從而使被攻擊網絡無法處理合法用戶的請求。DDo S形式多樣，但最常見的是流量溢出，它可以消耗大量帶寬，卻不消耗應用程序資源。正是“僵尸網絡”的興起，使得DDo S迅速壯大和普及，因為“僵尸網絡”為DDo S提供了所需的“火力”帶寬和計算機以及管理攻擊所需的基礎架構。發現“僵尸網絡”是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的“僵尸主機”，這些主機的用戶往往并不知情。因此，“僵尸網絡”是目前互聯網上黑客最青睞的作案工具之一。而對于上網用戶來說，感染“僵尸病毒”則十分容易，因為網絡上各種有趣的小游戲、小廣告都在吸引著網友。

3. 木馬

木馬也稱木馬病毒，名字來源于古希臘傳說（《荷馬史詩》中“木馬計”的故事），但它與一般的病毒不同，它不會自我繁殖，也不會刻意感染其他文件，而是通過將自身偽裝起來以吸引用戶下載執行。正如它的全名“特洛伊木馬”，意思是“害人的禮物”，比喻在敵方陣營里埋下伏兵，等待命令開始行動。攻擊者通過特定的木馬程序控制另一臺計算機，等到合適的時機，攻擊者在控制端發出命令，于是隱藏的木馬程序就開始進行破壞性行動了，比如竊取文件、修改注冊表和計算機配置、復制、移動、刪除等。從行為模式上看，木馬程序與普通的遠程控制軟件相似，但后者進行維護、升級或遙控等正當行動，而木馬程序則從事著非法活動，且因有著很好的隱蔽性而不容易被發現。也正因為木馬程序的隱蔽性，普通殺毒軟件難以發現它的行蹤，而且它一旦啟動就很難被阻止。它會將自己加載到核心軟件中，當系統啟用時就自動運行。木馬的種類也是異常繁多，掛載在不同應用上就表現出不同的功能，不一而足。

4. 蠕蟲

蠕蟲也是一種病毒，其利用網絡進行復制和傳播。最初的蠕蟲病毒定義源于在DOS環境下，該病毒發作時會在屏幕上出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。蠕蟲病毒是自包含的程序，它能將自身功能的拷貝或自身的某些部分傳播到其他計算機系統中。與普通病毒不同的是，蠕蟲不需要將其自身附著在宿主程序上就能干壞事。蠕蟲主要包括主機蠕蟲和網絡蠕蟲，前者完全包含在其運行的主機中，并且通過網絡將自身拷貝到其他計算機終端。一旦完成拷貝動作就會自毀，而讓其“克隆物”繼續作惡，因此在任何時刻都只有一個“蠕蟲拷貝”在運行。蠕蟲會“游蕩”在互聯網中，嘗試一個又一個漏洞，直到找到合適的漏洞進而損害計算機，假如成功的話，它會將自己寫入計算機，然后開始再次復制。比如近幾年來危害很大的“尼姆亞”病毒就是蠕蟲病毒的一種，感染該病毒的郵件即使在不手工打開附件的情況下，也會激活病毒。著名的“紅色代碼”也是蠕蟲病毒，其利用微軟IIS服務器軟件的遠程緩存區溢出漏洞來傳播。SQL蠕蟲王病毒則是利用微軟數據庫的一個漏洞進行大肆攻擊。與傳統病毒不同的是，許多新的蠕蟲病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。

1.2.3 漏洞利用

漏洞利用是采用一組惡意軟件的集合進行攻擊的技術，這些惡意程序中包含數據或可執行代碼，能夠在本地或遠程計算機上運行。它旨在攻擊含有漏洞的特定版本軟件，一旦用戶使用該版本軟件打開惡意目標或網站，都會遭受漏洞利用。大多數時候，網絡攻擊者實施漏洞利用的第一步就是允許權限提升，一旦通過特定漏洞獲得訪問權，即會從攻擊者的服務器載入其他惡意軟件，從而執行各種惡意行為，如盜取個人數據，或者將被攻擊主機作為“僵尸網絡”的一部分以發送垃圾郵件或實施DDo S攻擊等。

瀏覽器、Flash、Java和Microsoft辦公軟件都屬于最容易遭受攻擊的軟件類型，因為這些軟件使用相當普及，無論是安全專家還是網絡黑客都喜歡對它們進行研究，因此這些軟件的開發者不得不定期發布補丁以修復漏洞。如果每次都能及時打上補丁那是再好不過了，但實際上卻常常無法如愿，這就給漏洞利用提供了機會。除了利用已知漏洞，還有很多目前未知的漏洞，即所謂的“零日漏洞”，網絡攻擊者一旦發現后也會大肆利用，而軟件供應商則在漏洞被利用后才能了解問題所在并著手解決。即使對于小心謹慎且勤于打補丁的用戶而言，漏洞利用同樣會構成威脅。這是因為網絡犯罪分子很好地利用了發現漏洞和發布修復補丁之間的時間差，在這段“真空時間”內，漏洞利用幾乎可以為所欲為，對幾乎所有互聯網用戶的安全構成威脅。

漏洞利用常常采用集群方式，因此其首先需要對被攻擊系統進行檢測以確定漏洞類型，一旦確定漏洞類型就可以使用相對應的漏洞利用工具。漏洞利用工具還會廣泛使用代碼混淆以防止被檢測出來，同時還對URL進行加密，來防范安全人員將其徹底根除。比較有名的漏洞利用工具有：①Angler，最復雜的漏洞利用工具之一，也是速度最快的漏洞利用工具之一，該工具在開始檢測反病毒軟件和虛擬機后就會徹底改變整個“戰局”，并同時部署加密的木馬文件，Angler還能并入最新發布的零日漏洞，同時其惡意軟件無需對受害人硬盤進行讀寫，而是從內存中直接運行；②Neutrino，一款俄羅斯黑客編寫的漏洞利用工具，內含大量Java漏洞利用；③Nuclear Pack，通過Java和Adobe PDF的漏洞利用以及dropping Caphaw實施攻擊；④Blackhole Kit，2012年最廣為流行的網頁威脅，將存在于類似Firefox、Chrome、Internet Explorer和Safari瀏覽器的舊版本內的漏洞作為攻擊目標，同時攻擊范圍還包括像Adobe Flash、Adobe Acrobat和Java這樣的流行插件，一旦受害者被誘騙或重新定向至某個登錄頁面，該工具就會根據被攻擊主機上的漏洞類型，采用漏洞利用技術載入各種有針對性的惡意程序。

1.2.4 高級持續性威脅

高級持續性威脅（Advanced Persistent Threat，APT）無疑是近幾年來最常見的網絡安全詞匯之一。APT如今已被看成一個以商業和政治為目的的網絡犯罪類別，它不僅需要長期的經營和策劃，并且具備高度的隱蔽性，不追求短期收益，更關注長期步步為營的系統入侵。如同它的名字，APT攻擊相對于其他普通攻擊形式更為高級、更為先進、更為持久。其高級性體現于在發動攻擊之前要對攻擊對象的業務流程和目標系統進行精確的收集，在信息收集過程中，它會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡。其持久性則體現在整個收集信息、挖掘漏洞并利用漏洞攻擊的過程可能非常漫長，少則幾個月，多則幾年，這些發動APT攻擊的黑客往往不是為了在短時間內獲利，而是把被控主機當成跳板，持續搜索，直到徹底掌握所針對的人、事、物，所以這種攻擊模式類似一種“惡意網絡間諜”的行為。一旦某政府部門或企業組織被APT攻擊者盯上，被入侵只是時間早晚的問題，因為APT攻擊者會采用如社會工程學、各種網絡攻擊技術、漏洞挖掘技術、惡意代碼技術等來進行持久滲透，直到成功。APT攻擊是當前網絡安全界的熱點也是難點問題，如果你想了解更多內容，則可以查閱相關報道、書籍和文獻資料。

1.2.5 網絡安全設施

有網絡攻擊就一定有網絡防御。曾經有一款蠕蟲病毒的出現改變了互聯網界對安全的認識，那就是1988年11月Morris蠕蟲病毒的發布，其引起了羽翼未滿的互聯網對安全性的廣泛關注，該病毒還推進了第一種網絡安全設施——防火墻的發展。下面就來介紹幾種重要的網絡安全設施。

1. 防火墻

自存在網絡互聯以來，防火墻就是保護網絡安全所使用的最流行和最重要的工具之一。防火墻是一種采用隔離技術的網絡安全系統（可以是硬件形式也可是軟件形式），常常部署在內部網與外部網、專用網與公共網之間，以保護內部網絡免受非法用戶的侵入。防火墻的核心工作原理就是包過濾機制，通過在兩個網絡通信時執行一種訪問控制策略，允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中黑客的訪問。

在20世紀80年代，最早的防火墻幾乎與路由器同時出現，第一代防火墻主要基于包過濾技術，是依附于路由器的包過濾功能實現的，隨著網絡安全重要性和對性能要求的提升，防火墻才逐漸發展成為一個具有獨立結構和專門功能的設備。到了1989年，貝爾實驗室推出了第二代防火墻，即電路層防火墻。到20世紀90年代初開始推出第三代防火墻，即應用層防火墻（又稱代理防火墻）。1992年，USC（南加州大學）信息科學院的Bob Braden開發出了基于動態包過濾的技術，后來演變為目前所說的狀態監視技術，1994年市面上出現了第四代防火墻，即以色列的Check Point公司推出的基于該技術的商業化產品，它是具有安全操作系統的防火墻。到了1998年，NAI公司推出了自適應代理技術并在其產品中實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。雖然經歷了升級換代，但防火墻的基本功能仍是根據包的起點和終點來判斷是否允許其通過，而這種方式并不能篩選出所有具有風險的包，因為防火墻只關心包的起點和終點，對于包中含有的惡意內容，防火墻無法發現。這也是防火墻的局限所在。

2. 入侵檢測系統

入侵檢測系統（Intrusion Detection System，IDS）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全系統，對各種事件進行分析并從中發現違反安全策略的行為是其核心功能。與其他網絡安全設施的不同之處在于，IDS是一種積極主動的安全防護技術。IDS最早出現在1980年4月，20世紀80年代中期IDS逐漸發展成為入侵檢測專家系統。1990年，根據信息來源的不同，IDS分化為基于網絡的IDS和基于主機的IDS，后來又出現了分布式IDS。

根據檢測方法和安全策略的差異，IDS分為異常入侵檢測和誤用入侵檢測，前者通過建立正常行為模型來阻擋不符合該模型的行為入侵；后者則是建立不可接受的行為模型，凡是符合該模型的即被斷定為入侵。這兩種策略各有長短，前者漏報率低、誤報率高，后者則誤報率低、漏報率高。從技術手段上，IDS可分成基于標志和基于異常情況的入侵檢測，前者通過選取并定義違背安全策略的事件的特征來判別攻擊，重在維護一個特征知識庫；后者思路同異常入侵檢測，先定義一組正常情況數值以比對是否符合正常，進而阻擋惡意攻擊。

不同于防火墻，IDS是一個監聽設備，不需要跨接在任何鏈路上，無需網絡流量流經即可工作。IDS一般部署在所有關注流量必須流經的鏈路上，也就是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文所經過的鏈路。在現實中，IDS在網絡中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置，如服務器區域的交換機上。與防火墻一樣，入侵檢測系統也有它的局限性：由于當代網絡發展迅速，網絡傳輸速率大大提升，IDS工作負擔越來越重，對攻擊活動檢測的可靠性較低，且由于模式識別技術的不完善，IDS的虛警率高也是一大問題。

3. 反病毒軟件

在1.2.2節中我們談到了幾種典型的惡意代碼，為了檢測并采取行動來解除或刪除一切已知的病毒、木馬等惡意代碼，人們制造了反病毒軟件。反病毒軟件通常集成監控識別、病毒掃描和清除、自動升級等功能，有的還具有數據恢復的功能，是計算機防御系統的重要組成部分。1987年，在第一個PC病毒出現之后的幾個月內，就已經有公司成立和銷售反病毒軟件，并導致了一場競賽。早期的反病毒軟件有兩種基本形態，一是掃描器，二是校驗和檢查器。掃描器是一種用于對可執行文件進行搜索的程序，目的是尋找已被識別的病毒中已知的字符串。病毒編寫者采用了多種方法來防止病毒被掃描出來，比如利用多態化技術或對代碼進行加密，這使得掃描器時常難以識別病毒。校驗和檢查器是將系統中所有授權的可執行程序及其原始版本的校驗和信息保存至一個列表中，通常校驗和是采用散列函數計算得出的，對這些校驗和進行檢查以識別惡意程序。隨著網絡攻擊的商業化，惡意代碼的編寫者有越來越好的工具并接受過越來越專業的培訓，很多新的惡意代碼在初次使用時都不會被當前的反病毒軟件識別出來，因為編寫者對其進行了完全測試。從效果上看，在21世紀的頭幾年反病毒軟件可以檢測幾乎所有病毒，而到了2007年，典型的反病毒軟件只能檢測三分之一的病毒與其他攻擊工具。盡管反病毒軟件也在不斷地提升殺毒能力，但在智能識別未知病毒和降低系統資源占用方面，反病毒軟件仍有待進一步改進。

4. 統一威脅管理平臺

眾多的網絡安全防御設施使得大型組織有時難以抉擇，于是出現了一種集多種安全功能于一體和防范多種威脅的產品，即統一威脅管理平臺（簡稱UTM平臺）。UTM平臺在具備單一管理面板的單一設施上組合了多種不同的安全功能，如防火墻、IDS、郵件過濾、代理和VPN（虛擬專用網）、DLP（數據丟失防護）等，雖然每種安全功能不如單一安全設備強大，但勝在功能齊全，界面單一。UTM平臺的優勢顯而易見，即減少了安全設備的種類，可以統一部署，簡化了管理和修補流程，且費用相對購買多臺設備要低得多。2012年，據Gartner公司報告稱，UTM平臺的市場規模超過10億美元，在諸多網絡安全公司處于困境時，UTM市場能達到兩位數的增長率還是能說明一些問題的。早期采用UTM技術的大多是小型公司，后來隨著其性能提升，越來越多的大型組織開始采用UTM技術來保護自身網絡安全。然而，UTM平臺功能的多樣性和供貨商的單一也恰恰是其缺陷所在：每種功能可能都不強大，單一供貨商更多依賴一家供貨商提供安全解決方案來滿足所有安全性要求，而這唯一的一家供貨商不一定在所有方面都能做到領先，容易導致對威脅的識別能力不如采用混合供應商的組織。

1.3 網絡安全態勢感知

1.3.1 為什么需要態勢感知

如果盤點2017年網絡安全領域的熱點詞匯，“態勢感知”必定算一個。因為全球的網絡安全形勢非常嚴峻，單就中國而言，截止2016年底，僅360公司累計監測到的針對中國境內目標發動攻擊的APT組織至少有36個，最近仍處于活躍狀態的APT組織至少有13個，這些組織的攻擊目標涵蓋政府機關、高校、科研機構以及國家關鍵基礎設施所涉及的諸多行業和企業。當今網絡攻擊已經不再局限于傳統的僵尸網絡、木馬和病毒，而是使用零日威脅、變形多態等高級逃避技術、多步驟攻擊、APT攻擊等新型攻擊手段。2017年爆發的Wanna Cry勒索蠕蟲，更讓我們看到了“網絡武器”民用化之后可能造成的巨大災害。

面對新的網絡安全形勢，傳統安全體系遭遇了瓶頸，需要進一步提升安全運營水平，同時積極地開展主動防御能力建設。從現實中的網絡安全建設來看，多年來我們一直偏重于架構安全，如漏洞管理、系統加固、安全域劃分等，雖然取得了一定的成果，也研發出了大量產品，但這些大多是被動防御能力的建設，而且也遇到了發展瓶頸。大部分組織部署了各類流量監測系統、IDS、防火墻、終端監控系統、UTM等網絡監控和防護設備，這些設備在運行過程中雖然也產生了大量含有有用信息的數據，如包數據、會話數據、日志、告警等，并在一定程度上反映了網絡安全狀態。但由于彼此間缺乏有效協作，無法進行組合式深度分析，也缺少多角度全景呈現，因此難以實現對網絡整體安全態勢的全面、準確、細粒度的展現。

人們逐漸接受了“沒有攻不破的網絡和系統”以及“世界上只有兩種組織，一種是已經被攻陷的，一種是還不知道已經被攻陷的”這個現實。同時也意識到，傳統的通過簡單地購買更多安全設備的被動防護戰略已經不能使安全能力有更多提升，且難以適應當前的網絡安全形勢，需要在進一步提升安全運營水平的同時積極地開展主動防御能力的建設，采用更加積極的對抗措施來應對各種變化。于是，在之前建立了一定自動化防護能力的基礎上，人們開始增加對基于非特征檢測技術的能力的投入，以及以持續監測和事件響應分析能力為核心的自適應安全架構建設；并通過對事件的深度分析，建立預測預警，有針對性地改善安全體系，最終達到有效檢測、防御新型攻擊威脅的目的。

也正是因為這些現實的問題，習總書記才會明確指出“建設全天候全方位感知網絡安全態勢”。這個要求恰恰對態勢感知的建設目標做出了準確描述：“全天候”是時間維度，貫穿過去、現在和未來；“全方位”是內容維度，要求檢測分析的對象覆蓋面廣（至少包括網絡流量、終端行為、內容載荷三個方面）、有深度。通過對多源異構網絡安全數據和事件的獲取、理解、分析和評判，客觀反映網絡中發生的攻防行為，從時間和空間兩個維度，從OSI 1～7層整體角度從更高的層次直觀、動態、全面、準確、細粒度地感知各類網絡攻擊行為，進而提升主動防御能力，這正是態勢感知的意義所在。

1.3.2 態勢感知的定義

現代意義上的態勢感知（Situation Awareness，SA）研究也來自于戰爭的需要，其在二戰后美國空軍對提升飛行員空戰能力的人因（Human Factor）工程學研究過程中被提出來，是為提升空戰能力、分析空戰環境信息、快速判斷當前及未來形勢，以做出正確反應而進行的研究探索，至今仍然是軍事科學領域的重要研究課題。后來態勢感知漸漸被信息技術領域所采用，屬于人工智能范疇。

對“態勢感知”一詞的定義和解釋眾多，這里我們重點介紹幾個典型的定義。

2004年9月出版的《美軍野戰手冊》將態勢感知定義為：“對當前態勢的認識和理解，能幫助作戰空間中友好的、競爭的和其他性質的行動進行及時、相關和準確的評價，其目的是幫助進行決策。態勢感知是對信息的洞察能力和技巧，以快速確定發展中的眾多事件的背景及事件相關性?！?/p>

Endsley博士對態勢感知的定義是：“態勢感知即認知大量的時間和空間中的環境要素，理解它們的意義，并預測它們在不久的將來的狀態，以實現決策優勢。”Endsley博士認為態勢感知大體上有三個層面，即“認知、理解和預測”，這三個層面又與廣為人知的OODA（觀察、判斷、決策和行動）環有著緊密的關聯。

而Alberts博士對態勢感知的描述是這樣的：“態勢感知描述的是對特定時間點、整個戰斗空間或其中一部分的狀態的感知。在某些情況下，已發生事件的發展軌跡信息和對當前態勢的發展預測是關注的重點。態勢由任務和任務約束條件、相關力量的能力和意圖、關鍵的環境特性等部分構成?！逼渲?，他認為感知存在于認知領域，感知是先前知識（和觀點）與當前對現實的認知之間復雜的相互作用的結果。如對某個戰場態勢，人人都有不同的感知。他還認為，理解是指具有充足的知識，能判斷出態勢可能引發的后果；以及對態勢具有充分的感知能力，能預測未來的事件發展模式。因此，態勢感知關注的是對過去和現在態勢的認識。

Endsley和Alberts對態勢感知定義的區別在于，Endsley將預測作為感知的一部分，而Alberts則將感知與理解（預測）區分開。這也是目前對態勢感知定義認識的一個主要分歧，部分人認為預測就是態勢感知的一部分，而另一部分人則認為預測與態勢感知是兩件事。本書比較認可前一種看法，因為僅僅判斷當前狀態是不足以支撐決策的，只有對短期未來進行某種程度的預見和評估（無論準確率有多高，都要努力預測），才能更好地為決策提供支持。時間是貫穿態勢感知的基線，用過去的經驗和知識來分析和理解當前形勢并預測可能的前景，為決策者提供行動支持，由行動結果進而對環境產生影響，更新態勢，再重新進行感知，進一步決策和行動，這形成了一個循環上升的過程。

總之，態勢感知的核心部分可以理解為一個漸進明晰的過程，借鑒人工智能領域的黑板系統（Blackboard System），通過態勢要素提取，獲得必要的數據，然后通過數據分析進行態勢理解，進而實現對未來短期時間內的態勢預測，實現一個動態、準實時系統。因此，態勢感知是指對一定時間和空間內環境因素的提取、理解和對未來短期的預測。

1.3.3 網絡安全態勢感知的定義

隨著網絡空間的迅猛發展，對網絡空間所產生的海量非結構化數據、結構化數據和敏捷數據所蘊藏的深層信息進行態勢覺察、態勢理解和態勢預測顯得尤為必要，網絡空間態勢感知由此應運而生。所謂網絡空間態勢，是指由各種網絡設備運行狀況、網絡行為以及用戶行為等因素所構成的整個網絡當前狀態和變化趨勢。雖然根據不同的應用領域，網絡空間態勢可分為安全態勢、拓撲態勢和傳輸態勢等，但目前關于網絡空間態勢的研究大多是圍繞網絡的安全態勢展開的。

在20世紀90年代末，態勢感知才被引入信息技術安全領域，并首先用于對下一代入侵檢測系統的研究，出現了網絡安全態勢感知的概念。“網絡安全態勢感知”是指在大規模網絡環境中，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示，以及預測最近的發展趨勢。在“網絡安全態勢感知”中，“態”指的是從全局角度看到的現狀，包括組織自身的威脅狀態和整體的安全環境，需要基于檢測盡可能地發現攻擊事件或攻擊線索，同時需要對涉及的報警等信息做進一步的分析，弄清是否為真實的攻擊，以及攻擊的類型和性質、可能的影響范圍和危害、緩解或清除的方法等，從而確定是否可以進入處置流程；“勢”則指的是未來的狀態，需要對現階段所面臨的攻擊事件有深入的了解，弄清是已知威脅還是未知威脅，以及攻擊者的行動意圖、攻擊者的技戰術水平及特點等，從而預測組織未來的安全狀態。

不同于實體態勢感知系統（主要依賴于特定的硬件傳感器和信號處理技術），網絡安全態勢感知系統更依賴于防火墻、入侵檢測系統、反病毒系統、日志文件系統、惡意軟件檢測程序等網絡安全設施，這些安全傳感器會生成比原始數據包更為抽象的事件數據，而且網絡安全態勢感知系統的演變速度比實體態勢感知快若干個數量級。值得注意的是，網絡安全態勢可以在多個抽象層次獲得，低層次和高層次都能獲取原始數據，并通過一定的處理手段將這些數據轉換成更為抽象的信息。獲取較低抽象層次的網絡安全態勢的方法目前主要包括入侵檢測與告警關聯、使用攻擊圖進行漏洞分析、因果關系分析、取證分析（入侵的反向追蹤）、信息流分析、攻擊趨勢分析和入侵響應等。獲取較高抽象層次的網絡安全態勢則更多依靠人工分析，費時、費力且容易出錯。盡管大數據、人工智能和機器學習的出現和快速發展對態勢感知獲取高抽象層次信息起到一定的推動作用，但目前網絡安全態勢感知的自動化程度仍較低。

總的來說，網絡安全態勢感知應該是一種基于環境的動態、整體地洞悉安全風險的能力，是以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式，最終是為決策和行動服務，是安全能力的落地。

1.3.4 網絡安全態勢感知參考模型

1. Endsley的概念模型

1988年，Endsley博士首次明確提出態勢感知的定義，即態勢感知是指“在一定的時空范圍內認知、理解環境因素，并且對未來的發展趨勢進行預測”，該定義的概念模型如圖1.1所示。該模型更多地應用于傳統的態勢感知在航空領域對人為因素的考慮，后來才逐漸引入網絡安全領域。

Endsley的模型從人的認知角度出發，由核心態勢感知和影響態勢感知的要素兩部分組成。核心態勢感知部分包括態勢要素提取、對當前態勢的理解、對未來態勢的預測、決策以及行動措施等。影響態勢感知的要素分為系統要素和個體要素，實現態勢感知需要依靠各影響要素提供的服務。Endsley的概念模型是一個被廣泛接受的通用理論模型，其對于網絡安全態勢感知的總體框架如圖1.2所示。

2. JDL的數據融合模型

態勢感知涉及數據融合（Data Fusion）。數據融合是指將來自多個信息源的數據收集起來，進行關聯、組合，提升數據的有效性和精確度。可以看出，數據融合的研究與態勢感知在很多方面都是相似的。目前，網絡安全態勢感知的參考模型多是基于美國的軍事機構JDL（Joint Directors of Laboratories）給出的數據融合模型衍生出來的。圖1.3展示了一個典型的安全態勢感知模型。

在這個基于人機交互的模型中，態勢感知的實現被分為5個級別（階段），首先是對IT資源進行要素信息采集，然后經過不同級別的處理及其不斷反饋，最終通過態勢可視化實現人機交互與網絡安全態勢顯示。其中5個處理級別分別是：

 

●Level 0——數據預處理：海量非結構化數據、結構化數據和敏捷數據可選的預處理級別，通過態勢要素獲取，獲得必要的數據；對于部分不夠規整的數據進行海量數據預處理，如用戶分布式處理、雜質過濾、數據清洗等。

●Level 1——事件提?。菏侵冈诖笠幠＞W絡環境中，要素信息采集后的事件標準化、事件標準修訂、形成事件，以及事件基本特征的擴展。

●Level 2——態勢評估：將多個信息源的數據收集起來，進行關聯、組合、數據融合、關鍵數據的解析；分析出的態勢評估的結果是形成態勢分析報告和網絡綜合態勢圖，為網絡管理員提供輔助決策信息。

●Level 3——影響評估：它將當前態勢映射到未來，對參與者設想或預測行為、變化趨勢的影響進行評估，對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢，并對態勢變化的影響進行評估。

●Level 4——資源管理、過程控制與優化：通過建立一定的優化指標，對整個融合過程進行實時監控與評價，實現相關資源的最優分配。

3. Bass的功能模型

1999年，Bass等指出“下一代網絡入侵檢測系統應該融合從大量的異構分布式網絡傳感器采集的數據，實現網絡空間的態勢感知”，并且參考基于數據融合的JDL模型，提出了基于多傳感器數據融合的網絡態勢感知的功能模型，如圖1.4所示。

4. 總結

Endsley、JDL以及Bass為網絡安全態勢感知的研究奠定了基礎?；贓ndsley態勢感知的概念模型、JDL的數據融合模型和Bass的功能模型，后來的研究者們又陸續提出了十幾種網絡安全態勢感知的模型，對于不同的模型，其組成部分名稱可能不同，但功能基本都是一致的。對于基于網絡安全態勢感知的功能，本書將其研究內容歸結為3個方面：

 

●網絡安全態勢要素的提取。

●網絡安全態勢的理解（也稱為評估）。

●網絡安全態勢的預測。

 

本書的主體組織結構也是按照這三個部分來劃分的，后面章節將對這三個方面進行詳細說明。

1.3.5 網絡安全態勢感知的周期

網絡安全態勢感知的周期主要包括三個不同的階段：提取、理解和預測。如圖1.5所示。

1. 提取

根據態勢感知的定義，態勢感知始于提取，提取環境內相關要素的狀態、屬性和動態等信息，并將信息歸入各種可理解的表現方式，為理解和預測提供素材。準確、全面地提取網絡中的安全態勢要素是網絡安全態勢感知研究的基礎。然而由于網絡已經發展成一個龐大的非線性復雜系統，具有很強的靈活性，使得網絡安全態勢要素的提取并不那么輕松。目前網絡的安全態勢要素主要包括靜態的配置信息、動態的運行信息以及網絡的流量信息等。其中，靜態的配置信息包括網絡的拓撲信息、脆弱性信息和狀態信息等基本環境配置信息；動態的運行信息包括通過各種防護措施的日志采集和分析技術獲取的威脅信息等基本運行信息。提取的方法可以是通過提取某種角度的態勢要素（比如脆弱性、日志報警信息、蜜罐搜集的信息）來評估網絡的安全態勢，也可以是從多個角度分層次描述網絡安全態勢（比如建立層次化的指標體系）。從目前的研究來看，從單一角度提取態勢要素必然無法全面表征態勢信息，存在一定局限性，而多角度分層次描述態勢的方法則需要著重考慮各指標因素之間的關聯性，不然會導致信息融合處理存在較大難度。在本書的第3～5章，將對態勢提取涉及的一些重要主題進行詳細闡述。

2. 理解

對態勢的理解包括人們組合、解讀、存儲和保留信息的過程。因此，態勢理解過程不僅包括認識或注意到信息，還包括對眾多信息的整合，以及決定這些信息與單個主要對象的相關度，并根據這些信息進行推斷或推導出與對象相關的一系列結論。通過判斷對象和事件的重要程度，理解過程最終形成結構化的態勢圖像。此外，理解是一個動態過程，隨著態勢的不斷變化，必須將新的信息和已有的認識結合起來，綜合得出當前態勢圖像。

網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上，通過解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態勢。其中，數據融合是網絡安全態勢理解的核心。網絡安全態勢理解摒棄了研究單一的安全事件，而是從宏觀角度考慮網絡整體的安全狀態，以期獲得網絡安全的綜合評估，達到輔助決策的目的。在傳統的實踐中，對某種或某幾種網絡攻擊的檢測和評價已經推動了網絡空間大量的研究，但對于整個組織來說（尤其是決策者），從關注局部戰術操作層面轉向宏觀戰略層面，全面、深刻地認識并理解“我方”綜合安全態勢將會顯得更為重要。在本書的第6～9章，將對態勢理解涉及的重點領域和融合算法進行探討。

3. 預測

了解態勢要素的狀態并在變化的基礎上進行某種程度的預測，是態勢感知必不可少的部分。網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態，對網絡未來一段時間的發展趨勢進行預測。網絡安全態勢的預測是態勢感知的一個基本目標。由于網絡攻擊的隨機性和不確定性，使得以此為基礎的安全態勢變化呈現復雜的非線性過程，限制了傳統預測模型的使用。目前，網絡安全態勢預測一般采用神經網絡、時間序列預測法和支持向量機等方法，此外，基于因果的數據模型和模式識別也常用在網絡安全態勢的預測上。未來，隨著人工智能和機器學習技術的助推，也許會產生更多智能的技術方法。在本書的第10和11章，將對態勢預測常用方法進行介紹。

需要注意的是，網絡安全態勢感知的三個部分（提取、理解和預測）并非按先后順序串行的過程，而是同步并行的過程，把它切分為三個部分是為了簡化理解。各個部分都應當同時進行，并且相互觸發連續的變化和不斷更新，循環往復。三個部分中的各組成部分也應持續地相互作用，將自身的數據/知識裝載到其他組成部分之上。此外，任何過程中的每個步驟都應對安全人員和決策者高度可見。

1.4 我國網絡安全態勢感知政策和發展

1.4.1 我國網絡安全態勢感知政策

隨著信息技術的不斷發展，信息安全給安全監管部門提出了新的挑戰，而且目前我國信息系統安全產業及信息安全法律法規和標準不完善，導致國內信息安全保障工作滯后于信息技術發展。

為提高國家信息安全保障能力，2015年1月公安部頒布了《關于加快推進網絡與信息安全通報機制建設的通知》（公信安[2015]21號）?！巴ㄖ币蠼⑹∈袃杉壘W絡與信息安全信息通報機制，積極推動專門機構建設，建立網絡安全態勢感知監測通報手段和信息通報預警及應急處置體系；明確要求建設網絡安全態勢感知監測通報平臺；實現對重要網站和網上重要信息系統的安全監測、網上計算機病毒/木馬傳播監測、通報預警、應急處置、態勢分析、安全事件（事故）管理、督促整改等功能，為開展相關工作提供技術保障。

2015年5月18日，公安部在北京召開電視電話會議，專題部署國家級重要信息系統和重點網站安全執法檢查工作。公安部副部長、中央網信辦副主任陳智敏在會議上強調，各級公安機關要充分認識網絡安全的嚴峻形勢和加強網絡安全工作的重要性、緊迫性，加強國家網絡安全通報機制建設，進一步健全完善網絡安全信息通報和監測預警機制建設，確保網絡安全執法檢查工作取得實效。

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》，其中明確提出建立網絡安全監測預警和信息通報制度，將網絡安全監測預警和信息通報法制化。

2015年7月27日，發布《關于組織開展網絡安全態勢感知與通報預警平臺建設工作的通知》。

“沒有網絡安全就沒有國家安全”。網絡空間的無遠弗屆讓網絡安全風險加大，應對網絡和信息安全的挑戰必須要有正確的理論作指導。2016年4月19日，習近平主席在網絡安全和信息化工作座談會上提出：“要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力?！?/p>

2016年11月7日，全國人民代表大會常務委員會發布《中華人民共和國網絡安全法》（下面簡稱《網絡安全法》），從2017年6月1日起實施。法規中明確提出建立網絡安全監測預警和信息通報制度，將網絡安全監測預警和信息通報法制化。其中，第四十四、四十五、四十七和四十八條均有提及。

2016年12月15日，國務院關于印發《“十三五”國家信息化規劃的通知》（國發[2016]73號）中明確提出要全天候全方位感知網絡安全態勢，加強網絡安全態勢感知、監測預警和應急處置能力建設。

隨著《網絡安全法》和《國家網絡空間安全戰略》的相繼出臺，在我國態勢感知被提升到了戰略高度，眾多行業、大型企業都開始倡導、建設和應用網絡安全態勢感知系統，以應對網絡空間安全日益嚴峻的挑戰。

1.4.2 我國網絡安全態勢感知的曲線發展歷程

我國網絡安全態勢感知經歷了一個曲線發展過程，可劃分為萌芽、熱潮、低谷、恢復和成熟等多個階段。逐漸實現了安全能力的落地。這是網絡安全態勢感知的恢復和逐漸成熟期。

 

●萌芽期：用于進行安全運維和事件管理的SOC/SIEM等類型的產品和技術已經發展了很多年，受限于數據的處理和安全分析能力，始終停留在對大量微觀的安全事件告警的處理層面。大數據技術的出現讓建立在SOC/SIEM之上、基于大數據的安全分析技術成為現實，這是網絡安全態勢感知的萌芽期。

●熱潮期：網絡安全行業很快興起了對網絡安全態勢感知的炒作熱潮，很多人認為這種技術代表了威脅對抗技術的先進生產力，并相信其能夠解決大多數安全問題，突破傳統安全的瓶頸，幾乎所有人都對這種新技術滿懷期望、充滿信心。這是網絡安全態勢感知的熱潮期。

●低谷期：當最初的幾款網絡安全態勢感知產品上市后，其所呈現出的能力讓大家比較失望，有的只是對SOC/SIEM產品進行改頭換面，有的則淪為展示匯報的“地圖炮”，用戶在使用過程中發現態勢感知系統并沒有真正解決安全問題，其能力也不如預期的那么強大，于是對于新技術的評價降到谷底。這是網絡安全態勢感知的低谷期。

●恢復和成熟期：安全廠商和用戶堅定不移地繼續發展網絡安全態勢感知產品和技術，能夠解決的問題越來越多，技術成熟度也越來越高。尤其是近兩年，奇虎360、天融信、綠盟科技和安恒信息等公司的一大批優秀的網絡安全態勢產品和技術解決方案的出現，以及在國內眾多行業和領域的成功應用，使之贏得用戶越來越多的好評，

1.5 國外先進的網絡安全態勢感知經驗

1.5.1 美國網絡安全態勢感知建設方式

在網絡安全方面，無論是戰略建設還是技術研究，美國都大幅度領先全球其他國家，因此美國在這一方面的建設思路和成熟經驗可以作為借鑒。讓我們一起看看美國是如何布局其國家網絡安全戰略和相關行動計劃的。

可以從國家戰略、政策法案、行動計劃等方面對美國國家網絡安全建設進行分析研究。美國國家網絡安全建設大體上可以分成以下層次，如圖1.6所示。

1.5.2 美國網絡安全國家戰略

美國在網絡安全方面的國家戰略稱為全面的國家網絡安全行動（CNCI），如圖1.7所示。2008年1月8日，美國總統布什簽署發布了第54號國家安全總統令/第23號國土安全總統令，即CNCI。出臺該計劃是因為當時的布什總統認為美國網絡安全需要一個國家層面的綜合計劃并付諸實施。該計劃旨在保護美國的網絡安全，防止美國遭受各種惡意或敵對的電子攻擊，并能對敵方展開在線攻擊。

2010年3月2日，時任美國總統的奧巴馬宣布解密其部分內容。據有關報道，CNCI計劃總投資300億～400億美元，截至2012年年底已經投入資金177.6億美元。CNCI中包含12個重點領域活動，具體實施由國土安全部（DHS）、國防部（DoD）、國家情報總監辦公室（ODNI）、科學和技術政策辦公室（OSTP）四個機構負責。

CNCI制定了美國網絡安全相關機構建設、運營等工作的方針政策，指導了美國網絡安全各項建設計劃的實施，可以說CNCI對打造和構建美國網絡空間安全具有現實和長遠的戰略性意義。

1.5.3 可信互聯網連接

為了應對網絡安全攻擊，美國在2003年啟動了愛因斯坦計劃，目標是在政府網絡出口部署入侵檢測、Net Flow檢測、入侵防護系統來提供攻擊的早期預警和防護，隨后于2007年提出可信互聯網連接（TIC）計劃，目標是將聯邦政府8000個網絡出口歸并為50個左右。出口整合后，便于進行愛因斯坦計劃的統一部署，監控和防護也能做到一體化。

1. 愛因斯坦1

愛因斯坦1計劃始于2003年，系統能夠自動地收集、關聯、分析和共享美國聯邦政府之間的計算機安全信息，從而使得各聯邦機構能夠接近實時地感知其網絡基礎設施面臨的威脅，并更迅速地采取恰當的對策。通過收集參與該計劃的聯邦政府機構的信息，US-CERT能夠建立和增強對美國網絡空間態勢感知的能力。這種態勢感知的能力將使得國家能夠更好地識別和響應網絡威脅與攻擊，提高網絡安全性，提升關鍵的電子政務服務的彈性，增強互聯網的可生存性。

愛因斯坦1的技術本質是根據深度流檢測（DFI）來進行異常行為的檢測與總體趨勢分析，具體地說就是基于x Flow數據的DFI技術。這里的x Flow最典型的一種就是Net Flow，此外還有s Flow、j Flow、IPFIX等。US-CERT通過對聯邦政府機構的網絡出口路由器進行流量抽取，采集這些流量的Flow信息并進行分析以獲悉網絡安全態勢。

2. 愛因斯坦2

愛因斯坦2計劃是愛因斯坦1計劃的增強，始于2007年，該系統在原來對異常行為分析的基礎上增加了對惡意行為的分析能力，以期使得US-CERT獲得更好的網絡態勢感知能力。同時，愛因斯坦2計劃將配合美國政府的TIC（可信互聯網連接，旨在減少和收攏聯邦政府機構分散的互聯網出口）計劃一起實施。

而實現該惡意行為分析能力的技術是網絡入侵檢測技術，愛因斯坦2對進出美國政府網絡的TCP/IP通信數據包進行深度包檢測（DPI）以發現惡意行為（攻擊和入侵）。愛因斯坦2計劃主要以商業的IDS技術為基礎進行定制開發，而特征庫既有商業的，也有US-CERT自己的開發版。愛因斯坦2計劃中的特征庫是US-CERT精選的，做到盡可能少。當聯邦網絡流量中出現惡意或可能有害的活動時，愛因斯坦2能夠向US-CERT提供實時報警，并對導出數據提供關聯和可視化能力。

3. 愛因斯坦3

從2008年開始，美國政府啟動了CNCI，其中就包括愛因斯坦3計劃（又稱為“下一代愛因斯坦計劃”）。目前，該計劃披露的信息甚少。從掌握的信息看，愛因斯坦3計劃的主要技術支撐是IPS。

根據CNCI中的TIC，提出了TICAP（可信互聯網連接訪問提供商）的概念，即將為聯邦政府提供網絡接入的ISP也納入其中，如AT&T公司，由TICAP將政府網絡的流量有選擇性地鏡像并重定向出來，供US-CERT對這些流量進行入侵檢測與防御分析。根據愛因斯坦3計劃，美國國土安全部希望最終能夠將TIC與愛因斯坦計劃融合起來，使之成為聯邦政府網絡基礎設施的基本保障。

1.5.4 信息安全持續監控

信息安全持續監控（ISCM）是對信息安全、脆弱性和威脅進行持續的評估，以支撐組織的風險管理決策。由于信息安全建設和安全防護運維的持續性，美國聯邦政府越來越強烈地意識到“一次性”的安全建設不能夠保證自身網絡的持續安全。因此2010年的《聯邦信息安全管理法》（Federal Information Security Management Act，又稱FISMA 2.0）要求各機構的信息安全方案中必須包含信息系統的持續監測，修復有漏洞且不合規的項目，并根據聯邦要求出具報告。報告每月自動化提交，并成為政府績效評定的重要標準。

1.5.5 可借鑒的經驗

通過研究美國的安全建設可以看出，美國通過TIC（可信互聯網連接）來進行網絡整合，便于統一進行高質量的安全監控和防護；利用愛因斯坦計劃進行深度包檢測（DPI）和深度流檢測（DFI），以提高安全態勢感知能力；開展持續監控計劃，針對資產、漏洞、配置實施有體系的持續監控。

從美國對愛因斯坦計劃的持續投入可以看到，網絡空間安全的態勢感知對于國家、行業有多么重要的意義。雖然我國的信息安全技術水平較美國有較大的差距，但可以利用我國現有網絡信息安全技術，同時借鑒美國成熟的建設思路和實踐經驗，建設適合我國的網絡安全態勢感知系統。

1.6 網絡安全態勢感知建設意見

要完成網絡安全態勢感知的建設目標，既需要采集多源異構的安全數據，也需要通過數據/事件檢測分析平臺進行檢測分析，同時也離不開安全分析師的人工專業分析?？梢哉f，鑒于目前的技術水平，以及人工智能還處于初級階段，網絡安全分析師是態勢感知的最重要部分，是確定網絡安全態勢感知項目成敗的關鍵因素。成功的網絡安全態勢感知系統必須考慮到人工分析的因素，引入專業的安全分析師來進行輔助分析，并通過提供好的平臺工具和流程來支撐他們高效完成工作。

網絡安全態勢感知是綜合性安全能力建設，涉及很多方面，如數據源、大數據平臺、多類型檢測分析引擎、可視化、資產管理、安全分析師團隊建設等，是一個復雜的系統工程，不可能一次到位，其建設過程需要明確建設目標、掌控關鍵性因素、分階段開展。以下是一些階段性建設意見。

 

●第一階段：搭建網絡安全態勢感知所需的基礎工具和平臺。主要包括多源異構數據的采集匯聚平臺、數據分析處理平臺、多類型檢測分析引擎、態勢可視化呈現以及資產管理平臺等，當然還有安全管理團隊的組建，這些基礎性必備要素能支持一個組織內部網絡的完整安全運營。這也是本書要介紹的重點內容。

●第二階段：建立縱向支撐體系和情報數據共享體系。主要包括縱向惡意代碼分析中心、增強的數據/事件分析中心、縱向威脅情報中心和一定的情報共享機制等。惡意代碼分析和重大事件分析是需要高水平的安全分析師進行分析的，利用縱向的建設和集中這些資源，能夠更快地提升網絡整體運營水平?？v向威脅情報中心能夠收集、整理并分發內部情報信息；而情報共享機制能夠保障信息在行業內部以及公安、網信等部門的同步，通過內外結合，組織能夠對整個行業面臨的威脅有一個更精準、全面的掌控。

●第三階段：建立自動化、體系化的主動動態防御能力。該階段是最理想的也是最高境界。隨著基礎平臺和工具的完整搭建、縱向支撐體系和情報共享體系的增強，再加入自動化配置手段和高級人工智能的分析預測能力，進而全面提升對各類安全事件體系化的主動動態防護能力，更快速、更高效地識別、處理攻擊事件和惡意行為并預測未來發展趨勢，真正地為組織的網絡安全運營保駕護航。

 

最后，談一下如何判斷所建設的網絡安全態勢感知系統是否提升了網絡安全防護效能，真正解決了安全問題，這就涉及響應處置了。我們建設網絡安全態勢感知系統和進行安全運維的目標是降低MTTD/MTTR（平均檢測時間/平均響應時間），安全人員始終在與攻擊者賽跑：在攻擊者進行針對性的攻擊之前，完成防御策略的調整，阻斷或者遲滯其攻擊；在已經潛入內部的攻擊者盜取數據、造成破壞之前，識別和發現它，并立即評估可能造成的損失范圍和程度，及時響應和處置，避免造成真正的損失。因此，高效、及時的處置動作完成后才算完成閉環，才算真正解決了安全問題。態勢感知必須與響應處置結合，這樣才能有效提升網絡安全防護效能，從而實現安全落地。當然這中間少不了安全人員的判斷，關于安全人員方面的內容我們將在最后一章進行詳細討論。