在新的网络安全形势下，网络安全态势感知变得炙手可热，已经成为政府、企业宣传网络安全的高频词。可是，关于网络安全态势感知的内容、针对不同用户需求怎么感知等详细问题却缺少明晰的知道。在详细剖析感知内容即网络财物、财物脆弱性、安全事情、网络要挟、网络进犯和网络危险的基础上，针对不同品种用户即政府部门或企业、企业集团或职业主管部门、政府监管安排的不同网络安全确保需求和网络安全监管需求，提出了微观、中观和微观网络安全态势感知的功用架构和布置办法，为不同用户建造网络安全态势感知渠道供给参阅。

　　IT体系越来越杂乱，然后发生很多的无主财物、僵尸财物，且这些财物长时间无人保护，存在很多的缝隙和装备违规，为用户网络安全带来了极大危险。因而，首先要摸清财物家底。任何网络侵略和进犯都是以财物为载体或方针，假如网络财物是一笔糊涂账，那么网络安全状况将无法确保。

　　感知财物的办法首要有自动勘探和被迫剖析。自动勘探首要用于对不知道网络下的财物发现勘探，被迫剖析首要用于7×24小时继续性的监听已知网络下的未发现财物。经过强壮的财物指纹库树立各类型财物的特征，包含网络设备、安全设备、各类操作体系、数据库和使用中间件等，进行辨认财物并完结财物特点的补全，终究完成不知道财物的发现、辨认与办理。一起，需求经过有署理或无署理办法监控财物的运转状况，包含主机CPU、内存、磁盘占用率改变状况、网络带宽的占用改变状况和交流机每个端口的流量状况。更进一步，可搜集服务进程、线程数据、CPU和内存占用率等[2]，为安全检测剖析供给数据支撑。

　　网络安全脆弱性首要包含财物缝隙和弱暗码等装备不妥。脆弱性已经成为网络进犯者侵略网络盗取信息或许损坏体系的重要进口。因而，“摸清家底”的一个要点便是要摸清财物的脆弱性。假如财物缝隙和不合理装备不明确，将无法进行财物安全加固并采纳防护办法。

　　关于财物缝隙，感知办法是根据已知的缝隙信息，选用端口勘探等办法，对网络中指定的主机、网络设备等财物进行缝隙检测，发现网络财物存在的缝隙；财物装备脆弱性感知办法是选用基线安全装备检测东西，深度获取主机、服务器和网络设备等财物的装备信息，并与装备基线进行比较，发现财物装备的脆弱性。终究，在发现脆弱性基础上，保护一切财物脆弱性的生命周期信息，并剖析或许的进犯面和进犯途径。

　　跟着网络技能的开展，网络安全要挟的办法层出不穷。病毒、蠕虫、后门和木马等网络进犯办法越来越多，逐步遭到人们的广泛重视。为了确保网络体系的安全运转，网络中广泛使用了防火墙、侵略检测体系、缝隙扫描体系和安全审计体系等安全设备。这些安全设备会发生很多违背安全策略和安全规矩的告警事情。可是，这些安全告警事情信息中含有很多的重复报警和误报警，且各类安全事情之间涣散独立，缺少联络，无法给安全办理员供给在进犯时序上和地域上真实有意义的辅导。

　　实践中，大部分的安全告警事情并不是孤立发生的，它们之间存在必定的时序或因果联络。结合安全告警事情的运转环境，对本来相对孤立的低层网络安全事情数据集进行相关整合，并经过过滤、聚合等办法去伪存真，开掘躲藏在这些数据之后的事情之间的线]，确认事情的时刻、地址、人物、原因、经过和成果。

　　跟着技能的不断进步，网络进犯行为逐步出现散布化、长途化与虚拟化等趋势。传统根据对进犯行为进行特征辨认与比对的要挟感知和鉴别机制，遭到了来自新式进犯办法的巨大应战。层出不穷的各类高危缝隙、0Day缝隙，使进犯特征库的及时更新与长时间保护面临巨大困难[4]。此外，传统的要挟检测办法在应对APT进犯时显得无能为力，由于传统的检测办法首要针对已知的要挟，对不知道的缝隙使用、木马程序、进犯办法无法进行检测和定位。

　　面临层出不穷的网络进犯和新的网络安全形势，感知网络要挟的办法能够归纳为“至交”和“知彼”两个方面。“至交”方面是搜集内部网络流量数据、日志数据和安全数据等，进行根据大数据剖析、人工智能技能的反常行为检测，发现躲藏在海量数据中的网络反常行为；“知彼”方面是经过监测、交流和购买等各种办法，搜集歹意样板Hash值、歹意IP地址、歹意域名、进犯网络或许主机特征、进犯东西、进犯战技能、进犯安排等网络要挟情报数据，用于支撑安全运转保护、安全检测剖析和安全运营办理。

　　在网络进犯的一次迭代过程中，一般分为情报搜集、方针扫描、施行进犯、保持拜访和擦除痕迹5个阶段[5]。感知网络进犯是继续不断地搜集当时网络中的攻防对立数据。一方面实时展示当时网络中的攻防对立实况，深化发掘各种进犯行为，如端口扫描、口令猜想、缓冲区溢出进犯、拒绝服务进犯、IP地址诈骗以及会话绑架等；另一方面，凭借网络反常行为检测和前史进犯信息，剖析潜藏的高危进犯行为和不知道要挟，并帮忙安全剖析师抽取高价值的要挟情报。

　　网络安全危险感知是在感知网络财物、脆弱性、安全事情、安全要挟和安全进犯的基础上，进一步进行数据交融剖析，树立全网的安全危险指标体系和危险评价模型，从笼统的高度来评价当时网络的全体安全危险。危险评价可选用定量与定性相结合的归纳评价办法。层次剖析法（AHP）是一种典型的评价办法，是一种定性与定量相结合的多方针决策剖析办法。这一办法的中心是将决策者的经历判别予以量化，然后为决策者供给定量方法的决策依据。

　　这儿所指的微观层面，是针对详细企业或政府的信息网络而言的。作为网络安全的详细确保目标，企业信息网络态势感知的意图是详细把握企业网络财物、脆弱性、告警事情、要挟、进犯和危险，并进行应急呼应、查询剖析等闭环处置。详细办法是尽或许全面搜集信息网络相关数据，包含网络设备数据、安全设备数据、主机设备数据、数据库数据以及使用体系和中间件数据，交融要挟情报进行根据大数据渠道的安全办理与安全剖析，完成财物办理、缝隙办理、事情办理、要挟告警、查询剖析和应急呼应等事务功用，为安全运营（办理、剖析、呼应）团队供给技能支撑，如图1所示。

　　微观层面的网络安全态势感知渠道的布置办法可根据信息网络的规划选用会集式布置（适用于中小企业信息网络），或许散布搜集、会集运营办理的布置办法。常见的布置办法如图2所示。

　　关于中小型企业，能够选用会集布置的办法，在中心会集布置搜集器集群；关于中大型企业，则选用散布式搜集布置办法。

　　这儿所指的中观层面，是针对具有多个微观办理域功用的企业集团或职业主管部门而言的。作为企业集团或职业主管部门，既有本身信息网络安全确保的责任，也有下级网络安全监管责任，其网络安全态势感知渠道应该是一个分级分域的架构，其功用架构与微观层面态势感知渠道相似。可是，上级渠道除具有微观态势感知的悉数功用外，需求对会聚的下级渠道态势信息进行统计剖析和相关剖析，并向下级渠道预警等，布置办法如图3所示。

　　图3中，下级渠道向上级渠道上报网络安全态势、重要安全事情、运转状况和知识库更新等信息，上级渠道向下级渠道下发预警、级联状况和知识库更新等信息[6]。在中观层面，上级渠道会聚了多个下级渠道的态势信息和事情信息，能够完成多域联动和协同呼应。

　　这儿所指的微观层面，是针对政府监管安排而言的，重视的要点是统辖范围内的微观网络安全态势。微观网络安全态势感知需求会聚辖区内中观态势感知渠道个独立的微观态势感知渠道的态势信息、重要事情信息，一起结合互联网大范围监测的DDoS进犯态势、WEB进犯态势、僵木蠕态势以及第三方网络要挟情报中心的情报信息，剖析、研判辖区内微观网络安全态势，针对严重、特别严重网络安全事情进行预警通报和应急指挥。功用架构如图4所示。

　　图4中，中观网络安全态势感知渠道、微观网络安全态势感知渠道经过网络，将本渠道的态势信息、严重或特别严重网络安全事情上报微观态势感知渠道。微观态势感知渠道进行统计剖析、相关剖析和进犯链剖析，结合要挟情报进行要挟判别，下发安全预警通报，并针对严重或特别严重安全事情进行应急处置，完成全域联动和协同呼应。

　　本文在详细论述网络安全态势感知内容的基础上，针对不同用户的不同意图，提出了微观、中观和微观网络安全态势感知的功用架构和布置办法。其间，微观网络安全态势感知渠道适用于政府、企业针对详细信息网络的安全确保，能够作为政府、企业的网络安全运营办理中心的重要支撑渠道；微观网络安全态势感知则适用于政府监管安排对必定区域内或国家的微观网络的安全监管，能够作为监管安排的技能支撑渠道；中观网络安全态势感知则介于微观和微观之间，适用于企业集团或许职业主管部门本身信息网络安全确保和对下级企业网络的安全监管。