党的十九届五中全会清晰了我国“十四五”期间展开的战略使命和2035年远景方针，着重要

  纵观网络安全职业的展开史，能够发现这一起也是一部网络安全技能的展开史。网络安全技能既是网络进犯者打造进攻兵器的质料，也是网络防护者构建结实防地的柱石。山石网科新技能研讨院立足于网络安全职业的最新态势，深化洞悉网络安全技能的展开头绪，针对2022年最有价值的十大安全技能进行了盘点、剖析和展望。

  通用人工智能或强人工智能尽管间隔人们的等待还相距甚远，但以深度神经网络为代表的人工智能技能现已在机器视觉、自然语言处理、自动驾驶等范畴大放异彩。在网络安全方面，人工智能技能早现已深化浸透到网络安全防护的方方面面。比方，选用PCA主成分剖析自动辨认API用处特征发现零日缝隙；选用循环神经网络辨认二进制程序缝隙；选用图聚类模型完成依据DGA域名生成算法的僵尸主机检测；选用多层感知器完成网络流量的反常检测等等。

  2022年，将会有更多的厂商投入更多的资源去深化研讨人工智能技能怎么进步产品的检测才能、防护才能、呼应才能；

  运用深度神经网络自动提取网络侧和主机侧源数据的特征，防止落入人工提取特征的专家系统圈套；

  鉴于有价值的网络进犯黑样本很少，传统机器学习模型的泛化功用遭到严峻限制，小样本学习关于网络安全职业就显得极有价值；

  对网络危险进行自动化的猜测、辨认、呼应、处置，都需求以网络安全大数据作为根底。别的，从算法和模型视点，无论是传统数据发掘，仍是先进的深度神经网络，也需求网络安全大数据作为剖析的起点和条件。网络安全范畴的大数据不同于一般大数据，它的获取途径、获取难度、数据注重维度都有自己显着的特色。

  2022年，网络安全大数据技能的根底性方位进一步加强，尤其是归纳性厂商愈加注重大数据的获取与剖析，相关的研讨投入稳步上升；

  依据MITRE ATT&CK常识库树立要挟情报常识图谱对整个安全职业有许多价值，但难度和作业量巨大，任何一个企业独立建造都不实际，应经过职业联盟牵头进行组成；

  依据网络安全大数据的安全态势感知、剖析、呈现、猜测在政府和国企的需求仍然微弱。

  Forrester 的首席剖析师John Kindervag于2010 年初次提出了“零信赖网络”的概念。零信赖是一种全新的安全理念，它对网络安全进行了范式上的推翻，打破了网络鸿沟的概念，引导网络安全系统架构从网络中心化向身份中心化的改动，完成对用户、设备和运用的全面、动态、智能拜访操控，树立运用层面的安全防护系统。2019 年9 月，工信部揭露寻求对《关于促进网络安全工业展开的辅导定见》的定见中，清晰将“零信赖安全”列入网络安全亟需求点打破的要害技能。以奇安信、山石网科为代表的一批安全厂商正在紧锣密鼓地开发零信赖产品和处理方案。

  2022年，大批的安全厂商将会密布推出零信赖安全产品，并在政企用户中完成必定范围地落地运用；

  多维度身份特色署理技能需求深化研讨。归纳用户信息、设备状况、网络地址、事务上下文以及拜访时刻、空间方位等各个维度的身份实体特色作为施行授权的依据，且恳求授权时按需暂时产生，定时失效。有用下降依据单一维度施行拜访授权的缝隙危险；

  可变信赖评价技能对网络署理供应的多维度实时特色信息，进行实时信赖评价和剖析，经过继续量化评价网络活动危险等级，为拜访授权供应判别依据。

  跟着信息安全技能的展开，网络进犯现已变得更有针对性、隐蔽性和持久性，终端要挟检测与呼应（EDR）技能的呈现为新式安全要挟的检测和与防护供应了新思路。EDR 在面对不知道要挟进犯、0day 缝隙进犯和APT 进犯等所表现出的先进性和优越性，现已成为网络空间全体安全防护系统的重要组成部分。Gartner 在2013 年初次提出终端要挟检测与呼应的概念之后，当即引起了安全界的广泛注重，之后在2016 年到2019 年接连进入Gartner 的 10 大技能之列。

  终端安全产品具有较高的技能门槛，商场的首要参加者历史上看大多为专业的反病毒厂商，在2022年，这一趋势将会有所改动，山石网科为代表的一批传统网络安全厂商正在加快发力切入；

  数据收集技能需求愈加注重。静态数据包含收集操作系统运转的当时状况，如财物信息、服务、端口、进程、线程、缝隙等；动态数据包含操作系统上产生的各类行为操作，如账户创立、网络拜访、数据发送、文件操作等，记载并收集动作相关的进程、方针文件、动作成果、网络数据等。数据收集是EDR 进行要挟猜测和安全剖析的条件和根底，也是EDR 差异于端点防护渠道EPP 的重要特征之一；

  数据发掘和剖析才能是中心竞争力。EDR 差异于EPP 的另一个重要的特征就在于EDR 具有大数据剖析的才能，EDR 能够将终端收集的各类异构数据进行会集存储和数据剖析，经过深度学习、强化学习、相关剖析、聚类剖析等，发现和辨认出终端上躲藏的安全要挟，发掘出已沦亡的终端主机，发现不满足安全要求和不符合安全规矩的终端；

  注重要挟情报对EDR的效果。要挟情报能为EDR 供应海量的内外部要挟数据、歹意样本数据、进犯特征数据、黑客安排画像信息等要害数据，协助对网络进犯进行归纳研判，对样本进行辨认、辨认进犯宗族等。经过多源情报相关信息，对进犯者进行追寻溯源，发掘进犯者建议进犯的动机；一起，依据要挟情报数据以及大数据剖析，EDR 还能高效地检测不知道进犯，完成对不知道进犯类型的防护。此外，EDR 自身具有要挟捕获功用，EDR 在辨认和发现要挟后，经过逆向样本文件，提取要挟特征，又能出产要挟情报数据，为要挟情报的其他运用场景（如NDR、SIEM、SOC 或许态势感知）供应支撑。

  进犯者在施行网络进犯时，常选用各种技能手法躲藏自己以对立追寻，如选用虚伪IP 地址、网络跳板、僵尸网络、匿名网络等技能。网络进犯追寻溯源技能能够有用应对进犯者的躲藏手法，定位实在的进犯源头，以便及时阻断网络进犯。网络进犯溯源无论是从政府视点，仍是商业用户视点，都有着火急的需求，商场潜在空间难以估计。

  可是，面对的应战仍然巨大，包含存储开支、核算开支和网络带宽开支过大，直接影响了工程实用性；传统网络系统结构和网络协议的规划缺少对网络进犯追寻溯源的支撑，导致网络进犯追寻溯源技能的规划存在较多的限制，如经过数据包符号途径信息或许会对数据包分片功用构成影响等；大部分现有溯源技能过于依靠网络根底设备的支撑，导致难以落地运用。

  2022年，SDN（软件界说网络）、CSMA（网络安全网格架构）等新式网络架构缓解了追寻溯源技能对网络设备的依靠性，部分溯源技能将会具有杰出的工程实用性；

  现有的进犯溯源技能简直都难以适用物联网这类传感器网络结构，而物联网的安全形势现已十分杰出，针对物联网的进犯溯源技能应展开前沿性研讨；

  依据日志存储查询、依据数据包符号的进犯溯源在理论上还存在许多问题，应该加强研讨改善，尽早完成工程化。

  进犯行为模仿（Adversary Emulation）不等同于红队、浸透测验、缝隙扫描，进犯行为模仿依据特定进犯的网络要挟情报以及模仿他们怎么施行进犯的进程，然后评价某一技能范畴的安全性。可用于衡量企业（或其他安排）在全生命周期中应对MITRE ATT&CK模型中所有要挟的检测才能和防护才能，这对企业进步安全产品才能和安全服务才能具有很高的价值。

  2022年，越来越多的安全厂商不再追捧宣扬MITRE ATT&CK这个概念，而是愈加务实地把ATT&CK常识库运用于自身的产品和服务中；

  MITRE官方引荐的CALDERA值得注重，供应了一个智能的自动化进犯模仿系统，能够削减安全团队进行惯例测验所需的资源，使他们能够聚集其他要害问题；

  跟着网络进犯呈现进犯自动化、智能化、高强度、多类进犯技能组合、隐秘程度高的特色，当时的网络攻防态势极点不对称，表现在攻防本钱的不对称、攻防技能不对称、攻防时刻与空间不对称。传统网络安全防护首要选用侵略检测/ 防护系统、防病毒网关和防火墙等被迫安全防护系统和技能对网络事情、流量和行为等进行检测和操控，并经过打补丁、软件晋级等方法削减或许存在的软硬件缝隙。通常是在进犯产生今后经过剖析网络进犯、蠕虫和病毒等要挟行为特征，并辅以蜜罐、沙箱等手法捕捉进犯行为，构成要挟形式规矩库，后期依据已有规矩进行要挟行为辨认和检测；经过制止网络歹意行为和非法操作来阻止进犯进程，下降进犯影响，为网络信息系统的安全运转起到了必定的维护效果。

  可是，这些手法无法从根本上消除缝隙，也不能应对依据不知道的可运用缝隙和后门的要挟，是一种滞后的防护手法，其自身固有的缺点也限制了其在网络安全防护中所能发挥的效果。

  网络自动防护技能是相关于传统被迫防护技能提出的，着重系统能够在进犯的具体方法和进程不为防护者所知的情况下施行自动的、前摄的防护布置，然后有用抵挡和应对进犯对系统的损坏，进步系统在面对进犯时的生存性和弹性。自动防护技能经过构建安全的系统架构或运转方法，增大进犯难度，下降进犯成功率，然后对进犯行为进行有用遏止，完成系统的安全。典型的自动防护技能，有侵略忍受、动方针防护和拟态安全防护等。

  2022年，许多自动安全防护技能仍然停留在“发明概念、过度假定、落地无门”的为难地步；

  美国在2009年提出了动方针防护（Moving Target Defense，MTD）的概念，后将MTD 确定为“改动游戏规矩”的革命性防护技能，MTD相关的理论研讨和试验验证较多，值得注重；

  部分研讨内容具有落地运用的远景，包含但不限于：依据IP地址、端口跳变的自动防护，依据路由途径随机改换的自动防护，依据网络流指纹的自动网络管控。

  云核算引领了IT 工业的革新，无论是大型的企业和政府部门，仍是小型的公司甚至个人，都不可防止遭到云核算浪潮的影响。传统的信息系统耗费许多的软硬件本钱，因而越来越多的企业将事务系统迁移至云上，不再建造数据中心等IT根底设施。尤其是关于草创的企业，这将节约许多本钱。可是，将事务系统迁移至云上，将数据交给不可信的第三方云渠道保管，导致用户失掉对数据的安全操控权。

  云拜访安全署理作为一种新式的技能，旨在处理用户运用云核算服务时的安全问题。它能够针对不同用户事务系统以及不同的云核算渠道，施行定制化的安全策略，发现并防备非授权行为，然后对云服务进行安全危险监测，确保用户运用云核算服务时的安全，然后推进云核算的展开。

  2022年，云根底设施的出资以及针对云核算服务的网络进犯都会不断增加，云安全商场快速展开；

  云安全范畴目不暇接的新概念较多，需求差异概念、理念、愿景、功用与中心技能之间的差异，始终保持对中心技能的研制投入以支撑云安全产品的继续演进；

  依据机器学习的云拜访要挟检测与呼应是要点的研讨内容，对用户以及云端的各种行为进行记载与剖析，包含各种恳求操作、云端服务、运用执行情况、文件操作等。为了增强行为剖析的准确性，进步要挟与危险行为的辨认率，应当具有强壮的行为库与常识库。

  在新基建浪潮下，我国的工业互联网以及工业互联网安全遭到更多注重。工业互联网展开提速，也面对着传统网络安全防护手法在杂乱环境下绰绰有余的问题。2020年5月，工信部发布的《关于工业大数据展开的辅导定见》中说到，我国34%的联网工业设备存在高危缝隙，仅在2019年上半年嗅探事情就高达5151万起。辅导定见指出，现在工业网络安全职责系统建造仍是空白，技能上尚无法有用防护工业数据安全，然后导致工业互联网安全防护才能滞后于工业交融展开进程。

  2022年，跟着全球首要国家在各个范畴的对立加重晋级，针对要害根底设施相关的工业互联网的网络进犯，无论是进犯强度仍是数量将会呈现显着上升；

  网络安全的首要厂商要活跃参加国家工业互联网规范整体组，参加国家规范拟定作业，不只有利于掌握工业互联网中心技能方向，对厂商自己的工业互联网产品的合规性也大有裨益；

  工控协议深度解析是要点需求进行攻关的，尤其是对私有协议的黑盒解析，以此为根底研制工业防火墙；

  工业要挟情报对工业互联网安全至关重要，应加强依据各类工业安全设备的数据收集剖析和情报出产、分发和运用才能；

  工业互联网范畴触及要害根底设施安全，上升到国家安全毫不过火，因而，高档继续要挟APT进犯将会大比重、大概率存在此范畴；

  针对工业互联网的APT进犯检测才能将会成为工业互联网产品中心才能的表现。

  物联网设备数量的激增是未来的趋势｡依据最近的猜测，物联网设备将按商场需求呈指数级增加，2030年物联网设备的数量将到达1250亿｡海量物联网设备的运用和其运用技能的遍及方便了咱们的日子，但其在服务､技能､设备和协议(如无线､有线､卫星､蜂窝和蓝牙等)上的异构性使得物联网的办理愈加杂乱。因为许多智能设备的出产供货商都是不具有网络安全专业常识的传统家用电器制造商，因而许多设备先天存在缝隙｡进犯者运用有缝隙的设备接入方针网络，埋伏乘机建议进犯，然后导致方针网络面对严峻的安全要挟｡

  车也是物的一种，理论上车联网也能够算作物联网，可是轿车职业的商场体量巨大、轿车安全关乎人命，把车联网作为一个独自范畴来评论也是合乎情理。不过，物联网和车联网面对的安全应战在技能层面没有严厉的鸿沟。

  2022年，在5G技能和自动驾驶技能的驱动下，物联网和车联网将迎来快速增加，一起也面对更严峻的安全应战；

  物联网设备的勘探与辨认是物联网安全防护的条件和起点，一方面学习和参阅现有开源项目可快速具有必定程度的设备辨认才能，如Satori、Shodan、Censys、Zmap、Ztag、p0f等；一方面参阅学术界最新的、依据机器学习的研讨成果进行弥补和进步；

  车联网触及到的安全网关、署理拜访技能、加密地道技能在传统网络安全范畴较为老练，具有直接落地运用的条件，但要充分考虑硬件产品、软件产品的车规级要求；

  车联网里最中心的自动驾驶技能触及的安全问题，既包含机器学习模型自身的辨认才能导致的安全问题（严厉说这个不属于网络安全问题），也包含在线学习进程的数据投毒问题。

  2022年，我国经济展开面对需求缩短、供应冲击、预期转弱三重压力。世纪疫情冲击下，百年变局加快演进，外部环境更趋杂乱严峻和不确定。网络安全形势愈加严峻，商场空间进一步扩展，给网络安全厂商带来更多的增加点和商场切入点。可是，网络安全商场竞争剧烈程度日益进步，给网络安全厂商提出了新的更高要求。

  网络安全厂商既要“吃着碗里的”，还要“顾着锅里的”，更要“盼着地里的”，把曩昔的技能堆集、正在展开的技能攻关、未来的技能战略布局协调好、统筹好、执行好。

  山石网科是我国网络安全职业的技能立异领导厂商，自成立以来一向专心于网络安全范畴前沿技能的立异，供应包含鸿沟安全、云安全、数据安全、内网安全在内的网络安全产品及服务，致力于为用户供应全方位、更智能、零打扰的网络安全处理方案。

  山石网科为金融、政府、运营商、互联网、教育、医疗卫生等职业累计超越20,000家用户供应高效、安稳的安全防护。山石网科在姑苏、北京和美国硅谷均设有研制中心，事务现已覆盖了我国、美洲、欧洲、东南亚、中东等50多个国家和地区。