工业互联网态势感知，看得见的网络安全

随着“两化”融合的深入，网络安全威胁加速向工业领域渗透，导致网络安全问题愈发严峻。鉴于网络攻击技术的不断革新以及新型攻击工具的大量涌现，传统的网络安全技术已不能满足客户的需要。

如何准确地获取全网的安全状态以及变化趋势是网络安全防御的基础。

网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势。态势感知是对全网安全定量分析的可靠手段，它已成为网络安全2.0时代安全技术的焦点，对保障网络安全起着非常重要的作用。

模型概念

态势感知模型概念如下图所示：

数据采集

通过数据采集技术，集中收集全网安全异构数据；

态势理解

通过分类、归并、关联分析等手段处理采集的安全数据，分析影响网络的安全事件，得出全网的安全状况；

态势评估

定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的解决方案；

态势预测

通过态势评估输出的数据，预测网络安全状况的发展趋势；

安全分析模型

态势感知中常用的安全分析模型：

攻击链分析模型

威胁情报关联模型

 风险评估模型

攻击链分析模型

攻击链分析模型通过分析各网络安全设备收集的安全日志和流量日志，生成网络安全事件，进行正反双向推理，正向推理预警潜在威胁，反向推理还原攻击情景。

攻击链挖掘程序在网络安全事件的基础之上，按照目的资产的维度将各个安全事件进行聚合，并对应到攻击链的各个阶段，从而发现当前网络中的脆弱主机。网络安全管理员通过分析攻击链的结果，可以了解整个网络当前的安全态势，并且有针对性的对脆弱资产进行加固，提升网络的安全性和抗攻击能力。

 威胁情报关联模型

通过云端情报与本地事件的关联分析，大幅度提高安全事件告警准确度，实现潜在安全事件预警与安全事件验证。

事件预警

查询云端情报的恶意IP、恶意URL等，分析恶意IP的其他攻击行为，实现事件预警。

 事件验证

分析引擎根据云端情报提供的知识库，如恶意IP、恶意URL等，分析安全日志，生成安全事件。将安全事件上传至云端情报进行验证，提高事件分析的准确性。

风险评估模型

风险评估模型结合外部威胁、资产脆弱性以及资产价值进行综合评估并给出风险评分。基于不同的风险评分区间，给予相应的处置建议，比如脆弱性修补、威胁阻断。

总结

目前市场上的安全态势感知产品，偏重于网络安全态势的某一个或几个方面的感知。如何加强数据分析的深度和广度，做到全方位、多视角的全网安全态势感知是我们需要关注的。

针对安全态势感知平台的建设，应着重关注以下几个方面：

1丰富采集数据源

采集的网络安全数据是否丰富以及是否能从海量数据中提取影响安全态势的关键信息是网络安全态势感知的基础。因此应该尽可能的丰富网络安全数据的来源，采集的安全数据包括但不限于网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据。

2全方位态势评估

以用户的实际需求为出发点，从业务安全、数据安全、基础设施安全以及综合安全等多个维度为用户提供全面的安全态势评估，并针对不同的应用背景和不同的网络规模选择不同的评估方法。

3精准态势预测

针对不同维度的评估结果，预测其安全状况及变化趋势，为网络安全策略提供指导，对潜在的安全事件给予预警，从而增强网络防御的主动性。

4可视化系统交互

提供态势感知多种形式的可视化展示，并支持与用户的交互。根据用户的需求生成态势评测报表、资产报表等。