信息安全目前越来越受到重视，“棱镜门”事件爆发后，信息安全不仅引起了企业领导的重视，更引起了国家领导人的广泛关注。在这种背景下，企业无论是出于对自身利益的考虑，还是对于社会责任的角度，都已经开始构建更为丰富的内部安全系统。

这些系统不仅涵盖基本的防火墙，入侵检测、防病毒；还包括目前主流的上网行为审计，堡垒机系统，数据库审计系统，网站防火墙系统；以及符合最新攻击的特征的，如抗拒绝服务系统，高级持续性威胁防御系统等。这些专业的安全防护设备逐渐达到了企业的防护屏障，从多个不同的角度满足了企业的安全防护需求。

但是，攻击者与安全运维人员的对抗是永无止境的，有了一种防护技术，就会出现针对性的攻击技术。越来越多的攻击者会在发起攻击前，会测试是否可以绕过目标网络的安全检测，因此会使用新型的攻击手段，零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击，这些新的攻击方式，即是所谓的新一代威胁。由于它们是传统安全机制无法有效检测和防御的，因此往往会造成更大的破坏，成为当前各方关注的焦点。

然而，无论是传统的安全攻击，如DDoS、溢出攻击、僵木蠕等，亦或是先进的APT攻击，所有的攻击行为都会在网络或者系统中留有痕迹。这样的痕迹都分散在各个系统中，形成一个个的信息孤岛，每起安全事故的发生、数据的泄露都是隐藏在网络数据的海洋中，企业中的安全管理人员难以发现。安全事件都是在发生后，数据在网络上广为流传后企业才会发现曾经有过安全事件，但具体的时间、形式都难以察觉。

绿盟安全态势感知平台可以提供有效的安全分析模型和管理工具来融合这些数据，可准确、高效地感知整个网络的安全状态以及发展趋势,从而对网络的资源作出合理的安全加固，对外部的攻击与危害行为可以及时的发现并进行应急响应，从而有效的实现防外及安内，保障信息系统安全。

建设目标

绿盟科技安全态势感知平台的建设，目的是达到以下目标：

1.实现对DDOS态势的感知，并溯源；

2.实现对已知入侵威胁安全态势的感知；

3.实现对未知威胁安全态势的感知；

4.实现对僵木蠕的态势感知，并溯源；

5.实现对资产自身脆弱性的态势感知；

6.实现对网站的安全态势监控。

建设原则

(一) 体系化设计原则

基于信息网络的层次关系，遵循先进的安全理念，科学的安全体系和安全框架，各个组成部分推荐均符合当代信息技术发展形势，满足未来各种应用分析APP对安全态势感知平台的要求，提供针对各种已有数据源的接口支持。

(二) 扩展性原则

系统具有良好的扩展以及与其它应用系统的接口能力。产品具有良好的扩展性，能够快速响应需求的扩展，满足用户的进一步需要。

(三) 开放性，兼容性原则

各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。

(四) 安全性原则

系统开发、建设及维护的全过程中，在代码安全、数据保密、系统安全防护措施上采取较严格的措施，进行缜密的权限、身份、帐号与信息加密管理，接受其他安全系统如统一身份认证系统、安全监控管理系统的管理，以保证系统和数据的安全。

(五) 管理、操作、易维护性原则

随着信息系统建设规模的不断扩大，系统的可管理性已成为系统能否实施的关键，系统为用户提供可解决问题并易于管理的系统。贯彻面向最终用户的原则，安装简便快捷，具有了友好的用户界面，操作简单、直观、灵活，易于学习和掌握，支持在线功能帮助。

　　绿盟安全态势感知平台分为数据采集层、数据处理层、应用分析层和呈现层。

数据采集层：获取与安全紧密关联的海量异构数据，包括网络flow流数据、安全设备的监测日志数据、资产的漏洞信息、配置信息等；此外还可采集恶意样本及威胁情报等相关数据。通过绿盟A接口或flume-ng将数据源的接入、收集及转发。

大数据处理层：包括数据的传输、处理、存储及服务，数据经数据采集传感器进入大数据处理层，在数据存储之前会经过1~2次的数据清洗，用来进行数据增强、格式化、解析，数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库，分别提供给APP用来搜索和分析使用。

应用分析层：利用大数据处理层提供的数据即时访问接口，建立相应的安全分析模型、并利用相关机器学习算法，逻辑实现相关应用分析APP。

呈现层：提取应用分析层输出的相关数据，实现APP统一的可视化呈现。

采用大数据的底层架构，实现异构数据采集、存储、计算。对于HBase、Hive等大数据组件的深度整合，满足网络安全中对于数据有效性、数据完整性、数据及时性的约束要求。采用自主开发的数据路由功能，实现对于不同数据源的区别处理。以底层为基础，实现自主可控的系统架构。

各类设备的日志信息和分析结果通过A接口导入安全态势感知平台。导入安全态势感知平台的数据经过ETL（Extract-Transform-Load，数据抽取、清洗、转换、装载）存入数据存储单元。元数据是数据转换ETL的策略和依据，同时元数据还会给通用数据访问接口提供访问控制约束。

Kafka队列作为数据传输的一个存储通道，数据获取层和数据应用层之间的缓冲带，同时可作为某些业务逻辑处理的存储通道，如实时告警。

数据存储方式为HDFS的parquet列存储和ELASTICSEARCH的索引库，分别提供给WEB应用用来搜索和分析使用。

前端的各种WEB应用通过多维分析服务、查询报表服务、数据挖掘服务等形式的服务使用通用数据访问接口访问存储的数据，最终实现基于异构多维数据的安全分析。

各种WEB应用的分析结果可通过统一呈现门门户做二次统一汇总分析并做呈现。

组网部署设计

绿盟安全态势感知平台部署在企业内网，在内网的各核心路由器上部署网络入侵态势感知传感器，镜像全部网络流量，网络入侵态势感知传感器将获取的网络流量转化成Netflow，通过管理口发送给DDOS态势感知传感器做流量检测；通过FTP、POP3、SMTP协议还原，将过滤出的文件发送给APT攻击态势感知传感器做恶意文件检测。各传感器最终将检测得到的数据汇总到态势感知平台进行分析，并通过相应APP进行可视化呈现。

其总体部署架构如图3所示。

方案能力

网络入侵态势感知

网络入侵态势感知是国际上公认的难点，核心是海量日志的挖掘和决策支持系统的开发，发达国家这方面的研究比较领先。经过多年的研究，提出“基于对抗的智能态势感知预警模型”，解决海量日志挖掘的工作。吸收国外著名的kill chain击杀链和attack tree攻击树的相关研究，形成推理决策系统，借助大数据分析系统的分布式数据库，可以实现决策预警，真正的为企业服务。

众所周知，IPS/IDS主要是基于攻击特征规则进行检测（绿盟科技IPS/IDS规则库拥有6400条规则），即IPS/IDS每次匹配到含有攻击特征数据包便产生一次攻击告警，1G流量下可产生120万条攻击告警。而传统的日志分析系统只会归并同规则事件的告警（部分IPS/IDS本身也支持），1G流量下可归并至12万条告警日志，意味着归并后运维人员还需要面对12万条告警日志！如图4所示。

而绿盟科技的入侵威胁感知系统在传统的日志归并基础上，还构建了近100种攻击场景的行为模型，可自动化识别黑客当前处于哪种攻击行为。据统计，入侵威胁感知系统可将12万条告警日志自动化分析成500条左右的攻击行为告警。

再基于攻击树的威胁计分，预警威胁较大的攻击源，促进防外决策，以及预警面临威胁较大的被攻击目标，促进安内决策。再攻击树的反向推理方法，发现入侵成功事件，促进事后响应。

DDOS态势感知

DDOS威胁一般称为网络氢弹，是目前国与国之间，竞争对手之间的主要攻击方式，成本低，见效大。DDOS攻击越来越频繁，尤其针对发达地区和重点业务，某省电信每天发生的DDOS攻击次数在100次左右。其次，DDOS攻击流量越来越大，从检测结果来看20%以上攻击在大于20G。2014年4月，监测到的某电信的单一IP攻击流量达到300G。因此，如何检测预警大型的DDOS攻击。是我们研究重点。在这个方面，网络异常流量检测，可以全目标检测(传统DFI设备为了提升性能，需要设定检测目标)。而且拥有自学习功能，可以降低80%以上误报，经过处理后，1500G出口的骨干网，形成告警完全是可以处置的。如图5。

通过一段时间的机器学习得到其正常状态的流量上限。自学习过程中系统自动记录网络的流量变化特征，进行基础数据建模，按照可信范围的数据设置置信区间，通过对置信区间内的历史数据进行分析计算，得到流量的变化趋势和模型特征。为了保证学习的流量特征符合正态分布，系统支持开启日历模式的数据建模，如设置工作日、双休日等日历时间点，针对不同的时间点进行自学习建模。同时系统支持对生成的动态基线进行手动调整，和日历自学习模式相结合，共同保证动态基线的准确性。

僵木蠕态势感知

在办公网等内网环境中，僵尸网络、木马、蠕虫病毒（统称僵木蠕）的威胁是首要威胁，僵木蠕引起的arp，DDOS断网等问题成为主要问题，更不用说由僵木蠕导致的APT泄密等事件了。在这个场景下，我们采用业界领先的防病毒引擎，通过对网络流量监控，发现僵木蠕的传播，并通过僵木蠕态势监控，实现僵尸网络发现、打击及效果评估。

APT攻击态势感知

已知攻击检测，我们可以用入侵检测设备，防病毒，但是针对目前越来越严重的APT攻击，我们需要更先进的技术手段和方法。威胁分析系统，可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。因此，在整个防护体系中，未知的0day攻击，APT攻击态势感知，我们依靠未知威胁态势感知传感器通过对web、邮件、客户端软件等方式进入内网的各种恶意软件进行检测，利用多种应用层及文件层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。如图6。

　　脆弱性态势

绿盟安全态势感知平台依托于漏洞扫描设备，对企业信息系统漏洞风险进行评估，形成企业信息系统全生命周期的脆弱性态势感知，协助企业做好系统上线前、后的风险态势呈现，杜绝系统带病入网、运行，对存在风险的系统进行及时的修补，并对修补后的再次审核结果进行呈现，确保系统自身的安全运行。

网站安全态势

网站作为企业对外的窗口，面临的安全威胁也最多，因此，有必要部署专门的网站监控设备形成网站安全态势监控，同时与绿盟云端监测服务相结合，监控网站漏洞，平稳度，挂马，篡改，敏感内容，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。

溯源追踪

如何在海量网络中追踪溯源DDOS攻击，网络入侵攻击是业界难点和重点，采用DFI模式开发网络溯源系统，针对APT攻击，DDOS攻击，僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源，如，DDOS攻击可以溯源到链路，物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报，可以挖掘更多信息，重要的是，提供了在海量数据下的溯源难题。可以在低成本下，还原任何IP的流量。

网络攻击溯源追踪具体包括以下两个功能。

(一) 流量分析溯源

在企业的网络中发生流量型的网络安全事件时，并已确认安全事件相关资产IP地址和时间段信息，此时通过系统该模块可实现对该时间段、IP地址等相关的流量分析溯源取证；另外在企业发生流量型的安全事件时，也可通过该模块中渐进式数据挖掘、统计报表等子模块实现流量攻击的溯源和取证。

(二) 安全溯源

在企业的业务系统发生遭受网络攻击事件时，根据遭受攻击的类型和安全溯源的需求，通过溯源追踪实现DDoS溯源和僵木蠕溯源。

DDOS溯源： 企业发生DDoS攻击时，可通过DDoS告警日志信息判断网内DDoS攻击还是网内向网外发起DDoS攻击还是网外向网内发起DDoS攻击，进而通过溯源功能确定DDoS发起IP地址及遭受攻击的IP和业务系统。

僵木蠕溯源：定期对采集的企业各网络区域流量信息进行智能C&C主控分析，可溯源到企业网络内部与僵尸网络通信的可疑“肉鸡”；另外在其他安全检测防护系统发现僵尸网络通讯时确定控制服务器IP和端口后也可通过该功能溯源企业内僵尸主机情况。

关键技术及优势

灵活的数据采集

绿盟安全态势感知平台能够采集多种数据源，包括但不限于网络设备，如交换机、路由器、网关等；安全设备，如防火墙、入侵防护、网闸、防毒墙等；安全系统，如身份认证系统、集中授权系统等；应用系统，如邮件系统、OA系统、数据库系统、中间件系统等；业务系统，如ERP系统、CRM系统等。

所有接入数据源没有品牌限制，没有型号限制，任何设备都可采用Syslog、Webservice、Snmp等标准协议进行数据采集。同时亦支持对于网络Flow流数据的采集，支持Netflow等多种Flow协议。

同时，对于缺少数据发送功能的设备提供相应的数据采集器。采集器旁路到网络中进行数据采集工作，包括网络设备数据、安全设备数据、应用系统数据等。

高效的数据存储

针对数据的业务需求，按照数据的不同类型采用多种数据存储机制。

l 分布式存储

针对海量数据数据多源性、高速性、增长性等特点，同时满足数据的安全性、稳定性等要求，采用非结构化的分布式存储技术。这样的技术能够将来自数据端的数据请求分布在集群中的每个计算节点上进行处理，极大的提高数据处理性能。

2 结构化存储

针对范式化的数据存储，采用标准化的数据存储方式，能够将规范有效的对数据进行保存，同时能够对要求定期更新、数据结构复杂、实时性要求高、且数据量不庞大数据给予很好的满足。

3 索引存储

满足频繁查询数据且查询结果快速呈现的需求，即数据的即席查询。索引存储作为即席查询的底层技术支撑，能够达到数亿条记录秒级返回200条结果的效果。

强大的分析引擎

平台中预制图计算引擎，流计算引擎，离线计算引擎，关联分析引擎。这些预制引擎构成分析平台的核心功能并且对专项分析提供基础能力，如风险分析、脆弱性分析、态势分析、溯源分析。

分析引擎采用分布式进行横向扩展，面临海量数据量时能够实现按需扩展，将分析引擎分散到其他更多的机器中，实现按需进行计算资源扩展。

多维可视化呈现

实现配置型可视化展现，安全分析人员不需要进行代码编辑便可将查询结果以可视化方式进行展现。以拖拽及配置方式进行可视化呈现，同时仪表盘之间能够实现联动以及下钻等强互动性操作。

可视化展现支持多种常见图形，如折线图、饼状图、柱状图、条形图等。同时支持对于复杂展示方式，如热力图、散点图、图标叠加等。

不仅支持简单的关键字查询，同时在查询中能够进行统计计算，包括平均值计算等在内的多种运算规则。查询时能够以多维度进行筛选，例如时间维度、设备维度、数据类型维度等。支持图形化查询结果展示，关键字排序，关键字高亮等技术。对于关键字能够实现按需扩充，对于缺少的关键字段能够进行补充扩展。

灵活的应用扩展

提供APP store功能，所需安全应用提供在线、离线安装。分享来自全国安全专家亲手炮制的安全分析应用。安全应用均有相应团队进行技术保障和技术升级，在使用过程中能够与安全专家进行经验分享。安全应用具备开箱即用功能，安装安全应用后能够即可使用。

通过SDK包可以为企业量身打造安全分析应用，不需要借助第三方公司企业自身便可进行安全应用的开发。同时安全应用可上传至云端绿盟安全应用市场由安全专家检验该应用的可用性及通用性。