態(tài)勢感知2.0平臺，在技術要素層相較于1.0而言更為豐富和更具先進性，其融入了大數(shù)據(jù)技術、人工智能技術、云安全技術、自動化防御及響應技術、威脅情報等等，使整個態(tài)勢感知2.0平臺適用性更為廣泛，其提供的服務領域也逐漸增多，同時它也促進了安全行業(yè)的整體發(fā)展和進步。

具體融入的技術包括如下幾個部分：

01 獲取層融入新技術

在獲取層融入的新技術有 VxLAN 和東西向流量獲取技術。

在All in Cloud的大環(huán)境下，云計算平臺使用的網(wǎng)絡相較傳統(tǒng)IDC網(wǎng)絡結構已發(fā)生了根本性的變化。它廣泛采用了先進的SDN技術；一般而言傳統(tǒng)IDC環(huán)境下南北向訪問流量占 80%，而東西向訪問流量占20%，因此在核心交換機上采集即可滿足數(shù)據(jù)分析的需求；而在All in Cloud的環(huán)境下訪問流量走向則是東西向流量偏多，南北向流量相對偏少；因此僅在核心交換機采集流量數(shù)據(jù)是無法滿足態(tài)勢感知的需要的。故在充分分析南北向流量和路徑后，有針對性地選擇在關鍵位置部署流量采集探針，同時采集虛擬主機層東西向流量來滿足態(tài)勢感知要求。

另外針對物聯(lián)網(wǎng)（Internet of Things，IoT）技術的發(fā)展，支持多協(xié)議和兼容將是一大趨勢，大多數(shù) IoT 設備采用無線通信技術，在這一環(huán)境下采集數(shù)據(jù)將是一個挑戰(zhàn)。

02 理解層融入大數(shù)據(jù)

理解層融入Hadoop、Storm、Spark、ES、Flume、Kafka、Hive、Hbase 等新興大數(shù)據(jù)技術，用來對日志進行處理、分析、存儲和挖掘等。

例如采用Storm對數(shù)據(jù)流進行實時處理，可以實現(xiàn)近乎實時的風險發(fā)現(xiàn)功能，相較于以前的離線數(shù)據(jù)分析技術，可有效縮短安全預警時效。

采用了大數(shù)據(jù)平臺后，有效地提升了數(shù)據(jù)分析效率，可在短時間內對大批量數(shù)據(jù)進行分析和比對，有效發(fā)現(xiàn)潛在安全風險和實現(xiàn)提前預測風險。

03 評估層融入新模型

評估層在統(tǒng)計、規(guī)則和特征型的規(guī)則上融入數(shù)據(jù)挖掘、關聯(lián)分析、智能分析模型；從數(shù)據(jù)倉庫中收集的安全設備日志、網(wǎng)絡日志、應用日志、終端日志以及第三方的威脅情報數(shù)據(jù)等。

收集到的信息和安全事件通過檢測分析引擎統(tǒng)計分析、關聯(lián)分析、模式分析、機器學習發(fā)現(xiàn)高優(yōu)先級安全事件，將發(fā)現(xiàn)的高優(yōu)先級事件反饋到運營系統(tǒng)中，同時發(fā)現(xiàn)的高優(yōu)先級安全事件將存儲到數(shù)據(jù)樣本庫、知識庫（案例庫）中，便于后期的溯源和分析。

1關聯(lián)分析模型

關聯(lián)模型通過實時關聯(lián)技術過濾事件，在大量安全事件（甚至是誤報事件）中提取有用的信息。例如登錄異常、漏洞利用、蠕蟲活動、網(wǎng)絡入侵、主機失陷等，關聯(lián)分析模型主要包括以下幾個不同類型：

• 基于端口的關聯(lián)：開放端口的數(shù)據(jù)與防火墻數(shù)據(jù)進行關聯(lián)分析，幫助檢測攻擊者何時嘗試訪問系統(tǒng)端口或不存在的服務，從而發(fā)現(xiàn)低慢攻擊；

• 基于安全事件的關聯(lián)：安全設備告警事件之間進行實時關聯(lián)分析，減少事件誤報，提高告警準確率；

• 基于統(tǒng)計的關聯(lián)：對每個類別的事件設定合理的閾值，當超過閾值可以產(chǎn)生一個更高級別的安全事件，同時與資產(chǎn)或其他安全事件進行關聯(lián)，判斷某個安全事件造成的影響和后果。

2機器學習模型

機器學習主要是使用算法和統(tǒng)計方法創(chuàng)建能夠學習的系統(tǒng)。系統(tǒng)可以從采集的數(shù)據(jù)中學習，形成一個具有相關特征的分析模型。通過模型訓練，完成IP非正常訪問、賬戶安全、XSS攻擊、SQL注入攻擊、JavaScript腳本注入等威脅的檢測任務。

3攻擊回溯分析模型

通過對收集的數(shù)據(jù)和安全事件分析，從惡意程序感染、異常連接、C&C、傳播、數(shù)據(jù)泄露等維度檢測未知威脅。當攻擊和規(guī)則模型關聯(lián)后，自動從知識庫調用相關知識信息，包括影響主機、影響用戶、root事件、連接和所有行為的時間軸軌跡，作為輔助參考。同時取證結果收入數(shù)據(jù)樣本庫、知識庫（案例庫）。

4用戶行為分析模型

以部門、個人、資產(chǎn)、資產(chǎn)群等為單位建立多維度行為基線，利用統(tǒng)計、特征、機器學習算法和預定義規(guī)則學習每個用戶和設備的正常行為基線，通過關聯(lián)分析和概率計算，計算用戶異常分值以便及時發(fā)現(xiàn)異常的用戶、惡意的內部用戶和攻擊者。

5場景分析模型

場景分析主要依據(jù)攻防、滲透經(jīng)驗和大數(shù)據(jù)分析技術檢測網(wǎng)絡中的威脅，解決了規(guī)則判定時，無法確定具體閾值的問題，根據(jù)企業(yè)組織中的網(wǎng)絡特點和經(jīng)驗判斷異常行為。

常用場景如下：

• 創(chuàng)建非管理員用戶后的權限升級，非管理員用戶一般不會將其權限提升到管理員級別，或其他高級用戶級別；

• 文件非授權訪問，在很接近的時間內多次嘗試訪問用戶沒有權限的共享文件/目錄；

• DNS 隱蔽隧道，通過數(shù)據(jù)包關鍵字段異常的編碼監(jiān)測，支持如下的DNS隱秘隧道發(fā)現(xiàn)：通過超長域名信息傳遞數(shù)據(jù)、通過txt請求傳遞數(shù)據(jù)、通過AAAA 記錄傳遞數(shù)據(jù)等。數(shù)據(jù)泄漏，VPN用戶在工作時間外登錄并向外網(wǎng)傳輸數(shù)兆字節(jié)或更多（VPN 連接期間）數(shù)據(jù)；

• 蠕蟲/木馬/惡意軟件攻擊，網(wǎng)絡上一臺主機開始攻擊或探查網(wǎng)絡上其他主機；

• 高風險主機檢測分析，通過 DNS 解析行為分析服務器或終端的異常行為?？梢源_認已知、未知的惡意軟件、APT攻擊以及實時監(jiān)測內部的威脅。

04 展現(xiàn)層融入新態(tài)勢

在展現(xiàn)方面融入熱力圖、地理信息、威脅指數(shù)等元素，通過與資產(chǎn)、事件、漏洞、威脅、風險及告警相關聯(lián)分析，產(chǎn)生可視化的預測視圖。

使用可視化技術，將原本碎片化、零散化的行為告警、安全態(tài)勢、資產(chǎn)管理等智能綜合分析展現(xiàn)，形成多維度的安全態(tài)勢感知展示，幫助安全運營人員及時理解、定位問題。

1整體威脅態(tài)勢

通過風險計算模型，綜合考慮資產(chǎn)的價值、脆弱性和威脅，按高危、中危、低危安全級別分類統(tǒng)計。同時通過中國地圖以熱力圖形式展現(xiàn)資產(chǎn)的地理位置、個數(shù)和威脅指數(shù)；通過世界地圖熱力圖查看攻擊源，計算整體業(yè)務安全風險值，獲取發(fā)起最多攻擊次數(shù)的源IP列表，以雷達圖顯示最近的攻擊類型，最近的攻擊源分析。

2業(yè)務資產(chǎn)風險態(tài)勢

對管理對象劃分安全域，并進行資產(chǎn)化管理，可以自定義監(jiān)控區(qū)域。提供基于拓撲的監(jiān)控視力，可以按圖形化拓撲模式顯示資產(chǎn)，通過視圖可直接查看該資產(chǎn)的狀態(tài)、事件、漏洞、威脅、風險及告警信息。

3外部攻擊態(tài)勢

利用時序圖實時展示安全攻擊事件數(shù)量，并按照攻擊類型、受影響的 IP，受攻擊的專業(yè)公司展示安全攻擊事件，同時實時滾動顯示最近攻擊事件。

4內部攻擊態(tài)勢

內部安全態(tài)勢展示已發(fā)現(xiàn)的安全事件，能夠按照時間段以木馬蠕蟲、漏洞、流量、惡意軟件為視角，進行安全事件的展示。從告警、處置、資產(chǎn)、日志、系統(tǒng)維護、類型、分布多個維度實時進行安全事件統(tǒng)計分析，并以2D/3D、柱圖、餅圖、堆疊圖等形式進行可視化的展示。

5數(shù)據(jù)安全態(tài)勢

數(shù)據(jù)安全態(tài)勢，對企業(yè)組織的數(shù)據(jù)進行全面監(jiān)測，與用戶行為模型結合，依據(jù)相應業(yè)務場景，發(fā)現(xiàn)數(shù)據(jù)的不正當訪問與調用、數(shù)據(jù)的異常流動等行為，從類型、用戶、資產(chǎn)等維度在統(tǒng)一視圖中展示。

6審計視圖

運營人員可以根據(jù)內置或者自定義的審計策略，從事件的任意維度實時觀測安全事件的走向，并可以進行事件調查、取證，并進行事件行為分析和來源定位。

05 行動層融入工作流引擎

在行動層融入流行的工作流引擎，如JBPM、Activiti、OSWorkflow工作流引擎使已知風險處理更高效和可追溯，同時融入告警和事件管理使整個安全風險處置形成一個閉環(huán)，從而提高在風險處置環(huán)節(jié)的效率。