9月28日，在通鼎互聯主辦(bàn)的“沿着數據做好連接與安(ān)全”的新(xīn)品發布會上，百卓網絡基于多(duō)年在運營商(shāng)服務(wù)經驗，在大流量采集、分(fēn)析、處理(lǐ)能(néng)力方面，結合大數據、雲計算技(jì )術和公(gōng)司安(ān)全團隊豐富的實戰經驗，提出了全方位縱深防禦體(tǐ)系----百卓安(ān)全态勢感知解決方案，此方案将解決傳統城牆式防禦體(tǐ)系所面臨的瓶頸。

什麽是态勢感知？

态勢感知簡單的概括就是一種基于環境的、動态的、整體(tǐ)地洞悉安(ān)全風險的能(néng)力。早在20世紀80年代，美國(guó)空軍就提出了态勢感知這個概念，覆蓋感知、理(lǐ)解和預測三個層次。90年代，态勢感知的概念開始被逐漸被接受，并随着網絡的興起而升級為(wèi)“網絡态勢感知（CyberspaceSituation Awareness，CSA）”。

1995年，美國(guó)空軍的工(gōng)程師和前首席科(kē)學(xué)家Mica Endsley博士發表了一個态勢感知狀态的理(lǐ)論框架模型，一直被廣泛使用(yòng)。Endsley的模型對态勢感知狀态的組成描述為(wèi)三個步驟或階段：感知、理(lǐ)解和預測，簡稱Endsley模型。

Endsley模型

網絡态勢感知的現狀

随着安(ān)全重要性的凸顯，态勢感知開始在安(ān)全領域嶄露頭角。2009年，美國(guó)白宮在公(gōng)布的網絡空間安(ān)全戰略文(wén)件中(zhōng)明确提出要構建态勢感知能(néng)力，并梳理(lǐ)出具(jù)備态勢感知能(néng)力和職責的國(guó)家級安(ān)全中(zhōng)心或機構，覆蓋了國(guó)家安(ān)全、情報、司法等各個領域。

2016年4月19日，習總書記在與安(ān)全業界人士座談會上明确指出：“加快構建關鍵信息基礎設施安(ān)全保障體(tǐ)系，全天候全方位感知安(ān)全态勢，增強安(ān)全防禦能(néng)力和威懾能(néng)力。”知己知彼，才能(néng)百戰不殆。沒有(yǒu)意識到風險是最大的風險。同年12月15日，國(guó)務(wù)院發布《“十三五”國(guó)家信息化規劃》提出，要全天候全方位感知安(ān)全态勢。加強安(ān)全态勢感知、監測預警和應急處置能(néng)力建設。

我們為(wèi)什麽需要态勢感知

首先，目前安(ān)全形勢日趨嚴峻，安(ān)全威脅的範圍和内容不斷擴大和演化，近幾年網絡攻擊事件層出不群。今年5月發生的“勒索病毒”wannacry造成至少150個國(guó)家、30萬名(míng)用(yòng)戶中(zhōng)招，造成損失達80億美元。

其次，傳統的城牆式安(ān)全防禦有(yǒu)諸多(duō)缺陷，已經不能(néng)滿足現在日益嚴重的安(ān)全需求。發布會上，百卓安(ān)全事業部總監楊建軍指出：“傳統的城牆式防禦存在如下三方面主要缺陷：

一、未知攻擊防禦能(néng)力不足，傳統的邊界式防禦基于特征檢測，隻能(néng)發現已知安(ān)全威脅，無法應對新(xīn)的漏洞和攻擊方法；

二、被入侵後診斷能(néng)力缺失，城牆式防護被繞過後，對于黑客在企業内網的攻擊行為(wèi)無法檢測、追蹤；

三、高誤報、海量告警導緻管理(lǐ)員維護困難，每天成百上千條告警日志(zhì)，管理(lǐ)員無暇顧及。”

目前黑客常用(yòng)的高級持續性攻擊方法有(yǒu)發送惡意附件類型的，和基于惡意鏈接的跨站攻擊和釣魚網站等，都是傳統城牆式防禦體(tǐ)系所無法防禦的。

百卓安(ān)全态勢感知

基于安(ān)全形勢日趨嚴峻的形勢和傳統城牆式防禦體(tǐ)系存在的缺陷，百卓網絡基于多(duō)年在運營商(shāng)的服務(wù)經驗，在大流量采集、分(fēn)析、處理(lǐ)方面，結合大數據、雲計算技(jì )術和公(gōng)司安(ān)全團隊豐富的實戰經驗，提出了百卓網絡縱深防禦體(tǐ)系态勢感知方案。

發布會上，百卓安(ān)全産(chǎn)品部總監楊建軍認為(wèi)： ”百卓基于深耕多(duō)年的安(ān)全市場的理(lǐ)解，基于DPI骨幹網安(ān)全的核心技(jì )術，我們已經建立起一套威脅發現、立體(tǐ)防護、安(ān)全管控、安(ān)全響應的安(ān)全解決方案體(tǐ)系，而态勢感知就是整個體(tǐ)系中(zhōng)非常核心的一環。“

百卓網絡總裁陳海濱在交流中(zhōng)也強調，”我們基于态勢感知的安(ān)全體(tǐ)系不僅僅解決傳統意義上的網絡空間安(ān)全，我們更多(duō)的也會運用(yòng)網絡、運用(yòng)安(ān)全技(jì )術為(wèi)民(mín)生、為(wèi)社會服務(wù)，反哺社會。這也是我們作(zuò)為(wèi)安(ān)全從業者的一個使命！”

詳解——百卓安(ān)全态勢感知

Endsley模型——感知，多(duō)維度流量、日志(zhì)采集

全量采集流量日志(zhì)，能(néng)夠識别出3000多(duō)種常見應用(yòng)，包括IM、視頻、p2p等。并支持對應用(yòng)的精(jīng)細化識别，包括對微信的多(duō)種行為(wèi)進行識别，如：微信聊天、微信語言、微信傳文(wén)件等。

支持目前市場上主流的設備、系統、應用(yòng)日志(zhì)采集，支持不同形式的日志(zhì)收集方式，通過 SNMP、Syslog、NetFlow、agent等多(duō)種方式完成數據收集功能(néng)。支持的設備日志(zhì)包括主流的路由器、交換機、防火牆、操作(zuò)系統日志(zhì)、web服務(wù)器日志(zhì)、數據庫日志(zhì)、應用(yòng)系統日志(zhì)等。

Endsley模型——理(lǐ)解，基于大數據的全新(xīn)檢測方法

百卓全方位縱深防禦體(tǐ)系——安(ān)全态勢感知系統設計完全基于公(gōng)司豐富的安(ān)全實戰經驗總結，根據黑客入侵的不同階段設計了與之相對應的安(ān)全防禦體(tǐ)系。

Endsley模型——預測，全方位立體(tǐ)防禦體(tǐ)系

通過流量采集器、日志(zhì)采集器采集大量基礎日志(zhì)數據，還有(yǒu)在線(xiàn)安(ān)全檢測引擎所産(chǎn)生告警信息統一存入安(ān)全大數據分(fēn)析系統進行數據分(fēn)析和攻擊模型檢測，同時流量采集器會保存全量的特定協議數據，以便新(xīn)漏洞爆發後檢測企業是否遭受過此0day攻擊，也可(kě)用(yòng)于攻擊溯源，同時可(kě)以保存隻産(chǎn)生過一次訪問行為(wèi)的攻擊數據，比如釣魚網站，跨站攻擊等。