今後之後，江湖有了它的傳說！

歷史上有位青年

在他出現以前，戰是這樣打的

不能攻擊已經受傷、頭髮已經花白的兵將

不能乘人之危，當敵人處於險境時

不能搞忽然襲擊，當敵人沒有作好準備時

在他出現以後

「兵者詭道也」開啓了中國兵法之先河

他二三十歲就寫了一本奇書

因觀點態度與蠢豬式的仁義做戰方式相悖甚遠而聲名鵲起

經好友引薦得以面聖

小小少年郎，居然有如此非凡見識，想來皇帝雖是讚揚，卻有點不信

有意試試他的本事

「子之13篇，吾以觀之矣。可小試勒兵乎？」

「諾」

面試題是----訓練180名宮中美女（含2名皇帝最寵愛的妃嬪）

這題目出的夠刁鑽

但難不到他

他把180名宮女分紅兩隊，讓兩名寵姬分別擔任隊長，而後申明軍紀。訓練開始後，宮女妃嬪依仗本身是皇帝身邊的工做人員，顯然都沒把他放在眼裏，嘻笑的，嗑瓜子的，聊天的，無人聽其號令。再下令號令，宮女們仍是嘻嘻哈哈。在果斷下令斬了兩名隊長後，再次指揮操練，軍容競大爲改觀，隊列整齊。

今後以後，他受到皇帝重用，拜爲大將

他就是兵書之首《孫子兵法》的做者----孫武

《孫子兵法》雖然只有短短的六千多字，卻蘊含了極爲深入的謀略與智慧。

它不只是歷代軍事家用於指導戰爭實踐的必讀之書，也是今天態勢感知的精髓來源。

1、態勢感知現狀

態勢感知的概念源於軍事需求，具體來說，正是出自《孫子兵法》的知已知彼,百戰不殆。

上世紀末90年代，態勢感知被引入到信息技術安全領域。

2015年阿里巴巴安全峯會上，阿里雲安全首席研究員吳翰清引發了一場辯論：爲何現有的防護手段沒法防護黑客攻擊；爲何用了防火牆或IPS等」老三樣「還被黑客入侵。

此後，態勢感知的概念正式造成。

2015年下半年至2016年，態勢感知的概念開始在安全行業中應用。

2016年12月27日，國務院刊發了《「十三五」國家信息化規劃》，再次強調了態勢感知的重要性。 

從邏輯上講，態勢感知包括獲取、理解、預測三個層次。其中，獲取和理解是基礎，預測纔是核心和將來，而且須要順次建設，全局規劃。

當前，大部分的態勢感知是經過對獲取的數據進行數理統計而輸出的圖表，只能勉強說達到了監測的程度，這對於指導決策來講仍是比較薄弱的。由於，只有實現動態監測和預測的態勢感知，才能真正對決策有幫助，而要達到這一點，必須在分析評估或者說理解階段，引入機器學習算法、深度人機交互等AI和BI技術。

觀察市面上的大數據分析系統，能達到這一點的百裏挑一。其中，國內信息安全行業龍頭企業啓明星辰集團下屬的合衆大數據安全研究團隊，以飛象分析OpenFEA爲分析工具，研究出的網絡安全態勢感知模型最受囑目（如下全部配圖來自此模型），不管是分析引擎部分，仍是可視化部分。

雖然，態勢感知被應用在各行各業，但應用最普遍的當屬網絡安全這塊。

網絡安全態勢感知，是以情報數據爲中心，結合資產、漏洞、事件、全流量數據、安全分析專家、數據科學家經驗，採用大數據技術，經過對互聯網安全以及網站安全的實時監測，感知被監測的互聯網區域的木馬和殭屍程序、網站入侵攻擊等網絡安全事件狀況，對網絡數據和事件進行採集、存儲、處理、挖掘、分析，及時發現網絡惡意程序、網絡攻擊事件等安全威脅的行爲。最終將一些關鍵指標數據以可視化圖表方式集中展現在巨大的LED屏幕上，以方便管理人員實時掌握和了解整個網絡安全態勢。

 

今天，咱們先了解一下全網狀態下，總體的安全態勢和關鍵結點的狀態，以及系統安全策略上存在的缺陷，和對最危險的攻擊訪問溯源。

2、總體的安全態勢和關鍵結點的狀態

經過傳統安全設備日誌（防火牆、IDS、IPS、WAF、防篡改、DDOS），主機操做日誌，服務日誌，路由器、交換機日誌，結合威脅情報，系統脆弱性信息（安全漏洞，弱口令，安全配置）進行分析。

（總體的安全態勢和關鍵結點的狀態－－全景圖）

一、全球地圖

顯示各個國家對資產的攻擊次數。

• 監控對象：顯示當前監控對象的數量

• 事件總量：顯示總事件數量

• 漏洞數量：顯示當前資產存在漏洞的數量

• 情報數：顯示當前接入的情報數量

二、事件佔比

 顯示總體威脅事件的佔比狀況。

左下角數據表明拒絕服務攻擊69次，佔總比的7.4%，攻擊入侵事件324條，佔總比34.73%。

三、網絡評估

三個儀表盤從左到右分別顯示組織內部網絡安全防禦情況，外部威脅情況，InterNET全網安全情況。

四、網絡情況趨勢

經過資產脆弱性指數、防禦指數，外部威脅指數對總體網絡進行風險評估，而且根據時間進行跟蹤。

五、國家/攻擊類型分佈

顯示每一個國家進行的主要攻擊類型狀況，由於篇幅問題部分國家沒有顯示全。

左下角數據，表明美國進行25次網絡蠕蟲攻擊。

六、資產狀況

顯示前十個資產所受到的攻擊次數和自身脆弱性狀況。

七、國內攻擊來源分佈

顯示攻擊地來源分佈狀況以及攻擊排名前10的城市。

八、總體網絡情況

經過對各個資產的漏洞指數、脆弱性指數、防護指數、資產指數、危險指數進行評分，評估資產的總體安全情況，覆蓋面積越廣說明資產越安全。

九、情報情況

• 情報數量：顯示與當前正在發生的事件相關的情報數

• 命中狀況：顯示情報與威脅事件命中的數量

3、網絡攻擊實時追蹤

攻擊，是指攻擊者利用各項資產在具體實現或系統安全策略上存在的缺陷，試圖滲透系統或繞過系統的安全策略，以獲取信息、修改信息以及破壞目標網絡或系統功能的行爲。

（網絡攻擊實時追蹤－－全景圖）

一、實時攻擊狀況

遷徙圖實時顯示國內、全球對資產的攻擊狀況。

信息欄中顯示當前時間，攻擊事件來源國，攻擊源地址、目的地址、攻擊事件類型。

二、攻擊排名-城市

顯示實時攻擊的城市以及排名。

三、攻擊排名-國家

顯示實時攻擊的國家以及排名。

四、國內外實時攻擊趨勢

顯示國內外實時攻擊的趨勢。

五、攻擊類型佔比

顯示實時攻擊類型佔比分佈狀況。

六、攻擊趨勢

顯示重點關注攻擊類型的實時攻擊數量趨勢。

七、攻擊路徑

經過桑基圖方式來呈現主要的目標，對重要資產的攻擊的方法、端口。