安全态势感知

网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。主要有多源异构数据采集、数据预处理、事件关联与目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等7个部分。

多源异构数据采集是通过分布在网络中现有的Netflow采集器、IDS、Firewall、VDS等来实现的。如果有特殊需要，也可在相应的关键节点布置新的采集设备。采集设备一般通过在网络接口网关处镜像采集流量，以免影响企业网络性能。
数据预处理主要完成数据筛选、数据检阅、数据格式转换以及数据存储等功能。
事件关联与目标识别采用数据融合技术对源异构数据从时间、空间、协议等多个方面进行关联和识别。对攻击的事件、协议、操作等分析归类。
态势评估主要是定性定量分析网络当前的安全状态和薄弱环节，并给出相应的解决方案，这一步是态势感知的核心。
威胁评估网络中恶意代码、网络入侵、网络漏洞、管理配置脆弱性等的类型、数量、分布节点和危害等级等。
响应与预警主要依据事件威胁程度给出相应的响应和防御措施，再把响应预警处理后的结果反馈给态势评估，来辅助态势评估。
态势可视化为决策者提供态势评估结果(包括当前态势及未来态势) 、威胁评估结果（事件、行为、异常、路径、资产、流量）等信息的显示，并给出响应的方案。
过程优化控制与管理主要负责从数据采集到态势可视化的全过程优化控制与管理工作，同时将响应与预警和态势可视化的结果反馈到过程优化控制与管理模块，实现整个系统的动态优化，达到网络态势监控的最佳效果。包括数据挖掘，数据融合，态势可视化等。
大规模网络节点众多，分支复杂，数据流量大，并且包含多个网段，存在多种异构网络环境和应用平台。随着网络入侵和攻击正在向分布化、规模化、复杂化、间接化的趋势发展，为了实时、准确地显示整个网络态势状况，检测出潜在、恶意的攻击行为。需要采用数据挖掘技术。
数据挖掘是指从大量的数据中挖掘出有用的信息，即从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、人们事先未知的，但又有潜在用处的并且最终可理解的信息和知识的非平凡过程。所提取的知识可表示为概念、规则规律、模式等形式。数据挖掘是知识发现的核心环节。
从数据挖掘应用到入侵检测领域的角度来讲,目前主要有4种分析方法:关联分析、序列模式分析、分类分析和聚类分析。
关联分析用于挖掘数据之间的联系，即在给定的数据集中，挖掘出支持度和可信度分别大于用户给定的最小支持度和最小可信度的关联规则，常用算法有Apriori算法、AprioriTid算法等。
序列模式分析和关联分析相似，但侧重于分析数据间的前后(因果)关系，即在给定的数据集中，从用户指定最小支持度的序列中找出最大序列，常用算法有DynamicSome算法、AprioriSome算法等。
分类分析就是通过分析训练集中的数据为每个类别建立分析模型，然后对其它数据库中的记录进行分类，常用的模型有决策树模型、贝叶斯分类模型、神经网络模型等。
与分类分析不同，聚类分析不依赖预先定义好的类，它的划分是未知的，常用的方法有模糊聚类法、动态聚类法、基于密度的方法等。
关联分析和序列模式分析主要用于模式发现和特征构造，而分类分析和聚类分析主要用于最后的检测模型。

态势感知的技术难点：
1、数据采集性能，需要具备协议识别（标准协议及非标准协议）和解析能力
2、有准确、庞大的核心知识库资源（白名单、黑名单、规则库、漏洞库等）
3、高速检测分析能力（特征提取、比对等）
4、溯源取证能力，攻击路径记录、协议、操作、类别等。
5、安全评估的解决方案
6、零日漏洞应急响应方案