各种WEB应用的分析结果可通过统一呈现门门户做二次统一汇总分析并做呈现。

组网部署设计

绿盟安全态势感知平台部署在企业内网，在内网的各核心路由器上部署网络入侵态势感知传感器，镜像全部网络流量，网络入侵态势感知传感器将获取的网络流量转化成Netflow，通过管理口发送给DDOS态势感知传感器做流量检测；通过FTP、POP3、SMTP协议还原，将过滤出的文件发送给APT攻击态势感知传感器做恶意文件检测。各传感器最终将检测得到的数据汇总到态势感知平台进行分析，并通过相应APP进行可视化呈现。

其总体部署架构如图3所示。

方案能力

网络入侵态势感知

网络入侵态势感知是国际上公认的难点，核心是海量日志的挖掘和决策支持系统的开发，发达国家这方面的研究比较领先。经过多年的研究，提出“基于对抗的智能态势感知预警模型”，解决海量日志挖掘的工作。吸收国外著名的kill chain击杀链和attack tree攻击树的相关研究，形成推理决策系统，借助大数据分析系统的分布式数据库，可以实现决策预警，真正的为企业服务。

众所周知，IPS/IDS主要是基于攻击特征规则进行检测（绿盟科技IPS/IDS规则库拥有6400条规则），即IPS/IDS每次匹配到含有攻击特征数据包便产生一次攻击告警，1G流量下可产生120万条攻击告警。而传统的日志分析系统只会归并同规则事件的告警（部分IPS/IDS本身也支持），1G流量下可归并至12万条告警日志，意味着归并后运维人员还需要面对12万条告警日志！如图4所示。

而绿盟科技的入侵威胁感知系统在传统的日志归并基础上，还构建了近100种攻击场景的行为模型，可自动化识别黑客当前处于哪种攻击行为。据统计，入侵威胁感知系统可将12万条告警日志自动化分析成500条左右的攻击行为告警。

再基于攻击树的威胁计分，预警威胁较大的攻击源，促进防外决策，以及预警面临威胁较大的被攻击目标，促进安内决策。再攻击树的反向推理方法，发现入侵成功事件，促进事后响应。

DDOS态势感知

DDOS威胁一般称为网络氢弹，是目前国与国之间，竞争对手之间的主要攻击方式，成本低，见效大。DDOS攻击越来越频繁，尤其针对发达地区和重点业务，某省电信每天发生的DDOS攻击次数在100次左右。其次，DDOS攻击流量越来越大，从检测结果来看20%以上攻击在大于20G。2014年4月，监测到的某电信的单一IP攻击流量达到300G。因此，如何检测预警大型的DDOS攻击。是我们研究重点。在这个方面，网络异常流量检测，可以全目标检测(传统DFI设备为了提升性能，需要设定检测目标)。而且拥有自学习功能，可以降低80%以上误报，经过处理后，1500G出口的骨干网，形成告警完全是可以处置的。如图5。

通过一段时间的机器学习得到其正常状态的流量上限。自学习过程中系统自动记录网络的流量变化特征，进行基础数据建模，按照可信范围的数据设置置信区间，通过对置信区间内的历史数据进行分析计算，得到流量的变化趋势和模型特征。为了保证学习的流量特征符合正态分布，系统支持开启日历模式的数据建模，如设置工作日、双休日等日历时间点，针对不同的时间点进行自学习建模。同时系统支持对生成的动态基线进行手动调整，和日历自学习模式相结合，共同保证动态基线的准确性。

僵木蠕态势感知

在办公网等内网环境中，僵尸网络、木马、蠕虫病毒（统称僵木蠕）的威胁是首要威胁，僵木蠕引起的arp，DDOS断网等问题成为主要问题，更不用说由僵木蠕导致的APT泄密等事件了。在这个场景下，我们采用业界领先的防病毒引擎，通过对网络流量监控，发现僵木蠕的传播，并通过僵木蠕态势监控，实现僵尸网络发现、打击及效果评估。

APT攻击态势感知

已知攻击检测，我们可以用入侵检测设备，防病毒，但是针对目前越来越严重的APT攻击，我们需要更先进的技术手段和方法。威胁分析系统，可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。因此，在整个防护体系中，未知的0day攻击，APT攻击态势感知，我们依靠未知威胁态势感知传感器通过对web、邮件、客户端软件等方式进入内网的各种恶意软件进行检测，利用多种应用层及文件层解码、智能ShellCode检测、动态沙箱检测及AV、基于漏洞的静态检测等多种检测手段将未知威胁检测并感知。如图6。

脆弱性态势

绿盟安全态势感知平台依托于漏洞扫描设备，对企业信息系统漏洞风险进行评估，形成企业信息系统全生命周期的脆弱性态势感知，协助企业做好系统上线前、后的风险态势呈现，杜绝系统带病入网、运行，对存在风险的系统进行及时的修补，并对修补后的再次审核结果进行呈现，确保系统自身的安全运行。

网站安全态势

网站作为企业对外的窗口，面临的安全威胁也最多，因此，有必要部署专门的网站监控设备形成网站安全态势监控，同时与绿盟云端监测服务相结合，监控网站漏洞，平稳度，挂马，篡改，敏感内容，并有效进行运维管理，从而避免因为网站出现问题导致公众问题。

溯源追踪

如何在海量网络中追踪溯源DDOS攻击，网络入侵攻击是业界难点和重点，采用DFI模式开发网络溯源系统，针对APT攻击，DDOS攻击，僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源，如，DDOS攻击可以溯源到链路，物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报，可以挖掘更多信息，重要的是，提供了在海量数据下的溯源难题。可以在低成本下，还原任何IP的流量。

网络攻击溯源追踪具体包括以下两个功能。

(一) 流量分析溯源

在企业的网络中发生流量型的网络安全事件时，并已确认安全事件相关资产IP地址和时间段信息，此时通过系统该模块可实现对该时间段、IP地址等相关的流量分析溯源取证；另外在企业发生流量型的安全事件时，也可通过该模块中渐进式数据挖掘、统计报表等子模块实现流量攻击的溯源和取证。