知道创宇态势感知，全方位的高效安全防护

长期以来，传统网络安全防护重心一直是以防火墙、入侵检测、防病毒系统等设备和软件建设封闭可控的环境，通过这种方式来抵御各种各样的网络攻击。

但是，近年来伴随着互联网、智能移动设备、物联网技术和云计算的快速发展及广泛应用，网络边界一次次被打破和扩展，网络的开放性越来越强。同时随着基础网络技术的不断进步，网络攻击的手段和方法也在不断的革新，网络攻击行为向着分布化、 规模化、 复杂化趋势发展，传统基于策略的拦截和防御机制轻而易举就会被高级定向攻击所绕过，针对性的攻击行为也逐渐变得更为难以捕获。

现如今单一的安全防护措施已经无法应对复杂的网络安全环境，单个产品之间无法关联，安全无法做到“面面俱到”。在这样的情况下，网络安全的态势感知开始变得越来越重要。

态势感知是什么？

早在上个世纪，态势感知的概念就已提出，它的定义是在一定时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测。这也符合了当下我们对态势感知定义，即态势感知的三部分：一、网络安全态势要素信息收集；二、网络安全态势评估；三、网络安全态势的预测。

态势感知模型 图源：《网络安全态势感知研究综述》

态势感知需要哪些能力？

上面提到态势感知的三部分为信息收集、信息评估和态势预测。一个优秀的态势感知解决方案，需要有这优秀的三部分组成。知道创宇结合数十年安全经验，推出的几款安全产品，能将这三部分的安全工作一一做到极致。

感：信息收集

知道创宇的ZoomEye网络空间搜索引用通过对全球42亿网络空间地址的长期监测和分析，形成可识别3万余种网络资源、15万个不同版本的精准指纹库。在此基础上可以面向企业网络实现各种网络设备、安全设备、服务器/终端主机、工控设备、IoT等设备的扫描，识别存活设备，并获取其地理位置、供应商、设备类型、设备品牌、设备型号、开放端口等信息。

通过网络资产测绘引擎可以实现对网络中未知资产的感知和识别，也可以对已知资产进行实时的跟踪管理，帮助用户有效的消除网络中的“影子”资产。

除此之外，创宇慧眼信息安全日志分析系统还有漏洞感知、资产感知、运行感知、威胁感知和攻击感知的功能。对外部威胁感知和内部风险检测双管齐下，从监控、审计、风险、运维四个方面构建有效可视的威胁和日志综合管理平台。

风险可感知

态&势：信息评估

通过接收各类安全设备日志和基于日志的模型进行的事件分析达到威胁事件管理的目的。以采集的日志数据为依据，对日志进行分析、处理，并根据分析结果进行判断，侦测资产数据漏洞，加强对入侵攻击行为的识别防范，将流量检测与主机检测相结合，更加灵活的应对检测出的攻击行为和其他突发状况，快速识别安全威胁和风险，最大程度的保障用户的资产安全。

事态可评估

创宇慧眼信息安全日志分析系统，能准确记录日志的每日新增数额和总体数目，根据收集来的数据进行每秒的日志更新比对。将收集来的日志数据通过线图的方式呈现给用户，实现了数据的可视化。除此之外，还能将信息多纬度关联，以综合评估安全事件。

多纬度事件关联

知：态势预测

态势感知以挖掘网络中问题最严重、风险最大、攻击最多的资产为核心目标，将资产、漏洞、攻击、风险、通报等多方面数据进行综合的关联分析和计算，通过简单直观的可视化方式回答用户常见的“哪个资产风险最高”、“哪个单位问题最严重”、“谁在攻击我”、“哪些资产受到的攻击最多”、“网络中的漏洞情况如何”、“网络安全事件处理进展情况如何”等一系列问题。帮助企业快速、准确的锁定突出问题，及时进行有针对性的整改处理，遏制问题的进一步发展和扩大。

事态可评估，趋势可预测

态势感知三大关键部分，缺一不可。知道创宇的ZoomEye BE（网络空间资产安全管理系统）、WebSOC（网站立体监控系统）以及创宇慧眼（信息安全日志分析系统）等安全产品恰好能在态势感知工作中各司其职。准确、全面提取网络中的安全信息要素，并关联信息，融合理解获，预测发展趋势。努力帮助企业强化网络安全持续监测能力，建立安全管理闭环，打破安全信息孤岛，全面提企业升安全能力。