央企在網(wǎng)絡(luò)安全新形勢下的動態(tài)防御體系研究與應(yīng)用

我國央企信息化經(jīng)過數(shù)十年的發(fā)展，在國家基礎(chǔ)民生領(lǐng)域占有舉足輕重的地位。隨著經(jīng)濟的高速發(fā)展，結(jié)合國有企業(yè)各行業(yè)趨勢和現(xiàn)狀，構(gòu)建數(shù)字驅(qū)動的智慧化生產(chǎn)運營能力，打造央企業(yè)務(wù)的智慧化、自動化成為大勢所趨。伴隨著央企的業(yè)務(wù)發(fā)展，大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等新技術(shù)得到廣泛應(yīng)用，提高了智能化、自動化的發(fā)展程度，但同時也為網(wǎng)絡(luò)安全工作帶來了新的挑戰(zhàn)。首先，物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的廣泛應(yīng)用模糊了網(wǎng)絡(luò)邊界，打破了信息系統(tǒng)原有的網(wǎng)絡(luò)防護體系，攻擊者可以更加方便接觸到終端設(shè)備，甚至可以利用終端設(shè)備對信息系統(tǒng)進行攻擊；其次，大數(shù)據(jù)和人工智能技術(shù)的應(yīng)用使得數(shù)據(jù)高度集中，帶來了更高的數(shù)據(jù)安全風(fēng)險；最后，伴隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊也變得更加迅速和隱蔽，高級威脅、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取及內(nèi)部攻擊等多種網(wǎng)絡(luò)攻擊行為，給當(dāng)前的網(wǎng)絡(luò)安全體系和安全運營帶來了更大的挑戰(zhàn)。網(wǎng)絡(luò)安全是沒有硝煙的高科技數(shù)字戰(zhàn)場，為適應(yīng)新形勢下業(yè)務(wù)系統(tǒng)快速迭代所帶來的安全風(fēng)險和威脅，央企應(yīng)提高主動防御能力，適時地對網(wǎng)絡(luò)安全體系進行維護和加固，使防御技術(shù)能夠適應(yīng)攻擊技術(shù)的快速變化。因此，需要網(wǎng)絡(luò)安全能力體系從傳統(tǒng)的被動防護發(fā)展為具有精確識別有價值資產(chǎn)、快速調(diào)整和塑造網(wǎng)絡(luò)環(huán)境、準(zhǔn)確檢測安全威脅、積極主動進行防御、及時響應(yīng)和處置的能力，能夠更加智能、快速、彈性地應(yīng)對突發(fā)的安全威脅，并在威脅處置過程中不斷進行防御策略的優(yōu)化、網(wǎng)絡(luò)空間環(huán)境的塑造，形成統(tǒng)一、閉環(huán)并且能夠自我優(yōu)化疊加演進的網(wǎng)絡(luò)與信息安全動態(tài)防御體系。1網(wǎng)絡(luò)安全背景及現(xiàn)狀分析1.1背景描述1.1.1整體形勢對網(wǎng)絡(luò)安全防護提出新挑戰(zhàn)隨著信息化對整個經(jīng)濟社會發(fā)展的融合、驅(qū)動作用日益明顯，其所帶來的風(fēng)險挑戰(zhàn)也不斷增大，網(wǎng)絡(luò)空間威脅和風(fēng)險日益增多。網(wǎng)絡(luò)空間安全已成為關(guān)系國家安全、社會穩(wěn)定和廣大人民群眾切身利益的重要問題。當(dāng)前，全球大部分國家步入網(wǎng)絡(luò)空間規(guī)劃的建設(shè)階段，全球網(wǎng)絡(luò)空間治理領(lǐng)域出現(xiàn)變革契機，同時網(wǎng)絡(luò)空間威脅的規(guī)模不斷擴大與發(fā)展，網(wǎng)絡(luò)空間安全的問題愈加艱巨復(fù)雜。歐美等發(fā)達(dá)國家圍繞網(wǎng)絡(luò)安全治理工作出臺了多項法律法規(guī)進行保障，組成了覆蓋網(wǎng)絡(luò)與信息安全各個方面的管理和技術(shù)體系，伴隨著各國網(wǎng)絡(luò)安全意識的不斷增強，提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警、防御阻斷、處置響應(yīng)和追蹤溯源的能力成為緊迫需求，各國均投入研究以促進網(wǎng)絡(luò)安全技術(shù)發(fā)展。1.1.2央企發(fā)展對網(wǎng)絡(luò)安全防護提出新目標(biāo)各央企采用多種新技術(shù)為行業(yè)用戶及公眾提供了優(yōu)質(zhì)的服務(wù)，同時信息系統(tǒng)的建設(shè)嚴(yán)格遵照國家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，基本實現(xiàn)了以網(wǎng)絡(luò)安全等級保護為基礎(chǔ)的安全防護，以關(guān)鍵業(yè)務(wù)為核心的整體防控，以信息共享為基礎(chǔ)的協(xié)同聯(lián)控能力，并且通過嚴(yán)格的安全管理方法和制度來保證安全穩(wěn)定運行，明確安全管理工作中的相關(guān)責(zé)任。但面對不斷變化的網(wǎng)絡(luò)威脅，尚需優(yōu)化和提升現(xiàn)有網(wǎng)絡(luò)安全防護能力，改進威脅對抗手段，規(guī)范網(wǎng)絡(luò)安全管理制度，以應(yīng)對日趨復(fù)雜的網(wǎng)絡(luò)攻擊行為。1.2現(xiàn)狀分析1.2.1國外網(wǎng)絡(luò)安全現(xiàn)狀分析美國是第一個制定網(wǎng)絡(luò)空間安全戰(zhàn)略的國家，在高安全等級網(wǎng)絡(luò)防護技術(shù)與標(biāo)準(zhǔn)化措施建設(shè)、研究方面已基本形成比較完備的網(wǎng)絡(luò)安全框架體系結(jié)構(gòu)，以支撐其國家層面的信息安全保密建設(shè)工作。隨著美國網(wǎng)絡(luò)安全觀念的不斷深化，高度重視關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和核心供應(yīng)鏈安全，提升國家抵御網(wǎng)絡(luò)空間新威脅的能力已成為美國網(wǎng)絡(luò)安全的重點戰(zhàn)略，同時，提升網(wǎng)絡(luò)安全監(jiān)測預(yù)警、防御阻斷、處置響應(yīng)和追蹤溯源的能力已成為緊迫需求。1.2.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀分析我國網(wǎng)絡(luò)安全水平尚處于發(fā)展階段，近年來，《中華人民共和國網(wǎng)絡(luò)安全法》、GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國密碼法》、GB/T39786—2021《信息系統(tǒng)密碼應(yīng)用基本要求》等法律法規(guī)和規(guī)章制度不斷出臺和完善，已成為網(wǎng)絡(luò)安全能力建設(shè)的基本依據(jù)。當(dāng)前，以魚叉攻擊、水坑攻擊為代表的攻擊手段使得信息泄密事件頻發(fā)，為信息系統(tǒng)帶來巨大威脅。但由于國內(nèi)大部分組織和個人對網(wǎng)絡(luò)安全風(fēng)險認(rèn)知有限，尚未形成完善的技術(shù)手段和管理體系，導(dǎo)致我國網(wǎng)絡(luò)信息系統(tǒng)安全機制的完備性、安全防護強度和動態(tài)適應(yīng)能力無法滿足強對抗環(huán)境和高安全的運行需求。如今，信息化和數(shù)字化已成為政務(wù)、各企事業(yè)單位業(yè)務(wù)發(fā)展的重要手段，尤其對于具有大量重要信息化系統(tǒng)的央企來說，一個安全、穩(wěn)定的網(wǎng)絡(luò)空間是業(yè)務(wù)運行和規(guī)模增長的重要基礎(chǔ)，而網(wǎng)絡(luò)空間安全也正在成為構(gòu)建良好健康的網(wǎng)絡(luò)環(huán)境的關(guān)鍵一步。因此，我國亟須加強網(wǎng)絡(luò)安全管理，強化技術(shù)防護手段，以應(yīng)對當(dāng)今嚴(yán)峻的網(wǎng)絡(luò)安全形勢，保障我國的網(wǎng)絡(luò)安全。2央企動態(tài)防御體系設(shè)計央企的重要業(yè)務(wù)系統(tǒng)面臨著更高的網(wǎng)絡(luò)攻擊風(fēng)險，面對當(dāng)前不斷發(fā)展的攻擊手段，亟須采用更為先進的安全設(shè)計理念，對央企現(xiàn)有傳統(tǒng)安全防護體系進行升級優(yōu)化，使系統(tǒng)安全防護能力、安全運營能力、安全技術(shù)疊加演進能力、威脅分析響應(yīng)和處置能力等方面均得到相應(yīng)提升，增強現(xiàn)有業(yè)務(wù)系統(tǒng)在應(yīng)對網(wǎng)絡(luò)攻擊和高級持續(xù)性威脅（AdvancedPersistentThreat，APT）時的容錯性，真正實現(xiàn)從識別、防護、檢測、響應(yīng)到分析方面的動態(tài)安全防護能力，并具備不斷疊加演進的閉環(huán)安全防御和運營能力。央企動態(tài)防御體系架構(gòu)如圖1所示。圖1央企動態(tài)防御體系架構(gòu)央企動態(tài)防御體系由基礎(chǔ)環(huán)境層、能力建設(shè)層、安全防護層和運營管控層4個層面組成。（1）基礎(chǔ)環(huán)境層：通過基礎(chǔ)環(huán)境層識別具有保護價值的軟硬件資產(chǎn)，優(yōu)化網(wǎng)絡(luò)架構(gòu)，使之具有縱深防御能力，并且塑造欺騙式網(wǎng)絡(luò)空間環(huán)境，進一步增強系統(tǒng)受到攻擊后的容錯性能。（2）能力建設(shè)層：基于防御框架的安全動作和技術(shù)措施，從識別、檢測、防護、響應(yīng)、分析5個方面建設(shè)系統(tǒng)整體安全防御能力，優(yōu)化并更新安全防護產(chǎn)品，并使之能夠應(yīng)對對抗性戰(zhàn)術(shù)、技術(shù)以及公共知識庫（AdversarialTactics,Techniques,andCommonKnowledge，ATT&CK）威脅框架的各個攻擊技術(shù)點。（3）安全防護層：將防御框架的技術(shù)措施和安全策略按照業(yè)務(wù)場景進行配置，并通過對抗式威脅評估、自動防御效能驗證、安全防御基準(zhǔn)檢測等能力不斷驗證安全防御性能，不斷完善和疊加演進系統(tǒng)整體防御能力。（4）運營管控層：通過完善原有態(tài)勢感知平臺的分析和響應(yīng)處置能力，增加以威脅情報驅(qū)動的安全分析能力，并結(jié)合人工分析研判以及威脅獵殺的能力，從而形成閉環(huán)完善的安全運營體系。央企動態(tài)防御體系以網(wǎng)絡(luò)空間安全威脅防護為基礎(chǔ)，以閉環(huán)的安全運營能力為核心，面向央企業(yè)務(wù)場景及流程，有效增強主動防御能力，提升防御措施疊加演進能力，擴大網(wǎng)絡(luò)空間欺騙環(huán)境塑造能力，配合威脅情報驅(qū)動分析，基于威脅分析的安全理念對可能受到攻擊的資產(chǎn)進行全面梳理，并從攻擊源、攻擊手段、攻擊技術(shù)、產(chǎn)生影響等多個方面進行詳細(xì)分析，通過安全防御動作和技術(shù)措施對威脅點進行覆蓋，從而全面分析央企當(dāng)前所需的全部安全防護能力，并將能力組裝到系統(tǒng)中。同時，采用ATT&CK威脅框架的攻擊技術(shù)對系統(tǒng)防御效能進行測試驗證，不斷優(yōu)化央企安全防御能力，實現(xiàn)多維度、多層次的威脅對抗能力，形成全面的動態(tài)防御體系以及可閉環(huán)的運營體系，并構(gòu)建面向日常安全運營工作的觀察、判斷、決策、執(zhí)行（Observe,Orient,Decide,Act，OODA）循環(huán)和面向安全治理、策略調(diào)整的計劃、執(zhí)行、檢查、處理（Plan,Do,Check,Act，PDCA）循環(huán)的雙安全驅(qū)動引擎。閉環(huán)運營體系架構(gòu)如圖2所示。圖2閉環(huán)運營體系架構(gòu)通過PDCA循環(huán)過程，持續(xù)不斷地對現(xiàn)有業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)環(huán)境進行威脅評估、防御效能驗證，不斷發(fā)現(xiàn)問題、疊加演進安全措施、提升防御能力、刻畫高容錯性網(wǎng)絡(luò)空間環(huán)境，持續(xù)驅(qū)動安全能力建設(shè)得到不斷提升；通過OODA循環(huán)過程，及時發(fā)現(xiàn)安全威脅，進行深度分析和響應(yīng)處置，并通過威脅情報驅(qū)動的方式對威脅進行有效獵殺和溯源，持續(xù)修復(fù)相關(guān)漏洞，驅(qū)動技術(shù)措施的更新調(diào)整和運營能力的提升。3央企動態(tài)防御體系構(gòu)成3.1建立對抗式威脅評估能力央企信息系統(tǒng)種類多、數(shù)據(jù)量大，包括各類業(yè)務(wù)、辦公、經(jīng)營、管理等應(yīng)用和數(shù)據(jù)。在面對不斷變化的網(wǎng)絡(luò)安全風(fēng)險時，需要采用模擬對抗式的評估方式，利用安全威脅分析作為央企重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施防護的基本防范依據(jù)，梳理業(yè)務(wù)資產(chǎn)、評估資產(chǎn)價值，構(gòu)建場景化威脅響應(yīng)，分析威脅影響的資產(chǎn)并結(jié)合資產(chǎn)價值對風(fēng)險后果進行預(yù)判，以威脅對抗為核心梳理威脅點，對網(wǎng)絡(luò)攻擊影響進行模擬分析，增強網(wǎng)絡(luò)安全規(guī)劃、安全能力疊加演進以及安全推演的能力。通過推演工具驗證防御措施的有效性，從而發(fā)現(xiàn)在高對抗場景下系統(tǒng)的風(fēng)險點以及當(dāng)前安全防御措施的不足或亟待改進優(yōu)化的地方。3.2建立安全防御效能驗證能力目前，各央企基于網(wǎng)絡(luò)安全等級保護的要求建立自身安全防護體系。在面對不斷變化的網(wǎng)絡(luò)威脅時，需要對現(xiàn)有安全技術(shù)能力進行持續(xù)的有效性驗證，以保證現(xiàn)有安全手段能夠有效覆蓋絕大部分網(wǎng)絡(luò)威脅?；贏TT&CK威脅框架各項攻擊技術(shù)點，掃描并收集主機信息、匹配漏洞、建立會話、收集信息、提權(quán)、跳板等，模仿攻擊技術(shù)實現(xiàn)對央企內(nèi)部網(wǎng)絡(luò)中各項資產(chǎn)安全防御能力的驗證。針對系統(tǒng)主機、網(wǎng)絡(luò)設(shè)備、物聯(lián)網(wǎng)設(shè)備等進行防御效能驗證，驗證過程完全匹配ATT&CK威脅框架攻擊技術(shù)點，模擬真實攻擊過程，對網(wǎng)絡(luò)目標(biāo)進行漏洞攻擊、缺陷攻擊及網(wǎng)絡(luò)釣魚攻擊等。3.3建立安全防御基準(zhǔn)檢測能力針對業(yè)務(wù)系統(tǒng)的防護需求和基礎(chǔ)安全能力，各央企積極建設(shè)自身安全基線，用于指導(dǎo)后續(xù)安全配置或變更。在面對業(yè)務(wù)應(yīng)用的發(fā)展以及網(wǎng)絡(luò)威脅的變化時，需要通過總結(jié)各類關(guān)鍵安全防御動作和技術(shù)措施，形成防御能力體系，基于此體系形成防御效能驗證功能，用于檢驗央企各業(yè)務(wù)系統(tǒng)防御能力覆蓋情況，從識別、防護、檢測、響應(yīng)和分析等方面對安全動作與技術(shù)措施進行逐一枚舉和驗證，支撐安全能力檢驗、提升防御能力，實現(xiàn)通過體系化安全能力建設(shè)達(dá)成檢測、干擾、阻斷和呈現(xiàn)攻擊者殺傷鏈的目標(biāo)。并且，通過增強欺騙式網(wǎng)絡(luò)環(huán)境構(gòu)造環(huán)節(jié)，加大防御縱深、構(gòu)筑欺騙環(huán)境，大大提高系統(tǒng)整體容錯能力。3.4建立欺騙式防御能力目前，各央企基于網(wǎng)絡(luò)安全等級保護的要求建設(shè)了分區(qū)分域的網(wǎng)絡(luò)架構(gòu)，形成了縱深防御能力。但面對不斷變化的網(wǎng)絡(luò)攻擊時，仍無法避免網(wǎng)絡(luò)入侵、遠(yuǎn)程控制等安全威脅，因此應(yīng)提升自身網(wǎng)絡(luò)空間的塑造能力。通過建設(shè)蜜罐等欺騙式防御系統(tǒng)，增強央企網(wǎng)絡(luò)空間環(huán)境的可塑性，形成主動的威脅捕獲能力，提供包括網(wǎng)絡(luò)設(shè)備仿真、Web仿真、數(shù)據(jù)庫仿真、操作系統(tǒng)仿真、系統(tǒng)服務(wù)仿真、應(yīng)用服務(wù)仿真等持續(xù)豐富的仿真能力，能夠生成威脅事件、攻擊鏈等溯源信息。采用高低交互結(jié)合的方式進行仿真，高交互仿真資產(chǎn)為真實的服務(wù)，擅長深度偽裝、捕獲深度攻擊；低交互仿真資產(chǎn)為仿真的服務(wù)，擅長廣度偽裝，覆蓋多種類的服務(wù)類型且性能要求較低，高低交互結(jié)合不僅覆蓋了仿真深度，也覆蓋了廣度，從而實現(xiàn)仿真程度最大化。3.5建立安全態(tài)勢分析處置能力安全管理中心是各央企網(wǎng)絡(luò)安全能力建設(shè)中必不可少的一環(huán)。目前，安全管理中心基本具備安全監(jiān)測、實時告警的能力，但面對重要業(yè)務(wù)系統(tǒng)安全告警時，需要及時發(fā)現(xiàn)并完善央企當(dāng)前安全態(tài)勢感知的深度分析和響應(yīng)處置功能，利用安全威脅深度分析、漏洞挖掘、響應(yīng)處置等能力，實現(xiàn)從威脅檢測、分析、處置、追溯，到優(yōu)化調(diào)整的閉環(huán)處置流程。通過對網(wǎng)絡(luò)流量的捕獲、還原與分析，實現(xiàn)對文件的深度分析和鑒定，全方位地展示網(wǎng)絡(luò)中惡意事件和惡意代碼的傳播態(tài)勢。通過對安全威脅進行綜合分析，在原有安全態(tài)勢全面感知和及時預(yù)警的基礎(chǔ)上，實現(xiàn)對威脅的深度分析、精準(zhǔn)溯源和快速處置，降低系統(tǒng)安全風(fēng)險。3.5.1深度分析通過對多渠道匯聚的數(shù)據(jù)信息進行分析、挖掘、關(guān)聯(lián)，確定網(wǎng)絡(luò)攻擊的種類、數(shù)量，追蹤攻擊來源、目標(biāo)等。同時，針對分析結(jié)果進行功能性的統(tǒng)計，并以清晰、直觀、形象的視圖與表格進行展示。3.5.2精準(zhǔn)溯源通過數(shù)據(jù)監(jiān)測與分析，實時掌握系統(tǒng)監(jiān)測能力覆蓋范圍內(nèi)的安全態(tài)勢，基于監(jiān)測數(shù)據(jù)，同時配合威脅情報驅(qū)動威脅分析，針對攻擊者的攻擊工具、攻擊資源、攻擊手段進行全面揭示，形成精準(zhǔn)追蹤溯源的能力。3.5.3快速處置通過安全監(jiān)測、關(guān)聯(lián)分析、情報驅(qū)動等過程對安全趨勢、威脅、攻擊等情況進行深度分析、研判，對威脅進行預(yù)警并生成處置方案，創(chuàng)建相應(yīng)的處置任務(wù)，結(jié)合自動化分析和人工研判，進行威脅快速處置。3.6建立情報驅(qū)動分析能力央企作為我國重要經(jīng)濟支柱，每日都會面對大量來自境內(nèi)外的、具有針對性的網(wǎng)絡(luò)探測、攻擊等情況，為有效應(yīng)對央企內(nèi)部重要業(yè)務(wù)系統(tǒng)在高對抗場景下的威脅，通過向量級的威脅情報能夠?qū)ν{進行有效理解和預(yù)測。通過深入研究威脅信息，實現(xiàn)多源數(shù)據(jù)綜合研究，從而達(dá)到對風(fēng)險的有效認(rèn)識。同時，通過具體的威脅分析、攻擊利用方法以及攻擊者數(shù)據(jù)幫助研究機構(gòu)預(yù)防攻擊行為。通過威脅信息驅(qū)動研究可以有效支持安全事件深度研究，針對攻擊者的威脅手段、攻擊來源、攻擊方式做出充分闡述，實現(xiàn)跟蹤溯源的功能，并在很大程度上減少搜集情報和威脅分析時間，在關(guān)鍵系統(tǒng)和數(shù)據(jù)受損之前最大限度地縮短事件響應(yīng)時間并中斷殺傷鏈。在戰(zhàn)略層面全面了解攻擊對手，為及時做出決策和采取行動提供重要的支撐。3.7建立威脅獵殺能力構(gòu)建一個完善的安全防護體系需要將技術(shù)能力與運營能力相結(jié)合。各央企經(jīng)過多年的網(wǎng)絡(luò)安全能力發(fā)展，目前已建成穩(wěn)定的安全防護技術(shù)能力，并具備經(jīng)驗豐富的維護人員，通過自動化檢測配合人工分析研判的方式，能夠?qū)ρ肫笾匾獦I(yè)務(wù)系統(tǒng)面臨的安全威脅進行深度分析和有效獵殺。在處置威脅過程中，配合人工進行取證分析、事件定性、深度關(guān)聯(lián)分析、溯源分析等工作，補充和修正自動威脅分析的結(jié)果。人工分析研判流程：首先，對網(wǎng)絡(luò)安全設(shè)備日志、系統(tǒng)日志、Web日志、用戶日志等原始數(shù)據(jù)進行收集、處理及分析研究，對異常流量進行分析，通過逆向工程對樣本代碼語義及功能展開分析等；其次，將各個威脅事件之間進行有效關(guān)聯(lián)，通過過濾、聚合、去偽存真，發(fā)掘事件之間的真實聯(lián)系；最后，綜合分析結(jié)果給出相應(yīng)的威脅處置方案。同時，以數(shù)據(jù)為采集和處理的對象，通過自動化威脅獵殺工具實現(xiàn)知識與情報驅(qū)動的自動化關(guān)聯(lián)分析，從而對系統(tǒng)中的未知威脅、高級威脅等進行清除。4央企動態(tài)防護技術(shù)組成4.1基于關(guān)鍵安全動作的防御效能驗證分析技術(shù)在央企的防護能力建設(shè)中，安全動作是針對網(wǎng)絡(luò)攻擊的防護和處置的關(guān)鍵操作，對安全動作有效性的驗證直接影響央企的安全防御能力。將央企所需的關(guān)鍵安全動作作為防御能力定義的核心，從識別、防護、檢測、響應(yīng)和分析等方面對安全動作與技術(shù)措施進行枚舉，聚合關(guān)鍵安全動作形成矩陣化描述，支撐安全能力檢驗，提升防御能力，通過體系化安全能力的建設(shè)實現(xiàn)檢測、干擾、阻斷和呈現(xiàn)網(wǎng)絡(luò)攻擊的目標(biāo)。4.2多維、多層的人機結(jié)合分析技術(shù)目前，各央企已建設(shè)了大量應(yīng)用系統(tǒng)，面對每日安全監(jiān)測中出現(xiàn)的大量告警，需圍繞業(yè)務(wù)分析層、日志分析層、情報分析層3個層面，對央企業(yè)務(wù)系統(tǒng)的安全告警進行威脅、脆弱性、異常、安全狀態(tài)等多方面的分析，并結(jié)合多種關(guān)聯(lián)要素將具備相關(guān)性的安全告警進行歸并。同時，結(jié)合自動化分析和人工分析研判手段，對分析、處置狀態(tài)進行持續(xù)監(jiān)測，持續(xù)更新事件庫，生成分析結(jié)果并完善自動分析檢測能力，形成完整的閉環(huán)，減少誤報，有效定位威脅，提升網(wǎng)絡(luò)安全事件分析效率。首先，基于威脅告警信息上報的結(jié)果日志，自動抽取攻擊來源、攻擊載荷、受害者、目標(biāo)載荷，采用關(guān)聯(lián)分析技術(shù)，將威脅告警日志關(guān)聯(lián)對應(yīng)的威脅情報信息，將分散的告警信息形成基于ATT&CK的攻擊圖譜分析。其次，基于自動分析的結(jié)果，由系統(tǒng)提供流程式、向?qū)降娜藱C交互分析方法，通過自動化信標(biāo)關(guān)聯(lián)分析、人工數(shù)據(jù)探索排查分析、人工聚合分析三步，補充和修正自動威脅分析的結(jié)果，實現(xiàn)威脅告警事件鏈的明晰化，從而對威脅告警實施定性判定。最后，基于自動化分析、人工分析研判以及持續(xù)追蹤監(jiān)測的結(jié)果進行綜合的威脅評估，通過對威脅事件所形成的攻擊技術(shù)、攻擊階段、資產(chǎn)失陷狀態(tài)、業(yè)務(wù)影響情況、攻擊者/攻擊組織等多維度進行綜合評估，完善對威脅的理解。4.3面向海量異構(gòu)的威脅情報知識圖譜構(gòu)建技術(shù)央企具有業(yè)務(wù)種類多、重要程度高等特點，并且易遭受APT攻擊。在面對此類安全風(fēng)險時，應(yīng)利用多元化、智能化、體系化的分析方法，對惡意代碼進行深度的多維基因（特征）向量提取、多源異構(gòu)數(shù)據(jù)融合、關(guān)聯(lián)同源分析等操作，構(gòu)建央企海量異構(gòu)的威脅大數(shù)據(jù)、多源的威脅情報數(shù)據(jù)、碎片化的威脅知識圖譜，實現(xiàn)對特定場景下全量威脅數(shù)據(jù)的融合分析與深度挖掘，達(dá)到全面揭示威脅事件的攻擊工具、攻擊技術(shù)、攻擊資源、攻擊組織的目的。該技術(shù)為安全事件監(jiān)測預(yù)警與人工分析研判提供高價值樣本數(shù)據(jù)，為追蹤溯源提供更加全面的數(shù)據(jù)支撐。利用