秦艷飛
摘 要:本文對網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)在國內(nèi)某企業(yè)應(yīng)用可行性進(jìn)行研究與分析,明確網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)對企業(yè)的應(yīng)用意義和可行性,并結(jié)合該企業(yè)現(xiàn)狀探索建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知平臺的實施路徑。
關(guān)鍵詞:網(wǎng)絡(luò)安全;態(tài)勢感知;SOAPA;數(shù)據(jù)源;安全分析
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-2064(2019)18-0026-03
1 研究
1.1 研究背景分析
隨著以大數(shù)據(jù)、人工智能、云計算、物聯(lián)網(wǎng)、區(qū)塊鏈為代表的新一代信息技術(shù)的不斷應(yīng)用,帶來了日趨復(fù)雜的網(wǎng)絡(luò)安全形勢和嚴(yán)峻的網(wǎng)絡(luò)安全威脅挑戰(zhàn)。經(jīng)分析,目前國內(nèi)某企業(yè)面臨的安全形勢可總結(jié)歸納為以下三點(diǎn):
一是網(wǎng)絡(luò)安全威脅更加嚴(yán)重并呈現(xiàn)新特征,傳統(tǒng)安全產(chǎn)品將無法有效防御。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展和技術(shù)的日新月異,攻擊和威脅手段也越來越多樣化和復(fù)雜化,因網(wǎng)絡(luò)入侵盜取客戶信息帶來的信息泄漏、網(wǎng)絡(luò)DDOS攻擊帶來的業(yè)務(wù)中斷、自動化腳本攻擊帶來的異常交易等網(wǎng)絡(luò)安全事件時有發(fā)生,新一代威脅不僅傳播速度更快,其利用的攻擊面也越來越廣,可以覆蓋到移動、桌面、網(wǎng)絡(luò)、主機(jī)、應(yīng)用和各種社交網(wǎng)絡(luò),同時具有隱蔽性強(qiáng)、潛伏期長、持續(xù)性強(qiáng)的特點(diǎn),傳統(tǒng)安全產(chǎn)品將無法有效感知、防御,系統(tǒng)化、智能化、態(tài)勢化逐步成為關(guān)鍵要素。
二是網(wǎng)絡(luò)安全已上升至國家層面,監(jiān)管機(jī)構(gòu)檢查力度逐步加大。為助力網(wǎng)絡(luò)空間治理,提供網(wǎng)絡(luò)安全的法律依據(jù),并不斷提高企業(yè)對網(wǎng)絡(luò)安全外部形勢的重視,我國從國家層面、行業(yè)層面相繼出臺多部法規(guī)制度、管理要求和標(biāo)準(zhǔn),持續(xù)推動和規(guī)范企業(yè)網(wǎng)絡(luò)安全建設(shè)。因此,掌握整體安全態(tài)勢將成為企業(yè)更為迫切的需求。
三是新技術(shù)的不斷應(yīng)用驅(qū)動安全建設(shè)的創(chuàng)新與變革。面對日益嚴(yán)峻的安全威脅和持續(xù)加強(qiáng)的合規(guī)要求,傳統(tǒng)的安全分析方法明顯存在不足,對威脅或風(fēng)險的感知和判定相對片面,完整性和上下文場景關(guān)聯(lián)性相對較弱。同時,目前各企業(yè)網(wǎng)絡(luò)安全數(shù)據(jù)正逐漸呈現(xiàn)數(shù)據(jù)量越來越大、速度越來越快、種類越來越多等大數(shù)據(jù)特征,將為企業(yè)帶來海量異構(gòu)數(shù)據(jù)的融合、存儲、處理和分析等問題。借助基于大數(shù)據(jù)分析技術(shù)的機(jī)器學(xué)習(xí)和數(shù)據(jù)挖據(jù)算法,結(jié)合多源數(shù)據(jù),能夠更加智能地洞悉網(wǎng)絡(luò)安全態(tài)勢,更加主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險。
因此,對于國內(nèi)某企業(yè)而言,目前雖已部署了大量安全產(chǎn)品,如漏洞掃描設(shè)備、防火墻、WAF、負(fù)載均衡設(shè)備、防篡改系統(tǒng)、郵件網(wǎng)關(guān)、防惡意代碼軟件、堡壘機(jī)以及SIME平臺等,但仍缺少一個系統(tǒng)或平臺統(tǒng)一分析展示企業(yè)整體安全形勢,更無法通過對這些基礎(chǔ)安全數(shù)據(jù)或信息進(jìn)行進(jìn)一步分析預(yù)測企業(yè)整體安全態(tài)勢發(fā)展,無法智能地洞悉網(wǎng)絡(luò)安全態(tài)勢,無法更主動、彈性地去應(yīng)對新型復(fù)雜的威脅和未知多變的風(fēng)險。
1.2 研究意義分析
安全態(tài)勢感知技術(shù)是對組織整體安全運(yùn)行狀態(tài)的宏觀反映,它通過建立一套可行的網(wǎng)絡(luò)安全特征體系來反映一個網(wǎng)絡(luò)系統(tǒng)過去、當(dāng)前以及未來的網(wǎng)絡(luò)安全變化情況。通過多數(shù)據(jù)源收集網(wǎng)絡(luò)的運(yùn)行情況和受到的攻擊情況,然后通過特征提取與量化,并將量化后的數(shù)據(jù)進(jìn)行處理,得到過去和現(xiàn)在的網(wǎng)絡(luò)安全狀態(tài),最后通過多種預(yù)測手段,利用已經(jīng)得到的數(shù)據(jù)預(yù)測,提供一個直觀準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢走向。如圖1所示。
對于企業(yè)而言,建設(shè)安全態(tài)勢感知平臺可對保障企業(yè)網(wǎng)絡(luò)安全產(chǎn)生以下重要作用:
第一,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)能夠通過采集和分析多種安全信息并將這些安全信息進(jìn)行綜合分析,從而讓管理人員從整體上了解到當(dāng)前網(wǎng)絡(luò)的安全狀況,通過對包括網(wǎng)絡(luò)攻擊、服務(wù)信息以及系統(tǒng)自身脆弱性等相關(guān)安全元素進(jìn)行多源綜合分析,對整體安全態(tài)勢從多維度進(jìn)行展示,例如可以對漏洞信息、安全威脅信息、業(yè)務(wù)重要度、管理流程符合性等內(nèi)容進(jìn)行綜合分析,并從合規(guī)、風(fēng)險、安全威脅、漏洞等不同維度去更豐富、更有層次地呈現(xiàn)企業(yè)整體的網(wǎng)絡(luò)安全形勢。
第二,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以動態(tài)反映安全狀況,可以看出一段時間內(nèi)安全的動態(tài)變化情況,通過對同一攻擊源一段時間內(nèi)的攻擊行為進(jìn)行橫向、縱向分析,同一時間段內(nèi)不同攻擊源的攻擊行為的關(guān)聯(lián)分析,以及對同一受攻擊目標(biāo)的業(yè)務(wù)重要度、所在安全環(huán)境的綜合分析,動態(tài)反映整體安全狀況。
第三,網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)可以預(yù)測未來一段時間內(nèi)網(wǎng)絡(luò)安全的發(fā)展趨勢,依據(jù)綜合評估分析的結(jié)果,利用時間序列等分析方法分析網(wǎng)絡(luò)未來的安全情況,對可能出現(xiàn)的安全威脅提前做好防護(hù)準(zhǔn)備,例如可以通過對某外部攻擊者的綜合分析判斷當(dāng)前已發(fā)生網(wǎng)絡(luò)安全事件或安全威脅告警所處的殺傷鏈階段,預(yù)測下一步可能出現(xiàn)的安全威脅,并提前做好防護(hù)準(zhǔn)備、制定好安全策略,提高網(wǎng)絡(luò)的安全性。
綜上,通過利用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)的“可感、可知”,結(jié)合企業(yè)網(wǎng)絡(luò)安全事件集中監(jiān)控與管理能力和網(wǎng)絡(luò)安全事件應(yīng)急管理能力,能夠有效應(yīng)對上文提到的風(fēng)險與挑戰(zhàn),輔助企業(yè)網(wǎng)絡(luò)安全決策。
2 安全態(tài)勢感知技術(shù)研究
下文將詳細(xì)介紹安全態(tài)勢感知技術(shù)的結(jié)構(gòu)框架與流程,并對態(tài)勢感知的核心技術(shù)進(jìn)行詳細(xì)闡述?;趯B(tài)勢感知的理解,安全態(tài)勢感知的處理流程也同樣可分為三個層次,分別為安全態(tài)勢認(rèn)知、安全態(tài)勢理解和安全態(tài)勢預(yù)測。
2.1 安全態(tài)勢認(rèn)知
安全態(tài)勢認(rèn)知即對安全態(tài)勢特征的提取與量化,主要是了解組織當(dāng)前的安全狀態(tài),在網(wǎng)絡(luò)環(huán)境中監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流,通過對連接數(shù)據(jù)、管理數(shù)據(jù)等底層數(shù)據(jù)輪廓的學(xué)習(xí),及時發(fā)現(xiàn)偏離正常輪廓的網(wǎng)絡(luò)行為信息,從而確定引起異常的行為、攻擊者的身份、入侵的頻度和入侵目的等。與傳統(tǒng)的態(tài)勢感知方法相同的是,網(wǎng)絡(luò)安全態(tài)勢感知需要在第一步對底層的對象進(jìn)行身份識別、目標(biāo)定位和態(tài)勢知識的推理,這一步的目的都是通過在底層數(shù)據(jù)中提取數(shù)據(jù),并將數(shù)據(jù)處理成態(tài)勢感知所需要的形式,為下一步的態(tài)勢理解/評估做好準(zhǔn)備。此過程除了狀態(tài)識別與確認(rèn)(攻擊發(fā)現(xiàn))外,還應(yīng)對態(tài)勢認(rèn)知所需信息來源和素材的質(zhì)量進(jìn)行評價。
2.2 安全態(tài)勢理解
安全態(tài)勢理解則是對安全態(tài)勢特征的評估,包括了解攻擊的影響、攻擊者的行為和當(dāng)前態(tài)勢發(fā)生的原因及方式,可簡單概括為損害評估、行為分析(即對攻擊行為的趨勢與意圖分析)以及因果分析(包括溯源分析和取證分析)。態(tài)勢的評估是建立在態(tài)勢特征的提取與量化基礎(chǔ)之上的。態(tài)勢評估是融合、關(guān)聯(lián)和歸并安全事件信息,對已經(jīng)發(fā)生的安全事件或性能指標(biāo)進(jìn)行實時分析,對組織安全狀態(tài)生成一個動態(tài)的理解,通過這個理解可以得到組織受到的威脅信息,并將這些信息通過安全態(tài)勢折線圖表達(dá)出來,用以反映組織的安全狀態(tài)。
2.3 安全態(tài)勢預(yù)測
安全態(tài)勢預(yù)測是對態(tài)勢發(fā)展情況的預(yù)測評估,主要包括態(tài)勢演化和影響評估。通過生成的狀態(tài)折線圖可以對已經(jīng)發(fā)生的過去的安全狀態(tài)有個清晰的了解,但是安全事件已經(jīng)發(fā)生后再進(jìn)行應(yīng)急處理顯得為時已晚。因此需要將得到的評估結(jié)果結(jié)合相關(guān)技術(shù)對網(wǎng)絡(luò)威脅的變化做預(yù)測,以便管理人員能夠提前做好防護(hù)準(zhǔn)備,制定合理準(zhǔn)確的應(yīng)對方案。
3 安全態(tài)勢感知技術(shù)的應(yīng)用探索
3.1 安全態(tài)勢感知技術(shù)應(yīng)用模型設(shè)計
從安全態(tài)勢感知的處理流程看,態(tài)勢認(rèn)知層的技術(shù)應(yīng)用主要體現(xiàn)在可見性層,態(tài)勢理解和態(tài)勢預(yù)測的技術(shù)應(yīng)用主要體現(xiàn)在安全態(tài)勢感知技術(shù)應(yīng)用模型的安全分析層。
安全態(tài)勢感知技術(shù)應(yīng)用模型可分為三層,自底向上分別是可見性層、安全分析層和展示與應(yīng)用層。其中可見性層主要能力包括全面感知組織安全環(huán)境中的安全數(shù)據(jù)、支撐全面感知組織安全環(huán)境內(nèi)外部數(shù)據(jù)源的采集、存儲能力以及多數(shù)據(jù)源接入標(biāo)準(zhǔn)化能力。安全分析層主要能力是通過對當(dāng)前形勢進(jìn)行充分理解,多維度分析、評估當(dāng)前安全形勢下產(chǎn)生的影響的能力,包括大數(shù)據(jù)處理能力、實時分析能力以及多數(shù)據(jù)源復(fù)雜場景關(guān)聯(lián)分析能力。
因此,安全態(tài)勢感知平臺的建設(shè)主要集中在可見性能力和安全分析能力的建設(shè)上。
對于該企業(yè)而言目前可見性方面已初步具備傳統(tǒng)安全產(chǎn)品數(shù)據(jù)源,但僅有此部分?jǐn)?shù)據(jù)源不足以呈現(xiàn)完整的安全狀況,對于管理數(shù)據(jù)的接入缺失以及新一代檢測數(shù)據(jù)(如流量分析平臺、端點(diǎn)監(jiān)測工具等)的缺失將直接影響整體安全狀態(tài)的獲知;對于安全分析能力方面,目前已部署的SIEM平臺可具備一部分安全分析能力,但對于復(fù)雜場景下用戶行為實體的分析或預(yù)測仍是重要缺失。下文將對該企業(yè)態(tài)勢感知平臺可見性能力和安全分析能力的建設(shè)進(jìn)行重點(diǎn)闡述。
3.2 安全態(tài)勢感知可見層技術(shù)應(yīng)用探索
安全態(tài)勢感知技術(shù)的第一步是對多數(shù)據(jù)源信息進(jìn)行預(yù)處理,因為不同設(shè)備處理網(wǎng)絡(luò)攻擊的方法不同、表現(xiàn)方式也不同,數(shù)據(jù)標(biāo)準(zhǔn)也不一致,同時還包含一些無用的數(shù)據(jù)信息,如果不將這些數(shù)據(jù)進(jìn)行預(yù)處理而直接使用,會導(dǎo)致評估過程無限延長,甚至?xí)a(chǎn)生錯誤的評估結(jié)果,影響最后的態(tài)勢預(yù)測。因此先將有用的數(shù)據(jù)從海量數(shù)據(jù)中剝離出來,保留有用的數(shù)據(jù),剔除對評估分析無用的、甚至產(chǎn)生誤導(dǎo)作用的數(shù)據(jù),為安全分析工作做好準(zhǔn)備。
可見層的核心技術(shù)功能點(diǎn)主要包括:
(1)數(shù)據(jù)標(biāo)準(zhǔn)化,既可以對結(jié)構(gòu)化數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,同時可對非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化;(2)數(shù)據(jù)存儲與處理,即大數(shù)據(jù)存儲與處理能力;(3)數(shù)據(jù)采集,包含syslog、文件和目錄監(jiān)視器、威脅情報、DB Connect和WINDOWS監(jiān)視器等;(4)數(shù)據(jù)接口,如軟件安全開發(fā)工具包SDK(Python\jave\ JavaScript\C#\Ruby)、數(shù)據(jù)轉(zhuǎn)發(fā)至第三方系統(tǒng)(TCP套接字\Syslog)和REST API等;(5)數(shù)據(jù)源,涵蓋原始數(shù)據(jù)及單點(diǎn)檢測分析,覆蓋面應(yīng)涵蓋內(nèi)部(人、終端、應(yīng)用、主機(jī)、網(wǎng)絡(luò)、物理)和外部情報數(shù)據(jù),關(guān)鍵技術(shù)包括數(shù)據(jù)和應(yīng)用監(jiān)控、漏洞掃描工具、威脅情報平臺、惡意軟件分析和沙箱、NFT或NTA以及端點(diǎn)檢測和響應(yīng)。
下文將著重對數(shù)據(jù)源規(guī)劃、數(shù)據(jù)標(biāo)準(zhǔn)化、接入數(shù)據(jù)源應(yīng)用功能及部署關(guān)鍵點(diǎn)分析進(jìn)行重點(diǎn)闡述。
3.3 數(shù)據(jù)源規(guī)劃與數(shù)據(jù)標(biāo)準(zhǔn)化
3.3.1 數(shù)據(jù)源規(guī)劃
從數(shù)據(jù)源覆蓋全面感知安全形勢出發(fā),結(jié)合企業(yè)現(xiàn)有數(shù)據(jù)源情況以及場景案例數(shù)據(jù)源需求,規(guī)劃數(shù)據(jù)源共分為三大類,包括傳統(tǒng)數(shù)據(jù)源、上下文數(shù)據(jù)、新一代檢測分析數(shù)據(jù)。
傳統(tǒng)數(shù)據(jù)源主要包括系統(tǒng)軟件日志、硬件設(shè)備日志、工具軟件日志、應(yīng)用交易日志、管理數(shù)據(jù)和情報數(shù)據(jù);上下文數(shù)據(jù)主要包括用戶上下文、資產(chǎn)上下文、漏洞上下文、威脅環(huán)境、安全配置上下文、數(shù)據(jù)上下文、外部數(shù)據(jù)、業(yè)務(wù)環(huán)境、位置和物理環(huán)境;新一代檢測分析數(shù)據(jù)主要包括沙箱數(shù)據(jù)、流量分析平臺數(shù)據(jù)、EDR數(shù)據(jù)。
3.3.2 數(shù)據(jù)標(biāo)準(zhǔn)化
安全態(tài)勢感知平臺應(yīng)建立數(shù)據(jù)標(biāo)準(zhǔn)化模型,將各廠商、外部數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化,支撐各模塊應(yīng)用。數(shù)據(jù)的標(biāo)準(zhǔn)化一般包括三個步驟:名稱統(tǒng)一、分類、狀態(tài)統(tǒng)一,通過標(biāo)準(zhǔn)化數(shù)據(jù)管理模型實現(xiàn)。
3.3.3 接入數(shù)據(jù)源應(yīng)用功能及部署關(guān)鍵點(diǎn)分析
基于該企業(yè)已部署了如防火墻、網(wǎng)頁防篡改系統(tǒng)和上網(wǎng)行為管理等安全產(chǎn)品的現(xiàn)狀,SIEM平臺已實現(xiàn)一部分?jǐn)?shù)據(jù)源接入和數(shù)據(jù)標(biāo)準(zhǔn)化,但缺少整體數(shù)據(jù)源接入依據(jù),缺少數(shù)據(jù)源規(guī)劃。該企業(yè)需要再補(bǔ)充新一代檢測分析數(shù)據(jù)領(lǐng)域,主要側(cè)重探索全流量分析平臺、沙箱和威脅情報平臺的應(yīng)用探索。
全流量分析平臺應(yīng)用功能及部署關(guān)鍵分析如下:實現(xiàn)對所有互聯(lián)網(wǎng)流量的收集、存儲和分析;區(qū)別于傳統(tǒng)安全的IPS、防護(hù)墻,從七層網(wǎng)絡(luò)層面分析數(shù)據(jù)報文;通過會話級的視圖展示,呈現(xiàn)攻擊鏈的全過程視圖,為攻擊行為的回溯分析提供支持。
沙箱應(yīng)用功能及部署關(guān)鍵點(diǎn)分析如下:針對郵件系統(tǒng),部署郵件附件檢測沙箱,解決釣魚郵件、魚叉攻擊、木馬攻擊等威脅;可實現(xiàn)針對業(yè)務(wù)系統(tǒng)部署文件檢測沙箱,解決跨外網(wǎng)向內(nèi)網(wǎng)傳輸文件問題,規(guī)避“僵木蠕”風(fēng)險;與SIEM系統(tǒng)、威脅情報實現(xiàn)數(shù)據(jù)同步,為安全感知提供可靠的元數(shù)據(jù)。
威脅情報平臺應(yīng)用功能及部署關(guān)鍵點(diǎn)如下:本地化部署威脅情報系統(tǒng),實現(xiàn)“本地查詢+云端查詢”的混合模式;集成商業(yè)威脅情報和第三方開源威脅情報,保障威脅情報的多元性,提高研判置信度。
3.4 安全態(tài)勢感知安全分析層技術(shù)應(yīng)用探索
在當(dāng)前大數(shù)據(jù)、多信息源時代下,安全態(tài)勢感知也變得更為復(fù)雜,傳統(tǒng)的因果關(guān)聯(lián)分析、事件統(tǒng)計、本體模型等技術(shù)方法雖然依舊是有效的感知技術(shù),然而傳統(tǒng)的感知技術(shù)適用的感知級別具有降低的趨勢。
安全分析層的核心技術(shù)功能點(diǎn)按照分析方法可分為安全智能分析、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)三種分析技術(shù),一是安全智能分析,主要用于應(yīng)對已知威脅,通過與資產(chǎn)、漏洞、威脅情報和多事件源等上下文的關(guān)聯(lián)分析,提升告警準(zhǔn)確率,減少誤報,如通過簽名或基線檢測、閾值、威脅情報關(guān)聯(lián)、資產(chǎn)或身份關(guān)聯(lián)、漏洞關(guān)聯(lián)、多事件或?qū)嶓w關(guān)聯(lián)以及地域關(guān)聯(lián)等;另外兩大類為機(jī)器學(xué)習(xí)與深度學(xué)習(xí),主要用于應(yīng)對未知威脅,通過機(jī)器學(xué)習(xí),對風(fēng)險進(jìn)行深度挖掘,并對用戶、攻擊者、內(nèi)部員工的行為進(jìn)行分析,如通過動態(tài)基線檢測、邏輯回歸、聚類、決策樹算法等。
4 結(jié)語
本文對安全態(tài)勢感知技術(shù)在國內(nèi)某企業(yè)應(yīng)用可行性進(jìn)行研究與分析,具體目標(biāo)包括:明確安全態(tài)勢感知技術(shù)對企業(yè)的應(yīng)用意義和可行性;結(jié)合企業(yè)現(xiàn)狀探索建設(shè)安全態(tài)勢感知平臺的實施路徑。
本文首先介紹了安全態(tài)勢感知的研究背景與研究意義,基于現(xiàn)狀分析目前面臨的安全挑戰(zhàn)和威脅,本文還對安全態(tài)勢感知技術(shù)在企業(yè)的應(yīng)用進(jìn)行了重點(diǎn)闡述,明確了引入安全態(tài)勢感知技術(shù)的主要目的是輔助企業(yè)進(jìn)行安全決策。在此基礎(chǔ)上充分研究了安全態(tài)勢感知的定義,共分為三層:安全態(tài)勢認(rèn)知、安全態(tài)勢理解和安全態(tài)勢預(yù)測,對應(yīng)技術(shù)應(yīng)用層分別為可見層和安全分析層。隨后本文基于企業(yè)現(xiàn)狀,結(jié)合可見層和安全分析層的核心技術(shù)點(diǎn)對建設(shè)態(tài)勢感知平臺可行性進(jìn)行評估,并對未來如何進(jìn)行平臺建設(shè)提出了建議,以此為后續(xù)安全態(tài)勢感知技術(shù)落地提供研究基礎(chǔ)。
總之,從落地可行性分析,目前該企業(yè)已部署了SIEM平臺和部分用于安全威脅檢測的安全產(chǎn)品,已具備一定落地實施的基礎(chǔ)。下一步可安排力量進(jìn)行專項研究和建設(shè),在安全態(tài)勢感知技術(shù)的應(yīng)用上遵循“結(jié)合現(xiàn)有SIEM平臺,分層能力建設(shè);利用好當(dāng)前產(chǎn)品,做好未來銜接”的原則分層建設(shè)、分步實施。建議逐步完成以下工作內(nèi)容,以完善安全態(tài)勢感知平臺能力建設(shè),如表1所示。
參考文獻(xiàn)
[1] 韓曉露,劉云,張振江,等.網(wǎng)絡(luò)安全態(tài)勢感知理論與技術(shù)綜述及難點(diǎn)問題研究[J].信息安全與通信保密,2019(07):61-71.
[2] 武珂.網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)用[J].中國有線電視,2017(b03):391-393.
[3] 張松,王行健,魯偉.網(wǎng)絡(luò)安全態(tài)勢感知研究綜述[J].電子測試,2017(14):52-53.