網絡安全新態勢：流量監測下的堅固防線

一、網絡安全領域新動向

2024 年，網絡安全領域呈現出蓬勃的創新發展態勢。多家企業在網絡安全技術方面取得了顯著的專利成果。

江蘇網擎安全技術有限公司申請了“一種基于流量監測的網絡安全態勢感知平臺”專利。該平臺通過獲取預設網絡區域內的多個流量監測端口，生成多個流量監測數據集，對用戶流量進行多端口數據提取，進行流量分布異常識別和用戶流量分布均勻識別，以網絡安全風險指標生成網絡安全提醒信息。這一專利解決了現有網絡安全感知中難以精準全面捕獲和實時監測網絡流量的問題，增強了安全預警的時效性和準確性，提高了用戶行為分析精度。

四川規存科技有限公司取得了“一種網絡安全管理平臺”專利。該平臺包括交換機本體、安裝盒及固定板等結構，通過滑動設置的限位桿和限位板，對交換機本體進行快速限位固定和解除遮擋，便于交換機本體的快速取下維護，實現了對交換機本體的便捷拆裝。

北京指掌易科技有限公司也在 2024 年收獲頗豐。申請了“在 Windows 系統中實現 L3VPN 匿名網絡的方法”專利，通過創建虛擬網卡、重定向請求、替換數據包五元組信息等步驟，提高了網絡安全性，防止內網地址泄露。此外，指掌易還擁有多項其他專利，涵蓋虛擬專用網絡動態控制、訪問控制、引流等多個方面，充分展示了其在網絡安全領域的技術實力和創新能力。

這些新專利的涌現，標志著網絡安全領域正不斷向前邁進，為保障網絡安全提供了更強大的技術支持。

二、網絡安全態勢感知平臺的重要性

（一）網絡安全態勢感知的定義與目標

網絡安全態勢感知是一種基于環境的、動態、全面地洞悉安全風險的能力。它以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力，最終目的是為了實現有關安全的決策和行動。在大規模網絡環境中，態勢感知能夠對引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及對最近發展趨勢進行順延性預測。

（二）為何需要態勢感知

如今，攻擊者已形成專業化黑鏈，分工明確且攻擊手段先進，甚至利用人工智能發動更有針對性的惡意攻擊。傳統安全建設在架構安全和被動防御方面雖有一定成果，但面對日益專業的惡意攻擊已顯力不從心。例如，多年來我們重點放在漏洞管理、系統加強、IPS、WAF、AV 等方面，但網絡攻擊的隱蔽性和復雜度大大增強，網絡邊界逐漸消失，傳統安全防御體系面臨失效風險。而態勢感知能夠全面感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態，通過全流量分析技術實現完整的網絡攻擊溯源取證，幫助安全人員采取針對性響應處置措施，所以它成為未來網絡安全的關鍵。我們要做到“事先”發現攻擊痕跡，因為任何精明的攻擊者都會留下蛛絲馬跡，而態勢感知可以讓我們提前識別和發現攻擊行為，盡可能降低損失。

（三）態勢感知的作用

態勢感知系統能夠分析安全環境信息，快速判斷當前和未來形勢，從而做出正確反應。以“全天候全感知網絡安全態勢”為目標，它包括時間維度和探測內容兩個方面。在時間維度上，既要利用已有的、準實時的探測技術，又要用較長的時間分析發現異常行為，尤其是陷于陷落的情況。在探測內容維度上，則需要覆蓋網絡流量、終端行為、內容負載三個方面。態勢感知可以為網絡安全提供保障，例如通過數據融合、數據挖掘、智能分析和可視化等技術，直觀顯示網絡環境的實時安全狀況。借助網絡安全態勢感知，網絡監管人員可以及時了解網絡狀態、受攻擊情況、攻擊來源以及哪些服務易受到攻擊等情況，對發起攻擊的網絡采取措施；網絡用戶可以清楚地掌握所在網絡的安全狀態和趨勢，做好防范準備，避免和減少網絡中病毒和惡意攻擊帶來的損失；應急響應組織也可以從網絡安全態勢中，了解所服務網絡的安全狀況和發展趨勢，為制定有預見性的應急預案提供基礎。

三、江蘇網擎安全技術有限公司的網絡安全產品

（一）基于流量監測的網絡安全態勢感知平臺專利

江蘇網擎安全技術有限公司的“一種基于流量監測的網絡安全態勢感知平臺”專利，在網絡安全領域具有重要意義。該平臺主要由以下幾個部分構成：首先，通過獲取預設網絡區域內的多個流量監測端口，為后續的數據收集奠定基礎。接著，生成多個流量監測數據集，對預設網絡區域內的第一用戶進行多端口流量數據提取，進而生成多端口用戶流量監測數據集。然后，進行流量分布異常識別，生成流量異常概率指標，同時進行第一用戶的流量分布均勻識別，生成多端口流量異常指標。最后，以網絡安全風險指標生成網絡安全提醒信息。

這項專利解決了現有網絡安全感知存在的難以精準地對網絡流量進行全面捕獲和實時監測的技術問題。在以往的網絡安全感知中，由于無法全面、實時地監測網絡流量，導致異常識別存在局限性，對潛在安全風險的預警時效性和精準度不足。而江蘇網擎的這一專利平臺，通過多端口的數據采集和精細的分析識別，大大增強了安全預警的時效性和準確性，提高了用戶行為分析精度。

（二）安全運維實習生崗位涉及的安全產品

江蘇網擎安全運維實習生崗位要求中涉及多種安全產品，充分體現了公司在網絡安全領域的全面布局。實習生需熟悉網絡安全法，以及主流廠商的 DDoS、防火墻、網絡防病毒、IPS、WAF、網頁防篡改、主機防病毒、數據庫審計、堡壘機、漏洞掃描、日志審計、態勢感知等安全產品。這些安全產品涵蓋了網絡安全的多個方面，從防范分布式拒絕服務攻擊到保護網頁不被篡改，從主機防病毒到數據庫審計，形成了一個全方位的網絡安全防護體系。

擁有如此全面的安全產品布局，江蘇網擎在網絡安全領域能夠為客戶提供更加專業、全面的服務。無論是政府機關、衛生醫療、互聯網、交通、教育等眾多領域的單位，還是知名互聯網企業，都能從江蘇網擎的網絡安全解決方案中受益。通過安全運維實習生崗位的要求，我們也可以看出江蘇網擎對人才的專業素養要求較高，希望能夠培養出熟悉各種安全產品、具備扎實網絡安全知識的專業人才，為公司的發展和客戶的網絡安全保障貢獻力量。

四、網絡安全態勢感知平臺通過流量監測保障安全

（一）江蘇網擎平臺的流量監測保障方式

江蘇網擎的網絡安全態勢感知平臺通過一系列精準的流量監測步驟，為網絡安全提供了堅實的保障。首先，平臺獲取預設網絡區域內的多個流量監測端口，全面覆蓋網絡區域，不放過任何一個可能存在安全隱患的角落。通過這些端口，平臺能夠收集到豐富的流量數據，為后續的分析和處理奠定基礎。接著，生成多個流量監測數據集，將收集到的流量數據進行整理和分類，使得數據更加有序，便于進一步的分析。對預設網絡區域內的第一用戶進行多端口流量數據提取，生成多端口用戶流量監測數據集，從而實現對用戶流量的精細化管理。然后，進行流量分布異常識別，通過對數據的深入分析，及時發現流量分布的異常情況，生成流量異常概率指標。同時，進行第一用戶的流量分布均勻識別，生成多端口流量異常指標，全面了解用戶的流量使用情況，確保用戶的網絡行為正常。最后，以網絡安全風險指標生成網絡安全提醒信息，一旦發現安全風險，立即向用戶發出提醒，讓用戶能夠及時采取措施，保障網絡安全。

（二）基于異常流量檢測的方法及裝置

基于異常流量檢測的網絡安全態勢感知方法及裝置在保障網絡安全方面發揮著重要作用。首先，選擇流量數據包的屬性特征，并采集這些特征。依據源 IP 地址統計流量數據包的個數，當個數超過閾值時則判定該 IP 地址對應的流量數據包為異常流量。接著，使用 k 均值聚類算法將異常流量劃分成簇，針對每一個簇，使用 C4.5 決策樹算法進行分類。然后，將所有簇中相同的類合并為一類，得到異常流量分類結果?；诋惓Ａ髁糠诸惤Y果對網絡安全態勢進行評估，具體通過基于統計分析方法計算各類異常流量危害程度，評估網絡安全態勢，以及基于統計分析方法計算各個漏洞被利用的可能性，分析漏洞利用概率。最后，基于網絡安全態勢評估結果對網絡安全態勢進行預測，包括基于預測方法和歷史網絡安全態勢數據，預測未來的網絡安全態勢，以及基于預測方法和歷史漏洞利用概率數據，預測未來的漏洞利用概率。這種方法及裝置解決了網絡服務運營者網絡系統流量無法可知可控的問題，能夠通過異常流量分類，找到威脅的來源以及類型，確定威脅的危害程度，并通過定量方法預測網絡安全態勢，從而指導網絡服務運營者盡快采取相應的防護措施。