網(wǎng)絡(luò)安全態(tài)勢感知與有效防護

◆楊 銳 陳玉明

?

網(wǎng)絡(luò)安全態(tài)勢感知與有效防護

◆楊 銳 陳玉明

(漳州市公安局網(wǎng)安支隊 福建 363000)

信息技術(shù)的發(fā)展，在給世界各國帶來技術(shù)進步的同時，也帶來很多的負面影響，計算機病毒、黑客等隨時都會危及到網(wǎng)絡(luò)的發(fā)展，而隨著技術(shù)的發(fā)展，各種工具和攻擊手法層出不窮。面對如此嚴重的安全威脅，我們卻對黑客社團所知甚少。當(dāng)網(wǎng)絡(luò)被攻陷破壞后，我們甚至對攻擊者、攻擊方式、攻擊目的及攻擊工具更是一無所知。為改變這種攻防的非對稱性，增加攻擊代價，減少對實際系統(tǒng)的安全威脅，研究攻擊者的攻擊工具和攻擊方法，追蹤攻擊源，態(tài)勢感知技術(shù)應(yīng)運而生。網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)能夠綜合多方面的安全因素，從大體上動態(tài)反映網(wǎng)絡(luò)安全態(tài)勢，并對其進行分析評價，及時通報預(yù)警，從而有效提升我國的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警與防護的能力。

網(wǎng)絡(luò)安全；態(tài)勢感知；預(yù)警；防護

0 引言

網(wǎng)絡(luò)信息化技術(shù)的飛速發(fā)展，極大促進了我國各行各業(yè)網(wǎng)絡(luò)信息化程度的不斷提高。然而，近年來發(fā)生的各類網(wǎng)絡(luò)攻擊事件顯示，我國的網(wǎng)絡(luò)安全正面臨著國內(nèi)外兩方面前所未有的嚴峻威脅和挑戰(zhàn)。

國內(nèi)不法分子利用網(wǎng)絡(luò)從事詐騙、攻擊勒索、盜取數(shù)據(jù)等破壞活動日益猖獗，嚴重影響社會秩序；境外勢力有組織的網(wǎng)絡(luò)攻擊、滲透等破壞活動頻繁發(fā)生，嚴重威脅我國政治、經(jīng)濟、軍事、國防建設(shè)安全以及敏感信息的安全。頻發(fā)的網(wǎng)絡(luò)事件表明，當(dāng)前我國網(wǎng)絡(luò)安全事件的監(jiān)測、預(yù)警能力和防護手段嚴重不足。

正如習(xí)近平總書記2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會上指出“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。”同時指出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，知己知彼，才能百戰(zhàn)不殆?！币虼?，加強和完善我國的網(wǎng)絡(luò)安全監(jiān)測、預(yù)警與防護的能力刻不容緩。

1 網(wǎng)絡(luò)安全監(jiān)測與防護存在的問題

隨著國家將網(wǎng)絡(luò)安全提升到國家安全和國家戰(zhàn)略的高度，我國網(wǎng)絡(luò)安全行業(yè)蓬勃發(fā)展，整個網(wǎng)絡(luò)安全產(chǎn)業(yè)形成了由眾多安全產(chǎn)品構(gòu)建的安全體系。盡管我們的網(wǎng)絡(luò)安全行業(yè)形成了一個龐大的產(chǎn)業(yè)，但我們的安全監(jiān)測預(yù)警與防護依然存在諸多問題，主要體現(xiàn)在以下兩個方面。

1.1 安全防護的滯后性

傳統(tǒng)安全防護的基本處理流程是在威脅事件已經(jīng)發(fā)生的情況下，分析威脅，并形成識別該威脅的具體特征規(guī)則，然后對該威脅進行防御。無論是惡意代碼防護還是攻擊防護，無論是對已知攻擊行為的檢測還是對未知攻擊行為的感知，這種安全防護模式總是處于一種后知后覺、后防的體系中，產(chǎn)品面世的那一刻就已經(jīng)處于過時階段，需要通過連續(xù)的、不斷的升級方式來彌補防御能力的不足。

1.2 防護分散，各自獨立，缺少動態(tài)立體綜合防護體系

傳統(tǒng)防護理念重邊界安全輕端點安全，且各自獨立，防護分散，信息不關(guān)聯(lián)，造成安全防護能力不足。

信息化網(wǎng)絡(luò)是由網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、計算機組成等共同組成，安全防護必須建立在整個防御鏈條下的終端、邊界、服務(wù)、應(yīng)用等各類安全基礎(chǔ)之上。因此，以傳統(tǒng)的防火墻、入侵檢測、審計、安全堡壘等設(shè)備為代表的信息安全防護裝置無法成體系地做出威脅信息的收集、融合、聯(lián)動來應(yīng)對威脅和網(wǎng)絡(luò)攻擊，必須要建立以各類信息采集、數(shù)據(jù)融合、感知預(yù)測、主動防御的一體化網(wǎng)絡(luò)安全防護體系。

2 網(wǎng)絡(luò)安全態(tài)勢感知與防護

網(wǎng)絡(luò)安全態(tài)勢感知與防護，通過實時監(jiān)測采集網(wǎng)絡(luò)流量、主機靜態(tài)與動態(tài)安全數(shù)據(jù)，整合計算機、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等各類數(shù)據(jù)源，使用對抗式的智能動態(tài)行為關(guān)聯(lián)分析算法和各類威脅行為的智能識別模型，將表象毫無聯(lián)系、雜亂無序的各類數(shù)據(jù)轉(zhuǎn)化為可以直觀可視化的安全信息，實現(xiàn)對各類威脅行為的自主發(fā)現(xiàn)、預(yù)警和態(tài)勢感知，提升威脅行為發(fā)現(xiàn)與防御的能力和時效性。

網(wǎng)絡(luò)安全態(tài)勢感知能夠?qū)崟r獲取并評估當(dāng)前網(wǎng)絡(luò)的安全狀況，提供精準(zhǔn)分析信息幫助網(wǎng)絡(luò)管理員進行決策處理，降低安全威脅可能造成的風(fēng)險和損失。網(wǎng)絡(luò)安全態(tài)勢感知對提升安全監(jiān)管、提供網(wǎng)絡(luò)安全預(yù)警、完善安全分析、實時防御、促進網(wǎng)絡(luò)健康發(fā)展具有重要作用。

網(wǎng)絡(luò)安全態(tài)勢感知及防護體系架構(gòu)按照信息處理流程，可分為數(shù)據(jù)采集、數(shù)據(jù)存儲、網(wǎng)絡(luò)安全威脅行為分析、網(wǎng)絡(luò)安全態(tài)勢預(yù)警與處置四個部分，以構(gòu)建完整的網(wǎng)絡(luò)安全預(yù)測和防護體系。如圖1所示為網(wǎng)絡(luò)安全態(tài)勢感知與防護體系架構(gòu)。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知與防護體系架構(gòu)

2.1 數(shù)據(jù)采集

從安全發(fā)現(xiàn)角度而言，識別一次完整的網(wǎng)絡(luò)攻擊滲透，涉及的內(nèi)容包括身份認證、應(yīng)用訪問授權(quán)、終端操作行為檢測、網(wǎng)絡(luò)流量特征檢測、惡意代碼發(fā)現(xiàn)、風(fēng)險報警、應(yīng)用安全審計等多個環(huán)節(jié)，所有環(huán)節(jié)都會記錄網(wǎng)絡(luò)攻擊的蛛絲馬跡，都潛藏著區(qū)別于正常操作的非法行為特征。因此態(tài)勢感知的源數(shù)據(jù)要盡可能覆蓋整個網(wǎng)絡(luò)攻擊操作鏈條下的每個節(jié)點、每個環(huán)節(jié)和每個要素，將監(jiān)測的諸如通訊流量、行為審計、日志、惡意代碼、環(huán)境資產(chǎn)等各類數(shù)據(jù)都采集下來，包括但不限于被監(jiān)測或被分析對象的環(huán)境數(shù)據(jù)、靜態(tài)數(shù)據(jù)、動態(tài)行為數(shù)據(jù)等，確保威脅行為定性分析所需數(shù)據(jù)的完整性、全面性、真實性、有效性。

采集數(shù)據(jù)主要包括三個大方面：檢測對象數(shù)據(jù)、全流量數(shù)據(jù)和威脅事件數(shù)據(jù)。其中：

（1）監(jiān)測對象數(shù)據(jù)是指被監(jiān)測分析對象的運行環(huán)境數(shù)據(jù)、對象靜態(tài)數(shù)據(jù)、動態(tài)行為數(shù)據(jù)；

（2）全流量數(shù)據(jù)是指網(wǎng)絡(luò)全流量數(shù)據(jù)的直接鏡像采集存儲，為電子證據(jù)提取、疫情分布統(tǒng)計查詢、提升疫情監(jiān)測分析效率、實現(xiàn)多時間跨度的威脅行為監(jiān)測、威脅潛伏周期分析提供詳盡的數(shù)據(jù)基礎(chǔ)；

（3）威脅事件數(shù)據(jù)是指監(jiān)測安全威脅事件，為疫情分布提供數(shù)據(jù)基礎(chǔ)。

數(shù)據(jù)采集源主要包括全流量數(shù)據(jù)鏡像設(shè)備、流量探針設(shè)備、蜜罐式探針設(shè)備、終端探針軟件，建立多環(huán)境、多層次的數(shù)據(jù)采集架構(gòu)，以保障數(shù)據(jù)的有效性、可靠性、完整性、全面性。如圖2所示數(shù)據(jù)采集架構(gòu)。

圖2 數(shù)據(jù)采集架構(gòu)

（1）全流量鏡像設(shè)備部署在骨干網(wǎng)、重要網(wǎng)絡(luò)節(jié)點，網(wǎng)絡(luò)監(jiān)測節(jié)點的網(wǎng)絡(luò)全流量數(shù)據(jù)的鏡像采集，并上傳數(shù)據(jù)存儲中心；

（2）流量探針設(shè)備部署在重要網(wǎng)絡(luò)節(jié)點或每個需要監(jiān)測的網(wǎng)絡(luò)節(jié)點，對網(wǎng)絡(luò)流量數(shù)據(jù)實時截取/接入/過濾/還原/全存，然后通過沙盒技術(shù)、虛擬環(huán)境技術(shù)、信息分析技術(shù)，快速分析截獲對象的靜態(tài)與動態(tài)行為數(shù)據(jù)，并將數(shù)據(jù)上傳分析中心的威脅大數(shù)據(jù)存儲中心；

（3）蜜罐式探針設(shè)備部署在骨干網(wǎng)、機房等，通過成熟的蜜罐技術(shù)，以及沙盒技術(shù)、虛擬環(huán)境技術(shù)、信息分析技術(shù)，長期監(jiān)測分析蜜罐系統(tǒng)截獲的對象的靜態(tài)與動態(tài)行為數(shù)據(jù)，并將數(shù)據(jù)上傳分析中心的威脅大數(shù)據(jù)存儲中心。可根據(jù)被監(jiān)測網(wǎng)絡(luò)的應(yīng)用環(huán)境，建立與應(yīng)用環(huán)境相同的蜜罐系統(tǒng)，實時監(jiān)測分析針對該應(yīng)用環(huán)境實施的具有針對性的特定攻擊，可以幫助解決具有逃逸性質(zhì)的攻擊行為，并可有效監(jiān)控網(wǎng)絡(luò)內(nèi)部發(fā)生的攻擊威脅行為；

（4）終端探針軟件部署于計算機，采用輕量級設(shè)計原則，長期監(jiān)測分析被監(jiān)測計算機的網(wǎng)絡(luò)環(huán)境數(shù)據(jù)、計算機系統(tǒng)環(huán)境數(shù)據(jù)，以及全部進程的靜態(tài)與動態(tài)行為數(shù)據(jù)，并將數(shù)據(jù)上傳分析中心的威脅大數(shù)據(jù)存儲中心。終端探針軟件所采集的數(shù)據(jù)為被監(jiān)測網(wǎng)絡(luò)的真實運行環(huán)境和被攻擊入侵的長期、實時、真實數(shù)據(jù)?？梢杂行Ы鉀Q具有逃逸性質(zhì)的攻擊行為，并能夠有效監(jiān)測通過U盤等方式的攻擊方法；

（5）虛擬云模擬探針系統(tǒng)部署于預(yù)警監(jiān)測與應(yīng)急處置中心。通過虛擬云計算機技術(shù)，構(gòu)建模擬運行環(huán)境，對上傳的分析對象實施動態(tài)監(jiān)測，捕獲其動態(tài)行為數(shù)據(jù)，并將數(shù)據(jù)上傳分析中心的威脅大數(shù)據(jù)存儲中心；

（6）威脅事件探測設(shè)備部署于骨干網(wǎng)節(jié)點、重要網(wǎng)絡(luò)節(jié)點、重要網(wǎng)絡(luò)出入口內(nèi)側(cè)核心交換以及重要網(wǎng)絡(luò)節(jié)點。主要作用是捕獲已定性威脅的事件。疫情分析中心對威脅行為定性后，由系統(tǒng)自動提取威脅行為特征標(biāo)識，添加威脅行為特征標(biāo)識庫，并通知所轄威脅事件探測設(shè)備進行特征標(biāo)識的更新，實時發(fā)現(xiàn)經(jīng)過監(jiān)測節(jié)點的威脅事件，并上報數(shù)據(jù)中心，為疫情分析、預(yù)警提供有效的數(shù)據(jù)支撐。

2.2 數(shù)據(jù)存儲

數(shù)據(jù)存儲就是實現(xiàn)數(shù)據(jù)采集源所采集數(shù)據(jù)的存儲與集中管理，并對數(shù)據(jù)進行去重、聚合、標(biāo)準(zhǔn)化處理，確保威脅行為定性分析與疫情分析預(yù)警的精準(zhǔn)性、高效性。

為滿足所有結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)和半結(jié)構(gòu)化數(shù)據(jù)的存儲需要，數(shù)據(jù)存儲需要整合關(guān)系數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)庫集群系統(tǒng)、分布式文件系統(tǒng)等，構(gòu)建一個混合式的數(shù)據(jù)倉庫。我們采用基于Hadoop 的分布式文件存儲系統(tǒng)（HDFS），該系統(tǒng)是實現(xiàn)大量安全數(shù)據(jù)存儲與管理的有效途徑。該系統(tǒng)具有高容錯性和高吞吐量的特點。HDFS 將文件數(shù)據(jù)劃分為多個數(shù)據(jù)塊，為每一個數(shù)據(jù)塊創(chuàng)建、維護多個副本，并將這些副本存儲到不同的服務(wù)器上，實現(xiàn)數(shù)據(jù)的容錯/災(zāi)備。此外，在分布式環(huán)境下，HDFS還可通過就近原則和并行I /O進一步提高數(shù)據(jù)的讀寫性能。

（1）數(shù)據(jù)去重就是重復(fù)數(shù)據(jù)刪除，是指在一個數(shù)據(jù)集合中，找出重復(fù)的數(shù)據(jù)并將其刪除，只保存唯一的數(shù)據(jù)單元。在刪除的同時，要考慮數(shù)據(jù)重建，即雖然部分數(shù)據(jù)被刪除，但當(dāng)需要時，仍然將完整的文件內(nèi)容重建出來，這就需要保留文件與唯一數(shù)據(jù)單元之間的索引信息。通過重復(fù)數(shù)據(jù)刪除，不僅可以大大降低需要的存儲介質(zhì)數(shù)量，進而降低成本，而且在寫入數(shù)據(jù)的時候就進行數(shù)據(jù)去重，可以避免一部分的數(shù)據(jù)寫入磁盤，從而提升寫入性能。

（2）數(shù)據(jù)聚合是指根據(jù)數(shù)據(jù)的內(nèi)在性質(zhì)將數(shù)據(jù)分成一些聚合類，每一聚合類中的元素盡可能具有相同的特性，不同聚合類之間的特性差別盡可能大。數(shù)據(jù)聚合分析的目的是分析數(shù)據(jù)是否屬于各個獨立的分組，使一組中的成員彼此相似，而與其他組中的成員不同。

（3）數(shù)據(jù)標(biāo)準(zhǔn)化處理就是統(tǒng)計數(shù)據(jù)的指數(shù)化，是在數(shù)據(jù)分析之前，先將數(shù)據(jù)標(biāo)準(zhǔn)化，利用標(biāo)準(zhǔn)化后的數(shù)據(jù)進行數(shù)據(jù)分析。數(shù)據(jù)標(biāo)準(zhǔn)化處理主要包括數(shù)據(jù)同趨化處理和無量綱化處理兩個方面。數(shù)據(jù)同趨化處理主要解決不同性質(zhì)數(shù)據(jù)問題，對不同性質(zhì)指標(biāo)直接加總不能正確反映不同作用力的綜合結(jié)果，須先考慮改變逆指標(biāo)數(shù)據(jù)性質(zhì)，使所有指標(biāo)對測評方案的作用力同趨化，再加總，才能得出正確結(jié)果。數(shù)據(jù)無量綱化處理主要解決數(shù)據(jù)的可比性。數(shù)據(jù)經(jīng)過標(biāo)準(zhǔn)化處理，原始數(shù)據(jù)均轉(zhuǎn)換為無量綱化指標(biāo)測評值，即各指標(biāo)值都處于同一個數(shù)量級別上，可以進行綜合測評分析。

2.3 網(wǎng)絡(luò)安全威脅行為分析

網(wǎng)絡(luò)安全威脅行為分析，首先根據(jù)輸入的結(jié)果需求對數(shù)據(jù)進行篩選過濾及索引處理，通過構(gòu)建的各類威脅行為的智能動態(tài)行為關(guān)聯(lián)分析識別模型，對監(jiān)測對象的各項數(shù)據(jù)實施關(guān)聯(lián)性分析，確定被分析對象的行為性質(zhì)，即正常行為，或惡意威脅行為。

動態(tài)行為關(guān)聯(lián)分析識別模型是威脅行為分析、定性的關(guān)鍵，我們以衍生關(guān)聯(lián)關(guān)系樹、執(zhí)行關(guān)聯(lián)關(guān)系樹、事件關(guān)聯(lián)關(guān)系樹等構(gòu)建各類威脅行為的動態(tài)行為關(guān)聯(lián)分析模型，實現(xiàn)對監(jiān)測對象行為的定性分析，確定被監(jiān)測對象的行為性質(zhì)，識別出威脅行為。

以攻擊代碼A為例。攻擊代碼A源于網(wǎng)絡(luò)，衍生于IE進程，并被IE進程主動執(zhí)行。攻擊代碼A執(zhí)行后，衍生攻擊代碼B和攻擊代碼C。攻擊代碼A主動啟動攻擊代碼B和C。攻擊代碼B被執(zhí)行后，負責(zé)將攻擊代碼C的啟動方式寫入注冊表項Run啟動項，保證攻擊代碼C隨著系統(tǒng)啟動而自動運行。攻擊代碼C被執(zhí)行后，負責(zé)搜索系統(tǒng)包含特定字符的文件，并將該文件的位置和將要訪問的遠程服務(wù)器地址兩個參數(shù)發(fā)送給系統(tǒng)的FTP程序，并主動啟動FTP程序。FTP程序被執(zhí)行后，將攻擊代碼C通報的文件發(fā)送到制定的遠程服務(wù)器。如果以割裂的方式分別獨立分析攻擊代碼A、B、C，均可以認為是正常行為。如果將攻擊代碼A、B、C的衍生關(guān)系、執(zhí)行關(guān)系、事件關(guān)系作為一個整體進行關(guān)聯(lián)分析，其行為已經(jīng)構(gòu)成以竊取信息為目的的威脅行為。

網(wǎng)絡(luò)安全威脅行為分析，不僅幫助我們定性行為的性質(zhì)，還能夠幫助我們確定被分析對象類型、家族性、攻擊傳播方式、攻擊路線、來源追溯、威脅行為意圖。

2.4 網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警與處置

網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警與處置業(yè)務(wù)應(yīng)用主要包括5個方面的功能：

（1）網(wǎng)絡(luò)安全威脅報警與發(fā)布。利用網(wǎng)絡(luò)安全威脅行為分析的分析結(jié)果，實現(xiàn)對高級持續(xù)攻擊、惡意代碼傳播、溢出攻擊、網(wǎng)頁篡改、信息盜取等網(wǎng)絡(luò)攻擊活動的即時報警，并對重大安全威脅事件實時發(fā)布。

（2）國家重點及關(guān)鍵信息基礎(chǔ)設(shè)施的實時監(jiān)測與通報。對國家黨政機關(guān)、重點企事業(yè)單位以及國有企業(yè)的網(wǎng)站和重要信息系統(tǒng)進行實時監(jiān)測，發(fā)現(xiàn)高級持續(xù)攻擊、信息盜取、網(wǎng)頁篡改、拒絕服務(wù)攻擊等網(wǎng)絡(luò)安全威脅和惡意破壞事件，并實現(xiàn)向被攻擊機構(gòu)實時通報。

（3）網(wǎng)絡(luò)風(fēng)險預(yù)警及感知。提供網(wǎng)絡(luò)安全攻擊與威脅活動分布、攻擊事件、關(guān)鍵信息基礎(chǔ)設(shè)施安全隱患與漏洞等網(wǎng)絡(luò)安全態(tài)勢的可視化展示和輸出，并及時了解和掌控不同安全要素決定的網(wǎng)絡(luò)安全發(fā)展趨勢以及可能的影響范圍。

（4）網(wǎng)絡(luò)安全態(tài)勢展示。通過統(tǒng)一的前端界面，基于多種可視化腳本庫進行安全態(tài)勢的全景展示。

（5）網(wǎng)絡(luò)安全威脅事件主動處置。網(wǎng)絡(luò)安全攻擊行為被發(fā)現(xiàn)時，基于預(yù)設(shè)的安全威脅程度等級標(biāo)準(zhǔn)，安全態(tài)勢感知系統(tǒng)根據(jù)攻擊行為的威脅程度采取不同的應(yīng)對機制，對普通的攻擊行為僅僅進行記錄和上報處理，對威脅程度較高的安全攻擊行為采用主動實時響應(yīng)機制進行處理。

主動響應(yīng)機制可以顯著提升安全態(tài)勢感知體系的安全防御功能，主動響應(yīng)機制針對關(guān)鍵網(wǎng)絡(luò)功能的敏感數(shù)據(jù)提出高層次的安全防護，可以避免產(chǎn)生誤操作。

（6）結(jié)合移動APP，實現(xiàn)公安機關(guān)與各等級保護單位信息同步。監(jiān)測預(yù)警APP為公安、支撐單位、等保單位、運營商等提供手機、IPAD等移動應(yīng)用，方便等級保護、實時監(jiān)測、分析研判、追蹤溯源、通報預(yù)警、網(wǎng)絡(luò)安全管理等工作的及時溝通聯(lián)絡(luò)，實現(xiàn)聯(lián)動應(yīng)急處置功能，從而提升通報預(yù)警與應(yīng)急響應(yīng)的效率。

3 總結(jié)

從網(wǎng)絡(luò)攻擊現(xiàn)狀及當(dāng)前網(wǎng)絡(luò)安全防御的需求出發(fā)，分析了當(dāng)前網(wǎng)絡(luò)安全監(jiān)測預(yù)警防御體系存在的問題，以及網(wǎng)絡(luò)安全的動態(tài)性、被動性、對抗性、不確定性和不對稱性等特點，在此基礎(chǔ)上提出了整合計算機、網(wǎng)絡(luò)、應(yīng)用系統(tǒng)、數(shù)據(jù)流量等各類環(huán)境、靜態(tài)與動態(tài)安全數(shù)據(jù)源，構(gòu)建集安全數(shù)據(jù)采集、數(shù)據(jù)存儲與處理、網(wǎng)絡(luò)安全威脅行為分析、網(wǎng)絡(luò)安全態(tài)勢預(yù)警與處置于一體的網(wǎng)絡(luò)安全態(tài)勢感知架構(gòu)，建立安全威脅可識別、威脅來源可追溯、威脅意圖可掌握、潛伏周期可查詢、威脅損失可評估的網(wǎng)絡(luò)安全監(jiān)測與防護系統(tǒng)， 最終達到網(wǎng)絡(luò)應(yīng)用環(huán)境一體化安全防護的目標(biāo)。

[1]2016年11月7日.中華人民共和國網(wǎng)絡(luò)安全法.

[2]信安字[2018]003號.全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2018年度工作要點.

[3]中華人民共和國公安部令第82號.(2006年3月1日起施行).互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定.

[4]國發(fā)〔2012〕23號.國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見.

[5]公通字[2007]43號.信息安全等級保護管理辦法.

[6]公通字[2004]66號.關(guān)于信息安全等級保護工作的實施意見.

[7]中辦發(fā)[2003]27號（2003年8月26日發(fā)布）.國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見.

[8]中華人民共和國國務(wù)院令第147號(1994年2月18日發(fā)布).中華人民共和國計算機信息系統(tǒng)安全保護條例.

[9]GB 17859-1999.計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則.

[10]GB/T 22239-2008.信息系統(tǒng)等級保護基本要求.

[11]GB/T 22240-2008.信息系統(tǒng)安全保護定級指南.

[12]GB/T 25058-2010.信息系統(tǒng)安全等級保護實施指南.

[13]毛捍東，陳鋒.信息安全風(fēng)險評估方法研究[J].中國信息協(xié)會信息安全委員會年會集，2004.

[14]姚淑萍.網(wǎng)絡(luò)安全預(yù)警防御技術(shù)[M].國防工業(yè)出版社，2015.