網路安全態勢感知框架_簡要概述網路安全保障體系的總體框架

『壹』現在的網路安全問題很多，態勢感知可以保障網路安全嗎

態勢感知可以對保障網路安全起到很好的監測並提早預防的作用，都是僅憑態勢感知還遠遠不夠，還需要很多網路安全技術和管理措施，如密碼加密技術、身份認證、訪問控制等

『貳』簡要概述網路安全保障體系的總體框架

網路安全保障體系的總體框架

1．網路安全整體保障體系

計算機網路安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路安全整體保障體系如圖1所示。

圖4 網路安全保障體系框架結構

【拓展閱讀】：風險管理是指在對風險的可能性和不確定性等因素進行收集、分析、評估、預測的基礎上，制定的識別、衡量、積極應對、有效處置風險及妥善處理風險等一整套系統而科學的管理方法，以避免和減少風險損失。網路安全管理的本質是對信息安全風險的動態有效管理和控制。風險管理是企業運營管理的核心，風險分為信用風險、市場風險和操作風險，其中包括信息安全風險。

實際上，在網路信息安全保障體系框架中，充分體現了風險管理的理念。網路安全保障體系架構包括五個部分：

(1)網路安全策略。以風險管理為核心理念，從長遠發展規劃和戰略角度通盤考慮網路建設安全。此項處於整個體系架構的上層，起到總體的戰略性和方向性指導的作用。

(2)網路安全政策和標准。網路安全政策和標準是對網路安全策略的逐層細化和落實，包括管理、運作和技術三個不同層面，在每一層面都有相應的安全政策和標准，通過落實標准政策規范管理、運作和技術，以保證其統一性和規范性。當三者發生變化時，相應的安全政策和標准也需要調整相互適應，反之，安全政策和標准也會影響管理、運作和技術。

(3)網路安全運作。網路安全運作基於風險管理理念的日常運作模式及其概念性流程（風險評估、安全控制規劃和實施、安全監控及響應恢復）。是網路安全保障體系的核心，貫穿網路安全始終；也是網路安全管理機制和技術機制在日常運作中的實現，涉及運作流程和運作管理。

(4)網路安全管理。網路安全管理是體系框架的上層基礎，對網路安全運作至關重要，從人員、意識、職責等方面保證網路安全運作的順利進行。網路安全通過運作體系實現，而網路安全管理體系是從人員組織的角度保證正常運作，網路安全技術體系是從技術角度保證運作。

(5)網路安全技術。網路安全運作需要的網路安全基礎服務和基礎設施的及時支持。先進完善的網路安全技術可以極大提高網路安全運作的有效性，從而達到網路安全保障體系的目標，實現整個生命周期（預防、保護、檢測、響應與恢復）的風險防範和控制。

引自高等教育出版社網路安全技術與實踐賈鐵軍主編2014.9

『叄』大數據與大規模網路安全感知技術初探

大數據與大規模網路安全感知技術初探
快速發展的互聯網技術不斷地改變人們的生活方式，然而，多層面的安全威脅和安全風險也不斷出現。對於一個大型網路，在網路安全層面，除了訪問控制、入侵檢測、身份識別等基礎技術手段，需要安全運維和管理人員能夠及時感知網路中的異常事件與整體安全態勢。對於安全運維人員來說，如何從成千上萬的安全事件和日誌中找到最有價值、最需要處理和解決的安全問題，從而保障網路的安全狀態，是他們最關心也是最需要解決的問題。與此同時，對於安全管理者和高層管理者而言，如何描述當前網路安全的整體狀況，如何預測和判斷風險發展的趨勢，如何指導下一步安全建設與規劃，則是一道持久的難題。
隨著大數據技術的成熟、應用與推廣，網路安全態勢感知技術有了新的發展方向，大數據技術特有的海量存儲、並行計算、高效查詢等特點，為大規模網路安全態勢感知的關鍵技術創造了突破的機遇。本文將對大規模網路環境下的安全態勢感知、大數據技術在安全感知方面的促進做一些探討。
對於一個大規模的網路而言，面臨的風險也是巨大的，可分為廣度風險和深度風險。從廣度上講，以中國移動的CMNET網路為例，所轄IP地址超過3000萬個，提供對外服務的網站數千個，規模大、節點類型豐富多樣，伴隨其中的安全問題隨網路節點數量的增加呈指數級上升。從深度上講，下一代移動互聯網安全威脅主要表現在傳統攻擊依然存在且手段多樣、APT（高級持續性威脅）攻擊逐漸增多且造成的損失不斷增大。而攻擊者的工具和手段呈現平台化、集成化和自動化的特點，具有更強的隱蔽性、更長的攻擊與潛伏時間、更加明確和特定的攻擊目標。以上造成了下一代安全威脅具有更強的殺傷能力與逃避能力。結合廣度風險與深度風險來看，大規模網路所引發的安全保障的復雜度激增，主要面臨的問題包括：安全數據量巨大；安全事件被割裂，從而難以感知；安全的整體狀況無法描述。
網路安全感知能力具體可分為資產感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產感知是指自動化快速發現和收集大規模網路資產的分布情況、更新情況、屬性等信息；脆弱性感知則包括3個層面的脆弱性感知能力：不可見、可見、可利用；安全事件感知是指能夠確定安全事件發生的時間、地點、人物、起因、經過和結果；異常行為感知是指通過異常行為判定風險，以彌補對不可見脆弱性、未知安全事件發現的不足，主要面向的是感知未知的攻擊。
一個相對完整的網路安全感知的能力模型與架構設計如下圖所示：
隨著Hadoop、NoSQL等技術的興起，BigData大數據的應用逐漸增多和成熟，而大數據自身擁有Velocity快速處理、Volume大數據量存儲、Variety支持多類數據格式三大特性。大數據的這些天生特性，恰巧可以用於大規模網路的安全感知。首先，多類數據格式可以使網路安全感知獲取更多類型的日誌數據，包括網路與安全設備的日誌、網路運行情況信息、業務與應用的日誌記錄等；其次，大數據量存儲與快速處理為高速網路流量的深度安全分析提供了技術支持，可以為高智能模型演算法提供計算資源；最後，在異常行為的識別過程中，核心是對正常業務行為與異常攻擊行為之間的未識別行為進行離群度分析，大數據使得在分析過程中採用更小的匹配顆粒與更長的匹配時間成為可能。
中國移動自2010年起在雲計算和大數據方面就開始了積極探索。中國移動的「大雲」系統目前已實現了分布式海量數據倉庫、分布式計算框架、雲存儲系統、彈性計算系統、並行數據挖掘工具等關鍵功能。在「大雲」系統的基礎上，中國移動的網路安全感知也具備了一定的技術積累，進行了大規模網路安全感知和防禦體系的技術研究，在利用雲平台進行脆弱性發現方面的智能型任務調度演算法、主機和網路異常行為發現模式等關鍵技術上均有突破，在安全運維中取得了一些顯著的效果。
大數據的出現，擴展了計算和存儲資源，提供了基礎平台和大數據量處理的技術支撐，為安全態勢的分析、預測創造了無限可能。

『肆』態勢感知，懂的人不用解釋，現在對於態勢感知更多的是信息網路的安全態勢感知，

大數據時代，除在信息網路的安全方面外，在無人機、無人駕駛、氣象分析、軍事、交通軌道等等方面，態勢感知的應用研究日益廣泛和必要！
一般來說，態勢感知在大規模系統環境中，對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。聯合作戰、網路中心戰的提出,推動了態勢感知的產生和不斷發展,作為實現態勢感知的重要平台和物質基礎,態勢圖對數據和信息復雜的需求和特性構成了突出的大數據問題.從大數據的高度思考,解決態勢感知面臨的信息處理難題,是研究聯合作戰態勢感知的重要方法.通過分析聯合作戰態勢感知的數據類型、結構和特點,得出態勢感知面臨著大數據挑戰的結論.初步探討了可能需要解決的問題和前沿信息技術的應用需求,最後對關鍵數據和信息處理技術進行了研究.該研究對於「大數據」在軍事信息處理和數據化決策等領域的研究具有重要探索價值。
相關參考（摘錄網上）：
1 引言

隨著計算機和通信技術的迅速發展，計算機網路的應用越來越廣泛，其規模越來越龐大，多層面的網路安全威脅和安全風險也在不斷增加，網路病毒、 Dos/DDos攻擊等構成的威脅和損失越來越大，網路攻擊行為向著分布化、規模化、復雜化等趨勢發展，僅僅依靠防火牆、入侵檢測、防病毒、訪問控制等單一的網路安全防護技術，已不能滿足網路安全的需求，迫切需要新的技術，及時發現網路中的異常事件，實時掌握網路安全狀況，將之前很多時候亡羊補牢的事中、事後處理，轉向事前自動評估預測，降低網路安全風險，提高網路安全防護能力。
網路安全態勢感知技術能夠綜合各方面的安全因素，從整體上動態反映網路安全狀況，並對網路安全的發展趨勢進行預測和預警。大數據技術特有的海量存儲、並行計算、高效查詢等特點，為大規模網路安全態勢感知技術的突破創造了機遇，藉助大數據分析，對成千上萬的網路日誌等信息進行自動分析處理與深度挖掘，對網路的安全狀態進行分析評價，感知網路中的異常事件與整體安全態勢。
2 網路安全態勢相關概念
2.1 網路態勢感知
態勢感知（Situation Awareness， SA）的概念是1988年Endsley提出的，態勢感知是在一定時間和空間內對環境因素的獲取，理解和對未來短期的預測。整個態勢感知過程可由圖1所示的三級模型直觀地表示出來。

所謂網路態勢是指由各種網路設備運行狀況、網路行為以及用戶行為等因素所構成的整個網路當前狀態和變化趨勢。
網路態勢感知（Cyberspace Situation Awareness，CSA）是1999年Tim Bass首次提出的，網路態勢感知是在大規模網路環境中，對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示以及預測最近的發展趨勢。
態勢是一種狀態、一種趨勢，是整體和全局的概念，任何單一的情況或狀態都不能稱之為態勢。因此對態勢的理解特別強調環境性、動態性和整體性，環境性是指態勢感知的應用環境是在一個較大的范圍內具有一定規模的網路；動態性是態勢隨時間不斷變化，態勢信息不僅包括過去和當前的狀態，還要對未來的趨勢做出預測；整體性是態勢各實體間相互關系的體現，某些網路實體狀態發生變化，會影響到其他網路實體的狀態，進而影響整個網路的態勢。
2.2 網路安全態勢感知
網路安全態勢感知就是利用數據融合、數據挖掘、智能分析和可視化等技術，直觀顯示網路環境的實時安全狀況，為網路安全提供保障。藉助網路安全態勢感知，網路監管人員可以及時了解網路的狀態、受攻擊情況、攻擊來源以及哪些服務易受到攻擊等情況，對發起攻擊的網路採取措施；網路用戶可以清楚地掌握所在網路的安全狀態和趨勢，做好相應的防範准備，避免和減少網路中病毒和惡意攻擊帶來的損失；應急響應組織也可以從網絡安全態勢中了解所服務網絡的安全狀況和發展趨勢，為制定有預見性的應急預案提供基礎。
3 網路安全態勢感知相關技術
對於大規模網路而言，一方面網路節點眾多、分支復雜、數據流量大，存在多種異構網路環境和應用平台；另一方面網路攻擊技術和手段呈平台化、集成化和自動化的發展趨勢，網路攻擊具有更強的隱蔽性和更長的潛伏時間，網路威脅不斷增多且造成的損失不斷增大。為了實時、准確地顯示整個網路安全態勢狀況，檢測出潛在、惡意的攻擊行為，網路安全態勢感知要在對網路資源進行要素採集的基礎上，通過數據預處理、網路安全態勢特徵提取、態勢評估、態勢預測和態勢展示等過程來完成，這其中涉及許多相關的技術問題，主要包括數據融合技術、數據挖掘技術、特徵提取技術、態勢預測技術和可視化技術等。
3.1 數據融合技術
由於網路空間態勢感知的數據來自眾多的網路設備，其數據格式、數據內容、數據質量千差萬別，存儲形式各異，表達的語義也不盡相同。如果能夠將這些使用不同途徑、來源於不同網路位置、具有不同格式的數據進行預處理，並在此基礎上進行歸一化融合操作，就可以為網路安全態勢感知提供更為全面、精準的數據源，從而得到更為准確的網路態勢。數據融合技術是一個多級、多層面的數據處理過程，主要完成對來自網路中具有相似或不同特徵模式的多源信息進行互補集成，完成對數據的自動監測、關聯、相關、估計及組合等處理，從而得到更為准確、可靠的結論。數據融合按信息抽象程度可分為從低到高的三個層次：數據級融合、特徵級融合和決策級融合，其中特徵級融合和決策級融合在態勢感知中具有較為廣泛的應用。
3.2 數據挖掘技術
網路安全態勢感知將採集的大量網路設備的數據經過數據融合處理後，轉化為格式統一的數據單元。這些數據單元數量龐大，攜帶的信息眾多，有用信息與無用信息魚龍混雜，難以辨識。要掌握相對准確、實時的網路安全態勢，必須剔除干擾信息。數據挖掘就是指從大量的數據中挖掘出有用的信息，即從大量的、不完全的、有雜訊的、模糊的、隨機的實際應用數據中發現隱含的、規律的、事先未知的，但又有潛在用處的並且最終可理解的信息和知識的非平凡過程（ NontrivialProcess） [1 ]。數據挖掘可分為描述性挖掘和預測性挖掘，描述性挖掘用於刻畫資料庫中數據的一般特性；預測性挖掘在當前數據上進行推斷，並加以預測。數據挖掘方法主要有：關聯分析法、序列模式分析法、分類分析法和聚類分析法。關聯分析法用於挖掘數據之間的聯系；序列模式分析法側重於分析數據間的因果關系；分類分析法通過對預先定義好的類建立分析模型，對數據進行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經網路模型等；聚類分析不依賴預先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態聚類法、基於密度的方法等。
3.3 特徵提取技術
網路安全態勢特徵提取技術是通過一系列數學方法處理，將大規模網路安全信息歸並融合成一組或者幾組在一定值域范圍內的數值，這些數值具有表現網路實時運行狀況的一系列特徵，用以反映網路安全狀況和受威脅程度等情況。網路安全態勢特徵提取是網路安全態勢評估和預測的基礎，對整個態勢評估和預測有著重要的影響，網路安全態勢特徵提取方法主要有層次分析法、模糊層次分析法、德爾菲法和綜合分析法。
3.4 態勢預測技術
網路安全態勢預測就是根據網路運行狀況發展變化的實際數據和歷史資料，運用科學的理論、方法和各種經驗、判斷、知識去推測、估計、分析其在未來一定時期內可能的變化情況，是網路安全態勢感知的一個重要組成部分。網路在不同時刻的安全態勢彼此相關，安全態勢的變化有一定的內部規律，這種規律可以預測網路在將來時刻的安全態勢，從而可以有預見性地進行安全策略的配置，實現動態的網路安全管理，預防大規模網路安全事件的發生。網路安全態勢預測方法主要有神經網路預測法、時間序列預測法、基於灰色理論預測法。
3.5 可視化技術
網路安全態勢生成是依據大量數據的分析結果來顯示當前狀態和未來趨勢，而通過傳統的文本或簡單圖形表示，使得尋找有用、關鍵的信息非常困難。可視化技術是利用計算機圖形學和圖像處理技術，將數據轉換成圖形或圖像在屏幕上顯示出來，並進行交互處理的理論、方法和技術。它涉及計算機圖形學、圖像處理、計算機視覺、計算機輔助設計等多個領域。目前已有很多研究將可視化技術和可視化工具應用於態勢感知領域，在網路安全態勢感知的每一個階段都充分利用可視化方法，將網路安全態勢合並為連貫的網路安全態勢圖，快速發現網路安全威脅，直觀把握網路安全狀況。
4 基於多源日誌的網路安全態勢感知
隨著網絡規模的擴大以及網絡攻擊復雜度的增加，入侵檢測、防火牆、防病毒、安全審計等眾多的安全設備在網路中得到廣泛的應用，雖然這些安全設備對網路安全發揮了一定的作用，但存在著很大的局限，主要表現在：一是各安全設備的海量報警和日誌，語義級別低，冗餘度高，佔用存儲空間大，且存在大量的誤報，導致真實報警信息被淹沒。二是各安全設備大多功能單一，產生的報警信息格式各不相同，難以進行綜合分析整理，無法實現信息共享和數據交互，致使各安全設備的總體防護效能無法得以充分的發揮。三是各安全設備的處理結果僅能單一體現網路某方面的運行狀況，難以提供全面直觀的網路整體安全狀況和趨勢信息。為了有效克服這些網路安全管理的局限，我們提出了基於多源日誌的網路安全態勢感知。
4.1 基於多源日誌的網路安全態勢感知要素獲取
基於多源日誌的網路安全態勢感知是對部署在網路中的多種安全設備提供的日誌信息進行提取、分析和處理，實現對網路態勢狀況進行實時監控，對潛在的、惡意的網路攻擊行為進行識別和預警，充分發揮各安全設備的整體效能，提高網路安全管理能力。
基於多源日誌的網路安全態勢感知主要採集網路入口處防火牆日誌、入侵檢測日誌，網路中關鍵主機日誌以及主機漏洞信息，通過融合分析這些來自不同設備的日誌信息，全面深刻地挖掘出真實有效的網路安全態勢相關信息，與僅基於單一日誌源分析網路的安全態
勢相比，可以提高網路安全態勢的全面性和准確性。
4.2 利用大數據進行多源日誌分析處理
基於多源日誌的網路安全態勢感知採集了多種安全設備上以多樣的檢測方式和事件報告機制生成的海量數據，而這些原始的日志信息存在海量、冗餘和錯誤等缺陷，不能作為態勢感知的直接信息來源，必須進行關聯分析和數據融合等處理。採用什麼樣的技術才能快速分析處理這些海量且格式多樣的數據？
大數據的出現，擴展了計算和存儲資源，大數據自身擁有的Variety支持多類型數據格式、 Volume大數據量存儲、Velocity快速處理三大特徵，恰巧是基於多源日誌的網路安全態勢感知分析處理所需要的。大數據的多類型數據格式，可以使網路安全態勢感知獲取更多類型的日誌數據，包括網路與安全設備的日誌、網路運行情況信息、業務與應用的日誌記錄等；大數據的大數據量存儲正是海量日誌存儲與處理所需要的；大數據的快速處理為高速網路流量的深度安全分析提供了技術支持，為高智能模型演算法提供計算資源。因此，我們利用大數據所提供的基礎平台和大數據量處理的技術支撐，進行網路安全態勢的分析處理。
關聯分析。網路中的防火牆日誌和入侵檢測日誌都是對進入網路的安全事件的流量的刻畫，針對某一個可能的攻擊事件，會產生大量的日誌和相關報警記錄，這些記錄存在著很多的冗餘和關聯，因此首先要對得到的原始日誌進行單源上的關聯分析，把海量的原始日誌轉換為直觀的、能夠為人所理解的、可能對網路造成危害的安全事件。基於多源日誌的網路安全態勢感知採用基於相似度的報警關聯，可以較好地控制關聯後的報警數量，有利於減少復雜度。其處理過程是：首先提取報警日誌中的主要屬性，形成原始報警；再通過重復報警聚合，生成聚合報警；對聚合報警的各個屬性定義相似度的計算方法，並分配權重；計算兩個聚合報警的相似度，通過與相似度閥值的比較，來決定是否對聚合報警進行超報警；最終輸出屬於同一類報警的地址范圍和報警信息，生成安全事件。
融合分析。多源日誌存在冗餘性、互補性等特點，態勢感知藉助數據融合技術，能夠使得多個數據源之間取長補短，從而為感知過程提供保障，以便更准確地生成安全態勢。經過單源日誌報警關聯過程，分別得到各自的安全事件。而對於來自防火牆和入侵檢測日誌的的多源安全事件，採用D-S證據理論（由Dempster於1967年提出，後由Shafer於1976年加以推廣和發展而得名）方法進行融合判別，對安全事件的可信度進行評估，進一步提高准確率，減少誤報。 D-S證據理論應用到安全事件融合的基本思路：首先研究一種切實可行的初始信任分配方法，對防火牆和入侵檢測分配信息度函數；然後通過D-S的合成規則，得到融合之後的安全事件的可信度。
態勢要素分析。通過對網路入口處安全設備日志的安全分析，得到的只是進入目標網路的可能的攻擊信息，而真正對網路安全狀況產生決定性影響的安全事件，則需要通過綜合分析攻擊知識庫和具體的網路環境進行最終確認。主要分為三個步驟：一是通過對大量網路攻擊實例的研究，得到可用的攻擊知識庫，主要包括各種網路攻擊的原理、特點，以及它們的作用環境等；二是分析關鍵主機上存在的系統漏洞和承載的服務的可能漏洞，建立當前網路環境的漏洞知識庫，分析當前網路環境的拓撲結構、性能指標等，得到網路環境知識庫；三是通過漏洞知識庫來確認安全事件的有效性，也即對當前網路產生影響的網路攻擊事件。在網路安全事件生成和攻擊事件確認的過程中，提取出用於對整個網路安全態勢進行評估的態勢要素，主要包括整個網路面臨的安全威脅、分支網路面臨的安全威脅、主機受到的安全威脅以及這些威脅的程度等。
5 結語
為了解決日益嚴重的網路安全威脅和挑戰，將態勢感知技術應用於網路安全中，不僅能夠全面掌握當前網路安全狀態，還可以預測未來網路安全趨勢。本文在介紹網路安全態勢相關概念和技術的基礎上，對基於多源日誌的網路安全態勢感知進行了探討，著重對基於多源日誌的網路安全態勢感知要素獲取，以及利用大數據進行多源日誌的關聯分析、融合分析和態勢要素分析等內容進行了研究，對於態勢評估、態勢預測和態勢展示等相關內容，還有待於進一步探討和研究。

『伍』計算機網路的安全框架包括哪幾方面

計算機網路安全是總的框架，應該包括：物理線路與設備體系架構；信息體系架構；防護體系架構；數據備份體系架構；容災體系架構；法律、法規體系架構等方面。

計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的，對於一個系統而言，首先要以硬體電路等物理設備為載體，然後才能運行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備，用戶可以搭建自己所需要的通信網路。

(5)網路安全態勢感知框架擴展閱讀：

防護措施可以作為一種通信協議保護，廣泛采用WPA2加密協議實現協議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以將驅動程序看作為操作系統的一部分，經過注冊表注冊後，相應的網路通信驅動介面才能被通信應用程序所調用。

網路安全通常是指網路系統中的硬體、軟體要受到保護，不能被更改、泄露和破壞，能夠使整個網路得到可持續的穩定運行，信息能夠完整的傳送，並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。

『陸』網路攻擊類型

1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務，服務拒絕攻擊是最容易實施的攻擊行為，主要包括：

死亡之ping （ping of death）
概覽：由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。
防禦：現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。

淚滴（teardrop）
概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。
防禦：伺服器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）
概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一台主機，這樣就生成在兩台主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦：關掉不必要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）
概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。
防禦：在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂，由於釋放洪水的並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

Land攻擊
概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址，此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鍾）。
防禦：打最新的補丁，或者在防火牆進行配置，將那些在外部介面上入站的含有內部源地址濾掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻擊
概覽：一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。
防禦：為了防止黑客利用你的網路攻擊他人，關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊
概覽：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP
防禦：在防火牆上過濾掉UDP應答消息

電子郵件炸彈
概覽：電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網路的帶寬。
防禦：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

畸形消息攻擊
概覽：各類操作系統上的許多服務都存在此類問題，由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。
防禦：打最新的服務補丁。

2、利用型攻擊

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種：

口令猜測
概覽：一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器的控制。
防禦：要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。

特洛伊木馬
概覽：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權，安裝此程序的人就可以直接遠程式控制制目標系統。最有效的一種叫做後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦：避免下載可疑程序並拒絕執行，運用網路掃描軟體定期監視內部主機上的監聽TCP服務。

緩沖區溢出
概覽：由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。
防禦：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統。

3、信息收集型攻擊

信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描
概覽：運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。
防禦：在防火牆上過濾掉ICMP應答消息。

埠掃描
概覽：通常使用一些軟體，向大范圍的主機連接一系列的TCP埠，掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射
概覽：黑客向主機發送虛假消息，然後根據返回「host unreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。
防禦：NAT和非路由代理伺服器能夠自動抵禦此類攻擊，也可以在防火牆上過濾「host unreachable」ICMP應答。

慢速掃描
概覽：由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目（例如每秒10次）來決定是否在被掃描，這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦：通過引誘服務來對慢速掃描進行偵測。

體系結構探測
概覽：黑客使用具有已知響應類型的資料庫的自動工具，對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法（例NT和Solaris的TCP/IP堆棧具體實現有所不同），通過將此獨特的響應與資料庫中的已知響應進行對比，黑客經常能夠確定出目標主機所運行的操作系統。
防禦：去掉或修改各種Banner，包括操作系統和各種應用服務的，阻斷用於識別的埠擾亂對方的攻擊計劃。

利用信息服務

DNS域轉換
概覽：DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器，黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦：在防火牆處過濾掉域轉換請求。

Finger服務
概覽：黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。
防禦：關閉finger服務並記錄嘗試連接該服務的對方IP地址，或者在防火牆上進行過濾。

LDAP服務
概覽：黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。
防禦：對於刺探內部網路的LDAP進行阻斷並記錄，如果在公共機器上提供LDAP服務，那麼應把LDAP伺服器放入DMZ。

4、假消息攻擊
用於攻擊目標配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件。

DNS高速緩存污染
概覽：由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證，這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。
防禦：在防火牆上過濾入站的DNS更新，外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。

偽造電子郵件
概覽：由於SMTP並不對郵件的發送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識並相信的人，並附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網站的連接。
防禦：使用PGP等安全工具並安裝電子郵件證書。

『柒』移動雲態勢感知是什麼有啥優勢

態勢感知是一種利用大數據架構，通過採集系統的網路安全數據信息，對所有安全數據進行統一處理分析，發現和告警網路攻擊行為、安全威脅事件、日誌、流量等網路安全問題的軟體，它的優勢在於可以主動監測各項態勢，防護很精準，可以直觀智能分析態勢，對維護系統安全有很大的幫助。

『捌』網路傳銷監測治理基地中的「網路安全態勢感知系統」真的有用嗎

通過深度線索分析報告，騰訊的「網路安全態勢感知系統」破獲多起詐騙，傳銷案件中發揮了積極作用。你說有用嗎？

『玖』什麼是網路安全態勢感知

在大規模網路環境中，對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示並據此預測未來的網路安全發展趨勢。簡而言之就是根據網路安全數據，預測未來網路安全的趨勢。

網路安全態勢感知框架

與網路安全態勢感知框架相關的內容