随着《中华人民共和国网络**法》和《国家网络空间**战略》等法规和政策的相继出台，态势感知被提升到了战略高度，国内众多大行业、大型企业都开始倡导、建设和积极应用态势感知系统，以应对网络空间**的严峻挑战。

在日前举办的第七届运营商和互联网行业网络**年会上，以**大数据为基础的态势感知再次成为业内讨论的焦点。

网络空间**形势发生变化

当前，IT基础设施正在发生深刻的变化，虚拟化技术、软件定义网络、移动办公技术逐渐从概念走向实际应用。云计算的兴起、BYOD（Bring　Your　Own　Device，指携带自己的设备办公）的普及，改变了传统的数据中心架构，也改变了办公方式，使得传统的网络边界变得模糊，甚至消失，这给传统的、以网络边界为核心的防护思想和**产品带来了巨大的挑战。

相应的，**威胁的形势也正发生变化。360企业**集团副总裁左英男认为，网络攻击的实施者不再是个人，而是以明确的政治、经济利益为目的黑产组织、国家机构。攻击的手段和工具也日新月异，如渗透至内部发起攻击，“传统的被动防护战略思维已经不能适应”。

北京神州绿盟信息**科技股份有限公司**副总裁李晨同样认为，无论是传统的威胁，还是新兴的**、有组织的定向攻击，都为当前企业的**管理带来了非常大的挑战。

“国内对互联网**的监测与发现能力长期缺位，形势相当严峻。”左英男认为，急需采用更积极的措施来应对这种变化，树立“监测、发现”的理念。

态势感知为企业**“保驾护航”

去年的419网络**和信息化工作座谈会上提出“没有网络**，就没有国家**”，“树立正确的网络**观，加快构建关键信息基础设施**保障体系，全天候全方位感知网络**态势，增强网络**防御能力和威慑能力。”态势感知**被提升到了国家战略高度，并迅速成为网络**领域的热点。

据介绍，态势感知不是SOC/SIEM（**管理系统）的简单升级，而是经过彻头彻尾的改造，是使用大数据技术、威胁情报、攻击场景分析模型和自动化响应处置技术，给SOC/SIEM平台换了一颗更加强壮有力的心脏，使以事件和告警响应为中心的**运营模式，转变为以威胁为中心，通过持续检测、分析研判、追踪溯源、响应处置等手段，以持续提升**能力，持续降低MTTD/MTTR（平均检测时间/平均响应时间）为目标的新一代**运营模式。

360态势感知**服务团队去年在给一家从事大型工程建设的央企做态势感知服务时发现：这家央企财务部门有一台电脑，每天自半夜开始向南美某一个地域大量通信。但是，该央企在南美并无业务。在监测到这一危险信号后，360态势感知服务小组**时间断网处置，切断危险信号，同时迅速加强防护措施，补上漏洞，*大程度为该央企减轻了损失。

“及时、高效的处置动作完成，才算真正解决了**问题。这对态势感知系统的自动化响应处置能力提出了很高的要求。”左英男说。

大数据分析助力态势感知

“大数据分析技术对网络**是彻头彻尾的改变。”左英男分析说，以前网络**维护只能处理一些结构化数据，处理的量与类型有限。随着大数据分析技术的广泛应用，网络**维护只有依托于海量数据和攻击场景与经验的积累，通过计算建模等方法，才能大大提升监测能力及自动响应能力。

与会专家们认为，态势感知系统一方面要尽可能具备全要素数据收集能力。除了资产信息、系统日志、**设备日志之外，还要收集终端数据和网络流量数据等。另一方面，还要大量使用威胁情报，威胁情报的使用对于降低垃圾数据产生的噪音、提升威胁检测的效率极为关键。

但威胁情报来自哪里？质量和价值如何？决定着态势感知系统的落地能力。360企业**集团通过6亿装机量的客户端**软件，以及基于互联网众测模式的360补天漏洞平台，收集了中国*大的恶意代码样本库和中文漏洞库，辅以DNS解析库、存活网址库，形成了360的云端**大数据。截至2016年年底，360威胁情报中心已经发布了36份APT（**持续性威胁）报告。