历史上有位青年

在他出现之前，战是这样打的

不能攻击已经受伤、头发已经花白的兵将

不能落井下石，当敌人处于险境时

不能搞突然袭击，当敌人没有做好准备时

在他出现之后

“兵者诡道也”开启了中国兵法之先河

他二三十岁就写了一本奇书

因观点态度与蠢猪式的仁义作战方式相悖甚远而声名鹊起

经好友引荐得以面圣

小小少年郎，竟然有如此非凡见识，想来皇帝虽是赞赏，却有点不信

有意试试他的本事

“子之13篇，吾以观之矣。可小试勒兵乎？”

“诺”

面试题是----训练180名宫中美女（含2名皇帝最宠爱的妃嫔）

这题目出的够刁钻

但难不到他

他把180名宫女分成两队，让两名宠姬分别担任队长，然后申明军纪。训练开始后，宫女妃嫔依仗自己是皇帝身边的工作人员，显然都没把他放在眼里，嘻笑的，嗑瓜子的，聊天的，无人听其号令。再下令号令，宫女们还是嘻嘻哈哈。在果断下令斩了两名队长后，再次指挥操练，军容竞大为改观，队列整齐。

从此之后，他受到皇帝重用，拜为大将

他就是兵书之首《孙子兵法》的作者----孙武

《孙子兵法》虽然只有短短的六千多字，却蕴含了极为深刻的谋略与智慧。

它不仅是历代军事家用于指导战争实践的必读之书，也是今天态势感知的精髓来源。

一、态势感知现状

态势感知的概念源于军事需求，具体来讲，正是出自《孙子兵法》的知已知彼,百战不殆。

上世纪末90年代，态势感知被引入到信息技术安全领域。

2015年阿里巴巴安全峰会上，阿里云安全首席研究员吴翰清引起了一场辩论：为什么现有的防御手段无法防御黑客攻击；为什么用了防火墙或IPS等”老三样“还被黑客入侵。

此后，态势感知的概念正式形成。

2015年下半年至2016年，态势感知的概念开始在安全行业中应用。

2016年12月27日，国务院刊发了《“十三五”国家信息化规划》，再次强调了态势感知的重要性。

从逻辑上讲，态势感知包括获取、理解、预测三个层次。其中，获取和理解是基础，预测才是核心和未来，并且需要顺次建设，全局规划。

当前，大部分的态势感知是通过对获取的数据进行数理统计而输出的图表，只能勉强说达到了监测的程度，这对于指导决策来说还是比较薄弱的。因为，只有实现动态监测和预测的态势感知，才能真正对决策有帮助，而要达到这一点，必须在分析评估或者说理解阶段，引入机器学习算法、深度人机交互等AI和BI技术。

观察市面上的大数据分析系统，能达到这一点的凤毛麟角。其中，国内信息安全行业龙头企业启明星辰集团下属的合众大数据安全研究团队，以飞象分析OpenFEA为分析工具，研究出的网络安全态势感知模型最受嘱目（以下所有配图来自此模型），不论是分析引擎部分，还是可视化部分。

虽然，态势感知被应用在各行各业，但应用最广泛的当属网络安全这块。

网络安全态势感知，是以情报数据为中心，结合资产、漏洞、事件、全流量数据、安全分析专家、数据科学家经验，采用大数据技术，通过对互联网安全以及网站安全的实时监测，感知被监测的互联网区域的木马和僵尸程序、网站入侵攻击等网络安全事件情况，对网络数据和事件进行采集、存储、处理、挖掘、分析，及时发现网络恶意程序、网络攻击事件等安全威胁的行为。最终将一些关键指标数据以可视化图表方式集中展示在巨大的LED屏幕上，以方便管理人员实时掌握和了解整个网络安全态势。

今天，我们先了解一下全网状态下，整体的安全态势和关键结点的状态，以及系统安全策略上存在的缺陷，和对最危险的攻击访问溯源。

二、整体的安全态势和关键结点的状态

通过传统安全设备日志（防火墙、IDS、IPS、WAF、防篡改、DDOS），主机操作日志，服务日志，路由器、交换机日志，结合威胁情报，系统脆弱性信息（安全漏洞，弱口令，安全配置）进行分析。

（整体的安全态势和关键结点的状态－－全景图）

1、全球地图

显示各个国家对资产的攻击次数。

• 监控对象：显示当前监控对象的数量

• 事件总量：显示总事件数量

• 漏洞数量：显示当前资产存在漏洞的数量

• 情报数：显示当前接入的情报数量

2、事件占比

显示整体威胁事件的占比情况。

左下角数据代表拒绝服务攻击69次，占总比的7.4%，攻击入侵事件324条，占总比34.73%。

3、网络评估

三个仪表盘从左到右分别显示组织内部网络安全防护状况，外部威胁状况，InterNET全网安全状况。

4、网络状况趋势

通过资产脆弱性指数、防护指数，外部威胁指数对整体网络进行风险评估，并且根据时间进行跟踪。

5、国家/攻击类型分布

显示每个国家进行的主要攻击类型情况，因为篇幅问题部分国家没有显示全。

左下角数据，代表美国进行25次网络蠕虫攻击。

6、资产情况

显示前十个资产所受到的攻击次数和自身脆弱性情况。

7、国内攻击来源分布

显示攻击地来源分布情况以及攻击排名前10的城市。

8、整体网络状况

通过对各个资产的漏洞指数、脆弱性指数、防御指数、资产指数、危险指数进行评分，评估资产的整体安全状况，覆盖面积越广说明资产越安全。

9、情报状况

• 情报数量：显示与当前正在发生的事件相关的情报数

• 命中情况：显示情报与威胁事件命中的数量

三、网络攻击实时追踪

攻击，是指攻击者利用各项资产在具体实现或系统安全策略上存在的缺陷，试图渗透系统或绕过系统的安全策略，以获取信息、修改信息以及破坏目标网络或系统功能的行为。

（网络攻击实时追踪－－全景图）

1、实时攻击情况

迁徙图实时显示国内、全球对资产的攻击情况。

信息栏中显示当前时间，攻击事件来源国，攻击源地址、目的地址、攻击事件类型。

2、攻击排名-城市

显示实时攻击的城市以及排名。

3、攻击排名-国家

显示实时攻击的国家以及排名。

4、国内外实时攻击趋势

显示国内外实时攻击的趋势。

5、攻击类型占比

显示实时攻击类型占比分布情况。

6、攻击趋势

显示重点关注攻击类型的实时攻击数量趋势。

7、攻击路径

通过桑基图方式来呈现主要的目标，对重要资产的攻击的方法、端口。