美国网络安全的爱因斯坦计划

美国爱因斯坦计划跟踪与解读(2020)
本文全面更新了爱因斯坦计划的相关数据和2020年以来的最新进展。

1 项目概述
爱因斯坦计划，其正式名称为“国家网络空间安全保护系统”（National Cybersecurity Protection System，简称NCPS），是美国“全面国家网络空间安全行动计划”（Comprehensive National Cybersecurity Initiative，简称CNCI）的关键组成部分。

NCPS以DFI、DPI和DCI技术为抓手，以大数据技术为依托，以威胁情报为核心，实现对美国联邦政府互联网出口网络威胁的持续监测、预警与响应，以提升联邦政府网络的态势感知能力和可生存性。

NCPS由美国国土安全部（DHS）负责设计、运行和协调，大体上分为三个阶段。

借助NCPS，美国联邦政府为其互联网侧态势感知构建起了四大能力：入侵检测、入侵防御、安全分析和信息共享。

1.1 入侵检测
NCPS的入侵检测能力包括爱因斯坦1（简称E1）探针中基于Flow的检测能力、爱因斯坦2（简称E2）和爱因斯坦3A（简称E3A）探针中基于特征的检测能力，以及2015年启动的在E1、E2和E3A中基于机器学习的行为检测能力（代号LRA）。

NCPS的检测能力不追求检测所有攻击和入侵，而重点关注APT类高级威胁，因而其检测特征库并不大，但很有针对性，并由美国国防部/国安局（DOD/NSA）提供部分特征信息。

文/中国科技大学网络态势感知研究中心 王砚方态势感知研究的方法论“态势感知”是网络安全文献中使用频度相当高的一个术语，态势感知已成为研究网络安全所必需解决的问题，但业内的专家对此可能有不同的理解。

本文企望通过相关的介绍和分析提出一己的看法。

“态势感知”概念的来源由于人的因素在动态系统（如飞机驾驶、空中交通管制、电力网管理等）中彰显出越来越大的重要性，M.R.Endsley在1995年提出人类决策模型，总结出包括采集、理解和预测三个层次的态势感知模型。

此模型基于各元素间的确定关系，例如由飞机的航速、方位角及风速判断它的落地点和落地时间，机场的空中交通管理人员就可以按事先确定的方案引导飞机安全降落。

再如战斗机驾驶员根据空中环境的动态变化，按规定的程序作战场上的各种相应的战术动作。

在自动控制设备运行时，遇到异常时操作员如何介入，也可按专家事先制定的方案进行。

总之，Endsley模型是指导人——机器的互动的原则：如果用较多的人工，可以得到对机器设备状态的较多的感知，因而可使设备接近最佳的状态；而如果自动程度较高，可以节省人工，但操作员的感知较少，遇到不理想的情况就难以作出抉择，在这个问题上，Endsley模型就是要解决人工同自动化之间最好的折中。

这种模型适用于处理简单的系统，专家的先验的成分较多。

显然，它不适用于复杂网络。

事实上自这个模型提出的十五年来，在许多方面开拓了研究，如人员培训、设计、工作团队协调等方法有不少成果。

国内有学者把它作为通用的理论模型，提出基于流量和局域网的单机日志的数据融合，建立大规模网络安全的态势评估模型。

到上世纪末，已经有人意识到仅靠在单个计算机上的防入侵设备已不能解决网络的安全问题，出现了把网络上安全传感器和计算机上的防入侵等设备同网络流控和管理结合起来的需求。

1999年T.Bass提出了多台安全传感器和入侵检测设备的数据融合的原理和流程，称为Bass模型。

Bass模型没有从网络本身的特点出发，而只是在数据融合技术方面就事论事。

2011.8/世界电信封面报道新闻背景今年7月，美国国防部公开发布了《网络空间行动战略》（以下简称“《战略》”）的非保密部分，从国防角度对网络空间的战略定位、威胁来源以及应对策略进行了较为全面的说明。

《战略》是对美国今年5月发布的《网络空间国际战略》的一项具体阐释，它为美国国防部更加有效地开展网络空间行动、保卫美国国家利益及实现网络空间安全目标绘制了清晰的路线图。

美国国防部副部长威廉·林恩（William Lynn ）表示，国防部首次发布的《战略》对于保护美国免受潜在的毁灭性网络打击具有里程碑意义。

美国是互联网的发源地，在网络空间拥有巨大优势，并视网络空间为其保持国际竞争力优势的战略制高点。

此《战略》的发布，充分体现了美国对网络空间的整体利益诉求，标志着美国作为首个提出网络战概念并将其应用于实践的国家，对网络空间军事斗争的认识和部署上升到全新高度。

网络空间渐成“网络战场”，全球围绕网络空间控制权的争夺正在不断加剧。

而我国网络空间行动能力与国际先进水平的差距还存在进一步加大的风险，网络安全保障面临着更为严峻的挑战。

美网络战略首提主动防御我需关注网络战备升级风险■工业和信息化部电信研究院通信信息研究所刘越郭丰28世界电信\2011.8封面报道美国网络空间行动的五项战略支柱《网络空间行动战略》提出了五项战略支柱（Strategic Initiative ）。

其中，前两点可视为“理念支柱”，后三点则可视为“举措支柱”。

1.将网络空间作为组织、训练和装备的行动领域，使得美国国防部充分利用网络空间潜力。

2.采用新的防御行动概念，以保护美国国防部的网络和系统。

3.与美国其他政府部门和私营机构开展合作，实现政府整体的网络空间战略。

4.与美国的盟友和国际伙伴建立巩固的关系，以强化集体网络安全。

5.通过特别的网络能力建设和快速的技术创新，带动国家的创造力。

上述五项战略支柱相辅相成，构建了从原则理念到策略措施的网络空间行动体系。

网络战条件下的网络安全防护研究【摘要】本文分析了目前网络战的态势和攻防方式；研究了网络的安全特点；并对网络战环境下，网络安全防护进行了探讨。

【关键词】网络战；网络安全；攻防方式1.概述今天的战争已进化为集成陆、海、空、天、电磁、网络、生物、环境、气象、资源、粮食、金融、文化、心里等多种因素的综合总体战。

战争突破了军民和时空的界限。

胜负存亡决定于分秒毫厘之间。

网络的广泛应用，使网络战对国家的安全具有重大影响。

目前，外军占据信息技术优势，对我国的利益和安全提出了严重挑战。

另外，发动网络攻击的门槛较低，非国家势力和恐怖主义对我国的网络安全同样具有重大威胁。

因此，如何充分利用网络手段保卫国家安全，如何综合利用各种手段保卫网络安全，是必须解决的课题。

2.网络战的总体态势智能设备广泛用于军事和生活中，起到了倍增器的效果。

能源、金融、交通、通信、指挥、情报后勤等环节对网络依赖大，而且这种依赖程度还在不断地增长中。

网络战降低了战争的门槛，加大了战争从网络走向实战的风险。

在信息化条件下，信息技术飞速发展，网络战的规则不断变化。

解决问题的最好方案总是在人们目前的意料之外，因此网络战战略必须不断地变革和更新。

目前，网络防御技术的发展滞后于网络进攻技术，还不能保障网络的绝对安全，主要体现在：1）组成网络的硬件、软件和信道等部分均存在薄弱点：其中，硬件的供应链和使用链遍布全球，部分芯片，存储器需要进口，从设计、生产、组装到销售、维护等环节难以全部控制；编写软件难以避免漏洞，网络协议存在安全薄弱点；从骨干网到接入网，存在大量可非法接入的通道和薄弱点，难以有效防御所有形式的非法接入和窃听。

同时，间谍、策反和内部威胁也对网络安全提出了严峻挑战。

2）进攻网络攻击的门槛低，成本小，易隐藏，风险低，瞬时见效、危害巨大。

国家、非国家组织甚至个人均可以实施网络攻击，且被攻击方难以追查证据，难以组织反击，“以攻为守”的战略也不适用。

3）网络防御将网络和智能终端（包括计算机、嵌入式系统等）统一考虑，必须全面实施有效防御。

对“棱镜门”事件和斯诺登的看法第一篇：对“棱镜门”事件和斯诺登的看法工业和信息技术发展到今天，传统的安防监控随处可见，人们也习以为常，但由美国前中情局雇员爱德华·斯诺登而起的“棱镜门”事件及背后的互联网、移动通信等安全和监控问题还是让人们大吃一惊。

“棱镜门”事件本身就像一个冷静，折射出现代社会大至国家安全，小至个人隐私的信息安全问题。

6月初斯诺登实名披露了包括“棱镜”项目在内的美国政府多个秘密情报监听监视项目。

美国利用黑客手段在互联网空间窃取他国信息，是“海盗”行为，这种做法与美国所倡导的“信息自由”理念背道而驰。

一直宣称维护个人自由的美国却在私底下收集别人的隐私，充分暴露了美国人权观的虚伪性，同时也暴露出美国长期推行霸权主义的阴暗心理，体现出其担忧西方资本主义没落和仇视共产主义的冷战思维。

而在美国历史上，像斯诺登一样的“泄密者”还有曼宁、艾尔斯伯格，身为美国人，他们为何要揭露自己国家的丑闻？面对人们的疑问，英国《卫报》的评论也许是一个合适的解释“他们在美国‘自由精神’的熏陶下长大，又经历了被召唤去监控或行使美国力量的现实。

而随着时光流逝，平衡这两者的冲突，让他们的世界观混乱。

美国以反恐名义发动战争，伤害其他国家的人民，侵犯本国公民的隐私。

对斯诺登们来说，一方面是忠于旗帜和制服，另一方面是忠于旗帜和制服所曾象征的理想，他们被迫作出选择。

在理想和现实之间，他们选择忠于美国所宣称的理想。

他们并非叛徒，而是美国新一代爱国者。

”就我个人来说，我认为斯诺登是一个民族英雄，为了争取真正的民主自由，他放弃了高薪的工作、安逸的生活、似锦的前程，选择揭露美国政府监听真相，选择独自承受内心道德的压力，这是没有几人能做得到的。

但从美国公民来说，比较国家安全与个人自由后，也许更多人会认为他是美国的“叛徒”。

但是，对于我们广大发展中国家来说，“棱镜”计划只是美国庞大的信息劫掠系统的冰山一角，其实美国国家安全局一直都通过路由器监控着中国网络和电脑，这给中国维护信息安全敲响了警钟。

美政府“国家网络安全综合计划（CNCI）”揭开神秘面纱US Government Unveiled the Mysteries of the ComprehensiveNational Cybersecurity Initiative (CNCI)中国信息安全认证中心陈晓桦，左晓栋China Information Security Certification Center, Chen Xiaohua, Zuo Xiaodong一、引言2008年1月，时任美国总统布什发布了一项重大信息安全政策，称为第54 号国家安全总统令（NSPD54），同时也是第23 号国土安全总统令（HSPD23），其核心是国家网络安全综合计划（CNCI，Comprehensive National Cybersecurity Initiative）。

CNCI是美国政府对重大信息安全行动做出的总体部署，被美国一些媒体称为信息安全的“曼哈顿计划”。

这个计划早在2007年便已提出，通过NSPD54/HSPD23上升为强制性的政府命令。

CNCI十分敏感，被以国家安全的原因列为高度机密。

其预算也对外界讳莫如深，但美国国内很多分析家认为，CNCI在若干年内的预算可能达到400亿美元。

而据媒体报道，布什在2009财年情报预算中的最大单笔预算请求便是为支持CNCI；在2010财年，仅国土安全部（DHS）的CNCI 项目预算便有3.34亿美元；最近的2011财年预算报道则透露出，美国政府在下一财年为CNCI提出的预算请求为36亿美元。

CNCI甫一出台便引起了广泛关注，但各界均对这一计划对外保密持批评态度。

舆论普遍认为，信息安全行动需要政府和私营部门的密切合作，需要所有人的共同努力，且政府的信息安全行动往往涉及到监控及与之有关的公民隐私保护等问题，因而将这一计划保密的做法十分不妥。

2008年6月，参议院国土安全和政府事务委员会致函国土安全部，要求了解CNCI的细节信息以及国土安全部在CNCI中的角色。

C N I T SE C文/中国科技大学网络态势感知研究中心 王兵 武杰爱因斯坦-3计划解读与分析在2010年的RSA大会上，奥巴马的网络安全协调官霍华德·施密特(Howard Schmidt)宣布针对美国《国家网络安全综合计划》（简称CNCI，Comprehensive National Cybersecurity Initiative）秘密文件公布一份5页的摘要解密文件。

这个文件介绍了CNCI的12项计划，其中，两项计划是升级和翻新政府的网络监控系统，一项是计划2：部署基于IDS的“爱因斯坦-2”系统，另一项是计划3：部署基于IPS的“爱因斯坦-3”系统。

美国政府期望通过爱因斯坦计划的实施，具备更快速地对网络威胁进行检测和响应的能力。

爱因斯坦计划的实施引起了国际社会和美国民众的广泛关注，特别是爱因斯坦-3不仅部署在联邦政府网络，还部署到了公共互联网络上，并且强调网络态势感知和实时处置能力。

它采用何种技术，获取哪些信息，有何处置能力以及准备如何使用，都成为大家关心的问题。

从解密的CNCI摘要内容来看，没有透露任何具体的行动计划，解密的象征意义大于实际意义。

然而迫于公众对隐私权的关注，负责爱因斯坦计划的美国国土安全部（DHS）所属的“计算机应急响应小组（US-CERT），在爱因斯坦计划实施的各阶段均发布了“隐私影响评估（简称PIA：Privacy Impact Assessment）”报告，被迫披露了部分技术细节。

本文利用这些报告结合其它相关公开信息，就上述问题尝试对爱因斯坦-3计划进行解读和分析。

爱因斯坦计划实施情况1.爱因斯坦计划负责机构在CNCI中，爱因斯坦计划是由DHS负责，国防部（DoD）和国家安全局（NSA）参与网络安全示范和推广工程。

DHS下属26个部门中的2个部门在网络安全的策略和计划执行中起着举足轻重的作用：科学与技术局（STD）和国家保卫与计划执行局（NPPD）。

STD偏重于中长期的研究，NPPD 则注重目前和短期计划执行。

黑客就在你身边警惕“渗透性社工”现象来源：比特网2012-09-21警惕“渗透性社工”现象社工也称义工，是指那些为社会提供无偿服务、自我奉献的自愿者，是社会文明的使者。

在2012年9月12日的中国信息安全大会上，信息安全专家宁家骏在“当前网络信息安全保障问题初探”演讲时，提到了“渗透性社工”一词。

其实，“渗透性社工”不是刚刚出现，但到目前为止，已经形成了相当的规模，“社工们”不仅在很多社交网络里盛行，而且发展趋势近乎指数性增长，其力量不可小视。

渗透性社工是指某些组织或个人，利用社交网络、开源社区召集乐于助人的“信息安全爱好者”，以交流技术为形式，建立松散的网络组织，开展渗透性入侵与攻击一类的活动，如收集信息，开发“特殊功能”的小工具，集中网络资源，发起DDOS攻击，组织APT入侵……这些爱好者或奉献者，就称为渗透性社工。

渗透性社工分为两类：一类是业余的，自己不知道参与的具体攻击事件，只是整个攻击行动中的一个小环节，挣不挣钱无所谓，只是参加技术实践;另一类则是职业的，专门从事“网络黑色产业链”业务的，他们有自己的组织与运作方式，以赢利为目的，可以实施渗透的组织与策划;说他们是社工有些不准确，应该是外包团队。

渗透性社工实际上是网络安全事件的“劳动力后备市场”，其性质与“网络水军”、“木马推广者”差不多。

渗透性社工出现的原因我们还记得曾经争论不休的“人肉搜索”吧，虚拟网络世界里的爱好者，他们的社会能量大得出奇，可以让一个普通人很快就火起来，可以让一个官员突然曝光而下台，可以让一个名人尴尬无语，可以让一个普通人寝食难安……这种乐于共享的互联网精神，曾经让很多人又爱又恨，其实，网络表达百姓的爱与恨本来是件好事，只是鱼龙混杂而已。

因此，这些网络“义工”为自己能提供对他人的“帮助”而沾沾自喜，就不足为奇了。

渗透性社工的存在，对组织入侵攻击提供了极大帮助，有正面的黑客大战，也有负面的大小姐木马传播。

这种现象，我认为这不是社工本身的问题，而是社会环境与制度造成的。

美国爱因斯坦计划技术分析1 爱因斯坦-11.1概述爱因斯坦计划1始于2003年，系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息，从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁，并更迅速地采取恰当的对策。

通过收集参与该计划的联邦政府机构的信息，US-CERT 能够建立和增强对美国网络空间态势感知的能力。

这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击，提高网络安全性，提升关键的电子政务服务的弹性，增强Internet的可生存性。

1.2动因爱因斯坦1计划的最根本动因就在于美国联邦机构各自都有自己的互联网出口，这种各自为战的情形使得联邦政府整体安全性难以得到保障，也无法获悉整个联邦政府的安全态势，不利于相互之间的信息共享、信息安全的协同。

1.3 收益原来US-CERT更多的是分享弱点信息，而通过爱因斯坦1计划，则能够从更多的方面帮助联邦政府，这些方面包括：1）蠕虫检测：尤其是可以形成一幅跨政府部门的蠕虫攻击图；2）异常行为检测：通过跨政府部门的带内和带外的异常行为分析，能够更加全面的分析异常行为，并对其它部门提供预警信息和攻击线索；这个功能是爱因斯坦计划1 的核心；3）配置管理建议：通过爱因斯坦计划，US-CERT能够为联邦政府机构提供更有价值的配置管理建议；4）趋势分析：帮助联邦政府从整体上了解政府网络的健康度。

1.4技术分析爱因斯坦1的技术本质是基于流量的分析技术（DFI）来进行异常行为的检测与总体趋势分析，具体的说就是基于*Flow数据的DFI技术。

这里的*Flow最典型的一种就是NetFlow，此外还有sFlow，jFlow，IPFIX等等。

US-CERT通过采集各个联邦政府机构的这些Flow信息，进行分析，获悉网络态势。

爱因斯坦1通过采集Flow信息，获得的数据包括以下几个部分：1）ASN自治域号2）ICMP类型/代号3）流字节长度4）TCP/IP协议类型5）传感器编号：整个系统将在参与的联邦政府机构的网络中部署Flow采集传感器6）传感器状态7）源IP地址（IPv4）8）目的IP地址（IPv4）9）源端口10）目的端口11） TCP标志位信息12）时间戳13）持续时间1.5系统工作流程1）各联邦机构通过部署传感器采集Flow数据，然后在本地进行一次分析，仅将关键的分析结果或者必要的信息传递给US-CERT，确保传输数据量受控；2）US-CERT的分析师对传上来的数据进行二次分析，3）如果发现了可疑的行为或者其他异常，US-CERT分析师将与信息来源方联邦机构取得联系，一起检查与此可疑行为有关的其他网络行为；4）除了分析潜在的异常行为，US-CERT还将为联邦机构提供配置管理的设置建议。

全球网络空间治理概论_复旦大学中国大学mooc课后章节答案期末考试题库2023年1.从2014年到2018年，乌镇世界互联网大会连续举办了（）届参考答案:52.国际电信联盟于1865年在（）成立参考答案:巴黎3.2010年的UNGGE专家组报告确认（）领域现有和潜在的威胁是21世纪最严峻的挑战之一。

参考答案:信息安全4.网络的本质在于互联，信息的价值在于互通参考答案:正确5.联合国信息世界峰会的英文缩写是ITU参考答案:错误6.UNGGE自身组织形式不存在任何缺陷参考答案:错误7.根据媒体报道，美国对伊朗铀浓缩工厂使用的网路武器名为（）参考答案:震网8.网络存储信息的（）、（）、（）以及可靠性也纳入网络安全（CyberSecurity）的框架内参考答案:真实性_不可抵赖性_可核实性9.没有（）就没有国家安全，没有信息化就没有现代化。

这是2014年2月27日，习总书记在讲话中做出的明确指示参考答案:网络安全10.2010年5月21日，美军网络司令部在马里兰州米德堡基地正式宣告成立参考答案:正确11.（）、（）和（）个人数据的问题不断出现，对个人隐私甚至社会稳定造成威胁参考答案:滥用_泄露_窃取12.美军网络作战力量仍呈现出一种集中式的结构参考答案:错误13.对私营部门来说，其在全球网络空间治理中的地位，主要取决于对互联网赖以存在的关键（）与标准的掌控参考答案:技术14.除了价值、规制、主体、客体之外，（）也属于全球治理的核心要素。

参考答案:效果15.全球市民社会是指存在于（）和市场之间的各种非政府组织和社会运动。

参考答案:国家16.私营部门主要依据（）和企业自调节进行治理参考答案:行业自调节17.IntelCPU 被暴什么漏洞影响全球？参考答案:底层漏洞18.全球治理是一个怎样的过程参考答案:持续19.国际事务的主要治理方式是（）通过谈判制定国际规则。

参考答案:国家政府间20.全球网络空间治理的模式争论，是“（）”和联合国主导下的“政府主导型”模式的争论参考答案:多利益攸关方模式21.2015年4月美国国防部《网络战略》从军事上消除了（）和现实空间的界限参考答案:网络空间22.（）、公司、国家等都从获得或暴露隐私信息获利参考答案:个体23.防御前置、有效网络威慑，是英国国防部发展处的作战术语和作战理念参考答案:错误24.国家主权实在论认为国家主权是一种客观存在，是对客观存在理论抽象和描述参考答案:正确25.属于中国网络空间利益诉求的是（）和（）参考答案:经济繁荣_政治安全26.信息社会世界峰会进程（WSIS）属于（）框架下/政府间的国际会议机制。

美政府“国家网络安全综合计划（CNCI）”揭开神秘面纱US Government Unveiled the Mysteries of the ComprehensiveNational Cybersecurity Initiative (CNCI)中国信息安全认证中心陈晓桦，左晓栋China Information Security Certification Center, Chen Xiaohua, Zuo Xiaodong一、引言2008年1月，时任美国总统布什发布了一项重大信息安全政策，称为第54 号国家安全总统令（NSPD54），同时也是第23 号国土安全总统令（HSPD23），其核心是国家网络安全综合计划（CNCI，Comprehensive National Cybersecurity Initiative）。

CNCI是美国政府对重大信息安全行动做出的总体部署，被美国一些媒体称为信息安全的“曼哈顿计划”。

这个计划早在2007年便已提出，通过NSPD54/HSPD23上升为强制性的政府命令。

CNCI十分敏感，被以国家安全的原因列为高度机密。

其预算也对外界讳莫如深，但美国国内很多分析家认为，CNCI在若干年内的预算可能达到400亿美元。

而据媒体报道，布什在2009财年情报预算中的最大单笔预算请求便是为支持CNCI；在2010财年，仅国土安全部（DHS）的CNCI 项目预算便有3.34亿美元；最近的2011财年预算报道则透露出，美国政府在下一财年为CNCI提出的预算请求为36亿美元。

CNCI甫一出台便引起了广泛关注，但各界均对这一计划对外保密持批评态度。

舆论普遍认为，信息安全行动需要政府和私营部门的密切合作，需要所有人的共同努力，且政府的信息安全行动往往涉及到监控及与之有关的公民隐私保护等问题，因而将这一计划保密的做法十分不妥。

2008年6月，参议院国土安全和政府事务委员会致函国土安全部，要求了解CNCI的细节信息以及国土安全部在CNCI中的角色。

态势感知是什么？态势感知的概念最早是由美国空军提出，是为提升空战能力，分析空战环境信息、快速判断当前及未来形势，以作出正确反应而进行的研究探索。

上世纪90年代这个概念被引入了信息安全领域，最知名的2003年开始的美国的爱因斯坦计划（正式名称国家网络空间安全保护系统The National Cybersecurity Protection System），2013年已经开始第三期的建设，美国CERT及后续DHS（国土安全部）对态势感知进行了不断探索。

美国国家安全系统委员会对态势感知的定义是：“在一定的时间和空间范围内，企业的安全态势及其威胁环境的感知。

理解这两者的含义以及意味的风险，并对他们未来的状态进行预测。

”态势感知是偏重于检测和响应分析能力的建设，这确实是现实最迫切的安全需要。

为什么需要态势感知？面对新的安全形势，传统安全体系遭遇瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

从美国对爱因斯坦计划的持续不断投入，可以看到网络空间安全的态势感知，对于国家、行业有多么重要的意义。

我国的网络安全形势非常严峻，截止2016年底，仅360公司就累计监测到针对中国境内目标发动攻击的APT组织36个，最近仍处于活跃状态的APT组织至少有13个，这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设施的行业／企业。

今年爆发的WannaCry勒索蠕虫，更让我们看到了网络武器民用化之后可能造成的巨大灾害。

从现实中的网络安全建设看，多年来我们一直偏重于架构安全（漏洞管理、系统加固、安全域划分等）和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，也遇到发展瓶颈。

简单通过购买更多的安全设备已经不能使安全能力有提升，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。

在之前建立了一定自动化防御能力的基础上，开始增加在非特征技术检测能力上的投入，以及事件响应分析能力的建设；并通过对事件的深度分析及信息情报共享，建立预测预警并针对性改善安全系统，最终达到有效检测、防御新型攻击威胁之目的。

美国网络空间攻击与主动防御能力解析——美国网络空间攻
击支撑体系
佚名
【期刊名称】《网信军民融合》
【年(卷),期】2018(000)003
【摘要】上一期中,我们对美国网络空间安全主动防御体系进行了分析,包括''''爱因斯坦''''计划的三个不同阶段和积极防御(在上一期中被称为''''主动防御'''',但是由于该词在杀毒领域已有使用,容易引起歧义,因此在这里我们使用跟接近军事意义的''''积极防御'''',意为分析人员对处于所防御网络内的威胁进行监控、响应、学习和应用知识的过程)系统TUTELAGE,展现了美国通过不断建设和演进,形成了一套具有完备有效的感知能力、积极防御及反制能力的
【总页数】2页(P61-62)
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.美国网络空间攻击与主动防御能力解析——美国网络空间安全主动防御体系[J], ;
2.美国网络空间攻击与主动防御能力解析——美国网络空间攻击装备体系 [J], ;
3.美国网络空间攻击与主动防御能力解析——用于漏洞利用的网空攻击装备 [J], ;
4.美国网络空间攻击与主动防御能力解析——用于突破物理隔离的网空攻击装备
[J], ;
5.美国网络空间攻击与主动防御能力解析——美国网络空间的能力演进 [J], ;因版权原因，仅展示原文概要，查看原文内容请购买。

态势感知研究和应用现状0、定义0.1态势感知“态势感知”这个词最早源于军事。

美国研发的各类导弹预警系统，就是这个概念最初的应用。

公认的态势感知概念是：在特定时空下，对动态环境中各元素或对象的感知、理解以及对未来状态的预测。

0.2网络态势网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

0.3网络态势感知网络态势感知则是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势。

网络态势感知中的感知、理解和预测元素能有效追踪、分析并提供有关新兴威胁、威胁攻击者、漏洞和恶意软件有关的可操作情报。

[3]态势是一种状态、一种趋势，是整体和全局的概念，任何单一的情况或状态都不能称之为态势。

因此对态势的理解特别强调环境性、动态性和整体性，环境性是指态势感知的应用环境是在一个较大的范围内具有一定规模的网络；动态性是态势随时间不断变化，态势信息不仅包括过去和当前的状态，还要对未来的趋势做出预测；整体性是态势各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其他网络实体的状态，进而影响整个网络的态势。

0.4网络安全态势感知网络安全态势感知就是利用数据融合、数据挖掘、智能分析和可视化等技术，直观显示网络环境的实时安全状况，为网络安全提供保障。

借助网络安全态势感知，网络监管人员可以及时了解网络的状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况，对发起攻击的网络采取有效措施；网络用户可以清楚地掌握所在网络的安全状态和趋势，做好相应的防范准备，避免和减少网络中病毒和恶意攻击带来的损失；应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势，为制定有预见性的应急预案提供基础。

[7]0.5深度态势感知深度态势感知的含义是“对态势感知的感知，是一种人机智慧，既包括了人的智慧，也融合了机器的智能（人工智能）”,是能指+所指，既涉及事物的属性（能指、感觉）又关联它们之间的关系（所指、知觉），既能够理解弦外之音，也能够明白言外之意。