隨著網絡威脅的不斷增加，企業網絡需要建設穩健、可靠、可信的網絡安全環境，以應對不斷變化的網絡安全挑戰，提高企業的安全韌性。同時，企業高層和運維管理人員需要對安全態勢的不斷監控和評估，并采取相應的措施和策略。

網絡攻防形勢升級驅動態勢感知變革

網絡態勢感知產品可通過掌握網絡安全狀態，發現安全風險，并進行展示、監測和預警。而面對不斷變化的網絡形勢，網絡態勢感知還需要滿足快速應對網絡攻擊、靈活適應網絡環境、高效運維網絡安全建設等要求。

1.網絡態勢感知需要快速應對網絡攻擊

在網絡安全威脅不斷演變和進化的情況下，企業需要有一套能夠及時掌握網絡整體安全態勢的系統，建立起全面、快速、準確的安全事件響應機制。這就要求網絡態勢感知能夠具備感知、評估、預警、響應等環節，從而不斷升級和提高企業網絡安全防御的能力。

2.網絡態勢感知需要靈活適應網絡環境

網絡態勢感知需要靈活適應網絡環境的變化，以確保安全事件能夠在最短時間內得到響應和處理。網絡環境是動態變化的，包括網絡拓撲、入網設備、網絡應用、流通數據等，網絡安全態勢也是時刻變化的，同時，不同的行業屬性環境其網絡結構也存在差異。因此網絡態勢感知需要根據變化的網絡環境靈活采集和分析，快速適應網絡環境的變化。

3.網絡態勢感知需要高效運維網絡安全

保障企業網絡的穩健、可靠、可信，安全運營人員責任重大，他們需要兼顧大量的業務系統、網絡設備、安全設備的運維工作和安全告警處置工作，必須做到高效運維，高效處置事件。同時，也要應對未知威脅、潛在威脅。因此，安全運營人員需要一個準確易用的集中運營管理平臺，提高業務連續性。

威努特態勢分析與安全運營管理平臺

智能應對多變的網絡風險

威努特態勢分析與安全運營管理平臺(簡稱威努特SASOC)是威努特結合多年網絡安全攻防和運維實踐，推出的一款監測運維類態勢感知產品。平臺以風險管理為中心，通過大數據引擎關聯分析資產、威脅、脆弱性三要素，為安全運維決策提供建議和幫助，實現動態靈活的安全態勢，打造一站式安全運營中心，助力企業提高安全韌性和業務連續性。

威努特SASOC，是網絡安全大腦，也是提供風險評估和應急響應的決策支撐的安全運維工具。威努特SASOC通過集中管控網絡安全設備、網絡通訊設備，收集多元異構的海量日志，利用關聯分析、機器學習、威脅情報等技術，為安全運營人員提供事前風險排查、事中安全監測、事后追蹤溯源的一站式安全運營服務。

威努特SASOC客戶價值

威努特SASOC產品是一款運維監測態勢感知，除了滿足合規要求，可以真正幫助客戶高效運維，提高安全防御能力，實現高效安全事件處置。

資產拓撲可控可視

通過刻畫資產畫像、訪問關系、策略、安全狀態等信息，將資產可視化表達，解決入網資產失控，邊界模糊等難題。

威脅漏洞可視可溯

針對漏洞、威脅，攻擊、違規行為統計、分析，通過拓撲、地圖等可視化展示。同時，對攻擊路徑解析，對攻擊鏈溯源，從而為處置風險提供依據，提高系統韌性。

減輕海量告警疲勞

對海量單點安全事件進行合并、去重、范化、分級、關聯分析，大幅降低誤告警數量，提高事件處置響應處置速度。

多維提升運維效率

提供資產統一管理、策略統一配置、日志統一收集、告警統一分析，威脅統一展示等多維度的便捷運維功能。

滿足安全合規要求

GB/T 22239-2019《信息安全技術 網絡安全等級保護基本要求》中要求對企業的區域邊界、通信網絡和計算環境進行統一管理，構建“一個中心、三重防護”的安防體系。

《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》中要求“采用自動化機制對關鍵業務所涉及的信息系統的所有監測信息進行整合分析，以便及時關聯、分析關鍵信息基礎設施的網絡安全態勢。”

威努特SASOC產品特色

豐富的安全知識庫，夯實安全分析基礎

系統內置多種安全知識庫為更高階的安全事件關聯分析提供數據基礎：

1.內置千種工控系統常見漏洞，通過無損掃描，在識別資產的同時，自動發現工控設備漏洞，并提供專業的漏洞修補解決方案。

2.內置威脅情報庫，覆蓋APT、惡意軟件、惡意域名、惡意IP、釣魚網站等多種類型的情報信息，高效識別惡意威脅。

3.內置處置建議庫，根據實際場景自定義告警處置建議，方便指導管理員根據實際情況進行告警處置。

4.內置合規分析模板庫，結合國家標準和行業標準，詳細解釋每一條的要求和檢查標準，方便管理員以此為依據進行等保合規排查。

多年網絡攻防經驗，打造場景化安全態勢

通過多年積累，場景化關聯分析資產上報的漏洞、威脅、告警等，打造更貼合用戶視角的安全態勢。

特別是工業場景下的工控態勢，工業環境在組網部署、業務模型、通信協議、安全策略等方面有別與傳統網絡環境，威努特在工控領域經過多年積累，能夠分析工業環境的惡意軟件、異常指令和失陷主機等，發現失陷業務，阻斷攻擊下鉆、挖掘潛在的業務異常情況，形成工控態勢。

智能關聯分析引擎，全面告警降噪

通過智能分析引擎，實時關聯分析，迅速識別安全威脅。系統內置超過100條關聯分析規則，對海量告警和訊息進行去重、分組、合并、繼承，降低誤報數據，提高告警可用性。站在安全視角，關聯分析可分為如下幾類：

1.基于規則的關聯分析：是將可疑的活動場景(暗示某潛在安全攻擊行為的一系列安全事件序列)加以預先定義，系統能夠根椐定義的關聯性規則表達式，對收集到的事件進行檢查，確定該事件是否和特定的規則匹配。系統應內置規則庫對安全事件進行分析和監控。

2.基于統計的關聯分析：參照國家相關標準，定義安全事件類別，對每個類別的事件設定一個合理的閥值，將出現的事件先歸類，然后進行緩存和計數，當在某一段時間內，計數達到閥值，可以產生一個級別更高的安全事件。

3.基于資產的關聯分析，安全事件能夠自動根據IP地址與資產進行關聯。

4.基于漏洞的關聯分析，資產存在漏洞，安全事件利用漏洞，通過將兩者的漏洞集合關聯，可以剔除虛假告警。

多層次資產信息刻畫，徹底摸清家底

采用無損探測技術，識別發現網絡中的資產信息，同時，匹配內置資產指紋庫，包括西門子、施耐德、羅克韋爾工控設備指紋，傳統網絡安全設備和通訊設備指紋，大大提高資產刻畫效率和準確度。

最終形成多維度資產畫像，包括：

基本信息：設備名稱、IP、MAC、類型、操作系統、廠商、區域等信息。

運行狀態：CPU利用率、內存利用率、硬盤利用率、網口狀態和流量信息等。

告警信息：資產當前相關的告警列表。

漏洞信息：資產當前相關的漏洞列表。

配置信息：資產當前的配置信息，識別不合規不安全的配置項。

端口服務：資產當前開啟的監聽端口和服務信息，識別高危端口。

訪問關系：資產當前和網絡中其他設備的通訊關系，識別非法連接。

事件規律深入挖掘，發現隱匿威脅

系統內置事件挖掘算法，可根據事件時間、屬性、趨勢等發現隱匿威脅，預警網絡風險。

1.關聯事件挖掘

系統內置事件挖掘算法，結合安全事件的實際發生場景，去除噪音，從序列數據中找出全部頻繁序列模式，從而發現安全事件之間的關聯關系。

2.時間周期挖掘

系統對時間序列進行傅里葉變換，即時域頻域轉換，得到時間序列周期估計值。使用ACF(Auto-Correlation Function)算法計算對應周期的ACF自相關系數，取自相關系數最大且強相關的周期估計值，從而獲得安全事件序列的周期特征，根據周期性進行預測和預判。

3.事件趨勢預測

系統采用自回歸移動平均模型ARMA(Auto Regressive Moving Average)進行趨勢預測。根據特征提取后的網絡流量數據進行模型建立過程，通過數據預處理、時間序列分解、模式識別、ARMA模型訓練、模型評價等過程，最終輸出訓練好的模型，根據該模型進行時間序列的趨勢預測和異常點檢測。

一站式安全運維，全面提升運維效率

作為安全管理的統一入口，實現從設備狀態監控、安全策略配置和下發、軟件升級和授權、安全事件收集和處置，支持內網多區域管理及跨地域級聯管理，解決多種安全設備帶來的安全管理分散問題，顯著提升日常安全運維效率。

1.設備狀態監控

實時監測系統運行狀態和安全狀態，基于可視化拓撲實時展示設備信息、日志信息、告警信息、運行信息。

2.安全策略自學習

支持工業協議白名單策略自學習，基于網絡流量自動生成白名單策略，解決白名單策略配置難題，同時支持從收集到的安全事件自動提取安全策略，解決業務系統配置變化，安全策略不能實時調整難題。

3.行業策略模板

內置電力、軌道交通、核電等行業主機安全防護策略模板，一鍵式批量下發主機安全防護策略。

4.設備級聯管理

對于大型集團企業，往往存在多個大規模局域網，或者跨地域廣域網，需要部署多臺安全管理平臺，由于地域分散，安全管理員不能及時了解下級節點的安全狀況并調整安全策略，級聯管理能夠匯總同步下級節點的策略和安全數據，同時能夠從上級節點實現安全策略的配置和下發。