随着5G时代的到来，大数据、物联网、远程办公、云计算等技术日趋成熟，网络空间与现实世界的融合与渗透不断深化。与此同时，网络安全风险也日益严峻，DDos攻击、漏洞攻击、勒索软件等威胁持续对网络安全构成重大威胁。传统的网络安全防护手段逐渐失效，需构建网络主动安全防御体系，应对复杂、隐蔽、针对性强的攻击。

传统网络安全防护存在问题

传统的网络安全防护方法通常是基于黑白名单、签名和规则特征的安全威胁检测方法，由防火墙、WAF、IPS、交换机、VPN等一系列网络边界防护设备共同实现。在互联网发展初期，网络环境单一，攻击手段较差，因此此种防护能力比较扎实。

然而，传统的网络安全建设方案容易导致安全防御碎片化，无法协同工作并提供有效的整体安全防护，甚至导致安全运维复杂化。碎片化的安全防御产生的安全状态数据也将成为安全孤岛，难以协同共享，导致安全意识碎片化。只能看到碎片化的局部安全，无法形成统一的整体可视化。

同时，5G、物联网、云计算等技术变革带来的不断演变的互联网安全威胁和风险，尤其是互联网端高级持续性恶意攻击（APT攻击），零日漏洞等新的威胁，使得现有的网络安全防御体系无法满足企业对网络安全的真实需求。

在当今网络复杂、网络薄弱环节众多的情况下，单纯采用传统的安全防护设备和边界阻断措施，网络安全防护存在诸多问题，导致攻防两端严重不对称。

何如构建网络安全主动防御体系

1、全局安全可视化

通过全流量分析、多维度有效数据采集和智能分析能力，实时监控全网安全态势、内部横向威胁态势、业务外联风险和服务器风险漏洞等，让网络安全管理员清晰地感知整个网络。是否安全、具体弱点、攻击入口点等，围绕攻击链，形成一套基于“预检、分析、检测”的安全能力。

2、大数据分析与检索能力

主动防御情报平台基于实时大数据框架，结合弹性搜索引擎，对网络产生的TB级别海量数据进行存储、关联分析，并通过集群、分布式计算实现万亿级数据的超大规模数据管理和秒级查询能力。

3、实时监控，精准预警

通过对全网流量、主机日志和第三方日志的采集和分析，7*24小时全天候访问已知威胁（僵尸蠕虫、异常流量、业务漏洞等）和未知威胁（网络僵尸、APT、零日漏洞等）实时监控，结合智能分析和可人工干预的便捷运维支持，对发现的威胁进行精准预警，简化运维，有效通知预警。

4、阻断风险扩散，助力闭环

主动防御情报平台以网络中的传统安全设备为基础组成部分，不仅作为安全数据采集的来源，而且当重要的安全事件发生或风险在内部蔓延时，还可以通过联动进行阻断、控制，避免影响扩大。联动方式涉及网络阻断、上网管理、终端安全查杀等，可有效提升网络的主动安全能力。

5、威胁证明和影响评估

网络安全主动防御系统将以IP资产类型划分，区分业务安全和终端安全维度展示不同类型的危害情况，结合网络中业务资产的侧重点和详细的攻击内容举证、多维度潜伏威胁，评估威胁影响面及受损情况。

6、追踪溯源支撑

基于来自全流量和第三方日志（中间件、操作系统、安全设备等）的有效数据，实时提取关键元数据进行相关威胁分析和追溯，并进行元数据持续存储。同时，基于流量可视化、潜在威胁检测、威胁攻击链可视化、统一检索、大数据能力等技术，将数据形成跟踪追溯系统，为主动网络安全提供追溯能力。

网络安全主动防御系统是由多种技术组成，也是一种能够实现网络安全主动防御功能的技术体系。以应对当前5G智能大数据时代所面临的安全形势，从预测、防御、检测、响应等多个维度进行安全形势研判。