网络安全态势感知研究综述

Posted 2023-04-02 张志龙

摘要：随着物联网、云计算和数字化的迅速发展，传统网络安全防护技术无法应对复杂的网络威胁。网络安全态势感知能够全面的对网络中各种活动进行辨识、理解和预测。首先分别对态势感知和网络安全态势感知的定义进行了归纳整理，介绍了网络安全态势感知的发展历程和关键技术，最后进行了总结。

1引言

今年来，随着物联网、云计算、大数据和数字化等的迅速发展。各企业都部署了网络设施，网络规模日益扩大，拓扑结构日益复杂，网络安全管理的复杂性日益提高，难度也不断增大。各种检测技术也相继出现，如入侵检测技术、恶意代码检测技术等，然而这些技术都是从某一个角度去发现网络中的问题，没有考虑关联性，无法全面且及时的找到网络中的威胁并能预测到可能受到的威胁。网络安全态势感知（Cyberspace Security Situation Awareness）研究成为近几年来的一个热门的研究领域，它对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及对未来短期的发展趋势的预测。

2 研究目的

1. 新型网络面临多层次的安全威胁

随着信息化和数字化的发展，网络安全形势越来越严峻。从网络设备、传感节点、移动终端、工控设备等基础设施到应用层面临各种各样的威胁。在网络控制层，面临IP地址欺骗、DDoS攻击、控制与数据平面分离以及后门和隐蔽通道。 在应用层，面临木马、蠕虫、病毒等威胁，系统面临APT攻击等。由于政府和大型企业的关键信息基础设施和重要数字系统具有高价值的、大量的数据，往往被黑客组织采用高级持续性威胁（Advanced Persistent Threat，APT）技术攻击。APT攻击针对特定的目标，进行长期的有计划有组织地窃取数据和信息，通常攻击方式隐蔽，且攻击周期可能长达数年，网络安全人员很难发现。

2. 传统安全技术不适用新型威胁

传统的安全防护仅仅依靠部署于边界或特殊节点的防火墙、入侵检测系统（intrusion detection system，IDS）、入侵防御系统（intrusionprevention system, IPS）等安全设备的进行的静态检测。被动式防御已不再适用于高级持续性威胁、0day攻击等新型网络威胁的防护。从目前的技术来看，现有的安全防御措施无法有效解决网络安全问题，亟需对传统的安全防御方法进行优化和改进，形成全面的，能应对多样化和持续化威胁的安全体系。

本文从网络态势感知的定义、主要技术和应用领域进行归纳总结，为安全领域相关研究人员提供参考。本文主要工作如下：

3. 对网络安全态势感知相关定义和模型进行梳理。

4. 对网络安全态势感知的研究进展进行了归纳总结。

5. 对网络安全态势感知关键技术进行了分析。

6. 展望未来的研究趋势。

3 网络安全态势感知的相关概念

态势感知的概念首先由美国空军为了分析空战环境信息、快速判断当前及未来形势，以作出正确反应进而提升空战能力而进行的研究。1988年，Endsley提出态势感知的基本概念，即“在一定的时空范围内，认知、理解环境因素，并且对未来的发展趋势进行预测”[1]，提出三层模型（如图1所示）：态势要素提取、态势理解和态势预测。1999年，Bass首次提出网络安全态势感知的概念，并且指出“基于融合的网络态势感知”必将成为网络管理的发展方向[2]。网络态势是指由各种网络设备的运行状况、网络行为已经应用软件行为等因素所构成的整个网络的当前状态和变化趋势。

与态势感知一样，网络安全态势感知同样包括三个层次：网络态势要素提取，网络态势理解和网络态势预测。网络态势要素提取通过采集各种网络设备、传感节点等的数据及网络要素，为后续态势分析和预测提供数据基础。网络态势理解主要利用提取的数据，对其进行分析评估当前的网络安全状况。网络态势预测则研判网络安全状态在未来的变化趋势，做到提前应对。

图1 Endsley态势感知模型

4 研究进展

网络安全态势感知首先要收集网络中的数据，进行数据融合，在此基础上建立网络态势感知模型。数据融合是将来自多个信息源的数据收集起来，进行关联、提取，组合和分析。从学者开始研究态势感知以来，经过几十年的发展，态势感知态势以数据融合为中心，提出了几十种网络态势感知模型。主要有Boyd控制模型即OODA控制循环模型[3]、JDL数据融合模型[3]等，后来一些学者在JDL数据融合模型的基础上进行改进，发展出新的一些改进型模型，如Tadda等人提出的Cyber SA模型[4] 、龚正虎等人提出的CSA研究模型[5]。其中有名的是Boyd控制模型（OODA模型），OODA控制循环模型由观察、导向、决策和行动这4个阶段构成一个控制过程环（如图2所示）。OODA模型完整地展示了态势感知的动态执行过程，该模型的循环结构和动态协作能适应复杂的网络空间的态势感知。影响范围最广的是JDL（Joint Directors of Laboratories）数据融合模型。JDL模型分为4个层次：目标细化、态势细化、风险细化、过程细化[3]。态势感知作为第二层次融合，向下从第一层次融合接收网络元素的数据，作为态势感知的信息来源；向上为第三层次提供态势信息，用于威胁分析和决策支持。Tadda等人提出的Cyber SA模型包含日志、配置、任务、攻击、入侵尝试等网络元素，体现出网络的特点。龚正虎等人提出的CSA模型突出动态循环、不断细化的本质，强调反馈的重要作用。

图2 OODA控制模型

在2006年之后，有关网络态势感知的模型已经比较完善，相关研究也没有新的显著的进展，态势理解和态势预测作为网络态势感知的重要环节，许多人对这些方面进行更深入的研究。而态势评估作为态势理解的核心，占有重要地位和作用。所谓态势评估，是指通过汇总、过滤和关联分析网络设备产生的安全事件，建立合适的模型，对网络系统整体上受到的威胁进行评估，从而分析出网络遭受攻击所处阶段，全面掌握网络整体的安全状况。评估方法分成三类：（1）基于数学模型的方法（2）基于知识推理的方法（3）基于模式识别的方法[5]。

基于数学模型的方法以层次分析法、集对分析法、模糊综合分析法、距离偏差法等方法为代表，建立安全指标集与安全态势的对应关系。其缺点是变量的定义涉及的主观因素较多，缺少客观统一的标准，得出的态势感知结果有差别。

基于知识推理的方法是以模糊推理、贝叶斯网络、马尔可夫过程、D-S证据理论[6]等为代表，通过逻辑推理方式对安全态势进行评估。贝叶斯网络时态势评估研究中使用最多的一种方法，迎合态势评估动态、不确定性等特点，引入动态贝叶斯网络进行关于时间的概率推理[7]。从实际应用来看，该类方法对知识的获取途径仍然比较单一，主要依靠专家知识库。专家知识库主要靠经验的累积，其缺点是大量的规则和知识占据了大量空间，而且推理过程也越来越复杂，很难应用到大规模网络中进行评估。

基于模式识别的方法是通过机器学习建立态势模板，经过模式匹配完成对态势的划分，主要有灰色关联分析、粗集理论、神经网络和支持向量机等为代表，利用训练的方法建立模型，然后基于模式的分类来对网络安全态势进行评估。该方法优点是学习能力好，模型建立较为准确，缺点是计算量大，建模时间长。随着芯片和计算技术的发展，计算能力越来越强，机器学习方法得到越来越多学者的关注。

5 网络安全态势感知的关键技术

5.1 基于大数据技术的态势感知

随着网络空间高速发展，数据量激增，安全的整体状况难以描述。而对大数据的处理技术也随之成熟，网络安全态势感知技术逐渐有了新的发展方向，大数据技术特有的海量存储、并行计算、高效查询等特点为大规模网络安全态势感知的关键技术创造了基础。实际的平台架构主要由威胁数据的采集与存储、大数据智能挖掘与分析等构成。文献[8-11]对基于大数据技术的网络安全态势感知进行了研究。另外，大数据技术应用到安全可视分析、用户行为分析中，形成大数据交互式可视分析、用户实体行为分析、网络行为分析等一系列大数据安全分析研究分支，以应对当前的网络安全挑战[8]。

5.2 基于机器学习的态势感知技术

随着机器学习技术的不断拓展和深入，机器学习技术变得越来越成熟，已经在各个领域中得到广泛应用。基于机器学习的态势感知技术也越来越得到人们的重视。机器学习的目的是通过数据训练计算机，使得计算机能够在未来做出改进的决策。机器学习分为有监督学习和无监督学习。在监督学习的数据集中，所有的训练和测试数据都被赋予一个标签值，通过机器学习算法来学习和预测未知数据的标签。在无监督学习中，数据没有标签，需要机器学习算法来找出数据的模式和预测未知数据。谢丽霞设计了一种基于BP(backpropagation)神经网络的网络安全态势评估方法，并且提出一种基于RBF（radical basis function）神经网络的网络安全态势预测方法[13]。刘延华提出一种结合 SMOTE-SVM 算法和 XGBoost 算法的数据分类模型[12]。白云鹏提出一种基于注意力机制卷积神经网的网络安全态势感知研究方法，利用卷积网络权值共享和局部连接特性，减少模型开销，卷积神经网络可以自动提取模型特征而无需人工[14]。文献[15-20]都从神经网络的角度对网络态势感知进行研究。

6 结论

网络安全态势感知包括网络安全态势提取、网络安全态势理解和网络安全预测三个层面，是一个完整的认知过程。尽管该方向的研究已经得到较长时间的关注，但仍未形成完整的、明确一致的目标和体系。新的技术仍在不断发展。大数据技术和机器学习技术在快速发展，对网络安全态势感知的技术发展起到良好的作用。而基于神经网络的网络安全态势感知技术是目前最有前途的方法之一。

参考文献

[1] Endsley MR.Design and evaluation for situation awareness enhancement[C]//Proceedings ofthe Human Factors Society Annual Meeting.Los Angeles，CA：Sage Publications，1988：97-101

[2] Bass T，Gruber D.A glimpse into the future ofid[J].Magazine of Usenix & Sage，1999，24（4）：40-45.

[3] Hall D L，Llinas J.An introduction to multisensordata fusion[J].Proceedings of the IEEE，1997，85（1）：6-23.

[4] Tadda G,Salerno J, Boulwarea D, Hinmana M, Gorton S. Realizing situation awareness in acyber environment. In: Multisensor BV, ed. Proc. of the Multisource InformationFusion, SPIE Vol.6242. 2006. 1−8.

[5] 龚正虎,卓莹.网络态势感知研究.软件学报,2010,21(7):1605−1619.

[6] Shafer G. AMathematical Theory of Evidence. Princeton: Princeton University Press, 1976.

[7] Zhang Y, Ji Q,Loonet C. Active information fusion for decision making under uncertainty. In:Proc. of the ISIF. 2002. 643−650.

[8] 陈兴蜀, 曾雪梅, 王文贤, 等. 基于大数据的网络安全与情报分析[J/OL]. 工程科学与技术, 2017, 49(3): 1-12. DOI:10.15961/j.jsuese.201600352.

[9] 杨秉宇 . 基于大数据的网络安全态势感知关键技术研究[J]. 软件,2021,42(5):119-121.

[10] 王艳. 大数据技术的网络安全态势感知平台分析[J/OL]. 科技资讯, 2022, 20(17): 30-32. DOI:10.16661/j.cnki.1672-3791.2203-5042-6023.

[11] 叶青. 基于数据挖掘的网络安全态势感知研究[D/OL]. 南京邮电大学, 2019.

[12] 刘延华, 高晓玲, 朱敏琛, 等. 基于数据特征学习的网络安全数据分类方法研究[J]. 信息网络安全, 2019(10): 50-56.

[13] 谢丽霞, 王亚超, 于巾博. 基于神经网络的网络安全态势感知[J/OL]. 清华大学学报(自然科学版), 2013, 53(12): 1750-1760. DOI:10.16511/j.cnki.qhdxxb.2013.12.014.

[14] 白云鹏. 基于注意力机制卷积神经网络的网络安全态势感知研究[D/OL]. 河北师范大学, 2022.

[15] 孟锦,马驰,何加浪,张宏.基于 HHGA-RBF 神经网络的网络安全态势预测模型[J].计算机科学,2011,38(07):70-72.

[16] Lan W,XueL,Zhao Q.Prediction Method for Network Security Situation Based on GeneralizedRBF Neural Network[J].Command Information System andTechnology,2015,82(10):1329-1336.

[17] 陈维鹏,敖志刚,郭杰,等.基于改进的 BP 神经网络的网络空间态势感知系统安全评 估[J].计算机科学,2018,45(S2):335-337+351

[18] 任伟，蒋兴浩，孙锬锋.基于RBF神经网络的网络安全态势预测方法[J].计算机工程与应用,2006,(31): 136

[19] 王伟.基于深度学习的网络流量分类及异常检测方法研究[D].中国科学技术大学,2018

[20] 尤马彦，凌捷，郝彦军.基于Elman神经网络的网络安全态势预测方法[J].计算机科学,2012,第39卷(6): 61-63，76

新态势感知系列：从态势感知到全方位态势感知

新态势感知系列（1）：从态势感知到全方位态势感知

Last Modified @2017/9/16

 

1      引言

随着2016年的419讲话中提到要“全天候全方位感知网络安全态势”，在安全业界，“态势感知”骤然变成了热词。到现在，几乎所有的国内安全厂商都推出了各自的态势感知产品或者解决方案。

作为一名从事安全管理平台领域十几年的业内人士，本人早就开始接触态势感知这个词了。

早在2003年，我当时作为主要参与者参加了《多信息源智能化安全强审计系统》和《网络安全管理和预警防御系统》两个863项目，里面就对态势感知进行了研究，重点是将这个理论应用到安全管理平台（SOC）中去。从那时开始，我对态势感知的研究一直是围绕安管平台（SOC）展开的。

2010年，我还写过一篇题为《网络安全态势感知在安全管理平台中的应用研究》的文章在期刊上发表过，迄今被引用过10次，我的博客上有这个文章摘录，可以参阅（http://yepeng.blog.51cto.com/3101105/571109）。

我认为，在419之后，我们再谈态势感知，跟之前我们谈态势感知的背景、意义、目标就不一样了。从那时候开始，我又重新进行了一系列思考，也做了一些实践。从这个文章开始，我将我2016年初到现在一年多的思考做一个初步的总结，形成新态势感知系列，与大家一同探讨。

注：本人开通了微信订阅号，名为“专注安管平台”，欢迎扫码关注！

2      经典态势感知

其实，态势感知的理论早在80年代就基本成形了。到90年代末，态势感知被Tim Bass引入了网络与信息安全领域，并首先用于对下一代入侵检测系统的研究，出现了网络安全态势感知（Network Situation Awareness），或者安全态势感知（Security SituationAwareness）的概念。进入21实际，又出现了网络空间态势感知（Cyber Situational Awareness）的提法。

以下是有关安全领域的态势感知的几个经典定义。

定义1（Endsley，1995）：态势感知是指在一定时空条件下，对环境因素的获取、理解和对未来的预测。

定义2（美国国家科技委员会，2006）：网络空间态势感知是一种能力，用以达成四个目标：1）理解并可视化展现IT基础设施的当前状态，以及IT环境的防御姿态；2）识别出对于完成关键功能最重要的基础设施组件；3）解对手可能采取的破坏关键IT基础设施组件的行动；4）判定从哪里观察恶意行为的关键征兆。网络空间态势感知包括了对离散的传感器数据的归一化、一致化和关联，以及分析数据和展示分析结果的能力。态势感知是信息保障的内在组成部分。

摘自：美国网络空间安全与信息保障研发计划，2006

定义3（维基百科）：态势感知是指一定时间和空间内环境因素的获取，理解和对未来短期的预测。

定义4：所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。

定义5（Springer，2010）：网络空间（防御）态势感知涵盖态势识别、态势理解和态势预测三个阶段，并至少包括7个方面的内容：态势认知（situation perception）、攻击影响评估（impact assessment）、态势跟踪（situation tracking）、对手趋势和意图分析、态势因果关系与取证分析、态势信息质量评估、态势预测。

定义6（Gartner，2011）：态势感知是对威胁情报及资产漏洞信息的集成和分析，形成一幅对业务系统安全状态的准实时视图。包括四方面的能力：1）资产状态信息的收集——包括资产的配置状态、漏洞状态、连接情况和关键度；2）威胁行为信息的收集——包括外部威胁行为、用户行为、对手的信息，以及目标参数的风险级别；3）分析——支持风险估计、响应优先级划分、调查与即席查询；4）汇报——包括长期存储，以及预置和即席报表生成。

上面的这些定义都比较学术化和晦涩。在数年之前，我曾经提出过一个通俗地理解态势感知的四句话：

感：就好比人的形声闻味触，通过多种途径采集多种安全信息的过程，传感之意

知：就是对采集到安全要素信息进行理解、认知、研判，将信息变成知识和智慧的过程

态：目标系统当前的安全状态

势：目标系统的安全运行规律、动向，未来的安全走势

态势感知是一个过程，而绝不仅仅是一个可视化呈现。这个过程其实就是一个态势要素信息获取、分析、呈现、反馈的决策过程，也是态势从数据到信息再到知识和情报（洞察）的升华过程。

围绕经典的态势感知，在过去的十几年间，国内学术界已经进行了广泛深入的研究，在安全产业界也进行过不少探索和尝试，譬如我所负责的安管平台在10多年前就推出了态势感知功能模块。

那么，我们现在提态势感知，跟以前提态势感知有何不同呢？我认为，现在的态势感知是为了应对新形势下网络空间安全挑战提出来的。它不仅仅是一套技术，更是一个全新的安全建设思路、安全运作体系，体现了一系列安全防护体系构建思路的转变。

3      新态势感知

3.1    新形势、新挑战、新体系

当前网络与信息安全领域日新月异，正面临着全新的挑战。一方面，大智物移云等颠覆性的技术引入使得安全问题更加凸显，安全的攻击面更大，安全的重要性越发重要。另一方面，国家、企业和组织需要应对的网络空间安全攻击和威胁变得日益复杂和严峻，具有隐蔽性强、潜伏期长、持续性强的特点。当前我国网络安全产业正处于转型升级期。

现在，人们普遍形成了一个共识，就是：我们必须假定我们的网络已经遭受入侵。我们必须在这个假设前提上来构建全新的安全防护体系。安全防护体系的构建思想已经从过去的被动/消极防御逐步迈向主动/积极防护和智能/自适应防护，从单纯防御走向积极对抗，从独立防护走向协同防护。

419讲话中的态势感知就是在这样一个大背景下提出来的。并且在讲话中，提到“感知网络安全态势是最基本最基础的工作”。如何理解“最基本最基础”这六个字？一般的感觉都认为态势感知是高大上的东西，为何反倒成了最基本的能力了呢？

我个人认为，很重要的一点，就是国家希望构建态势感知体系来带动整个安全防护体系的技术转型升级。这种技术升级包括三个方面：

1）  安全建设的目标从注重合规转向更加注重对抗。对抗就强调要知己知彼，要应用安全情报；

2）  攻击检测技术从知所已知转向知所未知。譬如借助沙箱、异常分析、机器学习等技术；

3）  响应处置过程从看见看清转向快速闭环。强调应急响应、安全自动化，实现所谓安全弹性。

注意，上述转变升级不是后者取代前者的关系，而是叠加增强的关系！

3.2    国家对于态势感知的表述

在419后，国家把态势感知的建设放到了十分重要的位置。

在国务院2016年底发布的十三五国家信息化规划中，作为十大任务之一的“健全网络安全保障体系”中就明确提出要“全天候全方位感知网络安全态势”。

紧接着，工信部的《信息产业发展指南》2016-2020中，提出“建设基于骨干网的网络安全威胁监测处置平台，形成网络安全威胁监测、态势感知、应急处置、追踪溯源等能力”。

在2017年的217讲话中，又提出“要筑牢网络安全防线，提高网络安全保障水平，强化关键信息基础设施防护，加大核心技术研发力度和市场化引导，加强网络安全预警监测，确保大数据安全，实现全天候全方位感知和有效防护”。

透过这些信息至少看出来，态势感知已经成为国家工程。态势感知属于网络与信息安全保障体系的范畴，并且是关键和基本组成部分；态势感知技术与监测预警、应急响应、安全情报、大数据等技术密切相关；态势感知适用于多种网络环境，从骨干网、关键基础设施，到工业互联网和物联网，再到党政机关内部网络。

3.3    新态势感知

综上所述，本人提出了在新形势下对于态势感知的认识和理解，分为以下三个部分：

1）态势感知形形色色、不尽相同，但最重要的是“全天候全方位态势感知”

这里，“全天候”是指7×24持续不间断地对受保护网络进行监测和感知；“全方位”是指要从资产感知、运行感知、漏洞感知、威胁感知、攻击感知和风险感知6个维度去全面感知网络态势。

全天候包括了平时和战时，包括了日常安全运维和重大活动保障，包括了生产环境和办公环境。全方位包括了形成态势的6大类关键要素信息，也即获得全方位态势感知的6个基础数据。

资产感知是态势感知的基础，它首先界定了受保护网络的范围和内容，同时也为其它几个维度的感知提供了依据。在419讲话中，提到了要“摸清家底”，其中就包括要感知资产信息。譬如要知道受保护网络中都有哪些设备，责任人是谁，用了什么操作系统，安装了哪些软件和应用，什么版本，用到了哪些组件，打了哪些补丁，等等。

运行感知是指全面掌握受保护网络的运行状况，包括机房的运行状况、网络的运行状况、主机和设备的运行状况、应用和业务的运行状况、数据的存储和流转状况。这里的运行状况不仅包括可用性和性能、业务连续性，还包括运行的规律，譬如某个业务系统被访问的时间分布、协议分布、访问来源分布、访问量分布，等等。

漏洞感知顾名思义就是要掌握当受保护网络的漏洞情况，并维护所有资产漏洞的生命周期信息。419讲话中，反复提到“漏洞”，要求“找出漏洞”。通过漏洞感知，评估当前网络的暴露面，并结合现有防护措施，分析可能的攻击面和攻击路径，协助管理者提前进行安全布防，及时堵住安全漏洞，从而控制安全风险。

威胁感知是从攻击者的视角来分析当前受保护网络可能遭受的潜在危害，譬如：可能有哪些组织、利用什么僵尸网络和肉机，对我们的哪些资产，利用什么安全漏洞或者攻击手段，进行什么样的攻击和入侵，可能会留下什么痕迹，造成多么严重的后果。

攻击感知则是持续不断地收集当前网络中的攻防对抗数据，一方面实时展现当前网络中的攻防对抗实况，另一方面借助历史攻击信息分析潜藏的高危攻击行为和威胁信息，并协助安全分析师抽取高价值的威胁情报。

风险感知其实层次在前面五种感知之上。风险感知要综合前面五种感知的信息，进一步进行数据融合，从抽象的高度来评估当前网络的整体安全风险，譬如建立全网的安全风险指标体系。风险感知的所有感知的综合，正如419讲话中提到，“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”，要“认清风险”。

态势感知讲究的是“知己知彼，百战不殆”。而资产感知、运行感知、漏洞感知就是为了知己；威胁感知就是为了知彼。如果说知己是为了掌握我情，知彼是为了掌握敌情，那么攻击感知就是为了掌握战情。

上述6个维度的态势感知是相互依托，互为补充的。只有将这6个维度统一起来才能构建真正的全方位态势感知。

特别需要指出的是，威胁/攻击态势感知不等于全方位态势感知！网站态势感知也不是全方位态势感知！现在有些人提及的态势感知其实仅仅是威胁感知或者攻击感知，抑或是漏洞感知，还都仅仅是态势感知的某个方面（维度），而不能代表全部。有的人在阐述威胁感知的时候，也提到了全方位，强调从多种维度（譬如数据来源维度、检测技术维度）去感知攻击和威胁，但这还只能是威胁/攻击感知，而不是全方位态势感知。还有的人仅仅针对某类资产进行态势感知，譬如提出了所谓终端感知、网站态势感知，等等，也都是片面的态势感知，无法为管理者呈现一幅全方位的、融合所有安全要素的态势全景图。在后续文章中会专门加以阐述。

2）一个完整的态势感知系统实现必须是“平台+传感器+团队”三位一体

态势感知系统不仅仅是一个技术实现，也不仅仅是软件和硬件，他是一个系统工程，体现了各类安全设备和系统之间的机机协同，还包括人机协同。在这里，态势感知平台是整个系统运转的大脑，是数据融合中心、数据分析中心、决策指挥中心；态势感知传感器是获取全面安全要素信息的抓手和神经节点；态势感知支撑团队则是系统发挥实效的指挥官、决策者和关键保障；三者相互支撑、缺一不可。在当前条件下，安全的核心是对抗，对抗过程具有很大的不确定性，而对抗的背后本质上还是人与人之间的对抗。所以，人的参与必不可少。

3）态势感知是一个生态体系

网络安全的生存理论告诉我们，面对网络安全，没有人可以独善其身，也没有人可以单独为之，构建态势感知系统也不例外。它是一个复杂的系统工程，需要将各种安全技术、产品和能力连接到一起，形成一个生态系统。

态势感知系统必须是一个开放的系统：传感器要开放，要能支持各种类型、各种厂商的传感器；平台要开放，对下要能接入各种传感器信息，对上能够面向所有厂商提供各种分析和展示的接口，能够集成各种第三方的分析算法和展示界面；支撑团队要开放，通过SOP和规范化的交互式分析流程，使得各种符合标准规约的分析与运维团队都能参与到态势感知系统的运营中来。

4      小结

态势感知这个概念源于国外，传入国内后也经历了较长的时间，在419讲话后被赋予了新的内涵，外延也更加广泛。态势感知国内的重新兴起代表了国内数字时代安全防护理念的转型升级，给国内安全产业带了新的发展契机。

要真正实现全天候全方位的态势感知，就必须从态势感知的各种要素信息入手，从构成安全风险的各种要素信息入手，就必须要同时实现资产感知、运行感知、漏洞感知、威胁感知、攻击感知，以及在此之上的全面风险感知，并且所有的感知都必须是持续的、不间断的。态势感知不仅仅是看见，还包括决策和响应。有效的态势感知是要能够形成闭环的态势感知。

【参考】

具备安全态势感知能力的安全管理平台

本文出自 “专注安管平台” 博客，转载请与作者联系！