一、基本概念

前美國空軍首席科學家Endsley博士給出的動態環境中態勢感知的通用定義是:

態勢感知是感知大量的時間和空間中的環境要素，理解它們的意義，并預測它們在不久將來的狀態。

在這個定義中，我們可以提煉出態勢感知的三個要素：感知、理解、預測。并且這三個要素存在著層次上的遞進關系：

感知：感知和獲取環境中的重要線索和元素；

理解：整合感知到的數據和信息，分析其相關性；

預測：基于對環境信息的感知和理解，預測相關知識在未來的發展趨勢。

對應到網絡安全領域，我們可以給網絡安全態勢感知一個基本的描述：

網絡安全態勢感知是綜合分析網絡安全要素，評估網絡安全狀況，預測其發展趨勢，并以可視化的方式展現給用戶。

其對應的過程也可以分解為以下四個：

數據采集： 通過各種檢測工具，對影響系統安全性的要素進行檢測采集獲取，這一步是態勢感知的前提。

態勢理解： 對采集到的數據使用分類、歸并、關聯分析等手段進行處理融合，對融合的信息進行綜合分析，得出網絡的整體安全狀況，這一步是態勢感知的基礎。

態勢評估：定性、定量分析網絡當前的安全狀態和薄弱環節，并給出相應的應對措施，這一步是態勢感知的核心。

態勢預測：通過對態勢評估輸出的數據進行建模分析，預測網絡安全狀況的發展趨勢， 這一步是態勢感知的目標。

二、整體架構

以下一個成熟的安全態勢感知系統的整體架構示意圖：

可以看到，基本還是遵循了安全態勢感知的分層次概念的。

• 首先通過多個數據源，采集到海量安全性數據。傳統的IDS、IPS等技術基本屬于這一層。
• 然后通過數據清洗、融合、歸一化等手段，使數據能在某些層面反映出網絡的安全態勢狀況。
• 之后，智能分析層通過對數據的進一步分析，評估網絡的安全態勢，預測網絡安全態勢發展趨勢。
• 評估和預測結果在交互呈現層以數據可視化的形式展現出來。

三、主要功能

網絡安全態勢感知要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性并提供應對措施，以圖、表等可視化形式展現給用戶。網絡態勢感知的結果主要應該包括以下八部分：

資產評估：評估網絡中每個資產的性能狀況和安全狀況，包括資產的性能利用率、重要性、存在的威脅和脆弱性的數量、安全狀況等；

威脅評估：評估網絡中惡意代碼和網絡入侵的類型、數量、分布節點和危害等級等；

脆弱性評估：評估網絡中漏洞和管理配置脆弱性的類型、數量、分布節點和危害等級等；

安全事件評估：評估網絡中安全事件的類型、數量、分布節點和危害等級等；

整體態勢評估：綜合分析網絡的安全狀態、給出網絡的安全態勢值，包括整個網絡的安全態勢的保密性、完整性和可用性分量及綜合態勢值；

安全態勢預測：預測網絡中威脅數量、脆弱性數量、安全事件和整體態勢的發展趨勢；

加固方案：分析危害最大的威脅、脆弱性和安全事件，給出相應的解決方法；

報表生成：根據不同的應用需求，生成不同的安全報表，安全報表的格式規范、內容詳實、針對性強。

從平臺建設的角度來講，一個安全態勢感知平臺應該具備如下功能：

可視：通過多維度的安全數據儀表盤，將網絡重點環節的實時運行及安全狀態多維度的展示給安全人員，方便安全人員及時掌握網絡整體狀況。

可知： 全量收集各種安全數據，便提供檢索功能，便于安全人員從海量日志中查找到安全事件對應的日志。

可管： 通過監測操作系統、安全設備、網絡設備、應用程序和數據庫的安全配置和安全日志, 結合安全基線、威脅情報和知識庫進行多維度安全分析, 對發現的漏洞和脆弱性及時處置。

可控： 充分利用大數據的分析模型和機器學習等算法, 為用戶建立行為畫像, 可以基于已知威脅檢測和異常行為分析來發現多態惡意代碼、APT攻擊等未知威脅攻擊, 并對分析出來的安全事件、異常行為等進行實時告警, 通過可視化展現、郵件等方式及時通報給相關網絡安全人員進行處置。

可塑：通過威脅情報、規則匹配和大數據分析模型等技術對給定的安全事件進行追蹤溯源, 刻畫網絡安全事件的攻擊路徑, 為網絡安全人員采取措施和溯源提供依據。

可預警：實時動態展示當前網絡安全狀況, 并呈現一定時間內整個網絡空間環境安全要素, 從已知數據推演分析將要發生的安全事件, 實現對安全威脅事件的預測和判斷發生的概率。

四、發展趨勢

態勢感知平臺是大數據安全領域規模增長最迅速的產品。2017年國內感知市場規模約計20億人民幣，占安全市場的5%。國內的廠商平臺一般含有的功能：資產管理、漏洞管理、大數據平臺、日志分析、威脅情報、沙箱、用戶行為分析、網絡流量分析、取證溯源、威脅捕捉等能力。目前，態勢感知更多是提供數據分析結果，在大數據分析技術應用與預測方面，仍然做的不夠。

當前安全態勢感知的發展狀態：

• 安全態勢感知打破了傳統安全體系中各類安全產品各自為戰形成的安全孤島。將各類安全設備的log采集到統一的日志存儲平臺，實現了集中存儲。
• 以資產為核心，通過互聯網已公開的漏洞信息、惡意域名、代理攻擊IP等信息與資產進行匹配，呈現網絡的安全風險狀況。
• 多以匯總數據和靜態呈現為主，采用定期刷新統計數據為主，智能分析技術應用較少。
• 主要定位于事件分析、風險可視、告警管理等。
• 整合了一定報表生成功能，以滿足內控、審計方面的要求。

未來態勢感知的發展趨勢：

• 數據采集階段，態勢感知2.0要求安全廠商以API接口和SDN網絡對接，突破Vxlan技術限制，使之可以采集東西向的流量。在云環境時代，東西流量占據了業務流量的大部分。
• 態勢感知與大數據、人工智能聯合，將態勢感知技術擴展到業務風險控制領域。如采用Storm對數據流進行實時處理，可以滿足近實時的風險發現。
• 結合機器學習和深度學習技術提供更精準的評估和預測能力。更好實現風險預警、響應處理，提高對未來的預測、實時處置能力。系統可以從采集的數據中學習，形成一個具有自身相關特性的分析模型。
• 系統可以動態擴展和云化。隨著云計算基礎設施的大量使用, 要求對安全威脅和攻擊的處置能力也是可以隨著云計算平臺擴展而可動態擴展的, 實現網絡安全態勢感知系統的基礎平臺云化，使其態勢感知能力可以隨著保護對象的規模變化而動態變化。

五、總結

安全態勢感知是一種新興的安全概念，而不是單一的一種安全技術。是一種基于環境的、動態、整體地洞悉安全風險的能力。從前面的介紹，可以知道安全態勢感知的前提是安全大數據。在安全大數據的基礎上，進行數據整合、特征提取，然后應用一系列態勢評估算法生成網絡的整體態勢狀況，應用態勢預測算法預測態勢的發展狀況。最后在交互層，使用數據可視化技術，將態勢狀況和預測情況展示給安全人員，方便安全人員直觀便捷的了解網絡當前狀態及預期的風險。

參考資料：

• 《網絡安全態勢感知模型研究與系統實現》

• 《網絡安全態勢感知關鍵技術研究及發展趨勢分析》

• 知乎回答

• 銳捷安全態勢感知解決方案

• 云安全：淺談態勢感知

  ?

總結

以上是生活随笔為你收集整理的浅谈网络安全态势感知的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。