【调研】态势感知

• 概念
• 应用
• 关键技术
  • 网络安全要素提取
  • 网络安全态势理解
  • 网络安全态势预测
    • 基于传统方法的预测
    • 基于神经网络的网络安全态势预测
• 未来趋势
• 业界产品
  • 华为云
  • 阿里云
  • 京东云
  • 瑞星网络安全预警系统
  • 安恒信息

概念

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。

态势感知的概念最早在军事领域被提出，覆盖感知、理解和预测三个层次。Bass 于 1999 年首次提出网络态势感知(Cyberspace Situational Awareness，简称 CSA)的概念，并且指出，“基于融合的网络态势感知”必将成为网络管理的发展方向。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是，态势强调环境、动态性以及实体间的关系，是一种状态，一种趋势，一个整体和宏观的概念，任何单一的情况或状态都不能称其为态势。¹

网络安全态势感知研究是近几年发展起来的一个热门研究领域。它融合所有可获取的信息实施评估网络的安全态势，为网络安全管理员的决策分析提供依据，将不安全因素带来的风险降到最低。网络安全态势感知在提高网络的监控能力、应急响应能力和预测网络安全的发展趋势等方面都具有重要的意义。

总的来说，态势感知目前理论上主要分为以下三个部分：对环境元素的感知、对状态的的理解、对未来状态的预测。

应用²

公安网监部门：优化公安网监部门对网络安全态势预警分析、通报预警、快速处置的能力。提升关键信息基础设施的防护能力，强化公安机关网安部门网络安全的基础能力。掌控安全态势感知，提升防范能力，打击预防违法犯罪。

大型企业:加强大型企业对已有的基础网络及信息化业务系统的脆弱性分析和安全态势预警分析能力。提升大型企业在复杂的网络环境中的感知和防护能力。巩固企业内网网络安全态势感知管理。

第三方运营机构:平台面向社会化网络安全态势感知运营的主管部门机构。加强对网络中的潜在威胁的感知能力，提升持续威胁监控、分析和应急响应的能力，减少网络恶性事件的发生，提升面向社会的服务能力。

关键技术³

网络安全要素提取

网络安全要素提取是指采集网络环境中相关要素的状态、属性和动态等信息，并将信息提取融合，归入各种可理解的表现方式。

当前主要数据采集来源为网络设备的系统配置信息、网络设备的运行日志信息以及防护工具的警报信息与日志 信息等，通过将这些信息进行有效整合，为态势感知的高维抽象理解提供了基础。但现阶段仍存在觉察结果的精度不足，如冗余数据或错误告警信息对攻击活动的重构仍然有很大的影响；觉察的效率不高，如很多采用离线的方式进行关联性分析和攻击过程重构，无法满足快速响应要求。

因此安全态势要采集的数据也因网络环境而不同，可根据实际情况有选择地采集。一般需要采集的数据包括：⁴

(1)网络流量数据(大小、流量成分信息)

(2)网络性能数据(延迟、抖动)

(3)关键网络设备性能数据(CPU利用率、端口利用率、路由稳定性数据等)

(4)关键网络设备的配置及漏洞信息

(5)关键网络设施的物理环境信息(温度、湿度、容灾能力)

(6)入侵事件的数量和严重等级

(7)拒绝服务工具事件的数量和等级

(8)僵尸网络的数量和规模

(9)仿冒及挂马网站的数量和分布

(10)垃圾邮件的数量

(11)感染恶意程序的主机数量

(12)安全预警信息(安全通告、安全事件、攻击情报)

网络安全态势理解

态势理解建立在要素提取的基础上，通过对海量数据的计算处理，绕过复杂难懂的表象，帮助分析者和决策者以更高维的视角理解网络状态。包括重大网络安全事件检测分析，指标体系构建，态势评估和数据可视化。

常用的安全事件检测方式有入侵检测系统和入侵防御系统。入侵检测系统主要对异常的可能性数据进行检测并对告警提供解决方式，是侧重于风险管理的安全产品。入侵防御系统主要对明确判别为攻击行为的危害进行检测和防御，侧重于风险控制。

网络安全指标体系是一套能全面反映网络安全特征，具有内在联系、相互互补的指标合集，指标体系的构建为态势理解和预测提供计算和评估依据。网络安全指标体系的构建是整个网络安全态势评估的核心，其主要的目标是建立态势评估因子到最终态势值之间的映射关系，因 为随着攻击事件、网络技术结构的不断发展变化，评估因子必然也随之在改进，正如上述具有代表性的指标体系一样，具有当时所处阶段的特点，所以指标体系构建是一个动态演化的过程。

态势评估方法是态势感知乃至数据融合领域的重点因此备受关注，理论研究相对成熟。有些研究将理论创新引入态势评估领域，有些则对传统方法进行拓展，还有的将多种理论综合运用，目的就是对不确定性信息进行分析，提高态势评估的准确性，同时还要在时间开销、评估代价等因素之间进行折衷。在众多评估方法中，传统方法包括贝叶斯技术、基于知识的方法、人工神经网络、模糊逻辑技术，引入的新理论有集对分析、D-S 证据理论、粗集理论、灰关联分析、聚类分析等。这些方法大致可以分为 3 类：基于数学模型的方法、基于知识推理的方法和基于模式识别的方法。

数据可视化在网络安全态势感知的整个数据信息交流过程中起到了十分重要的支撑作用，如何快速、准确、有效地将态势传达给决策者是十分具有挑战性的问题。

网络安全态势预测

态势预测是态势安全的另一关键，是在获取、变换及处理历史和当前态势数据序列的基础上，通过建立数学模型，探寻演变规律，对未来发展趋势和状况进行推理。目前有很多预测方法，如神经网络、灰色理论、时间序列分析和支持向量机等。

基于传统方法的预测

根据态势的时间序列的历史变化，对未来做出延展预测，称为时间序列预测。另一预测方法是基于因果关系，由若干变量的观测值来确定变量之间的依赖关系。

基于神经网络的网络安全态势预测

得益于硬件计算速度的提升，基于神经网络、深度学习的机器学习方法在近几年发展迅速。在网络安全态势感知领域，通过建立机器的自动感知和自学习机制，使其拟合专家的思维能力和分析判断能力，可以更加灵活地对复杂网络安全事件进行预测。

但神经网络也并非一劳永逸，对数据量规模的敏感，造成其收敛计算过程中容易产生的过拟合或者欠拟合性;另 外，当前基于神经网络、深度学习的机器学习方法，在模型参数、复杂性设计上还存在依赖于人工经验的问题，也是亟待解决的方向。

未来趋势

网络安全态势感知和网络威胁必然会像盾与矛的关系一样，在对抗中不断交错提升，当互联网技术的更新无形推动着网络威胁的迭代升级时，网络安全态势感知也将会更好地利用新的技术、新的方法演化出更加完善的体系。

(1) 数据融合。网络安全态势的数据来源分布广、容量大、形态杂，不同的运 营 商、不同的管理系统和不同的软件生成数据结构都会给海量数据融合带来困难，现有的研究仍然存在许多不足，而面对海量流式安全数据的集中或分布式存储，快速融合的手段对于态势精准分析则显得更为重要，需要更多地结合当下的大数据处理技术进行改进研究

(2)人工智能应用。现阶段人工智能技术已经渗透到各行各业，很多传统技术都已经在这一过程中得到了蜕变，人工智能在网络安全领域的应用也有其积极的一面。威胁识别系统已经在使用机器学习技术来识别新的威胁，而通过机器学习对未来态势的预测也将越来越准确、迅速和成熟。因而，借助人工智能技术提升网络安全态势感知每个环节的能力是研究领域的大趋势。

(3)语义解构。现有对于网络攻击源头的攻击意图识别方式，主要利用人工经验判断，带来的弊端显而易见，依赖于先验知识，存在经验主义误区等，利用机器学习对特征提取和攻击场景聚类，解构网络攻击发起者背后的模式和意图，对于态势感知的“从哪里来，到哪里去，要干什么”的逻辑闭环，具有十分重要的意义。

(4)物联网。随着“5G”成为互联网领域被谈及最多的名词之一，基于5G网络的运营模式和架构必然将会很快催生出来，在可预见的未来，会有数量庞大 的5G物联网设备直接连接至5G网络，这一趋势将使设备更容易遭到攻击，也提高了监控的难度，因此，通过海量物联网设备发起的DDOS攻击将是网络安全态势感知一个新的必须深入研究的难点。

(5)政策法规。随着个人及商业数据隐私保护被提及的频率越来越高，今后的网络安全态势感知在数据层面的获取必然更加需要政策法规的支持，而面对日益凸显的整体安全态势的感知需要，如何平衡好隐私和共享、商业利益和社会安全的关系，是从政策层面必须不断构建巩固的核心

业界产品

华为云⁵

态势感知通过采集全网流量数据和安全防护设备日志信息，并利用大数据安全分析平台进行处理和分析，态势感知检测出威胁告警，同时将企业主机安全、Web防火墙和DDoS流量清洗等安全服务上报的告警数据进行汇合，实时为用户呈现完整的全网攻击态势，进而为安全事件的处置决策提供依据。

华为云的SA分为基础版和专业版两个版本。用户在注册华为云账号后，登陆SA管理控制台，即可免费体验基础版功能。其中专业版额外提供威胁检测、威胁分析、安全编排、主机漏洞扫描、网站漏洞扫描、应急漏洞、主机基线检查、云服务基线检查、告警设置、日志管理等功能。

计费模式：基础版（免费），专业版（￥150 / 台 / 月）

阿里云⁶

阿里云将态势感知系统升级为云安全中心，实现实时识别、分析、预警安全威胁的统一安全管理，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现安全预防、威胁检测、调查响应、主动防御的自动化安全运营闭环。

计费模式：基础版（免费）、高级版（￥60 / 台 / 月），企业版（￥150 / 台 / 月）

京东云⁷

京东云态势感知（专有云）是京东面向政府、金融、制造业、医疗、教育等大型企事业单位推出的一款综合安全运营平台。通过集成网络层、主机层、应用层等安全产品数据源，经过威胁情报、AI异常检测匹配，大数据关联分析，为企业提供多维度安全告警，可视化大屏呈现。

计费模式：基础版（免费），企业版（￥150 / 台 / 月）

瑞星网络安全预警系统⁸

瑞星网络安全威胁感知系统（TSA）是一款全方位、多层次的整体病毒预警防护系统和态势感知展示系统，它能够实现网络安全可视化，将抽象的网络和系统数据以图形图像的方式展现出来，帮助分析人员分析网络状况，识别网络异常、入侵，预测网络安全事件发展趋势。

瑞星网络安全威胁感知系统（TSA）部署的网络拓扑结构图如下：

安恒信息⁹

安恒信息的网络安全态势感知通报预警平台主要面向政府、网信、公安、行业主管单位及大型企事业单位。平台设计了等级保护管理、实时监测、态势感知、通报预警、应急指挥、情报管理、追踪溯源等功能，是具有综合安全事件分析与全局安全感知能力的安全管理平台。平台利用多种威胁监测技术、大数据关联分析及机器学习技术，配合威胁情报数据服务，对其重要关键信息基础设施进行全面的画像、风险检测、攻击溯源。