1. 网络安全态势感知的基本概念

1.1 态势感知的基本概念

最先对态势感知模型比较系统的研究是 Endsley 在 1988 年中发表的论文中提出的，她将态势感知定义为“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态”，她还从认知角度提出了态势感知的概念模型。这一概念模型的核心是态势感知，包括“对环境要素的获取、对当前态势的理解以及对未来状态的预测” 。

态势感知是指在一定的时间和空间范围内提取系统中的要素,理解这些要素的含义,并且预测其可能的效果。Endsley 将其概括为 3 个层面：态势觉察(situation perception)、态势理解(situation comprehension)及态势投射(situation projection)。``

1.2 网络安全态势感知

1.2.1 网络安全态势感知的定义

美国空军通信与信息中心的Bass在1999年首次提出将态势感知技术应用于多个NDS检测结果的数据融合分析，认为“多传感器数据融合技术为下一代入侵检测系统和网络态势感知系统提供了一个重要的功能框架，它可以融合多源异构IDS的数据，识别出入侵者身份、攻击频率及威胁程度等。目前，业界没有给出网络安全态势感知概念的明确定义，只是强调数据融合是态势感知的核心手段。龚俭教授等人认为，态势感知是一种认知过程，而网络安全态势感知是在网络安全领域通过运用态势感知的方法，协助网络安全人员把握不断变化的网络的整体安全状态，为高层管理人员提供决策支持，因此，将网络安全态势感知定义为“对网络系统安全状态的认知过程，包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取，识别出存在的各类网络活动以及其中异常活动的意图，从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解”。这一定义从功能和过程上对网络安全态势感知进行了解读，并将网络安全态势感知划归为传统态势感知的实例集。石乐义教授等人分析了当前网络安全态势感知概念的研究现状，认为“网络安全态势感知是指通过收集网络环境中综合、全面的安全要素并进行数据融合后，对网络的安全态势有宏观、全面的认知，并且能对网络系统的安全趋势进行预测的过程，是保障网络安全的有效手段”。该定义从过程和目的上对网络安全态势感知进行了解读。正如石乐义教授所述，“目前对网络安全态势感知尚未形成统一、全面的定义，大多是对Endsley态势感知定义的详细解释，并没有针对网络安全这一领域做出特定的阐释”，“对网络安全态势感知给出科学、全面的定义，对不同阶段进行合理的划分仍是需要讨论和解决的问题”。因此，从许多文献或者研究中，笔者选取几位具有代表性的态势感知定义进行阐述。

定义一：综合当前已有研究，贾焰等以构建网络安全态势感知系统、支持大规模网络安全防御为目标，从方法论的视角，将网络安全态势感知定义为：基于大规模网络环境中的安全要素和特征，采用数据分析、挖掘和智能推演等方法，准确理解和量化当前网络空间的安全态势，有效检测网络空间中的各种攻击事件，预测未来网络空间安全态势的发展趋势，并对引起态势变化的安全要素进行溯源。

定义二：网络安全态势感知NSSA是对网络系统安全状态的认知过程，包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取，识别出存在的各类网络活动以及其中异常活动的意图从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解。

1.2.2 网络安全态势感知的阶段

根据上述定义，NSSA的任务包括网络安全态势觉察、网络安全态势理解、网络安全态势投射这3个层面，其中，态势觉察完成原始测里数据的融合与语义提取任务以及活动辨识任务，态势理解完成这些辨识出的活动的意图理解任务，态势投射完成这些活动意图所产生的威胁判断任务。

网络安全态势觉察的主要目的是辨识出系统中的活动，即：对网络中相关的检测设备与管理系统产生的Raw Data进行降噪、规范化处理，得到有效信息，然后对这些信息进行关联性分析，识别出系统中有“谁”（系统中的主体、客体）存在，进一步分辨出异常的活动；
网络安全态势理解的主要任务是在网络安全态势觉察的基础上发现攻击活动，理解并关联攻击活动的语义，然后在此基础上理解其意图；
网络安全态势投射的主要任务是在前两步的基础上分析并评估攻击活动对当前系统中各个对象的威胁情况.这种投射包括发现这些攻击活动在对象上已经产生和可能产生（即预测）的效果.通过将态势感知的结果投射到确定的系统对象上，可以获得该对象在当前态势下的状态.尽管要感知的是系统中的活动，而感知的最终结果则应表达为这些活动对系统对象的影响，不能仅止于活动的识别，因为系统因之而产生的反应是施加于对象的，而不是直接施加于活动本身.这是一个再认识的过程，即：融合从系统中观察到的各个对象的状态以构成态势，再看这个态势对系统各个对象的意义；
网络安全态势感知过程大体上分为3个部分：

有的研究认为是：网络安全态势要素的提取；网络安全态势的评估（或网络安全态势的理解）；网络安全态势的预测；

有的研究认为是：网络安全态势觉察、网络安全态势理解、网络安全态势投射…

网络安全态势觉察的基本任务是确定系统中的所有活动以及这些活动的特征及规律，提取网络安全态势要素，一般分为数据预处理和活动建模，从中获得网络安全态势觉察的结果。
网络安全态势理解是基于识别出的攻击活动及其特征，通过进一步分析这些攻击活动的语义以及它们之间可能的关联关系来推断攻击者的意图，其主要任务包括在网络安全态势觉察的基础上发现攻击活动，解并关联攻击活动的语义，识别这些攻击活动的源头、类型并判断攻击者的能力、机会和攻击成功的可能性等。
网络安全事件预测主要是指对网络系统中发现的重大安全事件运用科学的理论、方法和已有的经验去判断和预测其发展趋势和危害情况，是实现主动防御的一大特征。

简单来说，这两者分类从不同的模型角度出发，各阶段阐述不同的侧重点，本质上第一阶段都是提取网络安全要素，为后两个阶段提供数据基础。第二阶段主要对第一阶段已经提取并且经过预处理的安全数据进行数据分析，评估网络安全态势，达到知己的目标。第三阶段在前两步的基础上分析并评估攻击活动对当前系统中各个对象的威胁情况，根据历史或者现有的网络安全态势去预测未来的安全态势。

1.2.3 网络安全态势感知的基本作用

1. 为防御者提供全面的网络系统安全状态信息

提供网络系统安全状态信息是网络安全态势感知的基本作用。这些信息主要包括资产信息、静态配置信息、漏洞信息和威胁信息。其中，资产信息包括当前网络的硬件、软件以及硬件拓扑关系和软件适配关系等；静态配置信息包括网络的拓扑结构、脆弱点等关键配置信息；漏洞信息包括网络空间中的各类型漏洞、弱点、缺陷等，对于当前网络而言，包括当前网络中存在的漏洞、弱点和缺陷等数据；威胁信息包括安全设备的运行日期、业务日志、告警信息等，以及网终中业务终端的系统日志，业务系统安全日志等。

2. 支撑防御者准确实时地发现网络攻击

网络安全防御工作需要对包数据、会话数据、日志、告警等不同格式和类型的数据进行一致化处理，采用关联分析方法，发现隐藏在不同样式数据中的安全状态信息，如组合流量异常和面向业务的负载异常等。更进一步的工作是提取隐藏在不同通道、不同区域、不同维度安全状态信息中的攻击事件特征片段，用组合式深度分析方法，发现高阶或深层网络攻击并进行跟踪和溯源。

3. 提升防御者对网络安全事件的预判能力

准确地研判网络安全事件是网络安全防御者的核心能力，研判工作的重点主要包括推理和预测攻击威胁的发展趋势、评估攻击事件对网络和业务任务的影响、评估安全措施或应对方案对网络安全态势和业务任务的影响等。网络安全态势感知能够通过准确发现真实有效事件，对攻击目标和攻击意图进行合理的筛选推测，对事件和态势的发展进行即时准确的预测，并对当前及预测事件进行实时准确评估等操作，提升防御者的研判能力。

4. 全面提高网络安全系统的安全保障能力
网络系统的安全保障能力体现在安全防御人员的紧密、高效协作上，通网络安全人员的密切协作实现由安全特征提取、靶向数据采集，到当前态势理解、攻击事件检测，再到攻击事件风险评估、态势预测与溯源等的循环迭代。

借助网络安全态势感知系统，网络安全管理人员能够及时了解当前以及之前网络的安全状态、受攻击的详细情况、攻击的来源和系统中哪些地点是安全防御的薄弱环境等等与网络安全相关的情况；通过掌握系统的详细网络安全状况，可以及时做好防御准备，调整安全策略，从而减少和避免网络中的各种攻击带来的经济损失；应急响应部门也可以通过从网络安全态势中了解到的网络当前的安全状况以及未来的发展趋势，快速指定有预见性的应急响应策略。

1.3 参考文献

[1] M. R. Endsley. Design and evaluation for situation awareness enhancement[C]. Proceedings of the Human Factors Society annual meeting, 1988, 97-101
[2] S. Jajodia, S. Noel, B. O’berry. Topological analysis of network attack vulnerability[M]. Springer,2005, 247-266
[3] L. Wang, A. Singhal, S. Jajodia. Toward measuring network security using attack graphs[C].Proceedings of the 2007 ACM workshop on Quality of protection, 2007, 49-54
[4] L. Wang, A. Singhal, S. Jajodia. Measuring the overall security of network configurations using attack graphs[C]. IFIP Annual Conference on Data and Applications Security and Privacy, 2007,98-112
[4] 龚俭, 臧小东, 苏琪等. 网络安全态势感知综述[J]. 软件学报, 2017, 28(4): 1010–1026.
[5] 席荣荣,云晓春,金舒原,张永铮.网络安全态势感知研究综述[J].计算机应用,2012,32(01):1-4+59.
[6] 贾焰,韩伟红,王伟.大规模网络安全态势分析系统YHSAS设计与实现[J].信息技术与网络安全,2018,37(01):17-22.DOI:10.19358/j.issn.2096-5133.2018.01.003.

【网络安全态势感知学习笔记】——“行远自迩”基础篇一：网络安全态势感知的基本概念相关推荐

jqGrid 学习笔记整理——基础篇
jqGrid 学习笔记整理--基础篇 jqGrid 实例中文版网址:http://blog.mn886.net/jqGrid/ 国外官网:http://www.trirand.com/blog/ 本人 ...
Java学习笔记之基础篇
Java学习笔记之基础篇目录 Java如何体现平台的无关性? 面向对象(OO)的理解面向对象和面向过程编程的区别面向对象三大特征静态绑定和动态绑定(后期绑定) 延伸:类之间的关系组合(聚合) ...
Excel学习笔记之基础篇
记录一下跟着网易云课堂大饼老师Excel课程学习的笔记,只能起一个大纲的作用吧,用来练习的数据表不方便上传,也懒得截图录屏做成GIF操作啥的.课程共分为基础篇,进阶篇之函数,进阶篇之数据透视,进阶篇之 ...
golang学习笔记（基础篇）
LCY~~Golang学习笔记一.Go语言开发环境 ##安装Go开发包以及VsCode Go开发包与vscode配置安装教程网址:https://www.liwenzhou.com/posts/Go ...
threejs 物体根据相机位置显示_Threejs学习笔记(一) 基础篇
基本概念此学习笔记主要记录使用threejs的制作http://sqace.163.com网站中用到的API和相关知识点. 一个完整的3D环境包含以下元素: 1.场景(Scene):是物体.光源等元 ...
【ESP32最全学习笔记（基础篇）——1.ESP32简介】
ESP32 新手?从这里开始! 关于本教程: ESP32 基础篇 1.ESP32简介 ☑ 2.ESP32 Arduino 集成开发环 ...
唐金州的Vue开发实战学习笔记（基础篇）
Vue开发实战学习笔记简易的Vue程序组件事件插槽单文件组件双向绑定虚拟DOM与key属性组件更新状态data与属性props vue的响应式更新计算属性和侦听器计算属性 com ...
MySQL学习笔记（基础篇未完待补充）
一.MySQL数据库基目录一.MySQL数据库基础篇 1.数据库概述与MySQL安装篇第1章:数据库概述 1.为什么要使用数据库 2. 数据库与数据库管理系统 2.2 数据库与数据库管理系统的关 ...
【ESP32最全学习笔记（基础篇）——4.ESP32 引脚介绍】
关于本教程: ESP32 基础篇 1.ESP32简介 2.ESP32 Arduino 集成开发环境 3.VS 代码和 PlatformIO 4.ESP32 引脚 ☑ 5.ESP32 输入输出 6.ES ...
Win32汇编学习笔记之基础篇
基础篇第一章背景知识 1.1 Win32的软硬件平台 1.1.1 80x86系列处理器简史 Win32可以在多种硬件平台上运行,但使用最广泛的硬件平台是基于Intel公司80x86系列处理器 ...

【网络安全态势感知学习笔记】——“行远自迩”基础篇一：网络安全态势感知的基本概念

文章目录