1 安全态势感知概述
1.1 态势感知溯源
如果追根溯源，态势感知（SituationAwareness）这个概念来自我国古代的《孙子兵法》。而现代意义上的态势感知研究也来自于战争的需要，在二战后美国空军对提升飞行员空战能力的人因工程学（HumanFactor）研究过程中被提出来，至今仍然是军事科学领域的重要研究课题。后来，态势感知渐渐被信息技术（IT）领域所采用，属于人工智能（Artificial Intelligence）范畴。
一般地，态势感知的核心部分可以理解为一个渐进明晰的过程，借鉴人工智能领域的黑板系统（BlackboardSystem），可由下图所示的三级模型来表示：

图：态势感知核心过程示意图

• 要素信息采集：在SOC2.0中，要素信息至少应该包括IT资产信息、拓扑信息、弱点信息、IT资源性能和运行状态信息、各种告警、警报、事件、日志，等等。
• 事件归一化：对采集上来的各种要素信息进行事件标准化、归一化、并对原始事件的属性进行扩展，例如增加地理位置信息，增加 CIA安全属性，增加分类属性，等等。在事件归一化过程中最重要的就是统一事件的严重等级和事件的意图及结果。事件归一化为后续的事件分析提供了准备。一方面，事件会进入实时事件库，供态势评估使用，另一方面，事件会同时进入历史事件数据库，进行持久化存储，为历史数据挖掘、追踪及分析服务。此外，归一化后的事件可以直接可视化展示在用户界面上。
• 事件预处理：也是对采集上来的各种要素信息进行事件标准化和归一化处理。事件预处理尤其是指采集具有专项信息采集和处理能力的分布式模块。例如，某个预处理模块通过网络协议抓包的方式对数据库访问操作进行解析，并转变为标准化事件。事件预处理是可选的处理过程。
• 态 势评估：包括关联分析（Correlation Analysis）、态势分析（Situation  Analysis）、态势评价（Situation Evaluation），核心是事件关联分析。关联分析就是要使用采用数据融合（Data Fusion）技术对多源异构数据从时间、空间、协议等多个方面进行关联和识别。态势评估的结果是形成态势评价报告和网络综合态势图，借助态势可视化为管理员提供辅助决策信息，同时为更高阶段的业务评估提供输入。
• 业务评估：包括业务风 险评估（Business Risk Assessment）和业务影响评估（Business Impact Assessment），还包括业务合规审计（BusinessComplianceAudit）。业务风险评估主要采用面向业务的风险评估方法，通过业务的价值、弱点和威胁情况得到量的出业务风险数值；业务影响评估主要分析业务的实际流程，获知业务中断带来的实际影响，从而找到业务对风险的承受程度。
• 预警与响应：态势评估和业务评估的结果都可以送入预警与响应模块，一方面借助态势可视化进行预警展示，另一方面，送入流程处理模块进行流程化响应与安全风险运维。
• 流程处理：主要是指按照运维流程进行风险管理的过程。在网神SecFox安全管理体系中，该功能是由独立的运维管理系统（OperationManagement System）担当。
• 用户接口（态势可视化）：实现安全态势的可视化、交互分析、追踪、下钻、统计、分布、趋势，等等，是用户与系统的交互接口。态势感知系统的运行需要用户的主动参与，而不是一个自治系统。
• 历史数据分析：这部分实际上不属于态势感知的范畴。我们已经提到，态势感知是一个动态准实时系统，他偏重于对信息的实时分析和预测。

　5 小结