隨著網(wǎng)絡規(guī)模和復雜性不斷增大，網(wǎng)絡的攻擊技術不斷革新，新型攻擊工具大量涌現(xiàn)，傳統(tǒng)的網(wǎng)絡安全技術顯得力不從心，網(wǎng)絡入侵不可避免，網(wǎng)絡安全問題越發(fā)嚴峻。

單憑一種或幾種安全技術很難應對復雜的安全問題，網(wǎng)絡安全人員的關注點也從單個安全問題的解決，發(fā)展到研究整個網(wǎng)絡的安全狀態(tài)及其變化趨勢。

網(wǎng)絡安全態(tài)勢感知對影響網(wǎng)絡安全的諸多要素進行獲取、理解、評估以及預測未來的發(fā)展趨勢，是對網(wǎng)絡安全性定量分析的一種手段，是對網(wǎng)絡安全性的精細度量，態(tài)勢感知成已經(jīng)為網(wǎng)絡安全2.0時代安全技術的焦點，對保障網(wǎng)絡安全起著非常重要的作用。

一、態(tài)勢感知基本概念

1.1?態(tài)勢感知通用定義

隨著網(wǎng)絡安全態(tài)勢感知研究領域的不同，人們對于態(tài)勢感知的定義和理解也有很大的不同，其中認同度較高的是Endsley博士所給出的動態(tài)環(huán)境中態(tài)勢感知的通用定義：

態(tài)勢感知是感知大量的時間和空間中的環(huán)境要素，理解它們的意義，并預測它們在不久將來的狀態(tài)。

在這個定義中，我們可以提煉出態(tài)勢感知的三個要素：感知、理解和預測，也就是說態(tài)勢感知可以分成感知、理解和預測三個層次的信息處理，即：

感知：感知和獲取環(huán)境中的重要線索或元素；
理解：整合感知到的數(shù)據(jù)和信息，分析其相關性；
預測：基于對環(huán)境信息的感知和理解，預測相關知識的未來的發(fā)展趨勢。

1.2?網(wǎng)絡安全態(tài)勢感知概念

目前，對網(wǎng)絡安全態(tài)勢感知并未有一個統(tǒng)一而全面的定義，我們可以結合態(tài)勢感知通用定義來對對網(wǎng)絡安全態(tài)勢感知給出一個基本描述，即：

網(wǎng)絡安全態(tài)勢感知是綜合分析網(wǎng)絡安全要素，評估網(wǎng)絡安全狀況，預測其發(fā)展趨勢，并以可視化的方式展現(xiàn)給用戶，并給出相應的報表和應對措施。

根據(jù)上述概念模型，網(wǎng)絡安全態(tài)勢感知過程可以分為一下四個過程：

1）數(shù)據(jù)采集：通過各種檢測工具，對各種影響系統(tǒng)安全性的要素進行檢測采集獲取，這一步是態(tài)勢感知的前提；

2）態(tài)勢理解：對各種網(wǎng)絡安全要素數(shù)據(jù)進行分類、歸并、關聯(lián)分析等手段進行處理融合，對融合的信息進行綜合分析，得出影響網(wǎng)絡的整體安全狀況，這一步是態(tài)勢感知基礎；

3）態(tài)勢評估：定性、定量分析網(wǎng)絡當前的安全狀態(tài)和薄弱環(huán)節(jié)，并給出相應的應對措施，這一步是態(tài)勢感知的核心；

4）態(tài)勢預測：通過對態(tài)勢評估輸出的數(shù)據(jù)，預測網(wǎng)絡安全狀況的發(fā)展趨勢，這一步是態(tài)勢感知的目標。

網(wǎng)絡安全態(tài)勢感知要做到深度和廣度兼?zhèn)?#xff0c;從多層次、多角度、多粒度分析系統(tǒng)的安全性并提供應對措施，以圖、表和安全報表的形式展現(xiàn)給用戶。

二、態(tài)勢感知常用分析模型

在網(wǎng)絡安全態(tài)勢感知的分析過程中，會應用到很多成熟的分析模型，這些模型的分析方法雖各不相同，但多數(shù)都包含了感知、理解和預測的三個要素。

2.1?始于感知：Endsley模型

Endsley模型中，態(tài)勢感知始于感知。

感知包含對網(wǎng)絡環(huán)境中重要組成要素的狀態(tài)、屬性及動態(tài)等信息，以及將其歸類整理的過程。

理解則是對這些重要組成要素的信息的融合與解讀，不僅是對單個分析對象的判斷分析，還包括對多個關聯(lián)對象的整合梳理。同時，理解是隨著態(tài)勢的變化而不斷更新演變的，不斷將新的信息融合進來形成新的理解。

在了解態(tài)勢要素的狀態(tài)和變化的基礎上，對態(tài)勢中各要素即將呈現(xiàn)的狀態(tài)和變化進行預測。

2.2?循環(huán)對抗：OODA模型

OODA是指觀察（Oberve）、調整（Orient）、決策（Decide）以及行動（Act），它是信息戰(zhàn)領域的一個概念。OODA是一個不斷收集信息、評估決策和采取行動的過程。

將OODA循環(huán)應用在網(wǎng)絡安全態(tài)勢感知中，攻擊者與分析者都面臨這樣的循環(huán)過程：在觀察中感知攻擊與被攻擊，在理解中調整并決策攻擊與防御方法，預測對手下一個動作并發(fā)起行動，同時進入下一輪的觀察。

如果分析者的OODA循環(huán)比攻擊者快，那么分析者有可能“進入”對方的循環(huán)中，從而占據(jù)優(yōu)勢。例如通過關注對方正在進行或者可能進行的事情，即分析對手的OODA環(huán)，來判斷對手下一步將采取的動作，而先于對方采取行動。

2.3?數(shù)據(jù)融合：JDL模型

JDL（Joint Directors of Laboratories）模型是信息融合系統(tǒng)中的一種信息處理方式，由美國國防部成立的數(shù)據(jù)融合聯(lián)合指揮實驗室提出。

JDL模型將來自不同數(shù)據(jù)源的數(shù)據(jù)和信息進行綜合分析，根據(jù)它們之間的相互關系，進行目標識別、身份估計、態(tài)勢評估和威脅評估，融合過程會通過不斷的精煉評估結果來提高評估的準確性。

在網(wǎng)絡安全態(tài)勢感知中，面對來自內外部大量的安全數(shù)據(jù)，通過JDL模型進行數(shù)據(jù)的融合分析，能夠實現(xiàn)對分析目標的感知、理解與影響評估，為后續(xù)的預測提供重要的分析基礎和支撐。

2.4?假設與推理：RPD模型

RPD（Recognition Primed Decision）模型中定義態(tài)勢感知分為兩個階段：感知和評估。

感知階段通過特征匹配的方式，將現(xiàn)有態(tài)勢與過去態(tài)勢進行對比，選取相似度高的過去態(tài)勢，找出當時采取的哪些行動方案是有效的。評估階段分析過去相似態(tài)勢有效的行動方案，推測當前態(tài)勢可能的演化過程，并調整行動方案。

以上方式若遇到匹配結果不理想的情況，則采取構造故事的方式，即根據(jù)經(jīng)驗探索潛在的假設，再評估每個假設與實際發(fā)生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現(xiàn)為：基于假設進行相關信息的收集（感知），特征匹配和故事構造（理解），假設驅動思維模擬與推測（預測）。

三、態(tài)勢感知應用關鍵點

當前，單維度的網(wǎng)絡安全防御技術手段，已經(jīng)難以應對復雜的網(wǎng)絡環(huán)境和大量存在的安全問題，對網(wǎng)絡安全態(tài)勢感知具體模型和技術的研究，已經(jīng)成為2.0時代網(wǎng)絡安全技術的焦點，同時很多機構也已經(jīng)推出了網(wǎng)絡安全態(tài)勢感知產品和解決方案。

但是，目前市場上的的相關產品和解決方案，都相對偏重于網(wǎng)絡安全態(tài)勢的某一個或某幾個方面的感知，網(wǎng)絡安全態(tài)勢感知的數(shù)據(jù)分析的深度和廣度還需要進一步加強，同時網(wǎng)絡安全態(tài)勢感知與其它系統(tǒng)平臺的聯(lián)動不足，無法將態(tài)勢感知與安全運營深入融合。

為此，太極信安認為網(wǎng)絡安全態(tài)勢感知平臺的建設，應著重考慮以下幾個方面的內容：

1、在數(shù)據(jù)采集方面，網(wǎng)絡安全數(shù)據(jù)來源要盡可能的豐富，應該包括網(wǎng)絡結構數(shù)據(jù)、網(wǎng)絡服務數(shù)據(jù)、漏洞數(shù)據(jù)、脆弱性數(shù)據(jù)、威脅與入侵數(shù)據(jù)、用戶異常行為數(shù)據(jù)等等，只有這樣態(tài)勢評估結果才能準確。

2、在態(tài)勢評估方面，態(tài)勢感評估要對多個層次、多個角度進行評估，能夠評估網(wǎng)絡的業(yè)務安全、數(shù)據(jù)安全、基礎設施安全和整體安全狀況，并且應該針對不同的應用背景和不同的網(wǎng)絡規(guī)模選擇不同的評估方法。

3、在態(tài)勢感知流程方面，態(tài)勢感知流程要規(guī)范，所采用的算法要簡單，應該選擇規(guī)范化的、易操作的評估模型和預測模型，能夠做到實時準確的評估網(wǎng)絡安全態(tài)勢。

4、在態(tài)勢預測方面，態(tài)勢感知要能支持對不同的評估結果預測其發(fā)展趨勢，預防大規(guī)模安全事件的發(fā)生。

5、在態(tài)勢感知結果顯示方面，態(tài)勢感知能支持多種形式的可視化顯示，支持與用戶的交互，能根據(jù)不同的應用需求生成態(tài)勢評測報表，并提供相應的改進措施。

四、總結

上述幾種模型和應用關鍵點對網(wǎng)絡安全態(tài)勢感知來講至關重要，將這些基本概念和關鍵點進行深入理解并付諸于實踐，才能真正幫助決策者獲得網(wǎng)絡安全態(tài)勢感知能力。

太極信安認為，建設網(wǎng)絡安全態(tài)勢感知平臺，應以“業(yè)務+數(shù)據(jù)定義安全”戰(zhàn)略為核心驅動，基于更廣、更深的數(shù)據(jù)來源分析，以用戶實際需求為出發(fā)點，從綜合安全、業(yè)務安全、數(shù)據(jù)安全、信息基礎設施安全等多個維度為用戶提供全面的安全態(tài)勢感知，在認知、理解、預測的基礎上，真正幫助用戶實現(xiàn)看見業(yè)務、看懂威脅、看透風險、輔助決策

總結

以上是生活随笔為你收集整理的对网络安全态势感知的理解和认识的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。