---

一、态势感知简介

1. 概念

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以 安全大数据 为基础，从全局视角提升对安全威胁的 发现识别、理解分析、响应处置 能力的一种方式，最终是为了决策与行动，是安全能力的落地。

态势感知的概念最早在军事领域被提出，覆盖 感知、理解和 预测 三个层次。并随着网络的兴起而升级为“网络态势感知（Cyberspace Situation Awareness，CSA）”。旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而进行决策与行动。（获取、理解、显示、预测、响应）

态势感知（SA，Situational Awareness or Situation Awareness）是对一定时间和空间内的环境元素进行感知，并对这些元素的含义进行理解，最终预测这些元素在未来的发展状态。当前，大家提到“态势感知”时主要是指“网络安全态势感知”，即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态，识别出当前网络中存在的问题和异常活动，并作出相应的反馈或改进。通过对一段时间内的网络安全状况进行分析和预测，为高层决策提供有力支撑和参考。

2. 形象举例

态势感知的概念比较抽象，我们举个例子来帮助理解：天气预报 就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析，我们可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测，如台风、雾霾、暴雪等，对我们来讲尤为重要。通过提前进行人员和财产的转移，准备相关抗灾措施，可以大大降低灾害带来的影响，这就是进行“态势感知”的重要目的。

3. 应具备的能力

网络安全态势感知系统应该具备的能力：

1. 网络空间安全持续 监控 能力，能够及时发现各种攻击威胁与异常；
2. 具备威胁调查 分析及可视化 能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；
3. 能够建立安全 预警 机制，来完善风险控制、应急响应和整体安全防护的水平。

通俗来讲，态势感知从时间概念上可以被理解为：刚才发生了什么，现在应该做什么，接下来会发生什么，也就是态势感知的根本任务，了解昨天、思考今天，预测明天。

---

二、为什么要态势感知？

态势感知的目的在于，全天候全方位 地感知网络安全态势。知己知彼，才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。

现阶段面对传统安全防御体系失效的风险，态势感知能够 全面 感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施。

为什么网络安全态势感知很重要？

随着网络与信息技术的不断发展，人们的安全意识在逐步提高。我们已经不再笃定认为自己的网络是绝对安全的，相反的，我们认为网络遭受攻击是必然的、常态化的。我们不能阻止攻击行为，但是可以提前识别和发现攻击行为，尽可能降低损失。也就是说，安全防护思想 已经从过去的 被动防御 向 主动防护 和 智能防护 转变。

同时，物联网和云技术的发展也是日新月异，很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等，这都为我们提出了新的挑战，也对网络安全人员的能力也提出了更高的要求。

正是在这样的背景下，以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级，实现以下三个方面的转变：

1. 安全建设的目标从满足合规转变为增强防御和威慑能力，并且更加注重对抗性，这对情报技术提出了更高要求。
2. 攻击检测的对象从已知威胁转变为 未知威胁 ，通过大数据分析、异常检测、态势感知、机器学习等技术，实现对高级威胁的检测。
3. 对威胁的响应从人工分析并处置转变为自动响应闭环，强调应急响应、协同联动，实现安全弹性。

---

三、态势感知系统的功能

1. 检测：提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。
2. 分析、响应：建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。
3. 预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技术、攻击工具等信息。
4. 防御：利用掌握的攻击者相关目的、技术、攻击工具等情报，完善防御体系。

---

四、如何评估态势感知的建设结果？

网络安全态势感知的建设结果可以从如下几个方面进行评估：

• 防御：利用掌握的情报和资产摸底信息，完善防御体系，消除资产风险。
• 检测：提供网络安全持续监控能力，快速、精准地检测 出安全威胁。
• 响应：提供涵盖终端和网络的 响应 能力，支持攻击取证、事件溯源和威胁修复等。
• 预测：通过对历史安全情况、现网流行攻击和情报系统进行 综合研判 ，提供改进建议。

---

五、什么是态势感知的三个层级

Mica Endsley在“Toward a theory of situation awareness in dynamic systems”（1995）中，仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然比较简单，但却是很多后续理论的基础，人们一般称该模型为Endsley模型（Endsley’s model）。

Endsley模型 将态势感知分为 三个层级 ，分别是态势要素感知、态势理解和态势预测。

1. 要素感知（Level 1）：感知环境中相关要素的状态、属性和动态等信息。
2. 态势理解（Level 2）：通过识别、解读和评估的过程，将不相关的要素信息联系起来，并关注这些信息对预期目标的影响。
3. 态势预测（Level 3）：基于对前两级信息的理解，预测未来的发展态势和可能产生的影响。

---

四、业界的态势感知产品

1. 安全狗 - 啸天安全大数据及态势感知平台

2. 华为的态势感知产品 - HiSec Insight

针对金融、网安、政府、运营商等大、中、小型企业，华为推出 基于大数据 的APT防御产品 HiSec Insight高级威胁分析系统（简称HiSec Insight）。HiSec Insight能够 采集网络中的海量基础数据 ，如网络中的流量、各类设备的网络日志和安全日志等，通过 大数据分析和机器学习技术 ，识别网络中的潜在威胁和高级威胁，从而实现对全网的安全态势感知。

高级威胁检测

HiSec Insight基于机器学习和大数据平台，可以快速、准确地实现边界和内网的高级威胁检测。

• 基于 多源数据分析，包括原始流量、日志、Netflow等信息。
• 基于 多种异常检测模型，包括加密流量检测、WEB异常检测、邮件异常检测、C&C异常检测和隐蔽通道检测等模型。
• 覆盖高级威胁的 整个攻击链，包括资源侦查、外部渗透、命令与控制、内部扩散和数据外发等过程。

3. 百度智能云 - 昊天镜智能风控

4. IBM - QRadar XDR

1. 借助情报，自动执行

   使用专门构建的 AI 和预构建的手册节省充实、关联和调查威胁信息所需的时间，包括 自动根本原因分析 和 MITRE ATT&CK 映射 。 通过 自动分类 和 智能语境化 将调查速度提高 60 倍。

   补充：根本原因分析可以综合运用一系列原理、技巧和方法来找出 某个事件或趋势的根本原因 。RCA 可以透过表层的因果关系，显示流程或系统最初在哪个环节出现故障或造成问题。

   根本原因分析的 第一个目标 是发现问题或事件的根本原因。
   第二个目标 是全面了解如何修复、弥补根本原因内的深层问题，以及如何吸取教训。
   第三个目标 是将从分析中获得的见解应用到实践中，从而以系统化方式预防各种问题，或者再次运用成功的做法。

2. 联合起来，提高可视性

   与领先专家共同设计的简单 XDR 工作流程，通过消除孤岛并统一输入和共享洞察，帮助加快警报分类、威胁搜寻、调查和响应。

3. 与现有工具集成

   一个大型开放式 XDR 生态系统将您的 EDR、SIEM、NDR、安全统筹与自动化响应 (SOAR) 以及威胁情报解决方案整合起来，同时将数据留在原处，并利用您当前的环境。

---

五、我的思考

1. 态势感知是基于大数据的，数据的丰富程度很重要，信息的收集和整合。海量数据的收集。需要多数据源的支持。（各种公开数据库（安全事件、日志、流量、漏洞信息、威胁情报），实时数据，情报共享，数据联合）
2. 将海量的信息统一到 单一的管理视图 当中，新发生的事件也可以加入进来（攻击是不断发展的，实时更新）。通过对多方面数据的实时观测，最大程度减少攻击噪音（减少误报）。
3. 业务驱动优先，将 重要资产 上的活动的重要级提升上来。
4. 信息数据的有效使用。
5. 大数据分析需要机器学习技术的支持。（关联分析）认知分析、机器学习帮助我们极大的压缩威胁发现的时间，能够快速识别异常。
6. 报告警告的时机很重要。我们要尽量早地发现异常，但报警太早可能造成很多误报。需要持续监测，如果接下来还发生了异常事件就发出警报。

---

参考链接

1. 态势感知
2. 华为：什么是网络安全态势感知？