态势感知介绍

态势感知(SA)的概念来源于对航空航天领域人类因素的研究。美国国土安全部将态势感知定义为“识别、处理和理解与任务有关的团队所发生的事情的关键信息的能力”。

军事术语“态势感知”是指指挥官知道他的部队在哪里，他们的准备和能力，最重要的是关于敌军位置的情报，他们的准备和实力。分析人员的知识和能力，决定了感知和分析情况，对如何保护组织的有价值的资产做出合理的决策，并在动态和复杂的环境中提供对未来状态的准确预测。

情景感知是一个认知人类因素的过程，它涉及到一个人(如安全分析师)，观察、分析、解决网络中的情况，并对网络状态做出预测。网络安全态势感知NSSA（Network Security Situational Awareness）包括安全监控、安全可视化、检测技术、数据融合、自动化、动态性和复杂性，以实现更高级别的感知。

美国安全研究员Endsley将态势感知定义为“在一个时间和空间范围内对环境中的各个因素的感知”。1999年，Tim Bass首先提出了将态势感知应用于网络安全NSSA领域的概念。

态势感知的发展

M.R. Endsley在她1988年的论文《提高态势感知的设计与评估》(Design and evaluation for situation awareness enhancement )中，讨论了态势感知结构和态势感知具体化的相关研究。

1995年末，在她的论文《面向动态系统中的态势感知理论》中，她随后提出了一个态势感知的理论模型，该模型基于了态势感知在其它各种领域的动态决策和人类行为。在动态环境中。许多决策需要在相当短的时间内做出，而挑战在于对环境持续的、最新的分析。因此她提出了三个层次的态势感知：

态势感知理论模型

2001年，在她的文章《设计复杂系统中的态势感知》中将态势感知定义为提供信息的关键，因为面临的问题不再是缺乏信息，而是在需要的时候发现需要什么。

网络安全态势感知NSSA

首先阐述一下安全监控与态势感知之间的区别。安全监视是指有人监视网络和系统，观察数据不断变化的一个长时间的持续状态。无论是被动安全监控还是主动安全监控，对网络状态的未来预测既不是强制条件，也不是可选要求。因此，安全监控只是态势感知感知阶段的一部分。
1999年Tim Bass在互联网上发表了一系列关于未来网络状况预测的论文。在这些论文中，他的ACM论文《入侵检测系统和多传感器数据融合-创建网络空间态势感知》，帮助引发了现代互联网安全革命，特别是在基于网络的入侵检测系统(IDS)领域。

因此Tim Bass被认为是提出情景感知在网络安全中的应用的第一作者和网络安全研究者。他提出的多传感器数据融合为构建下一代入侵检测系统和网络空间态势感知提供了重要的功能框架，提出了未来多传感器数据融合的身份系统的设计挑战和进一步研究的方向。

同时，他指出了缺乏独立的入侵检测系统来检测来自多个不同传感器和数据源的数据组合的入侵，以便对事件、活动和情况作出推断。Tim Bass将这些系统与人类的认知过程进行了比较，在人类的认知过程中，大脑融合了来自各种感觉器官的感觉信息并且评估情况、做决策、同时指导行动。

数据融合的网络空间身份系统的输出为估计入侵者的身份与位置、入侵者的活动、观察到的威胁、攻击频率以及对网络攻击严重性的评估。在另一篇文章中：《多传感器数据融合用于下一代分布式入侵检测系统》，Tim Bass估计，“下一代网络入侵检测系统将利用来自异构分布式网络传感器的数据，创建网络空间态势感知”。

此文描述了基础模型开发工程需求的几个初步步骤，并以多传感器数据融合的方法和科学依据。对多传感器数据融合的方法和科学依据说明了如何提高先进的网络空间管理系统的性能和可靠性进行了功能概述，这牵涉到设计的挑战，并由此提出了进一步研究和开发的领域。

此外，Tim Bass还指出了传统思维中的广义概念，如网络管理，应演变为融合为基础的网络空间态势感知。2000年，Tim Bass在他的文章《网络空间态势感知需求模拟传统命令需求》中，评估了复杂的计算机硬件和软件将在噪声饱和的环境中识别出无数的对象，而网络空间指挥和控制(CC2)系统将跟踪这些对象、计算各类数据、估计预测的威胁、并提供其他关键的决策支持功能。

因此，网络空间态势感知需要部署在复杂的全球网络基础设施中，并需要同时获取到好流量和坏流量。
Cyril Onwubiko提出了计算机网络安全中态势感知功能的要求。他对态势感知的、感知、理解和预测三个层次的描述如下:

为什么需要态势感知？

面对新的安全形势，传统安全体系遭遇瓶颈，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。
从美国对爱因斯坦计划的持续不断投入，可以看到网络空间安全的态势感知，对于国家、行业有多么重要的意义。

我国的网络安全形势非常严峻，截至2016年底，仅360公司就累计监测到针对中国境内目标发动攻击的APT组织36个，最近仍处于活跃状态的APT组织至少有13个，这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设施的行业／企业。今年爆发的WannaCry勒索蠕虫，更让我们看到了网络武器民用化之后可能造成的巨大灾害。
从现实中的网络安全建设看，多年来我们一直偏重于架构安全（漏洞管理、系统加固、安全域划分等）和被动防御能力(IPS、WAF、AV等)的建设，虽取得了一定的成果，也遇到发展瓶颈。

简单通过购买更多的安全设备已经不能使安全能力有提升，需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基础上，开始增加在非特征技术检测能力上的投入，以及事件响应分析能力的建设；并通过对事件的深度分析及信息情报共享，建立预测预警并针对性改善安全系统，最终达到有效检测、防御新型攻击威胁之目的。

态势感知能干什么？

网络安全与战争一样，本质是攻防双方的对抗，攻防之战，速度为王，作为防守方的目标是缩短攻击者的自由攻击时间。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势，以作出正确响应。
“全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位，可以理解为时间维度和检测内容维度。
1.在时间维度上，需要利用已有实时或准实时的检测技术，还需要通过更长时间数据来分析发现异常行为特别是失陷情况。
2.在内容维度上，也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下5类检测能力，或者说至少4类（参照Gartner：Five Styles of Advanced Threat Defense ）：