信息來源：E安全

2016年12月27日，國務(wù)院全文刊發(fā)了《“十三五”國家信息化規(guī)劃》，再次強調(diào)了態(tài)勢感知的重要性。“十大任務(wù)”中的最后一項，健全網(wǎng)絡(luò)安全保障體系，提出”全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”，與習(xí)近平總書記在419網(wǎng)絡(luò)安全和信息化工作座談會上的講話一致。

從習(xí)總書記419講話，到《網(wǎng)絡(luò)安全法》出臺，再到《“十三五”國家信息化規(guī)劃》，“態(tài)勢感知”幾乎成為了網(wǎng)絡(luò)安全的基礎(chǔ)詞匯，人人需知。然而，對于態(tài)勢感知的概念，安全圈內(nèi)外仍存在很多誤解。

今天，安全君梳理了態(tài)勢感知的“身世來歷”，和大家在談及、使用這個概念時的幾大誤區(qū)，希望能幫助大家真正理解態(tài)勢感知對于網(wǎng)絡(luò)安全環(huán)境的意義。

誤區(qū)一 態(tài)勢感知一詞起源于網(wǎng)絡(luò)安全領(lǐng)域

《孫子兵法》中就有論述，即“知己知彼，百戰(zhàn)不殆；不知彼不知己，每戰(zhàn)必殆”，態(tài)勢感知的精髓，在兵法中已可見。

態(tài)勢感知的概念源于軍事需求。西方科技強國在近幾十年中將大量的資源投入到太空和軍事領(lǐng)域的態(tài)勢感知研究與開發(fā)中。歐美國家研發(fā)的態(tài)勢感知系統(tǒng)主要是以光電監(jiān)測為主的戰(zhàn)術(shù)信息系統(tǒng)、導(dǎo)彈預(yù)警系統(tǒng)（反導(dǎo)態(tài)勢感知系統(tǒng)）和太空飛行物監(jiān)測系統(tǒng)等等。

上世紀(jì)末90年代，態(tài)勢感知(Situation Awareness)才被引入到信息技術(shù)安全領(lǐng)域，并首先用于對下一代入侵檢測系統(tǒng)的研究。其中最成熟的應(yīng)用，當(dāng)屬美國愛因斯坦計劃。愛因斯坦計劃始于2003年，目的是讓“系統(tǒng)能夠自動地收集、關(guān)聯(lián)、分析和共享美國聯(lián)邦國內(nèi)政府之間的計算機安全信息，從而使得各聯(lián)邦機構(gòu)能夠接近實時地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅?！?/span>

誤區(qū)二 態(tài)勢感知是國內(nèi)首先提出的概念

Tim Bass 于 1999 年首次提出網(wǎng)絡(luò)態(tài)勢感知（cyberspace situational awareness，簡稱 CSA)的概念。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行 為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢強調(diào)環(huán)境、動態(tài)性以及 實體間的關(guān)系，是一種狀態(tài)和趨勢,一個整體和宏觀的概念，任何單一的情況或狀態(tài)都不能稱其為態(tài)勢。

有趣的是，態(tài)勢感知再90年代被引入國內(nèi)之時，這一概念在安全行業(yè)內(nèi)熱度一直不溫不火，直到2015年阿里巴巴安全峰會上，阿里云安全首席研究員吳翰清（道哥）引起的一場辯論：為什么現(xiàn)有的防御手段無法防御黑客攻擊；為什么用了防火墻或IPS等“老三樣”還被黑客入侵。道哥由此介紹出了態(tài)勢感知的概念。

2015年下半年至2016年，態(tài)勢感知的概念開始在安全行業(yè)中成長起來。2015年9月，阿里云態(tài)勢感知產(chǎn)品公測，成為國內(nèi)首個以“態(tài)勢感知”命名的云安全產(chǎn)品，基于算法和模型做分析進(jìn)行威脅分析和風(fēng)險評判，顛覆以往基于規(guī)則的安全檢測。

誤區(qū)三 態(tài)勢感知專用于網(wǎng)絡(luò)安全領(lǐng)域

態(tài)勢感知不是網(wǎng)絡(luò)安全領(lǐng)域的專用詞匯。太空研究，核反應(yīng)控制、國際關(guān)系等領(lǐng)域，都有態(tài)勢感知的身影。

2016年7月，國際關(guān)系學(xué)院和對外經(jīng)濟貿(mào)易大學(xué)7月2日在北京發(fā)布其共同研究成果“國際安全態(tài)勢感知指數(shù)”，這是國內(nèi)第一份對國際安全問題進(jìn)行量化評估的大數(shù)據(jù)評級指數(shù)，圍繞安全外交理論與實踐、領(lǐng)土沖突與國際安全秩序構(gòu)建、跨境安全議題與全球治理三個框架。

在太空領(lǐng)域，態(tài)勢感知（SSA）技術(shù)，也同時應(yīng)用于軍事、商業(yè)和學(xué)術(shù)研究領(lǐng)域。“太空態(tài)勢感知研究”的主要指對地球周邊天體和人造飛行物的物理位置、運行軌跡進(jìn)行定位，理解、預(yù)測各自的運行狀況，避免互相撞擊、沖突。除此之外，態(tài)勢感知技術(shù)還應(yīng)用于航天飛行中對于人因(HumanFactor)的研究，空中交通監(jiān)管(AirTraffic Control，ATC) 等等。

誤區(qū)四 態(tài)勢感知是SIEM的高級版

沒有預(yù)測的態(tài)勢感知，就不叫態(tài)勢感知。Bass在態(tài)勢感知最初的研究框架中就提出Close-the-loop的概念，既態(tài)勢感知必須要有“評估”（Assessment) - “預(yù)測”（Forecast) - "可視化"(Visualization) - 和“聯(lián)動”（Comprehension)四個環(huán)節(jié)，缺一不可。

沒有對非結(jié)構(gòu)化數(shù)據(jù)分析，也不能叫真正的態(tài)勢感知。結(jié)構(gòu)不一、而又相互關(guān)聯(lián)的數(shù)據(jù)，就如同大腦接收到的不同信息（聲音、氣味等）。態(tài)勢感知的其中一大作用，就是將這些數(shù)據(jù)的關(guān)聯(lián)理清，這就需要用到數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)。

實現(xiàn)這一連串的計算，好比大腦調(diào)動神經(jīng)元，處理無數(shù)信息，并不是件容易的事。既需要強大的算法模型，又需要可以做實時處理和計算的平臺，將告警結(jié)果分析、輸出。

目前，阿里云云盾的態(tài)勢感知則是基于阿里云的實時計算能力，即在大規(guī)模云計算環(huán)境中，對那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的要素，進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析，最終產(chǎn)出未來可能產(chǎn)生的安全事件的威脅風(fēng)險，并提供一個體系化的安全解決方案。也就是說，過去和現(xiàn)在不是態(tài)勢感知的核心，能預(yù)判未來才是。

誤區(qū)五 態(tài)勢感知未來的最大價值在于監(jiān)測

監(jiān)測是只是態(tài)勢感知的“幼年”階段，態(tài)勢感知這門技術(shù)、或者說是研究方向，還有巨大的空間亟待挖掘 —— 包括與機器學(xué)習(xí)、人機交互的技術(shù)結(jié)合。就現(xiàn)階段的態(tài)勢感知安全產(chǎn)品和服務(wù)來說，它真正要做到的絕不止檢測和告警，而是指導(dǎo)決策，和動態(tài)監(jiān)測。

未來，態(tài)勢感知需要模擬的是人的決策過程。可以預(yù)見，與人工智能的結(jié)合，通過API調(diào)用，形成強大的威脅情報網(wǎng)。從而對其它的安全產(chǎn)品“發(fā)出號令”，達(dá)到協(xié)同防御。事實上，態(tài)勢感知“協(xié)同指揮”的意義，在早期已經(jīng)明確。“協(xié)同態(tài)勢感”知在軍事領(lǐng)域中的英文概念是"Command Bridge"，指對一個軍事區(qū)的所有情況、威脅進(jìn)行監(jiān)測，然后迅速調(diào)動兵力做出相應(yīng)?！皡f(xié)作”和“橋梁”作用，是態(tài)勢感知不可缺少的功能。

動態(tài)監(jiān)測是態(tài)勢感知的另一個趨勢。人類至今可以對疾病蔓延、臺風(fēng)蔓延的趨勢，進(jìn)行動態(tài)監(jiān)測控制，而態(tài)勢感知在需要實現(xiàn)的，也是對整個網(wǎng)絡(luò)空間動態(tài)感知。如今，很多態(tài)勢感知產(chǎn)品還停留在“靜態(tài)數(shù)據(jù)分析”之上，由靜到動的飛躍過程，背后也需要算法和計算能力的支撐。

目前，阿里云云盾的概念框架中，態(tài)勢感知系統(tǒng)相當(dāng)于人體的神經(jīng)系統(tǒng)。單點防御設(shè)備——包括防火墻、入侵檢測、漏洞掃描系統(tǒng)，等等——相當(dāng)于神經(jīng)元，而事件的處理過程就相當(dāng)于神經(jīng)傳導(dǎo)和處理過程。從這個角度來看，態(tài)勢感知處理數(shù)據(jù)、將信息變成知識的過程與人腦的對外界信息的感知過程是類似的。

參考：

Bass T. Multisensor data fusion for next generation distributed intrusion detection systems. In: Proc. of the ’99 IRIS National Symp. on Sensor and Data Fusion. Laurel, 1999. 24?27.

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51.1753&rep=rep1& type=ps

《“十三五”國家信息化規(guī)劃》涉及網(wǎng)絡(luò)與信息安全的內(nèi)容摘錄

http://yepeng.blog.51cto.com/3101105/1886736?from=timeline&isappinstalled=0

龔正虎 等:網(wǎng)絡(luò)態(tài)勢感知研究

http://www.jos.org.cn/ch/reader/create_pdf.aspx?file_no=3835

實現(xiàn)態(tài)勢感知：通過安全防護系統(tǒng)獲取切實可行的見解

https://mcafee-uat.mcafee.com/cn/resources/technology-blueprints/tb-achieve-situational-awareness.pdf

國外太空態(tài)勢感知系統(tǒng)發(fā)展與展望

http://www.wendangwang.com/doc/bf70bdee647b8c23f38ea5f0

Space Situational Awareness

https://www.spacefoundation.org/programs/public-policy-and-government-affairs/introduction-space-activities/space-situational

美國愛因斯坦計劃技術(shù)分析

http://yepeng.blog.51cto.com/3101105/641002