信息來(lái)源：E安全

2016年12月27日，國(guó)務(wù)院全文刊發(fā)了《“十三五”國(guó)家信息化規(guī)劃》，再次強(qiáng)調(diào)了態(tài)勢(shì)感知的重要性?！笆笕蝿?wù)”中的最后一項(xiàng)，健全網(wǎng)絡(luò)安全保障體系，提出”全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”，與習(xí)近平總書(shū)記在419網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話(huà)一致。

從習(xí)總書(shū)記419講話(huà)，到《網(wǎng)絡(luò)安全法》出臺(tái)，再到《“十三五”國(guó)家信息化規(guī)劃》，“態(tài)勢(shì)感知”幾乎成為了網(wǎng)絡(luò)安全的基礎(chǔ)詞匯，人人需知。然而，對(duì)于態(tài)勢(shì)感知的概念，安全圈內(nèi)外仍存在很多誤解。

今天，安全君梳理了態(tài)勢(shì)感知的“身世來(lái)歷”，和大家在談及、使用這個(gè)概念時(shí)的幾大誤區(qū)，希望能幫助大家真正理解態(tài)勢(shì)感知對(duì)于網(wǎng)絡(luò)安全環(huán)境的意義。

誤區(qū)一 態(tài)勢(shì)感知一詞起源于網(wǎng)絡(luò)安全領(lǐng)域

《孫子兵法》中就有論述，即“知己知彼，百戰(zhàn)不殆；不知彼不知己，每戰(zhàn)必殆”，態(tài)勢(shì)感知的精髓，在兵法中已可見(jiàn)。

態(tài)勢(shì)感知的概念源于軍事需求。西方科技強(qiáng)國(guó)在近幾十年中將大量的資源投入到太空和軍事領(lǐng)域的態(tài)勢(shì)感知研究與開(kāi)發(fā)中。歐美國(guó)家研發(fā)的態(tài)勢(shì)感知系統(tǒng)主要是以光電監(jiān)測(cè)為主的戰(zhàn)術(shù)信息系統(tǒng)、導(dǎo)彈預(yù)警系統(tǒng)（反導(dǎo)態(tài)勢(shì)感知系統(tǒng)）和太空飛行物監(jiān)測(cè)系統(tǒng)等等。

上世紀(jì)末90年代，態(tài)勢(shì)感知(Situation Awareness)才被引入到信息技術(shù)安全領(lǐng)域，并首先用于對(duì)下一代入侵檢測(cè)系統(tǒng)的研究。其中最成熟的應(yīng)用，當(dāng)屬美國(guó)愛(ài)因斯坦計(jì)劃。愛(ài)因斯坦計(jì)劃始于2003年，目的是讓“系統(tǒng)能夠自動(dòng)地收集、關(guān)聯(lián)、分析和共享美國(guó)聯(lián)邦國(guó)內(nèi)政府之間的計(jì)算機(jī)安全信息，從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅?！?/span>

誤區(qū)二 態(tài)勢(shì)感知是國(guó)內(nèi)首先提出的概念

Tim Bass 于 1999 年首次提出網(wǎng)絡(luò)態(tài)勢(shì)感知（cyberspace situational awareness，簡(jiǎn)稱(chēng) CSA)的概念。所謂網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)行 為以及用戶(hù)行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢(shì)。值得注意的是，態(tài)勢(shì)強(qiáng)調(diào)環(huán)境、動(dòng)態(tài)性以及 實(shí)體間的關(guān)系，是一種狀態(tài)和趨勢(shì),一個(gè)整體和宏觀的概念，任何單一的情況或狀態(tài)都不能稱(chēng)其為態(tài)勢(shì)。

有趣的是，態(tài)勢(shì)感知再90年代被引入國(guó)內(nèi)之時(shí)，這一概念在安全行業(yè)內(nèi)熱度一直不溫不火，直到2015年阿里巴巴安全峰會(huì)上，阿里云安全首席研究員吳翰清（道哥）引起的一場(chǎng)辯論：為什么現(xiàn)有的防御手段無(wú)法防御黑客攻擊；為什么用了防火墻或IPS等“老三樣”還被黑客入侵。道哥由此介紹出了態(tài)勢(shì)感知的概念。

2015年下半年至2016年，態(tài)勢(shì)感知的概念開(kāi)始在安全行業(yè)中成長(zhǎng)起來(lái)。2015年9月，阿里云態(tài)勢(shì)感知產(chǎn)品公測(cè)，成為國(guó)內(nèi)首個(gè)以“態(tài)勢(shì)感知”命名的云安全產(chǎn)品，基于算法和模型做分析進(jìn)行威脅分析和風(fēng)險(xiǎn)評(píng)判，顛覆以往基于規(guī)則的安全檢測(cè)。

誤區(qū)三 態(tài)勢(shì)感知專(zhuān)用于網(wǎng)絡(luò)安全領(lǐng)域

態(tài)勢(shì)感知不是網(wǎng)絡(luò)安全領(lǐng)域的專(zhuān)用詞匯。太空研究，核反應(yīng)控制、國(guó)際關(guān)系等領(lǐng)域，都有態(tài)勢(shì)感知的身影。

2016年7月，國(guó)際關(guān)系學(xué)院和對(duì)外經(jīng)濟(jì)貿(mào)易大學(xué)7月2日在北京發(fā)布其共同研究成果“國(guó)際安全態(tài)勢(shì)感知指數(shù)”，這是國(guó)內(nèi)第一份對(duì)國(guó)際安全問(wèn)題進(jìn)行量化評(píng)估的大數(shù)據(jù)評(píng)級(jí)指數(shù)，圍繞安全外交理論與實(shí)踐、領(lǐng)土沖突與國(guó)際安全秩序構(gòu)建、跨境安全議題與全球治理三個(gè)框架。

在太空領(lǐng)域，態(tài)勢(shì)感知（SSA）技術(shù)，也同時(shí)應(yīng)用于軍事、商業(yè)和學(xué)術(shù)研究領(lǐng)域?！疤諔B(tài)勢(shì)感知研究”的主要指對(duì)地球周邊天體和人造飛行物的物理位置、運(yùn)行軌跡進(jìn)行定位，理解、預(yù)測(cè)各自的運(yùn)行狀況，避免互相撞擊、沖突。除此之外，態(tài)勢(shì)感知技術(shù)還應(yīng)用于航天飛行中對(duì)于人因(HumanFactor)的研究，空中交通監(jiān)管(AirTraffic Control，ATC) 等等。

誤區(qū)四 態(tài)勢(shì)感知是SIEM的高級(jí)版

沒(méi)有預(yù)測(cè)的態(tài)勢(shì)感知，就不叫態(tài)勢(shì)感知。Bass在態(tài)勢(shì)感知最初的研究框架中就提出Close-the-loop的概念，既態(tài)勢(shì)感知必須要有“評(píng)估”（Assessment) - “預(yù)測(cè)”（Forecast) - "可視化"(Visualization) - 和“聯(lián)動(dòng)”（Comprehension)四個(gè)環(huán)節(jié)，缺一不可。

沒(méi)有對(duì)非結(jié)構(gòu)化數(shù)據(jù)分析，也不能叫真正的態(tài)勢(shì)感知。結(jié)構(gòu)不一、而又相互關(guān)聯(lián)的數(shù)據(jù)，就如同大腦接收到的不同信息（聲音、氣味等）。態(tài)勢(shì)感知的其中一大作用，就是將這些數(shù)據(jù)的關(guān)聯(lián)理清，這就需要用到數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)。

實(shí)現(xiàn)這一連串的計(jì)算，好比大腦調(diào)動(dòng)神經(jīng)元，處理無(wú)數(shù)信息，并不是件容易的事。既需要強(qiáng)大的算法模型，又需要可以做實(shí)時(shí)處理和計(jì)算的平臺(tái)，將告警結(jié)果分析、輸出。

目前，阿里云云盾的態(tài)勢(shì)感知?jiǎng)t是基于阿里云的實(shí)時(shí)計(jì)算能力，即在大規(guī)模云計(jì)算環(huán)境中，對(duì)那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的要素，進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析，最終產(chǎn)出未來(lái)可能產(chǎn)生的安全事件的威脅風(fēng)險(xiǎn)，并提供一個(gè)體系化的安全解決方案。也就是說(shuō)，過(guò)去和現(xiàn)在不是態(tài)勢(shì)感知的核心，能預(yù)判未來(lái)才是。

誤區(qū)五 態(tài)勢(shì)感知未來(lái)的最大價(jià)值在于監(jiān)測(cè)

監(jiān)測(cè)是只是態(tài)勢(shì)感知的“幼年”階段，態(tài)勢(shì)感知這門(mén)技術(shù)、或者說(shuō)是研究方向，還有巨大的空間亟待挖掘 —— 包括與機(jī)器學(xué)習(xí)、人機(jī)交互的技術(shù)結(jié)合。就現(xiàn)階段的態(tài)勢(shì)感知安全產(chǎn)品和服務(wù)來(lái)說(shuō)，它真正要做到的絕不止檢測(cè)和告警，而是指導(dǎo)決策，和動(dòng)態(tài)監(jiān)測(cè)。

未來(lái)，態(tài)勢(shì)感知需要模擬的是人的決策過(guò)程。可以預(yù)見(jiàn)，與人工智能的結(jié)合，通過(guò)API調(diào)用，形成強(qiáng)大的威脅情報(bào)網(wǎng)。從而對(duì)其它的安全產(chǎn)品“發(fā)出號(hào)令”，達(dá)到協(xié)同防御。事實(shí)上，態(tài)勢(shì)感知“協(xié)同指揮”的意義，在早期已經(jīng)明確。“協(xié)同態(tài)勢(shì)感”知在軍事領(lǐng)域中的英文概念是"Command Bridge"，指對(duì)一個(gè)軍事區(qū)的所有情況、威脅進(jìn)行監(jiān)測(cè)，然后迅速調(diào)動(dòng)兵力做出相應(yīng)。“協(xié)作”和“橋梁”作用，是態(tài)勢(shì)感知不可缺少的功能。

動(dòng)態(tài)監(jiān)測(cè)是態(tài)勢(shì)感知的另一個(gè)趨勢(shì)。人類(lèi)至今可以對(duì)疾病蔓延、臺(tái)風(fēng)蔓延的趨勢(shì)，進(jìn)行動(dòng)態(tài)監(jiān)測(cè)控制，而態(tài)勢(shì)感知在需要實(shí)現(xiàn)的，也是對(duì)整個(gè)網(wǎng)絡(luò)空間動(dòng)態(tài)感知。如今，很多態(tài)勢(shì)感知產(chǎn)品還停留在“靜態(tài)數(shù)據(jù)分析”之上，由靜到動(dòng)的飛躍過(guò)程，背后也需要算法和計(jì)算能力的支撐。

目前，阿里云云盾的概念框架中，態(tài)勢(shì)感知系統(tǒng)相當(dāng)于人體的神經(jīng)系統(tǒng)。單點(diǎn)防御設(shè)備——包括防火墻、入侵檢測(cè)、漏洞掃描系統(tǒng)，等等——相當(dāng)于神經(jīng)元，而事件的處理過(guò)程就相當(dāng)于神經(jīng)傳導(dǎo)和處理過(guò)程。從這個(gè)角度來(lái)看，態(tài)勢(shì)感知處理數(shù)據(jù)、將信息變成知識(shí)的過(guò)程與人腦的對(duì)外界信息的感知過(guò)程是類(lèi)似的。

參考：

Bass T. Multisensor data fusion for next generation distributed intrusion detection systems. In: Proc. of the ’99 IRIS National Symp. on Sensor and Data Fusion. Laurel, 1999. 24?27.

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51.1753&rep=rep1& type=ps

《“十三五”國(guó)家信息化規(guī)劃》涉及網(wǎng)絡(luò)與信息安全的內(nèi)容摘錄

http://yepeng.blog.51cto.com/3101105/1886736?from=timeline&isappinstalled=0

龔正虎 等:網(wǎng)絡(luò)態(tài)勢(shì)感知研究

http://www.jos.org.cn/ch/reader/create_pdf.aspx?file_no=3835

實(shí)現(xiàn)態(tài)勢(shì)感知：通過(guò)安全防護(hù)系統(tǒng)獲取切實(shí)可行的見(jiàn)解

https://mcafee-uat.mcafee.com/cn/resources/technology-blueprints/tb-achieve-situational-awareness.pdf

國(guó)外太空態(tài)勢(shì)感知系統(tǒng)發(fā)展與展望

http://www.wendangwang.com/doc/bf70bdee647b8c23f38ea5f0

Space Situational Awareness

https://www.spacefoundation.org/programs/public-policy-and-government-affairs/introduction-space-activities/space-situational

美國(guó)愛(ài)因斯坦計(jì)劃技術(shù)分析

http://yepeng.blog.51cto.com/3101105/641002