1、態勢感知研究和應用現狀0、定義0.1 態勢感知“態勢感知” 這個詞最早源于軍事。 美國研發的各類導彈預警系統， 就是這 個概念最初的應用。 公認的態勢感知概念是： 在特定時空下， 對動態環境中各元 素或對象的感知、理解以及對未來狀態的預測。0.2 網絡態勢網絡態勢指的是由各種網絡設備運行狀況、 網絡行為以及用戶行為等因素所 構成的整個網絡當前狀態和變化趨勢。0.3 網絡態勢感知網絡態勢感知則是在大規模網絡環境中， 對能夠引起網絡態勢發生變化的安 全要素進行獲取、理解、顯示以及預測未來的趨勢。網絡態勢感知中的感知、理 解和預測元素能有效追蹤、 分析并提供有關新興威脅、 威脅攻擊者、 漏洞和惡意

2、軟件有關的可操作情報。 3態勢是一種狀態、 一種趨勢， 是整體和全局的概念， 任何單一的情況或狀態 都不能稱之為態勢。 因此對態勢的理解特別強調環境性、 動態性和整體性， 環境 性是指態勢感知的應用環境是在一個較大的范圍內具有一定規模的網絡； 動態性 是態勢隨時間不斷變化， 態勢信息不僅包括過去和當前的狀態， 還要對未來的趨 勢做出預測； 整體性是態勢各實體間相互關系的體現， 某些網絡實體狀態發生變 化，會影響到其他網絡實體的狀態，進而影響整個網絡的態勢。0.4 網絡安全態勢感知網絡安全態勢感知就是利用數據融合、 數據挖掘、智能分析和可視化等技術， 直觀顯示網絡環境的實時安全狀況， 為網絡安全

3、提供保障。 借助網絡安全態勢感 知，網絡監管人員可以及時了解網絡的狀態、 受攻擊情況、 攻擊來源以及哪些服 務易受到攻擊等情況， 對發起攻擊的網絡采取有效措施； 網絡用戶可以清楚地掌 握所在網絡的安全狀態和趨勢， 做好相應的防范準備， 避免和減少網絡中病毒和 惡意攻擊帶來的損失； 應急響應組織也可以從網絡安全態勢中了解所服務網絡的 安全狀況和發展趨勢，為制定有預見性的應急預案提供基礎。 7 0.5 深度態勢感知深度態勢感知的含義是 “對態勢感知的感知， 是一種人機智慧， 既包括了人 的智慧，也融合了機器的智能（人工智能） ”,是能指 +所指，既涉及事物的屬性 （能指、感覺）又關聯它們之間的關系

4、（所指、知覺） ，既能夠理解弦外之音， 也能夠明白言外之意。它是在 Endsley 以主體態勢感知（包括信息輸入、處理、 輸出環節）的基礎上，是包括人、機（物） 、環境（自然、社會）及其相互關系 的整體系統趨勢分析，具有“軟 /硬”兩種調節反饋機制；既包括自組織、自適 應，也包括他組織、互適應；既包括局部的定量計算預測，也包括全局的定性算 計評估，是一種具有自主、自動彌聚效應的信息修正、補償的期望-選擇 -預測-控制體系。從某種意義上講， 深度態勢感知是為完成主題任務在特定環境下組織 系統充分運用各種類人認知活動（如目的、感覺、注意、動因、預測、自動性、 運動技能、計劃、模式識別、決策、動機、

5、經驗及知識的提取、存儲、執行、反 饋等)的綜合體現。既能夠在信息、資源不足情境下運轉，也能夠在信息、資源 超載情境下作用。 111、研究現狀1.1 網絡安全態勢體系結構網絡安全態勢體系結構的實現形式主要有： C-S 模式、 B-S 模式、三層模 式的 B-S 結構、 基于 agent 的模型以及基于云計算的感知模式。 基于 agent 的 模型是目前應用比較廣泛的方式， 具有動態執行、 異步計算、 并行求解及智能化 路由的優點， 極大地提高態勢感知的速度與效率。 大連理工大學許彪提出基于智 能 agent 的網絡安全預測模型，充分發揮 agent 的獨立性和可擴展性等優點。 東北石油大學盧愛平

6、等提出基于移動 agent 的網絡安全態勢感知模型，體現網 絡安全態勢框架的動態化和分布式。 中國電力科學研究院蔣誠智等提出基于智能 agent 的電力信息網絡安全態勢感知模型，在數據采集層、評估分析層、協調管 理層和態勢決策層等部署 agen,對電力信息網絡安全監控和管理有一定的指導 意義。哈爾濱工程大學郭方方等提出基于一種云計算的四層網絡安全態勢感知模 型研究，有效解決節點處理能力不足的問題， 解決了網絡態勢信息生成準確性的 問題。云計算的分布式文件存儲方法和并行計算方法能夠很好地解決大規模數據 的高效存儲和處理問題。 基于云計算的網絡安全態勢感知模型及方法的研究是網 絡安全防護領域的新方

7、向，但是該技術目前還處于研究階段。 101.2 網絡安全態勢感知方法當前態勢評估方法主要包括貝葉斯網絡理論、隱馬爾可夫模型、 D-S 證據 理論、模糊邏輯等。 電子工程學院熊杰等研究貝葉斯網絡的推理模型及信息傳播 算法并驗證其有效性。 空軍工程大學方研等提出基于隱馬爾科夫模型的網絡安全 態勢評估方法。西安郵電學院李勝現等提出基于改進隱馬爾可夫模型的網絡動態 風險評估方法， 使用改進蟻群算法訓練隱馬爾可夫模型。 南京理工大學孟錦等提 出改進的時變 D-S 證據理論方法對多傳感器的證據進行融合。很多學者采用多 種評估相結合的方法，如劉煒等利用模糊識別和 D-S 證據理論，較好地解決多 樣本識別的不

8、一致問題， 有效地對識別結果進行融合。 寧波大學張紅兵等提出用 模糊邏輯和貝葉斯網絡技術結合的方法處理隨機環境中的態勢評估。 哈爾濱工程 大學司加全提出自適用模糊神經推理系統， 采用神經網絡與模糊系統相結合的評 估方式。 101.3 網絡安全態勢預測目前有很多預測方法， 如神經網絡、 灰色理論、時間序列分析和支持向量機 等。上海交通大學任偉等利用徑向基函數(Radial- BasisFunction, RBF)神經網絡方法對網絡安全態勢進行了預測。廣東工業大學尤馬彥等提出基于 Elman 神經網絡的網絡安全態勢預測方法。 哈爾濱工程大學張永波研究灰色系統理論在 預測模型中的應用。林肯實驗室的

9、Braun 和 Jeswani 以及 Lu 等利用支持向量 機作為融合技術,對多源、多屬性信息進行融合,從而產生對態勢的感知。南京 郵電大學甕乾村提出基于粒子群優化的支持向量機預測方法。 綜合目前網絡安全 態勢預測算法的優缺點, 很多研究人員采用多種預測方式相結合的方式對態勢進 行預測。如遼寧行政學院姚曄提出基于熵值法的網絡安全態勢組合預測模型。 江 西理工大學曾斌等提出一種遺傳算法和支持向量機相結合的網絡安全態勢預測 模型。 102、應用現狀2.1 態勢感知的提出1）傳統的安全設備、軟件和系統無法有效應對新的威脅傳統的安全設備、 軟件和系統不懂得新出現的違規和異常的意義和邏輯， 只 是單純的

10、依賴特征庫匹配進行著機械式的攔截 /放行判斷， 無法去有效判斷敵人， 防護也無從說起，即傳統安全防御手段對未知威脅沒有防御作用，主要體現在： 攻擊者與防御者在信息上不對稱； 缺少本地原始數據， 難以溯源分析； 缺少能在 海量數據中快速分析的工具；無法對信息系統內的海量數據進行有效利用。 122）安全技術專家能力有限雖然，攻擊者留下的訪問痕跡若是給有經驗的安全技術專家， 很可能可以熟 練地從海量信息中分析出來，但我們又不可能一直依靠專家 24 小時進行攻擊分 析。3）需要基于大數據分析實現安全監測預警 基于以上兩點，需要將不眠不休與安全專家的分析能力結合起來。這一點， 所有廠商都有了共同的認知，

11、 那就是基于大數據分析實現安全監測預警安全 態勢感知。2.2 態勢感知的三個階段：目前廠商普遍認為態勢感知可以分為三個階段： 態勢認知、 態勢理解和態勢 預測。 11）態勢認知態勢認知是了解當前的狀態，包括狀態識別與確認（攻擊發現） ，以及對態 勢認知所需信息來源和素材的質量評價。2）態勢理解態勢理解則包括了解攻擊的影響、 攻擊者（對手） 的行為和當前態勢發生的 原因及方式。簡單可概括為：損害評估、行為分析（攻擊行為的趨勢與意圖分析） 和因果分析（包括溯源分析和取證分析） 。3）態勢預測 態勢預測則是對態勢發展情況的預測評估，主要包括態勢演化（態勢跟蹤） 和影響評估（情境推演） 。2.3 態勢

12、感知能帶來的價值安全態勢感知， 遵循格物而致知的理念， 推究分析安全事件的規律從而產生 并具備對潛伏威脅的檢測和發現能力，最終直觀呈現安全現狀及威脅。 2.4“愛因斯坦”（ EINSTEIN ）計劃“愛因斯坦” 計劃是美國聯邦政府主導的一個網絡安全自動監測項目， 由國 土安全部（DHS）下屬的美國計算機應急響應小組（US-CERT）開發，用于監測 針對政府網絡的入侵行為，保護政府網絡系統安全。 “愛因斯坦”計劃分為三個 階段，具有四種能力， 包括：入侵檢測、 入侵防御、數據分析和信息共享。 其中， 愛因斯坦 3 計劃的總體目標是識別并標記惡意網絡傳輸（尤其是惡意郵件） ，以 增強網絡空間的安全

13、分析、 態勢感知和安全響應能力。 系統將能夠自動地檢測網 絡威脅并在危害發生之前作出適當的響應。美國政府仍然在支持該計劃，2016年 2月美國總統奧巴馬發布的 網絡安全國家行動計劃 ，“計劃”中指出將要拓 展“愛因斯坦”項目。 4 2.5“PLANX ”項目“PLANX ”是 DARPA 在 2012年公布的一個項目，主要目標是開發革命性 的技術在實時、大規模和動態的網絡環境中理解、 規劃和管理網絡戰。 基于一個 建立的通用地圖， 幫助軍方網絡操作人員可視化戰場以及在戰場中執行任務。 該 項目主要尋求在四個關鍵領域的創新研究： 理解網絡作戰空間， 自動化構建可核 查可量化的網絡操作， 開發在動

14、態、 存在爭奪以及敵對的網絡環境中進行操作的 操作系統或者平臺和大型網絡作戰空間的可視化與交互。 其中，大型網絡作戰空 間的可視化與交互包括： 開發直觀的視圖和整體用戶體驗， 網絡作戰空間的協同 交互能夠提供計劃、操作、態勢感知和戰爭博弈功能。2.6 網絡態勢感知分析能力（ CSAAC） 美國國防信息系統局（簡稱 DISA ）提供一整套基于云的解決方案，旨在對 來自美國國防部信息網絡（簡稱 DoDIN ）的大規模流量進行收集，同時提供分 析與可視化處理工具以提取數據中包含的信息。 這套解決方案集合被統稱為 “網 絡態勢感知分析能力” （簡稱 CSAAC ），且目前已經面向非安全互聯網協議路由

15、網絡（簡稱NIPRNET）與保密IP路由網絡（簡稱SIPRNET）交付。CSAAC能 夠提供以下幾種功能類型： DoDIN運營與態勢感知。以DoD企業郵件監控為例，CSAAC能夠為運 營人員提供近實時態勢感知能力， 從而快速掌握事故、 具體配置狀態以及郵件網 關過濾等相關情況。防御性網絡操作（簡稱DCO）。按指標作戰（簡稱FbI）屬于CSAAC之內 的網絡操作能力之一。 FbI 能夠幫助企業計算機網絡分析師利用自動化工作流審 查網絡威脅報告，提取潛在指標，面向未來進程提供警報并在必要時自動執行 DoD 對策流程。異常檢測。異常檢測套件屬于 CSAAC 功能之一，專門負責檢測可能對敏 感性 Do

16、D 數據的完整性、機密性或者可用性造成威脅的已驗證用戶。這項服務 還允許分析師在檢測到潛在內部威脅后向有關部門發出警告。 6 2.7NSA 公開項目美國國家安全局（NSA）開發的，現以開源軟件的方式向公眾公開的 32個 項目中也包含了專門用于態勢感知的工具 GRASSMARLIN ，用于提供工業控制 系統（ICS）、數據采集與監視控制（SCADA ）網絡的態勢感知以確保網絡安全。2.8 360 安全態勢感知系統360 安全態勢感知系統是基于環境的、動態、整體地洞悉安全風險的系統， 以安全大數據為基礎， 幫助政府監管機構、 行業和企業， 從全局視角提升對安全 威脅的發現識別、理解分析、相應處置能

17、力，實現安全能力的落地。其主要提出 四大核心功能：檢測、分析響應、預測預防和防御等功能。 132.9 匡恩威脅態勢感知平臺匡恩威脅態勢感知平臺通過主動探測特定 IP 網絡空間方式，不僅能夠檢索 在線的工業控制系統、 關鍵信息基礎設施以及物聯網設備， 而且可以獲得其詳細 系統信息和地理位置， 并分析安全隱患， 是一套對區域內工控及物聯網設備進行 網絡安全態勢分析、威脅量化評級以及安全預警的系統。 5 2.10“諦聽”網絡空間安全態勢感知平臺東北大學“諦聽”網絡安全團隊設計并實現的“諦聽”網絡空間安全態勢感 知平臺支持 22種服務的協議指紋識別， 實現基于威脅情報分析的全網工控資產 畫像，協議全覆

18、蓋、行業可細分、趨勢可感知，實現工控設備的多維數據采集、 蜜罐識別、漏洞掃描與評估等功能。3、擴展應用3.1 網絡態勢大數據可視化平臺 網絡態勢大數據可視化平臺的作用將抽象的網絡和系統數據進行可視化呈 現，從而對網絡中的安全設備、網絡設備、應用系統、操作系統等整體環境進行 安全狀態監測，幫助用戶快速掌握網絡狀況，識別網絡異常、入侵，把握網絡安 全事件發展趨勢，全方位感知網絡安全態勢。 23.2 主動防御技術 主動防御技術是采用行為算法針對新型未知攻擊、 組織化攻擊進行防御的技 術。主動防御技術在監控、分析、偵測等環節中采用主動感知，對未知威脅采取 行為識別、 智能處理和防御加固等主動性技術來進

19、行防御。 主動防御技術在未知 的攻擊發生的事前、 事中和事后都需要對受保護的系統進行主動防御和相應的測 試性操作，以確保系統的正常運行。 93.3 網絡靶場 網絡靶場是進行網絡攻防武器試驗的專業實驗室， 也是各國“網軍” 提前演 練戰術戰法的練兵場。 網絡靶場通過虛擬環境與真實設備相結合， 模擬仿真出真 實網絡空間攻防作戰的戰場環境， 可有效針對敵方的電子和網絡攻擊等進行戰爭 預演，以迅速提升網絡攻防作戰能力。2008 年，美國國防部高級研究計劃局發布關于開展“國家網絡靶場”項目 研發工作的公告，明確提出“國家網絡靶場”是國家網絡安全計劃的一部分。美 國的“國家網絡靶場”項目主要包括初步概念設計、交付靶場原型、進行靶場試 驗管理和正式運行 4 個階段。其研究重點是：支撐網絡空間安全技術演示驗證、 網絡武器裝備研制試驗、攻防對抗演練以及網絡風險評估分析等。在建設網絡靶場方面，英國也不甘落后，不僅建設了先進的“國家網絡靶場”， 還將部分靶場與美國“國家網絡靶場”聯網，建立了聯合網絡靶場，以便進行網 絡作戰協同訓練、評估和演習。此外，日本、加拿大和北約等相繼建立了自己的 網絡靶場， 歐洲