網絡安全感知應用實踐態勢感知常用分析模型0102態勢感知應用關鍵點Content目錄01

態勢感知常用分析模型態勢感知常用分析模型1、始于感知：Endsley模型

Endsley模型中，態勢感知始于感知。

感知包含對網絡環境中重要組成要素的狀態、屬性及動態等信息，以及將其歸類整理的過程。態勢感知常用分析模型Commonanalysismodelsofsituationawareness

在網絡安全態勢感知的分析過程中，會應用到很多成熟的分析模型，這些模型的分析方法雖各不相同，但多數都包含了感知、理解和預測的三個要素。

理解則是對這些重要組成要素的信息的融合與解讀，不僅是對單個分析對象的判斷分析，還包括對多個關聯對象的整合梳理。同時，理解是隨著態勢的變化而不斷更新演變的，不斷將新的信息融合進來形成新的理解。態勢感知常用分析模型2、循環對抗：OODA模型

OODA是指觀察（Oberve）、調整（Orient）、決策（Decide）以及行動（Act），它是信息戰領域的一個概念。OODA是一個不斷收集信息、評估決策和采取行動的過程。

將OODA循環應用在網絡安全態勢感知中，攻擊者與分析者都面臨這樣的循環過程：在觀察中感知攻擊與被攻擊，在理解中調整并決策攻擊與防御方法，預測對手下一個動作并發起行動，同時進入下一輪的觀察。

如果分析者的OODA循環比攻擊者快，那么分析者有可能“進入”對方的循環中，從而占據優勢。例如通過關注對方正在進行或者可能進行的事情，即分析對手的OODA環，來判斷對手下一步將采取的動作，而先于對方采取行動。態勢感知常用分析模型Commonanalysismodelsofsituationawareness態勢感知常用分析模型3、數據融合：JDL模型

JDL（JointDirectorsofLaboratories）模型是信息融合系統中的一種信息處理方式，由美國國防部成立的數據融合聯合指揮實驗室提出。

JDL模型將來自不同數據源的數據和信息進行綜合分析，根據它們之間的相互關系，進行目標識別、身份估計、態勢評估和威脅評估，融合過程會通過不斷的精煉評估結果來提高評估的準確性。

在網絡安全態勢感知中，面對來自內外部大量的安全數據，通過JDL模型進行數據的融合分析，能夠實現對分析目標的感知、理解與影響評估，為后續的預測提供重要的分析基礎和支撐。態勢感知常用分析模型Commonanalysismodelsofsituationawareness態勢感知常用分析模型4、假設與推理：RPD模型

RPD（RecognitionPrimedDecision）模型中定義態勢感知分為兩個階段：感知和評估。

感知階段通過特征匹配的方式，將現有態勢與過去態勢進行對比，選取相似度高的過去態勢，找出當時采取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案，推測當前態勢可能的演化過程，并調整行動方案。

以上方式若遇到匹配結果不理想的情況，則采取構造故事的方式，即根據經驗探索潛在的假設，再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為：基于假設進行相關信息的收集（感知），特征匹配和故事構造（理解），假設驅動思維模擬與推測（預測）。態勢感知常用分析模型Commonanalysismodelsofsituationawareness02

態勢感知應用關鍵點態勢感知應用關鍵點

當前，單維度的網絡安全防御技術手段，已經難以應對復雜的網絡環境和大量存在的安全問題，對網絡安全態勢感知具體模型和技術的研究，已經成為2.0時代網絡安全技術的焦點，同時很多機構也已經推出了網絡安全態勢感知產品和解決方案。態勢感知應用關鍵點Keypointsofsituationawarenessapplication

但是，目前市場上的的相關產品和解決方案，都相對偏重于網絡安全態勢的某一個或某幾個方面的感知，網絡安全態勢感知的數據分析的深度和廣度還需要進一步加強，同時網絡安全態勢感知與其它系統平臺的聯動不足，無法將態勢感知與安全運營深入融合。

為此，太極信安認為網絡安全態勢感知平臺的建設，應著重考慮以下幾個方面的內容：態勢感知應用關鍵點1、在數據采集方面，網絡安全數據來源要盡可能的豐富，應該包括網絡結構數據、網絡服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等，只有這樣態勢評估結果才能準確。態勢感知應用關鍵點Keypointsofsituationawarenessapplication2、在態勢評估方面，態勢感評估要對多個層次、多個角度進行評估，能夠評估網絡的業務安全、數據安全、基礎設施安全和整體安全狀況，并且應該針對不同的應用背景和不同的網絡規模選擇不同的評估方法。3、在態勢感知流程方面，態勢感知流程要規范，所采用的算法要簡單，應該選擇規范化的、易操作的評估模型和預測模型，能夠做到實時準確的評估網絡安全態勢。態勢感知應用關鍵點4、在態勢預測方面，態勢感知要能支持對不同的評估結果預測其發展趨勢，預防大規模安全事件的發生。態勢感知應用關鍵點Keypointsofsituationawarene