信息來源：E安全

2016年12月27日，國務院全文刊發(fā)了《“十三五”國家信息化規(guī)劃》，再次強調了態(tài)勢感知的重要性?！笆笕蝿铡敝械淖詈笠豁?，健全網絡安全保障體系，提出”全天候全方位感知網絡安全態(tài)勢”，與習近平總書記在419網絡安全和信息化工作座談會上的講話一致。

從習總書記419講話，到《網絡安全法》出臺，再到《“十三五”國家信息化規(guī)劃》，“態(tài)勢感知”幾乎成為了網絡安全的基礎詞匯，人人需知。然而，對于態(tài)勢感知的概念，安全圈內外仍存在很多誤解。

今天，安全君梳理了態(tài)勢感知的“身世來歷”，和大家在談及、使用這個概念時的幾大誤區(qū)，希望能幫助大家真正理解態(tài)勢感知對于網絡安全環(huán)境的意義。

誤區(qū)一 態(tài)勢感知一詞起源于網絡安全領域

《孫子兵法》中就有論述，即“知己知彼，百戰(zhàn)不殆；不知彼不知己，每戰(zhàn)必殆”，態(tài)勢感知的精髓，在兵法中已可見。

態(tài)勢感知的概念源于軍事需求。西方科技強國在近幾十年中將大量的資源投入到太空和軍事領域的態(tài)勢感知研究與開發(fā)中。歐美國家研發(fā)的態(tài)勢感知系統(tǒng)主要是以光電監(jiān)測為主的戰(zhàn)術信息系統(tǒng)、導彈預警系統(tǒng)（反導態(tài)勢感知系統(tǒng)）和太空飛行物監(jiān)測系統(tǒng)等等。

上世紀末90年代，態(tài)勢感知(Situation Awareness)才被引入到信息技術安全領域，并首先用于對下一代入侵檢測系統(tǒng)的研究。其中最成熟的應用，當屬美國愛因斯坦計劃。愛因斯坦計劃始于2003年，目的是讓“系統(tǒng)能夠自動地收集、關聯(lián)、分析和共享美國聯(lián)邦國內政府之間的計算機安全信息，從而使得各聯(lián)邦機構能夠接近實時地感知其網絡基礎設施面臨的威脅?！?/span>

誤區(qū)二 態(tài)勢感知是國內首先提出的概念

Tim Bass 于 1999 年首次提出網絡態(tài)勢感知（cyberspace situational awareness，簡稱 CSA)的概念。所謂網絡態(tài)勢是指由各種網絡設備運行狀況、網絡行 為以及用戶行為等因素所構成的整個網絡的當前狀態(tài)和變化趨勢。值得注意的是，態(tài)勢強調環(huán)境、動態(tài)性以及 實體間的關系，是一種狀態(tài)和趨勢,一個整體和宏觀的概念，任何單一的情況或狀態(tài)都不能稱其為態(tài)勢。

有趣的是，態(tài)勢感知再90年代被引入國內之時，這一概念在安全行業(yè)內熱度一直不溫不火，直到2015年阿里巴巴安全峰會上，阿里云安全首席研究員吳翰清（道哥）引起的一場辯論：為什么現(xiàn)有的防御手段無法防御黑客攻擊；為什么用了防火墻或IPS等“老三樣”還被黑客入侵。道哥由此介紹出了態(tài)勢感知的概念。

2015年下半年至2016年，態(tài)勢感知的概念開始在安全行業(yè)中成長起來。2015年9月，阿里云態(tài)勢感知產品公測，成為國內首個以“態(tài)勢感知”命名的云安全產品，基于算法和模型做分析進行威脅分析和風險評判，顛覆以往基于規(guī)則的安全檢測。

誤區(qū)三 態(tài)勢感知專用于網絡安全領域

態(tài)勢感知不是網絡安全領域的專用詞匯。太空研究，核反應控制、國際關系等領域，都有態(tài)勢感知的身影。

2016年7月，國際關系學院和對外經濟貿易大學7月2日在北京發(fā)布其共同研究成果“國際安全態(tài)勢感知指數(shù)”，這是國內第一份對國際安全問題進行量化評估的大數(shù)據(jù)評級指數(shù)，圍繞安全外交理論與實踐、領土沖突與國際安全秩序構建、跨境安全議題與全球治理三個框架。

在太空領域，態(tài)勢感知（SSA）技術，也同時應用于軍事、商業(yè)和學術研究領域?！疤諔B(tài)勢感知研究”的主要指對地球周邊天體和人造飛行物的物理位置、運行軌跡進行定位，理解、預測各自的運行狀況，避免互相撞擊、沖突。除此之外，態(tài)勢感知技術還應用于航天飛行中對于人因(HumanFactor)的研究，空中交通監(jiān)管(AirTraffic Control，ATC) 等等。

誤區(qū)四 態(tài)勢感知是SIEM的高級版

沒有預測的態(tài)勢感知，就不叫態(tài)勢感知。Bass在態(tài)勢感知最初的研究框架中就提出Close-the-loop的概念，既態(tài)勢感知必須要有“評估”（Assessment) - “預測”（Forecast) - "可視化"(Visualization) - 和“聯(lián)動”（Comprehension)四個環(huán)節(jié)，缺一不可。

沒有對非結構化數(shù)據(jù)分析，也不能叫真正的態(tài)勢感知。結構不一、而又相互關聯(lián)的數(shù)據(jù)，就如同大腦接收到的不同信息（聲音、氣味等）。態(tài)勢感知的其中一大作用，就是將這些數(shù)據(jù)的關聯(lián)理清，這就需要用到數(shù)據(jù)挖掘和神經網絡技術。

實現(xiàn)這一連串的計算，好比大腦調動神經元，處理無數(shù)信息，并不是件容易的事。既需要強大的算法模型，又需要可以做實時處理和計算的平臺，將告警結果分析、輸出。

目前，阿里云云盾的態(tài)勢感知則是基于阿里云的實時計算能力，即在大規(guī)模云計算環(huán)境中，對那些能夠引發(fā)網絡安全態(tài)勢發(fā)生變化的要素，進行全面、快速和準確地捕獲和分析，最終產出未來可能產生的安全事件的威脅風險，并提供一個體系化的安全解決方案。也就是說，過去和現(xiàn)在不是態(tài)勢感知的核心，能預判未來才是。

誤區(qū)五 態(tài)勢感知未來的最大價值在于監(jiān)測

監(jiān)測是只是態(tài)勢感知的“幼年”階段，態(tài)勢感知這門技術、或者說是研究方向，還有巨大的空間亟待挖掘 —— 包括與機器學習、人機交互的技術結合。就現(xiàn)階段的態(tài)勢感知安全產品和服務來說，它真正要做到的絕不止檢測和告警，而是指導決策，和動態(tài)監(jiān)測。

未來，態(tài)勢感知需要模擬的是人的決策過程。可以預見，與人工智能的結合，通過API調用，形成強大的威脅情報網。從而對其它的安全產品“發(fā)出號令”，達到協(xié)同防御。事實上，態(tài)勢感知“協(xié)同指揮”的意義，在早期已經明確。“協(xié)同態(tài)勢感”知在軍事領域中的英文概念是"Command Bridge"，指對一個軍事區(qū)的所有情況、威脅進行監(jiān)測，然后迅速調動兵力做出相應?！皡f(xié)作”和“橋梁”作用，是態(tài)勢感知不可缺少的功能。

動態(tài)監(jiān)測是態(tài)勢感知的另一個趨勢。人類至今可以對疾病蔓延、臺風蔓延的趨勢，進行動態(tài)監(jiān)測控制，而態(tài)勢感知在需要實現(xiàn)的，也是對整個網絡空間動態(tài)感知。如今，很多態(tài)勢感知產品還停留在“靜態(tài)數(shù)據(jù)分析”之上，由靜到動的飛躍過程，背后也需要算法和計算能力的支撐。

目前，阿里云云盾的概念框架中，態(tài)勢感知系統(tǒng)相當于人體的神經系統(tǒng)。單點防御設備——包括防火墻、入侵檢測、漏洞掃描系統(tǒng)，等等——相當于神經元，而事件的處理過程就相當于神經傳導和處理過程。從這個角度來看，態(tài)勢感知處理數(shù)據(jù)、將信息變成知識的過程與人腦的對外界信息的感知過程是類似的。

參考：

Bass T. Multisensor data fusion for next generation distributed intrusion detection systems. In: Proc. of the ’99 IRIS National Symp. on Sensor and Data Fusion. Laurel, 1999. 24?27.

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51.1753&rep=rep1& type=ps

《“十三五”國家信息化規(guī)劃》涉及網絡與信息安全的內容摘錄

http://yepeng.blog.51cto.com/3101105/1886736?from=timeline&isappinstalled=0

龔正虎 等:網絡態(tài)勢感知研究

http://www.jos.org.cn/ch/reader/create_pdf.aspx?file_no=3835

實現(xiàn)態(tài)勢感知：通過安全防護系統(tǒng)獲取切實可行的見解

https://mcafee-uat.mcafee.com/cn/resources/technology-blueprints/tb-achieve-situational-awareness.pdf

國外太空態(tài)勢感知系統(tǒng)發(fā)展與展望

http://www.wendangwang.com/doc/bf70bdee647b8c23f38ea5f0

Space Situational Awareness

https://www.spacefoundation.org/programs/public-policy-and-government-affairs/introduction-space-activities/space-situational

美國愛因斯坦計劃技術分析

http://yepeng.blog.51cto.com/3101105/641002