网络安全行业报告：态势感知，主动安全防御体系（28页）

态势感知集检测、预警、响应处置功能为一体，是主动防御体系中的安全大脑。态势感知的概念最 早由美国空军在 20 世纪 80 年代时提出，其最为广泛的定义是指“在一定的时空范围内认知和理 解环境因素，并对未来的发展趋势进行预测”。随着互联网的迅猛发展，网络安全态势感知应运而 生，其工作原理是对网络环境中引起网络态势发生变化的安全要素信息进行获取、理解，评估网络 安全的状况，预测其发展趋势，并以可视化的方式展现给用户，帮助用户实现相应的安全决策与行 动，从而实现积极主动的动态安全防御。目前主流的态势感知产品支撑技术都是相近的，主要以全 流量分析为核心，结合威胁情报、UEBA（用户实体行为分析）、机器学习、大数据关联分析等。 被动防御时代以边界防护为主，防火墙是最重要的产品，主动防御时代安全大脑是防御体系中最 核心的组成部分，而态势感知充当的就是安全大脑的角色。

态势认知是态势感知的前提，态势感知是通过各类检测工具，检测收集多层次多维度的影响系统 安全性的数据。，从时间维度上看，不仅需要已有实时或准实时的数据，还需要通过更长时间的数 据来分析一些异常行为，以发现一些多阶段的新型攻击方式，而从数据维度看，主要包含网络安全 防护系统数据（如防火墙、WAF、IDS/IPS 等安全设备日志或告警等）、重要服务器及主机的数据 （如服务器安全日志、进程调用和文件访问等）、网络骨干节点数据、协同合作数据（如第三方的 威胁情报数据）、威胁感知数据以及资产脆弱性数据等。

态势理解是态势感知的核心，是在获取大量网络安全数据信息的基础上，通过解析信息之间的关联 性，对其融合以获取当前的网络安全态势，通过评估定性或定量分析网络当前的安全状况和薄弱环 节，并给出相应的应对措施。网络安全态势理解是从宏观的角度分析网络整体的安全状态，从而得 到综合的安全评估，达到辅助决策的目的。态势预测是根据网络安全态势的历史信息和当前状态，对网络未来安全状况的发展趋势进行预测， 它是态势感知的基本目标。实现真正的主动防御需要安全预警技术，即通过已检测或分析到的报警 信息来预测未来要发生的攻击行为，为组织的网络安全提供实时、动态、快速响应且主动的安全屏 障。由于网络攻击的随机性和不确定性，使得网络安全态势变化是一个复杂的非线性过程，传统的 预测模型方法已不适用，当前的研究主要朝智能预测方法发展。