写入“十三五”规划的态势感知，你真正了解它吗？

从习总书记419讲话，到《网络安全法》出台，再到《“十三五”国家信息化规划》，“态势感知”几乎成为了网络安全的基础词汇，人人需知。然而，对于态势感知的概念，安全圈内外仍存在很多误解。

今天，安全君梳理了态势感知的“身世来历”，和大家在谈及、使用这个概念时的几大误区，希望能帮助大家真正理解态势感知对于网络安全环境的意义。

误区一 态势感知一词起源于网络安全领域

态势感知的概念源于军事需求。西方科技强国在近几十年中将大量的资源投入到太空和军事领域的态势感知研究与开发中。欧美国家研发的态势感知系统主要是以光电监测为主的战术信息系统、导弹预警系统（反导态势感知系统）和太空飞行物监测系统等等。

U.S. Coast Guard 对军方学员的“态势感知”课程考试题

上世纪末90年代，态势感知(Situation Awareness)才被引入到信息技术安全领域，并首先用于对下一代入侵检测系统的研究。其中最成熟的应用，当属美国爱因斯坦计划。爱因斯坦计划始于2003年，目的是让“系统能够自动地收集、关联、分析和共享美国联邦国内政府之间的计算机安全信息，从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁。”

爱因斯坦系统管理系统截图

误区二 态势感知是国内首先提出的概念

Tim Bass 于 1999 年首次提出网络态势感知（cyberspace situational awareness，简称 CSA)的概念。所谓网络态势是指由各种网络设备运行状况、网络行 为以及用户行为等因素所构成的整个网络的当前状态和变化趋势。值得注意的是，态势强调环境、动态性以及 实体间的关系，是一种状态和趋势,一个整体和宏观的概念，任何单一的情况或状态都不能称其为态势。

有趣的是，态势感知再90年代被引入国内之时，这一概念在安全行业内热度一直不温不火，直到2015年阿里巴巴安全峰会上，阿里云安全首席研究员吴翰清（道哥）引起的一场辩论：为什么现有的防御手段无法防御黑客攻击；为什么用了防火墙或IPS等“老三样”还被黑客入侵。道哥由此介绍出了态势感知的概念。

2015年下半年至2016年，态势感知的概念开始在安全行业中成长起来。2015年9月，阿里云态势感知产品公测，成为国内首个以“态势感知”命名的云安全产品，基于算法和模型做分析进行威胁分析和风险评判，颠覆以往基于规则的安全检测。

误区三 态势感知专用于网络安全领域

态势感知不是网络安全领域的专用词汇。太空研究，核反应控制、国际关系等领域，都有态势感知的身影。

2016年7月，国际关系学院和对外经济贸易大学7月2日在北京发布其共同研究成果“国际安全态势感知指数”，这是国内第一份对国际安全问题进行量化评估的大数据评级指数，围绕安全外交理论与实践、领土冲突与国际安全秩序构建、跨境安全议题与全球治理三个框架。

视频：国际安全态势感知指数发表

在太空领域，态势感知（SSA）技术，也同时应用于军事、商业和学术研究领域。“太空态势感知研究”的主要指对地球周边天体和人造飞行物的物理位置、运行轨迹进行定位，理解、预测各自的运行状况，避免互相撞击、冲突。除此之外，态势感知技术还应用于航天飞行中对于人因(HumanFactor)的研究，空中交通监管(AirTraffic Control，ATC) 等等。

太空态势感知

误区四 态势感知是SIEM的高级版

没有预测的态势感知，就不叫态势感知。Bass在态势感知最初的研究框架中就提出Close-the-loop的概念，既态势感知必须要有“评估”（Assessment) - “预测”（Forecast) - "可视化"(Visualization) - 和“联动”（Comprehension)四个环节，缺一不可。

Tim Bass提出的态势感知研究框架

没有对非结构化数据分析，也不能叫真正的态势感知。结构不一、而又相互关联的数据，就如同大脑接收到的不同信息（声音、气味等）。态势感知的其中一大作用，就是将这些数据的关联理清，这就需要用到数据挖掘和神经网络技术。

实现这一连串的计算，好比大脑调动神经元，处理无数信息，并不是件容易的事。既需要强大的算法模型，又需要可以做实时处理和计算的平台，将告警结果分析、输出。

目前，阿里云云盾的态势感知则是基于阿里云的实时计算能力，即在大规模云计算环境中，对那些能够引发网络安全态势发生变化的要素，进行全面、快速和准确地捕获和分析，最终产出未来可能产生的安全事件的威胁风险，并提供一个体系化的安全解决方案。也就是说，过去和现在不是态势感知的核心，能预判未来才是。

误区五 态势感知未来的最大价值在于监测

监测是只是态势感知的“幼年”阶段，态势感知这门技术、或者说是研究方向，还有巨大的空间亟待挖掘 —— 包括与机器学习、人机交互的技术结合。就现阶段的态势感知安全产品和服务来说，它真正要做到的绝不止检测和告警，而是指导决策，和动态监测。

阿里云首席安全研究员吴翰清

在2017中国可信计算与网络安全等级保护高峰论坛上的分享

《云计算铸建网络安全态势感知》

未来，态势感知需要模拟的是人的决策过程。可以预见，与人工智能的结合，通过API调用，形成强大的威胁情报网。从而对其它的安全产品“发出号令”，达到协同防御。事实上，态势感知“协同指挥”的意义，在早期已经明确。“协同态势感”知在军事领域中的英文概念是"Command Bridge"，指对一个军事区的所有情况、威胁进行监测，然后迅速调动兵力做出相应。“协作”和“桥梁”作用，是态势感知不可缺少的功能。

动态监测是态势感知的另一个趋势。人类至今可以对疾病蔓延、台风蔓延的趋势，进行动态监测控制，而态势感知在需要实现的，也是对整个网络空间动态感知。如今，很多态势感知产品还停留在“静态数据分析”之上，由静到动的飞跃过程，背后也需要算法和计算能力的支撑。

目前，阿里云云盾的概念框架中，态势感知系统相当于人体的神经系统。单点防御设备——包括防火墙、入侵检测、漏洞扫描系统，等等——相当于神经元，而事件的处理过程就相当于神经传导和处理过程。从这个角度来看，态势感知处理数据、将信息变成知识的过程与人脑的对外界信息的感知过程是类似的。

阿里云云盾态势感知的可视化大屏

参考：

Bass T. Multisensor data fusion for next generation distributed intrusion detection systems. In: Proc. of the ’99 IRIS National Symp. on Sensor and Data Fusion. Laurel, 1999. 24−27.——http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.51.1753&rep=rep1& type=ps

《“十三五”国家信息化规划》涉及网络与信息安全的内容摘录——http://yepeng.blog.51cto.com/3101105/1886736?from=timeline&isappinstalled=0

龚正虎 等:网络态势感知研究——http://www.jos.org.cn/ch/reader/create_pdf.aspx?file_no=3835

实现态势感知：通过安全防护系统获取切实可行的见解——https://mcafee-uat.mcafee.com/cn/resources/technology-blueprints/tb-achieve-situational-awareness.pdf

国外太空态势感知系统发展与展望——http://www.wendangwang.com/doc/bf70bdee647b8c23f38ea5f0

Space Situational Awareness——https://www.spacefoundation.org/programs/public-policy-and-government-affairs/introduction-space-activities/space-situational

美国爱因斯坦计划技术分析——http://yepeng.blog.51cto.com/3101105/641002