态势感知(SA,Situational Awareness or Situation Awareness)是对一定时间和空间内的环境元素进行感知,并对这些元素的含义进行理解,最终预测这些元素在未来的发展状态。当前,大家提到“态势感知”时主要是指“网络安全态势感知”,即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态,识别出当前网络中存在的问题和异常活动,并作出相应的反馈或改进。通过对一段时间内的网络安全状况进行分析和预测,为高层决策提供有力支撑和参考。
态势感知的概念来源
态势感知的概念起源于20世纪80年代的美国空军,当时主要用于分析空战环境信息,对当前和未来形势进行分析,最终做出相应的判断和决策。后来经过不断发展和完善,形成相关理论体,已广泛应用于军事、航空、工业生产、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。
网络空间态势感知是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,进而进行决策与响应。网络空间态势感知系统包括硬件传感器(如网络接口卡、网络探针等)、威胁感知系统,以及人类的高级决策。其中威胁感知系统包括入侵检测系统、日志文件传感器、反病毒系统、恶意软件检测程序、防火墙等,是网络空间态势感知系统的核心支撑,同时通过这些系统获得的数据还需要在算法甚至人类决策的支持下转化为更为抽象的信息,才能真正地体现网络空间的“态”和“势”。
态势感知的概念比较抽象,我们举个例子来帮助理解:天气预报就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析,我们可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测,如台风、雾霾、暴雪等,对我们来讲尤为重要。通过提前进行人员和财产的转移,准备相关抗灾措施,可以大大降低灾害带来的影响,这就是进行“态势感知”的重要目的。
另外的解释如下:
态势感知最早由军事领域提出。美国空军在20世纪80年代提出了态势感知的概念雏形,其内涵覆盖认知、理解和预测3个层次。态势感知概念的明确定义是在1988年由M.安德斯雷(Mica Endsley)提出的。90年代,态势感知的概念逐渐被多个领域所关注。
按照信息处理的层次,可将态势感知分为态势认知、态势理解和态势预测3个阶段。
一、态势认知阶段主要包括觉察当前状态和感知信息素材。觉察当前状态包括状态识别与确认。状态识别仅识别当前有无攻击正在发生,而状态确认包括确认攻击的类型、攻击源(谁发起的攻击)和攻击目标等;感知信息素材包括了解收集的态势感知信息素材的质量和可信度,以及由此形成的知识-情报-决策的质量,其中质量评价标准包括真实性、完整性和有效性。
二、态势理解阶段主要包括攻击影响感知、攻击行为感知和当前态势的原因及过程感知。攻击影响感知又称攻击影响评估,主要包括当前影响评估和未来影响评估(当前影响评估是指当前的损害评估,未来影响评估是指在假设攻击会继续下去或变得更为普遍的情况下,对将会造成的损害进行的评估);攻击行为感知主要包括攻击趋势和攻击意图分析,重点关注某种网络态势下对手的行为,而非态势本身,侧重对攻击行为的分析,而不是对状态自身的分析;当前态势的原因及过程感知是感知当前态势为什么会发生或怎样引起当前态势的,包括因果关系分析和取证分析。
三、态势预测阶段主要包括态势演化感知和预测当前状态的发展趋势。态势演化感知是感知状态如何发展,重点是进行态势追踪;预测当前状态的发展趋势是预测对手将来可能采取的行为、活动和路径,并推断最合理的前景。
要实现网络空间态势感知,需要对网络中各种要素和数据进行提取、融合、处理、展示、决策。这就要求尽可能充分地掌握网络中的各种数据,对获得的大量、多样化的数据进行快速的处理,既能面向普通用户通俗直观地展示,又能应对各种专业分析场景,能够在态势的基础上给出提示、告警等决策支持。同时要求不仅能够提供过去和当前时刻的网络安全状态,还能对未来的安全态势进行预测。因此情报搜集获取能力、大数据处理能力、态势信息显示能力、辅助决策能力和态势预测能力是支撑态势感知的必备基础。
网络空间态势感知作为一种基础能力,应具备网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常;应具备威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的和手段进行快速判别。在此基础上感知和分析网络空间的状态,预测下一阶段的趋势,协助管理人员进行及时的威胁评估和决策执行,消除网络环境中存在的安全威胁。网络空间态势感知能力的提升将使人们能够穿透网络空间的迷雾,实现对态势的直观可视,提高网络空间的可视、可控能力,增强网络空间安全的应急响应能力。
态势感知的重要性
随着网络与信息技术的不断发展,人们的安全意识在逐步提高。我们已经不再笃定认为自己的网络是绝对安全的,相反的,我们认为网络遭受攻击是必然的、常态化的。我们不能阻止攻击行为,但是可以提前识别和发现攻击行为,尽可能降低损失。也就是说,安全防护思想已经从过去的被动防御向主动防护和智能防护转变。
同时,物联网和云技术的发展也是日新月异,很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等,这都为我们提出了新的挑战,也对网络安全人员的能力也提出了更高的要求。
正是在这样的背景下,以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级,实现以下三个方面的转变:
1. 安全建设的目标从满足合规转变为增强防御和威慑能力,并且更加注重对抗性,这对情报技术提出了更高要求。
2. 攻击检测的对象从已知威胁转变为未知威胁,通过大数据分析、异常检测、态势感知、机器学习等技术,实现对高级威胁的检测。
3. 对威胁的响应从人工分析并处置转变为自动响应闭环,强调应急响应、协同联动,实现安全弹性。
态势感知的应用场景
由于网络安全态势感知系统的建设复杂度和建设成本较高,所以当前主要应用场景还是在大型机构和大中型企业中。对于规模较小的单位,可以选择功能和架构相对简单、性能相对较弱的集成单一产品。
政府机关:从国家维度或省市行政管理维度,对相关信息基础设施的网络安全态势进行管理和监控。
大型行业:从行业体系维度,对行业内部系统的网络安全态势进行管理和健康。当前,网络安全态势感知的主要应用行业包括政务、金融、网络运营、教育等。
大型机构或企业:从日常安全运维角度出发,对核心资产和业务系统的安全状态进行管理和监控。
如何评估态势感知的建设结果
网络安全态势感知的建设结果可以从如下几个方面进行评估:
防御:利用掌握的情报和资产摸底信息,完善防御体系,消除资产风险。
检测:提供网络安全持续监控能力,快速、精准地检测出安全威胁。
响应:提供涵盖终端和网络的响应能力,支持攻击取证、事件溯源和威胁修复等。
预测:通过对历史安全情况、现网流行攻击和情报系统进行综合研判,提供改进建议。
态势感知的三个层级是什么
Mica Endsley在“Toward a theory of situation awareness in dynamic systems”(1995)中,仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然比较简单,但却是很多后续理论的基础,人们一般称该模型为Endsley模型(Endsley’s model)。
Endsley模型将态势感知分为三个层级,分别是态势要素感知、态势理解和态势预测。
要素感知(Level 1):感知环境中相关要素的状态、属性和动态等信息。
态势理解(Level 2):通过识别、解读和评估的过程,将不相关的要素信息联系起来,并关注这些信息对预期目标的影响。
态势预测(Level 3):基于对前两级信息的理解,预测未来的发展态势和可能产生的影响。
案例:华为的态势感知产品
针对金融、网安、政府、运营商等大、中、小型企业,华为推出基于大数据的APT防御产品HiSec Insight高级威胁分析系统(简称HiSec Insight)。HiSec Insight能够采集网络中的海量基础数据,如网络中的流量、各类设备的网络日志和安全日志等,通过大数据分析和机器学习技术,识别网络中的潜在威胁和高级威胁,从而实现对全网的安全态势感知。
高级威胁检测
HiSec Insight基于机器学习和大数据平台,可以快速、准确地实现边界和内网的高级威胁检测。
基于多源数据分析,包括原始流量、日志、Netflow等信息。
基于多种异常检测模型,包括加密流量检测、WEB异常检测、邮件异常检测、C&C异常检测和隐蔽通道检测等模型。
覆盖高级威胁的整个攻击链,包括资源侦查、外部渗透、命令与控制、内部扩散和数据外发等过程。
全网安全态势感知
HiSec Insight对网络中的攻击、威胁、漏洞和资产执行动态整合,通过大数据处理及整合能力,从全局视角为用户提供网络安全状态。通过图形化攻击溯源,展示完整的攻击路径,为后续的决策及行动提供一个有效、直观的参考。
综合安全态势:通过威胁地图、资产风险、漏洞、威胁源和安全资讯等信息多维度呈现全网安全态势。
内网安全态势:呈现内网安全相关的威胁事件、失陷主机、外联端口TOP和外联流量趋势等信息。
网站安全态势:呈现网站相关的威胁事件、漏洞、威胁源TOP、威胁类型分布和访问趋势等信息。
资产安全态势:呈现资产的漏洞分布、风险排行、高危端口分布和资产类型分布等信息。
脆弱性态势:呈现漏洞数量统计、漏洞分布、资产高危漏洞TOP、漏洞趋势和漏洞类型等信息。
威胁事件态势:呈现热点事件、威胁事件统计、威胁事件类型TOP和实时威胁事件等信息。
围绕“攻击者”的画像分析:呈现攻击者的信息、攻击链、攻击趋势和攻击相关的事件等信息。
围绕“失陷主机”的画像分析:呈现资产的风险、指纹信息、资产的漏洞和发生的威胁事件等信息。
安全响应联动
HiSec Insight基于智能检索,可以快速、准确地实现调查回溯。同时,结合HiSec安全解决方案可以实现网络安全协同,从单点防御转变为到全局防御,最终实现威胁自动处置,达到快速阻断威胁的目的。
支持通过关键字对日志和原始流量进行快速检索。
基于攻击链进行事件调查,支持关联原始流量并下载对应的PCAP文件,方便网络取证。
支持与终端EDR协同调查取证,快速确认终端感染范围。
支持与网络控制器、安全控制器、防火墙和终端EDR进行联动响应。
支持基于安全数据源或安全事件的响应编排功能,实现自动响应闭环。