基金 项目2010.04专题研究 doi：10.3969/j.issn.1671-1122.2010.04.021 现了网络态势感知（NetworkSituation Awareness），或者安全态势感知（Security SituationAwareness）的概念。本文讨论 网络安全态势感知的态势感知特指网络安全态势感知。 目前，对于安全态势感知尚无统一 在安全管理平台中的应用研究定义，以下给出几个描述性定义： 叶蓬定义1[1]：态势感知是指一定时间 （网御神州科技（北京）有限公司SOC事业部，北京100085） 和空间内环境因素的获取，理解和对未 摘要：本文介绍了态势感知理论和经典模型，提出了一种面向安全管理平台来短期的预测。 （SOC）的态势感知模型。模型通过对IT资源的要素信息采集、事件预处理、事件归一化，定义2：所谓网络态势是指由各种 进行态势评估、业务评估、预警响应和态势可视化。模型还引入了数据挖据，作为对网络设备运行状况、网络行为以及用户 数据融合的补充。同时介绍了一个基于该模型的安全管理平台实例，展示了其实际应 行为等因素所构成的整个网络当前状态 用效果。 和变化趋势。网络态势感知是指在大规 关键词：网络安全；态势感知；安全管理平台；SOC 中图分类号：TP309文献标识码：A模网络环境中，对能够引起网络态势发 生变化的安全要素进行获取、理解、显 0引言平台。本文将研究如何将网络安全态势示以及预测最近的发展趋势。 感知应用于安全管理平台。 为了不断应对新的安全挑战，企业2网络安全态势感知模型 和组织先后部署了防火墙、UTM、入侵 1态势感知概述研究态势感知，就必须涉及数据融合 检测和防护系统、漏洞扫描系统、防病 1.1态势感知溯源（DataFusion）。数据融合是指将来自多个 毒系统、终端管理系统，构建起了一道 态势感知（SituationAwareness）的信息源的数据收集起来，进行关联、组合， 道安全防线。然而，这些安全防线都仅 概念最早源自我国古代的《孙子兵法》。提升数据的有效性和精确度。数据融合 仅抵御来自某个方面的安全威胁，形成 而现代意义上的态势感知研究也来自于的研究与态势感知在很多方面都是相似 了一个个“安全防御孤岛”，无法产生 战争的需要，在二战后美国空军对提升的。目前，大部分网络安全态势感知的模 协同效应。更为严重的是，这些复杂的 飞行员空战能力的人因工程学（Human型都是基于美国的军事机构JDL给出的 IT资源及其安全防御设施在运行过程 数据融合模型[3]衍生出来的,比较著名的 中不断产生大量的安全日志和事件，形Factor）研究过程中被提出来，至今仍 是TimBass提出的分布式入侵检测数据融 成了大量“信息孤岛”，有限的安全管然是军事科学领域的重要研究课题。 [2，4] 理人员面对这些数量巨大、彼此割裂的后来，态势感知渐渐被信息技术（IT）合模型。如图1所示，展示了一个典 安全信息，显得束手无策，工作效率极领域所采用，属于人工智能（Artificial型的网络安全态势感知模型： 低，难以发现真正的安全隐患。另一方Intelligence）范畴。 面，企业和组织日益迫切的信息系统审一般地，态势感知的核心部分可 计和内控要求、等级保护要求，以及不以理解为一个渐进明晰的过程，根据 断增强的业务持续性需求，也对客户提Endsley[1]提出的态势感知模型，通过态 出了严峻的挑战。势要素获取，获得必要的数据，然后通 针对上述不断凸显的客户需求，国过数据分析进行态势理解，进而实现对 内外陆续推出了安全管理平台（SOC：未来短期时间内的态势预测。需要特别图1一个典型的态势感知模型图 在这个基于人机交互的模型中，态 SecurityOperationsCenter）产品。海量指出的是，态势感知最终达成的目标是 势感知的实现被分为了5个级别（阶 异构信息源的安全事件处理是安全管实现对未来的短期预测，因而是一个动 理平台的核心流程，并一直制约着其发态、准实时系统。段），首先是对IT资源进行要素信息采 展。传统的基于日志收集和数据库查询1.2网络安全态势感知集，然后经过不同级别的处理及其不断 的技术无法满足安全管理平台的发展需在上个世纪末90年代，态势感知反馈，最终通过态势可视化实现人机交 要，以数据融合和事件关联分析为代表被引入到信息技术安全领域，并首先用互。5个处理级别分为是： 的态势感知技术逐步应用于安全管理于对下一代入侵检测系统的研究[2]，出1）数据预处理：属于可选的级别， 51 专题研究2010.04 对于部分不够规整的数据进行预处理，知具有很多共通性，本文借鉴已有成果Analysis）、态势评价（Situation 例如用户分布式处理、杂质过滤，等等；和经验，设计了一种面