源流
态势感知的概念最早在军事领域提出,覆盖感知、理解和预测三个层次,随着计算机网络的发展又提出了“网络态势感知(Cyberspace Situation Awareness,CSA)”,即在大规模网络环境中对引起网络态势发生变化的要素进行获取、理解、展示以及对发展趋势进行预测,从而帮助决策和行动。随着网络安全复杂性的凸显,态势感知在网络安全领域得到高度重视和广泛应用。
定义
网络安全态势感知是一种基于环境动态地、整体地洞悉安全风险的能力,它利用数据融合、数据挖掘、智能分析和可视化等技术,直观显示网络环境的实时安全状况,为网络安全保障提供技术支撑。
工作过程
网络安全态势感知系统的工作过程大致分为安全要素采集、安全数据处理、安全数据分析和分析结果展示这几个关键阶段:
1、安全要素采集是获取与安全紧密关联的海量基础数据,包括流量数据、各类日志、漏洞、木马和病毒样本等;
2、安全数据处理是通过对采集到的安全要素数据进行清洗、分类、标准化、关联补齐、添加标签等操作,将标准数据加载到数据存储中;
3、安全数据分析和分析结果展示是利用数据挖掘、智能分析等技术,提取系统安全特征和指标,发现网络安全风险,汇总成有价值的情报,并将网络安全风险通过可视化技术直观地展示出来。
作用
借助网络安全态势感知,运维人员可以及时了解网络状态、受攻击情况、攻击来源以及哪些服务易受到攻击等情况;用户单位可以清楚地掌握所在网络的安全状态和趋势,做好相应的防范准备,减少甚至避免网络中病毒和恶意攻击带来的损失;应急响应组织也可以从网络安全态势中了解所服务网络的安全状况和发展趋势,为制定有预见性的应急预案提供基础。
摘自保密科学技术公众号