網絡安全態勢感知綜述

常鎰恒 馬照瑞 李霞 鞏道福

摘 ? 要：網絡安全態勢感知是一種基于環境的、動態的、整體地洞悉安全風險的能力，能夠從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力。文章介紹了網絡安全態勢感知的相關概念以及發展現狀，根據態勢感知的邏輯分析框架，重點闡述了各個階段的作用和主流技術，對比分析了各種算法的優缺點，最后對未來大數據環境下的網絡安全態勢感知發展趨勢進行了分析和展望。

關鍵詞：網絡安全;態勢感知;機器學習;數據分析

中圖分類號：TP393.08 ? ? ? ? ?文獻標識碼：A

Abstract： Network security situation awareness is an environment-based， dynamic and overall ability to understand security risks， which can improve the ability to discover， identify， understand， analyze and respond to security threats from a global perspective. This paper introduces the related concepts and development status of network security situation awareness. According to the logical analysis framework of situation awareness， it focuses on the functions of each stage and mainstream technology， and compares and analyzes the advantages and disadvantages of various algorithms. Finally， the development trend of network security situational awareness in the future big data environment is analyzed and prospected.

Key words： network security; situational awareness; machine learning; the data analysis

1 引言

隨著工業化的發展，云計算、大數據、物聯網、數字信息的控制和移動終端等技術成為了新的戰略制高點，網絡已經成為信息社會發展的重要基礎，網絡安全問題受到了前所未有的重視。

現階段面對傳統安全防御體系失效的風險，態勢感知開始逐漸應用于網絡安全領域，它能夠全面感知網絡安全威脅態勢，洞悉網絡及應用運行健康狀態，通過全流量分析技術實現完整的網絡攻擊溯源取證，幫助安全人員采取針對性的響應處置措施。

2 網絡安全態勢感知概述

目前為止，對網絡安全的研究經歷了四個主要的階段如表1所示：安全保障的理想化設計、輔助檢測與被動防御、主動分析與策略制定、整體感知與趨勢預測。

直到1999年，Bass等人[1]受到空中交通管制（ATC）態勢感知的啟發，首次把態勢感知的概念應用到網絡安全領域。緊接著Bass在文獻[2]中又提出了多傳感器集成后的入侵檢測框架的態勢感知概念，隨后Batsell S G[3]和Shifflet J[4]也提出了類似框架。……