文/龚俭

态势感知是指在特定的时间和空间下，对环境中各元素或对象的觉察、理解以及对未来状态的预测。它包含觉察：数据收集；理解：对象行为及相互影响，以及预测：基于规则的信息映射等不同的内容和环节。初期，这一概念主要被应用于工业控制领域，美国空军通信与信息中心的Tim Bass在1999年首次提出将态势感知技术应用于多个NIDS检测结果的数据融合分析。在互联网领域，其应用也是一样。网络架构中接入的大量网络测量设备，相当于部署了很多雷达，这些设备实时检测网络系统的状态和可能出现的风险。通过识别后将相关安全问题的数据收集、融合，再将融合后的数据进行分辨，以确认攻击行为。然后对这些攻击行为进行监测和排序，以确定哪个攻击行为的威胁度最强，从而对其作出反应。

where A is the sinusoidal test signal;a1is F.S.1.5%of the actuator;f is the test frequency of the system.

网络安全态势感知包括三个级别，第一是能够感知攻击的存在；第二是能够识别攻击者，或攻击的意图；最高级别是风险评估，通过对攻击者行为的分析，评估该行为（包括预期的后续动作）对网络系统有什么危害，从而为决策提供重要的依据。

目前的网络安全检测通常包括两步，一步是异常检测，另一步是冗余消除。异常检测是基于攻击的特征和网络行为的基本规律来辨识异常网络行为的存在。异常检测大多数情况下是通过提取特征的方式进行攻击的识别，然后通过对网管系统获取的原始运行数据，IDS检测到的安全事件、原始攻击报文等相关数据进行处理，通过格式转化、冗余消除等细节操作，进行数据融合。在此基础上，通过某种数据挖掘或集群分类的算法，获得相关的检测结果。

网络安全态势感知的对象行为是指被管网络中IP地址和域名的行为语义，包括对象的行为模型：从时间、空间的角度；对象的行为分类：基于语义的异常判断；对象的行为关联性：发现活动的语义等。基于对对象和行为的分类和整理，可以形成对态势的认知，既对被管网络的威胁评估。

除了标准协议之外，赫优讯网关NT100-RE-EN还支持在netSCRIPT的帮助下创建串行协议，netSCRIPT基于Lua脚本语言。施耐德电气项目团队能够使用功能齐全的开发环境作为该软件包的标准功能，可对任何专有串行协议进行简单快速的编程，并可以在转换为另一个总线协议期间对IO数据进行预处理。

对于网络安全态势感知而言，对象状态的辨识是基础性的。例如，对被管网络相关IP地址和域名的辨识要包括其管理归属信息、使用位置信息、承载服务的角色信息等。在实际的操作中态势感知的实现需要对大量的数据进行收集融合和整理，对相关数据的获取与管理需要考虑两类不同的问题。鉴于这些数据在规模、结构和处理时限方面的特征，这是一个类大数据问题，需要确定收集什么，保存多久，抽样方法以及这些数据的隐私与安全等问题。另一类是相应的高性能问题，如面对万兆网络环境，依托多处理器环境和非标准内存数据库等。

过去对网络安全态势感知技术的研究主要集中在对网络攻击行为的检测和对这些检测结果的归纳，而这种归纳通常基于某种特定的理论模型。然而态势感知是一个认知过程，对其建立普适的模型仍然是一个未解决的问题。认知是一个反馈的学习过程，预设的模型会表现出对这个过程的限制，因此现有的这类系统都存在局限性和不准确性。可视化分析技术的兴起给网络安全态势感知的研究带来新的方向，即系统完成信息收集功能，而将认知工作交给人来做，系统应该提供表达能力和通用分析功能，既支持数据的探索，使得分析人员可以快速获得尝试性结果。例如，对于恶意服务和威胁的可视化，可考虑在知觉能力的限制基础上实现大规模的图形可视化，以便于网管人员通过图形更加容易地发现问题。