态势感知的概念最早由美国空军提出，是为了分析空战环境信息、快速判断当前及未来形势，以作出正确反应进而提升空战能力而进行的研究。上世纪90年代概念被引入了信息安全领域，之后围绕这个主题就不断出现各种研究和实践，最知名的如美国的爱因斯坦计划（正式名称国家网络空间安全保护系统 The National Cybersecurity Protection System，简称NCPS），爱因斯坦计划从2003年开始，到2013年开始第三期的建设，整个过程可以认为是美国CERT及后续DHS（国土安全部）对态势感知的不断探索。从美国的持续不断投入，就可以看出网络空间安全的态势感知，对于国家、行业而言有多么重要的意义。

美国国家安全系统委员会针对态势感知给出的定义是：“在一定的时间和空间范围内，企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险，并对他们未来的状态进行预测”。从这句话我们也不难看出，态势感知是偏重于检测和响应分析能力的建设，这也确实是现实最迫切的需要。

为什么是最迫切的需要

我们国家的网络空间安全一直面临着巨大的挑战，截止2016年底，仅360公司共就累计监测到针对中国境内目标发动攻击的境内外APT组织36个，最近仍处于活跃状态的APT组织至少有13个 ，这些组织的攻击目标涵盖了政府机关、高校、科研机构以及为社会提供关键基础设施的行业／企业。同时专业化的网络犯罪团伙也使社会遭受了重大的损失，2016年被揭露出的“黄金眼”组织，使用一系列高端商业间谍软件，10多年时间潜伏并实时获取证券交易的核心数据，包括交易委托和交易记录，影响范围包括个人股民、基金管理公司和资产管理公司。今年爆发的“WannaCry”勒索蠕虫，更让我们看到了网络武器民用化之后可能造成的巨大灾害。

从现实中的网络安全建设看，多年来我们一直偏重于架构安全（漏洞管理、系统加固、安全域划分等）和被动防御能力（IPS、WAF、AV等）的建设，已经取得了一定的成果，但也到了一个瓶颈点。简单通过购买更多的安全设备已经不能使安全能力有提升，需要进一步提升安全运营水平并同时积极的开展主动防御能力的建设。也就是说，在建立了一定基本防御能力的基础上，需要增加非特征技术检测能力上的投入，并重点建设事件分析、响应能力。通过对事件的深度分析及信息情报共享，建立预测预警机制，并针对性改善安全系统。最终达到有效检测、防御新型攻击威胁之目的。

正是因为这些现实的需要，习总书记才会在4.19讲话中明确提出建设“全天候全方位感知网络安全态势 ”，也是因为这些现实问题，才会一经提出便有星火燎原之势。

建设的目标

“全天候全方位感知网络安全态势”为态势感知建设提到了一个通俗、简单、明确的目标。通过深入理解这句话的含义，能够让我们对态势感知的建设目标有一个深入的理解。

全天候全方位，可以理解为时间维度和检测内容维度。在时间维度上，需要利用已有实时或准实时的检测技术，还需要具备从更长时间数据（天、周、甚至更长）来分析、发现异常行为，特别是失陷情况的能力。在检测内容维度上，需要覆盖网络流量、终端行为、内容载荷三个方面。综合而言，就是要完整提供下面5类检测能力，至少4类（参照Gartner：Five Styles of Advanced Threat Defense

）：

1. 基于流量特征的实时检测；（WAF、IPS、NGFW等）

2. 基于流量日志的异常分析机制；（流量传感器、Hunting、UEBA）

3. 针对内容的静态、动态分析机制；（沙箱）

4. 基于终端行为特征的实时检测；（ESP）

5. 基于终端行为日志的异常分析机制；（EDR、Hunting、UEBA）

“态”指是从全局角度看到的现状，包括组织自身的威胁状态和整体的安全环境，态必须是基于真实情况所呈现的整体风险状况。更清楚的说，需要基于之前提到的5种检测能力尽可能的发现攻击事件或攻击线索，同时需要对涉及到的报警提供进一步的分析，回答以下的问题：

1. 是真实的攻击吗，是否可能误报，是否把扫描识别为真实攻击？

2. 是什么性质的攻击，定向或者随机？

3. 可能的影响范围和危害；

4. 缓解或者清除的方法及难度；

无法正确的回答这些问题，只是简单的将报警在地图上呈现就无法体现有现实价值的“态”，无法确定合理的处置方式。

“势”，即未来的状态。要能预测组织未来的安全状态，需要对现阶段所面临的攻击事件特别是定向攻击事件，有深入的了解：

1. 是新的攻击团队还是已知团伙；

2. 攻击者的意图；

3. 攻击者的技战术水平及特点；

4. 是否属于一次大型战役的一部分；

了解这些信息，同时通过信息和情报共享，对同行业或相似部门的相关此类信息也有所了解，就能够预测未来可能处于的安全状态以及需要防御的重点，即预测、预防能力。

关键因素

为建成以上提到的建设目标，需要把握住几个核心点，它们包括：流量数据采集、威胁情报、安全分析团队（人和流程）。

流量数据采集相对而言实施难度较小，同时还有着不可替代的价值：通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP（战术、技术和过程）。因此流量数据是态势感知中必须考虑的一环。如何处理流量数据曾经有多种的做法，10多年前大家考虑的更多是基于Flow的方式，美国爱因斯坦计划的第一期就是使用了这种方案，但是很快发现Flow的信息内容是不足以支撑既定的目的，二期时候就改变为一种复合型的方式（实时检测引擎+PSTR），PSTR是介于Flow和PCAP之间的流量数据方案，它对流量的压缩比较高但同时保留了安全分析过程中最经常要用到的内容，同时它的数据是结构化的，可以更方便的用来进行统计、排序、搜索等Hunting常见的操作，现阶段对于网络持续监控领域已经成为了最优选择。还有一种PCAP方式，由于分析的及时性差、保存成本高、难以进行长时分析，更多的成为一种取证工具，而不是持续监控工具。

威胁情报是随着新型威胁防御快速成长的一个领域。威胁情报类型很多，在态势感知建设中都有着决定性的作用。最经常被提到的一类是可机读情报（MRTI），它主要是赋能给安全产品，增强或升级其安全能力。如失陷检测IOC（也称远程命令和控制 CnC情报），可以用来发现内部被攻击者控制的失陷主机并实时阻截其和攻击者之间的通信，遏抑真实损失的发生。IP信誉类情报可以用来防护互联网服务器，阻截特定的攻击，很多是传统方法难以防御的，如大网扫描、撞库、数据爬取等。而文件信誉可以提供比单一AV或沙箱引擎更完整、精准的检测能力。这些机读情报都带有详细的上下文，因此除了检测还可以提供更多信息，回答攻击的性质、攻击危害、攻击团伙等态势感知需要的关键信息。通过检测类产品和情报平台间交互查询的方式，可以给传统安全产品报警数据提供丰富的上下文信息。

为了帮助安全分析师完成对事件的分析，威胁情报领域内提供了专业的情报分析工具（情报分析平台／关联分析平台），分析师通过平台方便的完成过去付出极大体力和脑力也难以进行的工作：

1. 判定一个攻击是否属于已知攻击；

2. 查找和攻击相关的网络基础设施（域名、主机）及样本；

3. 了解这些基础设施和样本的详情；

4. 判定攻击是否和某个已知团伙相关并了解这个攻击团伙的基本情况；

5. … …

威胁情报中还有一类TTP类型的情报，它属于人读的情报，主要针对已发生的重要安全事件，分析攻击者的攻击范围、攻击目的、具体的技战术手法和攻击过程，并提炼出防御建议。这类情报可以来源于相关行业和组织态势感知系统分析的结果，也可以来自于商业安全公司，利用这类情报我们可以预测组织可能受到什么类型的攻击，并采取针对性的防护措施。

流量数据和威胁情报都很重要，但它们能发挥多大作用，最终还是要依赖与人的力量。而其中最重要的就是安全分析师，因为他们属于安全运营中的高阶人才，在当前任何地方，都是属于稀缺资源。安全分析师的成长需要较好的环境（如数据和情报）、以及大量的实战机会，难以大批量培养。为了解决这个问题，大家曾寄希望与机器学习和人工智能，但从短期看，无论是误报率的问题，还是报警缺乏基本的上下文信息等，都不可能迅速解决，而数据的完备性和检测模型的更新就是更大的困难。因此在态势感知中，安全分析师是必须倚重的重要部分。他是确定态势感知项目成败的又一个关键因素，成功的态势项目必须考虑到如何引入或培养这样的人才，并通过提供好的工具和流程来支撑他们高效的完成任务。

态势感知是综合性的安全能力建设，涉及到的关键因素不仅仅是上面提到的流量数据、威胁情报以及安全分析师，大家经常提到的大数据平台、可视化、资产管理等都是值得一提的，但前面3个在很多时候并没有被足够的关注，成为影响项目成败的关键因素。

分阶段建设

态势感知建设是个复杂的系统工程，分阶段建设是一种必要、稳妥的方法，下面综合态势感知中涉及的主要方面，给出一些阶段性的划分意见，供有需要者参考：

1. 基于特定组织，完成内部态势感知基本建设。这个阶段的建设内容主要包括：数据和报警的收集、威胁情报平台、事件分析研判平台、内部处置管理平台以及呈现、辅助完成这些工作的可视化应用。这样在一个单位内部可以支撑完整的安全运营。其中需要的安全分析师可以通过购买外部服务的方式获得。

2. 建立纵向支撑体系以及情报数据共享体系。这个阶段的建设包括纵向的恶意代码分析中心、增强的事件分析中心、以及情报分享机制和纵向威胁情报中心。恶意代码分析和重大事件分析是需要高水平的安全分析师的，利用纵向的建设，集中使用资源，可以更快的提升整体运营水平，也有利于安全分析师的培养。情报分享机制保障信息在行业内部以及和公安、网信等部门的同步，同时通过纵向威胁情报中心收集、处理、分发内部情报信息，对整个行业或组织面临的威胁有一个更精准、全面的掌控，让关键性情报可以更迅速、有效的使用。

3. 建立整体性自动化防御能力：到了这个阶段，随着纵向支撑体系和整体情报分析能力的增强，遇到关键事件可以进行整体化防护，如自动化配置相关的NGFW、IPS或邮件网关设备，再如利用内部的DNS系统对特定的DNS解析进行重定向（Sinkhole）等，利用这些手段更快速、高效的进行遏抑攻击事件，为清除攻击影响争取时间。

小结

态势感知的建设对于行业及关键性组织而言，有着特别重要的意义。需要明确建设目标、掌控好关键性因素、分阶段开展建设。过程中选择适合的伙伴就特别重要，和什么样的伙伴合作能够获得最重要的威胁情报、安全分析师资源，得到成熟的流量数据解决方案，都是需要仔细考量的问题。但我们乐观的看到，早年曾经制约态势感知能力建设的数据平台和威胁情报能力、高级别的安全分析师资源，在近几年都有了快速的发展，有相应的优质资源可以获得，相信通过一段时期的态势感知建设，我国的网络空间安全水平会有一个整体的提升，有足够的能力去更好面对来自网络犯罪团伙、意识形态黑客以及国家级别的攻击威胁。