1. 引言

　　在信息技术即将进入云计算时代的时候，网络上各种应用的大范围普及，如电子政务、在线购物、在线支付、网络银行等等。今天，互联网已经成为与人们日常生活密切相关的公用设施，就像供水供电燃气公交等一样。很多组织机构(企业、政府机构等)的业务网络的安全已经不再是组织机构自身的运营问题，而是社会运行的公共安全问题。因此大规模网络环境的安全态势感知的问题逐渐为业界以及网络监管部门所关注。很多研究者在安全态势感知的领域进行了很多开创性研究，但多数都是艰深晦涩的理论框架和理论方法，很少有能具体指导并推进安全态势感知系统在用户网络上部署。

　　本文试图在安全态势感知的表征指标、态势数据分析方法以及安全态势呈现方法面给出一些具体的建议。

　　2. 安全态势感知的定义与内涵

　　2.1 态势感知的定义

　　态势感知的定义：一定时间和空间内环境因素的获取，理解和对未来短期的预测。这一定义是1988年Endsley在一篇论文^[1]中提出的，并被广泛接受和引用。

　　网络态势感知(CSA, Cyberspace Situation Awareness)的定义：在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。这一定义是1999年Tim Bass^[2]提出的。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。

　　2.2 网络安全态势感知的内涵

　　随着对网络态势感知研究的深入，它也从一个理论概念逐渐丰富为一套理论模型，其中包括态势感知的数据分析方法，表征态势的指标体系、态势指标的呈现方式、安全态势感知的核心技术。

　　需要特别注意的是：

　　1) 态势的概念是面向“环境”而言的。根据网络态势感知的定义，态势感知的应用环境是在一个较大的范围内具有一定规模的网络。

　　2) 态势强调动态性，态势信息不仅包括当前的状态，还要对未来的趋势做出预测，这些预测有些方面是根据历史数据做出的不太确定的推测，有些是根据一些先兆信息做出的比较确定判断。

　　3) 态势强调整体性，态势是各实体间相互关系的体现，某些网络实体状态发生变化，会影响到其它网络实体的状态进而影响整个网络的态势。

　　2.3 态势感知的分析模型

　　从态势感知的概念提出以来，研究者提出了各种各样的分析模型，其中影响最大，也最被普遍接受的是基于数据融合理念的模型。数据融合是指将来自多个信息源的数据收集起来，进行关联、组合，提升数据的有效性和精确度。目前，大部分安全态势感知的模型都是基于美国的军事机构JDL给出的数据融合模型衍生出来的。如下图所示，为我们展示了一个典型的安全态势感知模型：

　　在这个基于人机交互的模型中，态势感知的实现被分为了5个级别(阶段)，首先是对IT资源进行要素信息采集，然后经过不同级别的处理及其不断反馈，最终通过态势可视化实现人机交互。5个处理级别分为是：

　　1) 数据预处理：可选的级别，对于部分不够规整的数据进行预处理，例如用户分布式处理、杂质过滤等等。

　　2) 事件提取：是指要素信息采集后的事件标准化、修订，以及事件基本特征的扩展。

　　3) 态势评估：包括关联分析和态势分析。态势评估的结果是形成态势分析报告和网络综合态势图，为网络管理员提供辅助决策信息。

　　4) 影响评估：它将当前态势映射到未来，对参与者设想或预测行为的影响进行评估。

　　5) 资源管理、过程控制与优化：通过建立一定的优化指标，对整个融合过程进行实时监控与评价，实现相关资源的最优分配。

　　到目前为止，安全态势感知大体上处于学术界研究领域，核心的技术还有待于突破，包括数据融合技术、数据挖掘技术、模式识别技术等，尤其是对态势预测的研究尚处于起步阶段，整体上距离产品化还有不少的距离。但是，基于安全态势感知理论，部分技术已经可以指导现在的产品研发，并且一部分较成熟技术和模型已经实现了产品化和商业化。