2.1　網絡安全態(tài)勢感知系統(tǒng)的功能結構

網絡安全態(tài)勢感知系統(tǒng)是實現態(tài)勢感知的重要部分，是對網絡安全態(tài)勢進行感知、理解及分析的技術支撐平臺和自動化工具。根據網絡安全態(tài)勢感知的形成過程，典型的網絡安全態(tài)勢感知系統(tǒng)功能和結構包括特征信息提取、當前狀態(tài)分析、發(fā)展趨勢預測、風險評估、模型及管理和用戶交互六個部分，如圖2-1所示。

（1）特征信息提取

在網絡安全態(tài)勢感知中，采集和提取網絡安全數據的攻擊種類繁多、方法多樣，從網絡安全大數據中提取出有用信息是形成有效態(tài)勢感知的關鍵。對于資產維度、漏洞維度、威脅維度的網絡安全數據，需要針對不同的網絡安全要素設計對應的規(guī)則，提取符合特征的數據，從而實現針對關鍵信息的靶向數據采集。在提取了不同維度的數據以后，需要對多個維度的數據進行融合，融合的過程主要包括數據清洗、數據集成、數據規(guī)約和數據變換等。其中，數據清洗是為了去除數據集中的噪聲數據、內容不一致的數據、對遺漏數據進行填補等，保證數據的充分可用性；數據集成是對格式不一致的數據進行處理，并將分散在多個數據源中的數據集成到一個具有統(tǒng)一表達形式的數據集中，從而實現從一個統(tǒng)一的視角處理不同來源的數據；數據規(guī)約是對數據進行精簡，由于網絡安全數據體量大、特征維度高，分析師很難分析和處理所有的數據，通過數據規(guī)約可以大幅度減少需要處理的數據，讓分析師可以關注更為重要的數據；數據變換是將數據從一種表示形式變形為另一種更利于分析的表示形式，從而為網絡安全態(tài)勢感知提供更有效的數據表示形式。

（2）當前狀態(tài)分析

當前狀態(tài)分析利用系統(tǒng)的自動化模型，通過可視化功能與用戶交互，根據用戶的交互指令，檢測和發(fā)現網絡中的威脅事件。當前狀態(tài)分析主要包括關聯分析、攻擊檢測、取證分析、事件發(fā)現等模塊。其中，關聯分析模塊是通過對資產維度、漏洞維度、威脅維度的信息進行關聯，從而實現對網絡攻擊行為的準確實時檢測，并支持歷史網絡安全事件的復盤分析；攻擊檢測模塊是根據已有的多源網絡安全數據檢測當前網絡系統(tǒng)中正在發(fā)生的攻擊活動；取證分析模塊是通過提取歷史的網絡安全數據，對發(fā)生的網絡安全事件及相關的威脅數據進行復盤，從而發(fā)現或驗證網絡攻擊的歷史“痕跡”，為檢測網絡安全事件提供更多的數據支撐；事件發(fā)現模塊是根據關聯分析、攻擊檢測、取證分析的結果，推導出威脅事件的來源、攻擊者、攻擊意圖等。

（3）發(fā)展趨勢預測

發(fā)展趨勢預測綜合利用自動化模型，通過可視化功能與用戶交互，根據用戶的交互指令對攻擊和威脅事件的發(fā)展趨勢進行預測，生成未來一段時間的網絡安全態(tài)勢，為防御措施的制定和應對方案的選擇提供決策支持。發(fā)展趨勢預測主要包括攻擊溯源和攻擊預測模塊。其中，攻擊溯源模塊在取證分析模塊的支持下，輔助完成對攻擊來源、攻擊路徑、攻擊模式的分析，為發(fā)展趨勢預測提供實證分析功能；攻擊預測模塊利用預測模型，輔助實現對當前及假定攻擊的預期目的、未來行為的分析。

（4）風險評估

風險評估旨在對正在發(fā)生的網絡安全事件或威脅行為可能造成的安全風險進行評估，并將網絡系統(tǒng)的整體安全態(tài)勢因子（網絡安全度量指標）映射到一個量化的風險維度。按照評估維度和目標的不同，風險評估可以分為定量評估和定性評估。定性評估通過評估者與安全人員的多次交互，依據評估者的知識和經驗等非量化指標對攻擊或威脅的風險進行評估；定量評估則是運用數據指標對攻擊或威脅的數據元素通過數學方法或數學模型進行計算，生成攻擊或威脅的風險值。

（5）模型及管理

自動化理解網絡安全態(tài)勢的過程實質上是從分析師的角度理解網絡安全態(tài)勢的認知過程，在認知過程中會形成描述網絡安全態(tài)勢的本體模型、預測模型、評估模型等。模型及管理是對認知過程中的本體模型和預測模型及評估模型的數據規(guī)范、功能接口、模型存儲與更新等進行定義和管理。在認知過程中形成的認知模型支持態(tài)勢感知系統(tǒng)自動化地理解和預測網絡安全態(tài)勢，對感知的網絡安全事件、目標實體、場景等進行統(tǒng)一建模表示，支持基于表示模型的推理和預測。其中，本體模型主要面向狀態(tài)分析，對態(tài)勢感知中的關鍵概念、實體、語義等進行統(tǒng)一的規(guī)范化定義和表示，以支持后續(xù)的推理和發(fā)現；預測模型定義用于攻擊預測的事件和關系的表示形式與方法；評估模型用于定義模型和威脅風險度指標體系以及資產與任務度量指標體系等。

（6）用戶交互

用戶交互負責完成態(tài)勢感知系統(tǒng)的可視化功能，以便用戶與網絡安全態(tài)勢感知系統(tǒng)進行交互、展示當前網絡安全態(tài)勢、預測未來態(tài)勢、評估安全風險、對攻擊行為溯源等。可視化模塊針對不同的網絡攻擊行為、不同的態(tài)勢感知階段等，采用多種不同的人機交互、數據可視化技術進行設計，為用戶提供一個易于直觀理解和使用網絡安全態(tài)勢感知系統(tǒng)的方式。