前　言

網絡空間是構建在信息通信技術基礎設施之上的人造空間，用以支撐人們在該空間開展各類與信息通信技術相關的活動。網絡空間的領域邊界由直接連向他國網絡設備的本國網絡設備端口集合構成。網絡空間已經成為繼陸、海、空、天之后的第五大活動空間，也成為國家之間的一個合作與對抗的新戰(zhàn)場。網絡空間主權是國家主權在位于其領土之上的信息通信基礎設施所承載的網絡空間的自然延伸。主權要素致使國家行為在網絡空間逐漸占有支配地位，網絡空間的主權碰撞，展示出國家間在網絡空間日益嚴重的對抗態(tài)勢。傳統(tǒng)的針對個人、組織、機構乃至行業(yè)的網絡攻擊，也已上升到國家戰(zhàn)略的層面。網絡空間頻頻發(fā)生嚴重的安全事件，已經嚴重影響了社會與政權的穩(wěn)定和人民生命財產的安全，印證了習近平總書記關于“沒有網絡安全就沒有國家安全”的重要論斷。

21世紀以來，電子技術、信息技術迅猛發(fā)展，深刻影響了經濟社會發(fā)展和現(xiàn)代戰(zhàn)爭形態(tài)。網絡環(huán)境已由單純的互聯(lián)網向涵蓋互聯(lián)網、物聯(lián)網、傳感網、工控網、移動互聯(lián)網、天地互聯(lián)網等在內的泛在網迅速拓展，攻擊方式也由單一模式向復雜的APT（高級可持續(xù)威脅攻擊）方向發(fā)展。網絡攻擊的對象由互聯(lián)網設施轉向工業(yè)控制設施，是當前網絡攻擊的一種新趨勢。其中，震網病毒開啟了針對物理隔離的工業(yè)控制網絡攻擊的先河；“烏克蘭停電事件”也成為通過互聯(lián)網攻擊公共服務基礎設施的一個經典。

隨著網絡安全事件越來越頻繁地爆發(fā)，其后果也越來越嚴重，使得國家必須像保衛(wèi)陸、海、空、天一樣來保衛(wèi)網絡空間的安全。網絡安全保衛(wèi)的三個主要環(huán)節(jié)是網絡安全態(tài)勢感知、網絡安全事件處置和網絡安全保衛(wèi)效果評估。就是說，首先需要對網絡安全態(tài)勢進行感知，發(fā)現(xiàn)網絡攻擊并且評估這些攻擊可能造成的危害；其次是網絡安全事件處置，準確、實時遏制事件，找到攻擊源頭進行反擊；最后對網絡安全事件的發(fā)現(xiàn)和處置效果進行評估和反饋，不斷提升網絡安全保衛(wèi)能力。因此，網絡安全態(tài)勢感知是網絡安全保衛(wèi)的基礎和前提。

態(tài)勢感知（Situation Awareness，SA）最早被用于軍事領域。在軍事領域，態(tài)勢感知的目標是使指揮官了解敵我雙方的情況，包括敵我的所在位置、當前狀態(tài)和作戰(zhàn)能力，以便能做出快速而正確的決策，達到知己知彼、百戰(zhàn)不殆的目的。1988年，美國空軍前首席科學家Mica R.Endsley首次給出態(tài)勢感知的通用定義：“態(tài)勢感知是在一定的時間和空間條件下，對環(huán)境因素的獲取、理解以及對未來的發(fā)展趨勢進行預測。”這個定義把“態(tài)勢”一分為二：這里的“態(tài)”，指的是指當前的整體現(xiàn)狀，需要評估安全信息和安全事件，確定攻擊的真實性、類型、性質和危害；這里的“勢”，是指發(fā)展趨勢，需要對攻擊事件進行深入分析，找出攻擊的各個階段、步驟和發(fā)起規(guī)模，從而預測未來安全事件的演變趨勢。2000年以后，隨著網絡技術的發(fā)展，態(tài)勢感知逐漸被引入網絡安全領域，由此衍生出網絡安全態(tài)勢感知的概念、定義及其相關的計算模型。

一般來說，在網絡安全態(tài)勢感知領域還可區(qū)分“感知域”和“非感知域”兩個空間：“感知域”是指對已知網絡或愿意配合網絡的安全態(tài)勢感知，使之可以基于已知網絡的資產、拓撲、漏洞和受到的攻擊等信息進行網絡安全態(tài)勢研判；“非感知域”是指未知網絡或不愿意配合網絡的安全態(tài)勢感知，難以獲得資產、拓撲、漏洞等信息，甚至遭受攻擊，其態(tài)勢感知技術更具挑戰(zhàn)性。網絡安全態(tài)勢感知的終極目標是知己知彼，但目前主要的態(tài)勢感知工作大多是針對感知域開展的，非感知域還處于起步階段。

態(tài)勢感知系統(tǒng)應該有3個核心技術目標：一是全面，從全網的角度感知全局和全部的網絡安全事件；二是準確，發(fā)現(xiàn)有效的網絡攻擊，去除虛警和誤報；三是實時，網絡攻擊瞬間爆發(fā)，實時的檢測和實時的評估是網絡安全保衛(wèi)的核心指標。這3個技術指標相互關聯(lián)，缺一不可。

網絡空間安全態(tài)勢感知的發(fā)展分為“基本組件構建階段”、“基本能力構建階段”、“安全事件深度檢測階段”和“安全事件預測和溯源階段”四個階段。始于20世紀90年代末的“基本組件構建階段”主要是研究、開發(fā)和部署基本的網絡安全產品和工具，包括查殺病毒、入侵檢測、防火墻等網絡安全“老三樣”設備，采用基本的安全策略等；始于21世紀初的“基本能力構建階段”主要是在感知域上建立完備的數據采集、融合以及數據分析能力，基于監(jiān)控數據進行實時的分析和展示，建立國家級的網絡安全運營中心；始于近10年前的“安全事件深度檢測階段”主要是進一步加固關鍵基礎設施網絡組件，對各種安全事件，包括APT在內的復雜攻擊進行準確、有效的檢測，給出網絡安全態(tài)勢感知的實時量化分析；始于5年前的“安全事件預測和溯源階段”主要是融合感知域和非感知域的、基于全網有效攻擊檢測、脆弱性分析的實時量化網絡安全態(tài)勢評估，對重大網絡安全事件發(fā)展趨勢進行分析和預測，對網絡安全事件進行攻擊溯源等。

網絡安全態(tài)勢感知系統(tǒng)的工作流程主要可以分為五大部分：一是數據獲取，面向全網進行相關大數據采集、融合和管理；二是安全事件檢測，基于所獲取的數據進行網絡安全事件檢測；三是態(tài)勢評估，基于事件檢測結果所發(fā)現(xiàn)的安全事件進行網絡安全態(tài)勢評估；四是態(tài)勢預測與溯源，基于安全事件檢測所發(fā)現(xiàn)的重大安全事件進行預測和溯源，并與其他安全事件處置系統(tǒng)聯(lián)動；五是態(tài)勢可視化，以可視化的方式直觀展示網絡安全態(tài)勢感知各個環(huán)節(jié)的結果。

本書是在賈焰和方濱興的組織和策劃下，由哈爾濱工業(yè)大學（深圳）計算機科學與技術學院、國防科技大學計算機學院和廣州大學網絡空間先進技術研究院等單位相關學者和專家，基于網絡安全態(tài)勢感知領域長期的科研和應用積累，以及廣泛的資料調研和分析的基礎上共同撰寫的。

第1章網絡安全態(tài)勢感知研究背景由王樂和方濱興負責執(zhí)筆。該章重點介紹了網絡安全態(tài)勢感知的相關研究背景。講述了態(tài)勢感知由“有實無名”到傳統(tǒng)態(tài)勢感知，再到網絡安全態(tài)勢感知的概念發(fā)展過程，梳理了網絡安全態(tài)勢感知的作用。闡述了網絡安全態(tài)勢感知的形成過程，提出了網絡安全態(tài)勢感知的“全面感知、準確感知、實時感知”三個方面的要求。

第2章網絡安全態(tài)勢感知系統(tǒng)及案例由賈焰和王樂負責執(zhí)筆。該章重點介紹了網絡安全態(tài)勢感知系統(tǒng)及案例，詳細分析和闡述了網絡安全態(tài)勢感知系統(tǒng)的功能結構，以及實現(xiàn)網絡安全態(tài)勢感知系統(tǒng)的關鍵技術，分析了包括“龍蝦計劃”系統(tǒng)、YHSAS系統(tǒng)等在內的幾個國內外典型的網絡安全態(tài)勢感知系統(tǒng)。

第3章網絡安全數據采集與融合由顧釗銓和方濱興負責執(zhí)筆。該章重點介紹了涉及資產維度、漏洞維度、威脅維度的網絡安全數據采集方法，講解了對多源異構的網絡安全數據的融合方法，論述了如何通過數據清洗、數據集成、數據規(guī)約、數據轉換等方法，為分析師提供更有意義的網絡安全數據，使其能更加有效地理解網絡安全態(tài)勢，檢測潛在的網絡攻擊，預測網絡安全態(tài)勢的發(fā)展趨勢。

第4章網絡安全態(tài)勢感知的認知模型由顧釗銓和賈焰負責執(zhí)筆。該章從分析師理解網絡安全態(tài)勢的認知過程出發(fā)，介紹了多種常見的認知模型，提出了一種能對多源異構數據進行關聯(lián)分析的MDATA模型，闡述了如何將MDATA模型構建的網絡安全知識庫應用到實用系統(tǒng)中，以實現(xiàn)針對網絡安全態(tài)勢全面、實時、準確的感知，給出了通過霧云計算架構對形成的網絡安全知識庫進行分布式協(xié)同計算的方法。

第5章網絡安全態(tài)勢感知本體體系主要由李潤恒和賈焰負責執(zhí)筆。該章首先建立了一個統(tǒng)一的概念體系，讓所有參與態(tài)勢感知的角色有統(tǒng)一的視角，其次介紹了網絡安全態(tài)勢感知的本體體系，定義了術語與術語間關系的一致性詞匯集，定義了具有清晰語義的本體體系，包括網絡安全態(tài)勢感知的本體理論、相關的本體標準、基于MDATA的網絡安全態(tài)勢感知本體模型。

第6章網絡安全態(tài)勢評估的要素和維度由韓偉紅和賈焰負責執(zhí)筆。該章重點從漏洞、威脅和資產三個維度介紹了網絡安全態(tài)勢評估要素的選取方法。這三個維度分別從系統(tǒng)自身的脆弱性、由攻擊造成的風險以及系統(tǒng)自身的資產價值等角度反映了網絡安全態(tài)勢。

第7章網絡安全態(tài)勢評估的方法主要由韓偉紅和賈焰負責執(zhí)筆。該章從定性評估和定量評估兩個維度來介紹網絡安全態(tài)勢評估方法，其中定量的網絡安全態(tài)勢評估方法重點介紹了基于數學模型的量化評估方法、基于知識推理的量化評估方法和基于機器學習的量化評估方法。

第8章網絡安全事件預測技術由李愛平和方濱興負責執(zhí)筆。該章介紹了網絡安全事件預測的定義、背景、技術難點以及基本模型，講解了傳統(tǒng)的網絡攻擊預測技術，給出了基于知識推理的網絡安全事件預測方法，以便于安全人員更好地預測網絡關鍵資產即將面臨的威脅。

第9章網絡攻擊溯源技術由李愛平和方濱興負責執(zhí)筆。該章介紹了網絡攻擊溯源的概念、研究內容和技術難點，講解了傳統(tǒng)的網絡攻擊溯源技術，提出了一種面向溯源的MDATA模型知識庫構建技術，以及基于MDATA模型知識庫的攻擊溯源算法。

第10章網絡安全態(tài)勢可視化由李樹棟和方濱興負責執(zhí)筆。該章介紹了網絡安全態(tài)勢可視化的意義和挑戰(zhàn)，詳細講述了網絡安全數據流分析的可視化技術、網絡安全態(tài)勢評估的可視化技術以及網絡攻擊行為分析的可視化技術。

另外，王曄負責全書的合稿和整理等工作，趙麗松、富軍編輯對全書進行了認真的校對和修改。本書的撰寫還得到了國內外相關專家學者和產學研單位的大力支持，在此一并表示感謝。

編著者