1.3　網絡安全態勢感知的作用、意義、過程、相關角色、需求

網絡安全態勢感知是網絡空間安全防御活動的組成部分，是理解網絡當前安全態勢、檢測網絡中的攻擊事件、預測網絡未來安全態勢并對安全威脅和攻擊事件進行溯源的一系列活動的集合。構建網絡安全態勢感知系統、實現大規模網絡安全防御，需要分析理解網絡安全態勢感知的作用、意義和過程，以及實施態勢感知的有關人員角色，明確在網絡空間防御活動中態勢感知的需求。

1.3.1　網絡安全態勢感知的作用

網絡空間安全涉及攻擊與防御兩個方面。網絡安全態勢感知主要面向安全防御，針對己方和合作網絡，提取安全特征以通過靶向數據采集獲取安全數據、分析安全狀態以監測和發現安全事件、預測和評估威脅風險以輔助選擇和確定防御措施。因此，網絡安全態勢感知是在防御視角下的網絡安全防御的組成部分。從服務于網絡安全防御的視角來看，網絡安全態勢感知的作用體現在以下三個方面。

1.3.1.1　為防御者提供全面的網絡系統安全狀態信息

提供網絡系統安全狀態信息是網絡安全態勢感知的基本作用。這些信息主要包括資產信息、靜態配置信息、漏洞信息和威脅信息。其中，資產信息包括當前網絡的硬件、軟件以及硬件拓撲關系和軟件適配關系等；靜態配置信息包括網絡的拓撲結構、脆弱點等關鍵配置信息；漏洞信息包括網絡空間中的各類型漏洞、弱點、缺陷等，對于當前網絡而言，包括當前網絡中存在的漏洞、弱點和缺陷等數據；威脅信息包括安全設備的運行日期、業務日志、告警信息等，以及網絡中業務終端的系統日志、業務系統安全日志等。

用戶基于安全狀態信息應能夠回答以下問題或提供所需數據信息。

（1）網絡中有哪些資產？

（2）網絡當前活動拓撲結構是什么？

（3）網絡支撐哪些活躍的業務任務？

（4）業務任務與資產的映射關系是什么？

（5）網絡中發生過哪些攻擊事件？

（6）網絡中存在哪些漏洞安全隱患或哪些亟須發布的軟硬件補丁？

（7）當前關鍵計算機的負載或關鍵鏈路網絡流量情況是什么？

（8）提供靶向式數據采集和確保有效性的數據融合。

（9）提供對事件案例庫的檢索和可視化展示。

（10）提供對態勢知識的結構化檢索和可視化展示。

（11）提供對分析推理和評估模型的統計。

（12）提供對系統業務功能鏈和數據信息流的檢索和可視化展示。

（13）提供對系統席位和權限的檢索和可視化展示。

（14）提供數據采集及網絡掃描周期管理。

（15）提供其他與基礎軟硬件和數據管理以及系統使用管理相關的支撐信息。

1.3.1.2　支撐防御者準確實時地發現網絡攻擊

人們多年來在網絡安全防御方面的研究和實踐集中在安全架構和安全手段兩方面：在安全架構方面，包括對公共漏洞進行統一的管理、對基礎和核心系統進行安全加固、對關鍵網絡和邊界劃分安全域等；在安全手段方面，包括研發部署流量監測、入侵檢測、防火墻、終端監控、UTM等各類安全檢測管理設備和系統。對于按照某一架構部署了安全設備和系統的大型網絡環境，由于設備和系統往往是來自于不同廠家、采用不同標準研制的，因此在本質上是基于單通道監控和單點防御的，在功能邊界、數據共享、聯動響應等方面存在規范性和一致性問題；對于按照部門、區域和組織等部署的小規模安全防御環境，由于在運行過程中產生了大量的安全數據，如包數據、會話數據、日志、告警等，因此在一定程度上反映了局部網絡、某個層面的安全狀態，但由于批次建設缺乏有效協作，因此無法進行組合式深度分析，缺少多角度的全景信息，更不能完成全方位的評估和預測。上述環境下的安全防御設備和系統都屬于被動防御，難以實現對網絡整體安全態勢的全面、準確、多維度、細粒度的展現和評估預測。

因此，網絡安全防御工作需要對包數據、會話數據、日志、告警等不同格式和類型的數據進行一致化處理，采用關聯分析方法，發現隱藏在不同樣式數據中的安全狀態信息，如組合流量異常和面向業務的負載異常等。更進一步的工作是提取隱藏在不同通道、不同區域、不同維度安全狀態信息中的攻擊事件特征片段，用組合式深度分析方法，發現高階或深層網絡攻擊并進行跟蹤和溯源。防御者通過態勢感知應能回答以下三組問題：

（1）網絡中是否存在正在進行的攻擊？這些攻擊是誰發起的？在什么“地方”發起的？正在進行什么操作？

要求防御者具有檢測正在發生的攻擊或入侵行為的能力。回答這組問題，需要對IDS日志、防火墻日志、系統日志、網絡流量和負載等原始態勢數據進行多維度關聯分析。隨著攻擊行為的變化，需要動態地調整數據采集和網絡掃描周期，從而及時跟蹤最新態勢數據和態勢變化。

（2）攻擊活動對網絡或在網絡上運行的業務系統會產生什么影響？會造成多大的損失？

要求防御者掌握網絡資產與業務系統中任務的關聯關系，并能夠對正在發生的攻擊進行兩個層面的危害評估，包括網絡信息系統層面和業務系統中任務層面。回答這組問題，需要掌握組織機構的網絡資產，包括網絡設備、計算設備、存儲設備、終端設備、安全設備等，建立資產與任務的關聯關系并確定關聯關系的權重。在此基礎上，將第（1）組問題的答案作為主要輸入，通過連續迭代的數據探查、案例對比和知識推理，計算攻擊活動已造成的損失，估計對未來網絡和業務系統的影響。

（3）網絡中曾經發生和正在發生的攻擊行為的變化路線是什么？

要求防御者具有對攻擊行為進行監視、跟蹤和溯源的能力。回答這一組問題，同樣需要基于第（1）組問題的答案，參考第（2）組問題答案對應的態勢信息，對攻擊行動持續地跟蹤、深度地分析和溯源。對于態勢感知活動，要求不僅能夠有效管理上下層功能的依賴和支撐關系，還要在對趨勢進行預測評估的過程中，協調好前后業務功能之間的操作。

1.3.1.3　提升防御者對網絡安全事件的研判能力

準確地研判網絡安全事件是網絡安全防御者的核心能力，研判工作的重點主要包括推理和預測攻擊威脅的發展趨勢、評估攻擊事件對網絡和業務任務的影響、評估安全措施或應對方案對網絡安全態勢和業務任務的影響等。網絡安全態勢感知能夠通過準確發現真實有效事件，對攻擊目標和攻擊意圖進行合理的篩選推測，對事件和態勢的發展進行即時準確的預測，并對當前及預測事件進行實時準確評估等操作，提升防御者的研判能力。

防御者通過網絡安全態勢感知應能夠回答以下問題。

（1）攻擊者的目標是什么？攻擊者可能采取什么策略？下一步會采取什么攻擊行為？

要求防御者具有對主要的攻擊組織、常見攻擊策略和攻擊方法等的建模能力，熟悉攻擊組織的背景、信仰、理念、技術特點等，了解常見攻擊策略和攻擊方法的行為特征。建模能力和基于模型的推理操作依賴于當前態勢數據、歷史事件數據、安全情報數據。需要將相關數據融入網絡安全時空知識庫，反復迭代地進行探查、分析、回溯、推理，進而輸出一組形式化的攻擊者行為模型。攻擊行為可能隨著事件而改變。因此，模型需要不斷演化，態勢感知、分析和推演也需要適應變化并持續進化。

（2）網絡未來可能的安全態勢是什么？

要求防御者能夠針對攻擊者在當前態勢或攻擊場景下可能采取的下一步行動進行預測，能夠對業務系統在面臨可能的攻擊場景時的服務能力進行預測。回答這一問題，需要基于問題（1）的輸出，形成當前態勢的完整發展路線，根據對攻擊者目的、策略和行為的理解，結合安全響應措施，輸出一組預測未來可能出現在不同響應措施下的安全場景。

1.3.1.4　全面提高網絡系統的安全保障能力

網絡系統的安全保障能力體現在安全防御人員的緊密、高效協作上，通過協作實現由安全特征提取、靶向數據采集，到當前態勢理解、攻擊事件檢測，再到攻擊事件風險評估、態勢預測與溯源等的循環迭代。通過網絡安全態勢感知操作，應能夠回答并解決以下問題：

（1）各類態勢感知操作依賴哪些信息源？是否可以有效獲取并評估其質量？

防御者需要對所有任務所依賴的信息源（不僅包括原始數據源，還包括各任務的輸出信息）與任務間的關聯關系進行建模，并對信息源的質量進行實時評估和反饋。態勢感知過程的目標是為了回答整體態勢感知過程所涉及的各組問題，并在處理各組問題的相關信息時，建立起各信息源的權重。如果能夠對每個信息源的可靠性進行評估，則可以使網絡安全態勢感知系統能夠對每個輸出結果附加置信級別。

（2）各類任務是否有效獲得了所需資源？問題出在系統內還是系統外？

防御者需要跟蹤信息傳遞流程，分析任務數據，探查記錄，以發現同類或同粒度數據的生成和傳遞頻率，從而發現數據分析的常用模式或需要多次交互的數據協作環節，據此評估各類任務獲取所需資源的便利性。頻繁的數據分析模式可以固化為自動模型并添加到系統模型庫。同時，通過信息源與任務間的關系模型，可以準確定位信息的產生、傳遞鏈路瓶頸，改進信息傳遞流程和任務鏈關系，促進對完成態勢感知任務的人力資源的部署與調整。

（3）各類人員是否對態勢具有不同的理解？造成理解不一致的問題在哪里？

該問題從系統的功能目標出發，檢視系統對態勢感知任務的支撐度。態勢感知系統作為一個輔助支撐手段，為安全人員提供統一的數據、模型和界面，促進安全人員達成格式統一的對態勢的有效理解，同時提供一個高效協作的平臺，確保各角色人員能夠有效地緊密協作。影響態勢感知系統工作效率的一個關鍵因素是數據和態勢模型的完整性，系統是否接收了足夠多的態勢感知信息；另一個關鍵因素是數據、態勢等相關輸入/輸出的可視化顯示是否與安全人員的角色任務相匹配，并通過顏色、布局、提示等方式對重要信息提供與之匹配的顯示。

實現網絡安全態勢感知需要運用網絡安全態勢感知系統等輔助工具，并建立參與態勢感知的不同角色安全人員的認知模型及防御人員的高階決策心理模型。因此，在研究網絡安全態勢感知的作用時，應綜合考慮網絡安全態勢感知系統和運用系統的安全人員的作用。

1.3.2　網絡安全態勢感知的意義

實施有效的網絡空間安全防御從而在網絡空間的對抗中贏得主動，是確保國家、政府、生產和民生等不同層面安全的核心和前提。防御動作并不限于阻止網絡系統被攻擊者初始入侵，還包括以下內容：通過設置網絡設備以縮小初始攻擊面；通過識別被入侵受控的計算機以處置潛伏在組織機構網絡內部的長期威脅（如高級可持續威脅等）；通過阻斷攻擊者對所植入的惡意代碼的指揮控制鏈條以降低或減小網絡系統的安全損失；通過部署安全策略和實施安全措施以建立一種可保持且可改進的自適應持續防御與響應能力［22］。

美國前“網軍”司令亞歷山大于ISC2015提出，“世界上只有兩種組織：一種是已經被攻陷的；還有一種是不知道自己已經被攻陷的”。傳統的通過簡單地部署很多安全設備的被動防護架構遭遇了瓶頸，已經不能進一步提升安全防御能力，且難以適應當前的網絡安全形勢。人們開始著手研究建設具有主動防御能力的網絡安全防御體制和手段。其中，建立全天候、全方位的網絡安全態勢感知系統是一項核心工作。“全天候”是時間維度，貫穿過去、現在和未來，是要掌握過去安全事件、理解當前安全狀態、預測未來安全走向；“全方位”是內容維度，是對硬件、系統、數據、應用等保衛對象的多粒度全覆蓋，是對漏洞、攻擊、威脅、風險等防御對象的多角度全掌握。通過全天候、全方位的態勢感知，可以提取歷史數據和事件并構建最新攻擊威脅知識，持續監測、有效發現最新攻擊和威脅，根據業務要求劃定多維度、多粒度度量評價指標和威脅等級與業務優先級，自動生成針對各種威脅的風險評估，并預測發展趨勢和計劃采取的安全措施的有效性，滿足主動防御下網絡空間安全防御的需要。

從對網絡安全防御的作用方面分析，網絡安全態勢感知的意義包括以下四個方面。

（1）不斷從攻擊事件中汲取經驗并用于指導防御活動。發現、記錄并復盤已經發生并對系統造成了破壞的實際攻擊行為，運用工具提取攻擊路線、比對行為特征，深入分析攻擊如何開始、演化以及最終達到什么目的，從而形成可重用的分析經驗和可共享的防御知識，用于構建有效且可用于實踐的防御體系。

（2）對網絡進行持續地安全監測和協同評估。收集態勢數據，利用數據處理模型對數據進行融合，形成安全特征信息。對特征信息進行關聯分析，檢測和發現當前網絡潛在、隱藏和進行中的攻擊行為。建立一個通用的、涵蓋所有防御操作和人員角色的安全度量指標集，為管理、分析、建設人員提供一種共同的協作語言，并對安全配置、控制措施進行可行性測試和有效性評估，發現網絡脆弱點，輔助確定安全威脅風險等級和防御措施優先級。

（3）確定安全威脅風險等級和防御措施優先級。提供確定威脅風險等級和不同威脅場景下確定防御措施優先級所需要的輸入數據。這些輸入數據包括攻擊來源、攻擊目的、攻擊路線、攻擊狀態等敵方信息，以及業務部署、資源負載、安全配置、防御措施等己方信息。在攻擊發生時，采用事件預測和風險分析模型，將所有相關數據進行綜合，預測態勢的演變趨勢和威脅等級，推選資源條件允許的更高級別的防御措施。

（4）推動實現態勢感知的自動化。探索和集成數據處理、關聯分析、知識推理等模型和技術，對安全事件進行自動化檢測、確認和評估，對當前網絡安全狀態、安全配置、安全措施和態勢知識庫進行有效、可靠地更新擴展，實現自動化感知，支持主動的網絡空間安全防御。

總之，網絡安全態勢感知是主動的網絡空間安全防御的關鍵組成部分，其作用和意義都是協助安全分析與響應人員快速有效地執行安全防御任務。

1.3.3　網絡安全態勢感知的過程

網絡安全態勢感知是實現主動防御的基礎和前提，貫穿于網絡防御的全過程，構成網絡防御活動的主線。因此，網絡安全態勢感知是一個迭代循環的過程，由融合信息（包括采集數據、提取信息）、檢測事件、預測溯源到評估風險構成感知過程，幫助系統做出決策，再根據需求反饋進行迭代循環，構成網絡安全態勢感知的全過程，如圖1-6所示。其中，特征信息提取、當前狀態分析、發展趨勢預測是構成態勢感知過程的三個主要階段。

1.3.3.1　特征信息提取

特征信息提取是網絡安全態勢感知的起始階段，同時也是迭代循環中需求反饋的目標階段。特征信息提取采用信息融合的方式，提取網絡及相關環境中相關安全對象的狀態、屬性和動態等信息，并將信息用各種易于理解的形式展示和存儲，為后續的分析和預測提供素材。準確、全面地識別并提取網絡的安全要素和特征是實現有效的網絡安全態勢感知的基礎。

如1.3.1節所述，從單一來源、局部網絡或單一層面采集的信息數據存在一定的局限性，無法全面描述網絡的當前態勢；后續的狀態分析和趨勢預測需要對多來源、全方位數據進行深度關聯分析。因此，需要對當前網絡的資產信息、漏洞信息和威脅信息及網絡空間的漏洞信息等進行多采集。然而，由于當前硬件設備、軟件系統、數據來源等存在廠家、標準、目標嚴重不一致性的現象，因此采集到的數據在格式、量綱、語義等方面存在大量不一致的情況，使得在特征信息提取過程中，需要對采集到的數據進行清洗、集成、規約和變換等復雜操作。另外，當前的信息網絡已經發展成為一個龐大的非線性復雜系統，具有很強的靈活性和動態性，產生安全數據的速度快、規模大、格式雜，對于有限的通信和計算資源而言，需要采用按需采集、分段采集等靶向采集方法，以降低信息提取對通信和計算資源的要求。目前的特征信息提取存在較多的理論和技術難題。

1.3.3.2　當前狀態分析

當前狀態分析是指安全人員對當前網絡的信息特征進行關聯、組合、分析、解讀，從而了解當前總體安全態勢，檢測和發現安全事件，分析評估網絡的脆弱點和攻擊影響的過程。檢測安全事件及分析網絡脆弱點是當前狀態分析的核心內容。因此，當前狀態分析不僅包括對眾多信息的整合，還包括對信息與信息、信息與事件、事件與資產、資產與業務等的關聯分析，發現并理解安全信息與安全對象的相關度，從而評估或推斷網絡脆弱點、安全事件的危害程度以及對網絡上業務任務的影響。發現并理解安全信息與安全對象的相關度也是當前狀態分析的核心，涉及對數據的確定性分析和安全人員自身的主觀性認知。隨著網絡安全狀態的動態變化，這一操作需要持續迭代地進行，最終與安全人員的已有認知相結合，從而綜合得出當前態勢圖像。

可見，當前狀態分析是在“特征信息提取”的基礎上，解析安全信息之間以及安全信息與安全對象之間的關聯性，結合安全人員自身的知識和認知，使安全人員掌握并理解網絡當前安全狀態。分析當前狀態的過程，要摒棄以前分析單一來源或單一層面安全數據、研究單一安全事件的做法，從整體上掌握網絡的安全狀態并進行綜合評估，從而實現輔助決策的目標。

1.3.3.3　發展趨勢預測

發展趨勢預測是指預測網絡安全態勢，是網絡安全態勢感知迭代過程中最后也是要求最高的一個階段，要基于網絡歷史安全特征信息、當前狀態信息和安全人員知識，預測網絡中安全事件和網絡安全態勢在未來一段時間的發展趨勢。這是態勢感知的基本目標之一。在預測過程中，對攻擊的溯源分析是了解安全事件歷史、掌握攻擊意圖從而預測安全事件發展的關鍵；所有安全事件的發展趨勢構成了網絡安全態勢變化趨勢的基礎。網絡攻擊是具有隨機性和不確定性的，面對動態變化的攻擊行為，網絡的安全態勢成為非線性的動態變化過程，使得傳統分析預測模型受到了限制和挑戰［22］。在上述現實背景下，需要研究采用新型的模型和相關的技術方法，如神經網絡模型、時間序列預測法、支持向量機等，以更好地適應網絡安全趨勢預測的需要。此外，基于因果的數據模型和模式識別也常用在網絡安全態勢的預測中。未來，隨著人工智能和機器學習技術的發展，也許會產生更多智能的技術方法。

網絡安全態勢感知的三個階段并非串行過程，而是同步并行的過程，為便于理解而從邏輯上將其切分為三個階段［12］。在實際的網絡安全態勢感知中，三個階段是同時進行并相互觸發連續變化的，從而進行迭代循環。三個階段的數據和信息的輸入/輸出是交叉可見的，而各組成部件的運行、各階段安全人員的操作也保持連續的相互支撐和協作。

1.3.4　網絡安全態勢感知中的相關角色

網絡安全態勢感知是安全人員在對所防護網絡安全狀態、面臨的攻擊威脅及未來走向、網絡及業務任務服務質量等，進行感知、預測和評估的過程中形成的。安全人員在態勢感知中因崗位角色不同，需要的基礎支持信息、從事的安全業務內容、產生的安全業務輸出也不相同。安全人員在網絡安全態勢感知中的相關角色主要包括以下五類［22］。

（1）首席信息安全官。首席信息安全官負責制定安全策略或安全框架，并在所處組織機構中推行和落實有關標準和法規。在大型組織或復雜網絡環境下，首席信息安全官會領導多個安全架構師，負責組織內不同安全領域的技術架構和安全系統的設計。在小型組織中，首席信息安全官多與安全架構師合并。首席信息安全官是整個組織網絡安全的最高負責人，負責選擇網絡安全防護策略或決策最佳的網絡安全響應措施。

（2）安全分析師。安全分析師負責分析和評估網絡中存在的漏洞，提出修補或應對措施。安全分析師還要分析和評估安全事件對網絡和業務服務造成的損害，檢查分析并推薦最佳解決方案。另外，安全分析師還要測試安全策略及措施的有效性和可行性，協助完成安全解決方案的制定與實施工作。安全分析師是網絡安全態勢感知的核心角色，其業務操作集中在當前狀態分析和發展趨勢預測階段，支持首席信息安全官選擇安全方案、執行安全措施是其重要業務內容。

（3）安全工程師。安全工程師負責執行監視、分析、取證、溯源等具體操作，在檢測發現安全事件或攻擊行為時，觸發應急響應操作。另外，安全工程師還會對最新的安全技術、管理流程等，進行調研、跟蹤，提高機構安全管理、運維和響應能力。部分組織的安全工程師還會負責本機構業務流程、業務代碼的安全分析和審計工作。安全工程師是網絡安全態勢感知的另一核心角色，其業務操作集中在特征信息提取和當前狀態分析階段，與安全分析師緊密協作，支持安全態勢的迭代分析評估。靶向獲取安全數據并提取特征信息和安全事件的檢測與發現是其主要業務內容。

（4）安全管理員。安全管理員負責安裝和維護全組織的安全系統，執行并響應安全信息采集、安全管理措施或安全響應方案實施等。安全管理員是網絡安全態勢感知的前端“觸手”，是網絡安全態勢感知的數據采集前沿人員。

（5）安全顧問/專家。安全顧問/專家是較寬泛的概念和角色，有時泛指除上述4種角色之外所有從事咨詢、指導、觀察等安全服務的人員，其業務操作超出網絡安全態勢感知的閉環流程，但其觀念、方法或活動，會對網絡安全態勢感知的業務流程、方法論及階段結論產生影響。

網絡安全態勢感知中的相關角色如圖1-7所示。

1.3.5　網絡安全態勢感知的需求

“態”即當前現狀，是指要對獲得的網絡安全信息和事件做評估，確定攻擊的真實性，理清攻擊類型、性質和危害；“勢”即全局的發展趨勢，是指要預測未來網絡安全事件的演變趨勢［23］。傳統的網絡安全態勢感知側重于網絡資產或網絡行為等原子級的元素，例如單個可疑網絡包、對潛在入侵行為的一條告警，或某臺易受攻擊的計算機等。而在當前復雜的網絡環境、持續演化的威脅樣式、瞬間變化的攻擊路線和網絡狀態等情況下，網絡安全態勢感知需要對影響網絡態勢的所有安全要素進行察覺獲取、理解評估和未來預測。由此，對網絡安全態勢感知提出了“全面、準確、實時”三個要求：“全面”即全面感知，從全網角度感知網絡安全事件；“準確”即準確感知，準確發現網絡攻擊、評估危害、預測和溯源；“實時”即實時感知，實時發現、評估、預測和溯源網絡攻擊［22］。

1.3.5.1　全面感知

全面感知是從范圍維度，對敵情和我情進行全面感知。其中，我情是指對已知或配合網絡的安全態勢感知所需要的信息，包括已知網絡資產、拓撲、漏洞和受到的攻擊等安全信息，以及運營或任務、防御能力信息；敵情是指對未知或不配合網絡的安全態勢感知所需要的信息，包括威脅情報、漏洞庫等顯式安全信息，以及攻擊模式、攻擊組織等隱式安全信息。攻擊感知和任務感知是全面感知的核心。

攻擊感知是指掌握網絡中隱藏或面臨的攻擊行為，是全面感知中最重要的活動。從時間維度，攻擊感知可以分為歷史攻擊感知、當前攻擊感知和網絡當前脆弱面感知。歷史攻擊感知是指找出網絡曾經遭受過的攻擊和已有可能受到的針對性的威脅；當前攻擊感知是指找出當前最新的攻擊樣式和網絡可能遭受的攻擊威脅；網絡當前的脆弱面感知是指找出網絡中存在的安全缺陷、未修復的漏洞等。

任務感知的任務是指由網絡提供的各種服務。改變網絡姿態或防御措施可能會影響這些服務，收到網絡入侵或安全攻擊會嚴重損害服務質量。安全防御和態勢感知的目的是保障服務的正常運行，感知網絡當前的運營任務，并建立運營任務與網絡資產間的映射關系，是運營任務感知的首要任務，而在傳統的態勢感知中往往忽略了運營任務感知。

1.3.5.2　準確感知

準確感知包括準確發現對網絡的攻擊事件，涉及回溯發現歷史攻擊事件，探查發現當前攻擊事件，預測發現潛在攻擊威脅；要準確推理當前正在面臨的攻擊行為，包括攻擊意圖、攻擊路線、攻擊目標、下一步行為等；要準確評估當前正在及未來可能的攻擊行為對網絡安全狀態和業務任務的影響，以及安全防護措施或響應恢復措施的效果及其對業務任務的影響。在網絡安全態勢感知中，數據來源于廣泛分布且規格不同的傳感器，需要對不同格式、不同量綱和不同語境的數據進行融合，形成全網統一的數據模式，并按照統一的視圖完整展示，使管理和分析人員能夠按照業務需求獲取一致的態勢圖景。

準確感知是對網絡安全態勢感知的高階要求，需要多種關聯分析模型、預測推理模型、量化評估模型的交叉支持驗證。只有努力追求準確感知，才能減少虛警、誤警、漏警等影響態勢感知效果，降低安全防御效率現象的發生，從而實現積極主動防御。

1.3.5.3　實時感知

實時感知是從時間維度對網絡安全態勢感知的高階要求。實時感知的過程也是大量安全人員協作的過程。實時感知可以為各類安全人員提供簡單合理的數據訂閱和發布界面，實現數據和階段分析信息及時、可靠地共享。在實時感知過程中，安全人員按照崗位或安全業務類型劃分清晰的任務邊界，任務間形成緊密鏈條，避免具有銜接關系的任務間出現輸入/輸出不匹配或任務模塊遺漏問題；在數據信息共享、分析管理協同、支撐配合聯動等協作活動中，通過追蹤顯示任務流轉流程和進展，提高實時感知的時效性和有效性。

在實時感知過程中，交互式迭代分析是一種主要的分析方法。該方法可以快速獲取并驗證各種安全數據的有效性，理解并確定安全數據所蘊含的攻擊事件，預測并評估攻擊發展趨勢及其造成的影響。在大型網絡安全防御活動中運用這一方法，需要相關安全人員在統一協作的環境支持下實施。例如，威脅攻擊感知往往與預測評估分析交互迭代，通過歷史場景復盤或網絡狀態回放實現感知歷史攻擊和預測網絡安全狀態，要求復盤分析人員快速響應應急分析人員的需求，并在風險評估人員的配合下，提供與應對與當前威脅相關的歷史攻擊事件及其響應措施。