態(tài)勢感知作起源于軍用領(lǐng)域， 20世紀(jì)80年代，美國空軍提出態(tài)勢感知的概念。為提升空戰(zhàn)能力，分析空戰(zhàn)環(huán)境信息、快速判斷當(dāng)前及未來形勢，以作出正確反應(yīng)而進(jìn)行的研究探索，分為感知、理解、和預(yù)測三個(gè)層次。

　?。?）態(tài)勢感知是了解當(dāng)前的狀態(tài)，包括狀態(tài)識(shí)別與確認(rèn)（攻擊發(fā)現(xiàn)），以及對態(tài)勢感知所需信息來源和素材的質(zhì)量評價(jià)。

　　（2）態(tài)勢理解則包括了解攻擊的影響、攻擊者（對手）的行為和當(dāng)前態(tài)勢發(fā)生的原因及方式。簡單可概括為：損害評估、行為分析（攻擊行為的趨勢與意圖分析）和因果分析（包括溯源分析和取證分析）。

　?。?）態(tài)勢預(yù)測則是對態(tài)勢發(fā)展情況的預(yù)測評估，主要包括態(tài)勢演化（態(tài)勢跟蹤）和影響評估（情境推演）

　　20世紀(jì)90年代，態(tài)勢感知的概念開始被逐漸被接受，并隨著網(wǎng)絡(luò)的興起而升級(jí)為“網(wǎng)絡(luò)態(tài)勢感知（Cyberspace Situation Awareness，CSA）”，指在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預(yù)測，而最終的目的是要進(jìn)行決策與行動(dòng)。

　　態(tài)勢感知帶來的價(jià)值

　　從網(wǎng)絡(luò)安全態(tài)勢感知來看，就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡(luò)環(huán)境的實(shí)時(shí)安全狀況，為網(wǎng)絡(luò)安全提供保障。

　　態(tài)勢感知有以下三點(diǎn)價(jià)值：1. 賦能企業(yè)或其他機(jī)構(gòu)建立防御體系；2. 賦能監(jiān)管部門建設(shè)監(jiān)測通報(bào)預(yù)警能力。3. 安全廠商對威脅捕獲、威脅分析、客戶支撐等工作體系的自我建設(shè)完善。

　　借助網(wǎng)絡(luò)安全態(tài)勢感知，網(wǎng)絡(luò)監(jiān)管人員可以及時(shí)了解網(wǎng)絡(luò)的狀態(tài)、受攻擊情況、 攻擊來源以及哪些服務(wù)易受到攻擊等情況，對發(fā)起攻擊的網(wǎng)絡(luò)采取措施；網(wǎng)絡(luò)用戶可以清楚地掌握所在網(wǎng)絡(luò)的安全狀態(tài)和趨勢，做好相應(yīng)的防范準(zhǔn)備，避免和減少網(wǎng)絡(luò)中病毒和惡意攻擊帶來的損失；應(yīng)急響應(yīng)組織也可以從網(wǎng)絡(luò)安全態(tài)勢中，了解所服務(wù)網(wǎng)絡(luò)的安全狀況和發(fā)展趨勢，為制定有預(yù)見性的應(yīng)急預(yù)案提供基礎(chǔ)。

　　態(tài)勢感知已然成為網(wǎng)絡(luò)安全領(lǐng)域破局的關(guān)鍵，并用于對下一代入侵檢測系統(tǒng)的研究，其中的知名應(yīng)用是美國愛因斯坦計(jì)劃。愛因斯坦計(jì)劃始于2003年，建設(shè)目的是使“系統(tǒng)能夠自動(dòng)地收集、關(guān)聯(lián)、分析和共享美國聯(lián)邦國內(nèi)政府之間的計(jì)算機(jī)安全信息，從而使得各聯(lián)邦機(jī)構(gòu)能夠接近實(shí)時(shí)地感知其網(wǎng)絡(luò)基礎(chǔ)設(shè)施面臨的威脅。”

　　態(tài)勢感知技術(shù)應(yīng)用

　　為了實(shí)時(shí)、準(zhǔn)確地顯示整個(gè)網(wǎng)絡(luò)安全態(tài)勢狀況，檢測出潛在、惡意的攻擊行為，網(wǎng)絡(luò)安全態(tài)勢感知要在對網(wǎng)絡(luò)資源進(jìn)行要素采集的基礎(chǔ)上，通過數(shù)據(jù)預(yù)處理、網(wǎng)絡(luò)安全態(tài)勢特征提取、態(tài)勢評估、態(tài)勢預(yù)測和態(tài)勢展示等過程來完成，這其中便涉及許多相關(guān)的技術(shù)問題。

• 數(shù)據(jù)融合技術(shù)

　　數(shù)據(jù)融合技術(shù)是一個(gè)多級(jí)、多層面的數(shù)據(jù)處理過程，按信息抽象程度可分為從低到高的三個(gè)層次：數(shù)據(jù)級(jí)融合、特征級(jí)融合和決策級(jí)融合。

　　網(wǎng)絡(luò)空間態(tài)勢感知的數(shù)據(jù)來自眾多的網(wǎng)絡(luò)設(shè)備，其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)質(zhì)量等千差萬別，存儲(chǔ)形式各異，表達(dá)的語義也不盡相同。如果能夠?qū)⑦@些使用不同途徑、來源于不同網(wǎng)絡(luò)位置、具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理，并在此基礎(chǔ)上進(jìn)行歸一化融合操作，就可以為網(wǎng)絡(luò)安全態(tài)勢感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源，從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢。

• 數(shù)據(jù)清洗技術(shù)

　　網(wǎng)絡(luò)安全態(tài)勢感知將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過數(shù)據(jù)融合處理后，轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大，攜帶的信息眾多，有用信息與無用信息魚龍混雜，難以辨識(shí)。因此，要掌握相對準(zhǔn)確、實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢，必須剔除干擾信息。

　　數(shù)據(jù)清洗技術(shù)從海量數(shù)據(jù)中挖掘出有用的信息，即從海量的、不完全的、有噪聲的、模糊的、隨機(jī)的實(shí)際應(yīng)用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、事先未知的，但又有潛在用處的并且最終可理解的信息和知識(shí)。

• 數(shù)據(jù)挖掘技術(shù)

　　數(shù)據(jù)挖掘可分為描述性挖掘和預(yù)測性挖掘，描述性挖掘用于刻畫數(shù)據(jù)庫中數(shù)據(jù)的一般特性；預(yù)測性挖掘在當(dāng)前數(shù)據(jù)上進(jìn)行推斷，并加以預(yù)測。

　　數(shù)據(jù)挖掘方法主要有：關(guān)聯(lián)分析法、序列模式分析法、分類分析法和聚類分析法。關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系；序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系；分類分析法通過對預(yù)先定義好的類建立分析模型，對數(shù)據(jù)進(jìn)行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡(luò)模型等；聚類分析不依賴預(yù)先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動(dòng)態(tài)聚類法、基于密度的方法等。

• 特征提取技術(shù)

　　網(wǎng)絡(luò)安全態(tài)勢特征提取技術(shù)是通過一系列數(shù)學(xué)方法處理，將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值，這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀況的一系列特征，用以反映網(wǎng)絡(luò)安全狀況和受威脅程度等情況。

　　網(wǎng)絡(luò)安全態(tài)勢特征提取是網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測的基礎(chǔ)，對整個(gè)態(tài)勢評估和預(yù)測有著重要的影響，網(wǎng)絡(luò)安全態(tài)勢特征提取方法主要有層次分析法、模糊層次分析法、德爾菲法和綜合分析法。

• 態(tài)勢預(yù)測技術(shù)

　　網(wǎng)絡(luò)安全態(tài)勢預(yù)測就是根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料，運(yùn)用科學(xué)的理論、方法和各種經(jīng)驗(yàn)、判斷、知識(shí)去推測、估計(jì)、分析其在未來一定時(shí)期內(nèi)可能的變化情況，是網(wǎng)絡(luò)安全態(tài)勢感知的一個(gè)重要組成部分。

　　網(wǎng)絡(luò)在不同時(shí)刻的安全態(tài)勢彼此相關(guān)，安全態(tài)勢的變化有一定的內(nèi)部規(guī)律，這種規(guī)律可以預(yù)測網(wǎng)絡(luò)在將來時(shí)刻的安全態(tài)勢，從而可以有預(yù)見性地進(jìn)行安全策略的配置，實(shí)現(xiàn)動(dòng)態(tài)的網(wǎng)絡(luò)安全管理，預(yù)防大規(guī)模網(wǎng)絡(luò)安全事件的發(fā)生。網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法主要有神經(jīng)網(wǎng)絡(luò)預(yù)測法、時(shí)間序列預(yù)測法、基于灰色理論預(yù)測法。

• 可視化技術(shù)

　　可視化技術(shù)是利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，并進(jìn)行交互處理的理論、方法和技術(shù)。它涉及計(jì)算機(jī)圖形學(xué)、圖像處理、計(jì)算機(jī)視覺、計(jì)算機(jī)輔助設(shè)計(jì)等多個(gè)領(lǐng)域。

　　目前已有很多安全企業(yè)將可視化技術(shù)和可視化工具應(yīng)用于態(tài)勢感知領(lǐng)域，在網(wǎng)絡(luò)安全態(tài)勢感知的每一個(gè)階段都充分利用可視化方法，將網(wǎng)絡(luò)安全態(tài)勢合并為連貫的網(wǎng)絡(luò)安全態(tài)勢圖，快速發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，直觀把握網(wǎng)絡(luò)安全狀況。