2.1　网络安全态势感知系统的功能结构

网络安全态势感知系统是实现态势感知的重要部分，是对网络安全态势进行感知、理解及分析的技术支撑平台和自动化工具。根据网络安全态势感知的形成过程，典型的网络安全态势感知系统功能和结构包括特征信息提取、当前状态分析、发展趋势预测、风险评估、模型及管理和用户交互六个部分，如图2-1所示。

图2-1　典型的网络安全态势感知系统功能结构图

（1）特征信息提取

在网络安全态势感知中，采集和提取网络安全数据的攻击种类繁多、方法多样，从网络安全大数据中提取出有用信息是形成有效态势感知的关键。对于资产维度、漏洞维度、威胁维度的网络安全数据，需要针对不同的网络安全要素设计对应的规则，提取符合特征的数据，从而实现针对关键信息的靶向数据采集。在提取了不同维度的数据以后，需要对多个维度的数据进行融合，融合的过程主要包括数据清洗、数据集成、数据规约和数据变换等。其中，数据清洗是为了去除数据集中的噪声数据、内容不一致的数据、对遗漏数据进行填补等，保证数据的充分可用性；数据集成是对格式不一致的数据进行处理，并将分散在多个数据源中的数据集成到一个具有统一表达形式的数据集中，从而实现从一个统一的视角处理不同来源的数据；数据规约是对数据进行精简，由于网络安全数据体量大、特征维度高，分析师很难分析和处理所有的数据，通过数据规约可以大幅度减少需要处理的数据，让分析师可以关注更为重要的数据；数据变换是将数据从一种表示形式变形为另一种更利于分析的表示形式，从而为网络安全态势感知提供更有效的数据表示形式。

（2）当前状态分析

当前状态分析利用系统的自动化模型，通过可视化功能与用户交互，根据用户的交互指令，检测和发现网络中的威胁事件。当前状态分析主要包括关联分析、攻击检测、取证分析、事件发现等模块。其中，关联分析模块是通过对资产维度、漏洞维度、威胁维度的信息进行关联，从而实现对网络攻击行为的准确实时检测，并支持历史网络安全事件的复盘分析；攻击检测模块是根据已有的多源网络安全数据检测当前网络系统中正在发生的攻击活动；取证分析模块是通过提取历史的网络安全数据，对发生的网络安全事件及相关的威胁数据进行复盘，从而发现或验证网络攻击的历史“痕迹”，为检测网络安全事件提供更多的数据支撑；事件发现模块是根据关联分析、攻击检测、取证分析的结果，推导出威胁事件的来源、攻击者、攻击意图等。

（3）发展趋势预测

发展趋势预测综合利用自动化模型，通过可视化功能与用户交互，根据用户的交互指令对攻击和威胁事件的发展趋势进行预测，生成未来一段时间的网络安全态势，为防御措施的制定和应对方案的选择提供决策支持。发展趋势预测主要包括攻击溯源和攻击预测模块。其中，攻击溯源模块在取证分析模块的支持下，辅助完成对攻击来源、攻击路径、攻击模式的分析，为发展趋势预测提供实证分析功能；攻击预测模块利用预测模型，辅助实现对当前及假定攻击的预期目的、未来行为的分析。

（4）风险评估

风险评估旨在对正在发生的网络安全事件或威胁行为可能造成的安全风险进行评估，并将网络系统的整体安全态势因子（网络安全度量指标）映射到一个量化的风险维度。按照评估维度和目标的不同，风险评估可以分为定量评估和定性评估。定性评估通过评估者与安全人员的多次交互，依据评估者的知识和经验等非量化指标对攻击或威胁的风险进行评估；定量评估则是运用数据指标对攻击或威胁的数据元素通过数学方法或数学模型进行计算，生成攻击或威胁的风险值。

（5）模型及管理

自动化理解网络安全态势的过程实质上是从分析师的角度理解网络安全态势的认知过程，在认知过程中会形成描述网络安全态势的本体模型、预测模型、评估模型等。模型及管理是对认知过程中的本体模型和预测模型及评估模型的数据规范、功能接口、模型存储与更新等进行定义和管理。在认知过程中形成的认知模型支持态势感知系统自动化地理解和预测网络安全态势，对感知的网络安全事件、目标实体、场景等进行统一建模表示，支持基于表示模型的推理和预测。其中，本体模型主要面向状态分析，对态势感知中的关键概念、实体、语义等进行统一的规范化定义和表示，以支持后续的推理和发现；预测模型定义用于攻击预测的事件和关系的表示形式与方法；评估模型用于定义模型和威胁风险度指标体系以及资产与任务度量指标体系等。

（6）用户交互

用户交互负责完成态势感知系统的可视化功能，以便用户与网络安全态势感知系统进行交互、展示当前网络安全态势、预测未来态势、评估安全风险、对攻击行为溯源等。可视化模块针对不同的网络攻击行为、不同的态势感知阶段等，采用多种不同的人机交互、数据可视化技术进行设计，为用户提供一个易于直观理解和使用网络安全态势感知系统的方式。