1.3　网络安全态势感知的作用、意义、过程、相关角色、需求

网络安全态势感知是网络空间安全防御活动的组成部分，是理解网络当前安全态势、检测网络中的攻击事件、预测网络未来安全态势并对安全威胁和攻击事件进行溯源的一系列活动的集合。构建网络安全态势感知系统、实现大规模网络安全防御，需要分析理解网络安全态势感知的作用、意义和过程，以及实施态势感知的有关人员角色，明确在网络空间防御活动中态势感知的需求。

1.3.1　网络安全态势感知的作用

网络空间安全涉及攻击与防御两个方面。网络安全态势感知主要面向安全防御，针对己方和合作网络，提取安全特征以通过靶向数据采集获取安全数据、分析安全状态以监测和发现安全事件、预测和评估威胁风险以辅助选择和确定防御措施。因此，网络安全态势感知是在防御视角下的网络安全防御的组成部分。从服务于网络安全防御的视角来看，网络安全态势感知的作用体现在以下三个方面。

1.3.1.1　为防御者提供全面的网络系统安全状态信息

提供网络系统安全状态信息是网络安全态势感知的基本作用。这些信息主要包括资产信息、静态配置信息、漏洞信息和威胁信息。其中，资产信息包括当前网络的硬件、软件以及硬件拓扑关系和软件适配关系等；静态配置信息包括网络的拓扑结构、脆弱点等关键配置信息；漏洞信息包括网络空间中的各类型漏洞、弱点、缺陷等，对于当前网络而言，包括当前网络中存在的漏洞、弱点和缺陷等数据；威胁信息包括安全设备的运行日期、业务日志、告警信息等，以及网络中业务终端的系统日志、业务系统安全日志等。

用户基于安全状态信息应能够回答以下问题或提供所需数据信息。

（1）网络中有哪些资产？

（2）网络当前活动拓扑结构是什么？

（3）网络支撑哪些活跃的业务任务？

（4）业务任务与资产的映射关系是什么？

（5）网络中发生过哪些攻击事件？

（6）网络中存在哪些漏洞安全隐患或哪些亟须发布的软硬件补丁？

（7）当前关键计算机的负载或关键链路网络流量情况是什么？

（8）提供靶向式数据采集和确保有效性的数据融合。

（9）提供对事件案例库的检索和可视化展示。

（10）提供对态势知识的结构化检索和可视化展示。

（11）提供对分析推理和评估模型的统计。

（12）提供对系统业务功能链和数据信息流的检索和可视化展示。

（13）提供对系统席位和权限的检索和可视化展示。

（14）提供数据采集及网络扫描周期管理。

（15）提供其他与基础软硬件和数据管理以及系统使用管理相关的支撑信息。

1.3.1.2　支撑防御者准确实时地发现网络攻击

人们多年来在网络安全防御方面的研究和实践集中在安全架构和安全手段两方面：在安全架构方面，包括对公共漏洞进行统一的管理、对基础和核心系统进行安全加固、对关键网络和边界划分安全域等；在安全手段方面，包括研发部署流量监测、入侵检测、防火墙、终端监控、UTM等各类安全检测管理设备和系统。对于按照某一架构部署了安全设备和系统的大型网络环境，由于设备和系统往往是来自于不同厂家、采用不同标准研制的，因此在本质上是基于单通道监控和单点防御的，在功能边界、数据共享、联动响应等方面存在规范性和一致性问题；对于按照部门、区域和组织等部署的小规模安全防御环境，由于在运行过程中产生了大量的安全数据，如包数据、会话数据、日志、告警等，因此在一定程度上反映了局部网络、某个层面的安全状态，但由于批次建设缺乏有效协作，因此无法进行组合式深度分析，缺少多角度的全景信息，更不能完成全方位的评估和预测。上述环境下的安全防御设备和系统都属于被动防御，难以实现对网络整体安全态势的全面、准确、多维度、细粒度的展现和评估预测。

因此，网络安全防御工作需要对包数据、会话数据、日志、告警等不同格式和类型的数据进行一致化处理，采用关联分析方法，发现隐藏在不同样式数据中的安全状态信息，如组合流量异常和面向业务的负载异常等。更进一步的工作是提取隐藏在不同通道、不同区域、不同维度安全状态信息中的攻击事件特征片段，用组合式深度分析方法，发现高阶或深层网络攻击并进行跟踪和溯源。防御者通过态势感知应能回答以下三组问题：

（1）网络中是否存在正在进行的攻击？这些攻击是谁发起的？在什么“地方”发起的？正在进行什么操作？

要求防御者具有检测正在发生的攻击或入侵行为的能力。回答这组问题，需要对IDS日志、防火墙日志、系统日志、网络流量和负载等原始态势数据进行多维度关联分析。随着攻击行为的变化，需要动态地调整数据采集和网络扫描周期，从而及时跟踪最新态势数据和态势变化。

（2）攻击活动对网络或在网络上运行的业务系统会产生什么影响？会造成多大的损失？

要求防御者掌握网络资产与业务系统中任务的关联关系，并能够对正在发生的攻击进行两个层面的危害评估，包括网络信息系统层面和业务系统中任务层面。回答这组问题，需要掌握组织机构的网络资产，包括网络设备、计算设备、存储设备、终端设备、安全设备等，建立资产与任务的关联关系并确定关联关系的权重。在此基础上，将第（1）组问题的答案作为主要输入，通过连续迭代的数据探查、案例对比和知识推理，计算攻击活动已造成的损失，估计对未来网络和业务系统的影响。

（3）网络中曾经发生和正在发生的攻击行为的变化路线是什么？

要求防御者具有对攻击行为进行监视、跟踪和溯源的能力。回答这一组问题，同样需要基于第（1）组问题的答案，参考第（2）组问题答案对应的态势信息，对攻击行动持续地跟踪、深度地分析和溯源。对于态势感知活动，要求不仅能够有效管理上下层功能的依赖和支撑关系，还要在对趋势进行预测评估的过程中，协调好前后业务功能之间的操作。

1.3.1.3　提升防御者对网络安全事件的研判能力

准确地研判网络安全事件是网络安全防御者的核心能力，研判工作的重点主要包括推理和预测攻击威胁的发展趋势、评估攻击事件对网络和业务任务的影响、评估安全措施或应对方案对网络安全态势和业务任务的影响等。网络安全态势感知能够通过准确发现真实有效事件，对攻击目标和攻击意图进行合理的筛选推测，对事件和态势的发展进行即时准确的预测，并对当前及预测事件进行实时准确评估等操作，提升防御者的研判能力。

防御者通过网络安全态势感知应能够回答以下问题。

（1）攻击者的目标是什么？攻击者可能采取什么策略？下一步会采取什么攻击行为？

要求防御者具有对主要的攻击组织、常见攻击策略和攻击方法等的建模能力，熟悉攻击组织的背景、信仰、理念、技术特点等，了解常见攻击策略和攻击方法的行为特征。建模能力和基于模型的推理操作依赖于当前态势数据、历史事件数据、安全情报数据。需要将相关数据融入网络安全时空知识库，反复迭代地进行探查、分析、回溯、推理，进而输出一组形式化的攻击者行为模型。攻击行为可能随着事件而改变。因此，模型需要不断演化，态势感知、分析和推演也需要适应变化并持续进化。

（2）网络未来可能的安全态势是什么？

要求防御者能够针对攻击者在当前态势或攻击场景下可能采取的下一步行动进行预测，能够对业务系统在面临可能的攻击场景时的服务能力进行预测。回答这一问题，需要基于问题（1）的输出，形成当前态势的完整发展路线，根据对攻击者目的、策略和行为的理解，结合安全响应措施，输出一组预测未来可能出现在不同响应措施下的安全场景。

1.3.1.4　全面提高网络系统的安全保障能力

网络系统的安全保障能力体现在安全防御人员的紧密、高效协作上，通过协作实现由安全特征提取、靶向数据采集，到当前态势理解、攻击事件检测，再到攻击事件风险评估、态势预测与溯源等的循环迭代。通过网络安全态势感知操作，应能够回答并解决以下问题：

（1）各类态势感知操作依赖哪些信息源？是否可以有效获取并评估其质量？

防御者需要对所有任务所依赖的信息源（不仅包括原始数据源，还包括各任务的输出信息）与任务间的关联关系进行建模，并对信息源的质量进行实时评估和反馈。态势感知过程的目标是为了回答整体态势感知过程所涉及的各组问题，并在处理各组问题的相关信息时，建立起各信息源的权重。如果能够对每个信息源的可靠性进行评估，则可以使网络安全态势感知系统能够对每个输出结果附加置信级别。

（2）各类任务是否有效获得了所需资源？问题出在系统内还是系统外？

防御者需要跟踪信息传递流程，分析任务数据，探查记录，以发现同类或同粒度数据的生成和传递频率，从而发现数据分析的常用模式或需要多次交互的数据协作环节，据此评估各类任务获取所需资源的便利性。频繁的数据分析模式可以固化为自动模型并添加到系统模型库。同时，通过信息源与任务间的关系模型，可以准确定位信息的产生、传递链路瓶颈，改进信息传递流程和任务链关系，促进对完成态势感知任务的人力资源的部署与调整。

（3）各类人员是否对态势具有不同的理解？造成理解不一致的问题在哪里？

该问题从系统的功能目标出发，检视系统对态势感知任务的支撑度。态势感知系统作为一个辅助支撑手段，为安全人员提供统一的数据、模型和界面，促进安全人员达成格式统一的对态势的有效理解，同时提供一个高效协作的平台，确保各角色人员能够有效地紧密协作。影响态势感知系统工作效率的一个关键因素是数据和态势模型的完整性，系统是否接收了足够多的态势感知信息；另一个关键因素是数据、态势等相关输入/输出的可视化显示是否与安全人员的角色任务相匹配，并通过颜色、布局、提示等方式对重要信息提供与之匹配的显示。

实现网络安全态势感知需要运用网络安全态势感知系统等辅助工具，并建立参与态势感知的不同角色安全人员的认知模型及防御人员的高阶决策心理模型。因此，在研究网络安全态势感知的作用时，应综合考虑网络安全态势感知系统和运用系统的安全人员的作用。

1.3.2　网络安全态势感知的意义

实施有效的网络空间安全防御从而在网络空间的对抗中赢得主动，是确保国家、政府、生产和民生等不同层面安全的核心和前提。防御动作并不限于阻止网络系统被攻击者初始入侵，还包括以下内容：通过设置网络设备以缩小初始攻击面；通过识别被入侵受控的计算机以处置潜伏在组织机构网络内部的长期威胁（如高级可持续威胁等）；通过阻断攻击者对所植入的恶意代码的指挥控制链条以降低或减小网络系统的安全损失；通过部署安全策略和实施安全措施以建立一种可保持且可改进的自适应持续防御与响应能力［22］。

美国前“网军”司令亚历山大于ISC2015提出，“世界上只有两种组织：一种是已经被攻陷的；还有一种是不知道自己已经被攻陷的”。传统的通过简单地部署很多安全设备的被动防护架构遭遇了瓶颈，已经不能进一步提升安全防御能力，且难以适应当前的网络安全形势。人们开始着手研究建设具有主动防御能力的网络安全防御体制和手段。其中，建立全天候、全方位的网络安全态势感知系统是一项核心工作。“全天候”是时间维度，贯穿过去、现在和未来，是要掌握过去安全事件、理解当前安全状态、预测未来安全走向；“全方位”是内容维度，是对硬件、系统、数据、应用等保卫对象的多粒度全覆盖，是对漏洞、攻击、威胁、风险等防御对象的多角度全掌握。通过全天候、全方位的态势感知，可以提取历史数据和事件并构建最新攻击威胁知识，持续监测、有效发现最新攻击和威胁，根据业务要求划定多维度、多粒度度量评价指标和威胁等级与业务优先级，自动生成针对各种威胁的风险评估，并预测发展趋势和计划采取的安全措施的有效性，满足主动防御下网络空间安全防御的需要。

从对网络安全防御的作用方面分析，网络安全态势感知的意义包括以下四个方面。

（1）不断从攻击事件中汲取经验并用于指导防御活动。发现、记录并复盘已经发生并对系统造成了破坏的实际攻击行为，运用工具提取攻击路线、比对行为特征，深入分析攻击如何开始、演化以及最终达到什么目的，从而形成可重用的分析经验和可共享的防御知识，用于构建有效且可用于实践的防御体系。

（2）对网络进行持续地安全监测和协同评估。收集态势数据，利用数据处理模型对数据进行融合，形成安全特征信息。对特征信息进行关联分析，检测和发现当前网络潜在、隐藏和进行中的攻击行为。建立一个通用的、涵盖所有防御操作和人员角色的安全度量指标集，为管理、分析、建设人员提供一种共同的协作语言，并对安全配置、控制措施进行可行性测试和有效性评估，发现网络脆弱点，辅助确定安全威胁风险等级和防御措施优先级。

（3）确定安全威胁风险等级和防御措施优先级。提供确定威胁风险等级和不同威胁场景下确定防御措施优先级所需要的输入数据。这些输入数据包括攻击来源、攻击目的、攻击路线、攻击状态等敌方信息，以及业务部署、资源负载、安全配置、防御措施等己方信息。在攻击发生时，采用事件预测和风险分析模型，将所有相关数据进行综合，预测态势的演变趋势和威胁等级，推选资源条件允许的更高级别的防御措施。

（4）推动实现态势感知的自动化。探索和集成数据处理、关联分析、知识推理等模型和技术，对安全事件进行自动化检测、确认和评估，对当前网络安全状态、安全配置、安全措施和态势知识库进行有效、可靠地更新扩展，实现自动化感知，支持主动的网络空间安全防御。

总之，网络安全态势感知是主动的网络空间安全防御的关键组成部分，其作用和意义都是协助安全分析与响应人员快速有效地执行安全防御任务。

1.3.3　网络安全态势感知的过程

网络安全态势感知是实现主动防御的基础和前提，贯穿于网络防御的全过程，构成网络防御活动的主线。因此，网络安全态势感知是一个迭代循环的过程，由融合信息（包括采集数据、提取信息）、检测事件、预测溯源到评估风险构成感知过程，帮助系统做出决策，再根据需求反馈进行迭代循环，构成网络安全态势感知的全过程，如图1-6所示。其中，特征信息提取、当前状态分析、发展趋势预测是构成态势感知过程的三个主要阶段。

1.3.3.1　特征信息提取

特征信息提取是网络安全态势感知的起始阶段，同时也是迭代循环中需求反馈的目标阶段。特征信息提取采用信息融合的方式，提取网络及相关环境中相关安全对象的状态、属性和动态等信息，并将信息用各种易于理解的形式展示和存储，为后续的分析和预测提供素材。准确、全面地识别并提取网络的安全要素和特征是实现有效的网络安全态势感知的基础。

如1.3.1节所述，从单一来源、局部网络或单一层面采集的信息数据存在一定的局限性，无法全面描述网络的当前态势；后续的状态分析和趋势预测需要对多来源、全方位数据进行深度关联分析。因此，需要对当前网络的资产信息、漏洞信息和威胁信息及网络空间的漏洞信息等进行多采集。然而，由于当前硬件设备、软件系统、数据来源等存在厂家、标准、目标严重不一致性的现象，因此采集到的数据在格式、量纲、语义等方面存在大量不一致的情况，使得在特征信息提取过程中，需要对采集到的数据进行清洗、集成、规约和变换等复杂操作。另外，当前的信息网络已经发展成为一个庞大的非线性复杂系统，具有很强的灵活性和动态性，产生安全数据的速度快、规模大、格式杂，对于有限的通信和计算资源而言，需要采用按需采集、分段采集等靶向采集方法，以降低信息提取对通信和计算资源的要求。目前的特征信息提取存在较多的理论和技术难题。

1.3.3.2　当前状态分析

当前状态分析是指安全人员对当前网络的信息特征进行关联、组合、分析、解读，从而了解当前总体安全态势，检测和发现安全事件，分析评估网络的脆弱点和攻击影响的过程。检测安全事件及分析网络脆弱点是当前状态分析的核心内容。因此，当前状态分析不仅包括对众多信息的整合，还包括对信息与信息、信息与事件、事件与资产、资产与业务等的关联分析，发现并理解安全信息与安全对象的相关度，从而评估或推断网络脆弱点、安全事件的危害程度以及对网络上业务任务的影响。发现并理解安全信息与安全对象的相关度也是当前状态分析的核心，涉及对数据的确定性分析和安全人员自身的主观性认知。随着网络安全状态的动态变化，这一操作需要持续迭代地进行，最终与安全人员的已有认知相结合，从而综合得出当前态势图像。

可见，当前状态分析是在“特征信息提取”的基础上，解析安全信息之间以及安全信息与安全对象之间的关联性，结合安全人员自身的知识和认知，使安全人员掌握并理解网络当前安全状态。分析当前状态的过程，要摒弃以前分析单一来源或单一层面安全数据、研究单一安全事件的做法，从整体上掌握网络的安全状态并进行综合评估，从而实现辅助决策的目标。

1.3.3.3　发展趋势预测

发展趋势预测是指预测网络安全态势，是网络安全态势感知迭代过程中最后也是要求最高的一个阶段，要基于网络历史安全特征信息、当前状态信息和安全人员知识，预测网络中安全事件和网络安全态势在未来一段时间的发展趋势。这是态势感知的基本目标之一。在预测过程中，对攻击的溯源分析是了解安全事件历史、掌握攻击意图从而预测安全事件发展的关键；所有安全事件的发展趋势构成了网络安全态势变化趋势的基础。网络攻击是具有随机性和不确定性的，面对动态变化的攻击行为，网络的安全态势成为非线性的动态变化过程，使得传统分析预测模型受到了限制和挑战［22］。在上述现实背景下，需要研究采用新型的模型和相关的技术方法，如神经网络模型、时间序列预测法、支持向量机等，以更好地适应网络安全趋势预测的需要。此外，基于因果的数据模型和模式识别也常用在网络安全态势的预测中。未来，随着人工智能和机器学习技术的发展，也许会产生更多智能的技术方法。

网络安全态势感知的三个阶段并非串行过程，而是同步并行的过程，为便于理解而从逻辑上将其切分为三个阶段［12］。在实际的网络安全态势感知中，三个阶段是同时进行并相互触发连续变化的，从而进行迭代循环。三个阶段的数据和信息的输入/输出是交叉可见的，而各组成部件的运行、各阶段安全人员的操作也保持连续的相互支撑和协作。

1.3.4　网络安全态势感知中的相关角色

网络安全态势感知是安全人员在对所防护网络安全状态、面临的攻击威胁及未来走向、网络及业务任务服务质量等，进行感知、预测和评估的过程中形成的。安全人员在态势感知中因岗位角色不同，需要的基础支持信息、从事的安全业务内容、产生的安全业务输出也不相同。安全人员在网络安全态势感知中的相关角色主要包括以下五类［22］。

（1）首席信息安全官。首席信息安全官负责制定安全策略或安全框架，并在所处组织机构中推行和落实有关标准和法规。在大型组织或复杂网络环境下，首席信息安全官会领导多个安全架构师，负责组织内不同安全领域的技术架构和安全系统的设计。在小型组织中，首席信息安全官多与安全架构师合并。首席信息安全官是整个组织网络安全的最高负责人，负责选择网络安全防护策略或决策最佳的网络安全响应措施。

（2）安全分析师。安全分析师负责分析和评估网络中存在的漏洞，提出修补或应对措施。安全分析师还要分析和评估安全事件对网络和业务服务造成的损害，检查分析并推荐最佳解决方案。另外，安全分析师还要测试安全策略及措施的有效性和可行性，协助完成安全解决方案的制定与实施工作。安全分析师是网络安全态势感知的核心角色，其业务操作集中在当前状态分析和发展趋势预测阶段，支持首席信息安全官选择安全方案、执行安全措施是其重要业务内容。

（3）安全工程师。安全工程师负责执行监视、分析、取证、溯源等具体操作，在检测发现安全事件或攻击行为时，触发应急响应操作。另外，安全工程师还会对最新的安全技术、管理流程等，进行调研、跟踪，提高机构安全管理、运维和响应能力。部分组织的安全工程师还会负责本机构业务流程、业务代码的安全分析和审计工作。安全工程师是网络安全态势感知的另一核心角色，其业务操作集中在特征信息提取和当前状态分析阶段，与安全分析师紧密协作，支持安全态势的迭代分析评估。靶向获取安全数据并提取特征信息和安全事件的检测与发现是其主要业务内容。

（4）安全管理员。安全管理员负责安装和维护全组织的安全系统，执行并响应安全信息采集、安全管理措施或安全响应方案实施等。安全管理员是网络安全态势感知的前端“触手”，是网络安全态势感知的数据采集前沿人员。

（5）安全顾问/专家。安全顾问/专家是较宽泛的概念和角色，有时泛指除上述4种角色之外所有从事咨询、指导、观察等安全服务的人员，其业务操作超出网络安全态势感知的闭环流程，但其观念、方法或活动，会对网络安全态势感知的业务流程、方法论及阶段结论产生影响。

网络安全态势感知中的相关角色如图1-7所示。

1.3.5　网络安全态势感知的需求

“态”即当前现状，是指要对获得的网络安全信息和事件做评估，确定攻击的真实性，理清攻击类型、性质和危害；“势”即全局的发展趋势，是指要预测未来网络安全事件的演变趋势［23］。传统的网络安全态势感知侧重于网络资产或网络行为等原子级的元素，例如单个可疑网络包、对潜在入侵行为的一条告警，或某台易受攻击的计算机等。而在当前复杂的网络环境、持续演化的威胁样式、瞬间变化的攻击路线和网络状态等情况下，网络安全态势感知需要对影响网络态势的所有安全要素进行察觉获取、理解评估和未来预测。由此，对网络安全态势感知提出了“全面、准确、实时”三个要求：“全面”即全面感知，从全网角度感知网络安全事件；“准确”即准确感知，准确发现网络攻击、评估危害、预测和溯源；“实时”即实时感知，实时发现、评估、预测和溯源网络攻击［22］。

1.3.5.1　全面感知

全面感知是从范围维度，对敌情和我情进行全面感知。其中，我情是指对已知或配合网络的安全态势感知所需要的信息，包括已知网络资产、拓扑、漏洞和受到的攻击等安全信息，以及运营或任务、防御能力信息；敌情是指对未知或不配合网络的安全态势感知所需要的信息，包括威胁情报、漏洞库等显式安全信息，以及攻击模式、攻击组织等隐式安全信息。攻击感知和任务感知是全面感知的核心。

攻击感知是指掌握网络中隐藏或面临的攻击行为，是全面感知中最重要的活动。从时间维度，攻击感知可以分为历史攻击感知、当前攻击感知和网络当前脆弱面感知。历史攻击感知是指找出网络曾经遭受过的攻击和已有可能受到的针对性的威胁；当前攻击感知是指找出当前最新的攻击样式和网络可能遭受的攻击威胁；网络当前的脆弱面感知是指找出网络中存在的安全缺陷、未修复的漏洞等。

任务感知的任务是指由网络提供的各种服务。改变网络姿态或防御措施可能会影响这些服务，收到网络入侵或安全攻击会严重损害服务质量。安全防御和态势感知的目的是保障服务的正常运行，感知网络当前的运营任务，并建立运营任务与网络资产间的映射关系，是运营任务感知的首要任务，而在传统的态势感知中往往忽略了运营任务感知。

1.3.5.2　准确感知

准确感知包括准确发现对网络的攻击事件，涉及回溯发现历史攻击事件，探查发现当前攻击事件，预测发现潜在攻击威胁；要准确推理当前正在面临的攻击行为，包括攻击意图、攻击路线、攻击目标、下一步行为等；要准确评估当前正在及未来可能的攻击行为对网络安全状态和业务任务的影响，以及安全防护措施或响应恢复措施的效果及其对业务任务的影响。在网络安全态势感知中，数据来源于广泛分布且规格不同的传感器，需要对不同格式、不同量纲和不同语境的数据进行融合，形成全网统一的数据模式，并按照统一的视图完整展示，使管理和分析人员能够按照业务需求获取一致的态势图景。

准确感知是对网络安全态势感知的高阶要求，需要多种关联分析模型、预测推理模型、量化评估模型的交叉支持验证。只有努力追求准确感知，才能减少虚警、误警、漏警等影响态势感知效果，降低安全防御效率现象的发生，从而实现积极主动防御。

1.3.5.3　实时感知

实时感知是从时间维度对网络安全态势感知的高阶要求。实时感知的过程也是大量安全人员协作的过程。实时感知可以为各类安全人员提供简单合理的数据订阅和发布界面，实现数据和阶段分析信息及时、可靠地共享。在实时感知过程中，安全人员按照岗位或安全业务类型划分清晰的任务边界，任务间形成紧密链条，避免具有衔接关系的任务间出现输入/输出不匹配或任务模块遗漏问题；在数据信息共享、分析管理协同、支撑配合联动等协作活动中，通过追踪显示任务流转流程和进展，提高实时感知的时效性和有效性。

在实时感知过程中，交互式迭代分析是一种主要的分析方法。该方法可以快速获取并验证各种安全数据的有效性，理解并确定安全数据所蕴含的攻击事件，预测并评估攻击发展趋势及其造成的影响。在大型网络安全防御活动中运用这一方法，需要相关安全人员在统一协作的环境支持下实施。例如，威胁攻击感知往往与预测评估分析交互迭代，通过历史场景复盘或网络状态回放实现感知历史攻击和预测网络安全状态，要求复盘分析人员快速响应应急分析人员的需求，并在风险评估人员的配合下，提供与应对与当前威胁相关的历史攻击事件及其响应措施。