網路安全態勢感應

① 什麼是網路安全態勢感知

在大規模網路環境中，對能夠引起網路態勢發生變化的安全要素進行獲取、理解、顯示並據此預測未來的網路安全發展趨勢。簡而言之就是根據網路安全數據，預測未來網路安全的趨勢。

② 知識普及-安全態勢

隨著網路規模和復雜性不斷增大，網路的攻擊技術不斷革新，新型攻擊工具大量涌現，傳統的網路安全技術顯得力不從心，網路入侵不可避免，網路安全問題越發嚴峻。

單憑一種或幾種安全技術很難應對復雜的安全問題，網路安全人員的關注點也從單個安全問題的解決，發展到研究整個網路的安全狀態及其變化趨勢。

網路安全態勢感知對影響網路安全的諸多要素進行獲取、理解、評估以及預測未來的發展趨勢，是對網路安全性定量分析的一種手段，是對網路安全性的精細度量，態勢感知成已經為網路安全2.0時代安全技術的焦點，對保障網路安全起著非常重要的作用。

一、態勢感知基本概念

1.1 態勢感知通用定義

隨著網路安全態勢感知研究領域的不同，人們對於態勢感知的定義和理解也有很大的不同，其中認同度較高的是Endsley博士所給出的動態環境中態勢感知的通用定義：

態勢感知是感知大量的時間和空間中的環境要素，理解它們的意義，並預測它們在不久將來的狀態。

在這個定義中，我們可以提煉出態勢感知的三個要素：感知、理解和預測，也就是說態勢感知可以分成感知、理解和預測三個層次的信息處理，即：

感知：感知和獲取環境中的重要線索或元素；

理解：整合感知到的數據和信息，分析其相關性；

預測：基於對環境信息的感知和理解，預測相關知識的未來的發展趨勢。

1.2 網路安全態勢感知概念

目前，對網路安全態勢感知並未有一個統一而全面的定義，我們可以結合態勢感知通用定義來對對網路安全態勢感知給出一個基本描述，即：

網路安全態勢感知是綜合分析網路安全要素，評估網路安全狀況，預測其發展趨勢，並以可視化的方式展現給用戶，並給出相應的報表和應對措施。

根據上述概念模型，網路安全態勢感知過程可以分為一下四個過程：

1）數據採集：通過各種檢測工具，對各種影響系統安全性的要素進行檢測採集獲取，這一步是態勢感知的前提；

2）態勢理解：對各種網路安全要素數據進行分類、歸並、關聯分析等手段進行處理融合，對融合的信息進行綜合分析，得出影響網路的整體安全狀況，這一步是態勢感知基礎；

3）態勢評估：定性、定量分析網路當前的安全狀態和薄弱環節，並給出相應的應對措施，這一步是態勢感知的核心；

4）態勢預測：通過對態勢評估輸出的數據，預測網路安全狀況的發展趨勢，這一步是態勢感知的目標。

網路安全態勢感知要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性並提供應對措施，以圖、表和安全報表的形式展現給用戶。

二、態勢感知常用分析模型

在網路安全態勢感知的分析過程中，會應用到很多成熟的分析模型，這些模型的分析方法雖各不相同，但多數都包含了感知、理解和預測的三個要素。

2.1 始於感知：Endsley模型

Endsley模型中，態勢感知始於感知。

感知包含對網路環境中重要組成要素的狀態、屬性及動態等信息，以及將其歸類整理的過程。

理解則是對這些重要組成要素的信息的融合與解讀，不僅是對單個分析對象的判斷分析，還包括對多個關聯對象的整合梳理。同時，理解是隨著態勢的變化而不斷更新演變的，不斷將新的信息融合進來形成新的理解。

在了解態勢要素的狀態和變化的基礎上，對態勢中各要素即將呈現的狀態和變化進行預測。

2.2 循環對抗：OODA模型

OODA是指觀察（Oberve）、調整（Orient）、決策（Decide）以及行動（Act），它是信息戰領域的一個概念。OODA是一個不斷收集信息、評估決策和採取行動的過程。

將OODA循環應用在網路安全態勢感知中，攻擊者與分析者都面臨這樣的循環過程：在觀察中感知攻擊與被攻擊，在理解中調整並決策攻擊與防禦方法，預測對手下一個動作並發起行動，同時進入下一輪的觀察。

如果分析者的OODA循環比攻擊者快，那麼分析者有可能「進入」對方的循環中，從而占據優勢。例如通過關注對方正在進行或者可能進行的事情，即分析對手的OODA環，來判斷對手下一步將採取的動作，而先於對方採取行動。

2.3 數據融合：JDL模型

JDL（Joint Directors of Laboratories）模型是信息融合系統中的一種信息處理方式，由美國國防部成立的數據融合聯合指揮實驗室提出。

JDL模型將來自不同數據源的數據和信息進行綜合分析，根據它們之間的相互關系，進行目標識別、身份估計、態勢評估和威脅評估，融合過程會通過不斷的精煉評估結果來提高評估的准確性。

在網路安全態勢感知中，面對來自內外部大量的安全數據，通過JDL模型進行數據的融合分析，能夠實現對分析目標的感知、理解與影響評估，為後續的預測提供重要的分析基礎和支撐。

2.4 假設與推理：RPD模型

RPD（Recognition Primed Decision）模型中定義態勢感知分為兩個階段：感知和評估。

感知階段通過特徵匹配的方式，將現有態勢與過去態勢進行對比，選取相似度高的過去態勢，找出當時採取的哪些行動方案是有效的。評估階段分析過去相似態勢有效的行動方案，推測當前態勢可能的演化過程，並調整行動方案。

以上方式若遇到匹配結果不理想的情況，則採取構造故事的方式，即根據經驗探索潛在的假設，再評估每個假設與實際發生情況的相符度。在RPD模型中對感知、理解和預測三要素的主要體現為：基於假設進行相關信息的收集（感知），特徵匹配和故事構造（理解），假設驅動思維模擬與推測（預測）。

三、態勢感知應用關鍵點

當前，單維度的網路安全防禦技術手段，已經難以應對復雜的網路環境和大量存在的安全問題，對網路安全態勢感知具體模型和技術的研究，已經成為2.0時代網路安全技術的焦點，同時很多機構也已經推出了網路安全態勢感知產品和解決方案。

但是，目前市場上的的相關產品和解決方案，都相對偏重於網路安全態勢的某一個或某幾個方面的感知，網路安全態勢感知的數據分析的深度和廣度還需要進一步加強，同時網路安全態勢感知與其它系統平台的聯動不足，無法將態勢感知與安全運營深入融合。

為此，太極信安認為網路安全態勢感知平台的建設，應著重考慮以下幾個方面的內容：

1、在數據採集方面，網路安全數據來源要盡可能的豐富，應該包括網路結構數據、網路服務數據、漏洞數據、脆弱性數據、威脅與入侵數據、用戶異常行為數據等等，只有這樣態勢評估結果才能准確。

2、在態勢評估方面，態勢感評估要對多個層次、多個角度進行評估，能夠評估網路的業務安全、數據安全、基礎設施安全和整體安全狀況，並且應該針對不同的應用背景和不同的網路規模選擇不同的評估方法。

3、在態勢感知流程方面，態勢感知流程要規范，所採用的演算法要簡單，應該選擇規范化的、易操作的評估模型和預測模型，能夠做到實時准確的評估網路安全態勢。

4、在態勢預測方面，態勢感知要能支持對不同的評估結果預測其發展趨勢，預防大規模安全事件的發生。

5、在態勢感知結果顯示方面，態勢感知能支持多種形式的可視化顯示，支持與用戶的交互，能根據不同的應用需求生成態勢評測報表，並提供相應的改進措施。

四、總結

上述幾種模型和應用關鍵點對網路安全態勢感知來講至關重要，將這些基本概念和關鍵點進行深入理解並付諸於實踐，才能真正幫助決策者獲得網路安全態勢感知能力。

太極信安認為，建設網路安全態勢感知平台，應以「業務+數據定義安全」戰略為核心驅動，基於更廣、更深的數據來源分析，以用戶實際需求為出發點，從綜合安全、業務安全、數據安全、信息基礎設施安全等多個維度為用戶提供全面的安全態勢感知，在認知、理解、預測的基礎上，真正幫助用戶實現看見業務、看懂威脅、看透風險、輔助決策。

                            摘自 CSDN 道法一自然

③ 態勢感知的主要功能

態勢感知的主要功能如下：

態勢感知（Situation Awareness，SA）」嚴格說並不是一個新名詞。早在20世紀80年代，美國空軍就提出了態勢感知的概念，覆蓋感知（感覺）、理解和預測三個層次。90年代，態勢感知的概念開始被逐漸被接受；

隨著網路安全重要性的凸顯，態勢感知開始在網路安全領域展露頭角。2009年，美國白宮在公布的網路空間安全戰略文件中明確提出要構建態勢感知能力，並梳理出具備態勢感知能力和職責的國家級網路安全中心或橡伏族機構。

包含了國家網路安全中心（NCSC）、情報部門、司法與反間諜部門、US-CERT、網路作戰部門的網路安全中心（Cybersecurity Center）等，覆蓋了國家安全、情報、司法梁弊、公私合作等廳坦各個領域。

④ 保護網路安全的措施有哪些

現如今，網路已經十分普及，其中也肯定會出現一些安全問題，那麼，如何保護網路安全呢?我在這里給大家帶來保護網路安全的 措施 ，希望能幫到大家。

一般來說，人們認為網路安全技術基本上就是「老三樣」：防火牆、殺毒和入侵檢測。隨著網路安全與網路攻擊的博弈，人們發現入侵檢測也不能完全達到網路安全預警的期望值，有資料表明相當一部分網路安全問題是由「內鬼」或「非惡意觸發」引起的。此外，網路安全防護還有一個特殊的問題就是「要在網路的內外兩側同時作戰」。因而，有人就開始把目光轉向安全審計、態勢感知、證書認證、可信模塊等 其它 技術領域，希望尋找到第四種、第五種以至於第N種技術元素，以達到網路安全預警的初衷――「防患於未然」。

我們應從國防戰略高度提高網路安全意識，強化網路保密管理觀念。首先要確立網路安全管理是做好平時與戰時__的重要保障的思想;其次要從根本上解決重技術，輕管理偏見;最後要確立網路安全管理人人有責的觀念，確保信息安全是一項全員性、整體性工作，人人都有維護網路安全、保守網上軍事秘密的義務和責任。

網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：

(1)全面規劃網路平台的安全策略。

(2)制定網路安全的管理措施。

(3)使用防火牆。

(4)盡可能記錄網路上的一切活動。

(5)注意對網路設備的物理保護。

(6)檢驗網路平台系統的脆弱性。

(7)建立可靠的識別和鑒別機制。

⑤ 態勢感知技術盤點，安全態勢感知與管控平台評測

眾所周知，態勢感知的「前世」是應用在軍事領域的。而時至今日，態勢感知卻已然是網路安全的基本和基礎性工作，是在實現安全態勢「理解」和「預測」之前的重要階段。

現階段，為應對網路安全挑戰，彌補傳統防禦手段的不足，大多企業都在逐步構建一套網路安全分析及管控平台，用以整合企業信息安全的事件響應、技術平台、管理流程，實現總部、分支范圍內安全風險的集中監控、安全事件的集中處置、安全策略的合規檢查以及安全態勢的統一展示，將信息安全管理和技術進行有機結合，完善提升企業的的信息安全保障體系 。

本次我們挑選的產品是來自南京聚銘網路的安全態勢感知與管控平台。據悉，該平台是由聚銘網路自主開發的基於大數據技術的安全態勢感知與管控平台，可以統一採集各類結構化和非結構化的數據，包括各類設備、應用日誌以及網路流量和各種脆弱性，通過實時分析、離線分析、關聯分析、統計分析、機器學習、規則庫、專家經驗庫以及強大的安全情報源碰撞進行多方位風險分析。

現在，就讓我們具體操作體驗下，一探究竟。

平台概覽

首先，我們通過賬號信息登錄進入這款產品的界面。

我們可以看到，在這款產品的首頁界面上左邊是一個整體安全態勢感知概覽模塊，然後是從南北向東西向三個方向的 威脅和風險訪問的大屏展現，還有脆弱性、違規行為的態勢展現大屏。中間還有一個動態3D的全球威脅態勢感知，動態展現全球 的情況，畫面看上去十分有科技感。

整體環顧下來，產品的界面給我們的感覺就是風格比較簡約明了，內容上基本體現了安全的整體情況，畫面上所羅列的功能也很全面，符合市場上各企業對於態感產品的需求，產品放在企業的安全監控大屏上將會有很好的視覺效果。整體環顧下來，產品的界面給我們的感覺就是風格比較簡約明了，內容上基本體現了安全的整體情況，畫面上所羅列的功能也很全面，符合市場上各企業對於態感產品的需求，產品放在企業的安全監控大屏上將會有很好的視覺效果。

數據採集

首先我們來看下數據採集情況，目前我們的採集數據量大概每秒有近6000條數據，算下來一天就會有5億條的數據量，還是挺恐怖的。從界面操作查詢來看，感覺也非常流暢，沒有感覺到卡頓不適的現象，這個在做溯源查詢的時候就會非常方便了。另外，這個產品採集數據的兼容能力也是比較亮眼，能支持近500種類型第三方設備日誌的接入和處理，這點相當不錯。

現在我們可以看到採集的數據都在這里，看起來的確如同之前對廠家的了解一樣，他們這款態感產品的數據採集能力相對其他平台而言，在採集的廣度和深度上更為全面一些，一般我們接觸的此類產品主要是通過流量維度來進行分析，很少有能有同時內置流量、日誌、漏洞掃描和配置合規檢測能力的，這一點確實是在我們接觸的同類產品中很少見，值得誇贊一番，說明這家廠商至少在態勢感知這一塊考慮的點是相當全面的。

接下來我們就看看，對於採集到的這么多類型的數據，這款態感產品又分析的怎麼樣，能不能實現精準的分析呢？

風險分析

從失陷分析維度的場景來看，通過查看分析的過程和數據情況，對伺服器日誌、安全設備日誌、流量分析等數據綜合分析的結果，展現了設備整個安全生命周期的過程，另外也從漏掃維度佐證了此問題的發現。

我們可以看到，產品呈現的分析的結果還是比較准確全面的，充分利用了現有安全建設的資源，又結合了產品本身的分析能力和威脅情報能力，較全面展現了企業和設備風險情況。從這一點看來，這款由聚銘網路廠商打造的態感產品，是完全可以符合企業態勢感知建設需求的。

今天，我們對於這款態感產品的測試也就先到這里，除了採集和分析能力外，其他的合規審計、基線檢查等功能就不再一一介紹。

總結

總體上來講，這款態勢感知與管控平台是完全可以滿足企業對於態感平台建設的基本需求的。這款態感產品能完成網路安全分析及管控平台框架的搭建，對總部、分支、專業安全系統重要數據進行接入，實現總部-分支范圍內安全風險的集中監控、安全事件的集中處置、安全態勢的統一展示，而且不用再做任何額外的開發。

值得一提的是，根據我們對廠商的側面了解，他們使用的是「騰訊+聚銘」的雙情報庫模式，在各類威脅檢測方面非常全面精準，這一點也在我們本次評測中和其他同類產品對比測試中也得到了驗證。

另外，不足的地方可能就是在產品界面操作上引導性還有改進空間，產品經理請拿小本本記下來。

綜合而言，這款產品無論是在日誌、流量等數據採集方面的廣度和深度，還是分析能力以及和情報庫的結合等方面的核心能力上，在我們以往測評產品中都可以算是相當突出的。

以上就是本次評測的所有內容，僅供業界同仁參考，今天的內容就到這里，更多安全產品體驗我們後期再見。

⑥ 當前網路社會信息安全走向取決於大數據

當前網路社會信息安全走向取決於大數據
快速發展的互聯網技術不斷地改變人們的生活方式，然而，多層面的安全威脅和安全風險也不斷出現。對於一個大型網路，在網路安全層面，除了訪問控制、入侵檢測、身份識別等基礎技術手段，需要安全運維和管理人員能夠及時感知網路中的異常事件與整體安全態勢。
對於安全運維人員來說，如何從成千上萬的安全事件和日誌中找到最有價值、最需要處理和解決的安全問題，從而保障網路的安全狀態，是他們最關心也是最需要解決的問題。與此同時，對於安全管理者和高層管理者而言，如何描述當前網路安全的整體狀況，如何預測和判斷風險發展的趨勢，如何指導下一步安全建設與規劃，則是一道持久的難題。
大數據給信息安全帶來的最大改變是通過自動化分析處理與深度挖掘，將之前很多時候亡羊補牢式的事中、事後處理，轉向事前自動評估預測、應急處理，讓安全防護主動起來。大數據對安全廠商而言，意味著海量日誌、黑客攻擊更加隱蔽，同時也是安全技術水平提升的有效手段。
當然，在大數據給企業帶來的風險和機遇同時，大數據也給信息安全發展帶來了新的機遇和挑戰。因為網路攻擊或非法泄露信息的行為或多或少總會留下蛛絲馬跡，這些痕跡都以數據的形式隱藏在大數據中。企業可以通過對大量網路攻擊事件的分析，找出潛在的風險點，從而制定更好的預防攻擊、防止信息泄露的策略。但是這有一個前提，那就是必須保證進行網路攻擊事件分析所依據的信息是准確的、可靠的，如果原始數據即已遭到非法篡改，那數據分析則會被誤導，這將使企業陷入更加糟糕的境地。這說明基於大數據的信息安全發展也是要以信息安全本身為基礎的。
企業IT管理人員一定不會對以下這個場景感到陌生：一名員工在集團上海分公司刷卡進入公司內部，五分鍾後後台系統顯示該員工在北京分公司登錄企業OA系統。孤立地看，這兩件事都不屬於安全事故，但如果將它們聯系起來，IT人員就會立刻意識到問題的嚴重性，一個人怎麼能在五分鍾內從上海飛到北京？企業信息正面臨泄露風險。
如果集團的IT系統復雜，各地分公司每天產生的日誌數量繁多，並且不能集中管理，類似的安全威脅就可能淹沒在幾十萬條安全日誌里。現在，借用大數據分析，SIEM（安全信息和事件管理）正在讓這些安全隱患無所遁形。
「大數據給信息安全防護帶來的最大改變就是我們通過自動化分析處理與深度挖掘相結合，可以將之前很多時候亡羊補牢式的事中、事後處理，轉向事前自動評估預測、應急處理，讓安全防護真正可以主動起來。」某專業人士認為，安全廠商應該利用這種趨勢，讓自身的產品方案和大數據分析相結合，形成從數據收集分析到安全管理策略下發，再到效果評估的一整套安全解決方案，從而完成從銷售相對孤立產品到真正解決方案式的模式轉變。
網路安全感知能力具體可分為資產感知、脆弱性感知、安全事件感知和異常行為感知4個方面。資產感知是指自動化快速發現和收集大規模網路資產的分布情況、更新情況、屬性等信息；脆弱性感知則包括3個層面的脆弱性感知能力：不可見、可見、可利用；安全事件感知是指能夠確定安全事件發生的時間、地點、人物、起因、經過和結果；異常行為感知是指通過異常行為判定風險，以彌補對不可見脆弱性、未知安全事件發現的不足，主要面向的是感知未知的攻擊。
大數據在信息安全領域的應用包括宏觀上的網路安全態勢感知和微觀上的發現安全威脅，尤其是APT攻擊上。一些企業認為應該加強對大數據本身的隱私保護，有人卻認為完全沒有必要，「大數據是價值低密度的數據，安全廠商沒有必要保護大數據的安全，而是應該利用大數據分析來發現更多安全威脅，這是安全廠商難得的機會」。在他看來，大數據分析的技術難度並不大，安全廠商也可以通過購買或合作獲得，「重要的是分析的邏輯，包括查詢條件、查詢時間的起止點等，這些考驗的還是安全廠商的傳統思維」。

⑦ 人工智慧在網路安全領域的應用有哪些

近年來，在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術。一般來說，AI主要應用於網路安全入侵檢測、惡意軟體檢測、態勢分析等領域。

1、人工智慧在網路安全領域的應用——在網路入侵檢測中。

入侵檢測技術利用各種手段收集、過濾、處理網路異常流量等數據，並為用戶自動生成安全報告，如DDoS檢測、僵屍網路檢測等。目前，神經網路、分布式代理系統和專家系統都是重要的人工智慧入侵檢測技術。2016年4月，麻省理工學院計算機科學與人工智慧實驗室(CSAIL)與人工智慧初創企業PatternEx聯合開發了基於人工智慧的網路安全平台AI2。通過分析挖掘360億條安全相關數據，AI2能夠准確預測、檢測和防範85%的網路攻擊。其他專注於該領域的初創企業包括Vectra Networks、DarkTrace、Exabeam、CyberX和BluVector。

2、人工智慧在網路安全領域的應用——預測惡意軟體防禦。

預測惡意軟體防禦使用機器學習和統計模型來發現惡意軟體家族的特徵，預測進化方向，並提前防禦。目前，隨著惡意病毒的增多和勒索軟體的突然出現，企業對惡意軟體的保護需求日益迫切，市場上出現了大量應用人工智慧技術的產品和系統。2016年9月，安全公司SparkCognition推出了DeepArmor，這是一款由人工智慧驅動的“Cognition”殺毒系統，可以准確地檢測和刪除惡意文件，保護網路免受未知的網路安全威脅。在2017年2月舉行的RSA2017大會上，國內外專家就人工智慧在下一代防病毒領域的應用進行了熱烈討論。預測惡意軟體防禦的公司包括SparkCognition、Cylance、Deep Instinct和Invincea。

3、人工智慧在網路安全領域的應用——在動態感知網路安全方面。

網路安全態勢感知技術利用數據融合、數據挖掘、智能分析和可視化技術，直觀地顯示和預測網路安全態勢，為網路安全預警和防護提供保障，在不斷自我學習的過程中提高系統的防禦水平。美國公司Invincea開發了基於人工智慧的旗艦產品X，以檢測未知的威脅，而英國公司Darktrace開發了一種企業安全免疫系統。國內偉達安防展示了自主研發的“智能動態防禦”技術，以及“人工智慧”與“動態防禦”六大“魔法”系列產品的整合。其他參與此類研究的初創企業包括LogRhythm、SecBI、Avata Intelligence等。

此外，人工智慧應用場景被廣泛應用於網路安全運行管理、網路系統安全風險自評估、物聯網安全問題等方面。一些公司正在使用人工智慧技術來應對物聯網安全挑戰，包括CyberX、network security、PFP、Dojo-Labs等。

以上就是《人工智慧在網路安全領域的應用是什麼?這個領域才是最關鍵的》，近年來，在網路安全防禦中出現了多智能體系統、神經網路、專家系統、機器學習等人工智慧技術，如果你想知道更多的人工智慧安全的發展，可以點擊本站其他文章進行學習。

⑧ 態勢感知探針是什麼

態勢感知探針大規模系統環境中，對能夠引起系統狀態發生變化的安全要素進行獲取、理解、顯示以及預測未來的發展趨勢。

態勢感知探針的作用：

聯合作戰、網路中心戰的提出,推動了態勢感知的產生和不斷發展,作為實現態勢感知的重要平台和物質基礎,態勢圖對數據和信息復雜的需求和特性構成了突出的大數據問題。

最後對關鍵數據和信息處理技術進行了研究.該研究對於「大數據」在軍事信息處理和數據化決策等領域的研究具有重要探索價值。

隨著計算機和通信技術的迅速發展， 計算機網路的應用越來越廣泛， 其規模越來越龐大， 多層面的網路安全威脅和安全風險也在不斷增加， 網路病毒、 Dos/DDos攻擊等構成的威脅和損失越來越大， 網路攻擊行為向著分布化、 規模化、 復雜化等趨勢發展。

網路安全態勢感知技術能夠綜合各方面的安全因素， 從整體上動態反映網路安全狀況， 並對網路安全的發展趨勢進行預測和預警。 大數據技術特有的海量存儲、 並行計算、 高效查詢等特點。

為大規模網路安全態勢感知技術的突破創造了機遇， 藉助大數據分析， 對成千上萬的網路日誌等信息進行自動分析處理與深度挖掘， 對網路的安全狀態進行分析評價， 感知網路中的異常事件與整體安全態勢。

⑨ 從認知技能到自動網路安全響應

摘要： 組織應該面對網路安全攻擊，這可以強烈影響他們的操作流程，業務形象，和關鍵信息的安全。建立安全機制有助於減少可能被攻擊者利用的弱點;然而，它們並不總是足夠的，而且一次攻擊可能會成功。因此，組織需要建立計劃或過程來處理這些安全事件，甚至構建稱為CSIRTs的事件響應團隊。由於不同形式的攻擊和海量數據的增長，處理網路安全事件需要適應新的安全管理策略。從這個意義上說，將大數據、人工智慧和數據分析應用於網路安全，被定義為認知安全，提出了一種可行的替代方案，但有必要考慮，如果沒有對網路安全專家進行充分培訓，或者如果使用了他們的技術和非技術技能，技術解決方案就會缺乏有效性。在人類技能和技術解決方案之間建立密切的相互關系可以幫助設計一個充分和有效的檢測和自動化過程，從而改進安全事件的處理。本研究分析了認知安全技術解決方案與網路安全專家技能之間的相互關系。提出了一個通過建立態勢感知來進行決策的自動化事件響應框架。

一、引言

由於技術在不同領域的擴展，如金融服務、醫療服務、公共服務以及水、電、電信等關鍵基礎設施，計算機安全已成為社會的一個基本要素。根據麻省理工學院(MIT)的說法，安全團隊將面臨的風險主要是針對物聯網(IoT)設備、區塊鏈和關鍵基礎設施[1]的攻擊;例如，麻省理工學院提到，攻擊者在2019年主要使用人工智慧和量子技術進行攻擊。這種情況涉及有準備充分的組織和有能力面對這些新挑戰的安全專業人員;在國際層面上，一些組織已經定義了通過稱為計算機事件響應小組(CSIRTs)[2]的專家和研究人員團隊快速響應安全風險的策略。CSIRT由來自網路安全、法律、心理學和數據分析師等領域的專家組成。CSIRT根據預先設定的程序和政策，對網路安全事件做出快速有效的反應，並降低網路攻擊的風險。

CSIRTs中的安全分析人員需要處理大量的數據，以便i)確定觸發可能的攻擊警報的模式或異常，ii)更快速和有效地執行檢測過程。CSIRTs的成員正在尋求基於技術解決方案的新策略，如大數據、機器學習和數據科學[3]。為了加快數據分析方法[4]的研究進程，美國國家標准與技術研究院(NIST)等國際組織啟動了數據科學研究計劃(DSRP)。在網路安全領域，認知科學在信息安全過程中的應用推動了認知安全[5]的概念;這允許進行預測性和說明性分析，從而提供安全攻擊的可能影響的視圖。CSIRTs成功的另一個關鍵因素是團隊協作能力和對不同環境的適應能力。在21世紀的[7]時代，安全專業人員需要團隊合作、批判性思維和溝通等技能。2015年9月,一個之間的協作計算機協會(ACM), IEEE計算機協會(IEEE CS),信息系統協會特殊利益集團對信息安全和隱私(AIS SIGSEC),以及國際信息處理聯合會技術委員會信息安全教育(11.8聯合會WG)提出了一個網路安全教育課程指南提到非技術技能計價的軟技能,對於安全專業人員來說至關重要，並專注於:團隊合作、溝通、情景感知的生成，以及使用不同組織文化[8]的操作。

在組織中產生網路安全態勢感知的能力允許確定積極的策略來面對正在進行的和即將到來的攻擊或威脅。情境意識產生於三個認知過程:認知、理解和投射。認知過程是人類行為固有的，它會受到不同因素的影響，例如:壓力、疲勞、分心、物理或環境條件。分析任務的績效以及這些因素的影響是一些研究者感興趣的。例如，Robert Karasek提出了需求控制模型[9]，該模型研究了計算機人員在不同工作領域的認知、情感和身體需求，計算機人員的心理需求水平較高。在此背景下，發展認知策略在信息加工的各個層面都是必要的;此外，還需要分析執行功能如何通過:抑止控制、工作記憶處理[10]優化來整合各級信息處理，從而幫助網路安全專業人員高效工作和充足的響應時間。

在這項研究中，我們提出了一個模型來整合網路安全領域的認知技能、團隊合作和數據分析，如圖1所示。認知安全可以利用安全分析人員的認知能力的特點，將這種知識和智能轉移到計算機系統中;通過這樣做，他們可以向安全團隊執行一個即時響應動作或通知，以做出針對安全攻擊的決策，如圖1所示。

研究的其餘部分組織如下。第二節介紹了有關自動網路安全響應的相關工作。第三節介紹了心理學在網路安全中的重要性的背景。第四部分提出了一個基於認知過程的自動化網路安全框架的建議。最後，第六部分總結了本文的研究結論，並提出了今後的工作方向。

二、相關工作

根據麻省理工學院評論[11]的分析，在2018年，城市將安裝多層感測器來監測空氣質量、垃圾水平或交通量;這一預測，加上Gartnert對2020年的預測，[12]將有204億台聯網設備。在新的安全場景中，組織必須面對網路或計算平台的規模和復雜性的急劇變化，這些網路或計算平台是組織支持服務提供和設備連接的基礎。在這種新的背景下，傳統的安全解決方案的行動能力和人類對安全事件的檢測和響應能力受到了限制。為組織和研究人員評估的網路安全的替代方案是使用認知模型作為一種提議，以增強計算環境的安全性和擴大人類的分析能力。

在[13]中，作者提出了一個基於機器學習的檢測與基於時間邏輯的分析的組合，允許區分異常和啟用動態網路響應。在[14]中，包括對個人設備的認知安全的使用，以允許設備識別所有者和自主安全，以便設備採取自己的安全決策。基於函數和依賴關系[15]的知識，可以實現診斷的自動化。在「數字服務生態系統中的自主計算方法調查」[16]中，提出了應用自主計算概念的25種不同的數字生態系統，在[13]中，提出了認知安全方法如何能夠建立「良好異常」來建立正常的操作參數，以及任何變化如何生成網路設備的自動自動重新配置來控制數據流。

三、認知技能和網路安全

a 態勢感知

態勢感知被定義為，從心理學領域，作為一種能力，產生對他的生活的理解，基於他的經驗[17]。這一概念已適用於計算機系統領域;例如，Lewis將計算系統的自我意識定義為基於內部和外部事件[18]獲取自身知識的能力。在[19]中，自我意識被定義為為計算機系統生成關於自身和環境的知識，並根據這些知識決定將要執行的行動的能力。

1)網路安全態勢感知(CSA):態勢感知(SA)的概念描述了組織當前的威脅和攻擊情況，可能的攻擊的影響，以及攻擊者的識別和用戶行為[20]。分析人員必須了解安全情況並確定影響的可能性。為了生成態勢感知，我們可以使用OODA循環。Breton提出的認知OODA循環是基於感知、理解和投射[21]的認知過程。表一展示了認知階段、認知過程和根據Brenton的提案產生的產品之間的關系。

2)網路認知態勢感知(CCSA):

為了建立組織的網路安全態勢意識，我們可以依靠面向決策過程的認知方面的支持。適應了網路空間的感知、理解和投射的認知過程，我們將擁有如表二所示的關系。

b .非技術技能

美國國土安全部(DHS)和國家網路安全聯盟(NCSA)等組織都開展了國家網路安全意識月活動，在2018年慶祝了第15屆[22]，以促進社區了解數字環境中的風險和威脅的相關方面。在這些領域中，安全專業人員必須具有非技術技能，以便能夠以清晰和一致的方式向一組沒有技術背景的人員傳播知識。針對組織內的網路安全，防禦策略基於風險管理，如圖2所示分為四個級別的網路安全風險管理生命周期。

在網路安全風險管理生命周期內，至少需要以下人員:

•團隊領導/協調員;

•負責系統和信息安全;

•溝通團隊或公關;

•分類器或分類;

•事件管理團隊-二級;

•法律團隊。

這強調了在一個由不同學科的專業人員共同協作的環境中發展協作技能的必要性，因此團隊合作對於網路安全專家來說是一項非常重要的技能。Newstrom提到，21世紀的組織或公司更加靈活，能夠迅速適應變化，橫向關系更加有效;因此，今天的組織更加重視靈活的結構和橫向溝通。任務和角色以更開放的方式定義，環境更加動態，團隊的創建允許實現所描述的方面。莫林認為，復雜性和多學科工作是21世紀的一部分，未來的教育必須以人類狀況和人類之間的多樣化關系為中心。Morin在《21世紀教育》中提到的另一個重要方面是讓學生准備好面對日常生活中不同事件所產生的不確定性。

關於Morin提到的關於關注學生人性方面的第一個方面，開始強調以加強技能為重點的培訓可能是很重要的。芒福德將技能分為四類[25]:

1)認知能力;

2)人際交往能力;

3)業務技能;

4)戰略技能。

一般來說，在網路安全領域的大學主要關注提高認知、商業和戰略技能，但不太關注非技術技能。根據Mumford提出的分類，團隊合作、協作、溝通和網路被包括在人際交往技能的類別中。未來的網路安全專業人士正在大學學習;因此，工程教育需要鼓勵非技術技能的發展。Kyllonen提出了21世紀需要的技能，其中以下提到[7]:

•批判性思維;

•口頭和書面溝通;

•勞動倫理;

•團隊合作;

•合作;

•專業;

•故障排除。

良好的網路安全工作人員框架[26]為安全專業人員建立了一套知識、技能和能力與非技術方面相關，如:

•有能力參與計劃小組，協調小組和任務小組的工作;

•能夠運用合作技巧和策略;

•應用批判性閱讀/思考技能的能力;

•與他人有效合作的能力。

關於Morin在計算機科學領域提出的第二個方面，即不確定性，一些作者如[27]和[28]提到，軟體開發過程中的不確定性可能與人的參與、並發性和問題領域的不確定性有關。在軟體環境中，產品的開發和用戶最初提出的需求的變化之間可能會出現不確定性。在網路安全領域，不確定性可能與其他方面有關，如時間、類型和網路攻擊的目標。

團隊合作也會產生不確定性;在[29]中，作者提到，不確定性可以在人的功能和環境工作中產生，取決於諸如先見者、利他主義智力、收獲和意外收獲等變數。在[30]中，作者認為，不確定性取決於團隊的結構和成員之間的相互作用。

如圖3所示，在21世紀的教育背景下，對計算機科學工程專業的學生進行網路安全領域的教育，主要有四個方面是必須要做的。

四、基於認知技能的網路安全自動反應

我們對事件反應自動化的建議是基於建立態勢意識的重要性，在理解組織安全的積極和消極方面的基礎上做出正確的決策。我們的提議利用了協作的方法來產生自我意識和決策，是基於安全分析師的認知過程的重要性，以能夠確定一個安全事件在多個事件之間，它必須被識別出一個異常行為，可以警告攻擊。我們的建議中考慮的一個方面是為了加強認知過程。在2017年RSA會議上，IBM[31]展示了安全分析師在調查事件時必須執行的認知任務，在表III中，我們提出了網路安全認知任務和認知過程之間的聯系。

對於自動響應安全事件的過程，我們提出了如圖4所示的分層架構。我們的建議強調分析層，在分析層中對不同來源(如感測器、日誌或安全博客)獲得的數據進行理解。此外，在這一層中，安全分析人員的經驗和有效的溝通是最基本的，因為它將預測充分評估事件，並將其歸類為事件，並建立最適當的決策，以減少攻擊的影響。具體地說，在這一層中，我們提出了兩個允許建立情境意識的子組件:i)自動學習的子組件和ii)團隊合作。這兩個子組件共享一種直接交流的方式，目的是生成標簽，用於培訓基於分析人員通過互動和交換思想生成的知識的監督學習演算法。另一方面，無監督學習演算法可以檢測不容易檢測到的模式或異常，並提醒安全分析人員確定它們是否與共同的安全攻擊相對應。

設計了一個基於數據管理流程的框架，以確保不同層次數據的完整性和質量;然後,它包括:

•收集;

•准備;

•分析;

•可視化;

•訪問。

在下面的圖4中，我們將詳細描述組成我們所提議的框架的層。

a)網路收集層:涵蓋將用於創建網路安全態勢感知的信息來源。在資料來源中，可以考慮下列情況:

•網路模擬平台;

•感測器;

•入侵檢測系統;

•脆弱性分析;

•安全門戶、博客或訂閱源;

•netflow;

•伺服器和網路設備日誌。

b)基礎設施層:基礎設施層包含以下組件:

•數據收集伺服器，在這些伺服器中，將對不同來源的信息進行數據攝取處理。至少考慮三個伺服器來實現負載平衡和高可用性。

•索引伺服器，在這些伺服器中執行數據索引的過程，並在此基礎上定義屬性，在此基礎上對數據進行調試和處理，生成可視化層的信息。至少考慮兩台伺服器用於負載平衡和高可用性進程。

•隊列管理伺服器,該伺服器建立流程管理大數據解決方案的處理資源在多個請求信息同時執行報告伺服器和數據可視化,這個伺服器處理數據可視化工具,允許與分析師能夠執行的交互信息的查詢。

•入侵檢測伺服器，在此伺服器中定義了檢測與安全攻擊相關的模式的規則，伺服器可以訪問安全感測器。

•警報管理伺服器，在此伺服器中，警報管理被定義為在檢測到異常模式時通知分析師，在此伺服器中包含了一個事件管理系統，允許在檢測到安全事件前對升級進行流控制。

c)索引層:用於定義搜索字典。

d)態勢感知層:這一層是我們的核心建議。在這一層的目標是建立一個基線安全狀態的一個組織,為此我們考慮兩個部分,第一個組成的機器學習演算法,允許識別模式或異常基於預處理來自不同數據源的數據伺服器日誌,第二部分稱為團隊合作產生自我意識的建立基於CSIRT安全分析人士的合作。基於團隊產生的知識，你可以訓練學習演算法來提高它們的准確性。

e)分類層:它定義了針對安全分析師、CsIRT或事件管理過程中的其他參與者生成的警報。根據良好做法，明智的做法是定義警報級別的分類。

f)自動響應層:它定義了可以自動的響應動作，因為這對於建立安全事件管理計劃是必要的。

五、討論

在心理學研究中，工作績效是一個尋求提高工作績效的話題，考慮到個人和環境變數。我們在這項研究中分析的變數是在網路安全領域執行事件管理的專業人員的認知技能。我們認為，與執行功能相關的認知過程越高，安全分析人員所解決的任務的性能就越好，這是由於對減少攻擊影響的快速響應要求越高。出於這個原因，加強認知靈活性是至關重要的，以便i)擴大事件數據的分析，ii)能夠可視化更多的可能性，以面對網路攻擊，ii)發展抑制控制，以提高其決策的精確度和有效性。另一方面，工作記憶對於經驗的儲存和隨後對這些信息的使用起著至關重要的作用，所以這種認知過程也有助於對組織所面臨的風險和威脅的情況形成意識。另一個關鍵變數與事件管理專業人員工作中的壓力管理有關，以制定策略，使他們能夠抵消勞動力需求。

在基於態勢感知的網路安全管理模型中，分析執行功能是否集成感知、理解和投射過程，以提高任務績效，可以增強決策過程。非技術技能在許多方面起著至關重要的作用，因為如果沒有足夠的溝通和建立共享知識的能力，網路安全團隊將無法達到應對安全攻擊所需的效率。例如，在面對出現的事件或問題時，處理復雜性不應該由安全分析人員進行簡單的推理，而是要能夠生成表示復雜性的心理模型，並作為一個團隊進行工作。這種理解可能很復雜，因此，管理共享的心理地圖等建議可能具有重要意義。另一個事實是多學科工作，來自不同領域的專家必須一起參與，但是由於對這對搭檔的知識有限、不同的技術詞彙和異質的工作方法，存在交互問題。最後，處理活動或與其他團隊成員交互的結果的不確定性。

提出的大數據模型涵蓋了網路安全狀態(網路安全態勢感知)知識生成必須考慮的不同組成部分。僅僅實現一個大數據架構是不足以解決處理海量數據處理的問題的，我們應該致力於尋找可靠的信息源，建立數據質量控制流程，生成安全承諾指標，並定義更新數據時間。

為了從安全分析師可以處理的信息中建立態勢感知，我們提出了一個由4個模塊組成的框架，如圖5所示:來源、認知過程、協作安全任務和軟技能。團隊合作支持四個模塊。在[23]中，作者提到團隊的目標是鼓勵成員分析他們一起工作的方式，識別他們的弱點，並開發新的協作形式。要做到這一點，學習過程必須把重點放在任務上。按照裝備建設[23]的Newstrom模型，我們在網路安全領域提出以下建議:

•經過培訓的專家識別問題;

•數據收集;

•反饋行動計劃的制定;

•生成態勢感知;

•解決方案經驗;

•持續改進。

六、結論和未來工作

技術和社會的變化產生了動態和復雜的環境，產生了大量的數據。這一事實給安全分析人員帶來了新的挑戰，他們必須處理數據以確定允許識別威脅或安全攻擊的模式或異常情況。認知安全的使用提供了在短時間內處理大量不同格式數據的能力，從而提高了安全操作的有效性。在網路安全領域，大數據主要用於監控行動和異常檢測，這些行動集中在反應性安全策略上，但其他安全活動可以通過大數據分析增強，用於主動戰略，如威脅搜索或網路欺騙。

事件管理的網路安全任務包括識別有關事件的數據，以確定攻擊場景的振幅。從有關威脅和攻擊的數據中發展經驗，可以建立對網路安全狀況的意識。建立網路安全態勢意識需要認知和情感技能，其中認知過程的能力至關重要;感知和注意是允許安全分析人員從外部環境收集信息的第一個過濾器。與工作記憶、認知靈活性和抑制性控制相關的高級認知過程參與決策和事件管理任務中外部化的行為。

通過以下兩種技能，可以實現安全分析師認知過程的持續改進:

1)過程式控制制。過程式控制制是團隊成員的一項重要技能，因為它幫助成員有建設性地感知、理解和反應。

2)反饋讓你有數據支撐你的決定，根據他們對團隊其他成員的看法自我修正。

關於大數據和機器學習在安全領域的應用，在商業和學術領域有不同的建議;然而，它們並沒有得到廣泛實施。我們認為，今後一項可能的工作是分析造成這種情況的原因，一般來說，可能是預算、人員經驗、技術支持不足。此外，通過焦點小組進行的綜述可能是補充本研究的重要貢獻。