网络安全态势感应

① 什么是网络安全态势感知

在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。简而言之就是根据网络安全数据，预测未来网络安全的趋势。

② 知识普及-安全态势

随着网络规模和复杂性不断增大，网络的攻击技术不断革新，新型攻击工具大量涌现，传统的网络安全技术显得力不从心，网络入侵不可避免，网络安全问题越发严峻。

单凭一种或几种安全技术很难应对复杂的安全问题，网络安全人员的关注点也从单个安全问题的解决，发展到研究整个网络的安全状态及其变化趋势。

网络安全态势感知对影响网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势，是对网络安全性定量分析的一种手段，是对网络安全性的精细度量，态势感知成已经为网络安全2.0时代安全技术的焦点，对保障网络安全起着非常重要的作用。

一、态势感知基本概念

1.1 态势感知通用定义

随着网络安全态势感知研究领域的不同，人们对于态势感知的定义和理解也有很大的不同，其中认同度较高的是Endsley博士所给出的动态环境中态势感知的通用定义：

态势感知是感知大量的时间和空间中的环境要素，理解它们的意义，并预测它们在不久将来的状态。

在这个定义中，我们可以提炼出态势感知的三个要素：感知、理解和预测，也就是说态势感知可以分成感知、理解和预测三个层次的信息处理，即：

感知：感知和获取环境中的重要线索或元素；

理解：整合感知到的数据和信息，分析其相关性；

预测：基于对环境信息的感知和理解，预测相关知识的未来的发展趋势。

1.2 网络安全态势感知概念

目前，对网络安全态势感知并未有一个统一而全面的定义，我们可以结合态势感知通用定义来对对网络安全态势感知给出一个基本描述，即：

网络安全态势感知是综合分析网络安全要素，评估网络安全状况，预测其发展趋势，并以可视化的方式展现给用户，并给出相应的报表和应对措施。

根据上述概念模型，网络安全态势感知过程可以分为一下四个过程：

1）数据采集：通过各种检测工具，对各种影响系统安全性的要素进行检测采集获取，这一步是态势感知的前提；

2）态势理解：对各种网络安全要素数据进行分类、归并、关联分析等手段进行处理融合，对融合的信息进行综合分析，得出影响网络的整体安全状况，这一步是态势感知基础；

3）态势评估：定性、定量分析网络当前的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的核心；

4）态势预测：通过对态势评估输出的数据，预测网络安全状况的发展趋势，这一步是态势感知的目标。

网络安全态势感知要做到深度和广度兼备，从多层次、多角度、多粒度分析系统的安全性并提供应对措施，以图、表和安全报表的形式展现给用户。

二、态势感知常用分析模型

在网络安全态势感知的分析过程中，会应用到很多成熟的分析模型，这些模型的分析方法虽各不相同，但多数都包含了感知、理解和预测的三个要素。

2.1 始于感知：Endsley模型

Endsley模型中，态势感知始于感知。

感知包含对网络环境中重要组成要素的状态、属性及动态等信息，以及将其归类整理的过程。

理解则是对这些重要组成要素的信息的融合与解读，不仅是对单个分析对象的判断分析，还包括对多个关联对象的整合梳理。同时，理解是随着态势的变化而不断更新演变的，不断将新的信息融合进来形成新的理解。

在了解态势要素的状态和变化的基础上，对态势中各要素即将呈现的状态和变化进行预测。

2.2 循环对抗：OODA模型

OODA是指观察（Oberve）、调整（Orient）、决策（Decide）以及行动（Act），它是信息战领域的一个概念。OODA是一个不断收集信息、评估决策和采取行动的过程。

将OODA循环应用在网络安全态势感知中，攻击者与分析者都面临这样的循环过程：在观察中感知攻击与被攻击，在理解中调整并决策攻击与防御方法，预测对手下一个动作并发起行动，同时进入下一轮的观察。

如果分析者的OODA循环比攻击者快，那么分析者有可能“进入”对方的循环中，从而占据优势。例如通过关注对方正在进行或者可能进行的事情，即分析对手的OODA环，来判断对手下一步将采取的动作，而先于对方采取行动。

2.3 数据融合：JDL模型

JDL（Joint Directors of Laboratories）模型是信息融合系统中的一种信息处理方式，由美国国防部成立的数据融合联合指挥实验室提出。

JDL模型将来自不同数据源的数据和信息进行综合分析，根据它们之间的相互关系，进行目标识别、身份估计、态势评估和威胁评估，融合过程会通过不断的精炼评估结果来提高评估的准确性。

在网络安全态势感知中，面对来自内外部大量的安全数据，通过JDL模型进行数据的融合分析，能够实现对分析目标的感知、理解与影响评估，为后续的预测提供重要的分析基础和支撑。

2.4 假设与推理：RPD模型

RPD（Recognition Primed Decision）模型中定义态势感知分为两个阶段：感知和评估。

感知阶段通过特征匹配的方式，将现有态势与过去态势进行对比，选取相似度高的过去态势，找出当时采取的哪些行动方案是有效的。评估阶段分析过去相似态势有效的行动方案，推测当前态势可能的演化过程，并调整行动方案。

以上方式若遇到匹配结果不理想的情况，则采取构造故事的方式，即根据经验探索潜在的假设，再评估每个假设与实际发生情况的相符度。在RPD模型中对感知、理解和预测三要素的主要体现为：基于假设进行相关信息的收集（感知），特征匹配和故事构造（理解），假设驱动思维模拟与推测（预测）。

三、态势感知应用关键点

当前，单维度的网络安全防御技术手段，已经难以应对复杂的网络环境和大量存在的安全问题，对网络安全态势感知具体模型和技术的研究，已经成为2.0时代网络安全技术的焦点，同时很多机构也已经推出了网络安全态势感知产品和解决方案。

但是，目前市场上的的相关产品和解决方案，都相对偏重于网络安全态势的某一个或某几个方面的感知，网络安全态势感知的数据分析的深度和广度还需要进一步加强，同时网络安全态势感知与其它系统平台的联动不足，无法将态势感知与安全运营深入融合。

为此，太极信安认为网络安全态势感知平台的建设，应着重考虑以下几个方面的内容：

1、在数据采集方面，网络安全数据来源要尽可能的丰富，应该包括网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等，只有这样态势评估结果才能准确。

2、在态势评估方面，态势感评估要对多个层次、多个角度进行评估，能够评估网络的业务安全、数据安全、基础设施安全和整体安全状况，并且应该针对不同的应用背景和不同的网络规模选择不同的评估方法。

3、在态势感知流程方面，态势感知流程要规范，所采用的算法要简单，应该选择规范化的、易操作的评估模型和预测模型，能够做到实时准确的评估网络安全态势。

4、在态势预测方面，态势感知要能支持对不同的评估结果预测其发展趋势，预防大规模安全事件的发生。

5、在态势感知结果显示方面，态势感知能支持多种形式的可视化显示，支持与用户的交互，能根据不同的应用需求生成态势评测报表，并提供相应的改进措施。

四、总结

上述几种模型和应用关键点对网络安全态势感知来讲至关重要，将这些基本概念和关键点进行深入理解并付诸于实践，才能真正帮助决策者获得网络安全态势感知能力。

太极信安认为，建设网络安全态势感知平台，应以“业务+数据定义安全”战略为核心驱动，基于更广、更深的数据来源分析，以用户实际需求为出发点，从综合安全、业务安全、数据安全、信息基础设施安全等多个维度为用户提供全面的安全态势感知，在认知、理解、预测的基础上，真正帮助用户实现看见业务、看懂威胁、看透风险、辅助决策。

                            摘自 CSDN 道法一自然

③ 态势感知的主要功能

态势感知的主要功能如下：

态势感知（Situation Awareness，SA）”严格说并不是一个新名词。早在20世纪80年代，美国空军就提出了态势感知的概念，覆盖感知（感觉）、理解和预测三个层次。90年代，态势感知的概念开始被逐渐被接受；

随着网络安全重要性的凸显，态势感知开始在网络安全领域展露头角。2009年，美国白宫在公布的网络空间安全战略文件中明确提出要构建态势感知能力，并梳理出具备态势感知能力和职责的国家级网络安全中心或橡伏族机构。

包含了国家网络安全中心（NCSC）、情报部门、司法与反间谍部门、US-CERT、网络作战部门的网络安全中心（Cybersecurity Center）等，覆盖了国家安全、情报、司法梁弊、公私合作等厅坦各个领域。

④ 保护网络安全的措施有哪些

现如今，网络已经十分普及，其中也肯定会出现一些安全问题，那么，如何保护网络安全呢?我在这里给大家带来保护网络安全的 措施 ，希望能帮到大家。

一般来说，人们认为网络安全技术基本上就是“老三样”：防火墙、杀毒和入侵检测。随着网络安全与网络攻击的博弈，人们发现入侵检测也不能完全达到网络安全预警的期望值，有资料表明相当一部分网络安全问题是由“内鬼”或“非恶意触发”引起的。此外，网络安全防护还有一个特殊的问题就是“要在网络的内外两侧同时作战”。因而，有人就开始把目光转向安全审计、态势感知、证书认证、可信模块等 其它 技术领域，希望寻找到第四种、第五种以至于第N种技术元素，以达到网络安全预警的初衷――“防患于未然”。

我们应从国防战略高度提高网络安全意识，强化网络保密管理观念。首先要确立网络安全管理是做好平时与战时__的重要保障的思想;其次要从根本上解决重技术，轻管理偏见;最后要确立网络安全管理人人有责的观念，确保信息安全是一项全员性、整体性工作，人人都有维护网络安全、保守网上军事秘密的义务和责任。

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：

(1)全面规划网络平台的安全策略。

(2)制定网络安全的管理措施。

(3)使用防火墙。

(4)尽可能记录网络上的一切活动。

(5)注意对网络设备的物理保护。

(6)检验网络平台系统的脆弱性。

(7)建立可靠的识别和鉴别机制。

⑤ 态势感知技术盘点，安全态势感知与管控平台评测

众所周知，态势感知的“前世”是应用在军事领域的。而时至今日，态势感知却已然是网络安全的基本和基础性工作，是在实现安全态势“理解”和“预测”之前的重要阶段。

现阶段，为应对网络安全挑战，弥补传统防御手段的不足，大多企业都在逐步构建一套网络安全分析及管控平台，用以整合企业信息安全的事件响应、技术平台、管理流程，实现总部、分支范围内安全风险的集中监控、安全事件的集中处置、安全策略的合规检查以及安全态势的统一展示，将信息安全管理和技术进行有机结合，完善提升企业的的信息安全保障体系 。

本次我们挑选的产品是来自南京聚铭网络的安全态势感知与管控平台。据悉，该平台是由聚铭网络自主开发的基于大数据技术的安全态势感知与管控平台，可以统一采集各类结构化和非结构化的数据，包括各类设备、应用日志以及网络流量和各种脆弱性，通过实时分析、离线分析、关联分析、统计分析、机器学习、规则库、专家经验库以及强大的安全情报源碰撞进行多方位风险分析。

现在，就让我们具体操作体验下，一探究竟。

平台概览

首先，我们通过账号信息登录进入这款产品的界面。

我们可以看到，在这款产品的首页界面上左边是一个整体安全态势感知概览模块，然后是从南北向东西向三个方向的 威胁和风险访问的大屏展现，还有脆弱性、违规行为的态势展现大屏。中间还有一个动态3D的全球威胁态势感知，动态展现全球 的情况，画面看上去十分有科技感。

整体环顾下来，产品的界面给我们的感觉就是风格比较简约明了，内容上基本体现了安全的整体情况，画面上所罗列的功能也很全面，符合市场上各企业对于态感产品的需求，产品放在企业的安全监控大屏上将会有很好的视觉效果。整体环顾下来，产品的界面给我们的感觉就是风格比较简约明了，内容上基本体现了安全的整体情况，画面上所罗列的功能也很全面，符合市场上各企业对于态感产品的需求，产品放在企业的安全监控大屏上将会有很好的视觉效果。

数据采集

首先我们来看下数据采集情况，目前我们的采集数据量大概每秒有近6000条数据，算下来一天就会有5亿条的数据量，还是挺恐怖的。从界面操作查询来看，感觉也非常流畅，没有感觉到卡顿不适的现象，这个在做溯源查询的时候就会非常方便了。另外，这个产品采集数据的兼容能力也是比较亮眼，能支持近500种类型第三方设备日志的接入和处理，这点相当不错。

现在我们可以看到采集的数据都在这里，看起来的确如同之前对厂家的了解一样，他们这款态感产品的数据采集能力相对其他平台而言，在采集的广度和深度上更为全面一些，一般我们接触的此类产品主要是通过流量维度来进行分析，很少有能有同时内置流量、日志、漏洞扫描和配置合规检测能力的，这一点确实是在我们接触的同类产品中很少见，值得夸赞一番，说明这家厂商至少在态势感知这一块考虑的点是相当全面的。

接下来我们就看看，对于采集到的这么多类型的数据，这款态感产品又分析的怎么样，能不能实现精准的分析呢？

风险分析

从失陷分析维度的场景来看，通过查看分析的过程和数据情况，对服务器日志、安全设备日志、流量分析等数据综合分析的结果，展现了设备整个安全生命周期的过程，另外也从漏扫维度佐证了此问题的发现。

我们可以看到，产品呈现的分析的结果还是比较准确全面的，充分利用了现有安全建设的资源，又结合了产品本身的分析能力和威胁情报能力，较全面展现了企业和设备风险情况。从这一点看来，这款由聚铭网络厂商打造的态感产品，是完全可以符合企业态势感知建设需求的。

今天，我们对于这款态感产品的测试也就先到这里，除了采集和分析能力外，其他的合规审计、基线检查等功能就不再一一介绍。

总结

总体上来讲，这款态势感知与管控平台是完全可以满足企业对于态感平台建设的基本需求的。这款态感产品能完成网络安全分析及管控平台框架的搭建，对总部、分支、专业安全系统重要数据进行接入，实现总部-分支范围内安全风险的集中监控、安全事件的集中处置、安全态势的统一展示，而且不用再做任何额外的开发。

值得一提的是，根据我们对厂商的侧面了解，他们使用的是“腾讯+聚铭”的双情报库模式，在各类威胁检测方面非常全面精准，这一点也在我们本次评测中和其他同类产品对比测试中也得到了验证。

另外，不足的地方可能就是在产品界面操作上引导性还有改进空间，产品经理请拿小本本记下来。

综合而言，这款产品无论是在日志、流量等数据采集方面的广度和深度，还是分析能力以及和情报库的结合等方面的核心能力上，在我们以往测评产品中都可以算是相当突出的。

以上就是本次评测的所有内容，仅供业界同仁参考，今天的内容就到这里，更多安全产品体验我们后期再见。

⑥ 当前网络社会信息安全走向取决于大数据

当前网络社会信息安全走向取决于大数据
快速发展的互联网技术不断地改变人们的生活方式，然而，多层面的安全威胁和安全风险也不断出现。对于一个大型网络，在网络安全层面，除了访问控制、入侵检测、身份识别等基础技术手段，需要安全运维和管理人员能够及时感知网络中的异常事件与整体安全态势。
对于安全运维人员来说，如何从成千上万的安全事件和日志中找到最有价值、最需要处理和解决的安全问题，从而保障网络的安全状态，是他们最关心也是最需要解决的问题。与此同时，对于安全管理者和高层管理者而言，如何描述当前网络安全的整体状况，如何预测和判断风险发展的趋势，如何指导下一步安全建设与规划，则是一道持久的难题。
大数据给信息安全带来的最大改变是通过自动化分析处理与深度挖掘，将之前很多时候亡羊补牢式的事中、事后处理，转向事前自动评估预测、应急处理，让安全防护主动起来。大数据对安全厂商而言，意味着海量日志、黑客攻击更加隐蔽，同时也是安全技术水平提升的有效手段。
当然，在大数据给企业带来的风险和机遇同时，大数据也给信息安全发展带来了新的机遇和挑战。因为网络攻击或非法泄露信息的行为或多或少总会留下蛛丝马迹，这些痕迹都以数据的形式隐藏在大数据中。企业可以通过对大量网络攻击事件的分析，找出潜在的风险点，从而制定更好的预防攻击、防止信息泄露的策略。但是这有一个前提，那就是必须保证进行网络攻击事件分析所依据的信息是准确的、可靠的，如果原始数据即已遭到非法篡改，那数据分析则会被误导，这将使企业陷入更加糟糕的境地。这说明基于大数据的信息安全发展也是要以信息安全本身为基础的。
企业IT管理人员一定不会对以下这个场景感到陌生：一名员工在集团上海分公司刷卡进入公司内部，五分钟后后台系统显示该员工在北京分公司登录企业OA系统。孤立地看，这两件事都不属于安全事故，但如果将它们联系起来，IT人员就会立刻意识到问题的严重性，一个人怎么能在五分钟内从上海飞到北京？企业信息正面临泄露风险。
如果集团的IT系统复杂，各地分公司每天产生的日志数量繁多，并且不能集中管理，类似的安全威胁就可能淹没在几十万条安全日志里。现在，借用大数据分析，SIEM（安全信息和事件管理）正在让这些安全隐患无所遁形。
“大数据给信息安全防护带来的最大改变就是我们通过自动化分析处理与深度挖掘相结合，可以将之前很多时候亡羊补牢式的事中、事后处理，转向事前自动评估预测、应急处理，让安全防护真正可以主动起来。”某专业人士认为，安全厂商应该利用这种趋势，让自身的产品方案和大数据分析相结合，形成从数据收集分析到安全管理策略下发，再到效果评估的一整套安全解决方案，从而完成从销售相对孤立产品到真正解决方案式的模式转变。
网络安全感知能力具体可分为资产感知、脆弱性感知、安全事件感知和异常行为感知4个方面。资产感知是指自动化快速发现和收集大规模网络资产的分布情况、更新情况、属性等信息；脆弱性感知则包括3个层面的脆弱性感知能力：不可见、可见、可利用；安全事件感知是指能够确定安全事件发生的时间、地点、人物、起因、经过和结果；异常行为感知是指通过异常行为判定风险，以弥补对不可见脆弱性、未知安全事件发现的不足，主要面向的是感知未知的攻击。
大数据在信息安全领域的应用包括宏观上的网络安全态势感知和微观上的发现安全威胁，尤其是APT攻击上。一些企业认为应该加强对大数据本身的隐私保护，有人却认为完全没有必要，“大数据是价值低密度的数据，安全厂商没有必要保护大数据的安全，而是应该利用大数据分析来发现更多安全威胁，这是安全厂商难得的机会”。在他看来，大数据分析的技术难度并不大，安全厂商也可以通过购买或合作获得，“重要的是分析的逻辑，包括查询条件、查询时间的起止点等，这些考验的还是安全厂商的传统思维”。

⑦ 人工智能在网络安全领域的应用有哪些

近年来，在网络安全防御中出现了多智能体系统、神经网络、专家系统、机器学习等人工智能技术。一般来说，AI主要应用于网络安全入侵检测、恶意软件检测、态势分析等领域。

1、人工智能在网络安全领域的应用——在网络入侵检测中。

入侵检测技术利用各种手段收集、过滤、处理网络异常流量等数据，并为用户自动生成安全报告，如DDoS检测、僵尸网络检测等。目前，神经网络、分布式代理系统和专家系统都是重要的人工智能入侵检测技术。2016年4月，麻省理工学院计算机科学与人工智能实验室(CSAIL)与人工智能初创企业PatternEx联合开发了基于人工智能的网络安全平台AI2。通过分析挖掘360亿条安全相关数据，AI2能够准确预测、检测和防范85%的网络攻击。其他专注于该领域的初创企业包括Vectra Networks、DarkTrace、Exabeam、CyberX和BluVector。

2、人工智能在网络安全领域的应用——预测恶意软件防御。

预测恶意软件防御使用机器学习和统计模型来发现恶意软件家族的特征，预测进化方向，并提前防御。目前，随着恶意病毒的增多和勒索软件的突然出现，企业对恶意软件的保护需求日益迫切，市场上出现了大量应用人工智能技术的产品和系统。2016年9月，安全公司SparkCognition推出了DeepArmor，这是一款由人工智能驱动的“Cognition”杀毒系统，可以准确地检测和删除恶意文件，保护网络免受未知的网络安全威胁。在2017年2月举行的RSA2017大会上，国内外专家就人工智能在下一代防病毒领域的应用进行了热烈讨论。预测恶意软件防御的公司包括SparkCognition、Cylance、Deep Instinct和Invincea。

3、人工智能在网络安全领域的应用——在动态感知网络安全方面。

网络安全态势感知技术利用数据融合、数据挖掘、智能分析和可视化技术，直观地显示和预测网络安全态势，为网络安全预警和防护提供保障，在不断自我学习的过程中提高系统的防御水平。美国公司Invincea开发了基于人工智能的旗舰产品X，以检测未知的威胁，而英国公司Darktrace开发了一种企业安全免疫系统。国内伟达安防展示了自主研发的“智能动态防御”技术，以及“人工智能”与“动态防御”六大“魔法”系列产品的整合。其他参与此类研究的初创企业包括LogRhythm、SecBI、Avata Intelligence等。

此外，人工智能应用场景被广泛应用于网络安全运行管理、网络系统安全风险自评估、物联网安全问题等方面。一些公司正在使用人工智能技术来应对物联网安全挑战，包括CyberX、network security、PFP、Dojo-Labs等。

以上就是《人工智能在网络安全领域的应用是什么?这个领域才是最关键的》，近年来，在网络安全防御中出现了多智能体系统、神经网络、专家系统、机器学习等人工智能技术，如果你想知道更多的人工智能安全的发展，可以点击本站其他文章进行学习。

⑧ 态势感知探针是什么

态势感知探针大规模系统环境中，对能够引起系统状态发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。

态势感知探针的作用：

联合作战、网络中心战的提出,推动了态势感知的产生和不断发展,作为实现态势感知的重要平台和物质基础,态势图对数据和信息复杂的需求和特性构成了突出的大数据问题。

最后对关键数据和信息处理技术进行了研究.该研究对于“大数据”在军事信息处理和数据化决策等领域的研究具有重要探索价值。

随着计算机和通信技术的迅速发展， 计算机网络的应用越来越广泛， 其规模越来越庞大， 多层面的网络安全威胁和安全风险也在不断增加， 网络病毒、 Dos/DDos攻击等构成的威胁和损失越来越大， 网络攻击行为向着分布化、 规模化、 复杂化等趋势发展。

网络安全态势感知技术能够综合各方面的安全因素， 从整体上动态反映网络安全状况， 并对网络安全的发展趋势进行预测和预警。 大数据技术特有的海量存储、 并行计算、 高效查询等特点。

为大规模网络安全态势感知技术的突破创造了机遇， 借助大数据分析， 对成千上万的网络日志等信息进行自动分析处理与深度挖掘， 对网络的安全状态进行分析评价， 感知网络中的异常事件与整体安全态势。

⑨ 从认知技能到自动网络安全响应

摘要： 组织应该面对网络安全攻击，这可以强烈影响他们的操作流程，业务形象，和关键信息的安全。建立安全机制有助于减少可能被攻击者利用的弱点;然而，它们并不总是足够的，而且一次攻击可能会成功。因此，组织需要建立计划或过程来处理这些安全事件，甚至构建称为CSIRTs的事件响应团队。由于不同形式的攻击和海量数据的增长，处理网络安全事件需要适应新的安全管理策略。从这个意义上说，将大数据、人工智能和数据分析应用于网络安全，被定义为认知安全，提出了一种可行的替代方案，但有必要考虑，如果没有对网络安全专家进行充分培训，或者如果使用了他们的技术和非技术技能，技术解决方案就会缺乏有效性。在人类技能和技术解决方案之间建立密切的相互关系可以帮助设计一个充分和有效的检测和自动化过程，从而改进安全事件的处理。本研究分析了认知安全技术解决方案与网络安全专家技能之间的相互关系。提出了一个通过建立态势感知来进行决策的自动化事件响应框架。

一、引言

由于技术在不同领域的扩展，如金融服务、医疗服务、公共服务以及水、电、电信等关键基础设施，计算机安全已成为社会的一个基本要素。根据麻省理工学院(MIT)的说法，安全团队将面临的风险主要是针对物联网(IoT)设备、区块链和关键基础设施[1]的攻击;例如，麻省理工学院提到，攻击者在2019年主要使用人工智能和量子技术进行攻击。这种情况涉及有准备充分的组织和有能力面对这些新挑战的安全专业人员;在国际层面上，一些组织已经定义了通过称为计算机事件响应小组(CSIRTs)[2]的专家和研究人员团队快速响应安全风险的策略。CSIRT由来自网络安全、法律、心理学和数据分析师等领域的专家组成。CSIRT根据预先设定的程序和政策，对网络安全事件做出快速有效的反应，并降低网络攻击的风险。

CSIRTs中的安全分析人员需要处理大量的数据，以便i)确定触发可能的攻击警报的模式或异常，ii)更快速和有效地执行检测过程。CSIRTs的成员正在寻求基于技术解决方案的新策略，如大数据、机器学习和数据科学[3]。为了加快数据分析方法[4]的研究进程，美国国家标准与技术研究院(NIST)等国际组织启动了数据科学研究计划(DSRP)。在网络安全领域，认知科学在信息安全过程中的应用推动了认知安全[5]的概念;这允许进行预测性和说明性分析，从而提供安全攻击的可能影响的视图。CSIRTs成功的另一个关键因素是团队协作能力和对不同环境的适应能力。在21世纪的[7]时代，安全专业人员需要团队合作、批判性思维和沟通等技能。2015年9月,一个之间的协作计算机协会(ACM), IEEE计算机协会(IEEE CS),信息系统协会特殊利益集团对信息安全和隐私(AIS SIGSEC),以及国际信息处理联合会技术委员会信息安全教育(11.8联合会WG)提出了一个网络安全教育课程指南提到非技术技能计价的软技能,对于安全专业人员来说至关重要，并专注于:团队合作、沟通、情景感知的生成，以及使用不同组织文化[8]的操作。

在组织中产生网络安全态势感知的能力允许确定积极的策略来面对正在进行的和即将到来的攻击或威胁。情境意识产生于三个认知过程:认知、理解和投射。认知过程是人类行为固有的，它会受到不同因素的影响，例如:压力、疲劳、分心、物理或环境条件。分析任务的绩效以及这些因素的影响是一些研究者感兴趣的。例如，Robert Karasek提出了需求控制模型[9]，该模型研究了计算机人员在不同工作领域的认知、情感和身体需求，计算机人员的心理需求水平较高。在此背景下，发展认知策略在信息加工的各个层面都是必要的;此外，还需要分析执行功能如何通过:抑止控制、工作记忆处理[10]优化来整合各级信息处理，从而帮助网络安全专业人员高效工作和充足的响应时间。

在这项研究中，我们提出了一个模型来整合网络安全领域的认知技能、团队合作和数据分析，如图1所示。认知安全可以利用安全分析人员的认知能力的特点，将这种知识和智能转移到计算机系统中;通过这样做，他们可以向安全团队执行一个即时响应动作或通知，以做出针对安全攻击的决策，如图1所示。

研究的其余部分组织如下。第二节介绍了有关自动网络安全响应的相关工作。第三节介绍了心理学在网络安全中的重要性的背景。第四部分提出了一个基于认知过程的自动化网络安全框架的建议。最后，第六部分总结了本文的研究结论，并提出了今后的工作方向。

二、相关工作

根据麻省理工学院评论[11]的分析，在2018年，城市将安装多层传感器来监测空气质量、垃圾水平或交通量;这一预测，加上Gartnert对2020年的预测，[12]将有204亿台联网设备。在新的安全场景中，组织必须面对网络或计算平台的规模和复杂性的急剧变化，这些网络或计算平台是组织支持服务提供和设备连接的基础。在这种新的背景下，传统的安全解决方案的行动能力和人类对安全事件的检测和响应能力受到了限制。为组织和研究人员评估的网络安全的替代方案是使用认知模型作为一种提议，以增强计算环境的安全性和扩大人类的分析能力。

在[13]中，作者提出了一个基于机器学习的检测与基于时间逻辑的分析的组合，允许区分异常和启用动态网络响应。在[14]中，包括对个人设备的认知安全的使用，以允许设备识别所有者和自主安全，以便设备采取自己的安全决策。基于函数和依赖关系[15]的知识，可以实现诊断的自动化。在“数字服务生态系统中的自主计算方法调查”[16]中，提出了应用自主计算概念的25种不同的数字生态系统，在[13]中，提出了认知安全方法如何能够建立“良好异常”来建立正常的操作参数，以及任何变化如何生成网络设备的自动自动重新配置来控制数据流。

三、认知技能和网络安全

a 态势感知

态势感知被定义为，从心理学领域，作为一种能力，产生对他的生活的理解，基于他的经验[17]。这一概念已适用于计算机系统领域;例如，Lewis将计算系统的自我意识定义为基于内部和外部事件[18]获取自身知识的能力。在[19]中，自我意识被定义为为计算机系统生成关于自身和环境的知识，并根据这些知识决定将要执行的行动的能力。

1)网络安全态势感知(CSA):态势感知(SA)的概念描述了组织当前的威胁和攻击情况，可能的攻击的影响，以及攻击者的识别和用户行为[20]。分析人员必须了解安全情况并确定影响的可能性。为了生成态势感知，我们可以使用OODA循环。Breton提出的认知OODA循环是基于感知、理解和投射[21]的认知过程。表一展示了认知阶段、认知过程和根据Brenton的提案产生的产品之间的关系。

2)网络认知态势感知(CCSA):

为了建立组织的网络安全态势意识，我们可以依靠面向决策过程的认知方面的支持。适应了网络空间的感知、理解和投射的认知过程，我们将拥有如表二所示的关系。

b .非技术技能

美国国土安全部(DHS)和国家网络安全联盟(NCSA)等组织都开展了国家网络安全意识月活动，在2018年庆祝了第15届[22]，以促进社区了解数字环境中的风险和威胁的相关方面。在这些领域中，安全专业人员必须具有非技术技能，以便能够以清晰和一致的方式向一组没有技术背景的人员传播知识。针对组织内的网络安全，防御策略基于风险管理，如图2所示分为四个级别的网络安全风险管理生命周期。

在网络安全风险管理生命周期内，至少需要以下人员:

•团队领导/协调员;

•负责系统和信息安全;

•沟通团队或公关;

•分类器或分类;

•事件管理团队-二级;

•法律团队。

这强调了在一个由不同学科的专业人员共同协作的环境中发展协作技能的必要性，因此团队合作对于网络安全专家来说是一项非常重要的技能。Newstrom提到，21世纪的组织或公司更加灵活，能够迅速适应变化，横向关系更加有效;因此，今天的组织更加重视灵活的结构和横向沟通。任务和角色以更开放的方式定义，环境更加动态，团队的创建允许实现所描述的方面。莫林认为，复杂性和多学科工作是21世纪的一部分，未来的教育必须以人类状况和人类之间的多样化关系为中心。Morin在《21世纪教育》中提到的另一个重要方面是让学生准备好面对日常生活中不同事件所产生的不确定性。

关于Morin提到的关于关注学生人性方面的第一个方面，开始强调以加强技能为重点的培训可能是很重要的。芒福德将技能分为四类[25]:

1)认知能力;

2)人际交往能力;

3)业务技能;

4)战略技能。

一般来说，在网络安全领域的大学主要关注提高认知、商业和战略技能，但不太关注非技术技能。根据Mumford提出的分类，团队合作、协作、沟通和网络被包括在人际交往技能的类别中。未来的网络安全专业人士正在大学学习;因此，工程教育需要鼓励非技术技能的发展。Kyllonen提出了21世纪需要的技能，其中以下提到[7]:

•批判性思维;

•口头和书面沟通;

•劳动伦理;

•团队合作;

•合作;

•专业;

•故障排除。

良好的网络安全工作人员框架[26]为安全专业人员建立了一套知识、技能和能力与非技术方面相关，如:

•有能力参与计划小组，协调小组和任务小组的工作;

•能够运用合作技巧和策略;

•应用批判性阅读/思考技能的能力;

•与他人有效合作的能力。

关于Morin在计算机科学领域提出的第二个方面，即不确定性，一些作者如[27]和[28]提到，软件开发过程中的不确定性可能与人的参与、并发性和问题领域的不确定性有关。在软件环境中，产品的开发和用户最初提出的需求的变化之间可能会出现不确定性。在网络安全领域，不确定性可能与其他方面有关，如时间、类型和网络攻击的目标。

团队合作也会产生不确定性;在[29]中，作者提到，不确定性可以在人的功能和环境工作中产生，取决于诸如先见者、利他主义智力、收获和意外收获等变量。在[30]中，作者认为，不确定性取决于团队的结构和成员之间的相互作用。

如图3所示，在21世纪的教育背景下，对计算机科学工程专业的学生进行网络安全领域的教育，主要有四个方面是必须要做的。

四、基于认知技能的网络安全自动反应

我们对事件反应自动化的建议是基于建立态势意识的重要性，在理解组织安全的积极和消极方面的基础上做出正确的决策。我们的提议利用了协作的方法来产生自我意识和决策，是基于安全分析师的认知过程的重要性，以能够确定一个安全事件在多个事件之间，它必须被识别出一个异常行为，可以警告攻击。我们的建议中考虑的一个方面是为了加强认知过程。在2017年RSA会议上，IBM[31]展示了安全分析师在调查事件时必须执行的认知任务，在表III中，我们提出了网络安全认知任务和认知过程之间的联系。

对于自动响应安全事件的过程，我们提出了如图4所示的分层架构。我们的建议强调分析层，在分析层中对不同来源(如传感器、日志或安全博客)获得的数据进行理解。此外，在这一层中，安全分析人员的经验和有效的沟通是最基本的，因为它将预测充分评估事件，并将其归类为事件，并建立最适当的决策，以减少攻击的影响。具体地说，在这一层中，我们提出了两个允许建立情境意识的子组件:i)自动学习的子组件和ii)团队合作。这两个子组件共享一种直接交流的方式，目的是生成标签，用于培训基于分析人员通过互动和交换思想生成的知识的监督学习算法。另一方面，无监督学习算法可以检测不容易检测到的模式或异常，并提醒安全分析人员确定它们是否与共同的安全攻击相对应。

设计了一个基于数据管理流程的框架，以确保不同层次数据的完整性和质量;然后,它包括:

•收集;

•准备;

•分析;

•可视化;

•访问。

在下面的图4中，我们将详细描述组成我们所提议的框架的层。

a)网络收集层:涵盖将用于创建网络安全态势感知的信息来源。在资料来源中，可以考虑下列情况:

•网络模拟平台;

•传感器;

•入侵检测系统;

•脆弱性分析;

•安全门户、博客或订阅源;

•netflow;

•服务器和网络设备日志。

b)基础设施层:基础设施层包含以下组件:

•数据收集服务器，在这些服务器中，将对不同来源的信息进行数据摄取处理。至少考虑三个服务器来实现负载平衡和高可用性。

•索引服务器，在这些服务器中执行数据索引的过程，并在此基础上定义属性，在此基础上对数据进行调试和处理，生成可视化层的信息。至少考虑两台服务器用于负载平衡和高可用性进程。

•队列管理服务器,该服务器建立流程管理大数据解决方案的处理资源在多个请求信息同时执行报告服务器和数据可视化,这个服务器处理数据可视化工具,允许与分析师能够执行的交互信息的查询。

•入侵检测服务器，在此服务器中定义了检测与安全攻击相关的模式的规则，服务器可以访问安全传感器。

•警报管理服务器，在此服务器中，警报管理被定义为在检测到异常模式时通知分析师，在此服务器中包含了一个事件管理系统，允许在检测到安全事件前对升级进行流控制。

c)索引层:用于定义搜索字典。

d)态势感知层:这一层是我们的核心建议。在这一层的目标是建立一个基线安全状态的一个组织,为此我们考虑两个部分,第一个组成的机器学习算法,允许识别模式或异常基于预处理来自不同数据源的数据服务器日志,第二部分称为团队合作产生自我意识的建立基于CSIRT安全分析人士的合作。基于团队产生的知识，你可以训练学习算法来提高它们的准确性。

e)分类层:它定义了针对安全分析师、CsIRT或事件管理过程中的其他参与者生成的警报。根据良好做法，明智的做法是定义警报级别的分类。

f)自动响应层:它定义了可以自动的响应动作，因为这对于建立安全事件管理计划是必要的。

五、讨论

在心理学研究中，工作绩效是一个寻求提高工作绩效的话题，考虑到个人和环境变量。我们在这项研究中分析的变量是在网络安全领域执行事件管理的专业人员的认知技能。我们认为，与执行功能相关的认知过程越高，安全分析人员所解决的任务的性能就越好，这是由于对减少攻击影响的快速响应要求越高。出于这个原因，加强认知灵活性是至关重要的，以便i)扩大事件数据的分析，ii)能够可视化更多的可能性，以面对网络攻击，ii)发展抑制控制，以提高其决策的精确度和有效性。另一方面，工作记忆对于经验的储存和随后对这些信息的使用起着至关重要的作用，所以这种认知过程也有助于对组织所面临的风险和威胁的情况形成意识。另一个关键变量与事件管理专业人员工作中的压力管理有关，以制定策略，使他们能够抵消劳动力需求。

在基于态势感知的网络安全管理模型中，分析执行功能是否集成感知、理解和投射过程，以提高任务绩效，可以增强决策过程。非技术技能在许多方面起着至关重要的作用，因为如果没有足够的沟通和建立共享知识的能力，网络安全团队将无法达到应对安全攻击所需的效率。例如，在面对出现的事件或问题时，处理复杂性不应该由安全分析人员进行简单的推理，而是要能够生成表示复杂性的心理模型，并作为一个团队进行工作。这种理解可能很复杂，因此，管理共享的心理地图等建议可能具有重要意义。另一个事实是多学科工作，来自不同领域的专家必须一起参与，但是由于对这对搭档的知识有限、不同的技术词汇和异质的工作方法，存在交互问题。最后，处理活动或与其他团队成员交互的结果的不确定性。

提出的大数据模型涵盖了网络安全状态(网络安全态势感知)知识生成必须考虑的不同组成部分。仅仅实现一个大数据架构是不足以解决处理海量数据处理的问题的，我们应该致力于寻找可靠的信息源，建立数据质量控制流程，生成安全承诺指标，并定义更新数据时间。

为了从安全分析师可以处理的信息中建立态势感知，我们提出了一个由4个模块组成的框架，如图5所示:来源、认知过程、协作安全任务和软技能。团队合作支持四个模块。在[23]中，作者提到团队的目标是鼓励成员分析他们一起工作的方式，识别他们的弱点，并开发新的协作形式。要做到这一点，学习过程必须把重点放在任务上。按照装备建设[23]的Newstrom模型，我们在网络安全领域提出以下建议:

•经过培训的专家识别问题;

•数据收集;

•反馈行动计划的制定;

•生成态势感知;

•解决方案经验;

•持续改进。

六、结论和未来工作

技术和社会的变化产生了动态和复杂的环境，产生了大量的数据。这一事实给安全分析人员带来了新的挑战，他们必须处理数据以确定允许识别威胁或安全攻击的模式或异常情况。认知安全的使用提供了在短时间内处理大量不同格式数据的能力，从而提高了安全操作的有效性。在网络安全领域，大数据主要用于监控行动和异常检测，这些行动集中在反应性安全策略上，但其他安全活动可以通过大数据分析增强，用于主动战略，如威胁搜索或网络欺骗。

事件管理的网络安全任务包括识别有关事件的数据，以确定攻击场景的振幅。从有关威胁和攻击的数据中发展经验，可以建立对网络安全状况的意识。建立网络安全态势意识需要认知和情感技能，其中认知过程的能力至关重要;感知和注意是允许安全分析人员从外部环境收集信息的第一个过滤器。与工作记忆、认知灵活性和抑制性控制相关的高级认知过程参与决策和事件管理任务中外部化的行为。

通过以下两种技能，可以实现安全分析师认知过程的持续改进:

1)过程控制。过程控制是团队成员的一项重要技能，因为它帮助成员有建设性地感知、理解和反应。

2)反馈让你有数据支撑你的决定，根据他们对团队其他成员的看法自我修正。

关于大数据和机器学习在安全领域的应用，在商业和学术领域有不同的建议;然而，它们并没有得到广泛实施。我们认为，今后一项可能的工作是分析造成这种情况的原因，一般来说，可能是预算、人员经验、技术支持不足。此外，通过焦点小组进行的综述可能是补充本研究的重要贡献。