一文带你了解态势感知，从零基础到精通，收藏这篇就够了！-CSDN博客

本文链接：https://blog.csdn.net/leah126/article/details/144809125

前言

态势感知（SA，Situational Awareness or Situation Awareness）是对一定时间和空间内的环境元素进行感知，并对这些元素的含义进行理解，最终预测这些元素在未来的发展状态。当前，大家提到“态势感知”时主要是指“网络安全态势感知”，即将态势感知的相关理论和方法应用到网络安全领域中。网络安全态势感知可以使网络安全人员宏观把握整个网络的安全状态，识别出当前网络中存在的问题和异常活动，并作出相应的反馈或改进。通过对一段时间内的网络安全状况进行分析和预测，为高层决策提供有力支撑和参考。

什么是态势感知

一、网络安全态势感知的概念来源

态势感知的概念起源于20 世纪80 年代的美国空军，当时主要用于分析空战环境信息，对当前和未来形势进行分析，最终做出相应的判断和决策。后来经过不断发展和完善，形成相关理论体，已广泛应用于军事、航空、工业生产、安全、网络等领域。网络安全态势感知即是将态势感知的相关理论和方法应用到网络安全领域中。

态势感知的概念比较抽象，我们举个例子来帮助理解：天气预报就可以理解为一种“态势感知”。通过对某一地点的持续观测和分析，我们可以预测未来一段时间内的天气。尤其是对重大灾害天气的预测，如台风、雾霾、暴雪等，对我们来讲尤为重要。通过提前进行人员和财产的转移，准备相关抗灾措施，可以大大降低灾害带来的影响，这就是进行“态势感知”的重要目的。

二、网络安全态势感知平台的概念和意义

网络安全态势感知平台是指一种利用大数据、机器学习、人工智能等技术，对网络安全风险、威胁等进行实时、全面、准确的感知和分析的平台。该平台可以收集来自各个网络节点的数据，对数据进行整合、分析，提取出异常行为、攻击事件等信息，实现对网络安全状况的全面感知。网络安全态势感知平台的意义在于可以提高网络安全防护的效率和准确性。传统的网络安全防护方法往往是基于固定规则的，容易被攻击者利用漏洞绕过，无法实现对零日漏洞的有效防护。而网络安全态势感知平台可以通过大数据分析，从海量数据中挖掘出隐藏的攻击模式，实现对未知威胁的及时发现和处理，及时发现网络中存在的风险和漏洞，帮助企业进行有效的安全管理和风险控制。平台的建设不仅是信息化建设的必然趋势，更是推动数字法治、智慧司法建设的必要手段，帮助司法行政机关全面感知网络安全态势，加强网络安全防护，降低网络安全风险，提高司法行政管理水平。

三、为什么要做态势感知

由于传统网络安全防护产品之间很少存在关联，造成了“信息孤岛“效应，同时数据信息的来源比较单一，仅仅聚焦于安全事件相关的告警和日志，防御的效果达不到理想的状态，基于被动防御，做出的响应大多也是在事件发生后“亡羊补牢”；为了响应国家最新的等保2.0网络安全防护政策，木链科技从全局出发，融合前沿的技术手段，打造一个的高水准的态势感知平台，实现了主动防御态势新突破，安全防护等级也得到了大幅度的提升。

随着网络与信息技术的不断发展，人们的安全意识在逐步提高。我们已经不再笃定认为自己的网络是绝对安全的，相反的，我们认为网络遭受攻击是必然的、常态化的。我们不能阻止攻击行为，但是可以提前识别和发现攻击行为，尽可能降低损失。也就是说，安全防护思想已经从过去的被动防御向主动防护和智能防护转变。

同时，物联网和云技术的发展也是日新月异，很多颠覆性的新技术也引入了新的安全问题。例如海量终端接入、传统的网络边界消失、网络攻击的隐蔽性和复杂度大大增强等，这都为我们提出了新的挑战，也对网络安全人员的能力也提出了更高的要求。

正是在这样的背景下，以网络安全态势感知技术为核心的产品和解决方案得到快速发展。网络安全态势感知技术可以带动整个安全防护体系升级，实现以下三个方面的转变：

安全建设的目标从满足合规转变为增强防御和威慑能力，并且更加注重对抗性，这对情报技术提出了更高要求。
攻击检测的对象从已知威胁转变为未知威胁，通过大数据分析、异常检测、态势感知、机器学习等技术，实现对高级威胁的检测。
对威胁的响应从人工分析并处置转变为自动响应闭环，强调应急响应、协同联动，实现安全弹性。

四、态势感知结构

产品架构可以分为以下四个过程：如下图所示

1、态势提取：态势感知以大数据和云计算为基础，主动进行有效信息的采集；对日志、流量、资产、威胁情报等影响系统安全性的海量数据和要素进行提取，这一步是态势感知的前提。

2、态势评估：对各种网络安全要素进行分类、归并、关联分析并进行处理融合，对融合的信息进行综合分析，得出影响网络整体的安全状况，这一步是态势感知基础。

3、态势变化预测：通过态势评估输出的数据，预测网络安全状况的发展趋势，这一步是态势感知的核心。

4、可视化态势分析：定性、定量分析当前网络的安全状态和薄弱环节，并给出相应的应对措施，这一步是态势感知的目标。

建设目的

1、提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。

2、分析、响应：建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。

3、预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技术、攻击工具等信息。

4、防御：利用掌握的攻击者相关目的、技术、攻击工具等情报，完善防御体系。

核心技术

1、高效数据存储方法

一般的MYSQL、PostgreSQL等关系型数据库已经不能满足多源异构数据的存储要求，我们使用一种基于图形数据库的NSSA数据存储方法，将网络划分为基本安全层、安全分析层、威胁情报层，每一层包含一个或者多个对应的域，基本安全层用来描述基本的网络环境和安全信息；安全分析层用于记录和分析各种安全问题和安全事件；威胁情报层用于关联安全分析层的内容并恢复攻击图像。

随着时间复杂度越高，该方法可以保持平稳的查询深度，不仅提高了查询的效率，而且遍历的性能基本不受数据量多元异构的影响。

2、科学的分析手段

基于机器学习的关联分析方式，将资产、威胁、脆弱性等方向做关联分析，建立统计模型、预测行为趋势；收集影响网络态势的网元信息、流量信息、报警信息、漏洞信息等各类指标，并将这些指标按照其风险程度分为不同的等级，将这些分层的数据源作为属性，各个属性存在相互依赖的关系并以条件概率表的方式表现属性之间联合概率分布情况，通过计算验证概率的方法，对网络安全态势做出评估与修正；准确把握网络态势的变化趋势，并对评估结果全面、客观，提高了网络环境的稳定性和可靠性。

3、强化内部威胁的处理

系统并不关心海量的告警日志或事件危险的优先级而是聚焦于用户和实体，针对“异常用户“（管理员账号被盗用）和”用户异常“（正常账号进行违规的操作），即用户行为是符合访问控制规则的，对异常事件的处理更具有针对性和高质量。

例如当设备重启后，传统的SOC/SIEM系统会认定为高等级的安全事件并警告，而在该技术的理解中，系统会先判定重启用户是谁？该用户在过去一年内每个月固定时间是否都有类似行为？如果都有答案，即可不发送警告，仅作记录，此系统的优势在于不仅误报率大幅度降低还能检测到低频长周期的不易被发现的威胁；将内部威胁监测和全局预警两者有效衔接，可以解决以人、资产、应用为维度的账号安全和数据安全问题。

五、网络安全态势感知的应用场景

由于网络安全态势感知系统的建设复杂度和建设成本较高，所以当前主要应用场景还是在大型机构和大中型企业中。对于规模较小的单位，可以选择功能和架构相对简单、性能相对较弱的集成单一产品。

政府机关：从国家维度或省市行政管理维度，对相关信息基础设施的网络安全态势进行管理和监控。
大型行业：从行业体系维度，对行业内部系统的网络安全态势进行管理和健康。当前，网络安全态势感知的主要应用行业包括政务、金融、网络运营、教育等。
大型机构或企业：从日常安全运维角度出发，对核心资产和业务系统的安全状态进行管理和监控。

六、如何评估态势感知的建设结果

网络安全态势感知的建设结果可以从如下几个方面进行评估：

防御：利用掌握的情报和资产摸底信息，完善防御体系，消除资产风险。
检测：提供网络安全持续监控能力，快速、精准地检测出安全威胁。
响应：提供涵盖终端和网络的响应能力，支持攻击取证、事件溯源和威胁修复等。
预测：通过对历史安全情况、现网流行攻击和情报系统进行综合研判，提供改进建议。

七、什么是态势感知的三个层级

Mica Endsley在“Toward a theory of situation awareness in dynamic systems”（1995）中，仿照人的认知过程提出了一个经典的态势感知模型。这个模型在当前看来虽然比较简单，但却是很多后续理论的基础，人们一般称该模型为Endsley模型（Endsley’s model）。

Endsley模型将态势感知分为三个层级，分别是态势要素感知、态势理解和态势预测。

要素感知（Level 1）：感知环境中相关要素的状态、属性和动态等信息。
态势理解（Level 2）：通过识别、解读和评估的过程，将不相关的要素信息联系起来，并关注这些信息对预期目标的影响。
态势预测（Level 3）：基于对前两级信息的理解，预测未来的发展态势和可能产生的影响。

八、态势感知的实现方法

实现态势感知需要综合运用多种技术和方法:

1.大数据分析

通过大数据分析技术，态势感知系统可以处理和分析海量的网络数据，从中挖掘出有价值的安全信息。大数据分析包括数据预处理、特征提取、模式识别和行为分析等步骤。

2.机器学习与人工智能

机器学习和人工智能技术在态势感知中扮演着重要角色。通过训练模型，系统能够自动识别异常行为和潜在威胁，并且随着时间的推移不断优化和改进检测精度。

3.网络流量监控

实时监控网络流量是态势感知的重要组成部分。通过分析网络流量，系统可以检测到异常的访问模式和数据传输行为，及时发现潜在的安全问题。

4.威胁情报

态势感知系统通常会集成威胁情报数据，包括已知的恶意!P地址、域名、恶意软件签名等。通过与威胁情报数据的比对，系统可以更快速地识别和应对已知威胁。

九、未来发展趋势

1、融合SOAR技术

当前市面网络安全防护产品凭借相关技术，使用户获得了更低的MTTI（平均检测时间），如果想要提高MTTR（平均响应时间），还需要结合SOAR技术。

该技术可以让数据智能的选择真正需要的分析系统，运维人员只需编排好与之对应的“剧本”，系统即可自动化执行相关逻辑运算操作得出相关结论；将安全运营自动化，不仅提高了监测和巡查的效率，保证第一时间定位风险，而且极大的节省了响应时间并降低人力成本。

2、云端部署

将态势感知系统云平台化，配合云计算场景远程高效的应对复杂的网络环境和潜在威胁同时省去了硬件设备占用庞大的场地和昂贵的费用，最重要的是，海量的日志分析和处理对运算和存储性能有很高的要求，云计算最大的特点就是可弹性扩容和性能按需分配，所以态势感知云化平台可以有效保障其感知能力可以随着对象规模的变化而变化，这使得资源的利用率达到了极大的提升，在新环境下高效的为网络安全保驾护航。

3、应用场景全覆盖

当前网络安全态势正朝着工控物联网、广域网、区块链和数字货币等方向发展，一些新兴的威胁正在快速发展。态势感知系统应更加深入地与安全设备或安全软件进行处置联动，发现威胁或攻击后第一时间向设备或服务器下发处置指令，为工业信息安全提供有效的技术支持，打造安全可视的网络安全大环境，朝着全网联动、共同防御的方向迈进。

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：