態(tài)勢感知作起源于軍用領(lǐng)域， 20世紀80年代，美國空軍提出態(tài)勢感知的概念。為提升空戰(zhàn)能力，分析空戰(zhàn)環(huán)境信息、快速判斷當前及未來形勢，以作出正確反應而進行的研究探索，分為感知、理解、和預測三個層次。

　　（1）態(tài)勢感知是了解當前的狀態(tài)，包括狀態(tài)識別與確認（攻擊發(fā)現(xiàn)），以及對態(tài)勢感知所需信息來源和素材的質(zhì)量評價。

　?。?）態(tài)勢理解則包括了解攻擊的影響、攻擊者（對手）的行為和當前態(tài)勢發(fā)生的原因及方式。簡單可概括為：損害評估、行為分析（攻擊行為的趨勢與意圖分析）和因果分析（包括溯源分析和取證分析）。

　　（3）態(tài)勢預測則是對態(tài)勢發(fā)展情況的預測評估，主要包括態(tài)勢演化（態(tài)勢跟蹤）和影響評估（情境推演）

　　20世紀90年代，態(tài)勢感知的概念開始被逐漸被接受，并隨著網(wǎng)絡的興起而升級為“網(wǎng)絡態(tài)勢感知（Cyberspace Situation Awareness，CSA）”，指在大規(guī)模網(wǎng)絡環(huán)境中對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預測，而最終的目的是要進行決策與行動。

　　態(tài)勢感知帶來的價值

　　從網(wǎng)絡安全態(tài)勢感知來看，就是利用數(shù)據(jù)融合、 數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示網(wǎng)絡環(huán)境的實時安全狀況，為網(wǎng)絡安全提供保障。

　　態(tài)勢感知有以下三點價值：1. 賦能企業(yè)或其他機構(gòu)建立防御體系；2. 賦能監(jiān)管部門建設監(jiān)測通報預警能力。3. 安全廠商對威脅捕獲、威脅分析、客戶支撐等工作體系的自我建設完善。

　　借助網(wǎng)絡安全態(tài)勢感知，網(wǎng)絡監(jiān)管人員可以及時了解網(wǎng)絡的狀態(tài)、受攻擊情況、 攻擊來源以及哪些服務易受到攻擊等情況，對發(fā)起攻擊的網(wǎng)絡采取措施；網(wǎng)絡用戶可以清楚地掌握所在網(wǎng)絡的安全狀態(tài)和趨勢，做好相應的防范準備，避免和減少網(wǎng)絡中病毒和惡意攻擊帶來的損失；應急響應組織也可以從網(wǎng)絡安全態(tài)勢中，了解所服務網(wǎng)絡的安全狀況和發(fā)展趨勢，為制定有預見性的應急預案提供基礎。

　　態(tài)勢感知已然成為網(wǎng)絡安全領(lǐng)域破局的關(guān)鍵，并用于對下一代入侵檢測系統(tǒng)的研究，其中的知名應用是美國愛因斯坦計劃。愛因斯坦計劃始于2003年，建設目的是使“系統(tǒng)能夠自動地收集、關(guān)聯(lián)、分析和共享美國聯(lián)邦國內(nèi)政府之間的計算機安全信息，從而使得各聯(lián)邦機構(gòu)能夠接近實時地感知其網(wǎng)絡基礎設施面臨的威脅?！?/p>

　　態(tài)勢感知技術(shù)應用

　　為了實時、準確地顯示整個網(wǎng)絡安全態(tài)勢狀況，檢測出潛在、惡意的攻擊行為，網(wǎng)絡安全態(tài)勢感知要在對網(wǎng)絡資源進行要素采集的基礎上，通過數(shù)據(jù)預處理、網(wǎng)絡安全態(tài)勢特征提取、態(tài)勢評估、態(tài)勢預測和態(tài)勢展示等過程來完成，這其中便涉及許多相關(guān)的技術(shù)問題。

• 數(shù)據(jù)融合技術(shù)

　　數(shù)據(jù)融合技術(shù)是一個多級、多層面的數(shù)據(jù)處理過程，按信息抽象程度可分為從低到高的三個層次：數(shù)據(jù)級融合、特征級融合和決策級融合。

　　網(wǎng)絡空間態(tài)勢感知的數(shù)據(jù)來自眾多的網(wǎng)絡設備，其數(shù)據(jù)格式、數(shù)據(jù)內(nèi)容、數(shù)據(jù)質(zhì)量等千差萬別，存儲形式各異，表達的語義也不盡相同。如果能夠?qū)⑦@些使用不同途徑、來源于不同網(wǎng)絡位置、具有不同格式的數(shù)據(jù)進行預處理，并在此基礎上進行歸一化融合操作，就可以為網(wǎng)絡安全態(tài)勢感知提供更為全面、精準的數(shù)據(jù)源，從而得到更為準確的網(wǎng)絡態(tài)勢。

• 數(shù)據(jù)清洗技術(shù)

　　網(wǎng)絡安全態(tài)勢感知將采集的大量網(wǎng)絡設備的數(shù)據(jù)經(jīng)過數(shù)據(jù)融合處理后，轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。這些數(shù)據(jù)單元數(shù)量龐大，攜帶的信息眾多，有用信息與無用信息魚龍混雜，難以辨識。因此，要掌握相對準確、實時的網(wǎng)絡安全態(tài)勢，必須剔除干擾信息。

　　數(shù)據(jù)清洗技術(shù)從海量數(shù)據(jù)中挖掘出有用的信息，即從海量的、不完全的、有噪聲的、模糊的、隨機的實際應用數(shù)據(jù)中發(fā)現(xiàn)隱含的、規(guī)律的、事先未知的，但又有潛在用處的并且最終可理解的信息和知識。

• 數(shù)據(jù)挖掘技術(shù)

　　數(shù)據(jù)挖掘可分為描述性挖掘和預測性挖掘，描述性挖掘用于刻畫數(shù)據(jù)庫中數(shù)據(jù)的一般特性；預測性挖掘在當前數(shù)據(jù)上進行推斷，并加以預測。

　　數(shù)據(jù)挖掘方法主要有：關(guān)聯(lián)分析法、序列模式分析法、分類分析法和聚類分析法。關(guān)聯(lián)分析法用于挖掘數(shù)據(jù)之間的聯(lián)系；序列模式分析法側(cè)重于分析數(shù)據(jù)間的因果關(guān)系；分類分析法通過對預先定義好的類建立分析模型，對數(shù)據(jù)進行分類，常用的模型有決策樹模型、貝葉斯分類模型、神經(jīng)網(wǎng)絡模型等；聚類分析不依賴預先定義好的類，它的劃分是未知的，常用的方法有模糊聚類法、動態(tài)聚類法、基于密度的方法等。

• 特征提取技術(shù)

　　網(wǎng)絡安全態(tài)勢特征提取技術(shù)是通過一系列數(shù)學方法處理，將大規(guī)模網(wǎng)絡安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值，這些數(shù)值具有表現(xiàn)網(wǎng)絡實時運行狀況的一系列特征，用以反映網(wǎng)絡安全狀況和受威脅程度等情況。

　　網(wǎng)絡安全態(tài)勢特征提取是網(wǎng)絡安全態(tài)勢評估和預測的基礎，對整個態(tài)勢評估和預測有著重要的影響，網(wǎng)絡安全態(tài)勢特征提取方法主要有層次分析法、模糊層次分析法、德爾菲法和綜合分析法。

• 態(tài)勢預測技術(shù)

　　網(wǎng)絡安全態(tài)勢預測就是根據(jù)網(wǎng)絡運行狀況發(fā)展變化的實際數(shù)據(jù)和歷史資料，運用科學的理論、方法和各種經(jīng)驗、判斷、知識去推測、估計、分析其在未來一定時期內(nèi)可能的變化情況，是網(wǎng)絡安全態(tài)勢感知的一個重要組成部分。

　　網(wǎng)絡在不同時刻的安全態(tài)勢彼此相關(guān)，安全態(tài)勢的變化有一定的內(nèi)部規(guī)律，這種規(guī)律可以預測網(wǎng)絡在將來時刻的安全態(tài)勢，從而可以有預見性地進行安全策略的配置，實現(xiàn)動態(tài)的網(wǎng)絡安全管理，預防大規(guī)模網(wǎng)絡安全事件的發(fā)生。網(wǎng)絡安全態(tài)勢預測方法主要有神經(jīng)網(wǎng)絡預測法、時間序列預測法、基于灰色理論預測法。

• 可視化技術(shù)

　　可視化技術(shù)是利用計算機圖形學和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，并進行交互處理的理論、方法和技術(shù)。它涉及計算機圖形學、圖像處理、計算機視覺、計算機輔助設計等多個領(lǐng)域。

　　目前已有很多安全企業(yè)將可視化技術(shù)和可視化工具應用于態(tài)勢感知領(lǐng)域，在網(wǎng)絡安全態(tài)勢感知的每一個階段都充分利用可視化方法，將網(wǎng)絡安全態(tài)勢合并為連貫的網(wǎng)絡安全態(tài)勢圖，快速發(fā)現(xiàn)網(wǎng)絡安全威脅，直觀把握網(wǎng)絡安全狀況。