各位看官，大家各种好！现在咱们提问，请问什么是“态势感知”？

相信各位回答的场景是这样的：“嗯……这个……”

“稍等，我听说过，好像是……”

“不就是一个挺火的技术么，跟大数据差不多”

“对对对，跟那什么云计算人工智能还有点关系”

“不知道!!!”

那么接下来我们要聊的话题就送给以上任意一位。

小学的时候我们都学过一篇文言文，叫《扁鹊见蔡桓公》，由于蔡桓公不相信扁鹊的话并且不接受治疗，最终就“猝”了。由于扁鹊是名医，他见过的名人也很多，其中还有一位很知名的叫魏文王，故事是这样的……

魏文王问扁鹊：“子昆弟三人其孰最善为医？”

扁鹊曰：“长兄最善，中兄次之，扁鹊最为下。”

魏文王曰：“可得闻邪？”

扁鹊曰： “长兄于病视神，未有形而除之，故名不出于家。中兄治病，其在毫毛，故名不出于闾。若扁鹊者，镵血脉，投毒药，副肌肤，闲而名出闻于诸侯。”

——《史记鹖冠子》

小伙伴们可能已经急了，你凭什么让我拿小学的文凭看这段文言文，就不能好好说话吗？好吧，那我给大家翻译一下，故事的意思梗概就是魏文王问扁鹊，你家三兄弟都是医生，为什么只有你最出名，医疗手段最高明？

扁鹊答说：“我大哥治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去，只有我们家的人才知道。我二哥治病，是治病于病情初起之时。一般人以为他只能治轻微的小病，所以他的名气只及于本乡里。而我扁鹊治病，是治病于病情严重之时。一般人都看到我在经脉上穿针管来放血、在皮肤上敷药等大手术，所以认为我的医术高明，找我看病的场面那真是锣鼓喧天、鞭炮齐鸣、红旗招展、人山人海啊！”

好了，咱们言归正传，病情分为病前，病中，病后。同样的道理，在IT圈，安全也分为事前，事中和事后。这次要聊的态势感知就属于事前，事中这一阶段。很遗憾地告诉大家，虽然我们的神医扁鹊出现在公元前三四百年了，但是 "态势感知"的版权不归我国，这一概念的提出是源于美国空军，它包括“感知、理解、预测”三个层次。而这三个层面是递进关系，首先感知，实际是获取一些安全事件的重要线索。在网络环境中，IDS、IPS实际上是这个层面的工作。然后理解，就是分析安全事件之间的相关性。最难实现的就是预测，能够基于模型预测安全事件未来的一些发展趋势，在目前的一些安全系统中，实际仅做到了“感知”。也就是第一个层面。现在让我找找感觉，我感知到了你们想问态势感知到底是怎么工作的，咱们再接着聊……

中国的态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台，国内的厂商平台一般含有资产管理、漏洞管理、大数据平台、日志分析、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、威胁捕捉等能力。实际上，态势感知主要有三种工作方式，第一种是通过收集云上安全组件信息，全面感知已知和未知威胁。第二种是对组件提供的海量日志进行关联分析，帮助安全运维人员，得出可被理解的安全事件。第三种是基于机器学习等人工智能技术，深度挖掘数据，预测云上资产将面临的风险。无论是哪一种，大家是不是发现了数据才是态势感知的核心？无论是前期的数据收集，还是后期的数据关联分析，及可视化展现，都离不开数据的支持。但是并不是所有的数据都能为态势感知赋能，比如网络侧的数据，就没有办法发现发生在主机内部的密码暴力破解等攻击行为。

网络攻防本身就具有很强的不对称性，采用传统的防御思路，难以了解敌人的攻击意图，一旦攻击者采用先进技术绕过现有防御手段，企业无法实时感知，就会陷入无比被动的尴尬境地，无论是时间和空间上都让你压力倍增。举个例子，如果有个仇人对你说，明天下午3点，我用刀砍死你！你可能当时听到了很害怕，但是回头想想完全不慌，因为具体的时间和他使用的武器你都一清二楚。对应的手段也相当多。但如果这个人说，你给我等着，我早晚杀了你！这你就有点崩溃了，因为时间地点事件全都不受你的支配，无比慌张。但至少你还可以请求警察叔叔的保护。最无奈的就是你的仇人一句话都没有给你交代，突然有一天就来势汹汹的找你复仇，就问你慌不慌……

那么这个问题怎么解决呢？打个比方说，要是有个跟你一模一样的克隆人，是不是你就不会如此的慌了。实际上企业确实也可以通过在云端搭建高度仿真的业务系统来吸引攻击者，一旦发现攻击，可通过此系统进行通知，第一时间发现问题，争取宝贵的应急响应时间。同时在此系统中全面的采集攻击数据，进行关联分析，预测攻击意图，让企业可重点防御核心资产，消除后续可能出现的攻击威胁。然后把这些攻击的威胁数据转化为标准的威胁情报输出，形成自己的动态威胁情报库。在部署方面需要注意将攻击流重定向，与企业真实的业务环境隔离开即可。

随着技术的发展，攻击威胁增上异常迅速，各种网络安全事件在全球范围内全面爆发，面对日益严峻的安全形势，主席也发出网络安全最强音，没有网络安全，就没有国家安全。网络是一个没有硝烟的战场，为打造文明的网络环境，我们仍需不断努力。

最后给大家总结一下，态势感知其实就是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。在这个过程中，安全态势感知平台进行了“感”和“知”分析，通过深入分析合法用户和攻击者行为差异而产生的对潜伏威胁的检测和发现能力，帮助我们看清威胁，看见风险通过“感”从网络通讯中发现异常，通过智能分析还原攻击行为。通过“知”从攻击行为推测攻击意图和方法，完成损害评估和因果分析。

300002神州泰岳：针对云计算、大数据和移动化带来的企业IT架构变革，公司着力打造企业信息安全云服务平台“SecCloud”、企业云计算环境的安全管控方案“SecStack”、企业移动安全管理解决方案“SecTouch”以及企业信息安全大数据分析和态势感知方案“SecSight”等四大新型安全管理解决方案。

300352北信源：公司有四款大数据安全产品，分别是安全态势感知系统，可信感知系统，运维管理系统和安全管理系统。