网络安全之我见-态势感知

2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上指出：“构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势”。翻翻自家的态势感知PPT，是不是开篇全部是这样？或者说有几家不是这样的？从2016年4月20日开始，所有的网络安全厂商，全部沉浸在“态势感知”狂欢中，就像后来的区块链、现在的AI一样。其实那个时候，几乎所有人都不知道这个态势感知到底是个什么东西。今天，咱们就来念叨一下网络安全态势感知。首先，不得不提一下我的一位老大哥，一个能力无处发挥的人，当初在他的带领之下，我第一次理解了“态势感知”应该叫“感知态势”。

其实，最早提出“态势感知”这个名词的，是美国军方。1983年10月，美国为维护其在加勒比地区的霸权地位，对格林纳达发动武装入侵。战争起因是格林纳达发生了军事政变，美国以应加勒比国家“紧急要求”和“护侨”为由，出动“快速部署部队”，采用突然袭击手段，使用了卫星、精确制导武器和现代化的后勤保障装备等相结合，并采用了大量的信息化手段。在这场战争中，美军第一次采用多信息、多采集、多研判的军事信息技术，在8天内达到了此次战争的战略目标。因此，美国空军在这次战争之后，提出了“态势感知”的概念：其核心目标是通过实时获取战场信息（如敌我飞机位置、武器状态、气象条件等），结合对敌方意图的研判，辅助飞行员快速做出战术决策。其核心思想就是：感知-理解-预测。

再回到我国的2016年4月20日。既然大家都不知道态势感知到底是什么，到底该怎么做，那么我们就来研究国外的技术，最后大家得出的结论就是：尽量获取有用信息，用来综合研判，得出我想要的预测结论。所以，大家就开启了各自的自嗨模式：自己理解、自己构想、自己开发、自己吹牛逼的模式。在这种前提下，各个带头的厂商做出来的产品，都不一样，框架原理结构都不一样。总结了一下，主要基于以下几种：

基于检测能力：网络安全检测能力和探针都做的非常好。

代表厂商：深信服、奇安信、安恒信息；

基于数据样本：样本数据非常多，所以看到的效果非常好。

代表厂商：360、微步在线；

基于模型架构：大模型做好的，关联分析有方法。

代表厂商：启明星辰；

基于技术属性：一个主动病毒检测，一个主动攻防相守。

代表厂商：安天、永信至诚。

本人在这里只列出来了四个技术流，我觉得，这四个应该已经代表了国内大部分的技术方向。利用自己的优势，发挥自己的优势，扩展自己的优势，没有错，错就错在直到现在，都没有一个明确的标准：网络安全态势感知到底该怎么做。

接下来，我们对这些代表厂商做一个简单的技术分析。

深信服：我觉得深信服是第一个也是唯一一个把态势感知玩起飞的厂商，很少做大客户或者说大平台类的态势感知，在医疗、教育和企业，部署了大量的态势感知产品，利用良好的检测分析效果，强势占据了一批中小型客户。中小型客户最看重的就是直截了当的对流量进行检测分析，要的就是网络的真实情况。但是在溯源分析上面还有欠缺，只是做了检测分析，下钻分析能力还有待提高。

奇安信：天眼做的非常好，在攻击分析上无人出其右。NGSOC继承了天眼的攻击分析能力，能够直击攻击点，给用户带来的良好的体验。如果有一个懂攻防的人，或者一个攻防团队来使用，效果会更加明显，给用户也能带来眼前一亮的效果。关于一哥的东西，再多的不敢说了。

安恒信息：安恒的态势感知还有一个名字叫AILPHA，据说这个名字是老范直接拍板定的，之前看到过一个说明，具体忘记了。AILPHA是目前本人见过、用过的，体验感最好的态势感知。安恒有很好的流量监测分析产品，不管是apt，还是专门的探针apt-sp，攻击检测、检测分析、分析对比、数据关联等方面做的是非常好的，最重要的一点是AILPHA的自动化互动性非常好，只要稍微了解网络安全的人，就能把这个产品用好，不用太专业的人来专门使用，就可以达到很好的效果，凸现了一句话“让扫地老太太都能看得懂、学得会、用得好”。缺点，就是太贵，没有把档次做的很丰富，翻来覆去就那六七个型号，无法满足各式各样客户群体的需求。

360：他们叫安全大脑。360的态势感知感官效果特别棒，为什么？因为他有15亿的数据采集源，据不完全统计，免费的360卫士，全球安装部署数量有15亿，什么概念？那可是15亿个采样点，什么样的数据他都有，感官效果能不好吗。界面做的也特别好，比较炫，给人一种非常高大上的感觉。缺点呢，就是实用性不太强，就像是蛋糕房橱窗里面的那块蛋糕，真的很好看，但是，有可能已经坏掉了。

微步在线：他是做情报出身的，有大量的样本数据，特别是失陷主机，以及失陷主机身上所有的事件、恶码、病毒样本等等。这个不多说，看看360就知道了。

启明星辰：还有个名字叫泰合。玩日志长大的，最早的那波人确实把日志玩溜了，通过日志也确实能关联分析出来很多的问题和事件，在一些大部委和央国企里面，做为垂直管理的平台，确实很不错，因为不需要很特别的探针，做的就是把所有设备的日志全部给我，我来做关联分析。有足够的日志，就有足够的数据支撑点，能够按照清晰地层级关系把一个整体的网络安全态势展示出来，像什么海关总署了，国网公司呀，政务云呀，做的非常好。缺点呢，就是不适应小众化的信息化场景，面对大客户不一定能做好，但是遇到小客户一定做不好。

安天和永信至诚：专业技术程度比较高，病毒检测、攻防，是他们的强项，通过在自身领域的强专业技术属性，给重视技术的客户带来了很好的体验。缺点就是太专一，换句话说叫太单一。

其实吧，不管是什么框架原理结构，也不管一样不一样，能解决客户的痛点问题，就好。就像邓公有句话：不管黑猫白猫，逮着老鼠就是好猫。

随着现在AI技术的发展，现在各厂商都在宣传AI智能化的态势感知，而且宣传的神乎其乎的。本人觉得，在网络安全里面，AI用在纯技术上面，做不好，如果能做出来一个基于AI的知识库，做为网安人的技术小秘书来用，这才是AI对于网络安全最大的贡献和成就。不过这一块本人不擅长，至于将来怎么样，咱也拭目以待吧。

本人曰：网络安全态势感知，必将成为国之利器，愿祖国越来越强大！

声明：本人在文章中提到的具体行业、具体产品、具体技术、具体厂商，纯属自我BB，如有雷同，请对号入座。但是仅仅代表本人喜好和理解，无诽谤和高低评价之意、无戏说之意。做了，就是让说的，行业就是在不断的诉说探讨中成长起来的，因此，如果涉及到的人、企业、产品等，对相关当事人、当事产品、当事技术，有任何诽谤和侵权之言，请第一时间指出并联系我，本人在第一时间修改或者删除，并第一时间公开道歉。

原文始发于微信公众号（大崔说网安）：网络安全之我见-态势感知