網絡安全態勢感知框架小議

1. 網絡安全態勢的理論來源與發展

態勢感知並不是從網絡空間領域首創的理論體系，態勢感知理論來自於軍事領域。瞭解一下態勢在軍事領域的發展歷史，有助於我們更好地瞭解網絡安全態勢感知的發展原因。

0x1：2004年美軍野戰手冊的定義 - 從軍事領域的貢獻

現代意義上的態勢感知（situation awareness，SA）研究也來自於戰爭的需求，其在二戰後美國空軍對提升飛行員空戰能力的人因（human factor）工程學研究過程中被提出來，主要是爲了提升空戰能力、分析空戰環境信息、快速判斷當前及未來形勢，以作出正確反應而進行的研究探索，至今仍然是軍事科學領域的重要研究課題。

2004年9月出版的《美軍野戰手冊》將態勢感知定義爲：”對當前態勢的認識和理解，能幫助作戰空間中友好的、競爭的和其他性質的行爲進行及時、相關和準確的評價，其目的是幫助進行決策。態勢感知是對信息的洞察能力和技巧，以快速確定發展中的衆多事件的背景及事件相關性。“

0x2：前美國空軍首席科學家Mica R. Endsley的三層模型

許多情況下，關鍵不在於表達的實質內容是什麼，而在於是何種情景意識當中。任何決策總體現在一定的認知與情緒的框架之中，問題在於是你掌控情景意識，還是情景意識左右你。

• “我祈禱時可以抽菸？”
• “我抽菸時可以祈禱嗎？”

本質上是在問一件事情，卻因爲情景意識的設置不同而會帶來完全不同的迴應。 

情景意識英文爲Situational Awareness (SA)，這方面最知名的女研究學者、前美國空軍首席科學家米卡·安德斯雷博士（Dr.Mica Endsley）給情景意識的定義是：在一定時間和空間範圍內對於環境要素的感知、對其意義的理解以及對其未來狀態的預測。

情境意識是個體對不斷變化的外部環境的內部表徵。在複雜、動態變化的信息環境中，它是影響操作者決策和績效的關鍵因素。

基本上，態勢感知是感知你周圍發生了什麼事情，瞭解對應的信息對你現在和將來的意義是什麼。這種感知以對特定工作或者目標這重要性爲標的而組織起來。SA的概念通常應用於人工操作的情境，人們因特定原由必須有情境意識，例如：

• 爲了開車
• 爲病人治療
• 空中交通控制中心進行交通分流

因此，SA通常根據一個特定的工作或功能的目標來定義，例如入侵檢測與傳播性預測。

對感知主體來說，只有那些與手頭的任務有關的情境片段是很重要的，

• 醫生需要知道所有病人的症狀來診斷疾病或疾病，但醫生通常不需要知道病人的歷史的每一個細節
• 飛機的飛行員必須意識到其他飛機，天氣，和附近的地理環境變化，但飛行員不需要知道副駕駛的午餐吃什麼

Endsley 將情境意識分爲三個水平：

• 認知：第一水平爲線索知覺，是情境意識中最基礎的環節。
• 理解：第二水平爲理解，即對不同信息的整合及做出有關目標的決策。處於第二水平的人能從第一水平獲得的線索處得到與操作相關的來自於主客觀方面的重要信息。
• 預測：第三水平爲預測，即預測未來情境事件的能力，是情境意識的最高水平。

我們將討論每一級SA以及內部和外部因素的影響來獲得對態勢感知是什麼和怎樣有效的設計系統來幫助人們提升保持態勢感知能力（即使是在非常有挑戰性的情況下）這兩個問題的完整理解。 

1. 一級SA：環境中元素的感知 

實現SA的第一步是感知環境中的相關元素的狀態，屬性和動態。對於每個域和作業類型，所需的要求是完全不同的，

• 飛行員需要感知的要素，如其他飛機，地形，系統狀態和警告燈，以及他們的相關特性。在駕駛艙裏，持續監控所有相關的系統和飛行數據，其他飛機，和導航數據的任務相當繁重。
• 一個軍官需要探測敵人，平民和友軍的位置和行動，地形特徵，障礙和天氣。
• 一個空中交通管制或汽車司機有一套不同的態勢感知。

信息的感知可以通過視覺，聽覺，觸覺，味覺，嗅覺，或一種組合，或者是其他物理和邏輯上的傳感器（sensor）。例如，

• 一個葡萄酒製造商可能會在發酵過程中通過味道和氣味和通過視覺檢查收集關鍵的信息的狀態。
• 醫生使用所有的感官和可以得到的信息，以評估病人的健康狀況。這些線索十分的敏感微妙。一個訓練有素的醫生可以聽到心跳的節奏細微的差別和可以在心電圖上觀察到顯著的模式，而未受過訓練的觀察者做不到這一點。
• 一個有經驗的飛行員只是聽到發動機的音調或看到在空氣場上的燈光模式可以知道有些東西出了錯誤。

這些信息的每一個都與不同級別的可靠性聯繫在一起。

信息的可信程度（基於傳感器、組織或個人提供），以及該信息本身，組成了大多數領域1級SA的一個關鍵部分。

在許多領域，檢測到所有所需的1級數據，可以是相當具有挑戰性的。

• 在軍事行動中評估情境的所有需要的方面往往是困難的，由於模糊的視覺，噪音，煙霧，混亂，和情境的迅速變化。陸軍軍官必須設法確定當前的事態，而敵人的部隊正在積極努力隱瞞該信息或提供虛假信息。
• 在航空領域，跑道標誌可能會很差，相關的信息可能不會被傳遞給飛行員。
• 在非常複雜的系統，如發電廠或先進的飛機，有大量的競爭信息通過，使感知所需的信息相當具有挑戰性。
• 在網絡安全領域，感知器採集缺失、採集字段不完整等現象也時有發生

在幾乎所有的這些領域中，大量的數據不斷地爭奪着感知者/器的注意力。而決策問題的根源也很大程度上和感知階段的失誤或缺失有關，

瓊斯和恩茲利（1996）發現，在飛行員76%的失誤與沒有感知到所需的信息有關。在某些情況下（大約五分之二）發生這種情況，因爲所需的信息不提供給需要它的人，或由於系統的限制或缺點沒有清晰地呈現出來。例如，

• 跑道線已變得褪色和遮蔽
• 一個標尺是多雲的，或靜態遮蔽了無線電傳輸。

在某些情況下（約1/5），他們確實檢測到了所需要的信息，但後來在看了其他新信息之後把這些信息忘了。

在其他情況下（約三分之一），所有的信息都呈現出來，但沒有關鍵信息被遺漏了。這可能已經發生的時候，他們被外界因素干擾（例如，一個電話或與工作無關的話題），但更常出現的是，他們處理的其他信息與他們正在進行的任務的信息產生競爭。在某些情況下，他們可能沒有打開所需信息的窗口，或者他們正字查看其他顯示器上顯示的信息。設計的SA意味着所需的由系統獲取的信息通過一種容易被系統用戶接收的方式呈現出來，這些用戶可能同時接收着許多相互競爭的信息，被分散了注意力。 

2. 二級SA：現狀的理解

實現良好SA的第二步是理解數據和線索對目標和目的意味着什麼。

理解（第2級SA）基於不相交的1級元素的綜合，以及該信息與個人目標的對照。 它涉及集成許多數據以形成信息，並且優先考慮組合信息與實現當前目標相關的重要性和意義。 2級SA類似於具有高水平的閱讀理解，而不是僅僅閱讀單詞。

日常工作生活中有大量的二級SA理解，例如：

• 司機到達十字路口的場景。駕駛員看到一個黃色的燈，所以她明白她需要謹慎，基於距離十字路口的距離。她對她前面的汽車的減速速率的感覺讓她確定它是停止還是前進通過交叉口及其這個決定對該汽車的接近速率的影響。駕駛員對情況如何影響她的目標的理解定義了到達2級SA的條件。
• 當看到指示燈提示起飛期間出現問題時，飛行員必須快速確定問題的嚴重性，並且將其與關於跑道剩餘量的數據結合，以便知道其是否是中止的情況。新手飛行員能夠實現與更有經驗的飛行員相同的1級SA，但是可能遠不能將各種數據元素與相關目標一起集成，得到對情境同樣優良的理解。
• 軍事指揮官的2級SA可能涉及理解在給定地點的行動報告，這意味着敵軍正在附近集結。 或者它可能意味着看到沿着道路的車輛軌道，並從那裏確定什麼類型的部隊和單位在軍官自己的部隊之前。

通過理解數據塊的重要性，具有2級SA的個體將特定目標相關的含義和意義與手頭的信息相關聯。 

需要注意的是，從所感知的許多數據中建立對現狀的理解實際上是相當苛刻的，並且需要良好的知識基礎或心理模型以便組合和解釋不同的數據片段。新手，或者處於新形勢的人，可能沒有這些知識基礎來利用。

3. 三級SA：對未來狀態的映射

一旦人們知道這些元素是什麼以及它們對於當前目標意味着什麼，預測這些元素在（至少在短期內）將做什麼的能力構成了3級SA。

一個人只能通過了解情況（2級SA）以及他們正在使用的系統的功能和動態，達到3級SA。

還是沿用上一小節駕駛員和飛行員的例子，

• 使用3級SA，駕駛員知道如果她進入交叉路口，他很可能被在過馬路上的汽車撞擊。 這個投影讓她主動作出決定。
• 陸軍指揮官可以映射到敵方部隊接近的方向和他們自己的行動的可能影響，基於他們已經生成的2級SA。
• 飛行員和空中交通管制員積極工作，預測其他飛機的運動並提前預見問題。

使用當前情境理解來形成預測需要對領域（高度發展的心理模型）有非常好的理解，並且在心理上可能是相當苛刻的。

許多領域的專家花費大量時間來形成3級SA，利用空餘時間來生成這些預測。通過不斷地前向映射，他們能夠制定一套現成的戰略和對事件的反應。這讓他們掌握主動，避免許多不期望的情況，並且當各種事件發生時也非常快速地響應。

未能從第2級SA準確地投影（形成第3級SA）可能是由於精神資源不足（例如，如果人員超負荷其他信息處理），或者由於域的知識不足。

我們還可以注意到，3級SA是基於時間的一種概念，所謂時序問題，就是元素與元素之間存在時序先後關係。 

許多領域的操作人員不僅根據空間（某個元素有多遠）來過濾他們感興趣的世界（或情況）部分，而且還會過濾還有多長時間該元素對他們的目標和任務會產生一定影響。時間是2級SA（理解）和3級SA（未來事件的預測）的強大部分。

真實世界情況的動態方面是SA的另一個重要的時間方面。 對信息變化速率的理解讓預測未來情況成爲可能。 由於情況總是在變化，人的情況意識也必須不斷變化，否則就會變得過時，因而不準確。 在高度動態的環境中，這迫使人類操作者要應用許多認知策略來維持情境意識。

0x3：人類SA認知的心理機制和過程

人們具有許多不同的認知機制，其中SA被建立在他們的工作記憶中。 雖然在任何給定領域中對於SA重要的事情是非常不同的，但是基本認知過程在各個領域是相當一致的，因爲它們是所有人擁有的心理能力。情境意識是這些過程的產物。

信息通過層層提煉形成了SA，反過來，一個人的SA將反過來影響什麼信息被搜索和參與，結果影響過程，形成一個循環，這是一個動態循環過程。

通過對人們如何形成SA以及對該過程的挑戰和限制有良好的瞭解，設計以提高SA的策略將更加明確。我們本小節將更詳細地研究對於開發SA重要的每個過程和機制。

1. 觀察和注意  

對象及其特徵最初通過感覺存儲同時進行處理。然而，人們不能一次處理所有信息。一個人同時感知多個項目的能力受到他們的注意力的限制，這是有限的。 這反過來，大大限制了個人可以實現的SA的量。

例如，當沿着道路行駛時，駕駛員可能監控前面的交通，收音機上的音樂，以及可能是道路的顛簸。然而，計量，對話和交通可能不是全部被同時感知，因此不能經常被照顧到。駕駛員必須定期掃描這些信息。

由於它們的重要性或變化率，需要頻繁分配注意力的那些元素通常被最頻繁地監視。例如，速度計將比汽車中的燃料計更頻繁地被監控。

雖然一些信息可以更容易同時處理（例如，音頻和視覺信息），但是難以同時處理其他類型的信息。如果信息通過相同的形式（視覺，聽覺，觸覺或嗅覺），利用相同的資源（例如，中央處理）或者獲得相同的響應機制（例如，說話或寫作）。一個人可以一次關注多少元素的限制影響一個人可以處理多少信息，形成SA的中心瓶頸。

具體來說，筆者經常在開車上班的期間，通過音頻收聽《得道app》的課程，因爲已經是多年老司機，所以對道路和行車預判已經形成肌肉記憶，因此對道路方面的注意力分配就可以相對降低。但是另一方面，如果想開車用手機是100%不可能的，因爲手機屏幕和觀察道路都需要時間片區內100%佔用眼睛觀察力資源，這兩點是衝突的。

2. 工作記憶 

工作記憶和長期記憶在幫助實現SA方面發揮重要作用。個人可以臨時將信息存儲在其工作記憶中。只有有限數量的無關信息可以在工作記憶中保存和操作（7加或減2'塊），並且人必須努力地保持信息的記憶否則它將衰減。

感知得到的新信息與工作記憶中的現有知識相結合，以創建對變化的情況的新的或更新的心理圖像。這些信息也被處理並用於創建未來可能發生的事件地的映射。

這些預測，反過來，幫助一個人最後決定採取什麼行動。所有這一切都必須發生在工作記憶中。 處理信息以實現高水平的SA和決定未來動作的組合會佔用大量的工作記憶。工作記憶非常有限，形成了SA的第二個主要瓶頸。

3. 心理模型，綱要和腳本

幸運的是，工作記憶不是個人擁有的記憶的唯一形式。長期記憶實際上讓個人能夠解決工作記憶對SA的限制。

被稱爲模式和心理模型的長期記憶結構在改善人的SA方面發揮重要作用。

心理模型由Rouse和Morris（1985）定義爲“人類能夠產生系統目的和描述的系統功能的描述，系統功能的解釋和系統狀態，以及對文件狀態的預測”。心理模型是人們用來模擬特定系統行爲的複雜結構，無論系統是與空中交通管制，醫療程序和手術，還是高速公路駕駛有關。

心理模型是對事物如何工作的系統理解。 例如，人們可以開發設備的心理模型，其包括對信息位於何處的理解，對於某些期望的動作需要按壓按鈕的順序以及基於用戶輸入的預期的系統行爲。這些心理模型不僅可以被形成爲用於例如發動機或發電廠的物理對象，而且可以用於組織體系。

• 駕駛員序生成了一個心理模型，預測交通運行和其他車輛的行爲。他們將僅在道路的一側行駛，並且將面臨在交叉口處迎面而來的交通問題。
• 飛行員，空中交通管制員，足球運動員和大學生類似地形成了他們的系統如何工作的心理模型，不僅包括正式規則，而且包括對他人的預期行爲的非常詳細的考慮。

心理模型基於語義知識和系統知識。

• 語義知識通常包括知道是什麼，而不是怎麼樣。它可以包括，例如，知道所有州的首府的名字或各種樹種的名稱。
• 系統知識，對於心理模型至關重要。它不僅形成於語義知識，而且還通過理解這些系統的功能而形成。例如，醫生對人體如何工作有着良好的瞭解，使他們能夠理解特定的心肺復甦（CPR）操作如何影響肺和心臟，以及基於身體中的各種異常會發生什麼。他們可以準確地投射他們從未見過的事物，基於對身體心肺功能建立的心理模型。

心理模型幫助人確定哪些信息值得重點關注（例如，如果溫度變化，他們應該看看壓力發生了什麼），並幫助形成期望（如果溫度下降並且壓力恆定，則體積也應該下降）。

心理模型還能夠實現更高水平的SA（理解和預測），而不會損害工作記憶的能力。沒有心理模型，一個人很難理解發生了什麼（爲什麼嘴脣變藍，即使CPR正在被管理），或未來可能發生什麼（CPR管理給傷口的人， 主動脈將導致額外的失血）。心理模型是Level 2和3 SA的關鍵推動因素。

雖然沒有良好心理模型的人有可能在精神層面上理解和預測，但是它可能是非常困難的也非常耗費精神，經常超過在動態的動態情況下可能的。例如，對於缺少經驗的人員，空中交通管制顯示器可能是相當令人生畏的。即便是瞭解兩架飛機如何在空域內相互作用也需要花費相當多的時間。然而，有經驗的空中交通管制員，具備有關所涉及的特定飛機的特性和能力的詳細知識，以及關於不同類型的交通在特定空域扇區內如何流動的詳細知識，分類和分辨20或30架飛機是同樣的容易。

總而言之，在良好的心理模型不存在的情況下處理新的線索耗費有限的工作記憶，並使得實現SA更難，更容易出錯。

心理模型還提供默認信息（元素的預期特徵），即使在需要的數據丟失或不完整時，幫助形成更高級別的SA。因此，有經驗的士兵可以通過知道車隊中的車輛類型合理地填充特定車隊正在行駛的速度。默認信息可以爲人們在許多情況下形成SA提供重要的應對機制，在這些情況下，他們沒有足夠的信息或者不能獲取他們需要的所有信息。

模式是通過直接經驗形成的，或者可以基於對閱讀或聽說相似案例以替代形成。 醫生和飛行員通常傳遞戰爭故事或案例史來幫助建立這種類型的知識存儲。 爲了模式要有效，個人必須善於在情境線索和內存中的模式之間的模式匹配（並且一些人看起來比其他人更好）。

心理模型和模式的一個顯着優點是，現在的情況不需要完全像以前一樣，以便識別它，因爲人們可以使用分類映射（在情況的特徵和已知類別的特徵之間的最佳擬合，原型模式）。這種能力就是爲什麼人們可以從他們的經驗推廣到新的。從特殊推廣到一般，從一般再適配各種各樣特殊的未知學習能力。

例如，一個軍中指揮員可能帶領他的部隊進行模擬戰鬥，而在機動，練習戰術和戰鬥計劃在喬治亞州南部的樹林。但是當他把他的士兵帶到另一個國家的真正戰場時，現實往往不同於實踐。因此，他將使用模式匹配來找到現有條件和記憶中的情境的學習類之間的最佳匹配，即使它們不完全相同，以幫助發展理解和預測。在這個匹配關鍵參數足夠接近的程度上，理解和投影將是好的。如果不是，那麼理解和預測可能會失敗。

作爲靜態感知的最終幫助，人們還可以提煉與每個模式相關聯的腳本。

腳本是一序列的動作，當每種模式發生的情況下該做什麼。這些腳本可能是通過經驗提煉的，或者可能在域內被規定。

例如，

• 醫生有一個非常完善的劇本，爲患有特定疾病的人做什麼。一個飛行員有一套完善的程序，可以用於不同類型的情況。軍事指揮官遵循原則。雖然做什麼可能是明確的，個人必須仍然使用心理模型和模式足夠好地瞭解情況，以知道什麼時候應用特定的過程或腳本。當這些腳本存在時，工作記憶上的負載決定了對於特定情況的最佳行動方案甚至進一步減少。
• 以汽車機械師監控汽車爲例，並在運行時進行各種觀察或測試。他使用他對汽車（基於年，製造，模型等）應該聽起來，感覺和運行起來的表現的心理模型，解釋、指導他應該檢查什麼。當他聽到什麼東西有問題（也許是一個嗚咽，或叮噹響聲），最匹配該提示的模式就被激活（鏈接到心理模型）。這種模式爲情況提供了一種分類，使他能夠正確地理解爲什麼汽車正在製造特定的噪聲，它的起源，以及它對車輛的正常功能和安全性（2級靜態感知）的影響，以及汽車繼續被驅動下去可能會發生些什麼（等級3靜態感知）。他還從與該模式相關聯的內存中調用一個腳本，告訴他該類型的問題需要修復。由於心理模型的存在，整個過程可以在幾秒鐘內發生。沒有它，一個人可能需要幾個小時或幾天來弄清楚車輛的狀態。

考慮到心理模型，模式和腳本是隨着時間的推移而開發的，具有特定領域的經驗，較少經驗的個體將需要花費更多的精力處理時間來分析發生靜態感知的情況，並且可能使工作記憶超載，導致顯着的靜態感知間隙。爲新手操作員（無論是飛行員，鐵路工程師還是外科醫生）需要設計以給予他們比這些經驗豐富的操作者更多的幫助。爲有經驗的操作者設計需要通過增強模式匹配過程來促進這些機制的巨大效用。

總而言之，心理模型模式和腳本構成了態勢感知的非常重要的機制，爲那些有經驗的人提供了一個顯着的優勢。當人們具有針對特定系統（或者領域）的完備心理模型時，心理模型提供3個主要優勢：

• 動態地把注意力導向關鍵環境線索的方向
• 基於模型的投影機制對環境的未來狀態的預期
• 在已識別的情境分類和典型行動之間建立直接的單步聯繫，從而能夠做出快速的決策。

4. 目標和態勢感知

個人知道在他們的任務或工作中想要完成什麼，即，任務的具體目標。

在自上而下的信息處理（Casson，1983）中，目標有助於確定在人們執行任務時要注意哪些環境因素。例如，

• 醫生從患者尋求關於患者正經歷的症狀的信息，並對患者的身體特徵進行詳細檢查。通過積極收集信息，醫生可以努力實現減輕身體問題的目標。
• 駕駛員尋求與到達特定目的地的目標相關的道路狀況和交通問題的信息。

這些是目標驅動（或自上而下）過程的示例，也是信息處理的常見形式。在與個人目標相關的環境中搜索特定信息。人的目標和計劃決定了周圍環境的哪些方面被注意到。然後感知的信息被混合然後根據這些目標進行解釋以形成2級情境意識。

相反，數據驅動（或自下而上）處理是信息“抓住”人的注意力，完全獨立於他們的目標。

數據驅動處理是當輸入信息基於其固有感知特性的優先級進行處理時發生的。例如，

• 在計算機屏幕上閃爍的圖標將抓住一個人的注意力，即使他們可能試圖讀取其他信息。
• 大聲噪聲（例如，警報）和某些顏色（例如，紅色）將類似地趨向於吸引注意。
• 系統運行過程中突然出現CPU100%現象
• 網站運行目錄下突然出現大量垃圾.html文件
• 系統磁盤文件突然被大範圍加密修改，並且改成了統一後綴

這些線索，如果指示重要的東西，可能會導致人們重新排列他們的目標。例如，

• 如果一個駕駛員看到一個意外即將發生，他的目標將從導航變爲避免意外。飛行員可以中止着陸的目標，以避讓出現在飛行路徑上的另一飛機
• 管理員從日常運維工作中切換到安全事件處理狀態，開始系統逐項地排查當前系統發生了哪些異常

在實際的SA過程中，目標驅動和數據驅動是動態切換的。

每個工作環境包含多個目標，這些目標在一段時間內優先級會發生改變，並且可以處於直接競爭（例如，生產與安全）。通常，一個人一次只工作在這些目標的某個選定子集。如下圖所示，

態勢感知將幫助確定哪個目標應該是活躍的（具有最高優先級）。選擇爲活動或主要的目標確定幾個關鍵功能。

• 首先，活躍的目標指導人選擇哪些心理模型。例如，
  • 陸軍指揮官的目標可能是伏擊供應車隊，所以他將選擇埋伏心理模型
  • 女商人可能有一個目標是增加一個部門下一年的收入，所以她將激活她關於該部門營銷計劃的心理模型。因爲心理模型在引導對環境中的線索和信息的注意以及解釋這些線索中起着重要的作用，所以這種選擇是關鍵的。
• 第二，選擇優先目標是成功實現態勢感知的關鍵。如果人們關注錯誤的目標，他們可能不會接受正確的信息，或者可能根本不尋求所需的信息。在許多情況下，他們實際上可能正在努力實現一個不那麼重要的目標，而全程都在認爲他們正在實現目前的任務。例如，
  • 一個正在忙着向要求的許可的飛行員提供幫助的空中交通管制員可能錯過他分離兩條航線的目標的工作提示。執行錯誤的目標時，他忽略了監視其他飛機的顯示器的事情。如果沒有正確的目標，重要的信息可能不被感知或正確理解
  • 一個醫生正在努力測試患者是不是有特定的疾病，則她可能錯過與其他目標相關聯的信息（例如確保患者具有家庭護理）。
• 第三，所選擇的目標和相關的心理模型將用於解釋和整合感知的信息，以便理解信息是什麼意思。具體目標有助於確定信息是否重要。如果飛行員認識到高度爲10 000英尺，必須根據飛機在11 000英尺的目標來解釋這一信息，以符合空中交通管制員的指示或清除所有地形的目標。該目標爲理解所感知的信息的重要性提供了基礎。

5. 期望

像目標一樣，人對給定情況的預定期望可以改變靜態感知形成的方式。

人們常常知道在給定情況下他們期望看到，聽到或品嚐什麼。期望基於心理模型，先前經驗，指令和來自其他來源的溝通。例如，

• 飛行員經常得到詳細的飛行前簡報，以便他們用來預測他們將遇到的飛行情境。
• 在製造工廠中，提單形成了對將被檢查的特定貨物內容的期望。

期望指導注意力的引導方式，以及人如何吸收所感知的信息。例如，

• 如果司機預想到高速公路在道路的一側，他們會尋找它在那裏。這是高效的，因爲他們不必到處尋找所需的信息。

期望作爲信息感知的心理處理的快捷方式也提供了重要的功能。人們已經開發了這種效率機制，使他們能夠處理世界上大量的數據。沒有這個快捷方式，工作記憶將超負荷以獲取和解釋來自我們周圍的世界的信息。因爲人們可以通過使用期望來幫助解釋世界的過程，他們有更多的精神資源留給其他更有挑戰性的認知過程。

然而，期望是一把雙刃劍。當錯誤時，錯誤的期望也可能導致對數據的誤解。如果另一條道路位於預期的匝道附近的位置，人們可能錯過這條道路，並且錯誤地相信他們正在駛入匝道。在很多情況下，如果他們他們的處境與他們的期望相異，或者其他對象可以適應這些期望，重要提示將被錯過。

6. 自動性和態勢感知

經驗對態勢感知有顯着的貢獻，通過讓人們形成對於大多數域中的態勢感知至關重要的心理模型，模式和目標導向的處理。然而，經驗也可以導致心理處理中的一定程度的自動性，人的行爲和反應變得有些自動性。模式識別/動作選擇序列（刺激/反應配對）可以變得自動化。

這可以對態勢感知產生積極的影響，因爲它解放了心力以應對更艱鉅的任務。即所謂的肌肉記憶、慣性思維。例如，

• 騎自行車的人通常不知道他的腳在他車中的哪裏，而是可以將精力集中在她的目的地。 

0x4：Alberts博士提出的態勢感知定義

Alberts博士對態勢感知的描述是這樣的：態勢感知描述的是對特定時間點、整個戰鬥空間或其中一部分的狀態的感知。在某些情況下，已發生事件的發展軌跡信息和對當前態勢的發展預測是關注的重點。態勢由任務和任務約束條件、相關力量的能力和意圖、關鍵的環境特性等部分構成。“

其中，他認爲感知存在於認知領域、感知是先前知識（和觀點）與當前對現實的認知之間複雜的相互作用的結果。例如對某個戰場態勢，人人都有不同的感知。

他還認爲，理解是指具有充足的知識，能判斷出態勢可能引發的後果；以及對態勢具有充分的感知能力，能預測未來的事件發展模式。

因此，態勢感知關注的是對過去和現在態勢的認識。

0x5：JDL的數據融合模型

態勢感知涉及數據融合（data fusion）。數據融合是指將來自多個信息源的數據收集起來，進行關聯、組合、提升數據的有效性和精確度。

可以看到，數據融合的研究與態勢感知在很多方面都是相似的。目前，網絡安全態勢感知的參考模型多是基於美國的軍事機構JDL（joint directors of laboratories）給出的數據融合模型衍生出來的。

0x6：Tim Bass功能模型

1999年TimBass提出了網絡態勢感知（Cyberspace Situational Awareness, CSA），他認爲融合多傳感器數據從而形成網絡態勢感知能力是下一代入侵檢測系統的關鍵突破點。

此後，各國研究團隊基於不同的知識體系提出了多種數據模型及平臺，CSA 技術也迅速成爲研究熱點。Tim Bass模型最早基於多傳感器數據建立了網絡態勢感知框架，描述了多臺安全傳感器和入侵檢測設備之間數據融合的原理及流程：

• 底層爲數據感知層，包括數據採集層和數據預處理層，主要完成數據清洗和校準、多元數據格式化、數據關聯分析等工作
• 中層是在底層數據分析的基礎上對網絡態勢進行動態智能推理的評估；
• 上層進行知識轉化，預測當前網絡中可能發生的安全事件，並對網絡威脅的程度進行評估；
• 有獨立的“查詢選擇和反饋循環”單元，負責跟蹤和評估整個系統的運行情況，協調各個層次之間的關係使其正常運行。

 

0x7：SA理論在不同領域的變化

SA的基本理論在不同的領域的的差別會很大，SA作爲決策和執行的基礎的重要性適用於幾乎每個活動領域。SA被廣泛領域所研究，如

• 教育
• 駕駛
• 列車調度
• 維修
• 發電廠業務
• 天氣預報
• 航空和軍事行動
• 網絡安全

使用SA作爲決策和性能的關鍵驅動因素也超出了這些領域的非工作相關的活動，包括娛樂和體育專業隊，自我保護，甚至表演。態勢感知是現實世界的變化的知識，是有效的決策和行動的關鍵。 

Relevant Link: 

https://www.sohu.com/a/197350525_114819
https://blog.csdn.net/vucndnrzk8iwx/article/details/78559527
https://www.secrss.com/articles/1842

 

2. 爲什麼需要網絡安全態勢感知

0x1：面臨的挑戰與日俱增

全球的網絡安全形勢非常嚴峻，但就中國而言，截止2016年底，僅360公司累計檢測到的針對中國境內目標發動攻擊的APT組織至少有36個，最近扔活躍狀態的APT組織至少有13個，這些組織的攻擊目標涵蓋政府機關、高校、科研機構以及國家關鍵基礎設施所涉及的諸多行業和企業。

當今網絡攻擊已經不再侷限於傳統的殭屍網絡、木馬和病毒，而是使用0Day威脅、變形多態等高級逃避技術、多步驟攻擊、APT攻擊等新型攻擊手段。2017年爆發的”Wanancry勒索蠕蟲“，更讓我們看到了網絡武器民用化之後可能造成的巨大災害。

0x2：傳統方法遭遇挑戰

從現實中的網絡安全建設來看，多年來業內一直偏重於架構安全，如漏洞管理、系統加固、安全域劃分等，雖然取得了一定的成果，也研發出了大量產品，但這些大多是被動防禦能力的建設，而且也遇到的發展瓶頸。

大部分組織部署了各類流量檢測系統、IDS、防火牆、終端監控系統、UTM等網絡監控和防護設備，這些設備在運行過程中雖然也產生了大量含有有用信息的數據，如包數據、會話數據、日誌、告警等，並在一定程度上反映了網絡安全狀態。但由於彼此間缺乏有效協作，無法進行組合式深度分析，也缺少多角度全景呈現，因此難以實現對網絡整體安全態勢的全面、準確、細粒度的展現。

面對新的網絡安全形勢，傳統安全體系遭遇了瓶頸，需要進一步提升安全運營水平，同時積極地開展主動防禦能力建設，採用更加積極的對抗措施來應對各種變化。

 

3. 網絡安全態勢感知的政策發展

習主席明確提出”建設全天候全方位感知網絡安全態勢“。這個要求恰恰對態勢感知的建設目標做出了準確描述：

• 全天候：是時間維度，貫穿過去、現在和未來
• 全方位：是內容維度，要求檢測分析的對象覆蓋面廣，至少包括”網絡流量“、”終端行爲“、”內容載荷“三個方面

通過對多源異構網絡安全數據和事件的獲取、理解、分析和評判，客觀反映網絡中發生的攻防行爲，從時間和空間兩個維度，從OSI 1~7 層整體角度從更高的層次直觀、動態、全面、準確、細粒度地感知各類網絡攻擊行爲，進而提升主動防禦能力，這正是態勢感知的意義所在。

 

4. 網絡安全態勢感知的定義

所謂網絡空間態勢，是指由各種網絡設備運行狀況、網絡行爲以及用戶行爲等因素所構成的整個網絡當前狀態和變化趨勢。

在此基礎上，所謂”網絡安全態勢感知“是指在大規模網絡環境中，對能夠引起網絡態勢感知發生變化的安全要素進行獲取、理解、顯示，以及預測最近的發展趨。

在”網絡安全態勢感知“中，

• ”態“指的是從全局角度看到的現狀，包括組織自身的威脅狀態和整體的安全環境，需要基於檢測儘可能地發現攻擊事件或攻擊線索，同時需要對涉及的報警燈信息做進一步的分析，弄清是否爲真實的攻擊，以及攻擊的類型和性質、可能的影響範圍和危害、緩解或清除的方法等，從而確定是否可以進入處置流程。
• ”勢“指的是未來的狀態，需要對現階段所面臨的攻擊事件有深入的瞭解，弄清是已知威脅還是未知威脅，以及攻擊者的行動意圖、攻擊者的技戰技術水平及特點等，從而預測組織未來的安全狀態

需要注意的是，網絡安全態勢感知可以在多個抽樣層次獲得，低層次和高層次都能獲取原始數據，並通過一定的處理手段將這些數據轉換成更爲抽象的信息。

• 獲取較低抽象層次的網絡安全態勢的方法目前主要包括
  • 入侵檢測與告警關聯
  • 使用攻擊圖進行漏洞分析
  • 因果關係分析
  • 取整分析（入侵的反向追蹤）
  • 信息流分析
  • 攻擊趨勢分析
  • 入侵相應
• 獲取較高抽象層次的網絡安全態勢則更多依靠人工分析，費時、費力且容易出錯。

總的來說，網絡安全態勢感知應該是一種基於環境的動態、整體地洞悉安全風險的能力，是以安全大數據爲基礎，從全局視角提升對安全威脅的發展識別、理解分析、響應處置能力的一種方式，最終是爲決策和行動服務，是安全能力的落地。

網絡安全態勢感知本質上就是獲取並理解大量網絡安全數據，判斷當前整體安全狀態並預測短期未來趨勢。

總體而言，其可分爲三個階段：

• 態勢提取
• 態勢理解
• 態勢預測

理想情況下，我們希望是可以在沒有人工干預的情況下進行自動化感知和防禦，但截止2020筆者所在的這個時代，技術的發展還沒有完全達到這種智能化水位，雖然在某一些子領域問題內，已經有了部分半自動化的防禦與響應系統的出現。

總體上說，現在的網絡安全態勢感知系統仍是硬件設備、計算軟件和人類思維決策的共同決策體，也即是一個碳基於硅基的混合決策體。

0x1：態勢提取

態勢感知始於提取，提取環境內相關要素的狀態、屬性和動態等信息，並將信息歸入各種可理解的表現方式，爲理解和預測提供素材。

準確、全面地提取網絡中的安全態勢要素是網絡安全態勢感知研究的基礎。目前網絡的安全態勢要素主要包括：

• 靜態的配置信息
  • 網絡的拓樸信息
  • 脆弱性信息
  • 狀態信息
• 動態的運行信息
  • 運行時日誌採集器採集到的日誌
• 網絡的流量信息

提取的方式也分爲兩種：

• 通過提取各種角度的態勢要素（例如脆弱應、日誌報警信息、蜜罐蒐集的信息）來評估網絡的安全態勢
• 從多個角度分層次描述網絡安全態勢（比如建立層次化的指標體系）

從目前來看，從單一角度提取態勢要素必然無法全面表徵態勢信息，存在一定侷限性，而從多個角度分層次描述態勢的方法則需要着重考慮各個指標因素之間的關聯性，不然會導致信息融合處理存在較大難度。

0x2：態勢理解

對態勢的理解包括人們組合、解讀、存儲和保留信息的過程。因此，態勢理解過程不僅包括認識或注意到的信息，還包括對衆多信息的整合，以及決定這些信息與單個主要對象的相關度，並根據這些信息進行推斷或推導出於對象相關的一些列結論。

通過判斷對象和事件的重要程度，理解過程最終形成結構化的態勢圖像。

此外，理解是一個動態過程，隨着態勢的不斷變化，必須將新的信息和已有的認識結合起來，綜合得出當前態勢圖像。

需要注意的是，網絡安全態勢的理解是指在獲取海量網絡安全數據信息的基礎上，通過解析信息之間的關聯性，對其進行融合，獲取宏觀的網絡安全態勢。其中，數據融合是網絡安全態勢理解的核心。

0x3：態勢預測

瞭解態勢要素的狀態並在變化的基礎上進行某種程度的預測，是態勢感知必不可少的部分。

網絡安全態勢的預測是指根據網絡安全態勢的歷史信息和當前狀態，對網絡未來一段時間的發展趨勢進行預測。

由於網絡攻擊的隨機性和不確定性，使得以此爲基礎的安全態勢變化呈現複雜的非線性過程，限制了傳統預測模型的使用。

目前，網絡安全態勢預測一般採用：

• 神經網絡
• 時間序列預測
• 基於因果的數據模型
• 模式識別