网络空间态势感知 序

《网络空间安全防御与态势感知》

作者前言

• 第一章：操作员怎样形成感知，关于态势感知的要求。必要性和当前面临的问题。
• 第二章：传统战争中的态势感知KSA和网空态势感知CSA的比较、相关性和差异性。
• 第三章：网空态势感知在不同阶段如何形成、各阶段涉及的角色。
• 第四章：如何形成感知，面向整体网络视图——宏观态势感知。
• 第五章：人类态势感知中信息整合技术和计算表达方面的挑战与方法。
• 第六章：怎样弥合与人类认知推理的差距——提取分析师推理过程。
• 第七章：可视化相关——科学可视化、信息可视化、可视化系统。
• 第八章：清晰的语义和标准的本体模型辅助推理。
• 第九章：机器学习算法有效性和语义清晰度的折中关系。
• 第十章：第二级态势感知——“理解”，如何评估影响。
• 第十一章：第三级态势感知——“预测”，推断演化和未来预测。
• 第十二章：对可能实现的改进进行量化评价——评估指标。
• 第十三章：最终目标——态势管理，维护任务的弹性恢复能力。

译者序

总述：网络空间安全防御与态势感知学术文章合集。建议先阅读原作者前言。

• 网空态势感知研究：精读全部内容
• 网空安全防御：精读1-3章

由几个问题引出：

为什么需要态势感知

——网空态势感知正是实现网络空间保障的先决条件

1. 网络信息技术的应用发展

   1. 早期，将 物理隔离作为最值得信赖的防御措施
   2. 信息系统较少时，“ 一刀切”，应对业余爱好者的攻击
   3. 信息系统较多时，“ 突出重点”，保护重要系统
   4. 云计算、大数据广泛应用的如今，信息系统成为不容有失的关键基础设施

2. 安全防护工作模式转变

   • 立足于更加积极的合规驱动工作模式，进一步针对关键基础设施等重要领域实现 主动有效的全方位体系化防护工作模式。

3. 网络安全防御理念演化

   • 将网络空间和传统物理空间中的威胁综合考虑—— 以威胁对抗有效性为导向的防御理念

4. 网络安全防御体系建设模式变革

   • 传统军事领域的实践具有积极借鉴作用——从基于威胁规划变为基于能力规划
   • “内网基本安全，只需查漏补缺”想法已经过时，——需要“找出来、赶出去”
   • 基础防线为动态防御提供了有力的对抗环境，屏蔽低水平攻击干扰、加强隐匿行动发现能力

5. 网络安全防御机制创新

   • 叠加演进的网络空间安全能力模型：

     • 基础结构安全
     • 纵深防御
     • 积极防御
     • 威胁情报
     • 反制能力

   • 不仅要静态，更要动态：一套有效的动态指挥控制体系

态势感知是什么

——在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态。

三个分层阶段：观察、理解、预测。——一种“知识的状态”

• 和态势评估的差别：态势评估是实现、获取或维持态势感知状态的过程。
• “态势”不只是宏观态势，也有“中观情境”
• “感知”不仅仅是观察，更侧重于运用知识获得面向响应处置的机敏能力

一些困惑

1. 应面向策略调整还是战术响应？

   ——兼顾宏观中观、结合实时采集与知识经验（中长期情报）。最终支撑短期响应和中长期战略调整。

   • 仅仅依靠宏观态势感知难以支撑有效的积极防御体系——关注中观层面

   • 应当能够支撑战术响应，可以接受处理微观数据。

     侧重于微观上的入侵检测->在中观层面对观察到信息进行组织与理解->根据中观层面的合理推测在宏观层面制定决策->执行行动对节点实体产生微观影响。

   • 要结合中长时间周期对抗威胁积累的知识经验发现高级威胁。

2. 只是为了满足整体安全状态展示吗？

   ——不仅是整体安全状态，还要具体分工确定需求，以交互方式向运维人员提供必要的信息支撑和分析能力。

   • 不仅是要处理海量数据，还要能及时处理高速源源不断产生的安全事件。——仍会有大量安全事件让安全人员分析。
   • 安全分析师仍是不可或缺的，还需要得到信息化建设与运维人员等的配合。

3. 地图+炮形式态势感知效果为何不显著？

   • 大部分人将 地理信息放入其中，称为“态势感知”，侧重于展现宏观整体安全态势、罗列部分微观信息
   • 只能回答“有或无”，无法提供攻击行动阶段和攻击者位置等信息，更不能回答影响、演化、行为等一系列问题。缺乏中观呈现能力—— 感而不知
   • 缺乏安全人员的分析和交互操作能力，无法有效指挥积极防御。—— 感而不为

如何实现态势感知

提法1——观察层：加强采集能力；理解层：可视化展示；预测层：数学模型预测。

提法2——观察层：采集+可视化；理解层：提高安全人员技术水平；预测层：人工智能深度学习。

提法3——简单态势感知：地图+炮；高级态势感知：理解+预测。

——这三个阶段不是分立的，而是相互融合的

本书观点——

1. 观察层：传感（sensing），获得微观层面感知—— 是什么
2. 理解层：结合防御目标解释数据含义，结构化中观呈现全貌图景—— 意味着什么

   • 节点视角：易受攻击的程度
   • 模式角度：攻击行为的检测特征
   • 事件关联视角：哪些事件可能相互关联
   • 事件影响视角：对当前任务运行的影响
   • 竞争性事件的优先级排序
3. 预测层：对安全事件进行前向时间推断，确定未来影响，预测下一步可能发生的情况—— 会造成什么

人工预测的问题——效果与运维人员认知状态有关

• 完全依赖人工预测具有不可持续性，可能导致低水平感知：注意力与工作记忆制约。

  1. 缺乏明显线索引导
  2. 难以发现关键关联
  3. 信息不足造成乱猜
  4. 无行动支持难以想出对抗方案

• 海量数据超越认知局限性阈值

• 过分强调可视化，造成“掌控一切”的虚假感受

怎么做？——改变依赖分析人员的低效模式，进行高效态势感知——如何高效？

如何实现高效态势感知

——威胁情报驱动态势感知以指挥积极防御的动态综合体系化网空安全防御模式。

• 大量的记忆查找转化为模式匹配
• 大量经验知识抽象为长时记忆模型

适合长时间记忆的认知结构：图式、心智模型

• 图式：过去的情境态势抽象为结构化知识，可用于模式匹配、可用于长时间存储与查找
• 心智模型：人员对系统目的和形态形成的描述、对状态的解释、对未来的预测（特定图式）

主要内容：

• 图式包含检测攻击需要匹配的模式——威胁指示器
• 心智模型用结构化形式整合组织信息帮助理解，同时包含着未来状态预测——战术、行为模式： 与业务结合
• 图式绑定的脚本包含着此情景对应的响应序列——行动方案

流程：

1. 前期准备：采集数据与事件信息并行处理—— 过滤、缩减、预处理。根据经验知识 抽取特征、进行 标签标定。——提取 涌现特性
2. 观察阶段：使用图式 信息融合机制，将元素聚合为攻击轨迹等。与图式进行匹配，匹配到的作为疑似事件。
3. 理解阶段：将疑似事件的心智模型作为框架，辅助安全人员实现信息整合组织与结构化呈现。进而理解 可能造成的影响。
4. 预测阶段：将当前情境与典型攻击模式结合， 推测出未来状态、对影响效果进行评估。
5. 最终效果：确定响应行动 优先级，开发 行动方案。

困惑

实现了全自动防御响应机制，还需要态势感知吗？

——并不是“二选一”，而是如何有机结合

• 攻击行动空间分散、时间间隔很长、可能需要某事件触发
• 正常维护行为很难与攻击区分
• 会被人类决策者、攻防博弈等干扰
• 高度对抗环境中人工智能检测机制可能被操控

结论：需要采用“人在控制闭环上”的“半自动化”防御模式，将安全操作员作为系统的组成部分。

• 误判可能性小、影响范围可控的低水平或高置信度已知攻击——受管控的自动化处置。
• 存在不确定性的中等水平威胁——安全人员参与甄别鉴定，自动化执行前进行确认放行。
• 高水平威胁——基于线索展开深入甄别分析，对响应方案进行优化调整，将自动与手工相结合。

如何围绕网空防御人员实现态势感知

——还需要建立高阶决策所需的心理模型，加强人机结合

• 加强整合现有设备、利用各种分析工具、对流量和日志进行过滤等预处理。对可视化机制进行改进增强。

• “人员与自主系统协同组队”，系统和人员高度共享。运用高级显示和推荐系统、呈现过往细节的知识结构、提供一系列未来可能的情境态势选项。

  • 系统侧：

    1. 采用具有形式化语义的可读语言对事件与关联进行建模，使用类似图结构将结果组织起来；
    2. 采用“杀伤链”情境本体模型对事件进行结构化组织，使用心智模型将其与攻击行动等经验结合；
    3. 根据推理机制进行预测、使用融合知识表达模型呈现情境态势。

  • 人员侧：实现“二阶”态势感知。

    1. 培训安全人员形成长期记忆认知结构、学习如何使用信息可视化和数据钻取等交互方法进行分析、并在呈现信息的引导下进行理解预测。
    2. 在系统支持下制定决策，通过界面向系统传达处置指令。

支持实现态势感知的系统形态

• 涉及方方面面，全都要兼顾考虑
• 越来越多的网络安全技术与围绕态势感知的积极防御体系关系密切
• 几乎 不可能以一个单体系统达到。——引入 复杂超系统理念（system of systems）
• 以系统工程方法，体系化设计以态势感知为中心、以威胁情报驱动的积极防御体系

推荐序

迄今为止业界最完整最系统的基础理论文献

业界更多涉及态势感知能力建设的场景：

• 机构客户建立防御体系
• 监管部门建设监测通报
• 安全厂商工资体系的自我完善

对手的变化

单点威胁->高级网空威胁行为体

• 不再是对上网体验和互联网效率的影响，而是对关键基础设施和重要信息系统的控制、干扰、窃取、破坏。
• 以大国博弈为背景，高成本支撑下的体系化攻击。

敌已在内，敌将在内。网空防御五条规则：

1. 敌方终将进入我方内网
2. 网络防御者不能改变规则1
3. 敌方已经进入我方内网
4. 攻击将继续进行
5. 情况会越来越糟

威胁行为体等级：

业余黑客、黑产组织、网络犯罪团伙、网络恐怖组织、一般能力国家、高级能力国家、超高能力国家。

视角的变化

从自我闭环到走向客户，实现与攻击者的闭环

• 定向性的安全威胁在攻击目标场景上具有个性化特点
• 依靠同一厂商维护分发、自我闭环，难以应对定向性威胁
• “片面抗战”到“全面抗战”，充分依赖客户本身的主观能动性
• 客户的信息资产并不仅仅是攻击目标和防护对象，更是进行布防的战略纵深

思路的变化

从监测平台到战术型态势感知平台

• 监测型：需求调研、工程实施+情报赋能、定制改造、接口融合、流程电子化、可视化展示

  • 目标主要是提升资产普查能力，对安全威胁进行监测

  • 实际情境中，更多的是互联网侧暴露资产的安全情况，效果并不理想。

    原因：

    1. 承担方技术能力不足
    2. 缺少有效的总体规划和能力整合
    3. 感知手段高度单一
    4. 对威胁的评价导向，认为阻止了某几种可被建模的威胁就具备了基础检测能力——不适合APT
    5. 预测倾向于判断“攻击何时发起”，忽视了如何运行和对未来状态的影响
    6. “地图+炮”的模式
    7. 采集手段初级，仅限于互联网暴露资产，关键基础设施内部探针较少

• 态势感知：“三高”网络作为重点保护对象

  1. 承载高信息价值资产
  2. 被规定为高安全防护等级
  3. 受到常态化高强度网络威胁攻击

效果的变化

从单点防护能力到动态综合防御能力

• 靠堆砌产品不能形成有效的防御体系
• “ 网络安全滑动标尺模型”：五大类别具有连续性关系，左边为右边提供基础支撑、降低实施难度、提升防御效果、减少资源投入

  1. 基础结构安全
  2. 纵深防御
  3. 态势感知和积极防御
  4. 威胁情报
  5. 反制

要注意的问题：

1. 辨识网络安全领域各种观念

   两种错误倾向：

   • 片面夸大单点防护的作用
   • 片面否定既有成熟单点环节的价值

2. 意识到叠加演进的安全能力建设，以扎实基础可靠的单点基础安全能力为支撑

3. 站在防御体系的角度，多数单点环节形成有效能力同样是体系化的工作

安天的安全理念：

• 综合发展
• 深度结合
• 全面覆盖
• 动态协同