【读书笔记】网空态势感知理论与模型（十）

网络安全的认知科学：一个推进社会-网络系统研究的框架

1.引言

网空安全理念、策略和操作的核心是对抗性的规则，对于攻击方来说，这个规则会推动一个威胁去夺取重要数据或文件的所有权。

2. 网空安全作为一个跨学科的超系统，其中的转化性工作既可以是本地的，又可以是分布式的。网络安全是以人员为中心的，需要“人在环中”式的处理过程，基于变化的上下文环境驱动，必须通过基于问题的学习法来处理和解决。

网络安全是一个具有挑战性的问题，包含多个层次的复杂性，会以许多不同的形式出现并快速演变。网络安全问题空间内的活动可以视为是非粒度且非线性的，该问题空间包含虚拟的非物理空间和物理的网空安全元素，通常都通过人类的认知与动作联系在一起。

将网空安全概念化为分布式认知

对认知的要求不仅仅是分析式的，还包括归纳的能力、学习网空世界中所形成模式的深层元素的能力、创造和直觉理解的能力，以及辨别欺骗何时发生的能力。

感知的含义：

社会-网络系统中存在多个种类的感知，跨越时间与空间涌现来，以不同的方式向人类和代理展现，并分布于认知中。将这个细分领域称为网空分布式认知。以下要素是研究重点：

（1）网空运行中的机会型问题解决

（2）关于威胁的元认知反思：关于如何思考的思考，被称为元认知活动。

        导致无意识的状态，主要原因包括：

       1）没有注意环境中的主要和次要线索，缺乏由识别启动的决策指定；

       2）经历了信息过载，其中焦点被零星分散；

       3）压力或情感水平导致神经器官停止运作；

       4）要求非常快速反应的时间压力。  

       当以上两个原因同时组合出现时，分析人员可能会陷入被称为认知细节碎片化的状态。

      如果在某个实时事件期间发生这种情况，那么各种失误、错误甚至失败都可能出现。

（3）在上下文环境中对知识的学习和自发性访问。

   问题空间框架构建-实况实验室框架LLF的应用：

       通过理解复杂操作过程中涌现的已工作者或团队为中心的问题，来探索现实世界上下文环境。这是一种反映生态-语境主义世界观的方法。

       这些任务彼此之间是整体地互动和迭代，因为我们认为网空态势感知是一种沉浸式且不断演化的形式，这种状态是从环境的认知中提取出来的。所以我们的任务指向了对随着网空分布式认知逐步展现的感知的不同思考方法。

       这个框架可以使能一种基于问题的学习方法，该方法用于以人为中心的网空态势感知，可通过各种方法使问题成为焦点。

       在这个框架中，有4个要素之间的相互作用来描述：

      1)人种志方法（ethnography，新奇的说法，首次听说）

      2)知识抽取、

     3)按比例缩小的世界模拟（比例世界）

     4)可配置的原型。

     LLF的核心是理论-问题-实践的耦合，以及他们从可以提供更多数据-信息-知识的4个要素组件的反馈中获得信息的方法。

       融入问题空间-分布式认知工作：

      网空安全被视为分布式认知工作、工具和技术被用于支持认知工作以提高工作表现（消除问题、增强能力、移除限制、调整响应）。

      1）遇到的典型问题：

     a.时间和空间中不断变化的背景；

     b.信息过载；

     c.信息相互依存；

     d.共同基础薄弱；

     e.理解不确定性；

     f.文化-本体性冲突；

     g.可视性被削弱；

     h.当下的态势感知在压力中消失。

    2）可能导致的后果

     a.信息表达和共享不足；

     b.决策质量低下；

     c.执行混乱和失败。

3. 定性研究：知识抽取-人种志方法研究的数据

    网空安全方面的研究调整之一，是与专家的接触渠道问题。由于网空安全运行中工作都保密，无法获知。    

    目前网空安全存在以下问题
    (1) 包含一些隐藏的威胁。

  （2）发生与存在大量上下文切换的概念环境。

  （3）强调位置和空间认知。

  （4）发生网空攻击的位置的表征，尤其是在有时间约束的情况下，存在困难

  （5）从可被翻译（数据-信息-传感器的翻译）为语义描述的位置-时间-空间表征中追踪问题-情境的组合；

   （6）通常存在预设的协作推理和直觉推理，与态势感知相关的人员和机器工具可能会最有用的；

   （7）数据并不是越多越有用，因为可能产生过载并对理解造成混淆。

   （8）工具不是很好用，并不一定能够达到预期效果。

   （9）过多地理解和处理更多信息可能导致精神疲劳和透支。

   （10）经常存在孤立情况，即不存在共识，导致无法以有效的方式解决问题。

      选择使用“概念图”作为一种灵活的轻量级的认知模型，由对访谈进步编码的相同研究人员，通过利用访谈的原始文本和编码表结果产生的出现频率，来协作制定该概念图，并且为产出一个整合的认知叠加模型制定整体计划。 

4.定量研究：模拟、设计原型和试验

  在最基础层面上，比例世界被设计用于反映实践中存在的广泛问题空间，并将其缩小为在实验中可驾驭的模拟仿真，并能够根据实验目标来进行控制和操控。使得模拟实验既能够代表网空运行环境中的许多要素，又能够适用于测试和评估目的。

模拟仿真具有内奸的依赖测量机制，就是根据个体或团队所解决发生在模拟中的情景-事件总数，以根据它们被解决的程度或水平，对工作表现接近最优水平的程度进行累积。

模拟设计提供了对实际试验的实现，其中会操控试验的自变量以观察对因变量的影响效果。同时，模拟也要管理必要的控制变量。

比例世界模型可以测试从待检验理论中得出的给定假设，但也可以测试新技术的不同状态，从而作为整体研究的一部分，以了解新技术如何与其他试验变量相互作用。其中，比例世界、试验和技术原型紧密耦合在一起，用于对代表现实世界问题详述的领域内的观点和概念进行评估。

4.1 已开发的特定网空模型

通过4个特定的模拟器实现目标：

CyberCITIES：任务聚焦于识别和利用网空安全中围绕访问控制的信息。LLF最适合在进行纵向模拟时实施。

teamNets：模拟网空环境中的协作式问题解决任务。

idsNETS：使用入侵检测数据来实施，以模拟入侵检测分析人员的角色。

NETS-DART：模拟来探索工作负荷预览对双任务网空安全事件检测上下文环境中的工作表现的影响。模拟提供一个双任务环境。主要任务和次要任务代表着机构组织中的内部网络和外部网络。向所有参与者呈现两种类型的场景：常规场景和激增场景。激增场景包括次要任务的世界，这些事件随着威胁级别提高而增长并超过并发的主要任务的事件。

4.2 CYNETS模拟器概念验证

4.3 创新的原型技术

（1）视觉分析测试平台。该工具扩展了提供网络类型显示的典型概念（如在地理地图的显示上叠加计算机网络拓扑图、网络“流量”显示、攻击地图、连接图等），以联系至基于文本的数据（如网空-网络传感器数据，以及关于网空攻击活动的报告）与社交网络信息（表明潜在的威胁犯罪者）、时间轴信息以及持续由分析人员产生和维护的假设和说明。其目的是探索网空分析人员如何进行态势评估、可类比于分析人员对传统非网空军事行动进行态势分析的概念。

（2）复杂事件处理（CEP）

除了可视化辅助工具之外，探索用于检测网空世界和活动的自动化工具。针对为涌现活动或事件提供证据的条件、可观察对象和上下文信息，该概念涉及为其开发一种显式和隐式的表征。除了CEP方法之外，还探索将网空数据转换为声音以改善分析人员的使用界面。