1.3.1　复杂和多变的系统拓扑结构

首先，计算机网络的庞大规模和高度复杂性给态势感知带来了巨大的挑战。形成对攻击或其他事件影响的理解，依赖于对系统及其组件的良好心智模型。然而，由于网络的规模越来越大、网络所包含的节点和分支越来越多，使形成良好心智模型这项工作在本质上就变得很困难。此外，随着在网络上添加或删除新节点、升级换代技术以及使用移动技术的人员加入和退出组织机构，此类网络可能在几天或几周内就会发生显著的变化。

在许多组织机构中，由于具有许多节点和组件的计算机网络变得非常庞大，因此要为此类网络形成并保持一个准确的图景，已经成为一个看似无法克服的挑战。与上述网络相似，由长串代码组成的软件系统通常是高度嵌套且复杂的，因此对此类代码进行细微变更所带来的影响将变得难以理解和预测。网络空间系统的规模以及动态特性，不仅使发现问题变得具有挑战性，而且还导致难以理解潜在事件对网络健康状态的影响。复杂多变的网络情况，经常会迅速超越人们为网络形成和维持准确心智模型的能力，因此在缺少有效辅助的情况下，将会对态势感知的理解和预测产生负面影响。

1.3.2　快速变化的技术

在网络空间的舞台上，技术变化非常迅速。几乎每天都会出现新的软件、计算机系统、路由器和其他组件。不仅会因为这种技术变化导致难以保持对系统拓扑结构的准确理解，而且技术变革所带来不同的新能力也会对系统漏洞和系统行为产生深刻的影响。网络架构方面的快速技术变化，严重增加了态势感知理解和预测的负担。人们需要不断地形成和维持最新的有效心智模型，才能够充分理解新的事件并做出准确且及时的预测。然而，在这方面，人们的能力非常有限。

1.3.3　高噪信比

在很多案例中，难以通过检测发现系统是否正在遭受网络攻击。这是因为在计算机网络的运行中，经常会出现异常事件。所以用户已经习惯了非正常运作的系统，有可能会误以为是正常的系统问题导致了非正常现象，因而轻易地忽略了恶意的活动（Endsley和Jones，2001）。系统故障、软件故障、维护更新、被遗忘的口令（而导致的登录错误）以及其他对“正常状态”的干扰，形成了一个嘈杂的背景，可能会掩盖真实网空攻击的特征，如图1-5所示。因此，即使是第1级态势感知（对攻击的观察）都会受到影响。

1.3.4　定时炸弹和潜伏攻击

攻击发生时间点与攻击效果显现时间点之间的间隔，也可能是相当分散的。长期潜伏的（恶意）代码可能在到达某特定时间点或发生某特定事件时被触发并发起网空攻击。这会严重影响将特定攻击的相关行为与其后果进行关联的能力。因此，在攻击效果显现之前，网空行动操作员可能在较长时间内都无法察觉到在网络中已经驻留着恶意代码。

1.3.5　快速演化的多面威胁

网空攻击的技术开发人员可以利用非常广泛的潜在攻击向量，如图1-6所示。而且攻击检测特征的数量和类型都呈指数级增长。根据一项研究估算，到2025年每年大约会出现2亿个新增的恶意代码检测特征（美国空军，2012）。这就意味着几乎不可能采用通常的学习方法和经验来理解威胁及其效应。

1.3.6　事件发展的速度

网空行动以事件检测、事件理解、决策制定和行动执行的循环方式展开，这样的循环通常称为观察-调整-决策-行动（OODA）循环。然而，网络攻击可能在不到一秒的时间内发生，这实际上让人员个体在对攻击进行观察与响应的方面变得无能为力。因此，网空行动操作员将他们的OODA循环描述为OODA点。在这种情况下，没有时间来预防攻击或对攻击做出实时响应。相反，人工活动只能更多地聚焦于取证方面，用以确定哪些组件已受到攻击，以及确定攻击对行动的影响。

1.3.7　非整合的工具

当前给网空行动造成阻碍的一个实际情况是：缺少一套能够为网络攻击的检测、理解和响应提供所需信息的整合工具。相反，网空行动操作员只能使用一套不完整的工具，虽然其中每种工具都能够提供某些有用的信息，但是这并不能够完全满足态势感知的需求（Connors等人，2010）。由此形成了一个高度人力密集的缓慢过程，在此过程中，网空行动操作员不得不去寻找所需的信息，并且只能在其头脑中将信息整合成为系统及网空攻击效果的图景。

1.3.8　数据过载和含义欠载

除了在一个非常庞大的复杂网络中对数据进行观察所遇到的负荷高度过载问题，以及在多个非整合工具中寻找所需数据遇到的挑战之外，网空行动操作员也因为在理解和预测（第2级态势感知和第3级态势感知）方面缺少支撑而面临巨大挑战（Connors等人，2010）。也就是说，一些重要的问题被抛给人员个体由其自行思考，例如，网空事件可能怎样影响当前网空行动，或者未来哪些漏洞会遭到攻击。考虑到人们形成心智模型并在头脑中完成上述评估的过程非常具有挑战性，而且留给他们的时间也非常短，因此网空行动操作员得不到有效支撑的情况，将给网空态势感知带来显著的后果。

1.3.9　自动化导致的态势感知损失

为了克服网络的复杂性、网络的快速变化以及网空行动的速度所带来的显著挑战，人们已经开发了或正在开发多种对网空攻击进行自动检测与响应的自动化辅助工具。考虑到人类认知能力和反应速度的局限性，这些自动化工具可能是支撑网空行动所必需的，但同时它们也给网空行动操作员的态势感知带来了挑战。人们已经发现，高度自动化实际上会降低态势感知的水平，因为它将操作员置于“闭环外”，使他们难以检测并理解系统的运行，以及难以在遇到处理方法尚未被编程进入自动化机制的新事件或新态势时进行有效的干涉（Endsley和Kiris，1995）。

1.3.10　对网空态势感知挑战的总结

总而言之，虽然人类的大脑擅长基于一系列复杂的认知过程，以及基于由经验学习所获得的心智模型和图式，从周遭世界推导获得态势感知，但是网空行动所处于的人造世界却给获得态势感知的过程带来了巨大压力。网络复杂性和多变性相结合形成的效果，结合上快速变化的复杂攻击向量、在毫秒级发生的事件、高噪信比，以及恶意代码导入与攻击事件显现之间缓慢的关联，都使网空行动的实时态势感知变得难以实现。因此，我们面对的问题是：缺少辅助网空行动操作员获得所需的全面信息从而弥合上述差距的整合工具，缺少对数据进行转化从而理解攻击对网空行动所造成影响以及自主动作所造成影响的机制，以及缺少支撑积极网络防御的工具。这一系列问题变得越来越重要。解决这些差距是至关重要的，因为只有这样才能形成安全运行所需的网空态势感知。 1VWuzYd8eLGwmT1UULKNy02bKE9dnNC8zFuSEMp40u6eGBNdhP0JZPnFbfGrdK2/