下载掌阅APP,畅读海量书库
立即打开
本书是一部关于网络空间安全防御与态势感知的专题学术文章合集,覆盖了网空态势感知研究方面的各个理论要点,并提供了大量面向实践的实验数据和经验教训资料,对从事网空态势感知研究与开发工作的读者具有非常重要的指导作用,而且对广大网络安全从业人员也有较大的参考价值。在本书的前言中,对所涉及各个理论方面的主要内容和贡献价值做了非常清晰的概括,建议读者在阅读正文之前先通过前言从整体上了解本书的内容结构和各章节间的相互关系。对于从事网空态势感知研究的读者,建议带着在工作中遇到的问题,全面阅读各个章节;对于从事网空安全防御工作并希望了解网空态势感知的读者,则建议至少深入阅读第1章以理解态势感知的基本概念,深入阅读第2章以军事进攻与防御视角了解网空态势感知,并且深入阅读第3章以了解围绕着网空安全防御过程有哪些主要角色职责、各自对应的态势感知需求及其所需要的支撑工具。
译者在十余年中致力于从事网络安全防御相关工作,并由于参与相关项目,从2013年开始重点关注网络空间态势感知这一热点领域。在参与本书翻译工作的过程中,深刻感受到与我国的网络空间态势感知研究与实践现状相比,国际上在这一相对“年轻”的学术应用领域的相关工作已达到较高水平;因此,也感受到迫切需要将国际上的网空态势感知研究成果和先进理念应用到我国的网络空间防御工作实践中,从而在日益严峻的网络空间威胁环境中为网络强国建设提供安全保障。因此,译者希望通过撰写本序言,以若干个在开展网络空间防御工作中遇到的与网空态势感知相关的问题或困惑为引子,结合我们的网络安全基础条件和实践工作现状,阐述对本书中的一些重要学术观点和研究成果的理解,从而在一定程度上帮助读者消化吸收书中的知识,并为推动实践应用提供一些启发。
这是一个需要以网络空间发展的视角,从信息网络技术应用发展、安全防护工作模式转变、网络安全防御理念演化、网络安全防御体系建设模式变革与网络安全防御机制创新等多个方面加以考虑才能回答的根本性基础问题。
在信息化发展初期,信息技术以“办公自动化辅助手工操作”的原始模式为主,当时信息安全被认为是与信息化建设运维相互独立甚至略有矛盾的“边缘化”工作,而且在工作模式上以小范围研究为主,甚至很多时候工作资源运用侧重于攻击利用研究而不是防御保障方向。在这种信息交流较贫乏的情况下,信息安全防御的理念主要围绕着如何对网络和信息系统进行隔离,试图通过避免接触来保持系统的安全运行,并相应地将当时尚具有可行性的物理隔离作为最值得信赖的防御措施。在此情况下,态势感知与早期信息安全防护工作几乎不存在交集。
随后出现了信息化与网络化大规模建设与发展的阶段,广大企业开始依托网络与系统开展管理经营等工作,互联网也开始进入社会生活。此时,信息安全工作逐步被作为信息化工作的有益补充,并出现了一系列的信息安全标准与法律法规,以强制合规的方式推动了基础的信息安全保障体系建设工作。为了支撑业务管理与经营,网络信息系统间出现了频繁的信息交互,导致物理隔离机制逐渐变得难以奏效,随之出现了在网络和信息系统数量依然较少时尚能有效得到落实配置与漏洞管理的“一刀切式”信息安全防护理念,用于应对尚属于探索性的少量业余爱好式攻击行为。之后,随着大量网络与信息系统投入运行,为了确保对有限安全防御资源的有效利用,发展出的信息安全风险管理模式则强调“突出重点”的防御理念,优先保护那些有直接业务价值的信息系统和数据资产,防止其被当时水平有所提升但依然以非定向模式为主的攻击行动影响。从当前网络安全认知的视角回顾来看,当时信息安全防护工作主要表现为“被动合规”模式,“平衡风险、适度安全”的信息安全防御理念也偏重于“主观判断”。相应地,当时出现了将态势感知运用在网络空间中的早期研究尝试,但是并未在信息安全保障体系中发挥出必不可少的作用。
随着互联网技术应用的飞速发展,信息化程度得到了巨大的提高,特别是在移动互联网、云计算与大数据等新技术得以普遍落实运用的驱动下,迅速进入了网络化信息技术全面渗透社会运行、业务运营和日常生活的各个方面且已经密不可分的网络空间时代,并通过物联网建设和数字化转型发展实现了网络化信息技术与数字化生产制造技术的深度融合。由于日常工作与生活对网络化信息技术的依赖程度日益提升,网络与信息系统的地位也变得越来越重要,其中部分支撑社会运行的网络与信息系统已经被列为不容有失的关键信息基础设施。
因此,在高度依赖网络信息技术的网络空间时代,保障网络和信息系统可靠运行的安全防御工作已经变得不可或缺,甚至达到了与国家安全和国家利益密不可分的程度。网络空间的安全防护应当立足于更加积极的合规驱动工作模式,并进一步针对关键信息基础等重要领域实现主动有效的全方位体系化防护工作模式。
相应地,在网络空间时代,随着安全防护工作模式的转变,安全防御理念也出现了重大变化。正如本书第1章所述,网络空间时代的关键信息系统和重要数据资源,已经成为包括国家级行为体在内的各种网空威胁行为体所觊觎的目标。而且,网络空间中的网络威胁往往非常复杂,存在着从业余爱好者到高度组织化高水平实体的多层级网空威胁行为体。其中,那些具有中高能力水平且组织严密的网空威胁行为体,开始广泛利用网络空间开展意图明确的攻击性行动。因此,在安全防御方面不得不将网络空间与传统物理空间中的安全威胁综合起来统一考虑,从而进一步发展出以威胁对抗有效性为导向的网络空间安全防御理念,要求必须根据网络与信息系统的国家安全、社会安全和业务安全属性,客观判断必须有效对抗哪些层级的网络空间威胁,并据此驱动网络空间安全防御需求。
正如本书第11章所强调的,针对政企网络展开的网空攻击已经进入了新的时代,威胁行为体在网络空间展开了大量的侦察刺探、攻击利用和混淆隐匿行动,不仅以潜伏隐藏与数据窃取为目的的网空间谍行为达到了几乎无孔不入的程度,相应的网络战争的可能性也在日益增加。为了在网络空间时代对抗目标意志坚定的高水平网空威胁行为体,为了应对日益严峻的网络空间风险与威胁形势,为了切实保障好支撑网络空间良好运行的网络系统和信息资产,需要探索更加积极主动的网络空间安全防御模式,从而做到像本书所描述的那样,由安全分析与防御专业团队在网络空间中与各种威胁行为体展开积极的“隔空对决”。根据本书第2章所提出的观点,传统军事领域的很多实践对网络空间中的威胁对抗及安全防御具有重要借鉴作用。正如美国国防部2001年《四年防务评估报告》(U.S.Department of Defense 2001)中所提出的,随着冷战结束,国际形势日益复杂化,已经很难清晰地识别出所有的敌对威胁行为体,因此需要从基于威胁的规划模式转为基于能力的规划模式,更聚焦于敌对方可能采用的进攻方式,识别出为了达到威慑和击败敌人所需要的军事能力,同时关注随着科技发展而出现的潜在能力领域,并据此通过分析过程形成指导性的军事需求。借鉴国防军事领域的实践经验,需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式,演化为全面建设必要的网络安全防御能力,并将其有机结合以形成网络空间安全综合防御体系的能力导向建设模式。
在美国网络安全研究机构SANS所提出的“滑动标尺”模型(Lee R.M.,2015)的基础上,国内多家能力型厂商在取得共识后进行了延伸拓展,进一步提出了叠加演进的网络空间安全能力模型。该模型将网空安全能力分五大类别,其中基础结构安全、纵深防御、积极防御、威胁情报四大类别的能力都是完善的网络安全防御体系所必需的,而反制能力则应当由国家级网空安全防御体系提供。其中基础结构安全类别的能力,来自于在信息化环境的基础设施结构组件以及上层应用系统中所实现的安全机制,兼具安全防护和系统保障的双重意义,主要作用是有效收缩信息化环境中基础设施所存在的攻击面。纵深防御类别的安全能力,来自于附加在网络、系统、桌面使用环境等信息技术基础设施结构之上综合的体系化安全机制,以“面向失效的设计”为基本原则构建防御纵深,通过逐层收缩攻击面以有效消耗进攻者资源,从而实现将中低水平的攻击者拒之门外的防御作用。积极防御类别的安全能力,则如本书第1章所述,通过动态的体系化安全机制,实现对网空威胁行为体的侦测识别,并对所发现的网空攻击做出动态的自发响应,通过重新配置、恢复和重建等弹性恢复保障措施使任务关键系统能够持续正常运作,并随着技术发展引入事中阻断、猎杀清除和操控反制等针对威胁展开对抗的积极防御响应措施,从而达到本书第13章所提出的目标:即使在支撑工作任务的网络系统遭受网空攻击并被攻击控制的情况下,依然能够保持工作任务持续进行,并及时恢复到可接受的工作任务保障水平。在这一系列类型的网络安全防御能力的支撑下,通过实战化的网络安全防御运行,能够达到本书第3章中对全面完善的网空安全防御过程所提出的要求。
从叠加演进的视角来看待网络安全防御能力体系,基础结构安全与纵深防御能力具有与网络信息基础设施“深度结合、全面覆盖”的综合防御特点,而积极防御与威胁情报能力则具有强调“掌握敌情、协同响应”的动态防御特点,并且这些能力之间存在辩证的相互依赖关系与促进作用。
一方面,正如本书第1章所指出的,需要充分理解网络空间运行的技术与管理复杂性,以及由于复杂性而产生的不可回避的管理脆弱点和技术漏洞,并客观认识到这些问题将给网空威胁行为体提供突破已有防御机制的入口。况且,本书第2章指出,由于行动匿名性、攻击针对性、攻击自由度、人性弱点可利用性和取证困难等方面的特点,与网空防御者相比,网空威胁行为体具有较为明显的优势。事实上,正如为美国政府、军方和情报机关提供极高水平网络安全防御的美国国家安全局(NSA)下属信息保障局(IAD,以下简称NSA IAD)在相关专题论文(Willard,2015)中所指出的,即使他们在网空防御方面做出了巨大的努力,但是依然认为在工作中必须假定“敌人终将成功入侵”,并据此确立“敌已在内”的基本敌情想定。也就是说,那些具有高技术能力的威胁行为体,客观上可能采用各种手段来利用所有能够找到的脆弱点和漏洞,从而突破由偏静态的综合防御能力所构成的防线,进入我方网络环境持久潜伏并伺机展开行动。需要注意到,“内网基本安全,只需查漏补缺”的传统安全假设与实际情况在客观上已存在较大偏差;并应当意识到,在此假设上形成的零散式“漏洞扫描+修补整改”工作机制也已经难以应对眼前高度复杂的威胁环境。因此,有必要借鉴本书第13章所提出的理念,在敌情想定的基础上提升网络系统的可弹性恢复水平,特别是依靠具有动态特性的积极防御能力,在威胁情报能力的驱动下,通过全面持续监控发现威胁踪迹,并针对潜伏威胁展开“猎杀”(hunting)行动,从而做到对突防威胁的“找出来”和“赶出去”。
另一方面,也必须客观认识到叠加演进网络安全防御能力体系中各类能力之间存在着不可割裂的依赖关系。具有综合防御特性的能力虽然偏静态,但是在整个防御体系中起到了消耗进攻者资源的作用,不仅能够有效抵御大量中低能力水平威胁行为体的进攻行动,而且也能够对高能力水平威胁行为体的攻击行动起到压制作用,特别是可以收缩攻击面以降低攻击行动的自由度和隐匿性。因此,综合防御能力所构建的基础防线,能够为动态防御能力提供有利的威胁对抗环境,既能够有效防止由于低水平攻击行动泛滥的干扰而无从发现的潜伏的高能力水平威胁行为体,还能够有效利用实现综合防御能力的各种机制措施产生的大量安全信息,加强对高隐匿性攻击行动的发现能力。
综合来看,为了做好网络空间时代的安全防御工作,不仅需要通过完善并强化已有的静态防御机制实现兼顾结合面与覆盖面的综合防御能力体系,还必须加快建设动态防御能力体系,其中的关键正是针对网络空间时代的高水平复杂威胁行为体展开协同响应对抗的积极防御能力。要实现积极防御能力,不仅需要配备针对攻击行动进行响应对抗的装备系统和处置流程,更重要是必须为积极防御建立一套有效的动态指挥控制体系,从而保障响应行动的及时性、准确性、全面性和有效性。
正如本书第1章所总结,通过实现网空态势感知,能够高效地综合分析各种网空安全相关数据和威胁情报,对不断演化的网空威胁做出识别、理解和预见,在掌握整体安全情况的同时定向发现潜伏的安全威胁,并提供清晰明确的响应决策信息支撑,从而有效指挥对威胁行为体开展协同响应对抗行动,做到及时抵御攻击、进行恢复甚至实施反制。第1章中引用了美国空军的调研结果,认为“网空态势感知正是实现网络空间保障的先决条件”,突出强调了网空态势感知的重要性。而且NSA IAD的相关论文(Herring等人,2014),也明确指出了在高效快速对抗高水平威胁的网空积极防御体系(Active Cyber Defense,ACD)中,分布式共享态势感知具有决定性的重要作用。
因此,网络空间时代需要动态综合的网空安全防御能力体系,其中针对威胁行为体的攻击行动展开协同响应与处置的积极防御能力具有不可或缺的关键作用,而运用威胁情报驱动高效积极防御的动态指挥控制机制依赖于网空态势感知。
按照本书第1章作者Mica R.Endsley于1995年(Endsley 1995)所提出的最为广泛使用的态势感知定义:态势感知是“在一定时间和空间内观察环境中的元素,理解这些元素的意义并预测这些元素在不久的将来的状态”。基于这一定义,态势感知由三个分层级的阶段所组成——观察、理解和预测,而且其输出将被直接馈送至决策和行动的周期中。在此基础定义的基础上,为了深入探讨如何在高度动态的系统环境中通过态势感知支持高效的决策制定与行动执行,Endsley进一步明确了相关术语的定义,提出态势感知应当被作为一种“知识的状态”,而“实现、获取或维持态势感知状态的过程”则应被称为态势评估,并且强调应当对这两个概念加以区分。
尝试从网络空间安全防御工作视角加以理解,需要将积极防御中各种与指挥控制相关的工作结合至态势感知概念定义的三个层级阶段,按照本书第1章中描述的态势感知动态决策模型来实现网络空间态势评估过程,确定对各类型网络空间动态环境信息的输入需求,接收持续监测网络和系统所采集的网空数据和安全事件信息,结合关于工作任务目标、网络与系统架构、威胁情报乃至国际关系与地缘政治环境等的上下文信息,理解潜伏威胁的攻击行动、当前影响节点范围与可带来的网空效应,进而对下一步攻击行动、未来影响节点范围与可能造成后果等方面做出合理推测和预估,并通过对备选行动方案进行对比评价以确定行动计划,进而有效指挥针对威胁的积极防御响应处置行动。
值得注意的是,在对网络空间中态势感知概念的理解上,有时候存在一些不甚清晰的情况。其中,“态势”经常因为常用语境而被片面理解为“宏观态势”,但实际上还必须包含“中观情境”,才能够有效支撑决策制定和响应处置;另一方面,“感知”也经常被理解成为“感官观察”,进而在网络空间领域被理解为数据采集和可视化呈现,但实际上正如本书第8章所引述的韦伯斯特词典定义,“感知是指人们在观察中的警惕性,以及对所经历事物展开推导所得到的机敏性”,其内涵超越了简单的观察,并且更强调通过运用知识而获得面向响应处置的机敏能力。
在实现网空态势感知的网络空间安全防御工作实践中,经常会将态势感知理解为对“宏观态势”的“把握掌控”。对应地,就出现了一个令人困惑的情况,因为如果网空态势侧重于对宏观态势的掌控,其输出的决策支持信息将主要被用于引导对安全策略的优化调整,虽然这种“宏观”模式与基于PDCA(Plan-Do-Check-Adjust,计划-执行-检查-调整)循环的信息安全风险管理生命周期相比具有更高的主动性和动态性,但是在攻防对抗的时间周期上仍然无法适应高速多变的攻击行动,而且在调整范围上也只能局限于较粗的粒度。简而言之,正如本书第4章所提出的,这种面向策略调整的网空态势感知确实具有一定的网空防御作用,但是仅依靠这种宏观态势感知也确实难以支撑有效的积极防御体系。本书第3章中明确提出,必须围绕当前态势关于是否存在攻击行动、攻击行动的当前阶段和攻击者位置等方面回答一系列基础问题,这说明态势感知还应当面向在宏观层面之下但又高于微观细节的“中观层面”。
事实上,正如本书第1章所指出的,网空攻击行动可能在不到一秒的时间内发生。同时,如本书第3章所指出的,为了有效抵御快速发生的网空攻击行动,不仅需要阻止攻击者入侵导致的网络系统初始“沦陷”,还必须能够发现已被入侵控制的计算机,并采取响应措施预防或阻断攻击者的后续行动。因此,网络空间中的积极防御行动更应采用源自于美国空军飞行员作战训练的OODA(Observe-Orient-Decide-Act,观察-调整-决策-行动)循环,快速针对网空安全事件展开事件检测、事件理解、决策制定和行动执行,从而实现抵御攻击、进行恢复甚至实施反制的积极防御目标。因此,正如NSA IAD在相关专题论文(Herring等人,2014)中论述的网空积极防御体系,网空态势感知应当能够支撑战术响应,而且应当能够接受与处理所采集的微观层面数据,以及侧重于微观层面的入侵检测事件信息,进行观察并在中观层对所观察信息进行组织与理解,进而根据在中观层面的合理推测来制定决策,然后通过执行响应行动对网空环境中的节点实体产生微观层面的安全影响。
进一步从与高水平威胁的对抗角度来看,由于网空攻击发生速度极快,对高水平威胁行为体长期潜伏后某一次快速发生的突然进攻做到事前或事中阻断可能非常困难。因此,需要结合在中长时间周期中对抗威胁进攻行动所积累的经验知识,根据所监测到的突发事件信息,采用网空态势感知发现潜伏的高级威胁并确定其影响节点范围,指挥对所暴露威胁展开猎杀清除等响应行动,并通过向积极防御体系中的具有实时监控响应能力的设备或系统下发威胁对抗策略,实现对越来越多的“已知”攻击行动展开实时阻断。
综合来看,网空态势感知需要兼顾宏观与中观两个层面,需要将实时的监测采集数据与中长期的情报、经验和知识积累结合在一起,支撑实现短期的响应行动与中长期的策略调整工作。
近些年我国在网空态势感知方面取得了较多的成果,建成了许多与态势感知具有一定关系的网空防御平台。但是,一个实践中的困惑也随之而来:现在这种以整体安全状态展示为主的模式,代表了态势感知所必须满足的主要需求吗?
首先,我们必须客观地认识到,与忽视采集分析安全监测数据且不主动掌握安全状况的早期网络安全运行模式相比较,通过建设与态势感知相关的系统平台,加强对安全数据的统计汇总和对安全状况信息的主动展示,确实具有较大的积极意义,并且也确实能够揭示一些中长期存在的安全问题,并推动展开优化调整安全策略等解决措施。
然而,正如本书第13章所指出的,网空态势感知的最终目标是对情境态势进行有效管理,需要不断地针对攻击行动做出积极防御的响应对抗,及时调整网络及其所支撑的工作任务,实现以工作任务为中心的可弹性恢复网空防御能力,从而达成业务运营保障和业务风险控制的目标。又如前文所探讨的,网空态势感知作为网络安全积极防御体系所依赖的动态指挥控制机制,必须能够有效支撑中观层面的战术响应行动,因此就需要对经过聚合的系列安全事件进行中观层面的结构化呈现,需要向网空防御人员提供备选的积极防御响应行动方案,并基于比对和评价对抗措施以提出行动建议。正如本书中多个章节所强调的,网络空间安全防御不仅面临海量数据规模的严峻挑战,还必须能够及时处理以极高速度源源不断产生的各种安全相关事件信息,因而即使经过态势感知相关机制的聚合汇总后,依然会有大量疑似安全事件需要由网空安全防御人员进行甄别分析,从而制定准确的决策并展开有效的响应处理行动。因此,围绕着网空态势感知的积极防御工作,必须由参与网空防御的各个角色人员协同完成,通过“分片包干”以覆盖规模日益增长的信息化环境,通过“专业分工”以确保提供充足的经验与能力来对抗高水平威胁。类似地,本书第3章通过对网空防御过程的分析,提出了安全分析师等一系列必不可少的网空安全防御角色。况且,为了保证响应行动的有效性并降低潜在的负面影响,还应当得到信息化建设与运维人员的协同配合。如本书所强调的,必须在组织机构的网空安全防御总体使命与愿景的驱动下,对涉及积极防御的各个角色的当前工作职责做出适应调整,根据态势感知和协同响应的工作特点确定各个角色的高阶目标,并采用目标导向任务分析(GDTA)方法来列出各个角色所需要做出的主要决策,进而详细描述为了支持每个决策而在态势感知三个层级所应当满足的需求。针对网空防御行动中每个参与人员的独特岗位,根据上述态势感知需求,确定需要向其提供哪些基本数据,以及确定相关系统需要以何种方式对信息进行整合,进而定制面向不同角色的网络空间通用作战态势图。
综合来看,积极防御中的态势感知,不能止步于向网空安全防御人员展示整体安全状态信息,而是需要根据具体工作目标和工作任务确定多种角色的不同态势感知需求,并以交互方式向承担各个岗位的网空安全防御人员乃至信息化建设运维人员提供必要的信息支撑和分析能力。
在最近几年的网络安全建设发展过程中,逐渐出现了一种趋同的实现模式,许多与网空态势感知相关的平台都将叠加在地图上的安全告警地理信息、安全告警分类聚合统计和最近发生安全告警清单作为主要的展示信息,而且越来越多的用户和厂商都开始将这种信息展示形式理解为“态势感知”。可能是为了加强安全告警的形象化展示效果,大多数厂商都采用了绚丽的“炮击”视觉效果,在地图上呈现安全告警所代表的疑似攻击行为的发生方向,因此被业界戏称为“地图+炮”形式的“态势感知”。
从运行效果来看,通过这种生动的安全告警可视化展现方式,确实能够向安全防御人员揭示当前网络安全状况的严峻程度,从而打破以往因为看不到而盲目自信的被动局面,进而促使各级企业机构启动对网络安全防御体系的完善工作。然而,随着这些平台上线运行时间周期的延伸,也有越来越多的网络安全从业人员对其效果提出了疑问。
实际上,目前的这种趋同模式,主要侧重于展现宏观的整体安全状态,并罗列部分微观的安全事件信息。根据本书第3章,这种模式只能回答关于当前态势的“有没有正在进行的攻击”这一问题,而无法提供关于攻击行动阶段和攻击者位置的信息,更难以回答关于影响、演化、行为、取证、预测和信息源评价的一系列问题。事实上,由于缺乏在中观层面对安全信息进行结构化组织与聚合呈现的能力,所以难以支持网空安全分析人员对威胁行为体的攻击行动做出有效理解,实际上是“感而不知”;而且,由于缺乏网空分析人员对疑似安全事件进行甄别核实所需的交互分析能力,以及网空安全防御人员制定决策并开展响应行动所需的交互操作能力,所以难以有效满足各种网空安全防御角色的态势感知需求,更无法有效指挥积极防御工作,实际上是“感而不为”。
总体来看,确实迫切需要完善当前的网空态势感知实现模式,强化态势感知对各种网空防御人员角色的支撑能力。值得注意的是,本书的各章节中阐述的主要观点和研究成果,对开展网空安全防御体系中的态势感知发展创新工作,能够起到重要的参考借鉴作用。
那么,应当采用何种方式在网络空间安全防御工作中达到态势感知这种状态呢?根据书中的态势感知定义,最直接的回答可能是:“加强网络安全数据和日志信息采集以实现态势感知的观察层,通过可视化展现让安全分析师掌握网空态势以实现态势感知的理解层,并采用各种数学模型测算未来的发展状态以实现态势感知的预测层。”值得注意的是,我国网络安全行业在近些年还出现了一种很常见的提法,认为态势感知可以逐层分阶段实施,例如,可以优先做数据采集与可视化实现第一层“观察式的态势感知”,然后等待网空安全分析人员水平提高后再着手实施第二层“理解式的态势感知”,接着等待人工智能/深度学习等技术成熟后才尝试第三层“预测式的态势感知”。更有甚者,会因为“perception”(观察)一词具有“感知”的中文译法,认为类似“地图+炮”形式的安全数据采集与可视化模式,就属于一套完整的“简单态势感知”,而“理解”与“预测”则属于所谓“高级态势感知”的范畴。
事实上,在本书第1章描述的态势感知模型中,实现态势感知的过程包含观察、理解和预测三个阶段,虽然从认知过程发展的角度来看也对应着三个层级,但并不意味着这三个层级可以割裂开来分别实现,更不能将其视为三套不同水平的“完整态势感知”体系。此外,必须清楚认识到,态势感知的目的是支持决策制定和行动执行,如果止步于观察或理解阶段的态势感知相关过程,则仅能达到“感而不为”或“知而不为”的残缺效果。正如本书第5章所明确指出的,态势感知本身并不是最终目的,而只是在快速演变复杂环境中用于支持明智决策的手段,因此也是通过做出准确的积极防御决策以有效对抗威胁的先决条件。
根据本书所描述的态势感知模型,在第一级态势感知(观察阶段)需要对其所关注网络和系统及其运行环境中的显著信息进行传感(sensing,也经常因为被翻译为“感知”而引起对态势感知的错误理解)检测,从而形成对各类系统节点、当前协议、已被攻击受控节点、活动历史记录和受影响系统IP地址等侧重于微观层面的环境元素状态的感知;在第二级态势感知(理解阶段),则应当结合网空防御目标来解释前述状态信息的含义或显著性,像“2+2=4”那样结构化地组织整合信息以形成中观层面的全貌图景,并聚焦于针对当前情境回答“那意味着什么”这个核心问题,从而对正在发生的网空安全事件形成理解,而且重点关注特定节点易于遭受攻击的程度(节点视角)、攻击行为的检测特征(检测特征/模式角度)、哪些攻击事件可能相互关联(事件间关联关系视角)、给定事件对当前任务运行的影响以及对竞争性事件的正确优先级排序;在第三级态势感知(预测阶段)需要对所理解的安全事件信息展开前向时间的推断,以确定其将如何对运行环境的未来状态产生影响,也就是根据所理解的威胁攻击轨迹等信息对攻击行动的发展方向做出合理推测,基于网空防御人员对当前情境态势的理解,结合对网络和系统的了解,预测下一步可能发生的情况,特别是受影响节点范围的扩展情况,以及威胁行为体攻击行动的延展情况。
根据Endsley在1995年(Endsley,1995)提出的动态系统中基于态势感知实现高效决策制定的研究成果,在态势感知模型中不仅仅存在观察、理解和预测三个层级阶段,还与一系列认知因素密切相关,其中注意力与工作记忆的局限性的影响非常明显,并有很高可能性将会导致出现低水平的态势感知。
如果简单地按照对态势感知三个层级阶段的理解直接设计相关系统平台,就像本书第9章中相关研究调研部分所提到那些回避恶意行为检测和上下文情景化的例子,将观察阶段实现为单纯的数据采集和处理,将理解阶段实现为可视化展示呈现和按需交互分析,并在预测阶段将问题丢给网空安全分析人员,让他们各自猜测可能的未来发展情况,并让网空安全防御人员自行琢磨应当采取哪些响应行动措施,就有可能导致低水平态势感知,而且在海量网络流量面前,这种完全依赖分析人员处理能力的模式不具有可持续性。其中,导致这种问题情况的决定性因素,正是来自于上述的两大制约因素:注意力与工作记忆。具体来看,一方面,如果在观察阶段缺少对明显线索的识别发现,则无法引导网空安全分析人员的关注方向,导致他们不得不耗费大量精力在海量的多样化数据信息中查找可能有意义的线索,而且数据过载问题会使情况变得更加难以控制;另一方面,如果在理解阶段只能提供某些固定的宏观整体情况信息可视化呈现,或者仅提供开放性的交互式数据查询与数据钻取功能,则需要分析人员耗费大量精力在脑海中尝试对多样化的信息做出组织与解释,而且在很多情况下无法保证分析人员能够正确理解哪些属于关键信息,也无法发现关键信息之间的关联关系;还有就是,如果在预测阶段无法提供充足的信息来引导分析人员,则可能使原本应当依据攻击轨迹做出的合理推测,变成凭空进行的无依据猜想;最后,如果无法向网空防御人员提供响应行动的决策支持信息,那么他们可能绞尽脑汁也无法制定出可行的威胁对抗行动方案。其实,如果采用偏学术的语言来描述这些问题,观察阶段引导信息查找关注方向的问题涉及注意力,各个阶段所提到的“精力”问题则与工作记忆密切相关,而那种给工作记忆带来巨大压力的临时应激工作方式则属于“启发式的细致心智计算”。诚然,对于某些经验极为丰富的高水平网空安全分析人员来说,利用这些缺乏整合且分阶段割裂的“原生态”式基础功能,还是有可能达到态势感知效果的,但是在时效性和高水平对抗方面难免存在不足;然而,对于大部分缺乏经验的网空安全分析人员和网空安全防御人员来说,则几乎无法在略微复杂的网络空间环境中实现态势感知。正如本书第2章所指出的,在网络系统中能够获取海量的安全信息,如果仅片面地加大提供和共享信息的数量,而未能相应地通过快速处理提高数据的质量,会导致超越人类认知局限性的阈值,压倒相关人员及时进行分析处理的能力,从而给指挥控制人员带来挑战;而且,片面强调数据采集和可视化,还可能导致网空安全分析人员产生“我可以看到一切”式的虚假安全感,进一步因为缺少引导,导致放大“乐观偏差”、易得性偏差与确认偏差等认知偏差所带来的负面影响。
实际上,目前所建设的不少态势感知相关平台都存在着这种情况。随着网络流量飞速剧增,必须改变依赖网空安全分析人员直接查看监测系统与工具输出信息的低效模式,并促成网空安全分析人员的工作职责转向更抽象且更高阶的验证分析任务。因此,如何为网络空间安全防御实现高效的态势感知,已经成为一个难以回避的迫切问题。
本书在介绍态势感知模型时,重点提出了长时记忆机制对态势感知的影响作用,指出根据经验和知识在长时记忆中形成的认知结构——主要是图式与心智模型——有助于实现更高效的高水平态势感知,而在第5章中也结合ACT-R模型和基于实例的学习理论(IBLT)对相关的认知机制进行了分析。如Endsley在其经典文献(Endsley,1995)中所指出的,图式这种认知结构来自于人员曾经面对过的情境态势,在去除一些细节信息后成为可用于模式匹配的一致性结构化知识理解框架,涉及系统组件、系统状态和系统运作等方面的信息,并在认知机制中可用于对知识的长时存储与查找获取,而且能够关联绑定与对应情境态势的行动方案脚本(本质上也是一种包含动作序列的特殊图式)。心智模型作为一种与图式关联的认知结构,代表着人员对系统的目的和形态形成的描述、对系统运作机制和所观察系统状态做出的解释以及对未来状态做出的预测,可以被描述为一种能够对系统行为进行建模的复杂图式,也可以被认为是某个特定系统的图式。
结合网空安全防御的上下文来看,图式和心智模型来自于对工作任务目标、网络与系统结构、网络与系统运作机制、威胁行为体情况和威胁情报等多种具象信息的理解与抽象。其中,图式主要包含检测发现威胁行为体攻击行动所需要的匹配模式;与图式关联的心智模型则是采用结构化形式整合组织相关信息以帮助网空安全分析人员进行理解的模型框架,而且也包含着所表征情境态势对应的可能发展轨迹及未来状态;与图式关联绑定的脚本,则包含着所表征态势情境对应的待选响应处置行为序列。正如本书第8章所描述的,如果结合STIX威胁情报框架来看,图式与IOC(威胁指示器)密切相关,心智模型与TTP(战术、技术和行为模式)/攻击模式密切相关,而脚本与行动方案密切相关。此外,在心智模型中还需要包含通过了解已有网络系统而形成的知识,特别是需要解决“与业务结合”这一长期困扰网络安全行业的问题,从而在模型中包含网络节点或系统组件等实体与业务运行的关联关系。而本书第10章和第13章中提出的工作任务建模方法,能够将工作任务分解后与网络空间中的相关实体进行依赖/支撑关系的对应映射,进而借鉴书中描述的攻击轨迹、攻击图与漏洞树等建模机制,将与实体关联的漏洞、进攻行动与技术影响等信息关联至工作任务,从而面向态势感知的理解阶段,实现可推理至业务影响层面的模型。
通过充分利用以图式和心智模型为代表的长时记忆机制,可以实现高效的网空态势感知,能够有效规避注意力和工作记忆局限性的制约影响。结合书中所介绍的态势感知模型,可以形象地理解为:采用长时记忆机制,能够把各个层级的态势感知阶段串接起来,并且在相邻两层级之间实现由长时记忆中认知结构引导的模式匹配或者关联推导,从而通过提高各阶段内认知任务的定向确定性,以降低对网空安全分析人员和网空安全防御人员经验知识的要求和对工作记忆的压力负荷。
具体来看,在观察阶段之前对所采集数据与事件信息等网空环境中的元素进行并行处理,对大量网络数据和安全事件信息进行缩减、过滤与预处理,并根据预先确定的经验知识完成数据丰富化、基础特征值抽取和基本标签标定等处理操作,从中识别出某些并不存在于原始数据信息中的涌现特征,从而引导观察阶段所需要聚焦的关注方向;在观察阶段,则需要超越基于线索的简单观察模式,而应当根据以图式等形式存在于长时记忆中的认知结构,借鉴第10章所描述的告警关联方法,采用信息融合机制(Steinberg&Bowman,2008)将所观察到的证据型环境元素聚合为攻击轨迹等安全信息(George P.Tadda,2008),并与长时记忆中的图式进行模式匹配,从而将匹配命中的图式作为疑似攻击行动事件输出至理解阶段;在理解阶段,则将与疑似攻击行动事件图式相关联的心智模型作为框架,从可用的安全信息和对网空环境的基本了解知识中识别出框架所关注的关键特征,进而代入框架成为心智模型中相应的关键特征,从而使网空安全分析人员能够基于心智模型框架,实现书中所描述的信息整合组织与结构化呈现,据此开展可视化和数据钻取等交互式分析,甄别挑选出最有可能的攻击行动事件,达到将攻击轨迹对应至已知或未知攻击策略的要求,并根据其对应的心智模型理解攻击行动背后的威胁行为体,以及理解可能对工作任务造成的影响;在预测阶段,则基于在理解阶段所确定的攻击行动心智模型,将当前态势情境与模型中所描述的典型攻击模式进行结合,预估正在进行中攻击行动的策略演化情况,从而推测出合理可能的未来状态,特别是对攻击影响节点范围的预测,以及对攻击影响效果的预估;根据预测阶段输出的心智模型(及相关图式)和未来状态预测信息,网空安全防御人员能够通过预估行动影响效果确定响应行动的优先级,并以对应图式所绑定的脚本作为蓝本,开发出威胁对抗响应的行动方案。在上述这种模式中,大量的工作记忆查找工作负荷被转化为模式匹配,而且所需的大量经验知识也可以被抽象固化至长时记忆,从而在提高态势感知效率的同时,保障积极防御响应行动的效果水平,并同时降低对网空安全分析人员和网空安全防御人员的能力要求。
综合来看,这种高效态势感知的实现模式,代表了本书所提到的基于案例推理分析过程,正是一种通过威胁情报驱动态势感知以指挥积极防御的动态综合体系化网空安全防御模式。
随着以模式识别和深度学习为主的人工智能技术应用的迅速发展,自动化防御响应机制已经成为网络空间安全领域中一个被寄予巨大期望的未来方向。特别是面对由于海量安全数据而导致分析处理工作负荷过载的情况,以及考虑到攻击会以极快的速度发生,自动化机制确实具有不容忽视的优势。近些年来,有越来越多的专家学者开始探讨使用全自动化的防御响应机制来对抗网络安全威胁,甚至以非常乐观的态度预测:网络安全分析人员和网络安全防御人员将被自动化防御系统所取代。
实际来看,如NSA IAD提出的网空威胁技术框架(NSA,2018)所揭示的,高水平的威胁行为体通常会使用高度隐匿的攻击手法,特别是将攻击行动痕迹分散在不同的网络区段和系统层次,从而使防御方仅依靠局部的有限信息难以做到识别发现与追踪溯源。又如本书第1章所描述的,攻击发生时间点与攻击效果显现时间点之间的间隔可能相当分散,长期潜伏的威胁可能在到达某特定时间点或发生某特定事件时才被触发并发起网空攻击行动,从而严重影响防御方将特定攻击的相关行为与其后果做出关联的能力。而且,客观上来看,对网络与系统进行正常管理维护的行为,很难与攻击行动的迹象加以区分,甚至在特定情况下“合法”网空行为所表现出的变化,可能会比攻击行动所带来的变化更加显著;此外,网络空间中有许多的活跃用户人员,客观存在着“与一位无辜购物者有机会表现得像危险恐怖分子的情况相比,一位不知情的计算机网络用户更有机会产生恶意的行为”的情况,再叠加上威胁行为体在行动模式和可见性方面所拥有的非对称优势,将会导致攻击行动能够隐匿于大量复杂难辨的用户行为中。还有就是,作为传统“攻击者-防御者”对抗的概念延伸,网络空间的攻击行为背后通常会涉及多名人类决策者,相应地也会因为人类认知机制、敌我双方交互对抗和多决策者并行协同等原因导致攻击行为难以被准确预测。因此,如果缺少全局整体的信息掌控和长期积累的经验知识,将很难实现对高水平威胁的检测发现,而目前所构想的大多数自动化防御系统在这两个方面都存在不足。在当前所面对的复杂网空威胁环境下,以网络入侵检测系统(NIDS)为代表的各种监测系统与工具,主要是作为预处理器根据与网空攻击行动的相关性对海量网络流量与日志记录进过滤处理,从而向分析人员提供充足的信息以支持分类分流分析操作,并明确提出即使在广泛使用机器学习算法的情况下也难以消除分析人员深度参与的可能性。而且,自动化防御系统所依赖的机器学习等人工智能检测机制,在高度对抗的环境中也可能遭受到特征攻击而被蓄意操控(Akhtar等人,2018)。
与传统的入侵检测与防御机制不同,如果要实现全自动化的“无人”防御系统,就必须严格防止出现误报或漏报的情况,以免带来较大的风险:漏报将导致威胁长期潜伏且攻击行动无法被发现和处置;误报将对网络空间运行带来干扰影响,并有可能被威胁行为体蓄意利用作为攻击效果“放大器”。因此,在前述问题导致难以准确检测高水平威胁的情况下,实际上较难脱离网空安全分析人员与网空安全防御人员而实现全自动化防御系统。正如本书第3章所论述,不需要牵涉任何位于控制闭环内人员的“无人式”自动化防御机制,是一个仍然遥不可及的愿景,而且目前不存在以可实践方式实现这一愿景的具体路线图。
因此,既需要避免“人在控制闭环外”的“失控式”全自动化防御系统对网空运行带来过多干扰,同时需要避免因“人在控制闭环中”的“手工为主”防御模式带来的分析与响应压力挑战。有必要采用“人在控制闭环上”的“半自动化”防御模式,将网空安全分析人员和网空安全防御人员视为获得态势感知所不可或缺的“系统组成部分”,并且使参与控制闭环的人员能够通过使用自动化工具而提高防御效果。
事实上,围绕着军事领域中自主系统(autonomous system)的应用方式已经开展了充分的探讨(Cummings,2014),可以认为在能够预见的近期乃至中期未来,虽然涉及操作技能和行为规则的简单工作正逐渐转由自主系统所主导,那些需要运用经验知识与专业能力的工作依然将高度依赖于人员参与。在网络空间防御工作中,对于那些误判可能性小且响应行动影响范围较受控的低水平或高置信度已知的攻击行动,可以采用受管控的自动化防御机制进行处置;对于存在检测不确定性的中等水平威胁,则需要网络安全分析人员参与甄别确定,以避免由于误判而导致对网空运行的干扰影响,并在自动化执行响应行动方案前由网空安全防御人员进行确认放行;对于那些高水平威胁,则需要由网空分析人员基于线索展开深入的甄别分析,并需要由网空防御人员对响应行动方案做出优化调整,并采用自动化处理与手工处理相互结合的方式展开威胁对抗。
因此,实际上需要讨论的问题并不是在自动化防御机制与态势感知之间“二选一”的问题,而是如何将二者有效结合的问题。
正如本书所指出的,网空防御领域需要一种人机结合的工作方法,将技术系统与人类认知能力融合在一起,从而在各种复杂的网空环境中实现态势感知。而且,实现网空态势感知的实际系统,不仅包括硬件与软件系统,还必须包括制定网空防御高阶决策所需的心理模型。因此,需要通过加强人员与技术系统之间的交互关系,避免“人在闭环外”式自动化机制带来的态势感知损失问题,同时需要由入侵检测技术、机器学习技术、信息融合技术与可视化技术相互结合的模式,综合利用技术系统与人员认知能力各自的优点与长处:采用系统的数据处理与信息整合能力应对网络空间海量数据过载和高速流动的挑战,依托训练有素的网空安全分析人员的强大认知能力理解当前情境与发现那些隐藏的潜伏威胁和复杂的攻击行动,交由网空安全防御人员把控响应行动方案并监督响应行动执行过程,并在后续阶段利用系统的自动化响应执行能力对快速发生的已知攻击行动及时做出响应处置。
目前,为了实现上述人机结合的网空安全防御机制,通常会加强整合已有网空安全监控系统、网空安全防御系统设备及各种网空安全分析工具,通过对海量网络流量和日志信息进行相关性过滤等预处理,并采用第7章所介绍的方法,对已有系统的信息可视化机制进行改进增强,从而更好地面向网空安全分析师的个人态势感知观察阶段提供更显著和更易于解释的信息呈现,进而在充足信息的支撑下帮助网空安全分析人员为当前态势建立一个全面的图景。然而,一方面,面对日益复杂的网空威胁环境,仅优化环境元素层级的可视化机制,难以帮助网空安全分析师理解攻击行动的那些隐藏方面;另一方面,随着攻击行动层出不穷,对合格网空安全分析人员的数量需求也越来越大,而通过环境元素信息可视化直接形成个人态势感知所需经验知识的要求就显得过高。
为了在网空安全防御领域实现更有效的人机结合,本书也提出了“人员与自主系统协同组队”的工作模式,指出需要在自主系统和网空安全人员之间建立高度共享的态势感知。所以,在技术系统侧与人员侧都需要产生态势感知,而且需要通过用户界面实现这两侧态势感知的相互耦合(Faber,2015)。为了解决前述的人机结合挑战,应当基于通用模型表达当前安全态势的思路,以及通过高级显示和推荐系统等工具与功能提高网空安全分析人员工作效能的思路,实现以人员为中心的态势评估过程(Holsopple等人,2010),可以在用户界面上基于系统侧的态势感知相关模型呈现关于当前情境和过往细节的知识结构,从而解决因为仅对环境元素信息进行可视化而遇到的复杂攻击信息表达挑战,同时通过提供一系列的可能未来(plausible future)情境态势选项,降低对网空安全分析人员的经验与能力要求。
从系统侧来看,考虑到对网络空间通用作战态势图的展望需求,有必要改变传统入侵检测机制的非整合模式,特别是需要解决本书第9章中所指出特征检测和机器学习机制在检测结果语义方面存在含义欠载的挑战。因此,可以借鉴书中所介绍由长时记忆中经验知识引导的高水平态势感知实现机制。作为一种潜在的实现方法,按照本体模型对态势感知相关认知过程的增强作用,采用具有形式化语义的可机读语言对网空事件与相关联网空安全概念进行本体论建模的机制,使用类似图式的知识结构将离散的检测结果组织起来,以通过综合模式匹配识别出可能的情境态势;在此基础上,采用“杀伤链”情境本体模型来对网空安全事件信息进行结构化组织,使用类似心智模型的知识表达模型,将这些检测结果与关于网络与系统结构、网络与系统运作、威胁行为体和攻击行动的经验知识融合在一起;进而,一方面根据推理机制对合理可能的未来情况进行推断,另一方面也使用这种融合的知识表达模型向用户呈现可能的情境态势。具体来看,为了实现本书所描述的网空防御分析任务过程,并支撑对积极防御响应行动的指挥控制,需要实现有效的态势感知耦合,针对各个可能的情境态势,需要在系统侧向网空安全分析人员呈现一系列的信息:网空系统中的与该情境态势相关的组件、组件的关键特征、组件间的相互关系与作用、威胁行为体的目标意图、关联聚合的攻击行为轨迹、对攻击方目标的影响因素、对防御方目标的影响因素、对威胁行为体下一步行动的推断预判、对网络系统状态的推断预判、对进攻行动造成影响范围和效果的预估、对响应行动造成影响范围和效果的预估、对网络系统所支撑工作任务可能造成影响的预测以及与场景相关联的响应处置行动计划建议。
从人员侧来看,则可以围绕这种人机态势感知耦合机制,实现一种“二阶”的态势感知,通过培训等方式帮助网空安全分析人员形成必要的长时记忆认知结构,使他们能够掌握如何观察呈现在人机界面上的备选情境态势信息,以及如何使用信息可视化和数据钻取等交互方法进行甄别分析,从而确认选定最具有可能性的当前情境态势,并在所呈现信息的引导下实现态势感知的理解与预测阶段。此外,网空安全防御人员也需要在人机态势感知耦合用户界面的支持下制定响应行动决策,并可以通过用户界面向系统侧发出响应处置指令。
那么,能够支持实现态势感知的系统,其形态是怎样的呢?目前,我国网络安全行业大多认为存在着一种单体系统形态的“网络空间态势感知系统”,而且各个厂家竞相开展此类系统的研发工作。
但是,根据本书所提出的:“缺少一套能够为网络攻击的检测、理解和响应提供所需信息的整合工具”;“入侵检测系统是一种能够支撑网空态势感知和人类决策制定过程的重要技术,应当与其他很多能够帮助分析师进行分析甄别的工具一同使用”;“网空态势感知的实际工作发生在人员层面上,将来自不同的NIDS工具的报告,以人类的时间尺度,融合在一个手工的过程之中,从而为当前态势建立全面的图景”。可以发现,在国际上的网空安全防御学术研究圈中,通常将网空态势感知作为一种可以由多个系统或工具整合实现的状态效果,而且这也确实符合态势感知的经典定义(Endsley,1995):“在一定时间和空间内观察环境中的元素,理解这些元素的意义并预测这些元素在不久的将来的状态。”事实上,国际上的网络安全厂商也很少会推出“单体的态势感知产品”,而是经常会强调其产品或服务对实现网空态势感知能够起到哪些作用,并将态势感知作为一种综合利用各种已有技术与系统的产品设计模式与运行使用方式。
其实,结合本书所提出的“将网空态势感知活动更好地与能够产生效能或影响环境的活动进行整合”的需求,通过深入分析对积极防御的态势感知要求,可以发现网空态势感知涉及非常多不同的方面:既有宏观态势感知,也有面向战术响应的中观态势感知;既要满足中长期战略调整目标,也要满足近实时战术响应、日常化威胁猎杀和持续威胁监控目标。从围绕态势感知的积极防御响应行动协同参与方来看,既涉及网空安全分析人员、网空安全防御人员、信息化建设人员、信息化运维人员与网络系统用户,又涉及信息化管理层、企事业单位管理层和监管机构等利益相关方。从协同响应行动所涉及的系统和流程来看,涉及风险管理系统/流程、资产管理、配置管理、防御响应指挥控制(C2)、取证分析流程/工具、恶意代码解剖分析流程/工具,以及运维管理系统/流程等。从能力体系角度来看,不能让态势感知成为“空中楼阁”,而是应当着眼于实现以态势感知为中心的积极防御能力,必须依赖于基础结构安全能力提高置信度保障级别,依赖于纵深防御能力来保障观察效果并防范过载问题,以及依赖于威胁情报能力的重要驱动作用。从提高态势感知水平的能力来看,需要发现经由网络触及漏洞的所有路径的自动勘察能力、对多来源的数据进行关联和融合的能力、攻击路径可视化的能力、自动产生缓解措施建议的能力,以及最终对网空攻击所造成任务影响进行分析的能力。特别值得注意,正如本书第11章所指出,网空态势感知依赖于全面且及时掌握网络与系统各方面情况的“知己”能力,这与网空测绘、资产管理、配置管理、漏洞管理与补丁管理等基础结构安全能力密切相关,而且直接影响着态势感知所必需的攻击轨迹聚合与攻击策略预测能力的水平。
进一步从技术发展角度来看,越来越多的新型网络安全技术与围绕态势感知的积极防御体系具有非常紧密的依赖关系,依托于态势感知实现准确的威胁定位,甚至需要实现分布式的共享态势感知,具体包括:主机与网络侧自适应安全技术;基于上下文实时关联面向攻击者的欺骗技术与整合历史数据情境分析的NDR(网络检测响应)与EDR(端点检测响应)技术;“In-line”式深包处理、OpenFlow流量操控和面向攻击者的网络欺骗技术;以OpenC2为代表的协同响应指挥控制体系;全流量采集与解析以及定向按需采集等新型网络采集技术。
综合来看,几乎不可能以一个单体系统来满足积极防御对态势感知的多样化需求,而且事实上也存在着大量与态势感知紧密相关的系统设备和工作流程。因此,可能需要对实现态势感知的系统形态做出创新性的探索想定,引入系统工程(system engineering)理念(Walden等人,2015),把威胁情报驱动的积极防御体系作为一个由持续监测体系、协同响应平台、运维工作流/工单系统、知识管理/知识模型/知识工程体系、大数据分析系统、大数据交互式查询系统、可视化系统、大屏幕展示系统等多个构成系统有机组成的复杂超系统(system of systems),并将“态势感知”作为一个由所有构成系统通过网空安全人员的安全运行工作发挥相互作用以共同实现的一种“涌现特性”。基于这一想定,未来可以采用系统工程方法,体系化地设计以态势感知为中心的威胁情报驱动的积极防御体系,并据此在开展新系统建设工作的同时,对原有系统做出适应性调整。
[1]Akhtar N,Mian A.Threat of adversarial attacks on deep learning in computer vision:A survey,2018[J].arXiv preprint arXiv:1801.00553.
[2]U.S.Department of Defense.Quadrennial Defense Review Report[R].Washington,D.C.2001.
[3]Lee R M.A SANS Analyst Whitepaper:The Sliding Scale of Cyber Security systems[EB/OL].Tech.rep.SANS Institute InfoSec Reading Room,2015.https://www.sans.org/reading-room/whitepapers/analyst/sliding-scale-cyber-security-36240.
[4]Willard G.Understanding the co-evolution of cyber defenses and attacks to achieve enhanced cybersecurity[J].Warfare,2015,14,17-31.
[5]Herring M J,Willett K D.Active cyber defense:a vision for real-time cyber defense[J].Warfare,2014,13,46-55.
[6]Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human factors,1995,37(1),32-64.
[7]Herring M J,Willett K D.Active cyber defense:a vision for real-time cyber defense[J].Warfare,2014,13,46-55.
[8]Endsley M R.Toward a theory of situation awareness in dynamic systems[J].Human factors,1995,37(1),32-64.
[9]Steinberg A N,Bowman C L.Revisions to the JDL data fusion model,Handbook of multisensor data fusion[M].CRC Press:65-88,2008.
[10]George P Tadda.Measuring performance of cyber situation Awareness Systems[C].Proceed-ings of the 11th International Conference on Information Fusion,Cologne GE,2008.
[11]National Security Agency.NSA/CSS Technical Cyber Threat Framework v1[EB/OL].2018.https://www.iad.gov/iad/library/reports/nsa-css-technical-cyber-threat-framework-v1.cfm.
[12]Cummings M M.Man versus machine or man+machine[J].IEEE Intelligent Systems,2014,29(5),62-69.
[13]Faber S F.Analytics for Cyber Situational Awareness.SEI Blog[EB/OL].2015.https://insights.sei.cmu.edu/sei_blog/2015/12/flow-analytics-for-cyber-situational-awareness.html.
[14]Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment[J].IEEE Communications Magazine,2010,48(3).
[15]Walden D D,Roedler G J,Forsberg K,et al.Systems engineering handbook:A guide for system life cycle processes and activities[M].John Wiley&Sons,2015.