1.2.1　态势感知的定义

Endsley（1995）提出了一个最为广泛使用的态势感知定义，这也是最早的态势感知定义之一。该定义对态势感知的描述是：“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态。”基于这一定义，态势感知由以下三个层级构成（如图1-1所示）：观察、理解和预测。其输出将被直接馈送至决策和行动的周期中。

第1级态势感知：观察。该层级涉及操作员对其正在操作的系统以及该系统所运行的环境中显著信息的感官检测。例如，网空行动操作员需要能够看到相关的显示，或者听到告警信号。在网空环境中，第1级态势感知包含对各类系统节点、当前协议、已被攻击受控节点、活动历史记录和受影响系统IP地址等元素状态的感知。

第2级态势感知：理解。这是一个重要的层级，因为态势感知远远不止步于观察计算机屏幕上所显示的那一堆数据。真正需要做到的，是结合操作人员的目标来理解这些信息的意义或显著性。在这个过程中，要像2+2=4那样逐步把所理解的信息整合起来，逐步发展出系统的全貌图景，从而对正在发生的事件形成更全面的整体理解。第2级态势感知通常称为态势理解，也就是需要回答针对所观察信息提出的“那意味着什么”（so what）问题。因此，如果网空行动操作员具有良好的第2级态势感知能力，就能够理解：特定节点易于遭受攻击的程度、攻击行为的检测特征、哪些攻击事件可能相互关联、给定事件对当前任务运行的影响，以及对竞争性事件的正确优先级排序。

第3级态势感知：预测。该层级包含对信息进行的前向时间推断，以确定其将如何对运行环境的未来状态产生影响。这结合了个体对当前态势（例如，在系统上呈现出来的事件与攻击行动）的理解，以及对系统形成的心智模型，从而能够用于预测下一步可能发生的情况。例如，预测网络中其他节点上恶意活动所造成的影响，或预测未来攻击行动发生的途径。即使在非常复杂且具有挑战性的任务中，高层级的态势感知也能够使网空行动操作员及时有效地正常开展工作。

操作员会不断地在环境中进行搜索，从而为态势建立起持续演化的图景。在这个基础上，他们可以按照对当前态势的理解去收集更多信息（例如，用于填补信息空白或确认某些评估结果），或者可以在某些时间点选择行动方案对系统进行变更以使其与操作人员的任务目标保持一致。由于环境和系统的状态不断变化，所以需要不断地对态势感知做出动态更新。

1.2.2　网空行动的态势感知需求

某个特定的人员个体需要关注网空态势的某些具体方面，而这取决于该个体在网空行动中所承担的角色。不同的角色之间，态势感知需求也存在相当大的差异。例如，在参与网空防御的组织中可能存在着多个角色，由每一个角色负责网络的不同部分。又例如，各个角色彼此协作，以应对不同类型的威胁，或承担流程中不同部分的工作。与此不同的是，虽然空中作战中心的指挥官或公用事业的管理者各自的一系列目标与目的存在较大差异，但都需要在较高的层次对网络空间的图景进行理解，据此才可能理解网空环境将会如何对某个给定任务的运行产生影响。

因为各种角色具有差异化的目标与目的，而且需要做出的决策也有所不同，所以必须认真地界定每个角色的具体态势感知需求，从而使技术解决方案能够支持这些角色，通过定制化的方式提供信息以满足所有三个层级的态势感知需求。传统的分析方法是目标导向任务分析（GDTA）（Endsley，1993；Endsley和Jones，2012）。GDTA可以为每个角色确定高阶的目标结构，并列出该角色需要做出的主要决策，并详细描述为了支持每个决策而在态势感知三个层级出现的需求。例如，图1-2展示了典型网空行动操作员的GDTA目标树，而图1-3则展示了对应的部分详细GDTA态势感知需求（Connors等人，2010）。基于这种分析，不仅能够确定需要提供哪些基本数据给网空行动操作员，还可以确定系统需要提供哪些类型的整合信息，详见表1-1中的示例。

1.2.3　态势感知的认知机制

Endsley（1988，1995）描述了态势感知的认知模型框架，展示了人类操作员收集和理解信息以形成态势感知的过程，具体见图1-4。环境的关键特征会影响人们获得和维持态势感知的程度，包括：

1）系统提供所需信息的能力（例如，相关的传感器、数据传输能力和网络连接等）。

2）系统界面设计，以确定人员个体可用的信息及有效传递信息的显示格式。

3）系统复杂性，包括组件数量、组件间相互关联性和信息变化率，会对人员个体跟上所需信息的变化并对未来事件进行理解和预测的能力产生影响。

4）系统中所呈现出的自动化程度，会影响到个体保持“在闭环内”的能力、意识到正在发生什么的能力以及理解系统正在做什么的能力。

5）压力和工作负荷与任务环境、系统界面和运行领域等因素具有函数关系，都有可能发挥作用，导致态势感知的降低。

注1：Red Forces，指网络安全对抗演练或渗透测试中负责进攻的团队。——译者注

在这些外部因素之外，该模型还指出了人员个体方面的许多特征。这些特征决定了在与其他人员个体具有相同环境和设备的情况下，一个人员个体是否能够形成良好的态势感知。短时感官记忆、观察力、工作记忆以及长时记忆机制组合在一起，形成了态势感知所基于的基本结构。根据该模型，能够以“前注意”（pre-attentively）的方式对环境中的元素（如操作者所看到的显示）进行并行处理，检测出某些涌现的特性 ，例如，空间接近度、颜色、简单形状特性或运动等，从而提供集中注意力观察的线索。观察，就是需要使用集中的注意力，处理那些观察起来具有突出性（例如由于明亮颜色或动作而显得突出）的对象。对于需要有能力同时准确观察多个目标的操作员而言，有限的注意力成为主要的制约条件。同时，在复杂环境中可用数据的规模远远超出了人们的处理能力，因此有限的注意力也成为限制人们维持态势感知的主要因素。

然而，态势感知比基于线索的简单观察要复杂得多，它还依赖于其他认知机制，而且这些认知机制能够显著增强这种数据驱动的简单信息流。首先，注意力和观察的过程可以在工作记忆和长时记忆内容的引导下完成。例如，通过加强理解信息位置、信息形式、空间频率、颜色或对信息的整体熟悉度与适用性等知识，都能够显著提高观察力。此外，长期记忆中的已知类别或心理表征也可以塑造对对象的观察。分类处理往往是即时发生的，此时有经验的网空行动操作员通常会知道去哪里查找关键的信息，并知道如何解释这些信息。当然，这些网空行动操作员也可能会根据自身的预期去查找信息，从而导致倾向性偏差。

对于尚未形成其他认知机制的操作员（新手和处于新态势中的操作员）而言，对环境中元素的观察（即第1级态势感知）明显受到注意力和工作记忆的限制。在其他机制缺失的情况下，操作员对信息的大多数主动加工处理必须发生在其工作记忆之中。新的信息必须与已有的知识理解相结合，从而形成一个态势的综合图景。对未来状态的预测和对适当行动方案的后续决策，也将发生在工作记忆中。为了同时达到高层级的态势感知、形成并选定响应措施，以及通过后续动作付诸实行，工作记忆将承受沉重的负担。因此，与其他领域一样，那些新手的网空行动操作员将很快会因为超出负荷，而无法对大量可用信息进行有效的处理与整合。在像网空行动这样高度复杂的领域中，他们的整体态势感知水平将非常受限。例如，虽然新的网空行动操作员能够读取可用的显示信息和日志信息，但他们没有意识到这些数据的含义，更不太可能理解正在发生的网络攻击，也难以理解这些攻击对当前网空行动所产生的影响。要确定在什么情况下应将更多注意力聚焦于哪些可用的数据，对于他们而言也非常具有挑战性。

然而，在实际的实践中，更有经验的网空行动操作员会利用目标导向的处理机制和长时记忆机制（以心智模型和图式的形式），从而规避工作记忆的局限性，更有效地引导注意力的方向。首先，假设关于系统的大量相关知识存储在心智模型中。Rouse和Morris（1985）将心智模型定义为“使人们能够描述系统目标和形态、解释系统运作和所观察到系统状态以及预测未来状态的机制”。

作为一种认知机制，心智模型能够表现与系统形态和功能相关的信息，通常与某种物理系统（例如，汽车、计算机网络或发电厂）或组织系统（例如，公司、部队或网络攻击者的运作方式）相关。它们所包含的信息，通常不仅有关于特定系统的组件，还有关于这些组件如何相互作用以产生各种系统状态和事件。网空行动操作员必须形成关于网络及其各种相互关联组件的良好的心智模型，以发展出对网络运作方式的理解。随着人们识别出周遭世界中的关键特征，并将其映射至心智模型中的关键特征，心智模型能够显著地辅助形成态势感知。然后，基于该模型能够形成一种机制，用于确定各个组件所被观察到状态之间的关联关系（即态势感知的理解），并预测这些元素随时间而变化的行为与状态。例如，关于网络及其组件的一个良好的心智模型，可用于理解攻击所针对的特定漏洞（与网络和组件的关系）。关于网络攻击运作方式的心智模型，可以用于理解攻击向量，并预测可能的攻击目标。在对当前网络事件的数据进行检查分析时，可以使用这些心智模型来帮助解释所观察到的数据，并预测可能的攻击进展。因此，心智模型可在不增加工作记忆负荷的情况下，提供更高层级的态势感知（即态势感知的理解和预测）。心智模型使有经验的网空行动操作员能够理解网络状态信息在保障安全网络目标的上下文中的最终意义。

心智模型也关联着图式，它们是系统状态的原型类别（例如，某一特定攻击的明显特征看起来是怎样的，或者典型的用户行为包含些什么）。对于形成态势感知而言，这些图式甚至更有作用，因为通过将态势线索与记忆中的已知图式进行模式匹配，能够根据所识别的态势类别，直接在更高层级态势感知的记忆中进行检索。通常，已经为这些图式设定了由动作序列组成的行动脚本，因此可以免去产生备选行为并做出选择的过程，从而大量减少工作记忆的负荷。这些机制使网空行动操作员能够根据（基于态势感知）所识别出某一给定的态势类别，简单地执行预先确定的动作。例如，能够轻松地识别出已知的网空攻击检测特征和事件类型，同时找出预先确定的网空攻击响应程序。由于使用了分类映射机制，甚至不需要当前态势与之前所经历过的态势完全相同——只要能够将当前态势足够近似地映射至相关的分类类别，就可以依据该模型对当前态势进行识别并理解，以及做出预测并选择适当的行动。在人们具有非常良好的模式匹配能力的情况下，这个过程几乎是瞬时的，并且只会产生较低的工作记忆负荷，使得即使在非常苛刻的情况下，有经验的人员也能够获得高层级的态势感知。在网络空间环境中，攻击可能在极短的时间范围内发生，这种速度超越了人类观察和响应的极限。虽然对于已知的攻击类型有可能以自动化方式实现上述过程并及时对攻击做出响应，但是面对具有全新特征模式的攻击或恶意代码时，则可能仍然需要人工干预。

因此，专业知识在态势感知的过程中起着重要的作用。对于新手或需要处理全新态势的人员来说，要在复杂的动态系统中做出决策将会是极其苛刻的要求，甚至不可能成功完成的。因为这将会需要基于规则的或启发式的细致心智计算（mental calculation）能力，从而加重工作记忆的负荷。基于经验能够发展出心智模型和图式，进而可以根据已得知的相关线索，将环境中所观察到的元素与已有的图式/心智模型进行模式匹配。因此，能够以少得多的努力，在工作记忆的约束条件下理解态势并预测未来，从而达到更高层级态势感知的要求。通过开发出行动脚本并将其与这些图式进行绑定，可以大为简化整个决策过程。系统显示输出需要能够支持操作员将所呈现信息中的关键线索与上述心智模型进行模式匹配，这种支持能力对于快速形成态势感知并制定决策而言是非常重要的。

在这一过程中，网空行动操作员的目标也起着重要的作用。这些目标可被看作操作员希望系统模型达到的理想状态。在形成态势感知的过程中，可以根据网空行动操作员的目标和计划，引导对环境中的哪些方面进行关注。为了有效处理信息并形成态势感知，目标驱动或自上而下的过程是非常重要的。相反，在一个自下而上或数据驱动的过程中，可以识别出环境中的模式，从而提示操作员必须采用不同的计划才能达到目标，或者应该激活不同的目标。

大部分人员在进行信息加工处理时，都会交替采用目标驱动和数据驱动过程，这也是在复杂世界中形成态势感知所需要采用的方式。在处理复杂信息集时，单纯采用数据驱动过程的人员效率会很低——由于需要获取的信息太多，所以他们只能被动地对最明显的线索做出响应。然而，那些已经确定了明确目标的人员则会搜寻与其目标相关的信息，并且通过一些机制确定所观察信息的相关性，从而使信息搜索变得更加高效。然而，如果只采用目标驱动过程，很可能会遗漏那些提示操作员需要对目标进行变更的关键信息（例如，停止“确定系统漏洞”的目标，并激活“诊断新事件”的目标）。因此，有效的信息处理机制所具有的一个特征就是交替切换上述这两种模式，使用目标驱动过程来有效地查找和处理达到目标所需的信息，并使用数据驱动过程在给定时间点调整对最重要目标的选择。

态势感知的形成是一个动态的持续过程，该过程受到上述关键认知机制的影响。虽然在网空领域形成态势感知是极具挑战的，但我们发现通过采用经验（图式和心智模型）形成的认知机制，人们能够规避已知的（工作记忆和注意力）限制因素，进而形成足够层级的态势感知并非常有效地发挥作用。尽管如此，要在复杂环境（例如网空行动）中形成准确的态势感知，依然非常具有挑战性，将会需要操作员的大量时间和资源。因此，网空领域的一个主要目标，就是开发出能够增强态势感知的可选储备、培训计划和系统设计。 Pbn6YZAa3YIkqhHze+zqGyYdV7k/glr80WwBLCLpZU2F1bgMBy07Xog0gkTPJdjj