前言
Alexander Kott、Cliff Wang和Robert F. Erbacher

对于高度网络化的社会,网络空间安全已经成为我们所面临的主要挑战之一。个人、企业和政府越来越关心网络犯罪、网络间谍活动和网空战争对他们造成的成本消耗和威胁。在网空防御领域,态势感知(SA)尤为重要。态势感知与科学和技术相关,也与在相关环境下对实体和事件进行观察、理解和预测的实践相关;而在我们讨论的上下文中,这个相关的环境就是网络空间。在航空、工厂运营或应急管理等领域,达到态势感知状态并不容易。在相对“年轻”的网空防御领域,实体和事件这些概念与传统物理现象有较大差异,这种情况下更难达到态势感知状态,而且也难以理解其含义。

我们(此处及后续的“我们”是指本书的所有合著者)以第1章作为全书的开头,介绍网空行动操作员如何形成态势感知,以及分析网空行动中支持态势感知的要求。基于这一领域的独特挑战,我们确定了在研发方面的几个关键推进点,并进一步探讨了这些要点,从而提供工具以有效地支持网空行动操作员的态势感知和决策制定。该章解释了为什么网空态势感知的形成对确保实现有效的网络防御和安全的网空行动至关重要。系统拓扑结构高度复杂多变,相关技术飞速发展,噪信比高,从攻击插入到实施破坏之间可能有较长的时间周期,多方面的威胁快速演变,事件发生的速度超出人类处理的极限,孤立非整合的工具达不到态势感知的需求,数据过载而数据含义却欠载,自动化所带来的挑战……上述诸多因素限制了当前网空行动中的网空态势感知。

虽然在网空安全领域态势感知是一个比较新的话题,但态势感知在控制复杂企业的运营和传统战争等方面的研究和应用却有较长历史。基于这一原因,态势感知在传统的军事冲突或敌我交战等方面,比在网空对抗中更广为人知。通过探索传统战争(也称作动能战)中态势感知的内涵,我们可以获得与网空冲突相关的见解和研究方向。这些内容是本书第2章的主题。这一章讨论了传统战争中态势感知的本质,回顾了关于传统态势感知(KSA)的现有知识,然后将其与对网空态势感知(CSA)的当前理解进行比较。我们发现传统态势感知和网空态势感知所面临的挑战与机遇是相似的,或者至少在某些重要方面是在同一方向上的。关于两者的相似之处,在传统和网络空间世界里,态势感知都会严重影响到任务的完成效果。同样,在传统态势感知和网空态势感知中也存在认知偏差。作为两者之间差异的一个例子,传统态势感知通常依赖于被普遍接受并广泛使用的组织化表现形式,例如战场的地形图。目前,在网空态势感知中还未出现这类通用的表现形式。

在讨论了网空态势感知的重要性和主要特征之后,我们进一步探讨它是如何形成的。网空态势感知的形成是一个复杂的过程,需要经过许多不同的阶段并产生一系列不同的输出。承担不同角色的人员使用多样化的规程和计算机化的工具来推动上述过程的进行。第3章将探讨在网空防御过程的不同阶段中如何形成态势感知,并描述在态势感知的生命周期中涉及的不同角色。此外,该章概述了网空防御的整体过程,进而识别出了在网空防御上下文中态势感知的若干个独特方面。该章还详细描述了作者开发的网空态势感知综合框架,并概述了相关领域的现状与发展。我们重点强调了网空态势感知中五大关键功能的重要性:从攻击中吸取经验、指定优先级、设定度量指标、持续诊断与缓解以及自动化机制。

第4章将继续围绕“如何形成感知”这一主题,同时专注于面向全网整体网络视图的一种特定类型的态势感知。我们使用“宏观态势感知”这个术语来表示基于网络整体动态的一种态势感知,这种态势感知将网络视为单一“有机体”,并对个体元素或个体事件进行汇总观察;这与网空态势感知正好相反,网空态势感知聚焦于网络资产或网络行为的单个原子级元素,例如单个可疑网络包、对潜在入侵行为的告警或易受攻击的计算机等。另一方面,原子级的事件可能对整个网络的运行产生广泛的影响。这意味着网空态势感知的范围必须同时涵盖“微观”视角与“宏观”视角。获得全网感知的过程包含对网络资产和防御能力的发现与枚举,以及对威胁和攻击的感知。我们认为有效的网空态势感知必须聚焦于对决策制定、协同机制和资源管理的完善,并讨论了达到有效全网态势感知的方法。

因为人类认知能力以及相关支撑技术是网空态势感知的核心,所以这是第5章的重点内容。为了阐明人类态势感知中信息整合技术和计算表达方面的挑战和方法,该章聚焦于入侵检测的过程。我们认为有效开发能够以符合人类认知的方式形成网空态势感知的技术和过程,需要引入认知模型,即形成态势感知和处理决策制定信息所涉及的认知结构和机制的动态与可自适应计算表达。虽然经常认为可视化和机器学习是加强网空态势感知的重要方法,但是我们指出当前状态下它们在态势感知方面的发展和应用存在一些局限。目前,我们在理解网空态势感知的认知需求方面存在一些知识差距,包括:缺少一个在认知架构下的网络态势感知理论模型;决策差距,表现在网络空间中的学习机制、经验和动态决策制定方面;语义差距,涉及能够在安全社区中形成共同认识的一种通用语言以及一套基本概念。

因为认识到我们对网空分析师的认知推理过程的理解有限,所以第6章将重点讨论弥合这一知识差距的方法。首先,这一章总结了基于先前认知任务分析成果而产生的对网空分析师认知过程的理解。然后,讨论了采集记录“细粒度”认知推理过程的重要性和挑战。接着,通过呈现一个对网空分析师的认知推理过程进行非侵入式采集记录和体系化分析的框架,阐述解决上述挑战的方法。该框架包含一个概念模型,非侵入式采集记录网空分析师认知轨迹的实践方法,以及通过分析认知轨迹来提取网空分析师的推理过程的实践方法。该框架可以用于开展提取专业网空分析师认知推理过程的实验研究。当有可用的认知轨迹时,就可以分析其特性并与分析师的表现做出比较。

在许多领域中,数据可视化和分析产品有助于分析复杂的系统和活动。分析师通过图像来利用其视觉观察能力识别出数据中的特征,并应用其领域知识。同样,我们也可以预期采用类似的方式帮助网空分析师在实践中形成复杂网络的态势感知。第5章介绍了与可视化相关的主题,包括以网空分析师为代表的用户的重要作用,以及可视化的误区和局限性等。第7章将详细介绍用于网空态势感知的可视化。首先,该章概述科学可视化和信息可视化,以及近期用于网空态势感知的可视化系统。然后,基于与专家级网空分析师所展开的大量讨论,我们为待选的可视化系统推导整理出一系列要求。最后,对一个能够满足上述要求并且基于Web的工具进行案例研究,以结束该章内容。

可视化的重要性并不会弱化算法分析在实现网空态势感知方面的关键作用。算法能够对大量的网空观察结果和数据进行推理,并推断出有助于分析师和决策者形成态势感知的重要情境特征。为了实现推理并使推理结果有益于其他算法和人类用户,算法的输入与输出需要遵循包含明确术语定义及其相互关系的一致词汇表,即需要一个具有清晰语义和标准的本体模型。这是第8章的重点主题。第5章中提到了语义的重要性,这里将详细讨论在网空行动中如何应用基于本体模型的推断来确定威胁的来源、目标和企图,以确定潜在的行动方案和对未来可能造成的影响。由于在网空安全领域不存在一套综合全面的本体模型,因此该章将展示如何利用现有的网空安全相关标准和标记语言开发一个本体模型。

第9章进一步阐述了与推理相关的问题,并聚焦于机器学习这一对网空信息处理非常重要的特定类型算法。该章继续围绕本体模型和语义进行讨论,探讨了算法的有效性与算法产出物的语义清晰度之间的折中关系。通常情况下,不易于从机器学习算法中提取有意义的上下文信息,因为那些具有高准确性的算法经常使用人类难以理解的表达方式。另一方面,那些使用更易于理解的词汇进行表达的算法可能不太准确,会产生更多的虚假告警(误报)并给分析师带来困惑。因此,算法的内部语义与其输出的外部语义之间存在折中关系。该章将通过两个案例研究来阐明这种折中关系。网空态势感知系统的开发人员必须意识到这些折中关系,并设法妥善处理。

如第1章所述,第2级态势感知称为“理解”,用于确定某个情境中各元素相对于其他元素和网络总体目标的重要性,以及它们之间的关系。这也常常称为态势理解,包含根据观察到的信息所解读的“那意味着什么”问题。本书之前的章节没有重点讨论这一层级的态势感知。因此,第10章对第2级网空态势感知“理解”进行具体阐述。该章解释了理解情境中不同元素之间重要关系的有效途径是专注于分析这些元素如何影响网络的任务。这需要提出并解答一系列问题,包括:疑似攻击之间有什么关系,疑似攻击与网络组件的剩余能力有什么关系,以及攻击导致的服务中断和服务降级会如何影响任务的元素和任务的总体目标。

在讨论了第2级态势感知后,第11章继续讨论第3级态势感知。态势感知的最高层级是预测,包含推断当前情境将如何演化至未来情境,以及对情境中未来元素的预期。在网空态势感知的上下文中,对未来的网空攻击或网空攻击未来阶段的预测至关重要。攻击过程通常需要较长的时间周期,涉及大量的侦察、攻击利用和混淆活动,以达到网空间谍活动或破坏的目的。对未来攻击行动的预期通常以当前观察到的恶意活动为推导基础。该章回顾了现有最先进的网络攻击预测技术,然后解释了如何评估正在进行的攻击策略,并据此预测网络关键资产即将面对的威胁。这些预测需要根据网络和系统的漏洞信息分析可能的攻击路径,需要了解攻击者的行为模式,需要持续地学习或了解新的模式,以及需要有能力看穿攻击者的混淆和欺骗行为。

前几章主要围绕如何提高网空态势感知以及讨论所面临的挑战。然而,我们目前还未提到如何对可能实现的改进进行量化评价。实际上,为了取得对网络安全的准确评估,并提供足够的网空态势感知,简单但有含义的度量指标是必不可少的,正如第12章所述。“如果无法度量,则无法有效管理。”这句格言也阐明了这一理念。如果缺乏良好的度量指标和相应的评价方法,安全分析师和网空运行人员就无法准确地评估和度量网络的安全状态以及判断网络运行是否成功。特别注意该章探讨的两个不同的问题:如何定义和使用度量指标,并将其作为量化特征来表达网络的安全状态;如何从防御者角度出发定义和使用度量指标来衡量网空态势感知。

本书最后几章讨论了实现网空态势感知的最终目标。第13章指出,网空态势感知的最终目标是实现态势管理,即持续调整网络及网络所支撑的任务,以确保任务能够继续实现目标。事实上,前几章强调网空态势感知存在于具体任务的上下文中,并且服务于任务目标。能够“吸收”攻击并继续恢复到可接受执行水平的任务称为弹性恢复任务。网空态势感知的目的是维护任务的弹性恢复能力。该章解释了以任务为中心的弹性网空防御应当基于两个相互作用的动态过程的集体行为和自适应行为,这两个动态过程是网络空间中的网空态势管理,以及物理空间中的任务态势管理。还讨论了这种互相自适应过程的架构和支撑技术。采用这种架构,即使支撑任务的网络受到网空攻击的破坏,任务依然可以持续进行。


按 Ctrl+p 打印本页】【关闭