本书对网络空间安全态势感知的理论基础和面临的挑战进行了梳理，并系统介绍了传统战与网空战、形成感知、全网感知、认知过程、可视化、推理与本体模型、学习与语义、影响评估、攻击预测、安全度量等方面的内容，并对网络态势感知的弹性防御和攻击中恢复进行了介绍。本书适合网络空间态势感知的研究人员、技术人员全面了解网络空间态势感知的历史发展、技术框架、主流方法等，对网络空间安全态势感知的研究具有积极作用。

系统介绍网络空间安全态势感知的基础理论
全面解析网络安全态势感知的内涵、实现框架和前沿问题
重量级序言深入解读领域研究成果和产业实践

Alexander Kott、Cliff Wang和Robert F. Erbacher
对于高度网络化的社会，网络空间安全已经成为我们所面临的主要挑战之一。个人、企业和政府越来越关心网络犯罪、网络间谍活动和网空战争对他们造成的成本消耗和威胁。在网空防御领域，态势感知（SA）尤为重要。态势感知与科学和技术相关，也与在相关环境下对实体和事件进行观察、理解和预测的实践相关；而在我们讨论的上下文中，这个相关的环境就是网络空间。在航空、工厂运营或应急管理等领域，达到态势感知状态并不容易。在相对“年轻”的网空防御领域，实体和事件这些概念与传统物理现象有较大差异，这种情况下更难达到态势感知状态，而且也难以理解其含义。
我们（此处及后续的“我们”是指本书的所有合著者）以第1章作为全书的开头，介绍网空行动操作员如何形成态势感知，以及分析网空行动中支持态势感知的要求。基于这一领域的独特挑战，我们确定了在研发方面的几个关键推进点，并进一步探讨了这些要点，从而提供工具以有效地支持网空行动操作员的态势感知和决策制定。该章解释了为什么网空态势感知的形成对确保实现有效的网络防御和安全的网空行动至关重要。系统拓扑结构高度复杂多变，相关技术飞速发展，噪信比高，从攻击插入到实施破坏之间可能有较长的时间周期，多方面的威胁快速演变，事件发生的速度超出人类处理的极限，孤立非整合的工具达不到态势感知的需求，数据过载而数据含义却欠载，自动化所带来的挑战……上述诸多因素限制了当前网空行动中的网空态势感知。
虽然在网空安全领域态势感知是一个比较新的话题，但态势感知在控制复杂企业的运营和传统战争等方面的研究和应用却有较长历史。基于这一原因，态势感知在传统的军事冲突或敌我交战等方面，比在网空对抗中更广为人知。通过探索传统战争（也称作动能战）中态势感知的内涵，我们可以获得与网空冲突相关的见解和研究方向。这些内容是本书第2章的主题。这一章讨论了传统战争中态势感知的本质，回顾了关于传统态势感知（KSA）的现有知识，然后将其与对网空态势感知（CSA）的当前理解进行比较。我们发现传统态势感知和网空态势感知所面临的挑战与机遇是相似的，或者至少在某些重要方面是在同一方向上的。关于两者的相似之处，在传统和网络空间世界里，态势感知都会严重影响到任务的完成效果。同样，在传统态势感知和网空态势感知中也存在认知偏差。作为两者之间差异的一个例子，传统态势感知通常依赖于被普遍接受并广泛使用的组织化表现形式，例如战场的地形图。目前，在网空态势感知中还未出现这类通用的表现形式。
在讨论了网空态势感知的重要性和主要特征之后，我们进一步探讨它是如何形成的。网空态势感知的形成是一个复杂的过程，需要经过许多不同的阶段并产生一系列不同的输出。承担不同角色的人员使用多样化的规程和计算机化的工具来推动上述过程的进行。第3章将探讨在网空防御过程的不同阶段中如何形成态势感知，并描述在态势感知的生命周期中涉及的不同角色。此外，该章概述了网空防御的整体过程，进而识别出了在网空防御上下文中态势感知的若干个独特方面。该章还详细描述了作者开发的网空态势感知综合框架，并概述了相关领域的现状与发展。我们重点强调了网空态势感知中五大关键功能的重要性：从攻击中吸取经验、指定优先级、设定度量指标、持续诊断与缓解以及自动化机制。
第4章将继续围绕“如何形成感知”这一主题，同时专注于面向全网整体网络视图的一种特定类型的态势感知。我们使用“宏观态势感知”这个术语来表示基于网络整体动态的一种态势感知，这种态势感知将网络视为单一“有机体”，并对个体元素或个体事件进行汇总观察；这与网空态势感知正好相反，网空态势感知聚焦于网络资产或网络行为的单个原子级元素，例如单个可疑网络包、对潜在入侵行为的告警或易受攻击的计算机等。另一方面，原子级的事件可能对整个网络的运行产生广泛的影响。这意味着网空态势感知的范围必须同时涵盖“微观”视角与“宏观”视角。获得全网感知的过程包含对网络资产和防御能力的发现与枚举，以及对威胁和攻击的感知。我们认为有效的网空态势感知必须聚焦于对决策制定、协同机制和资源管理的完善，并讨论了达到有效全网态势感知的方法。
因为人类认知能力以及相关支撑技术是网空态势感知的核心，所以这是第5章的重点内容。为了阐明人类态势感知中信息整合技术和计算表达方面的挑战和方法，该章聚焦于入侵检测的过程。我们认为有效开发能够以符合人类认知的方式形成网空态势感知的技术和过程，需要引入认知模型，即形成态势感知和处理决策制定信息所涉及的认知结构和机制的动态与可自适应计算表达。虽然经常认为可视化和机器学习是加强网空态势感知的重要方法，但是我们指出当前状态下它们在态势感知方面的发展和应用存在一些局限。目前，我们在理解网空态势感知的认知需求方面存在一些知识差距，包括：缺少一个在认知架构下的网络态势感知理论模型；决策差距，表现在网络空间中的学习机制、经验和动态决策制定方面；语义差距，涉及能够在安全社区中形成共同认识的一种通用语言以及一套基本概念。
因为认识到我们对网空分析师的认知推理过程的理解有限，所以第6章将重点讨论弥合这一知识差距的方法。首先，这一章总结了基于先前认知任务分析成果而产生的对网空分析师认知过程的理解。然后，讨论了采集记录“细粒度”认知推理过程的重要性和挑战。接着，通过呈现一个对网空分析师的认知推理过程进行非侵入式采集记录和体系化分析的框架，阐述解决上述挑战的方法。该框架包含一个概念模型，非侵入式采集记录网空分析师认知轨迹的实践方法，以及通过分析认知轨迹来提取网空分析师的推理过程的实践方法。该框架可以用于开展提取专业网空分析师认知推理过程的实验研究。当有可用的认知轨迹时，就可以分析其特性并与分析师的表现做出比较。
在许多领域中，数据可视化和分析产品有助于分析复杂的系统和活动。分析师通过图像来利用其视觉观察能力识别出数据中的特征，并应用其领域知识。同样，我们也可以预期采用类似的方式帮助网空分析师在实践中形成复杂网络的态势感知。第5章介绍了与可视化相关的主题，包括以网空分析师为代表的用户的重要作用，以及可视化的误区和局限性等。第7章将详细介绍用于网空态势感知的可视化。首先，该章概述科学可视化和信息可视化，以及近期用于网空态势感知的可视化系统。然后，基于与专家级网空分析师所展开的大量讨论，我们为待选的可视化系统推导整理出一系列要求。最后，对一个能够满足上述要求并且基于Web的工具进行案例研究，以结束该章内容。
可视化的重要性并不会弱化算法分析在实现网空态势感知方面的关键作用。算法能够对大量的网空观察结果和数据进行推理，并推断出有助于分析师和决策者形成态势感知的重要情境特征。为了实现推理并使推理结果有益于其他算法和人类用户，算法的输入与输出需要遵循包含明确术语定义及其相互关系的一致词汇表，即需要一个具有清晰语义和标准的本体模型。这是第8章的重点主题。第5章中提到了语义的重要性，这里将详细讨论在网空行动中如何应用基于本体模型的推断来确定威胁的来源、目标和企图，以确定潜在的行动方案和对未来可能造成的影响。由于在网空安全领域不存在一套综合全面的本体模型，因此该章将展示如何利用现有的网空安全相关标准和标记语言开发一个本体模型。
第9章进一步阐述了与推理相关的问题，并聚焦于机器学习这一对网空信息处理非常重要的特定类型算法。该章继续围绕本体模型和语义进行讨论，探讨了算法的有效性与算法产出物的语义清晰度之间的折中关系。通常情况下，不易于从机器学习算法中提取有意义的上下文信息，因为那些具有高准确性的算法经常使用人类难以理解的表达方式。另一方面，那些使用更易于理解的词汇进行表达的算法可能不太准确，会产生更多的虚假告警（误报）并给分析师带来困惑。因此，算法的内部语义与其输出的外部语义之间存在折中关系。该章将通过两个案例研究来阐明这种折中关系。网空态势感知系统的开发人员必须意识到这些折中关系，并设法妥善处理。
如第1章所述，第2级态势感知称为“理解”，用于确定某个情境中各元素相对于其他元素和网络总体目标的重要性，以及它们之间的关系。这也常常称为态势理解，包含根据观察到的信息所解读的“那意味着什么”问题。本书之前的章节没有重点讨论这一层级的态势感知。因此，第10章对第2级网空态势感知“理解”进行具体阐述。该章解释了理解情境中不同元素之间重要关系的有效途径是专注于分析这些元素如何影响网络的任务。这需要提出并解答一系列问题，包括：疑似攻击之间有什么关系，疑似攻击与网络组件的剩余能力有什么关系，以及攻击导致的服务中断和服务降级会如何影响任务的元素和任务的总体目标。
在讨论了第2级态势感知后，第11章继续讨论第3级态势感知。态势感知的最高层级是预测，包含推断当前情境将如何演化至未来情境，以及对情境中未来元素的预期。在网空态势感知的上下文中，对未来的网空攻击或网空攻击未来阶段的预测至关重要。攻击过程通常需要较长的时间周期，涉及大量的侦察、攻击利用和混淆活动，以达到网空间谍活动或破坏的目的。对未来攻击行动的预期通常以当前观察到的恶意活动为推导基础。该章回顾了现有最先进的网络攻击预测技术，然后解释了如何评估正在进行的攻击策略，并据此预测网络关键资产即将面对的威胁。这些预测需要根据网络和系统的漏洞信息分析可能的攻击路径，需要了解攻击者的行为模式，需要持续地学习或了解新的模式，以及需要有能力看穿攻击者的混淆和欺骗行为。
前几章主要围绕如何提高网空态势感知以及讨论所面临的挑战。然而，我们目前还未提到如何对可能实现的改进进行量化评价。实际上，为了取得对网络安全的准确评估，并提供足够的网空态势感知，简单但有含义的度量指标是必不可少的，正如第12章所述。“如果无法度量，则无法有效管理。”这句格言也阐明了这一理念。如果缺乏良好的度量指标和相应的评价方法，安全分析师和网空运行人员就无法准确地评估和度量网络的安全状态以及判断网络运行是否成功。特别注意该章探讨的两个不同的问题：如何定义和使用度量指标，并将其作为量化特征来表达网络的安全状态；如何从防御者角度出发定义和使用度量指标来衡量网空态势感知。
本书最后几章讨论了实现网空态势感知的最终目标。第13章指出，网空态势感知的最终目标是实现态势管理，即持续调整网络及网络所支撑的任务，以确保任务能够继续实现目标。事实上，前几章强调网空态势感知存在于具体任务的上下文中，并且服务于任务目标。能够“吸收”攻击并继续恢复到可接受执行水平的任务称为弹性恢复任务。网空态势感知的目的是维护任务的弹性恢复能力。该章解释了以任务为中心的弹性网空防御应当基于两个相互作用的动态过程的集体行为和自适应行为，这两个动态过程是网络空间中的网空态势管理，以及物理空间中的任务态势管理。还讨论了这种互相自适应过程的架构和支撑技术。采用这种架构，即使支撑任务的网络受到网空攻击的破坏，任务依然可以持续进行。

计算机\安全

本书既包含了态势感知的内涵解读，也有全面的实现框架思考，更有对尚未解决的理论问题的探索，是网络空间态势感知领域罕有的完整而系统的基础文献。
—— 中国工程院院士 方滨兴
本书从传统战争态势感知概念这个原点出发，阐述态势感知的内涵，是对网络空间态势感知概念和所需要达成目标的正本清源。
—— 中国工程院院士 于全
本书有助于规划和实践者走出网络安全态势感知能力建设中展示为主、有态无势的误区；回归有效管理情景态势、提供响应决策、支撑保障业务运营和风险控制的目标。
—— 中国工程院院士　廖湘科

本书是一部关于网络空间安全防御与态势感知的专题学术文章合集，全面覆盖网络空间安全态势感知研究的理论要点，并包括丰富的面向实践的实验数据和经验教训资料，对从事网络空间安全态势感知研究与开发工作的读者极具指导作用，对广大网络安全从业人员也有较大的参考价值。
为深入解读本书内容，本书第一译者黄晟和安天首席架构师肖新光倾力作序。黄晟老师在序中系统回答了网络空间防御为什么需要态势感知、网络空间安全态势感知是什么、如何实现网络空间安全态势感知、如何围绕网空防御人员实现态势感知，以及支持实现态势感知的系统形态是什么五个问题。肖新光老师的序则从对手的变化、视角的变化、思路的变化、效果的变化四个维度，以安天为例梳理了网络安全企业在态势感知技术解决方案研发和推广实践过程中的经验和教训。
本书主要内容：
网空态势感知的重要性和主要特征
在网空防御过程的不同阶段如何形成态势感知
人类认知能力与态势感知的融合
网空态势感知的可视化
本体模型、机器学习与态势感知应用
理解感知环境中的元素及其关系，并预测未来情境
态势感知的量化评价方法
态势管理以及工作任务的弹性恢复能力

黄　晟
本书是一部关于网络空间安全防御与态势感知的专题学术文章合集，覆盖了网空态势感知研究方面的各个理论要点，并提供了大量面向实践的实验数据和经验教训资料，对从事网空态势感知研究与开发工作的读者具有非常重要的指导作用，而且对广大网络安全从业人员也有较大的参考价值。在本书的前言中，对所涉及各个理论方面的主要内容和贡献价值做了非常清晰的概括，建议读者在阅读正文之前先通过前言从整体上了解本书的内容结构和各章节间的相互关系。对于从事网空态势感知研究的读者，建议带着在工作中遇到的问题，全面阅读各个章节；对于从事网空安全防御工作并希望了解网空态势感知的读者，则建议至少深入阅读第1章以理解态势感知的基本概念，深入阅读第2章以军事进攻与防御视角了解网空态势感知，并且深入阅读第3章以了解围绕着网空安全防御过程有哪些主要角色职责、各自对应的态势感知需求及其所需要的支撑工具。
译者在十余年中致力于从事网络安全防御相关工作，并由于参与相关项目，从2013年开始重点关注网络空间态势感知这一热点领域。在参与本书翻译工作的过程中，深刻感受到与我国的网络空间态势感知研究与实践现状相比，国际上在这一相对“年轻”的学术应用领域的相关工作已达到较高水平；因此，也感受到迫切需要将国际上的网空态势感知研究成果和先进理念应用到我国的网络空间防御工作实践中，从而在日益严峻的网络空间威胁环境中为网络强国建设提供安全保障。因此，译者希望通过撰写本序言，以若干个在开展网络空间防御工作中遇到的与网空态势感知相关的问题或困惑为引子，结合我们的网络安全基础条件和实践工作现状，阐述对本书中的一些重要学术观点和研究成果的理解，从而在一定程度上帮助读者消化吸收书中的知识，并为推动实践应用提供一些启发。
第一个问题：网络空间防御为什么需要态势感知？
这是一个需要以网络空间发展的视角，从信息网络技术应用发展、安全防护工作模式转变、网络安全防御理念演化、网络安全防御体系建设模式变革与网络安全防御机制创新等多个方面加以考虑才能回答的根本性基础问题。
在信息化发展初期，信息技术以“办公自动化辅助手工操作”的原始模式为主，当时信息安全被认为是与信息化建设运维相互独立甚至略有矛盾的“边缘化”工作，而且在工作模式上以小范围研究为主，甚至很多时候工作资源运用侧重于攻击利用研究而不是防御保障方向。在这种信息交流较贫乏的情况下，信息安全防御的理念主要围绕着如何对网络和信息系统进行隔离，试图通过避免接触来保持系统的安全运行，并相应地将当时尚具有可行性的物理隔离作为最值得信赖的防御措施。在此情况下，态势感知与早期信息安全防护工作几乎不存在交集。
随后出现了信息化与网络化大规模建设与发展的阶段，广大企业开始依托网络与系统开展管理经营等工作，互联网也开始进入社会生活。此时，信息安全工作逐步被作为信息化工作的有益补充，并出现了一系列的信息安全标准与法律法规，以强制合规的方式推动了基础的信息安全保障体系建设工作。为了支撑业务管理与经营，网络信息系统间出现了频繁的信息交互，导致物理隔离机制逐渐变得难以奏效，随之出现了在网络和信息系统数量依然较少时尚能有效得到落实配置与漏洞管理的“一刀切式”信息安全防护理念，用于应对尚属于探索性的少量业余爱好式攻击行为。之后，随着大量网络与信息系统投入运行，为了确保对有限安全防御资源的有效利用，发展出的信息安全风险管理模式则强调“突出重点”的防御理念，优先保护那些有直接业务价值的信息系统和数据资产，防止其被当时水平有所提升但依然以非定向模式为主的攻击行动影响。从当前网络安全认知的视角回顾来看，当时信息安全防护工作主要表现为“被动合规”模式，“平衡风险、适度安全”的信息安全防御理念也偏重于“主观判断”。相应地，当时出现了将态势感知运用在网络空间中的早期研究尝试，但是并未在信息安全保障体系中发挥出必不可少的作用。
随着互联网技术应用的飞速发展，信息化程度得到了巨大的提高，特别是在移动互联网、云计算与大数据等新技术得以普遍落实运用的驱动下，迅速进入了网络化信息技术全面渗透社会运行、业务运营和日常生活的各个方面且已经密不可分的网络空间时代，并通过物联网建设和数字化转型发展实现了网络化信息技术与数字化生产制造技术的深度融合。由于日常工作与生活对网络化信息技术的依赖程度日益提升，网络与信息系统的地位也变得越来越重要，其中部分支撑社会运行的网络与信息系统已经被列为不容有失的关键信息基础设施。
因此，在高度依赖网络信息技术的网络空间时代，保障网络和信息系统可靠运行的安全防御工作已经变得不可或缺，甚至达到了与国家安全和国家利益密不可分的程度。网络空间的安全防护应当立足于更加积极的合规驱动工作模式，并进一步针对关键信息基础等重要领域实现主动有效的全方位体系化防护工作模式。
相应地，在网络空间时代，随着安全防护工作模式的转变，安全防御理念也出现了重大变化。正如本书第1章所述，网络空间时代的关键信息系统和重要数据资源，已经成为包括国家级行为体在内的各种网空威胁行为体所觊觎的目标。而且，网络空间中的网络威胁往往非常复杂，存在着从业余爱好者到高度组织化高水平实体的多层级网空威胁行为体。其中，那些具有中高能力水平且组织严密的网空威胁行为体，开始广泛利用网络空间开展意图明确的攻击性行动。因此，在安全防御方面不得不将网络空间与传统物理空间中的安全威胁综合起来统一考虑，从而进一步发展出以威胁对抗有效性为导向的网络空间安全防御理念，要求必须根据网络与信息系统的国家安全、社会安全和业务安全属性，客观判断必须有效对抗哪些层级的网络空间威胁，并据此驱动网络空间安全防御需求。
正如本书第11章所强调的，针对政企网络展开的网空攻击已经进入了新的时代，威胁行为体在网络空间展开了大量的侦察刺探、攻击利用和混淆隐匿行动，不仅以潜伏隐藏与数据窃取为目的的网空间谍行为达到了几乎无孔不入的程度，相应的网络战争的可能性也在日益增加。为了在网络空间时代对抗目标意志坚定的高水平网空威胁行为体，为了应对日益严峻的网络空间风险与威胁形势，为了切实保障好支撑网络空间良好运行的网络系统和信息资产，需要探索更加积极主动的网络空间安全防御模式，从而做到像本书所描述的那样，由安全分析与防御专业团队在网络空间中与各种威胁行为体展开积极的“隔空对决”。根据本书第2章所提出的观点，传统军事领域的很多实践对网络空间中的威胁对抗及安全防御具有重要借鉴作用。正如美国国防部2001年《四年防务评估报告》（U. S. Department of Defense 2001）中所提出的，随着冷战结束，国际形势日益复杂化，已经很难清晰地识别出所有的敌对威胁行为体，因此需要从基于威胁的规划模式转为基于能力的规划模式，更聚焦于敌对方可能采用的进攻方式，识别出为了达到威慑和击败敌人所需要的军事能力，同时关注随着科技发展而出现的潜在能力领域，并据此通过分析过程形成指导性的军事需求。借鉴国防军事领域的实践经验，需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式，演化为全面建设必要的网络安全防御能力，并将其有机结合以形成网络空间安全综合防御体系的能力导向建设模式。
在美国网络安全研究机构SANS所提出的“滑动标尺”模型（Lee R. M.，2015）的基础上，国内多家能力型厂商在取得共识后进行了延伸拓展，进一步提出了叠加演进的网络空间安全能力模型。该模型将网空安全能力分五大类别，其中基础结构安全、纵深防御、积极防御、威胁情报四大类别的能力都是完善的网络安全防御体系所必需的，而反制能力则应当由国家级网空安全防御体系提供。其中基础结构安全类别的能力，来自于在信息化环境的基础设施结构组件以及上层应用系统中所实现的安全机制，兼具安全防护和系统保障的双重意义，主要作用是有效收缩信息化环境中基础设施所存在的攻击面。纵深防御类别的安全能力，来自于附加在网络、系统、桌面使用环境等信息技术基础设施结构之上综合的体系化安全机制，以“面向失效的设计”为基本原则构建防御纵深，通过逐层收缩攻击面以有效消耗进攻者资源，从而实现将中低水平的攻击者拒之门外的防御作用。积极防御类别的安全能力，则如本书第1章所述，通过动态的体系化安全机制，实现对网空威胁行为体的侦测识别，并对所发现的网空攻击做出动态的自发响应，通过重新配置、恢复和重建等弹性恢复保障措施使任务关键系统能够持续正常运作，并随着技术发展引入事中阻断、猎杀清除和操控反制等针对威胁展开对抗的积极防御响应措施，从而达到本书第13章所提出的目标：即使在支撑工作任务的网络系统遭受网空攻击并被攻击控制的情况下，依然能够保持工作任务持续进行，并及时恢复到可接受的工作任务保障水平。在这一系列类型的网络安全防御能力的支撑下，通过实战化的网络安全防御运行，能够达到本书第3章中对全面完善的网空安全防御过程所提出的要求。
从叠加演进的视角来看待网络安全防御能力体系，基础结构安全与纵深防御能力具有与网络信息基础设施“深度结合、全面覆盖”的综合防御特点，而积极防御与威胁情报能力则具有强调“掌握敌情、协同响应”的动态防御特点，并且这些能力之间存在辩证的相互依赖关系与促进作用。
一方面，正如本书第1章所指出的，需要充分理解网络空间运行的技术与管理复杂性，以及由于复杂性而产生的不可回避的管理脆弱点和技术漏洞，并客观认识到这些问题将给网空威胁行为体提供突破已有防御机制的入口。况且，本书第2章指出，由于行动匿名性、攻击针对性、攻击自由度、人性弱点可利用性和取证困难等方面的特点，与网空防御者相比，网空威胁行为体具有较为明显的优势。事实上，正如为美国政府、军方和情报机关提供极高水平网络安全防御的美国国家安全局（NSA）下属信息保障局（IAD，以下简称NSA IAD）在相关专题论文（Willard，2015）中所指出的，即使他们在网空防御方面做出了巨大的努力，但是依然认为在工作中必须假定“敌人终将成功入侵”，并据此确立“敌已在内”的基本敌情想定。也就是说，那些具有高技术能力的威胁行为体，客观上可能采用各种手段来利用所有能够找到的脆弱点和漏洞，从而突破由偏静态的综合防御能力所构成的防线，进入我方网络环境持久潜伏并伺机展开行动。需要注意到，“内网基本安全，只需查漏补缺”的传统安全假设与实际情况在客观上已存在较大偏差；并应当意识到，在此假设上形成的零散式“漏洞扫描+修补整改”工作机制也已经难以应对眼前高度复杂的威胁环境。因此，有必要借鉴本书第13章所提出的理念，在敌情想定的基础上提升网络系统的可弹性恢复水平，特别是依靠具有动态特性的积极防御能力，在威胁情报能力的驱动下，通过全面持续监控发现威胁踪迹，并针对潜伏威胁展开“猎杀”（hunting）行动，从而做到对突防威胁的“找出来”和“赶出去”。
另一方面，也必须客观认识到叠加演进网络安全防御能力体系中各类能力之间存在着不可割裂的依赖关系。具有综合防御特性的能力虽然偏静态，但是在整个防御体系中起到了消耗进攻者资源的作用，不仅能够有效抵御大量中低能力水平威胁行为体的进攻行动，而且也能够对高能力水平威胁行为体的攻击行动起到压制作用，特别是可以收缩攻击面以降低攻击行动的自由度和隐匿性。因此，综合防御能力所构建的基础防线，能够为动态防御能力提供有利的威胁对抗环境，既能够有效防止由于低水平攻击行动泛滥的干扰而无从发现的潜伏的高能力水平威胁行为体，还能够有效利用实现综合防御能力的各种机制措施产生的大量安全信息，加强对高隐匿性攻击行动的发现能力。
综合来看，为了做好网络空间时代的安全防御工作，不仅需要通过完善并强化已有的静态防御机制实现兼顾结合面与覆盖面的综合防御能力体系，还必须加快建设动态防御能力体系，其中的关键正是针对网络空间时代的高水平复杂威胁行为体展开协同响应对抗的积极防御能力。要实现积极防御能力，不仅需要配备针对攻击行动进行响应对抗的装备系统和处置流程，更重要是必须为积极防御建立一套有效的动态指挥控制体系，从而保障响应行动的及时性、准确性、全面性和有效性。
正如本书第1章所总结，通过实现网空态势感知，能够高效地综合分析各种网空安全相关数据和威胁情报，对不断演化的网空威胁做出识别、理解和预见，在掌握整体安全情况的同时定向发现潜伏的安全威胁，并提供清晰明确的响应决策信息支撑，从而有效指挥对威胁行为体开展协同响应对抗行动，做到及时抵御攻击、进行恢复甚至实施反制。第1章中引用了美国空军的调研结果，认为“网空态势感知正是实现网络空间保障的先决条件”，突出强调了网空态势感知的重要性。而且NSA IAD的相关论文（Herring等人，2014），也明确指出了在高效快速对抗高水平威胁的网空积极防御体系（Active Cyber Defense，ACD）中，分布式共享态势感知具有决定性的重要作用。
因此，网络空间时代需要动态综合的网空安全防御能力体系，其中针对威胁行为体的攻击行动展开协同响应与处置的积极防御能力具有不可或缺的关键作用，而运用威胁情报驱动高效积极防御的动态指挥控制机制依赖于网空态势感知。
第二个问题：态势感知是什么？
按照本书第1章作者Mica R. Endsley于1995年（Endsley 1995）所提出的最为广泛使用的态势感知定义：态势感知是“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态”。基于这一定义，态势感知由三个分层级的阶段所组成——观察、理解和预测，而且其输出将被直接馈送至决策和行动的周期中。在此基础定义的基础上，为了深入探讨如何在高度动态的系统环境中通过态势感知支持高效的决策制定与行动执行，Endsley进一步明确了相关术语的定义，提出态势感知应当被作为一种“知识的状态”，而“实现、获取或维持态势感知状态的过程”则应被称为态势评估，并且强调应当对这两个概念加以区分。
尝试从网络空间安全防御工作视角加以理解，需要将积极防御中各种与指挥控制相关的工作结合至态势感知概念定义的三个层级阶段，按照本书第1章中描述的态势感知动态决策模型来实现网络空间态势评估过程，确定对各类型网络空间动态环境信息的输入需求，接收持续监测网络和系统所采集的网空数据和安全事件信息，结合关于工作任务目标、网络与系统架构、威胁情报乃至国际关系与地缘政治环境等的上下文信息，理解潜伏威胁的攻击行动、当前影响节点范围与可带来的网空效应，进而对下一步攻击行动、未来影响节点范围与可能造成后果等方面做出合理推测和预估，并通过对备选行动方案进行对比评价以确定行动计划，进而有效指挥针对威胁的积极防御响应处置行动。
值得注意的是，在对网络空间中态势感知概念的理解上，有时候存在一些不甚清晰的情况。其中，“态势”经常因为常用语境而被片面理解为“宏观态势”，但实际上还必须包含“中观情境”，才能够有效支撑决策制定和响应处置；另一方面，“感知”也经常被理解成为“感官观察”，进而在网络空间领域被理解为数据采集和可视化呈现，但实际上正如本书第8章所引述的韦伯斯特词典定义，“感知是指人们在观察中的警惕性，以及对所经历事物展开推导所得到的机敏性”，其内涵超越了简单的观察，并且更强调通过运用知识而获得面向响应处置的机敏能力。
困惑1：态势感知应当面向策略调整还是战术响应？
在实现网空态势感知的网络空间安全防御工作实践中，经常会将态势感知理解为对“宏观态势”的“把握掌控”。对应地，就出现了一个令人困惑的情况，因为如果网空态势侧重于对宏观态势的掌控，其输出的决策支持信息将主要被用于引导对安全策略的优化调整，虽然这种“宏观”模式与基于PDCA（Plan-Do-Check-Adjust，计划-执行-检查-调整）循环的信息安全风险管理生命周期相比具有更高的主动性和动态性，但是在攻防对抗的时间周期上仍然无法适应高速多变的攻击行动，而且在调整范围上也只能局限于较粗的粒度。简而言之，正如本书第4章所提出的，这种面向策略调整的网空态势感知确实具有一定的网空防御作用，但是仅依靠这种宏观态势感知也确实难以支撑有效的积极防御体系。本书第3章中明确提出，必须围绕当前态势关于是否存在攻击行动、攻击行动的当前阶段和攻击者位置等方面回答一系列基础问题，这说明态势感知还应当面向在宏观层面之下但又高于微观细节的“中观层面”。
事实上，正如本书第1章所指出的，网空攻击行动可能在不到一秒的时间内发生。同时，如本书第3章所指出的，为了有效抵御快速发生的网空攻击行动，不仅需要阻止攻击者入侵导致的网络系统初始“沦陷”，还必须能够发现已被入侵控制的计算机，并采取响应措施预防或阻断攻击者的后续行动。因此，网络空间中的积极防御行动更应采用源自于美国空军飞行员作战训练的OODA（Observe-Orient-Decide-Act，观察-调整-决策-行动）循环，快速针对网空安全事件展开事件检测、事件理解、决策制定和行动执行，从而实现抵御攻击、进行恢复甚至实施反制的积极防御目标。因此，正如NSA IAD在相关专题论文（Herring等人，2014）中论述的网空积极防御体系，网空态势感知应当能够支撑战术响应，而且应当能够接受与处理所采集的微观层面数据，以及侧重于微观层面的入侵检测事件信息，进行观察并在中观层对所观察信息进行组织与理解，进而根据在中观层面的合理推测来制定决策，然后通过执行响应行动对网空环境中的节点实体产生微观层面的安全影响。
进一步从与高水平威胁的对抗角度来看，由于网空攻击发生速度极快，对高水平威胁行为体长期潜伏后某一次快速发生的突然进攻做到事前或事中阻断可能非常困难。因此，需要结合在中长时间周期中对抗威胁进攻行动所积累的经验知识，根据所监测到的突发事件信息，采用网空态势感知发现潜伏的高级威胁并确定其影响节点范围，指挥对所暴露威胁展开猎杀清除等响应行动，并通过向积极防御体系中的具有实时监控响应能力的设备或系统下发威胁对抗策略，实现对越来越多的“已知”攻击行动展开实时阻断。
综合来看，网空态势感知需要兼顾宏观与中观两个层面，需要将实时的监测采集数据与中长期的情报、经验和知识积累结合在一起，支撑实现短期的响应行动与中长期的策略调整工作。
困惑2：态势感知只是为了满足整体安全状态展示的需要吗？
近些年我国在网空态势感知方面取得了较多的成果，建成了许多与态势感知具有一定关系的网空防御平台。但是，一个实践中的困惑也随之而来：现在这种以整体安全状态展示为主的模式，代表了态势感知所必须满足的主要需求吗？
首先，我们必须客观地认识到，与忽视采集分析安全监测数据且不主动掌握安全状况的早期网络安全运行模式相比较，通过建设与态势感知相关的系统平台，加强对安全数据的统计汇总和对安全状况信息的主动展示，确实具有较大的积极意义，并且也确实能够揭示一些中长期存在的安全问题，并推动展开优化调整安全策略等解决措施。
然而，正如本书第13章所指出的，网空态势感知的最终目标是对情境态势进行有效管理，需要不断地针对攻击行动做出积极防御的响应对抗，及时调整网络及其所支撑的工作任务，实现以工作任务为中心的可弹性恢复网空防御能力，从而达成业务运营保障和业务风险控制的目标。又如前文所探讨的，网空态势感知作为网络安全积极防御体系所依赖的动态指挥控制机制，必须能够有效支撑中观层面的战术响应行动，因此就需要对经过聚合的系列安全事件进行中观层面的结构化呈现，需要向网空防御人员提供备选的积极防御响应行动方案，并基于比对和评价对抗措施以提出行动建议。正如本书中多个章节所强调的，网络空间安全防御不仅面临海量数据规模的严峻挑战，还必须能够及时处理以极高速度源源不断产生的各种安全相关事件信息，因而即使经过态势感知相关机制的聚合汇总后，依然会有大量疑似安全事件需要由网空安全防御人员进行甄别分析，从而制定准确的决策并展开有效的响应处理行动。因此，围绕着网空态势感知的积极防御工作，必须由参与网空防御的各个角色人员协同完成，通过“分片包干”以覆盖规模日益增长的信息化环境，通过“专业分工”以确保提供充足的经验与能力来对抗高水平威胁。类似地，本书第3章通过对网空防御过程的分析，提出了安全分析师等一系列必不可少的网空安全防御角色。况且，为了保证响应行动的有效性并降低潜在的负面影响，还应当得到信息化建设与运维人员的协同配合。如本书所强调的，必须在组织机构的网空安全防御总体使命与愿景的驱动下，对涉及积极防御的各个角色的当前工作职责做出适应调整，根据态势感知和协同响应的工作特点确定各个角色的高阶目标，并采用目标导向任务分析（GDTA）方法来列出各个角色所需要做出的主要决策，进而详细描述为了支持每个决策而在态势感知三个层级所应当满足的需求。针对网空防御行动中每个参与人员的独特岗位，根据上述态势感知需求，确定需要向其提供哪些基本数据，以及确定相关系统需要以何种方式对信息进行整合，进而定制面向不同角色的网络空间通用作战态势图。
综合来看，积极防御中的态势感知，不能止步于向网空安全防御人员展示整体安全状态信息，而是需要根据具体工作目标和工作任务确定多种角色的不同态势感知需求，并以交互方式向承担各个岗位的网空安全防御人员乃至信息化建设运维人员提供必要的信息支撑和分析能力。
困惑3：“地图+炮”形式的态势感知为何效果不显著？
在最近几年的网络安全建设发展过程中，逐渐出现了一种趋同的实现模式，许多与网空态势感知相关的平台都将叠加在地图上的安全告警地理信息、安全告警分类聚合统计和最近发生安全告警清单作为主要的展示信息，而且越来越多的用户和厂商都开始将这种信息展示形式理解为“态势感知”。可能是为了加强安全告警的形象化展示效果，大多数厂商都采用了绚丽的“炮击”视觉效果，在地图上呈现安全告警所代表的疑似攻击行为的发生方向，因此被业界戏称为“地图+炮”形式的“态势感知”。
从运行效果来看，通过这种生动的安全告警可视化展现方式，确实能够向安全防御人员揭示当前网络安全状况的严峻程度，从而打破以往因为看不到而盲目自信的被动局面，进而促使各级企业机构启动对网络安全防御体系的完善工作。然而，随着这些平台上线运行时间周期的延伸，也有越来越多的网络安全从业人员对其效果提出了疑问。
实际上，目前的这种趋同模式，主要侧重于展现宏观的整体安全状态，并罗列部分微观的安全事件信息。根据本书第3章，这种模式只能回答关于当前态势的“有没有正在进行的攻击”这一问题，而无法提供关于攻击行动阶段和攻击者位置的信息，更难以回答关于影响、演化、行为、取证、预测和信息源评价的一系列问题。事实上，由于缺乏在中观层面对安全信息进行结构化组织与聚合呈现的能力，所以难以支持网空安全分析人员对威胁行为体的攻击行动做出有效理解，实际上是“感而不知”；而且，由于缺乏网空分析人员对疑似安全事件进行甄别核实所需的交互分析能力，以及网空安全防御人员制定决策并开展响应行动所需的交互操作能力，所以难以有效满足各种网空安全防御角色的态势感知需求，更无法有效指挥积极防御工作，实际上是“感而不为”。
总体来看，确实迫切需要完善当前的网空态势感知实现模式，强化态势感知对各种网空防御人员角色的支撑能力。值得注意的是，本书的各章节中阐述的主要观点和研究成果，对开展网空安全防御体系中的态势感知发展创新工作，能够起到重要的参考借鉴作用。
第三个问题：如何实现态势感知？
那么，应当采用何种方式在网络空间安全防御工作中达到态势感知这种状态呢？根据书中的态势感知定义，最直接的回答可能是：“加强网络安全数据和日志信息采集以实现态势感知的观察层，通过可视化展现让安全分析师掌握网空态势以实现态势感知的理解层，并采用各种数学模型测算未来的发展状态以实现态势感知的预测层。”值得注意的是，我国网络安全行业在近些年还出现了一种很常见的提法，认为态势感知可以逐层分阶段实施，例如，可以优先做数据采集与可视化实现第一层“观察式的态势感知”，然后等待网空安全分析人员水平提高后再着手实施第二层“理解式的态势感知”，接着等待人工智能/深度学习等技术成熟后才尝试第三层“预测式的态势感知”。更有甚者，会因为“perception”（观察）一词具有“感知”的中文译法，认为类似“地图+炮”形式的安全数据采集与可视化模式，就属于一套完整的“简单态势感知”，而“理解”与“预测”则属于所谓“高级态势感知”的范畴。
事实上，在本书第1章描述的态势感知模型中，实现态势感知的过程包含观察、理解和预测三个阶段，虽然从认知过程发展的角度来看也对应着三个层级，但并不意味着这三个层级可以割裂开来分别实现，更不能将其视为三套不同水平的“完整态势感知”体系。此外，必须清楚认识到，态势感知的目的是支持决策制定和行动执行，如果止步于观察或理解阶段的态势感知相关过程，则仅能达到“感而不为”或“知而不为”的残缺效果。正如本书第5章所明确指出的，态势感知本身并不是最终目的，而只是在快速演变复杂环境中用于支持明智决策的手段，因此也是通过做出准确的积极防御决策以有效对抗威胁的先决条件。
根据本书所描述的态势感知模型，在第一级态势感知（观察阶段）需要对其所关注网络和系统及其运行环境中的显著信息进行传感（sensing，也经常因为被翻译为“感知”而引起对态势感知的错误理解）检测，从而形成对各类系统节点、当前协议、已被攻击受控节点、活动历史记录和受影响系统IP地址等侧重于微观层面的环境元素状态的感知；在第二级态势感知（理解阶段），则应当结合网空防御目标来解释前述状态信息的含义或显著性，像“2+2=4”那样结构化地组织整合信息以形成中观层面的全貌图景，并聚焦于针对当前情境回答“那意味着什么”这个核心问题，从而对正在发生的网空安全事件形成理解，而且重点关注特定节点易于遭受攻击的程度（节点视角）、攻击行为的检测特征（检测特征/模式角度）、哪些攻击事件可能相互关联（事件间关联关系视角）、给定事件对当前任务运行的影响以及对竞争性事件的正确优先级排序；在第三级态势感知（预测阶段）需要对所理解的安全事件信息展开前向时间的推断，以确定其将如何对运行环境的未来状态产生影响，也就是根据所理解的威胁攻击轨迹等信息对攻击行动的发展方向做出合理推测，基于网空防御人员对当前情境态势的理解，结合对网络和系统的了解，预测下一步可能发生的情况，特别是受影响节点范围的扩展情况，以及威胁行为体攻击行动的延展情况。
根据Endsley在1995年（Endsley，1995）提出的动态系统中基于态势感知实现高效决策制定的研究成果，在态势感知模型中不仅仅存在观察、理解和预测三个层级阶段，还与一系列认知因素密切相关，其中注意力与工作记忆的局限性的影响非常明显，并有很高可能性将会导致出现低水平的态势感知。
如果简单地按照对态势感知三个层级阶段的理解直接设计相关系统平台，就像本书第9章中相关研究调研部分所提到那些回避恶意行为检测和上下文情景化的例子，将观察阶段实现为单纯的数据采集和处理，将理解阶段实现为可视化展示呈现和按需交互分析，并在预测阶段将问题丢给网空安全分析人员，让他们各自猜测可能的未来发展情况，并让网空安全防御人员自行琢磨应当采取哪些响应行动措施，就有可能导致低水平态势感知，而且在海量网络流量面前，这种完全依赖分析人员处理能力的模式不具有可持续性。其中，导致这种问题情况的决定性因素，正是来自于上述的两大制约因素：注意力与工作记忆。具体来看，一方面，如果在观察阶段缺少对明显线索的识别发现，则无法引导网空安全分析人员的关注方向，导致他们不得不耗费大量精力在海量的多样化数据信息中查找可能有意义的线索，而且数据过载问题会使情况变得更加难以控制；另一方面，如果在理解阶段只能提供某些固定的宏观整体情况信息可视化呈现，或者仅提供开放性的交互式数据查询与数据钻取功能，则需要分析人员耗费大量精力在脑海中尝试对多样化的信息做出组织与解释，而且在很多情况下无法保证分析人员能够正确理解哪些属于关键信息，也无法发现关键信息之间的关联关系；还有就是，如果在预测阶段无法提供充足的信息来引导分析人员，则可能使原本应当依据攻击轨迹做出的合理推测，变成凭空进行的无依据猜想；最后，如果无法向网空防御人员提供响应行动的决策支持信息，那么他们可能绞尽脑汁也无法制定出可行的威胁对抗行动方案。其实，如果采用偏学术的语言来描述这些问题，观察阶段引导信息查找关注方向的问题涉及注意力，各个阶段所提到的“精力”问题则与工作记忆密切相关，而那种给工作记忆带来巨大压力的临时应激工作方式则属于“启发式的细致心智计算”。诚然，对于某些经验极为丰富的高水平网空安全分析人员来说，利用这些缺乏整合且分阶段割裂的“原生态”式基础功能，还是有可能达到态势感知效果的，但是在时效性和高水平对抗方面难免存在不足；然而，对于大部分缺乏经验的网空安全分析人员和网空安全防御人员来说，则几乎无法在略微复杂的网络空间环境中实现态势感知。正如本书第2章所指出的，在网络系统中能够获取海量的安全信息，如果仅片面地加大提供和共享信息的数量，而未能相应地通过快速处理提高数据的质量，会导致超越人类认知局限性的阈值，压倒相关人员及时进行分析处理的能力，从而给指挥控制人员带来挑战；而且，片面强调数据采集和可视化，还可能导致网空安全分析人员产生“我可以看到一切”式的虚假安全感，进一步因为缺少引导，导致放大“乐观偏差”、易得性偏差与确认偏差等认知偏差所带来的负面影响。
实际上，目前所建设的不少态势感知相关平台都存在着这种情况。随着网络流量飞速剧增，必须改变依赖网空安全分析人员直接查看监测系统与工具输出信息的低效模式，并促成网空安全分析人员的工作职责转向更抽象且更高阶的验证分析任务。因此，如何为网络空间安全防御实现高效的态势感知，已经成为一个难以回避的迫切问题。
第三个问题延伸出的增补问题：如何实现高效的态势感知？
本书在介绍态势感知模型时，重点提出了长时记忆机制对态势感知的影响作用，指出根据经验和知识在长时记忆中形成的认知结构——主要是图式与心智模型——有助于实现更高效的高水平态势感知，而在第5章中也结合ACT-R模型和基于实例的学习理论（IBLT）对相关的认知机制进行了分析。如Endsley在其经典文献（Endsley，1995）中所指出的，图式这种认知结构来自于人员曾经面对过的情境态势，在去除一些细节信息后成为可用于模式匹配的一致性结构化知识理解框架，涉及系统组件、系统状态和系统运作等方面的信息，并在认知机制中可用于对知识的长时存储与查找获取，而且能够关联绑定与对应情境态势的行动方案脚本（本质上也是一种包含动作序列的特殊图式）。心智模型作为一种与图式关联的认知结构，代表着人员对系统的目的和形态形成的描述、对系统运作机制和所观察系统状态做出的解释以及对未来状态做出的预测，可以被描述为一种能够对系统行为进行建模的复杂图式，也可以被认为是某个特定系统的图式。
结合网空安全防御的上下文来看，图式和心智模型来自于对工作任务目标、网络与系统结构、网络与系统运作机制、威胁行为体情况和威胁情报等多种具象信息的理解与抽象。其中，图式主要包含检测发现威胁行为体攻击行动所需要的匹配模式；与图式关联的心智模型则是采用结构化形式整合组织相关信息以帮助网空安全分析人员进行理解的模型框架，而且也包含着所表征情境态势对应的可能发展轨迹及未来状态；与图式关联绑定的脚本，则包含着所表征态势情境对应的待选响应处置行为序列。正如本书第8章所描述的，如果结合STIX威胁情报框架来看，图式与IOC（威胁指示器）密切相关，心智模型与TTP（战术、技术和行为模式）/攻击模式密切相关，而脚本与行动方案密切相关。此外，在心智模型中还需要包含通过了解已有网络系统而形成的知识，特别是需要解决“与业务结合”这一长期困扰网络安全行业的问题，从而在模型中包含网络节点或系统组件等实体与业务运行的关联关系。而本书第10章和第13章中提出的工作任务建模方法，能够将工作任务分解后与网络空间中的相关实体进行依赖/支撑关系的对应映射，进而借鉴书中描述的攻击轨迹、攻击图与漏洞树等建模机制，将与实体关联的漏洞、进攻行动与技术影响等信息关联至工作任务，从而面向态势感知的理解阶段，实现可推理至业务影响层面的模型。
通过充分利用以图式和心智模型为代表的长时记忆机制，可以实现高效的网空态势感知，能够有效规避注意力和工作记忆局限性的制约影响。结合书中所介绍的态势感知模型，可以形象地理解为：采用长时记忆机制，能够把各个层级的态势感知阶段串接起来，并且在相邻两层级之间实现由长时记忆中认知结构引导的模式匹配或者关联推导，从而通过提高各阶段内认知任务的定向确定性，以降低对网空安全分析人员和网空安全防御人员经验知识的要求和对工作记忆的压力负荷。
具体来看，在观察阶段之前对所采集数据与事件信息等网空环境中的元素进行并行处理，对大量网络数据和安全事件信息进行缩减、过滤与预处理，并根据预先确定的经验知识完成数据丰富化、基础特征值抽取和基本标签标定等处理操作，从中识别出某些并不存在于原始数据信息中的涌现特征，从而引导观察阶段所需要聚焦的关注方向；在观察阶段，则需要超越基于线索的简单观察模式，而应当根据以图式等形式存在于长时记忆中的认知结构，借鉴第10章所描述的告警关联方法，采用信息融合机制（Steinberg & Bowman，2008）将所观察到的证据型环境元素聚合为攻击轨迹等安全信息（George P. Tadda，2008），并与长时记忆中的图式进行模式匹配，从而将匹配命中的图式作为疑似攻击行动事件输出至理解阶段；在理解阶段，则将与疑似攻击行动事件图式相关联的心智模型作为框架，从可用的安全信息和对网空环境的基本了解知识中识别出框架所关注的关键特征，进而代入框架成为心智模型中相应的关键特征，从而使网空安全分析人员能够基于心智模型框架，实现书中所描述的信息整合组织与结构化呈现，据此开展可视化和数据钻取等交互式分析，甄别挑选出最有可能的攻击行动事件，达到将攻击轨迹对应至已知或未知攻击策略的要求，并根据其对应的心智模型理解攻击行动背后的威胁行为体，以及理解可能对工作任务造成的影响；在预测阶段，则基于在理解阶段所确定的攻击行动心智模型，将当前态势情境与模型中所描述的典型攻击模式进行结合，预估正在进行中攻击行动的策略演化情况，从而推测出合理可能的未来状态，特别是对攻击影响节点范围的预测，以及对攻击影响效果的预估；根据预测阶段输出的心智模型（及相关图式）和未来状态预测信息，网空安全防御人员能够通过预估行动影响效果确定响应行动的优先级，并以对应图式所绑定的脚本作为蓝本，开发出威胁对抗响应的行动方案。在上述这种模式中，大量的工作记忆查找工作负荷被转化为模式匹配，而且所需的大量经验知识也可以被抽象固化至长时记忆，从而在提高态势感知效率的同时，保障积极防御响应行动的效果水平，并同时降低对网空安全分析人员和网空安全防御人员的能力要求。
综合来看，这种高效态势感知的实现模式，代表了本书所提到的基于案例推理分析过程，正是一种通过威胁情报驱动态势感知以指挥积极防御的动态综合体系化网空安全防御模式。
困惑4：如果实现全自动化的防御响应机制，还需要态势感知吗？
随着以模式识别和深度学习为主的人工智能技术应用的迅速发展，自动化防御响应机制已经成为网络空间安全领域中一个被寄予巨大期望的未来方向。特别是面对由于海量安全数据而导致分析处理工作负荷过载的情况，以及考虑到攻击会以极快的速度发生，自动化机制确实具有不容忽视的优势。近些年来，有越来越多的专家学者开始探讨使用全自动化的防御响应机制来对抗网络安全威胁，甚至以非常乐观的态度预测：网络安全分析人员和网络安全防御人员将被自动化防御系统所取代。
实际来看，如NSA IAD提出的网空威胁技术框架（NSA，2018）所揭示的，高水平的威胁行为体通常会使用高度隐匿的攻击手法，特别是将攻击行动痕迹分散在不同的网络区段和系统层次，从而使防御方仅依靠局部的有限信息难以做到识别发现与追踪溯源。又如本书第1章所描述的，攻击发生时间点与攻击效果显现时间点之间的间隔可能相当分散，长期潜伏的威胁可能在到达某特定时间点或发生某特定事件时才被触发并发起网空攻击行动，从而严重影响防御方将特定攻击的相关行为与其后果做出关联的能力。而且，客观上来看，对网络与系统进行正常管理维护的行为，很难与攻击行动的迹象加以区分，甚至在特定情况下“合法”网空行为所表现出的变化，可能会比攻击行动所带来的变化更加显著；此外，网络空间中有许多的活跃用户人员，客观存在着“与一位无辜购物者有机会表现得像危险恐怖分子的情况相比，一位不知情的计算机网络用户更有机会产生恶意的行为”的情况，再叠加上威胁行为体在行动模式和可见性方面所拥有的非对称优势，将会导致攻击行动能够隐匿于大量复杂难辨的用户行为中。还有就是，作为传统“攻击者-防御者”对抗的概念延伸，网络空间的攻击行为背后通常会涉及多名人类决策者，相应地也会因为人类认知机制、敌我双方交互对抗和多决策者并行协同等原因导致攻击行为难以被准确预测。因此，如果缺少全局整体的信息掌控和长期积累的经验知识，将很难实现对高水平威胁的检测发现，而目前所构想的大多数自动化防御系统在这两个方面都存在不足。在当前所面对的复杂网空威胁环境下，以网络入侵检测系统（NIDS）为代表的各种监测系统与工具，主要是作为预处理器根据与网空攻击行动的相关性对海量网络流量与日志记录进过滤处理，从而向分析人员提供充足的信息以支持分类分流分析操作，并明确提出即使在广泛使用机器学习算法的情况下也难以消除分析人员深度参与的可能性。而且，自动化防御系统所依赖的机器学习等人工智能检测机制，在高度对抗的环境中也可能遭受到特征攻击而被蓄意操控（Akhtar等人，2018）。
与传统的入侵检测与防御机制不同，如果要实现全自动化的“无人”防御系统，就必须严格防止出现误报或漏报的情况，以免带来较大的风险：漏报将导致威胁长期潜伏且攻击行动无法被发现和处置；误报将对网络空间运行带来干扰影响，并有可能被威胁行为体蓄意利用作为攻击效果“放大器”。因此，在前述问题导致难以准确检测高水平威胁的情况下，实际上较难脱离网空安全分析人员与网空安全防御人员而实现全自动化防御系统。正如本书第3章所论述，不需要牵涉任何位于控制闭环内人员的“无人式”自动化防御机制，是一个仍然遥不可及的愿景，而且目前不存在以可实践方式实现这一愿景的具体路线图。
因此，既需要避免“人在控制闭环外”的“失控式”全自动化防御系统对网空运行带来过多干扰，同时需要避免因“人在控制闭环中”的“手工为主”防御模式带来的分析与响应压力挑战。有必要采用“人在控制闭环上”的“半自动化”防御模式，将网空安全分析人员和网空安全防御人员视为获得态势感知所不可或缺的“系统组成部分”，并且使参与控制闭环的人员能够通过使用自动化工具而提高防御效果。
事实上，围绕着军事领域中自主系统（autonomous system）的应用方式已经开展了充分的探讨（Cummings，2014），可以认为在能够预见的近期乃至中期未来，虽然涉及操作技能和行为规则的简单工作正逐渐转由自主系统所主导，那些需要运用经验知识与专业能力的工作依然将高度依赖于人员参与。在网络空间防御工作中，对于那些误判可能性小且响应行动影响范围较受控的低水平或高置信度已知的攻击行动，可以采用受管控的自动化防御机制进行处置；对于存在检测不确定性的中等水平威胁，则需要网络安全分析人员参与甄别确定，以避免由于误判而导致对网空运行的干扰影响，并在自动化执行响应行动方案前由网空安全防御人员进行确认放行；对于那些高水平威胁，则需要由网空分析人员基于线索展开深入的甄别分析，并需要由网空防御人员对响应行动方案做出优化调整，并采用自动化处理与手工处理相互结合的方式展开威胁对抗。
因此，实际上需要讨论的问题并不是在自动化防御机制与态势感知之间“二选一”的问题，而是如何将二者有效结合的问题。
第四个问题：如何围绕网空防御人员实现态势感知？
正如本书所指出的，网空防御领域需要一种人机结合的工作方法，将技术系统与人类认知能力融合在一起，从而在各种复杂的网空环境中实现态势感知。而且，实现网空态势感知的实际系统，不仅包括硬件与软件系统，还必须包括制定网空防御高阶决策所需的心理模型。因此，需要通过加强人员与技术系统之间的交互关系，避免“人在闭环外”式自动化机制带来的态势感知损失问题，同时需要由入侵检测技术、机器学习技术、信息融合技术与可视化技术相互结合的模式，综合利用技术系统与人员认知能力各自的优点与长处：采用系统的数据处理与信息整合能力应对网络空间海量数据过载和高速流动的挑战，依托训练有素的网空安全分析人员的强大认知能力理解当前情境与发现那些隐藏的潜伏威胁和复杂的攻击行动，交由网空安全防御人员把控响应行动方案并监督响应行动执行过程，并在后续阶段利用系统的自动化响应执行能力对快速发生的已知攻击行动及时做出响应处置。
目前，为了实现上述人机结合的网空安全防御机制，通常会加强整合已有网空安全监控系统、网空安全防御系统设备及各种网空安全分析工具，通过对海量网络流量和日志信息进行相关性过滤等预处理，并采用第7章所介绍的方法，对已有系统的信息可视化机制进行改进增强，从而更好地面向网空安全分析师的个人态势感知观察阶段提供更显著和更易于解释的信息呈现，进而在充足信息的支撑下帮助网空安全分析人员为当前态势建立一个全面的图景。然而，一方面，面对日益复杂的网空威胁环境，仅优化环境元素层级的可视化机制，难以帮助网空安全分析师理解攻击行动的那些隐藏方面；另一方面，随着攻击行动层出不穷，对合格网空安全分析人员的数量需求也越来越大，而通过环境元素信息可视化直接形成个人态势感知所需经验知识的要求就显得过高。
为了在网空安全防御领域实现更有效的人机结合，本书也提出了“人员与自主系统协同组队”的工作模式，指出需要在自主系统和网空安全人员之间建立高度共享的态势感知。所以，在技术系统侧与人员侧都需要产生态势感知，而且需要通过用户界面实现这两侧态势感知的相互耦合（Faber，2015）。为了解决前述的人机结合挑战，应当基于通用模型表达当前安全态势的思路，以及通过高级显示和推荐系统等工具与功能提高网空安全分析人员工作效能的思路，实现以人员为中心的态势评估过程（Holsopple等人，2010），可以在用户界面上基于系统侧的态势感知相关模型呈现关于当前情境和过往细节的知识结构，从而解决因为仅对环境元素信息进行可视化而遇到的复杂攻击信息表达挑战，同时通过提供一系列的可能未来（plausible future）情境态势选项，降低对网空安全分析人员的经验与能力要求。
从系统侧来看，考虑到对网络空间通用作战态势图的展望需求，有必要改变传统入侵检测机制的非整合模式，特别是需要解决本书第9章中所指出特征检测和机器学习机制在检测结果语义方面存在含义欠载的挑战。因此，可以借鉴书中所介绍由长时记忆中经验知识引导的高水平态势感知实现机制。作为一种潜在的实现方法，按照本体模型对态势感知相关认知过程的增强作用，采用具有形式化语义的可机读语言对网空事件与相关联网空安全概念进行本体论建模的机制，使用类似图式的知识结构将离散的检测结果组织起来，以通过综合模式匹配识别出可能的情境态势；在此基础上，采用“杀伤链”情境本体模型来对网空安全事件信息进行结构化组织，使用类似心智模型的知识表达模型，将这些检测结果与关于网络与系统结构、网络与系统运作、威胁行为体和攻击行动的经验知识融合在一起；进而，一方面根据推理机制对合理可能的未来情况进行推断，另一方面也使用这种融合的知识表达模型向用户呈现可能的情境态势。具体来看，为了实现本书所描述的网空防御分析任务过程，并支撑对积极防御响应行动的指挥控制，需要实现有效的态势感知耦合，针对各个可能的情境态势，需要在系统侧向网空安全分析人员呈现一系列的信息：网空系统中的与该情境态势相关的组件、组件的关键特征、组件间的相互关系与作用、威胁行为体的目标意图、关联聚合的攻击行为轨迹、对攻击方目标的影响因素、对防御方目标的影响因素、对威胁行为体下一步行动的推断预判、对网络系统状态的推断预判、对进攻行动造成影响范围和效果的预估、对响应行动造成影响范围和效果的预估、对网络系统所支撑工作任务可能造成影响的预测以及与场景相关联的响应处置行动计划建议。
从人员侧来看，则可以围绕这种人机态势感知耦合机制，实现一种“二阶”的态势感知，通过培训等方式帮助网空安全分析人员形成必要的长时记忆认知结构，使他们能够掌握如何观察呈现在人机界面上的备选情境态势信息，以及如何使用信息可视化和数据钻取等交互方法进行甄别分析，从而确认选定最具有可能性的当前情境态势，并在所呈现信息的引导下实现态势感知的理解与预测阶段。此外，网空安全防御人员也需要在人机态势感知耦合用户界面的支持下制定响应行动决策，并可以通过用户界面向系统侧发出响应处置指令。
第五个问题：支持实现态势感知的系统形态是什么？
那么，能够支持实现态势感知的系统，其形态是怎样的呢？目前，我国网络安全行业大多认为存在着一种单体系统形态的“网络空间态势感知系统”，而且各个厂家竞相开展此类系统的研发工作。
但是，根据本书所提出的：“缺少一套能够为网络攻击的检测、理解和响应提供所需信息的整合工具”；“入侵检测系统是一种能够支撑网空态势感知和人类决策制定过程的重要技术，应当与其他很多能够帮助分析师进行分析甄别的工具一同使用”；“网空态势感知的实际工作发生在人员层面上，将来自不同的 NIDS 工具的报告，以人类的时间尺度，融合在一个手工的过程之中，从而为当前态势建立全面的图景”。可以发现，在国际上的网空安全防御学术研究圈中，通常将网空态势感知作为一种可以由多个系统或工具整合实现的状态效果，而且这也确实符合态势感知的经典定义（Endsley，1995）：“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态。”事实上，国际上的网络安全厂商也很少会推出“单体的态势感知产品”，而是经常会强调其产品或服务对实现网空态势感知能够起到哪些作用，并将态势感知作为一种综合利用各种已有技术与系统的产品设计模式与运行使用方式。
其实，结合本书所提出的“将网空态势感知活动更好地与能够产生效能或影响环境的活动进行整合”的需求，通过深入分析对积极防御的态势感知要求，可以发现网空态势感知涉及非常多不同的方面：既有宏观态势感知，也有面向战术响应的中观态势感知；既要满足中长期战略调整目标，也要满足近实时战术响应、日常化威胁猎杀和持续威胁监控目标。从围绕态势感知的积极防御响应行动协同参与方来看，既涉及网空安全分析人员、网空安全防御人员、信息化建设人员、信息化运维人员与网络系统用户，又涉及信息化管理层、企事业单位管理层和监管机构等利益相关方。从协同响应行动所涉及的系统和流程来看，涉及风险管理系统/流程、资产管理、配置管理、防御响应指挥控制（C2）、取证分析流程/工具、恶意代码解剖分析流程/工具，以及运维管理系统/流程等。从能力体系角度来看，不能让态势感知成为“空中楼阁”，而是应当着眼于实现以态势感知为中心的积极防御能力，必须依赖于基础结构安全能力提高置信度保障级别，依赖于纵深防御能力来保障观察效果并防范过载问题，以及依赖于威胁情报能力的重要驱动作用。从提高态势感知水平的能力来看，需要发现经由网络触及漏洞的所有路径的自动勘察能力、对多来源的数据进行关联和融合的能力、攻击路径可视化的能力、自动产生缓解措施建议的能力，以及最终对网空攻击所造成任务影响进行分析的能力。特别值得注意，正如本书第11章所指出，网空态势感知依赖于全面且及时掌握网络与系统各方面情况的“知己”能力，这与网空测绘、资产管理、配置管理、漏洞管理与补丁管理等基础结构安全能力密切相关，而且直接影响着态势感知所必需的攻击轨迹聚合与攻击策略预测能力的水平。
进一步从技术发展角度来看，越来越多的新型网络安全技术与围绕态势感知的积极防御体系具有非常紧密的依赖关系，依托于态势感知实现准确的威胁定位，甚至需要实现分布式的共享态势感知，具体包括：主机与网络侧自适应安全技术；基于上下文实时关联面向攻击者的欺骗技术与整合历史数据情境分析的NDR（网络检测响应）与EDR（端点检测响应）技术；“In-line”式深包处理、OpenFlow流量操控和面向攻击者的网络欺骗技术；以OpenC2为代表的协同响应指挥控制体系；全流量采集与解析以及定向按需采集等新型网络采集技术。
综合来看，几乎不可能以一个单体系统来满足积极防御对态势感知的多样化需求，而且事实上也存在着大量与态势感知紧密相关的系统设备和工作流程。因此，可能需要对实现态势感知的系统形态做出创新性的探索想定，引入系统工程（system engineering）理念（Walden等人，2015），把威胁情报驱动的积极防御体系作为一个由持续监测体系、协同响应平台、运维工作流/工单系统、知识管理/知识模型/知识工程体系、大数据分析系统、大数据交互式查询系统、可视化系统、大屏幕展示系统等多个构成系统有机组成的复杂超系统（system of systems），并将“态势感知”作为一个由所有构成系统通过网空安全人员的安全运行工作发挥相互作用以共同实现的一种“涌现特性”。基于这一想定，未来可以采用系统工程方法，体系化地设计以态势感知为中心的威胁情报驱动的积极防御体系，并据此在开展新系统建设工作的同时，对原有系统做出适应性调整。
参考文献
［1］ Akhtar N, Mian A. Threat of adversarial attacks on deep learning in computer vision: A survey, 2018［J］ . arXiv preprint arXiv:1801.00553.
［2］ U. S. Department of Defense. Quadrennial Defense Review Report［R］ . Washington, D. C. 2001.
［3］ Lee R M. A SANS Analyst Whitepaper: The Sliding Scale of Cyber Security systems［EB/OL］?. Tech. rep. SANS Institute InfoSec Reading Room, 2015. https://www. sans. org/reading-room/whitepapers/analyst/sliding-scale-cyber-security-36240.
［4］ Willard G. Understanding the co-evolution of cyber defenses and attacks to achieve enhanced cybersecurity［J］?. Warfare, 2015, 14, 17-31.
［5］ Herring M J, Willett K D. Active cyber defense: a vision for real-time cyber defense［J］?. Warfare, 2014, 13, 46-55.
［6］ Endsley M R. Toward a theory of situation awareness in dynamic systems［J］?. Human factors, 1995, 37(1), 32-64.
［7］ Herring M J, Willett K D. Active cyber defense: a vision for real-time cyber defense［J］ . Warfare, 2014, 13, 46-55.
［8］ Endsley M R. Toward a theory of situation awareness in dynamic systems［J］?. Human factors, 1995, 37(1), 32-64.
［9］ Steinberg A N, Bowman C L. Revisions to the JDL data fusion model, Handbook of multisensor data fusion［M］?. CRC Press: 65-88, 2008.
［10］ George P Tadda. Measuring performance of cyber situation Awareness Systems［C］?. Proceed-ings of the 11th International Conference on Information Fusion, Cologne GE, 2008.
［11］ National Security Agency. NSA/CSS Technical Cyber Threat Framework v1［EB/OL］?.2018. https://www.iad.gov/iad/library/reports/nsa-css-technical-cyber-threat-framework-v1.cfm.
［12］ Cummings M M. Man versus machine or man+ machine?［J］?. IEEE Intelligent Systems, 2014, 29(5), 62-69.
［13］ Faber S F. Analytics for Cyber Situational Awareness. SEI Blog［EB/OL］?.2015. https://insights.sei.cmu.edu/sei_blog/2015/12/flow-analytics-for-cyber-situational-awareness.html.
［14］ Holsopple J, Sudit M, Nusinov M, et al. Enhancing situation awareness via automated situation assessment［J］?. IEEE Communications Magazine, 2010, 48(3).
［15］ Walden D D, Roedler G J, Forsberg K, et al. Systems engineering handbook: A guide for system life cycle processes and activities ［M］ . John Wiley & Sons, 2015.

一个网络安全工作者的实践总结与反思
肖新光
经过了为期两年的翻译和审校工作，由网络空间安全专家黄晟同志协同安天研究院的部分同志翻译的《网络空间安全防御与态势感知》一书即将出版。本书是一系列专题技术文章的合集，同时很负责任地说，也是迄今为止业界在网络空间态势感知领域最为完整和系统的基础理论文献。
本书的主要译者黄晟同志致力于网络安全防御工作十余年，在网络安全规划建设等领域中做了大量有价值和有前瞻性的工作。他长期关注国际上的网空安全态势研究成果和先进理念，并发起了本书的翻译工作。他为本书撰写的“译者序”，以问题为导向，通过五个问答的形式，对本书的内容进行了非常深入的概括，并升华为更加清晰凝练的观点。“译者序”中提出了能力导向的规划与建设体系，区分了被戏称为“地图+炮”形式的态势感知与积极防御的指挥控制态势感知，提出了耦合式态势感知的思路，探讨了态势感知的复杂超系统形态，从而形成了一套具备实践指导意义的观点体系。“译者序”不仅对于深入理解书中内容起到了很好的导读作用，而且还对深入理解全球网空态势感知的研究成果和理念，以及明确做好网空态势感知的方法和要点，起到了非常清晰的价值指向作用，特别是对于进行态势感知相关技术与系统的研发，以及推动威胁对抗情境下的安全体系规划有很大的价值。
我作为一名在网络安全威胁对抗领域学习、工作多年的从业者，在学习本书内容，特别是研读本书“译者序”的过程中，看到了我所在的安天团队过去工作实践的不足之处，故将一些尚不成熟的总结和反思赘述于此。
本书作者之一Mica R. Endsley给出了态势感知的经典定义。态势感知是指“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久将来的状态。”我站在网络安全工作者的主观视角来理解，特别是从网络安全产品和工程系统研发者的角度来看，网络安全态势感知是由观察、理解、预测三个层级组成的，支撑网空防御决策和行动的复杂行为活动。这种活动不可能通过单纯人力工作来实现；也不可能不依赖人的交互参与，完全依靠自动化手段来实现；亦不可能借助一个单体系统或工具来完成。正如本书“译者序”中所指出的，“态势感知作为一种综合利用各种已有技术与系统的产品设计模式与运行使用方式，需要以‘多个系统或工具整合+网空防御人员团队’来完成。”
在过去十余年的各种安全规划立项中，有大量的项目冠以“态势感知”的名义出现，这些工程项目和产品间形态差异极大，甚至一些单一的流量监测或扫描检测产品也被称为态势感知平台，几乎是“有一千个人，就有一千个态势感知”。正因为态势感知的概
念有较为广阔的内涵，几乎与网络安全检测、防护、分析、研判、决策、处置等各种能力和动作都发生关联，所以导致网络安全工作者很容易从自己的本位视角去理解态势感知。在网络安全工作中，本位视角是必然存在的。管理和职能部门、应急机构通常从社会应急的视角出发，更偏重对公众关注的事件做出公共预警、全局响应策略并指导互联网层面遏制威胁。部分学界人士为了保证研究问题的收敛，倾向于寻找易于抽象的场景，把安全威胁分析和防护的一些单点或某一层面，转化为某种易于转化的“算法问题”。安全厂商为了保证安全产品的确定性价值和交付边界收敛，通常从应对某种或几种具象威胁的需求出发，进行工程实现，并将这种能力指标化。这种本位视角体现出了领域中不同机构的角色分工定位，我们不能说这些本位视角是错的，但需要考虑其中的经验局限、刻板偏见或利益考量对认知的影响。
态势感知相关工作，无论作为一种状态、一个过程、一种活动还是一个复杂的能力体系，都需要落实到具体目标和场景，而非单纯宏观、全局的整体威胁情况。从网络安全的业界实践来看，以下三种场景中的工作更多涉及态势感知能力建设：
赋能机构客户建立防御体系（也包括安全厂商自身的安全防护体系建设）。
赋能监管部门建设监测通报预警能力。
安全厂商的威胁捕获、威胁分析、客户支撑等工作体系的自我建设完善。
在这三类场景下，针对网空威胁，支撑观察、理解、预测能力，辅助决策和行动的一系列综合系统，往往都被称为态势感知平台，但这些场景也有着显著的差异。
本书“译者序”中设问解答了一个关键问题：“态势感知应当面向策略调整还是战术响应？”其中明确指出：“态势感知还应当面向在宏观层面之下但又高于微观细节的‘中观层面’。”结合当前需求和已有实践来看，目前有两类态势感知平台建设需求：一类是网络安全主管和职能部门，为了掌控宏观态势和推动指导安全策略优化调整而需要的监测型态势感知平台；另一类是重要信息系统和关键信息基础设施的管理者，针对复杂多变的敌情，为了实现更高效的决策支撑响应行动而需要的战术型态势感知平台。
如“译者序”中指出的：“进一步从与高水平威胁对抗的角度来看，由于网空攻击发生速度极快，对高水平威胁行为体长期潜伏后某一次快速发生的突然进攻做到事前或事中阻断可能非常困难。因此，需要结合在中长时间周期中对抗威胁进攻行动所积累的经验知识，根据所监测到的突发事件信息，采用网空态势感知发现潜伏的高级威胁并确定其影响节点范围，指挥对所暴露威胁展开猎杀清除等响应行动，并通过向积极防御体系中的具有实时监控响应能力的设备或系统下发威胁对抗策略，实现对越来越多的‘已知’攻击行动展开实时阻断。”基于这些要求，满足“战术型”态势感知需求远比满足“监测型”态势感知更为困难和复杂。
综合本书各章节内容，参考本书“译者序”，以及《网络安全纵深防御思考》等文献中的观点和研究成果，结合安天在过去十八年中的威胁对抗工作实践，可以看到，做好网络安全态势感知工作应基于以下四点变化。
对手的变化——从应对单点威胁到应对高级网空威胁行为体
本书“译者序”将网络空间发展划分为“办公自动化辅助手工操作”“信息化与网络化大规模建设与发展”“高度依赖网络信息技术的网络空间时代”三个历史阶段，并指出，“在高度依赖网络信息技术的网络空间时代，保障网络和信息系统可靠运行的安全防御工作已经变得不可或缺”，“网络空间的安全防护应当立足于更加积极的合规驱动工作模式，并进一步针对关键信息基础设施等重要领域实现主动有效的全方位体系化防护工作模式”。
在信息网络空间安全发展的前期阶段，陆续产生了诸如病毒传播、DDoS攻击、Web入侵、垃圾邮件泛滥等单点威胁。在一段时间内，人们看到的威胁影响后果是这些单点威胁对个人桌面使用、互联网效率和上网体验的影响。针对单点威胁的特点，总结其规律，进行单点应对，是当时的主要工作模式，如恶意代码查杀、DDoS攻击缓解、Web防护、垃圾邮件识别与拦截等。通过“兵来将挡，水来土掩”的方式，单点积极应对，对遏制和处置单点威胁是有较好效果的。这些工作依然是网络安全检测防御工作中的基本工作，也是必须落实的工作。
在高度依赖网络信息技术的网络空间时代，网络威胁的后果已经不是对公共互联网效率和上网体验的影响，而是对关键信息基础设施和重要信息系统的控制、干扰、窃取、破坏等。这种攻击以大国博弈和地缘安全竞合为背景，由高级网空行为体发动，是高成本支撑下的体系化攻击。过去几年曝光的“方程式”“海莲花（APT-TOCS）”“白象”“绿斑”等攻击组织，都是此类高级威胁行为体的代表。
NSA下属的TAO攻击组织攻击中东最大的SWIFT服务机构事件，是典型的体系化攻击。我们借助该事件复盘，分析一下此类攻击的特点。
攻击分别从来自于哈萨克斯坦、德国、中国台湾以及日本的四个攻击跳板发起，首先通过未公开的漏洞利用工具，取得了架设在网络边界上的4台Juniper VPN防火墙的控制权，并在其上安装了Rootkit；然后攻陷内层的企业级防火墙，包括1台Cisco ASA防火墙和1台Juniper防火墙，也在其上安装了Rootkit；之后，攻击者针对内网节点，使用漏洞攻击平台FuzzBunch进行横向移动，并使用5个未公开的漏洞利用工具获得服务器权限，其中包括4个“永恒”系列漏洞和1个“爆炸之罐”漏洞，在攻陷的系统上安装模块化的DanderSpritz木马，先后取得了2台管理服务器和9台业务服务器的控制权；最后通过2个SQL脚本实现了与Oracle服务器的交互操作，获取了相关的账户名、密码信息与交易记录。
上述攻击经过长期的谋划，按照“管理、准备、交互、存在、影响、持续”的作业框架流程，采用先进的攻击武器进行组合攻击，是典型的APT（高级持续性威胁）攻击，甚至可以称为A2PT（高级的高级持续性威胁）攻击。而支撑这种攻击武器组合的攻击装备库，还只是高级网空威胁行为体能力的一部分，其自身还有一整套工程体系支撑信号情报获取、网络地形测绘、目标定位、打击目标规划、情报分析、打击决策等。类似“星风”“湍流”这样的情报平台或攻击框架，都是此类工程体系的代表。
前美国陆军参谋长Maren Leed在《Offensive Cyber Capabilities at the Operational Level》一文中指出：网络武器“非常适合作战的所有阶段，包括环境塑造、高烈度对抗以及重建”，“它们可以在多个时间点发起攻击，包括针对早期开发过程和使用决策等”。
对于重要信息系统、关键信息基础设施的防御者来说，必须正视的问题是：
高级网空威胁行为体有突破目标的坚定意志、充足的资源和充分的成本承担能力，并以此为基础，进行体系化的作业。
防御者所使用的所有产品和环节同样是攻击方可以获得并测试的。任何单点环节均可能失陷或失效，包括网络安全环节本身。
信息系统规划、实施、运维的全生命周期，都是攻击者的攻击时点。
供应链和外部信息环境都是攻击者可能攻击的入手点。
攻击者所使用的攻击装备有较大可能是“未知”的，这种未知是指其在局部和全局条件下，对于防御方以及防御方的维护支撑力量（如网络安全厂商）来说，是一个尚未获取或至少不能辨识的威胁。
对于APT，甚至A2PT，我们不能简单地用传统的单点威胁视角来看待，而要将其视为复杂的“敌情”，以展开敌情想定。敌情需要建立在对大量对手的能力和行动进行深入分析的基础上，形成基础的和针对性的想定。
在2017年的一次研讨会议中，安天第一次提出了“有效的敌情想定是做好网络安全防御工作的前提”的观点。提出“敌已在内、敌将在内”是最基础的敌情想定，并从外部信息环境、信息交换、供应链、人员社会关系等角度，提出了建立敌情想定的若干原则。上述观点，特别是“敌已在内、敌将在内”的提法，引起了一定的争议。在进一步的文献检索中，在号称“NSA之盾”的IAD的《Understanding the Co-Evolution of Cyber Defenses And Attacks to Achieve Enhanced Cybersecurity》一文中，我们看到了其提出的网空防御五条规则：
1.敌方终将进入我方内网。
2.网络防御者不能改变规则1。
3.敌方已经进入我方内网。
4.攻击将会持续进行。
5.情况会越来越糟。
在网络安全防御上体系完善、能力系统、投入巨大的美方，都认为“敌方终将进入我方内网”，那么我们自己在网络安全防御工作中，就更没有理由认为仅靠物理隔离等简单的措施和制度，就可以御敌于城门之外了。
对于关键基础设施和重要信息系统，围绕“敌已在内”和“敌将在内”，建立极限化的敌情想定是展开工作的基础前提。敌情想定不是抽象的，更不是静止的，而是具体的、动态的。需要针对不同机构的重要信息系统和关键基础设施的特点展开深入分析，因不同场景的目标价值、防护水平和投入、管理情况、人员认知和能力现状等的不同，会呈现出不同的规律特点。针对关键内网、政务内网、政务外网、关键信息基础设施、军工企业、高等院校和科研机构等，都需要针对其面临的具体威胁来源方，来分析敌方攻击意图、可能的攻击目标和入口，同时结合我方当前场景特点和缺陷进行深入系统的分析。
本书“译者序”指出，“网络空间中所存在的网络威胁往往非常复杂，存在着从业余爱好者到高度组织化、高水平实体的多层级网空威胁行为体。”在客观敌情想定中，高级网空威胁行为体是最难以应对的对手，但显然并不是唯一的对手，早期困扰信息系统维护者的业余黑客和黑产组织所发起的攻击也将会一直存在下去。可以从低到高将攻击行为体划分成七个层级：业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。这些攻击行为体的各种攻击行为交织在一起，一个不能防御低层级攻击的系统，也必然无法防御高层级攻击。在预警、分析、溯源等工作中，高层级攻击的线索，往往淹没在大量的低层级攻击组织所发起的攻击事件中，有更高的对抗难度。
从我们过去所做的安全工作看，容易脱离具体防御场景和承载的信息资产价值来研究威胁应对，而把威胁响应处置看成一个整体的社会行为。脱离了防御目标场景，脱离了目标场景承载的具体信息价值，来进行威胁响应和影响统计，会导致威胁响应工作脱离靶心，会将防御的重点和成本始终投入到那些容易看见，或者容易理解的威胁中去，而脱离了高级网空行为体带来的更隐蔽、更致命的威胁。
视角的变化——从自我闭环走向赋能客户，实现与攻击者的闭环
本书“译者序”指出，“有必要采用‘人在控制闭环上’的‘半自动化’防御模式，将网空安全分析人员和网空安全防御人员视为获得态势感知所不可或缺的‘系统组成部分’，并且使参与控制闭环的人员能够通过使用自动化工具而提高防御效果。”对照这一模式，值得自我反思的是，安天（包括以反恶意代码为基础能力的安全企业）过去较长时间的运行模式（恶意代码捕获、自动化+人工分析、反病毒引擎升级）是一个厂商的自我能力闭环，而没有有效解决让客户侧的网空防御人员处于控制闭环之上的问题。
从1986年IBM-PC架构下出现恶意代码开始，安全对抗进入到了以代码为主要检测对象和对抗方式的主机系统对抗时代。此时PC基本上是一个孤岛，作为主流操作系统的DOS的组网支持能力有限。程序主要通过磁盘介质拷贝安装，数据通过磁盘介质拷贝交换，恶意代码也在这个过程中慢速传播。由于对物理介质的依赖，其感染范围有比较明显的按照地理位置扩散的特点。DOS时代计算机配置较低，操作系统、应用程序都相对简单，用户可以通过一些明显的现象，如系统效率变慢、系统文件字节变化等，来判断计算机感染了病毒，并找到感染文件。在缺少广域网覆盖的情况下，病毒样本或者由厂商工程师登门提取，或者通过磁盘邮寄的方式传递给厂商。厂商、反病毒爱好者相互间也进行病毒样本的交换，这也可以被视为威胁情报共享的一种雏形。
尽管最终病毒检测和防护的对象是客户终端，但主机防护产品则表现为一种高度标准化的产品能力。这是因为，在DOS时代，多数恶意代码是一种“标准化”的威胁，其绝大多数不是针对某一个具体目标场景定制的。即使是变形病毒，其不同的变形结果也是功能等效载荷，虽然少数恶意代码内置了简单的感染和攻击选择条件（如特定文件是否存在、日期是否超过某个时间），但实现定向攻击的难度相对更高。在恶意代码传播过程中，攻击者很难实现一种针对性的、个性化的执行干预，同时由于缺少可以定向回传的信道，针对DOS系统，恶意代码实现远程控制和窃密回传并不容易。因此，只要反病毒厂商获取到样本，就能分析样本、提取特征码、编写清除参数（脚本、模块），从而生成新的病毒库。厂商只要在自身测试环境中验证新的规则和模块有效，基本就可以保证用户获得新版本病毒库后能有效查杀和防护病毒。从用户发现并提交病毒样本，到获得厂商分发的病毒库，构成了一个慢速的闭环。从恶意代码初始扩散传播，到被用户发现并提交给厂商，再到厂商分发新规则到达客户，可能经历数天甚至几年的时间。恶意代码对抗工作的早期，总体上是一个以厂商支撑能力体系为中心的、相对慢速的自我闭环。随着反病毒厂商逐渐形成了规模化、体系化的能力，在与病毒的对抗中，开始逐渐掌握一定的主动权。
国际上几家知名反病毒企业，基本上是从20世纪80年代中后期，开始了反病毒技术的研发积累，在DOS时代形成了威胁检测引擎的基本结构思路和防御理念。反恶意代码引擎的维护，是一个基于样本捕获采集、样本分析、规则发布的厂商自我闭环。在建设捕获手段、建立分析系统、形成升级支撑能力等方面，主流的反病毒厂商都形成了一些自身的特色和经验。
安天团队在2000年创业开始时，主要的对抗目标是Windows平台的蠕虫和木马，但作为核心技术的反病毒引擎，其基本结构和原理与DOS时代是一脉相承的。但同时，站在网络蠕虫泛滥这样一个新的挑战期中，也使我们可以走出单纯以产品用户作为反馈源的工作思路，而增加威胁捕获的主动性能力。从2001年起，安天先后研发和搭建了针对扫描性攻击和恶意代码投放的“捕风”蜜罐子系统、针对邮件恶意代码的诱饵信箱子系统、针对Web威胁的“猎狐”爬虫子系统、针对流量监测的“探云”子系统等，并逐渐与全球上百个安全厂商和安全机构建立了样本或威胁情报共享机制。安天较早地把工业流水线的思路应用到恶意代码分析中，将文件样本视为需要加工的原料，将对文件的格式识别、拆解、关键信息提取，以及样本提取、处理和模块编写等动作视为加工处理的工序，将特征码和新的模块视为流水线的产品产出。安天先后研发了两代分析流水线，以实现对样本的自动化判定、向量化和规则提取。通过样本分析子系统与捕获子系统、升级子系统，构成了一个“采集-分析-规则分发”的自我闭环。随着恶意代码样本数量的爆炸式增长，后台系统的处理能力逐步从每日分析百级别样本，提升到了分析百万级别样本。
依托规模性计算、存储资源建立工程平台系统，针对海量威胁实现自动化分析，实现对分析人员的操作降维，并将分析人员的经验反馈转化为平台能力，是安天在过去近二十年工程探索中所积累的最重要的经验。但在历史的工程实践中，多个采集捕获系统、分析系统、威胁情报系统烟囱式孤立建设的问题也很严重，数据间横向打通不利，没有形成充分的共享，分析和服务人员难以单入口作业。由于多数内部系统初始以自用为目标，没有充分考虑扩展性、模块化等方面的问题，导致缺少可以叠加弹性能力的基础计算和存储框架。其中的很多问题导致我们需要用更大的代价来改善。这种教训也是在态势感知平台建设中需要注意的。
在安天从一个反病毒引擎厂商走向综合能力型厂商的成长过程中，也在不断反思。对于一个反病毒厂商来说，其工作主要是围绕攻击载荷（payload）检测展开的，把恶意代码样本作为最关键的资源，并按照Hash针对样本消重。但是，出于工作视角的局限性以及成本考虑，把样本传播相关的一些重要信息忽略掉了。在感知体系的部署规模方面，也较长时间是以确保样本的覆盖率而不是事件的覆盖率为主要指标，这就使捕获手段虽然相对丰富，但其部署策略依然是保守的，投入也是有限的。随着安天更多地与客户共同承担安全建设和运维工作，以及深度分析APT攻击事件，我们逐渐认识到，以恶意代码载荷为核心的捕获分析机制，对于应对更高级别的网空威胁行为体的活动是必需的，但却是远远不够的。特别是在APT攻击广泛使用未公开漏洞和免杀恶意代码的情况下，反病毒引擎仅扮演单纯的检测器是不够的，其同时也要是一个能进行全量对象格式识别和向量拆解的分析器，可为态势感知提供更多可分析、可追溯的静态数据。
安天从2005年起，通过工程赋能交付的方式，将自身的后台恶意代码样本监测、捕获和分析机制，提供给主管部门使用，这是安天对监测型态势感知相关工作的早期探索。而在这个实践过程中，我们也有一些惯性思维成为后续的工作障碍。作为反病毒引擎的提供者，容易把自身的职责闭合于恶意代码的检出率、误报率、错报率等指标上，往往缺少支撑客户侧全局安全责任的使命担当。而从整体工作模式上看，确实是一个围绕后端支撑平台和分析团队的自我能力中心化的能力闭环。
在2005年，我们关注到恶意代码的感染分布已经有非常明显的“小众”传播倾向，在感染统计上，我们能看到一个超级“长尾”，相对于蠕虫病毒，这一问题带来了新的挑战。蠕虫尽管传播迅速，但其感知和捕获都相对容易，可以快速形成检测和处置，但面对这种小众样本，安全厂商机构对样本的捕获能力均会普遍下降，特别是在一些隔离网络的场景条件下，可疑文件不能及时反馈给安全厂商。如何在无法捕获威胁的条件下有效对抗威胁？这一问题开始打破过去我们所熟悉的自我安全闭环。
2007年，我们首次处理了一起具有APT性质的安全事件。攻击方疑似为我们披露的“绿斑”攻击组织。在这起事件中，攻击者采用了工具组合的思路，没有使用自研恶意代码，而基本上是使用商用、免费和开源的网络管理工具，通过这些压缩、网络服务、行命令管理等多个“正常”工具的组合，构建了在目标主机上持续窃密获取信息的场景。其中的部分工具由于在日常中广泛应用，不可能作为恶意代码进行查杀，有的甚至是在避免误报的白名单之中。
这个事件让我们看到，定向性的安全威胁在攻击目标场景上具有个性化特点。这个案例明显展示出，依靠统一的厂商规则维护分发、自我闭环，难以有效应对定向性威胁。本书“译者序”中设问解答了“如何围绕网空防御人员实现态势感知”这一关键性问题。我们从中获得的启示是，作为安天后台支撑体系的“赛博超脑”不能作为用户的“大脑”来设计，而要作为一个外部威胁情报等资源的赋能服务平台来设计。在当前复杂的信息系统和体系化攻击的背景下，安全厂商究竟是以自我为中心，满足于自我闭环，把自己的基础平台当成用户的“大脑”；还是在客户场景下，围绕用户侧的网络防御人员进行态势感知和积极防御能力的建设，真正地实现安全厂商与客户的闭环，进一步达成赋能客户、实现与攻击者的闭环？这是一个选择“片面抗战”路线，还是“全面抗战”路线的问题。
不仅不能脱离客户防护场景来谈网络安全解决方案和技术价值，更应充分认识到客户侧安全防御人员最为熟悉自身的信息系统，能充分发挥主观能动性，是网空防御工作的主角。与此同时，客户的信息资产并不只是攻击目标和防护对象，也是进行有效布防的场景纵深。
思路的变化——从网络安全监测平台走向战术型态势感知平台
本书“译者序”中指出，“如果网空态势侧重于对宏观态势的掌控，其输出的决策支持信息将主要被用于引导对安全策略的优化调整，虽然这种‘宏观’模式与基于PDCA（Plan-Do-Check-Adjust，计划-执行-检查-调整）循环的信息安全风险管理生命周期相比具有更高的主动性和动态性，但是在攻防对抗的时间周期上仍然无法适应高速多变的攻击行动，而且在调整范围上也只能局限于较粗的颗粒度。”“综合来看，网空态势感知需要兼顾宏观与中观两个层面，需要将实时的监测采集数据与中长期的情报、经验和知识积累结合在一起，支撑实现短期的响应行动与中长期的策略调整工作。”
从安天和国内业界同仁的实践探索来看，这总体上是一个先易后难、先宏观后中观的过程。从20世纪90年代后期开始的信息高速公路建设，不仅迅速改变了信息系统的样式，也完全改变了信息系统威胁对抗的样式。从CodeRed（红色代码）到SQL Slammer，重大蠕虫事件的多发，强化了安全工作者对威胁响应时间紧迫性的认知，也驱动威胁检测和阻断从传统的主机侧快速延展到网络侧和业务系统侧（如邮件和群件），在更多场景下逐渐成为能力内嵌要求。
威胁通过互联网高速传播，导致管理机构和应急组织对威胁及时捕获、快速应急响应处置的需求急速提升。安天在2002年开始尝试在骨干网场景下实现恶意代码全规则高速检测，并取得了技术突破，逐步形成以分布式部署网络探针为基础，建立事件汇聚、消重、统计、查询、展示机制，通过后台样本自动化分析支撑规则输出更新的监测平台建设思路，支持了监管能力建设。同时，安天也联合一些重点高校推动了“探云计划”（流量监测）、“捕风计划”（蜜罐）等威胁捕获分析的公益研究项目。
网络安全工作者过去二十年在网络侧展开的工作，是态势感知工作重要的基础能力积累，包括高速捕包、协议识别、协议解析还原、单包检测、流检测、信标检测、上下文关联检测等基础技术能力点。这些技术点所支撑的入侵检测、入侵阻断、深包检测分析等产品已经是网络安全布防的重要产品，这些产品能力所形成的日志与事件、捕获的威胁载荷对于整个防御与态势感知能力整体建设都是非常重要的。
安天在安全监测方向的早期工程实施，主要是满足网络安全管理和职能部门（以下简称监管部门）的网络安全威胁监测需求，协助其建设监测平台。总体工作思路是对监管部门的需求进行调研，采用“工程实施+情报赋能”的思路，以安天自身的“威胁监测捕获体系+后端分析管理系统”作为工程基本框架，在此基础上进行定制改造，并对监管部门已经具备的能力、希望引入的第三方能力和数据源形成接口、进行融合，协助监管部门将手工流程电子化，建设业务能力。在这些工作的基础上，对监测到的事件、积累的捕获结果和分析结果进行可视化展示的定制。对这种类型的态势感知平台，我们称之为“监测型态势感知平台”。在现有的态势感知项目实施中，这一类态势感知平台占据了较大的比例。
这一类项目的建设目标，主要是提升相关部门对职责范围（地域）内的信息资产的风险（如严重漏洞）普查能力，对通过互联网传播的安全威胁（如重大漏洞、蠕虫传播、DDoS攻击等）进行监测，形成一定的通报机制，驱动应急处置和响应等。但从实际工作来看，监管部门所能监测到的更多的是互联网侧的暴露资产的安全情况，通常以流量安全监测和大规模轻载扫描作为主要主动获取手段，辅以安全厂商提供的威胁情报输入。这一类平台建设能否达到效果，与其监管目标、设计方案、预算投入、采集能力、运维水平等很多方面有关，从实际来看，有部分取得了一定效果，但很大比例上效果并不理想。
实施效果不理想的原因之一，是承担方技术能力不足。国内在运营商侧以恶意代码为监测目标的项目，部分选择了以缺少恶意代码检测分析能力的传统流量检测厂商为主导，以单包检测、IP和URL等轻量级规则检测为主，没有建立深包、流还原检测等配合机制，又没有人工和自动化分析环节形成规则输出、能力支撑，同时也没有反恶意代码厂商形成持续的威胁情报推送，往往效果不佳。当然，从运营商的带宽条件来看，全面实施深包检测的成本是难以支撑的，所以采用大量“高速单包检测设备+部分深包捕获设备+爬虫获取样本+后台分析系统”的组合策略，可能是相对更合理的。
实施效果不理想的另一个原因，是缺少有效的总体规划和能力整合。我曾为某地区监管机构提供态势监测系统规划建议，发现前期方案将系统划分为蠕虫监测系统、网站篡改监测系统、DDoS监测系统、流量监测系统等，各系统间完全独立，没有数据的统一汇聚。显然这是多个厂商“分盘子”型的低质建设方案——各厂商堆砌自己的产品，之后通过一个Web页面链接到各自的管理界面，就成了“态势感知平台”。全量事件的统一汇聚、统一检索和统计，本应是类似平台的基本要求，如果这个基础都无法实现，其他工作更是无从谈起。为使项目达成效果，我推翻了先前设计，建议用户确立项目的总体单位，由总体单位建设数据汇聚平台和上层业务系统，由各参与厂商的产品输出采集监测能力。要求所有参与工作的企业，务必支持总体单位对检测日志数据的统一汇聚，在日志汇聚之上，进行日志泛化、打标签等工作。而提取不同类型的威胁列表，则应是基于事件总集的“标签+条件”组合方式提取所形成的结果集合。
在类似平台的建设中，还存在着感知手段高度单一的问题。很大比例的系统只有扫描探测这一单一手段，甚至有的平台没有任何主动的采集能力，完全依靠安全厂商的威胁情报输入支撑列表和可视化展示。类似问题在具有更高要求的关键基础设施防护工作中也同样存在。
导致监测型态势感知平台效果不佳的另一个问题，来自于对威胁的评价导向。由于相关工作是源自于大规模蠕虫爆发，因此在相关工作思路上，也往往存在一定的惯性局限。大规模蠕虫爆发对网络运行和用户使用造成明显干扰，比较容易引发媒体和公众的关注，在本世纪初的一段时间被作为最为严重的、致命的威胁，这种威胁高度吸引了工程和学术资源研究其应对方法。由于蠕虫传播是一种威胁载荷（相同或等效载荷）的重复性投放行为，其相对较为容易转化为某种数学建模问题，这就带来了一种错觉，似乎监管方或防御方只要部署了必要的基础检测和采集能力，网络威胁就是可以较为简单地进行评价、统计和预测的。
当以蠕虫这一类恶意代码作为网络侧的主要威胁想定时，威胁影响情况是比较容易“量化”的，通过规则和检测模块的命中次数所产生的日志和一些简单的消重，就可以形成类似扫描连接数、传播次数、感染节点数的TOP统计。把事件、节点数量的多寡当作安全事件严重程度的评价方法，可以用来评价大规模网络扫描探测、DDoS、蠕虫传播的事件影响、僵尸网络的规模和分布等。这些统计是重要的也是必要的，但这些还并非威胁的全貌，而且可能缺失了最致命的威胁。这种评价方式完全不适合对高级网空威胁行为体发动的APT攻击进行评价。这种攻击高度定向、隐蔽，行为本身较难被检测到，其对于载荷投放使用、远程指令控制都高度谨慎，然而其威胁后果最为严重。因此，单纯地把发现和拦截的攻击次数作为评价网络安全日常监测工作、工程效果验收或重大事件保护工作成绩的判断依据是有局限性的。而且这种统计往往以整个互联网或部分的广域网为统计场景，脱离了实际防御的目标场景，脱离了受影响的资产价值评估。
对于态势感知中的“预测”，也比较容易形成错误的认识和理解。安天团队有较长时间将预测理解为判断“攻击何时会发起”。由于攻击者的主观意图有很大的不确定性，我们在较长时间内对此非常悲观，因此停留在有限逻辑推理阶段。在2004年，基于对从漏洞公布到被蠕虫利用传播的一些规律总结，安天针对严重的可远程利用漏洞，形成了对漏洞、利用代码、概念蠕虫、成熟蠕虫、重大疫情、关联衍生病毒家族的预判工作流程，并期望自身的应急工作具有一定的有的放矢的可能性（如下图所示）。

安天针对漏洞到蠕虫家族的应急响应预案（2004）
这些工作对遏制当时面临的蠕虫狂潮是有意义的，这种基于逻辑推演的工作流程，可以用来指引安全厂商和机构做出“规定动作”。但其更多地是一种对安全策略优化调整的支撑，对于在具体防护场景中的相应能力和效果的改善是不够的，包括安天在2016年年底做出“勒索模式将导致蠕虫的回潮”的预言，这种研判如果不能转化为防御场景下的实际动作，其对策略的支持依然是模糊和粗粒度的。把这种预言家式的判断当作态势感知的预测，是比较幼稚的。态势感知中的预测应当如本书“译者序”中所指出的，“需要对所理解的安全事件信息展开前向时间的推断，以确定其将如何对运行环境的未来状态产生影响。也就是根据所理解的威胁攻击轨迹等信息对攻击行动的发展方向做出合理推测，基于网空防御人员对当前情境态势的理解，结合对网络和系统的了解，预测下一步可能发生的情况，特别是受影响节点范围的扩展情况，以及威胁行为体攻击行动的延展情况。”
在安天进行的监测型态势感知项目中，另一件值得反思的态势感知形式是“地图+炮”。本书“译者序”中分析了“‘地图+炮’形式的态势感知为何效果不显著”的原因。对此我们自己深有体会，为更好地展示恶意代码威胁的分布、流动、扩散等情况，安天在2004年恶意代码监测的管理软件（CS模式）中引入了恶意代码分布图，进行了威胁可视化的早期尝试。而且，从2008年开始，基于FLASH和HTML5，先后开发了两版可视化的插件，具备了通过基础图表、地理信息、拓扑结构等展示威胁、进行告警等通用能力。迄今为止，国内有较高比例的网络测绘、威胁监测，包括网络靶场等项目都使用了安天的安全可视化插件。应该说，这些较为初级的可视化工作，对于社会各界对安全威胁形成相对直观的认识是有价值的。但这种依赖“监测事件汇聚+大屏展示”的建设导向，也带来了本书“译者序”中所指出的“有态无势”“感而不知”“感而不为”等问题，使安天一度在态势感知研发上存在追求美观、轻视实效的倾向。亦由于我们提供的插件降低了可视化展示的门槛，一定程度上也助长了国内不扎实地探索态势感知的内在规律和实效价值，而追求效果“酷炫”的风气。对此我们有深刻反思。
监测型平台的一个难点是监管部门和被监管机构间的关系定位与协调。监管部门作为主管或职能机构，在组织、调度、整合各能力方的安全资源方面有自身的优势，但其采集监测能力难以有效到达被监管机构。监测型态势感知平台往往主要依靠大规模轻载扫描作为基础的采集能力，因此其只能看到互联网暴露资产，而监管部门希望了解的重点，则是关键信息基础设施和其他重要的规模化信息系统安全，这些系统的互联网暴露面相对是较少的。最终导致监管方对真正承载重要信息的内网、私有云、工业网络等关键信息基础设施内部安全情况往往一无所知。而监管部门的安全检查评估等手段，也往往未能纳入到监管平台的统一工作流程中。还有部分监测平台，甚至没有主动化的探测采集手段，也没有多源的数据和威胁情报整合能力，基本上全部事件都来自某一两家安全厂商的“推送+可视化展现”，这样的平台也难以达成效果。
因此，我们在推动省级态势监测平台的试点工作中，尝试配合监管部门将威胁监测能力抵近到重要基础设施内部。当然，监管机构基于安全的宏观态势和抵近部署形成的策略调整要求，对于所监管的机构来说是有积极作用的，但同时也是粗粒度的。监管机构可以将一部分采集传感能力下沉，但不可能以此代替被监管方自身的防御能力建设与运维。做好关键基础设施和重要信息系统的安全防御工作，还是要依靠相关信息资产的管理运营方的能力建设的自我驱动与投入。
在监测型态势感知平台基本研发成熟的情况下，安天将保障“三高”网络的安全作为态势感知和防御工作的主要保障场景。这里所提的“三高”网络，是黄晟同志与安天在技术探讨中定义的一种网络场景。特指一个网络系统中承载着高信息价值资产，该网络被规定为高安全防护等级，同时该网络受到常态化高强度的网络威胁攻击，具有这三种特征的网络统称为“三高”网络。安天正在研发的战术型态势感知平台体系是围绕“三高”网络场景进行研发的，战术型态势感知与监测型态势感知的重要差异在于，监管部门虽然进行资产风险探测和威胁监测，但其并非信息资产的所有方，其不具备监测能力全面覆盖全部资产的部署条件，同时也不能直接进行威胁处置。其会通报监测结果、处置意见和要求给资产运维方，但并不能指挥联动资产运维方在安全环节进行实时响应和动作。关键信息基础设施和规模化的关键信息系统是网空威胁对抗的主要场景，作为这些信息资产的管理者，需要建设更系统且完善的能力，来对抗网络安全威胁。
效果的变化——从单点防护能力到动态综合防御能力
技术报告《塔防在私有云安全中的实践》（2015）中指出，“目前可以观测到网络空间的攻击行为呈现‘体系化’趋势，攻击阶段越来越多也越来越复杂，而面对这样复杂的进攻，传统的安全边界或网络隔离策略难以奏效。”其中还明确提出了“以体系化的防御对决体系化的攻击”。
在应对单点威胁的过程中，一些单点防护技术逐渐成型，形成了基础的网络安全产品类别和名录。大家耳熟能详的有安全网关（如防火墙、IPS、UTM、下一代防火墙等）、端点防护（如反病毒、主机管控）、入侵检测、扫描器、VPN等。这些产品为了应对不同的威胁而产生，从而逐渐形成了相对明确的部署位置和安全价值。这些产品是网络安全防护工作的基本能力支点。从过去来看，安全解决方案往往是从这些产品类别上抽取产品，进行组合搭配后形成的，但这种堆砌产品的解决方案仅仅是部分解决了防御体系的“能力分工”问题，而无法做到本书“译者序”中提出的“深度结合、全面覆盖”“掌握敌情、协同响应”的工作要求。
从攻击侧来看，在高级网空威胁行为体的攻击体系中，虽然也包含了大量单点攻击装备，但这些装备并不是单点使用的，而是在攻击框架中组合使用的，属于攻击链的一个组成部分。由于攻击者在攻击入口的选择、武器组合的搭配、攻击链路的设计方面掌控主动权，因此仅仅进行单点或简单的多点防护，并不足以阻断攻击链，显然，靠堆砌产品不能形成有效的防御体系。
从安天在反病毒引擎、流量监测、沙箱分析、端点防护等多方面的实践经验来看，我们此前的思维模式往往是试图把单点技术能力不断做强。例如，如果攻击者对恶意代码进行免杀处理，我们就不断增加脱壳、虚拟执行等预处理环节的深度，增加更多的检测分支和加权点，下调启发式扫描的阈值来提升检测敏感度等。我们过去期待这些强单点能力能应对更多的威胁，并希望这些强单点能力组合能规避更复杂的风险。但对于高级网空威胁行为体所具备的资源和攻击承载成本来说，安全产品便成为一种易于获得的安全资产。攻击者可以长期测试各种安全产品，寻找其脆弱性。这种情况下每个单点都很难避免被找到绕过方法。因此，脱离了用户信息系统环境这个“纵深阵地”来设计单点能力，不会取得较好的使用效果。
在一个有效的防御体系中，既需要有效融合可靠的单点产品与能力，同时也需要突破这种长期堆砌单点能力应对单点威胁所带来的认知局限。将单点对抗转化为体系对抗，将产品机械堆砌转化为能力有机融合，将先建设后安全的补课模式转化为网络安全机制与规划、建设、运维的同步融合，这就需要新的方法论体系。在大量的规范、模型、标准中，SANS的“网络安全滑动标尺模型”是一个较为理想的规划建设视角模型。本书翻译团队将相关文献翻译引入国内，安天和国内其他能力型厂商约定以此作为公共方法论，并进一步进行延伸拓展，提出了叠加演进的网络安全能力模型。滑动标尺划分成五个类别，即“基础结构安全”“纵深防御”“态势感知和积极防御”“威胁情报”“反制”。滑动标尺的核心思想是阐明了五大类别之间的连续性关系，而且标尺左侧类别为其右侧类别提供基础支持、降低实施难度、提升防御效果、减少资源投入。
本书“译者序”中提出，“为了做好网络空间时代的安全防御工作，不仅需要通过完善并强化已有静态的防御机制实现兼顾结合面与覆盖面的综合防御能力体系，还必须加快建设动态防御能力体系，其中的关键正是针对网络空间时代的高水平复杂威胁行为体展开协同响应对抗的积极防御能力。”由此可见，“结合面”和“覆盖面”是确保全面落实网络安全能力的两个要点。其中“结合面”指的是网络安全防御能力与物理、网络、系统、应用数据与用户等各个层级的深度结合。“覆盖面”指的是要将网络安全防御能力部署到企业信息化基础设施和信息系统的“每一个角落”。而从“关口前移”的工作要求来看，不能将“关口”片面窄化为“安全网关”或“网络入口”，而应当理解为“落实安全能力的重要控制点”。在网络安全实践中，实现安全防护“关口前移”的关键，正是在于有效解决安全能力的“结合面”和“覆盖面”问题。因此，在借鉴“网络安全滑动标尺模型”进行规划能力建设的过程中，需要考虑到每个类别的相关支撑环节与“结合面”和“覆盖面”的映射，依靠“基础结构安全”“纵深防御”“态势感知和积极防御”“威胁情报”的叠加演进能力建设，形成动态综合防御体系。
本书“译者序”进一步指出，“从叠加演进的视角来看待网络安全防御能力体系，基础结构安全与纵深防御能力具有与网络信息基础设施‘深度结合、全面覆盖’的综合防御特点，而积极防御与威胁情报能力则具有强调‘掌握敌情、协同响应’的动态防御特点，并且这些能力之间存在着辩证的相互依赖关系与促进作用。”这些观点对于在威胁对抗情境下做好安全体系规划有非常重要的指导价值。
同时，在开展网络安全规划、提升态势感知和防御能力的工作过程中，也有很多需要注意的问题。
要辨识网络安全领域的各种观念，避免偏颇的认知导向带来误导和影响。比如在网络安全防护工作中，有两种倾向。一种是片面夸大单点防护的作用，如部分防火墙厂商传递的导向是，所有威胁都来自于网络，只要在网络侧形成更细粒度的协议解析识别、更严格的威胁阻断，就能够保证内网安全。而主机防护厂商传递的导向是，一切威胁都是为了攻击主机目标，重点是做好最终目标的防御。如果用户按这些导向去规划建设，会因以偏概全而顾此失彼。另一种倾向是片面否定既有成熟单点环节的价值，将防火墙、入侵检测、反病毒、补丁升级等单点环节，都视为过时和无效的环节。这种倾向忽视了既有成熟单点环节已经形成的确定性的、难以替代的基础能力，如防火墙产品的安全边界和访问控制作用、入侵检测形成的网络协议识别和攻击定性作用、反病毒形成的对文件载荷的识别和标定作用等。由于防御场景的复杂性，攻击能力的体系化，单点能力失效是具有必然性的。但某个单点能力会失效和这个单点能力没有作用是两个完全不同的概念。盗贼能挖地道进入金库，并不意味着金库不应该上锁。实际上，两种偏颇倾向间往往有一些关联，否定原有的单点防护能力价值，往往又是为了制造新的单点能力神话。
要意识到叠加演进的安全能力建设，不能有了能力点即可，还需要以扎实可靠的单点基础安全能力为支撑。例如在配置加固方面，一些相关产品的“安全基线”，只包括几十个操作系统的配置点。实际上这是远远不够的，无法满足叠加演进对配置加固的安全要求。而STIG（Security Technical Implementation Guides，安全技术实施指南）的加固标准中，操作系统加固项共15685个，覆盖8大类系统，168个版本的操作系统，平均每个操作系统的配置点多达600个以上；应用和服务加固项有4245个，主要覆盖5大类应用和服务（统计数据截至2018年9月4日）。加固更绝非按照统一设置下发了事。作为整体动态安全策略的重要组成部分，配置加固需要支撑业务系统安全运行，而不能干扰业务系统的连续性和稳定性。但在安全策略中，端口是否开放、服务是否启动等设置都会对业务的运行和可用性带来影响。以Windows的DEP（数据执行保护）加固为例，如果将DEP保护覆盖到所有的应用，显然可以提升系统对抗缓冲区溢出攻击的能力，但在现实中也有一定比例的应用软件和工具会因DEP机制而崩溃。比如在内网管理运维场景下，就需要根据业务场景测试加固策略，对冲突软件设定单点例外或群组例外，并通知软件研发方进行改进。同时捕获相关的崩溃事件进行研判，判定崩溃是因攻击还是软件设计实现导致的与DEP冲突，之后需要根据情况进行攻击响应或例外设定的流程。因此，每个配置点的要素中都涉及其获得的安全增益和代价影响，不仅要针对主机实际运行的业务情况对配置进行调整，还需要设定群组模板。
要看到站在防御体系的角度，多数单点环节形成有效能力同样是体系化的工作。补丁是基础结构安全层面的重要安全环节，但在规模化的机构网络中，做好补丁工作并不是一件简单的事情。存在一些可以连接互联网的机构内网用户，把打补丁当作一个自己通过操作系统的个人设置和互联网安全客户端自行利用外部补丁源进行修补的过程，是否打补丁完全看个人习惯，不仅没有统一的控制和管理，难以保证安全，同时在补丁日升级流量大量占用出口带宽等情况也会影响日常工作。补丁升级工作中必须考虑到补丁源的可靠性问题、补丁自身的安全性问题、打补丁对业务连续性的影响问题、打补丁带来的兼容性和稳定性问题、不能连接内部补丁源的孤岛节点的补丁检查和补丁安装问题、因保证业务连续性不能打补丁或者不能打部分补丁的节点的防护策略问题，等等。为应对这些问题，需要建立内部集中补丁源、补丁获取及摆渡机制、补丁留存和分析机制、用于验证补丁兼容性和可靠性的影子系统、按照灰度机制分批补丁并根据反馈情况决定是否继续补丁或回滚操作的机制、用于提升离线环节补丁升级效率的工具、P2P机制，等等。而在此过程中所形成的记录、轨迹和监测情况，都要汇聚到支撑态势感知的相关日志服务器。同时，还需要建立补丁机制和其他关联的安全和业务流程的关联接口，如发现补丁源遭遇攻击或污染情况的处置、打补丁导致无法自动回滚的瘫痪事故的处置，等等。
在动态综合防御体系中，安全产品的设计不仅需要其价值内涵，也需要回答其与网络安全态势感知观察、理解、预测三个层面的关系，以及在从决策到行动的响应周期中所发挥的作用。否则，产品就很难融入能力体系。例如，安天的检测处置工具产品的设计，过去更关注的是如何多发现主机的脆弱性，包括更有效地发现和处置Rootkit型木马，在检查点、内核驱动、钩子等方面考虑较多，但对于检测处置工具转化态势感知平台的能力环节考虑较少。但此类基于便携介质的检测处置工具的检测过程是态势感知的信息采集环节，可以有效增加孤岛环节的可见度。此外，在遇到安全威胁的时候，也可以实现比实时防护环节更好的采集深度和证据固化能力。因此，需要在相关检测评估的业务流程中进行管理，并汇聚检测结果和提取的信息，处置任务下达、工具领用、处置结果上报等也应与应急业务流程相融合。
建设动态综合防御体系要充分依托SIEM和SOC的能力基础，并在此基础上提升要求。能够对相关安全环节所产生的日志及系统相关的日志实现汇聚分析，形成对安全环节的统一管理能力，对于实现战术型态势感知来说无疑是必备的基础能力。从传统的安全防御产品的形态来说，SIEM和SOC系统可以分别实现这种基础能力。但战术型态势感知平台并不是简单的SIEM+SOC，更不是SIEM和SOC增强部分可视化能力的整容版本。一个没有基础SIEM和SOC功能的态势感知系统是难以想象的，但同时也需要对这些环节进行有效的改进。
从传统SIEM和SOC来看，有两个问题同时存在，其一为数据过载问题，其二为数据失真问题。SOC是为了解决离散的安全环节没有形成整体管理能力的问题，对安全环节进行统一管理，使之成为能够协调联动的整体；SIEM是为了解决基于安全日志和系统运行日志的源头分散、难以统一分析的问题，所以把设备、应用系统和产品日志，以及在端点侧、流量侧不同的安全产品的日志汇聚在一起，形成上层的查询、分析、关联能力。它们是在防火墙、IDS、反病毒、终端管控等安全产品成熟后，产生的上层平台型产品。这就带来了新的问题，仅仅能够对更多的日志进行汇聚，对更多的产品进行管理是不是就足够了？是否还需要考虑接入到平台的产品自身的采集能力、基础检测能力？是否能够支持以对抗高级网空威胁为目的的态势感知和积极防护的要求？一旦攻击行为不能在基础的采集环节实现留痕，那么基本上很难通过上层分析发现。
因此，一方面发挥和强化SIEM的日志整合、分析、检索能力和SOC形成的统一管理能力，但也需要进一步推动基础能力的改进和重构，这是态势感知中需要完成的工作。在SIEM和SOC的基础上，我们正在强化态势感知平台的运维、安全一体化，希望达成资产、配置、漏洞和补丁管理的统一能力的效果，使客户通过态势感知平台运维，提升网络可管理性，进而支撑防御能力。
本书“译者序”中提出，“即使在支撑工作任务的网络系统遭受网空攻击并被攻击控制的情况下，依然能够保持工作任务持续进行，并及时恢复到可接受的工作任务保障水平。在这一系列类型的网络安全防御能力的支撑下，通过实战化的网络安全防御运行，能够达到本书对全面完善的网空安全防御过程所提出的要求。”网络安全防御相关平台和产品的规划设计和功能实现，需要坚持实战化的导向，让网空防御相关的人员角色都能有效操作和使用。由于动态综合防御体系的复杂性，特别是态势感知平台体系结构的复杂性，往往会导致所谓的能力型产品以及态势感知平台的业务功能系统都难以使用，在这一点上我们也有正反面的经验教训。
在2009年，我们开发了AVML搜索功能。AVML是安天内部定义的一种XML标记语言，用来存放病毒样本的分析结果。AVML搜索不仅可以搜索IP、域名、URL、Hash等，也可以搜索动静态分析系统所生成的各种向量结果，如字符串、互斥量、函数名等。在我们向客户交付监测平台时，这个功能往往作为一个子系统交付。在有追踪溯源、网络攻击案件侦办需求的客户群体中，这个功能评价较为正面；但其他用户几乎很少使用这个功能，普遍反映虽然演示起来高端洋气，但其实不知道怎么用，也不理解有什么用。
有一定基础能力的安全厂商开发者往往有一种炫技心态，希望用能力的专业度打动客户。我们曾在监测型感知平台和探海等产品上，为客户扩展了支持基于结果、向量、标签等条件组合添加决策树的能力，但在实际实践中客户基本无法掌握，其效果反而不如支持IP、Hash等简单规则扩展明显。最终我们取消了这一功能。
相比之下，在威胁情报的增值服务中，我们获得最多好评的是APT攻击追溯包的服务，客户只需要订阅攻击追溯包并进行部署操作，就可以看到追溯结果。免去了将机读情报手工转化为规则的操作，也无需对C2、Hash、YARA等有更深的理解。在命中威胁的情况下，才会向客户展示匹配到的规则细节，引导后续处置流程。这就成为用户可以驾驭的功能。
通过长期的威胁对抗实践，以及对业内成果的调研总结，特别是基于“滑动标尺”叠加演进能力模型和《关于网络纵深防御的思考》（2014）等报告文章中提出的核心理念，安天逐渐找到了自身所要践行的安全理念，我将其记录在此，也作为对本文观点的总结。
将以基础结构安全和纵深防御为主体的综合防御体系作为基础，叠加动态的积极防御以应对高级复杂威胁，同时结合威胁情报缩短防御响应周期并提高针对性，构建动态综合网络安全防御体系。在防御体系规划建设中，要做到：
综合发展：基础结构安全、纵深防御、态势感知与积极防御、威胁情报从前到后逐步加强、逐步演化，且前面的层次要为后面的层次提供基础支撑条件。
深度结合：将安全能力落实到信息系统的各个实现层组件，逐层展开防御，为及时发现和响应赢得时间。
全面覆盖：将安全能力最大化覆盖信息系统的各个组成实体，避免因局部能力短板导致整体防御失效。
动态协同：依托持续监测和自动响应能力，结合大数据分析、威胁情报、专家研判，实现积极防御。
结束语
网络强国战略发展对网络安全工作效果的要求在不断提升。2016年习近平总书记在“4·19”讲话中要求“全天候全方位感知网络安全态势”，对态势感知提出了增强连续性、抗干扰性和无死角的要求。在此后2017年的“2·17”讲话中，总书记将工作要求提升为“实现全天候全方位感知和有效防护”，要求我们改变无效防护的局面，从感知风险的存在，提升至通过有效防护对抗威胁、控制风险，并强调了感知与防护能力必须做到全方位覆盖。在2018年的“4·20”讲话中，指出要“关口前移”，对落实网络安全防护的方法提出了重要要求，而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。距离这些工作要求，我们还有很大的差距。本书的翻译、校对过程是我们为更好落实相关工作要求而进行的自我学习过程，是我们从懵懂实践态势感知到重新理解何谓态势感知、重新规划战术型态势感知平台的过程，是一个不断自我反思和批判的过程。我从1994年开始学习反恶意代码技术，在安天所从事的大部分技术工作，是围绕着以反恶意代码为主的威胁对抗展开的，在这个过程中形成了经验积累，也带来了自身的一些认知惯性和局限。在学习本书的过程中，我对态势感知的认识，经历了一个从自身的反恶意代码本位视角出发，逐渐跳出本位视角的过程。将本书作为态势感知的基础知识和方法框架，回头对接和梳理我们自己的工作，就能发现我们存在的很多缺陷和盲点，包括大量我们尚未突破的科学问题，有的问题整个业内都在寻找答案。在此，我将部分自我实践经验赘述于此，并不是为了展示这些工作，而是为了通过我们的弯路和教训来说明，即使对于有长期威胁检测、对抗、分析能力，并有一定的工程经验的规模化安全团队来说，研发态势感知平台体系依然是高度艰难和复杂的工作。不仅如此，我们所形成的一些积习和惯性思维，往往还会干扰我们对态势感知形成更系统且全面的认识，并进一步影响到我们的实践。
复杂性科学的重要奠基人之一布莱尔·阿瑟（Brina Arthur）曾经询问著名航空工程专家沃尔特·文森蒂（Walter Vincenti），为什么绝少工程师试图奠定他们领域的理论技术，得到的回答是，“工程师只喜欢那些他们能解决的问题”。必须承认，在过去非常长的一段时间里，我们在态势感知和网空防御相关的工作实践中缺少真正意义上的理论层面的思考。而本书在很大程度上弥补了我们在理论层面思考的匮乏，这体现出“工程师所扮演的内部思考者”是与众不同的。为此，我必须向本书的各位作者和主要译者黄晟同志表示敬意。
我们坚信，进一步的研发与工程实践能延展和深化书中那些指向未来的路标。在协助网信主管部门实施监测型态势感知平台的经验基础上，我们正在全力加速战术型态势感知平台的研发，以网络安全能力叠加演进为导向，协助用户开展深度结合与全面覆盖的体系化网络安全规划与建设，支撑起协同联动的实战化运行，赋能用户筑起可对抗高级威胁的网络安全防线。这些工作仅靠一个厂商无法完成，而需要由多个能力型厂商组成的良性生态体系。
任重道远。愿与网络安全同仁们携手努力。
参考文献
［1］ 习近平.在网络安全和信息化工作座谈会上的讲话［N］人民日报，2016-04-26（002）.
［2］ 习近平主持召开国家安全工作座谈会强调 牢固树立认真贯彻总体国家安全观 开创新形势下国家安全工作新局面［N］人民日报，2017-02-18（001）.
［3］ 习近平在全国网络安全和信息化工作会议上强调 敏锐抓住信息化发展历史机遇 自主创新推进网络强国建设［N］人民日报，2018-04-22（001）.
［4］ 黄晟.网络安全纵深防御思考.?2015.
［5］ 黄晟.塔防在私有云安全中的实践.?2015.
［6］ 安天.安天针对漏洞到蠕虫家族的应急响应预案.?2004.
［7］ 安天.安天针对“方程式”组织的系列分析报告.?2015.
［8］ 安天.从“方程式”到“方程组”：EQUATION攻击组织高级恶意代码的全平台能力解析.2016.
［9］ 安天.?方程式组织EQUATION DRUG平台解析.?2017.
［10］ 安天.一例针对中国政府机构的准APT攻击中所使用的样本分析.?2015.
［11］ 安天.白象的舞步——来自南亚次大陆的网络攻击.?2016.
［12］ 安天.“绿斑”行动——持续多年的攻击.?2018.
［13］ Maren Leed. Offensive Cyber Capabilities at the Operational Level［EB/OL］?.?2013.url:http://indianstrategicknowledgeonline.com/web/130916_Leed_OffensiveCyberCapabilities_Web.pdf.
［14］ Edwin “Leigh” Armistead.Understanding the Co-Evolution of Cyber Defenses And Attacks to Achieve Enhanced Cybersecurity［EB/OL］?.?2015.url:https://www.jinfowar.com/journal/volume-14-issue-2/understanding-co-evolution-cyber-defenses-and-attacks-achieve.
［15］ Robert M Lee. A SANS Analyst Whitepaper: The Sliding Scale of Cyber Security, SANS Institute
InfoSec Reading Room［EB/OL］?.?2015.?url:https://www.sans.org/reading-room/whitepapers/ActiveDefense/sliding-scale-cyber-security-36240.
［16］ 布莱恩·阿瑟. 技术的本质：技术是什么，它是如何进化的［M］杭州：浙江人民出版社，2018.

译者序
推荐序
前言
致谢和免责声明
关于作者
第1章　理论基础与当前挑战 1
1.1　引言 1
1.2　网空态势感知 3
1.2.1　态势感知的定义 3
1.2.2　网空行动的态势感知需求 4
1.2.3　态势感知的认知机制 5
1.3　网空行动中态势感知所面临的挑战 11
1.3.1　复杂和多变的系统拓扑结构 11
1.3.2　快速变化的技术 12
1.3.3　高噪信比 12
1.3.4　定时炸弹和潜伏攻击 12
1.3.5　快速演化的多面威胁 13
1.3.6　事件发展的速度 13
1.3.7　非整合的工具 13
1.3.8　数据过载和含义欠载 14
1.3.9　自动化导致的态势感知损失 14
1.3.10　对网空态势感知挑战的总结 14
1.4　网空态势感知的研发需求 15
1.4.1　网络空间的通用作战态势图 15
1.4.2　动态变化大规模复杂网络的可视化 17
1.4.3　对态势感知决策者的支持 17
1.4.4　协同的人员与自主系统结合团队 17
1.4.5　组件和代码的检验和确认 18
1.4.6　积极控制 19
1.5　小结 19
参考文献 20
第2章　传统战与网空战 21
2.1　引言 21
2.1.1　从传统战场到虚拟战场的过渡 22
2.1.2　态势感知的重要性 24
2.1.3　传统态势感知 25
2.1.4　网空态势感知 25
2.2　传统态势感知研究示例 25
2.2.1　DARPA的MDC2计划 26
2.2.2　RAID计划 27
2.3　传统态势感知与网空态势感知之间具有指导意义的相似点与巨大差异 28
2.3.1　传统态势感知与网空态势感知有力地影响任务结果 29
2.3.2　认知偏差会限制对可用信息的理解 30
2.3.3　信息的收集、组织与共享难以管理 32
2.3.4　协作具有挑战性 33
2.3.5　共享的图景无法保证共享的态势感知 34
2.4　小结 34
参考文献 35
第3章　形成感知 37
3.1　引言 37
3.2　网空防御过程 38
3.2.1　当前的网空环境 38
3.2.2　网空防御过程概览 38
3.2.3　网空防御角色 40
3.3　态势感知的多面性 41
3.4　相关领域的发展现状 44
3.5　态势感知框架 46
3.6　小结 49
参考文献 50
第4章　全网感知 51
4.1　引言 51
4.1.1　网空态势感知形成的过程 51
4.1.2　网空态势感知的输入和输出 53
4.1.3　态势感知理论模型 53
4.1.4　当前网空态势感知存在的差距 54
4.2　在网络上下文中的网空态势感知 55
4.3　网络运营及网空安全的态势感知解决方案 55
4.4　态势感知的生命周期 56
4.4.1　网络感知 56
4.4.2　威胁/攻击感知 57
4.4.3　运营/任务感知 57
4.5　对有效网空态势感知的需求 58
4.6　对有效网空态势感知的概述 59
4.6.1　对网络进行计量以获得有效网空态势感知所需的数据 60
4.6.2　根据当前态势感知预测将来 61
4.6.3　实现有效网空态势感知的可能途径 61
4.7　实现有效网空态势感知 62
4.7.1　用例：有效网空态势感知 63
4.7.2　实现全网感知 64
4.7.3　实现威胁/攻击感知 69
4.7.4　实现任务/运营感知 72
4.8　未来方向 76
4.9　小结 77
参考文献 78
第5章　认知能力与相关技术 79
5.1　引言 79
5.2　网空世界的挑战及其对人类认知能力的影响 82
5.3　支持分析师检测入侵行为的技术 84
5.4　ACT-R认知架构 85
5.5　基于实例的学习理论和认知模型 88
5.6　在理解网空认知需求方面的研究差距 90
5.6.1　认知差距：将认知架构机制映射至网空态势感知 90
5.6.2　语义差距：整合认知架构与网空安全本体模型 91
5.6.3　决策差距：体现在网空世界中的学习、经验累积和动态决策制定方面 93
5.6.4　对抗差距：体现在对抗性的网空态势感知和决策制定方面 94
5.6.5　网络差距：处理复杂网络和网空战 95
5.7　小结 97
参考文献 98
第6章　认知过程 103
6.1　引言 103
6.2　文献综述 108
6.2.1　认知任务分析 108
6.2.2　基于案例推理 108
6.3　对认知推理过程进行信息采集和分析的系统化框架 111
6.3.1　分析推理过程的AOH概念模型 111
6.3.2　AOH对象及其彼此间关系可表达分析推理过程 112
6.3.3　对分析推理过程的信息采集 112
6.3.4　可从认知轨迹中提取出以AOH模型表达的推理过程 114
6.4　专业网络分析师案例研究 115
6.4.1　采集认知轨迹的工具 115
6.4.2　为收集专业网络分析师认知轨迹而展开的人员实验 115
6.4.3　认知轨迹 118
6.4.4　不同水平分析师的认知轨迹有什么特点 122
6.5　小结 125
参考文献 126
第7章　适应分析师的可视化技术 129
7.1　引言 129
7.2　可视化设计的形式化方法 131
7.3　网空态势感知的可视化 132
7.3.1　对安全可视化的调研 133
7.3.2　图表和地图 134
7.3.3　点边图 134
7.3.4　时间轴 135
7.3.5　平行坐标系 135
7.3.6　树形图 137
7.3.7　层次可视化 138
7.4　可视化的设计理念 139
7.5　案例研究：对网络告警的管理 140
7.5.1　基于Web的可视化 141
7.5.2　交互的可视化 141
7.5.3　分析师驱动的图表 141
7.5.4　概览+细节 143
7.5.5　关联的视图 144
7.5.6　分析过程示例 145
7.6　小结 148
参考文献 148
第8章　推理与本体模型 150
8.1　引言 150
8.2　场景 151
8.3　场景中人员展开的分析 152
8.4　网空安全本体模型的使用概要 153
8.4.1　本体模型 153
8.4.2　基于本体模型的推导 155
8.4.3　规则 156
8.5　案例研究 157
8.5.1　网空安全本体模型 157
8.5.2　概述基于XML的标准 160
8.5.3　将网空安全XML提升为OWL 161
8.5.4　STIX本体模型 163
8.5.5　其他本体模型 166
8.6　APT测试用例 170
8.6.1　测试网络 171
8.6.2　规则 173
8.6.3　基于推导的威胁检测 174
8.7　网空安全领域中其他与本体模型相关的研究工作 174
8.8　经验教训和未来工作 176
8.9　小结 178
参考文献 178
第9章　学习与语义 183
9.1　引言 183
9.2　NIDS机器学习工具的分类 185
9.3　机器学习中的输出与内部语义 187
9.4　案例研究：ELIDe和汉明聚合 189
9.4.1　ELIDe 190
9.4.2　汉明距离聚合 192
9.5　小结 196
参考文献 197
第10章　影响评估 200
10.1　引言 200
10.1.1　高级威胁与影响评估的动机 201
10.1.2　已有的告警关联研究 202
10.1.3　工作任务影响评估方面的已有研究成果 206
10.1.4　计算机网络建模 208
10.2　自上而下的设计 209
10.2.1　模型设计——工作任务定义 211
10.2.2　模型设计——环境建模 213
10.2.3　可观察对象设计 215
10.3　小结 216
参考文献 218
第11章　攻击预测 219
11.1　引言 219
11.2　用于威胁预测的网络攻击建模 222
11.2.1　基于攻击图和攻击计划的方法 222
11.2.2　通过预估攻击者的能力、机会和意图进行攻击预测 223
11.2.3　通过学习攻击行为/模式进行预测 225
11.3　待解决问题和初步研究 228
11.3.1　攻击建模中混淆的影响 228
11.3.2　以资产为中心的攻击模型生成 231
11.3.3　评价网络攻击预测系统的数据需求 236
11.4　小结 237
参考文献 238
第12章　安全度量指标 241
12.1　引言 241
12.2　网空态势感知的安全度量指标 242
12.2.1　安全度量指标：是什么、为何需要、如何度量 242
12.2.2　网络空间中态势感知的安全度量 245
12.3　网络漏洞和攻击风险评估 251
12.3.1　漏洞评估的安全度量指标 251
12.3.2　攻击风险的建模与度量 254
12.4　网空影响与工作任务的相关性分析 255
12.4.1　从工作任务到资产的映射与建模 256
12.4.2　对工作任务的网空影响分析 259
12.5　资产的关键性分析与优先级排序 262
12.5.1　基于AHP的关键性分析 262
12.5.2　基于优先级的网格分析 263
12.6　未来工作 265
12.7　小结 266
参考文献 266
第13章　工作任务的弹性恢复能力 269
13.1　引言 269
13.2　概览：可弹性恢复网空防御 271
13.2.1　复杂系统中的弹性恢复行为 271
13.2.2　对以工作任务为中心和可弹性恢复网空防御的理解 271
13.2.3　相关研究成果回顾 272
13.3　基于网空态势感知的可弹性恢复网空防御方法 273
13.3.1　通用的态势感知与决策支持模型 273
13.3.2　整合的网空-物理态势管理架构 275
13.4　对工作任务、网空基础设施和网空攻击的建模 276
13.4.1　工作任务建模 276
13.4.2　网空地形 278
13.4.3　面向影响的网空攻击建模 279
13.5　网空态势感知和可弹性恢复网空防御 280
13.5.1　网空态势感知过程 280
13.5.2　对目标软件的影响评估 281
13.5.3　工作任务影响评估 282
13.6　合理可能的未来任务影响评估 284
13.6.1　合理可能未来网空态势的原理 284
13.6.2　合理可能的未来任务影响评估过程 286
13.7　通过适应调整取得工作任务的弹性恢复能力 287
13.7.1　联邦式多代理系统的适应调整 287
13.7.2　保持适应调整策略的工作任务弹性恢复能力 288
13.8　小结 289
参考文献 290
第14章　结束寄语 293
14.1　挑战 293
14.1.1　网络空间中的人类执行者 294
14.1.2　网空攻击的高度不对称性 294
14.1.3　人类认知与网空世界之间的复杂性失配 295
14.1.4　网空行动与工作任务之间的分离 296
14.2　未来的研究 296