[读书笔记]网空态势感知理论与模型

一、网空态势感知的能力

1.创建问题解决工作流或流程的能力

2.查看网空防御全局情况的能力

3.管理不确定性的能力

4.基于不完整或受干扰信息进行推理分析的能力

5.在海量信息中快速锁定关键线索的能力

6.战略规划的能力

7.预测攻击者可能采取的后续动作的能力

二、网空态势感知领域的研究目标和

1. 目标A：

（1）不同层级安全分析人员的成效存在巨大差距，如何消除

（2）拥有许多工具但无法有效提高工作成效

（3）需要哪些模型、工具和分析方法才能提升工作表现成效

  目标B：
 开发出网空态势感知系统设计、实施和评价方面的新范式。

2. 科学研究障碍

（1）传感获得的数据量巨大，与安全人员无法有效利用信息的矛盾；

（2）人类认知的神经元级速度，与信息传感的芯片级速度之间的矛盾；

（3）对于全局情况感知的需求，与烟囱式传感机制之间的矛盾；人员之间也存在相互孤立的“烟囱”

（4）对于知晓我情的概念，研究人员和网络安全中心尚未得到充分关注

（5）缺乏实际情况的信息，与对科学合理模型的需求之间存在的矛盾

3. 科学研究的新方向

（1）理解安全分析人员在网空态势感知的认知与决策方面的特性

（2）能够利用人类认知过程特质的新型网空态势感知系统设计提供启发

（3）打破纵向（区隔之间）和横向（抽象层次之间）的烟囱式鼓励情况

（4）推动围绕任务保障的分析方法（包括资产映射、损害、影响、缓解、恢复）的进步发展

（5）发现在态势情境了解方面存在的盲点

（6）将对敌方意图的分析作为网空态势感知分析方法中不可或缺的一个部分

原则1：从定性研究方法发展到定量研究方法；从数据匮乏的研究模式发展到数据充裕的研究模式。

在充斥着巨大不确定性和不可信赖性的环境中，对横跨区隔和纵跨抽象层次的多样化异质数据进行创造性的"任务感知"分析。

原则2：工具应在设计阶段考虑到人类在认知和决策方面的特点。

4. 多学科研究方法的必要性

（1）从计算机科学和信息科学的角度：

资深安全分析人员可能会使用初级安全分析人员不使用的工具。

资深安全分析人员能更深入连接工具的内部工作机制。

资深安全分析人员可以创建出一套新的工具链，并诊断分析出未曾遭遇过的攻击行动。

（2）从认知科学的角度：

资深安全分析人员和初级人员有不同的认知过程和心理状态，即使对相同的攻击。

资深安全分析人员推理过程更加缜密，而且也更不容易出错。

资深安全分析人员和初级人员有不同的团队认知行为。

（3）从决策和学习科学的角度

资深安全分析人员和初级安全分析人员对相同的攻击会“编织”出不同的假设“网络”（不太理解原话是什么意思）

资深安全分析人员和初级安全人员在进行入侵监测分析室，具有不同的基于实例的学习行为。

MURI（Multi-disciplinary University Research Initiative）

5. 态势感知实践中的两个根本性问题

（1）人类认知能力与网空态势感知工具和算法之间存在巨大差距。原始数据所包含的信息量比分析人员的“认知能力吞吐量”高出几个数量级，且缺少从数据到决策的关键“连接”。

-----解决方案：

通过特定于网络态势感知的信息与知识融合、认知能力自动化、人工智能和可视化分析等方面来构建原先缺失的连接环节。未来期望将人类智能与人工智能进行整合。

（2）现有的态势感知工具和系统对网络空间整体状况存在重大“盲点”

-----解决方案：

通过打破横向和纵向“烟囱”，来解决第二个限制问题。设想的技术包括纵跨抽象层次的依赖关系分析与知识融合、横跨区隔的依赖关系分析与知识融合、实现不确定性分析和管理的概率图模型，以及实现“知晓我情”与“知晓攻击行动敌情”的知识整合。

6. 未来的主要研究方向

（1）认知能力的自动化

   开发能够表现出智能行为的交互式态势感知系统

  研究特定于网空态势感知的认知行为

  追踪安全分析人员的数据分类分流操作行为和推理过程

 开发能够实现基于经验的自动化态势识别与预测的技术

 开发能够帮助安全分析人员获得网空态势感知的智能代理技术；智能代理能够学习安全分析人员的数据分类分流操作行为和推理过程。

对特定于网空态势感知的认知能力吞吐量进行评估。

发现基于团队的网空态势感知中存在的瓶颈。

（2）对于“盲点”的监控

纵跨抽象层的依赖关系分析和影响评估

横跨区隔的依赖关系分析与影响评估

进行跨数据源的安全相关事件的关联

基于博弈论的分析

应用大数据分析和机器学习技术

（3）态势知识融合

开发用于态势知识展现和管理的网空态势知识参考模型。

构建概率图模型以开展不确定性分析和管理。

（4）可视化分析

适用于网空态势感知的可视化分析方法

7.主要成果

（1）方向1的研究成果

  1）认知科学研究的方法论： Living lab的研究方法，是一种起始并结束于现实世界的循环式研究方法。通过访谈领域专家、查看文档和文献，以及观摩网空安全演习来理解网络安全分析人员的操作任务。

  2）构建“人员-信息”混合型数据分类分流系统

数据分类分流包括：检查各种数据源的详细信息、提出误报、对相关的迹象标识进行分组，以便对于不同的攻击行为记忆区分。

安全信息与事件管理（SIEM）在数据分类分流自动化处理能力方面已经取得了飞跃，但代价高昂，每个组织都需要定制的SIEM系统，且仍然需要大量的手动操作。

开发了一种计算机辅助的认知过程追踪方法，希望利用人工智能技术大幅降低数据分类分流自动化处理的成本，并从安全分析人员的工作经验和数据分类分流操作历史记录中自动学习如何进行自动化发的数据分类分流。

  步骤1：使用一种新定义的特征约束图（CC-graph）展现所采集的安全分析人员的数据分类分流操作追踪记录，以及这些分类分流操作的时间和逻辑关系。

 步骤2：发掘出一系列的SIEM规则要素。对CC-graph进行分析，找出关键的数据特征约束条件，进一步与数据源进行关联，以识别他们之间存在的“在。。。之前可能发生”的关系。

步骤3：类似于向SIEM中添加规则，直接使用形式化表达的攻击路径模式来构建一个有限状态机，来进行自动化数据分类分流。

3）对网空防御分析中团队沟通和协同的观察

在数据分类分流过程中，团队合作和信息共享可以显著降低安全分析人员的工作量。

对于处理自己不能确定的告警、事件时，能够与合适的安全分析人员进行工作交接与协同配合，能够取得更好的成效。

必须使用以操作人员为中心的协同工具推动团队工作，以便规避或降低网空防御团队中的认知偏差（包括汇集变差和确认偏差）。

4）使用CYNETS的网空安全模拟中记录人类认知行为。

5）使用基于实例的学习理论对网空攻击的检测发现进行认知建模。