浅谈网络态势感知技术

随着网络入侵行为趋于规模化、复杂化、间接化，国家间信息对抗形势逐渐严峻，对网络安全技术提出了更高的要求。与对已产生的攻击行为进行取证和控制相比，态势感知技术能够主动地收集动态的网络态势信息，分析并准确预测帮助管理员做出准确防御和应急性决策，适用于目前超大规模的网络管理。

在对网络态势感知的研究中，前美国空军首席科学家Mica R. Endsley和作为网络态势感知研究领域基础奠基人的美国网络中心前安全首席顾问的Tim Bass，所提出的Endsley三层模型和Tim Bass模型为网络态势感知领域内理论和技术的发展提供了参考和借鉴。CogSIMA 2016 [1,2]，CyberSA2017[3], IEEE Transactions on Intelligent Transportation Systems[4]等文章都是基于两种模型形成了衍生的态势感知技术或理论模型，因此，对 Tim Bass模型和Endsley三级模型的准确理解和应用是网络态势感知研究的根本和基础。

Endsley在1995年的论文[5]中提出了人类决策模型，即Endsley三级模型：态势要素感知、态势理解、态势预测。它是目前国际上应用最广的一种态势感知认知模型，该模型如图1所示，沿着信息处理链，第一级是对环境中各成分的感知（信息的输入），第二级是对目前的情境的综合理解（信息的处理），第三级是对随后情境的预测和规划（信息的输出）。

图 1. Endsley三级模型示意图

1999年TimBass提出了网络态势感知（Cyberspace Situational Awareness, CSA） [6]，他认为融合多传感器数据从而形成网络态势感知能力是下一代入侵检测系统的关键突破点。此后，各国研究团队基于不同的知识体系提出了多种数据模型及平台，CSA 技术也迅速成为研究热点。Tim Bass模型最早基于多传感器数据建立了网络态势感知框架，描述了多台安全传感器和入侵检测设备之间数据融合的原理及流程：

➡底层为数据感知层，包括数据采集层和数据预处理层，主要完成数据清洗和校准、多元数据格式化、数据关联分析等工作；

➡中层是在底层数据分析的基础上对网络态势进行动态智能推理的评估；

➡上层进行知识转化，预测当前网络中可能发生的安全事件，并对网络威胁的程度进行评估；

➡有独立的“查询选择和反馈循环”单元，负责跟踪和评估整个系统的运行情况，协调各个层次之间的关系使其正常运行。

图 2. Tim Bass模型框架示意图

在2015年，有些学者对Endsley三级态势感知(SA)模型进行大量改进引用及提出了一些批评意见，Endsley针对提出的SA模型缺陷问题，发表了《Situation Awareness Misconceptions and Misunderstandings》[7] 一文进行集中回应，对其中的误解部分再次做了深入阐述，下面主要介绍该文中指出的三点谬误之处：

1. SA的三层模型是严格线性关系。

SA的三层模型：态势要素感知（perception），态势理解(comprehension)和态势预测（projection）是递进关系而非线性的。如果一个人能理解当前态势的话，会比仅能从屏幕上读取数据而不知其意的人，形成更好的态势感知能力。进一步讲，一个人如果能做到预测出未来可能发生的事件和环境状态等，那么则认为他具有更好的态势感知能力。因此，态势要素感知，态势理解，态势预测并非是线性、离散的阶段划分。除了严格按照数据驱动的观点去顺序执行三个阶段来理解态势之外，还可以以目标驱动的思路，根据分析目标以及当前的理解和预测（第2级和第3级），向下查找数据（即搜索相关的1级数据）来验证或否认现有评估或填补空缺评估。事实上，在一个复杂且动态的系统中，一个简单的1-2-3级处理（数据驱动）并不是一个高效的处理机制，因此在实际应用该概念模型时，目标驱动的处理模块和反馈机制是非常重要的。

2. 该模型是一个数据驱动的信息处理模型。

SA提出的重点超越了传统的信息处理方法，并试图解释复杂系统运行中的人类行为。虽然该模型包含了许多与传统信息处理模型相同的认知过程和机制，但它清楚地表明了在理解SA发生过程中，目标驱动处理的重要性：Casson(1983)[8]将其称为自上而下的决策处理（top-down decision process），行为的目标计划直接指向在态势感知过程中应该着重关注的部分。

3. SA不具有循环性和动态性。

完全相反，Endsley 在1995提出的Endsley三级模型中明确提出了一个信息收集和后期响应的动态反馈回路机制，现实世界情况的动态表现是SA的第三项重要因素，信息发生变化的速度是SA考虑目前情况的一部分，也是预测未来的情况的一项指标。而态势情况的动态性决定了态势总是在变化，对于客体的态势感知必须不断变化否则即会产生过时而不准确的信息[9]。

在网络态势感知的研究中，可选择的数据源非常丰富，安全设备日志、路由流量信息、主机日志等等都可作为研究的主要对象，最常用到的标准数据集有：

[1] KDD99，它是由MIT利用TCPdump收集了9周时间的网络连接和系统审计数据，仿真各种用户类型、各种不同的网络流量和攻击手段形成的数据样本。每个连接用41个特征来描述，以CSV格式写成，加上最后的标记（label），一共有42项。label分别被标记为正常（normal）或异常（attack），可以用来测试各种入侵检测以及类型算法的验证实验集。

获取方式：https://www.ll.mit.edu/ideval/data/1999data.html

[2] DARPA2000是经典的攻击场景还原数据集，它由DARPA设计不同的攻击场景构建并提供场景模拟下的流量及审计日志，并分阶段对攻击行为作出准确描述以便研究者对自己的数据融合或入侵检测结果做评估。

获取方式：https://www.ll.mit.edu//ideval/data/2000data.html

[3] CAIDA数据集是由CAIDA每年对一个季度或一个月高速互联网骨干链路上的流量进行跟踪得到的流量样本和实时的流量分析报告，与前两个数据集相比，由于采集样本的事件更近且不断更新，在近五年的研究中成为研究数据的主要来源之一。

获取方式： https://www.caida.org/data/passive/passive_2016_dataset.xml

[4] CICIDS2017数据集是目前较新的数据集，由Canadian Institute for Cybersecurity采集发布，格式类似于kdd99，连接用81个特征来描述，以CSV格式写成，加上最后的标记（label），另外提供了源流量数据以便研究人员的回溯和其他研究项目。

获取方式：http://www.unb.ca/cic/datasets/ids-2017.html

参考文献：

[1] Cain A A, Schuster D. Applying measurement to complementary situation awareness[C]// IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support. IEEE, 2016:121-125.

[2] Gutzwiller R S, Hunt S M, Lange D S. A task analysis toward characterizing cyber-cognitive situation awareness (CCSA) in cyber defense analysts[C]// IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support. IEEE, 2016:14-20.

[3] Lif P, Granasen M, Sommestad T. Development and validation of technique to measure cyber situation awareness[C]// International Conference on Cyber Situational Awareness, Data Analytics and Assessment. 2017:1-8.

[4] Rajala M, Ritala R. Situation Awareness Framework for Multi-Machine Environments: An Application to Operator Assistive Collision Warning System[J]. IEEE Transactions on Intelligent Transportation Systems, 2016, 17(2):336-345.

[5] Endsley M R. Toward a theory of situation awareness in dynamic systems[J]. Human factors, 1995, 37(1): 32-64.

[6] Bass T. Multisensor data fusion for next generation distributed intrusion detection systems[J]. 1999.

[7] Endsley M R. Situation awareness misconceptions and misunderstandings[J]. Journal of Cognitive Engineering and Decision Making, 2015, 9(1): 4-32.

[8] Casson R W. Schemata in cognitive anthropology[J]. Annual review of anthropology, 1983, 12(1): 429-462.

[9] Endsley M R, Garland D J. Theoretical underpinnings of situation awareness: A critical review[J]. Situation awareness analysis and measurement, 2000, 1: 24.

[10] Endsley M R. Design and evaluation for situation awareness enhancement[C]//Proceedings of the Human Factors Society annual meeting. Sage CA: Los Angeles, CA: SAGE Publications, 1988, 32(2): 97-101.

[11] ENDSLEY M. A methodology for the objective measurement of pilot situation awareness[J]. AGARD, Situational Awareness in Aerospace Operations 9 p(SEE N 90-28972 23-53), 1990.

[12] Endsley, M. R. (1995). Toward a theory of situation awareness in dynamic systems. Human Factors, 37(1), 32-64.

作者：于倩 刘超

责任编辑：向灵孜