“態(tài)勢感知”(SA，Situation Awareness)概念起源于20 世紀80 年代的美國空軍：分析空戰(zhàn)環(huán)境信息，快速判斷當前及未來形勢并做出正確反應(yīng)。無疑這對取得勝利具有決定性的作用，而信息到態(tài)勢的轉(zhuǎn)換并非易事，這正是SA 產(chǎn)生的背景。20 世紀90 年代，SA 進入“人為因素”(Human Factors)研究領(lǐng)域，成為研究熱點。目前SA 已廣泛應(yīng)用于軍事、航空、工業(yè)生產(chǎn)、安全防控等領(lǐng)域，對輔助決策起到重要作用。

公認的SA 概念是：在特定時空下，對動態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測?；蛘?，SA 是經(jīng)過某種信息的處理過程達到的知識狀態(tài)，這種處理過程稱為“態(tài)勢評估”(Situation Assessment)。態(tài)勢感知中的“覺察”又稱為一級SA，本質(zhì)上是“數(shù)據(jù)收集”;“理解”稱為二級SA，本質(zhì)上是掌握數(shù)據(jù)中的知識(數(shù)據(jù)中的對象及其行為和對象間的相互關(guān)系);“預(yù)測”稱為三級SA，本質(zhì)上是知識的應(yīng)用。

近年來，SA 研究面臨環(huán)境的全局性、復雜性、動態(tài)性、高負荷性，催生新的功能需求或研究：具有多源數(shù)據(jù)融合與可視化、異質(zhì)性、自動化、實時處理特點的風險評估、決策、預(yù)測系統(tǒng)，其中具有代表性的研究熱點是數(shù)據(jù)融合與可視化，數(shù)據(jù)融合技術(shù)是指利用計算機對按時序獲得的若干觀測信息，在一定準則下加以自動分析、綜合，以完成所需的決策和評估任務(wù)而進行的信息處理技術(shù)。

態(tài)勢感知技術(shù)分類

一些研究者出于解決行業(yè)領(lǐng)域內(nèi)具體問題這一目的，從信息收集、感知方法及過程等角度研究態(tài)勢感知。如討論軍事與國土安全決策支持及知識管理，從信息獲取、存儲、解釋等角度分析態(tài)勢感知技術(shù)。又如討論網(wǎng)絡(luò)安全態(tài)勢感知，將態(tài)勢預(yù)測方法分為基于事件、環(huán)境兩類。而專門討論可視化技術(shù)，從可視化的需求、目的、內(nèi)容等角度進行分類。本文不局限于某一具體的應(yīng)用領(lǐng)域或角度，而從更高層面進行分類，以期更全面地探究態(tài)勢感知技術(shù)，分類概貌如圖1 所示。

1. 環(huán)境類型

環(huán)境類型分為封閉式環(huán)境和開放式環(huán)境，封閉環(huán)境或閉合系統(tǒng)，指不與外界有任何物質(zhì)交換，不受任何外力控制或影響的系統(tǒng)。如一個核電廠的整個運行監(jiān)控系統(tǒng)，其特點是：觀察對象固定，對象的特征與對象間關(guān)系穩(wěn)定且可枚舉，此類環(huán)境的態(tài)勢感知相對容易。

開放式環(huán)境如戰(zhàn)場、互聯(lián)網(wǎng)等，其特點是：環(huán)境中的對象類型、特征均可能發(fā)生變化，環(huán)境無邊界或者邊界模糊。為了簡化，這類環(huán)境的感知模型會將對象進行粗略的分類，從而使對象類型固定。信息時代，這類環(huán)境更為常見，由于環(huán)境復雜度高，對態(tài)勢感知技術(shù)的需求也更為迫切。

2. 應(yīng)用類型

應(yīng)用類型主要有3 個：環(huán)境管理、安全監(jiān)測與工業(yè)控制，不同類型間的區(qū)別在于感知的目的不同，而這主要體現(xiàn)在感知過程的不同。

環(huán)境管理，如觀察某一區(qū)域的車輛通行情況，觀察記錄某地氣象走勢等。通過記錄、統(tǒng)計、分析，為將來的設(shè)計提供決策等。

安全監(jiān)測，這包括對環(huán)境中異常的檢測，攻擊的識別，威脅的評估，主要目的是宏觀的安全管理。

工業(yè)控制包括對工業(yè)生產(chǎn)環(huán)境的過程控制，主要目的是確保工業(yè)生產(chǎn)活動的安全、質(zhì)量、效率等。

以上應(yīng)用類型的不同主要體現(xiàn)在態(tài)勢感知過程的不同上，總結(jié)如表2 所示。

3. 方法類型

方法類型主要有：因果關(guān)聯(lián)分析、事件統(tǒng)計及本體模型3 類。

因果關(guān)聯(lián)分析是通過分析環(huán)境中發(fā)生事件的因果關(guān)系，來理解、確定或預(yù)測環(huán)境的狀態(tài)。具體來說，環(huán)境信息通過基于因果關(guān)系的感知模型，映射為環(huán)境的狀態(tài)，這類方法適用于環(huán)境中的對象及其行為之間存在因果關(guān)系的場合。

事件統(tǒng)計是指按照事件發(fā)生的統(tǒng)計結(jié)果來評估環(huán)境狀態(tài)，這類技術(shù)通常需要使用基于訓練數(shù)據(jù)的機器學習方法，學習的目標是建立特定事件模式與環(huán)境知識狀態(tài)之間的映射關(guān)系，新的事件通過這種映射關(guān)系的映射形成對環(huán)境態(tài)勢的感知，這類方法適用于具備質(zhì)量較高的環(huán)境事件統(tǒng)計數(shù)據(jù)的場合。

本體模型是通過對環(huán)境本身時空特性的分析，歸納并推斷當前及未來的態(tài)勢。例如，通過分析一個網(wǎng)絡(luò)中服務(wù)的漏洞情況來判斷未來網(wǎng)絡(luò)的安全態(tài)勢，通過分析一個區(qū)域的安保設(shè)施維護情況來推斷這個區(qū)域的安全風險等。

各種態(tài)勢感知技術(shù)的特點總結(jié)如表3 所示。

4. 模型分類

可以根據(jù)有無反饋，有無決策目標，有無人為因素來劃分。需要注意，有時這些因素之間是相關(guān)的，如有決策目標的模型，為了提高模型的準確度，往往需要通過評估決策的效果并通過反饋修正模型;而具有多元決策目標的評估模型，由于決策過程的復雜性，往往需要加入人為干涉來調(diào)整感知模型。

除此以外，模型分類還可以基于以下特征：數(shù)據(jù)源(單一、多源、多源異構(gòu))、模型特點(基礎(chǔ)模型、融合模型、領(lǐng)域模型)、所用方法(概率統(tǒng)計、關(guān)聯(lián)分析)等。

綜上所述，總結(jié)有代表性的模型如表4 所示。

網(wǎng)絡(luò)安全態(tài)勢感知

從被保護和保護兩個角度來說，網(wǎng)絡(luò)安全問題的解決最終朝向兩個方向：1. 對特定對象的保護，防火墻、IDS、IPS 等技術(shù)均以此為目標;2. 安全監(jiān)測及威脅應(yīng)對。如果將威脅定義為攻擊者基于同一目的的一系列安全事件的集合，則網(wǎng)絡(luò)安全監(jiān)測主要包含威脅檢測及威脅評估兩方面內(nèi)容，前者本質(zhì)上是攻擊者檢測;而后者本質(zhì)上是攻擊者意圖的估計。實現(xiàn)安全監(jiān)測不但需要覺察環(huán)境下各元素和對象，而且需要理解其中的語義和相互關(guān)系，從而最終實現(xiàn)攻擊者及其威脅的推斷、評估，這一過程與態(tài)勢感知本質(zhì)上是一致的，即網(wǎng)絡(luò)安全態(tài)勢感知模型或內(nèi)容如圖2 所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢感知內(nèi)容示意圖

在三級網(wǎng)絡(luò)安全態(tài)勢感知中，一、二級感知，即攻擊事件的產(chǎn)生、誤報消除、關(guān)聯(lián)以及攻擊者的檢測已經(jīng)有大量的研究成果，限于篇幅，這里僅介紹攻擊者意圖感知部分。“攻擊者意圖識別”的目標是找出攻擊者單一攻擊事件背后的邏輯關(guān)系，獲得更多的攻擊語義，合理推斷攻擊者的下一步行為，從而評估攻擊者的威脅，傳統(tǒng)的意圖識別方法包括基于文法分析的意圖識別，基于攻擊圖的警報關(guān)聯(lián)方法，基于因果關(guān)聯(lián)的警報關(guān)聯(lián)方法以及貝葉斯、隱馬爾科夫模型等，這些方法各有優(yōu)缺點，最終可以形成攻擊場景或者“超警報”。但針對僵尸網(wǎng)絡(luò)或高級持續(xù)攻擊等復雜攻擊類型，仍須進一步提高感知級別，具有代表性的研究有結(jié)合提出的基于態(tài)勢感知方法的威脅檢測與評估方法，基本思想是IDS 檢測結(jié)果進入相互獨立的攻擊識別系統(tǒng)和環(huán)境系統(tǒng)，攻擊識別系統(tǒng)負責識別各類型攻擊，環(huán)境系統(tǒng)負責分析被保護網(wǎng)絡(luò)暴露給攻擊者的弱點，兩系統(tǒng)分析結(jié)果融合后合理估計攻擊者意圖，并計算威脅值。

網(wǎng)絡(luò)安全態(tài)勢感知的應(yīng)用

作為CERNET“十一五”211 工程建設(shè)項目——CERNET 主干網(wǎng)運行保障系統(tǒng)的一部分：CHAIRS(Cooperative Hybrid Aided Incidence Response System)大型分布式應(yīng)急響應(yīng)系統(tǒng)，其設(shè)計目標是為各節(jié)點的CERT 提供應(yīng)急響應(yīng)服務(wù)管理功能，提高CERNET 內(nèi)安全事件響應(yīng)的效率。同時由于各節(jié)點各自擁有不同的檢測能力，CHAIRS 系統(tǒng)開放警報接口，支持不同安全檢測系統(tǒng)的擴展，形成對CERNET 主干網(wǎng)的安全態(tài)勢監(jiān)控能力。

CHAIRS 系統(tǒng)通過分析收集到的各類安全檢測系統(tǒng)的警報(如表5 所示)，檢測出僵尸網(wǎng)絡(luò)、惡意網(wǎng)站等各類攻擊者及其攻擊活動，在此基礎(chǔ)上通過推測攻擊者類型、數(shù)量、位置、意圖等測度來評估攻擊者的威脅程度，從而最終實現(xiàn)態(tài)勢感知。

例如, 通過關(guān)聯(lián)DNS、Monster、HoneyPot、NBOS 四類警報，檢測僵尸網(wǎng)絡(luò)以及評估其威脅程度這一過程。

關(guān)聯(lián)分析各種入侵警報，本質(zhì)上是明確攻擊者行為證據(jù)鏈，確定攻擊者并評估其威脅。

態(tài)勢感知技術(shù)的目的是幫助決策，所以傳統(tǒng)的態(tài)勢感知技術(shù)詳細討論系統(tǒng)、任務(wù)(決策目標)、人為因素三者對態(tài)勢感知所造成的影響以及應(yīng)對方法。而信息時代下，信息源大大豐富，同時，態(tài)勢感知也變得更為復雜：1. 信息系統(tǒng)往往是無邊界的，對象的諸多特征不可預(yù)知，對象之間的作用與影響也難以預(yù)測;2. 決策目標更加多元、精細，對態(tài)勢感知亦提出了更高的要求;3. 由于所處環(huán)境的復雜多變，人的判斷、決策亦隨之變化。以上因素導致傳統(tǒng)態(tài)勢感知技術(shù)面臨新的挑戰(zhàn)。

因果關(guān)聯(lián)分析、事件統(tǒng)計、本體模型等技術(shù)方法依然是有效的感知技術(shù)，然而由于系統(tǒng)的日益復雜，傳統(tǒng)的感知技術(shù)適用的感知級別具有降低的趨勢，傳統(tǒng)環(huán)境中，可以進行三級感知的技術(shù)現(xiàn)在可能僅適用于二級感知，而對未來的預(yù)測需要更為深入與廣泛的關(guān)聯(lián)平臺與技術(shù)。近來，云計算、大數(shù)據(jù)處理等技術(shù)帶來了新的機遇，同時也帶來了新的挑戰(zhàn)：1. 資源位置不確定;2. 用戶量大且多樣;3. 日志審計隱私性更強;4. 互操作接口一致性等。

(作者單位1 為東南大學計算機科學與工程學院，2 為南京郵電大學計算機、軟件學院)