醉染图书网络空间安全防御与态势感知9787111610533

译者序序前言致谢和免责声明关于作者章  理论基础与当前挑战 11.1  引言 11.2  网空态势感知 31.2.1  态势感知的定义 31.2.2  网空行动的态势感知需求 41..  态势感知的认知机制 51.3  网空行动中态势感知所面临的挑战 111.3.1  复杂和多变的系统拓扑结构 111.3.2  快速变化的技术 121.3.3  高噪信比 121.3.4  和潜伏攻击 121.3.5  快速演化的多面威胁 131.3.6  事件发展的速度 131.3.7  非整合的工具 131.3.8  数据过载和含义欠载 141.3.9  自动化导致的态势感知损失 141.3.10  对网空态势感知挑战的总结 141.4  网空态势感知的研发需求 151.4.1  网络空间的通用作战态势图 151.4.2  动态变化大规模复杂网络的可视化 171.4.3  对态势感知决策者的支持 171.4.4  协同的人员与自主系统结合团队 171.4.5  组件和代码的检验和确认 181.4.6  积极控制 191.5  小结 19参考文献 20第2章  传统战与网空战 212.1  引言 212.1.1  从传统战场到虚拟战场的过渡 222.1.2  态势感知的重要 242.1.3  传统态势感知 252.1.4  网空态势感知 252.2  传统态势感知研究示例 252.2.1  DARPA的MDC2计划 262.2.2  RA计划 27.  传统态势感知与网空态势感知之间具有指导意义的相似点与巨大差异 28..1  传统态势感知与网空态势感知有力地影响任务结果 29..2  认知偏差会对可用信息的理解 30..  信息的收集、组织与共享难以管理 32..4  协作具有挑战 33..5  共享的图景无法保共享的态势感知 342.4  小结 34参考文献 35第3章  形成感知 373.1  引言 373.2  网空防御过程 383.2.1  当前的网空环境 383.2.2  网空防御过程概览 383..  网空防御角色 403.3  态势感知的多面 413.4  相关领域的发展现状 443.5  态势感知框架 463.6  小结 49参考文献 50第4章  所有渠道感知 514.1  引言 514.1.1  网空态势感知形成的过程 514.1.2  网空态势感知的输入和输出 534.1.3  态势感知理论模型 534.1.4  当前网空态势感知存在的差距 544.2  在网络上下文中的网空态势感知 554.3  网络运营及网空安全的态势感知解决方案 554.4  态势感知的生命周期 564.4.1  网络感知 564.4.2  威胁/攻击感知 574.4.3  运营/任务感知 574.5  对有效网空态势感知的需求 584.6  对有效网空态势感知的概述 594.6.1  对网络进行计量以获得有效网空态势感知所需的数据 604.6.2  根据当前态势感知预测将来 614.6.3  实现有效网空态势感知的可能途径 614.7  实现有效网空态势感知 624.7.1  用例：有效网空态势感知 634.7.2  实现所有渠道感知 644.7.3  实现威胁/攻击感知 694.7.4  实现任务/运营感知 724.8  未来方向 764.9  小结 77参考文献 78第5章  认知能力与相关技术 795.1  引言 795.2  网空世界的挑战及其对人类认知能力的影响 825.3  支持分析师检测入侵行为的技术 845.4  ACT-R认知架构 855.5  基于实例的学习理论和认知模型 885.6  在理解网空认知需求方面的研究差距 905.6.1  认知差距：将认知架构机制映至网空态势感知 905.6.2  语义差距：整合认知架构与网空安全本体模型 915.6.3  决策差距：体现在网空世界中的学习、经验累积和动态决策制定方面 935.6.4  对抗差距：体现在对抗的空态势感知和决策制定方面 945.6.5  网络差距：处理复杂网络和网空战 955.7  小结 97参考文献 98第6章  认知过程 1036.1  引言 1036.2  文献综述 1086.2.1  认知任务分析 1086.2.2  基于案例推理 1086.3  对认知推理过程进行信息采集和分析的系统化框架 1116.3.1  分析推理过程的AOH概念模型 1116.3.2  AOH对象及其彼此间关系可表达分析推理过程 1126.3.3  对分析推理过程的信息采集 1126.3.4  可从认知轨迹中提取出以AOH模型表达的推理过程 1146.4  专业网络分析师案例研究 1156.4.1  采集认知轨迹的工具 1156.4.2  为收集专业网络分析师认知轨迹而展开的人员实验 1156.4.3  认知轨迹 1186.4.4  不同水平分析师的认知轨迹有什么特点 1226.5  小结 125参考文献 126第7章  适应分析师的可视化技术 1297.1  引言 1297.2  可视化设计的形式化方法 1317.3  网空态势感知的可视化 1327.3.1  对安全可视化的调研 1337.3.2  图表和 1347.3.3  点边图 1347.3.4  时间轴 1357.3.5  平行坐标系 1357.3.6  树形图 1377.3.7  层次可视化 1387.4  可视化的设计理念 1397.5  案例研究：对网络告警的管理 1407.5.1  基于Web的可视化 1417.5.2  交互的可视化 1417.5.3  分析师驱动的图表 1417.5.4  概览+细节 1437.5.5  关联的视图 1447.5.6  分析过程示例 1457.6  小结 148参考文献 148第8章  推理与本体模型 15

黄晟，网络安全领域资深专家，具有靠前咨询公司和大型国有企业工作经验，在以能源行业为代表的大型企业网络安全体系规划设计、建设实施和运行管控方面有丰富的一线工作经验，并在应用安全、密码技术、安全协议、认技术威胁情报分析等网络安全技术领域有深厚的功底，熟悉金融机构操作风险、欺诈风险管理等安全与业务结合领域，并在云计算安全防护和大数据安全分析等前沿领域具有探索实践。
他较早地提出并完善了以“塔防模式”实践网络安全纵深防御的工作思路，长期与业界专家共同致力于倡导能力导向的网络安全规划与建设实践，并以复杂组织体体系架构（Enterprise Architecture，也称“企业架构”）方为基础，开创地提出了将信息化环境层次与叠加演进安力进行深度结合以实现防御机制全面覆盖的网络安全防御体系设计工作方法。
他也致力于推动在网安防御工作实践中引入靠前上的网空态势感知研究成果和优选理念，并着重研究在我国网络安全基础条件和工作现状基础上的结合应用解决方法，从而在日益严峻的网络空间威胁环境中为网络强国建设提供安全保障。为此，他使用业余时间与安天研究院共同完成了本书的翻译工作，并从网安防御体系规划与设计实践者的视角撰写序言，尝试展望一种以网空态势感知为指控中枢的网络安全动态综合防御体系。

Alexander Kott、Cliff Wang和Robert F. Erbacher对于高度网络化的社会，网络空间安全已经成为我们所面临的主要挑战之一。个人、企业和越来越关心网络犯罪、网络活动和网空战争对他们造成的成本消耗和威胁。在网空防御领域，态势感知（SA）尤为重要。态势感知与科学和技术相关，也与在相关环境下对实体和事件进行观察、理解和预测的实践相关；而在我们讨论的上下文中，这个相关的环境就是网络空间。在航空、工厂运营或应急管理等领域，达到态势感知状态并不容易。在相对“年轻”的网空防御领域，实体和事件这些概念与传统物理现象有较大差异，这种情况下更难达到态势感知状态，而且也难以理解其含义。我们（此处及后续的“我们”是指本书的所有合著者）以章作为全书的开头，介绍网空行动操作员如何形成态势感知，以及分析网空行动中支持态势感知的要求。基于这一领域的独特挑战，我们确定了在研发方面的几个关键推进点，并进一步探讨了这些要点，从而提供工具以有效地支持网空行动操作员的态势感知和决策制定。该章解释了为什么网空态势感知的形成对确保实现有效的网络防御和安的空行动至关重要。系统拓扑结构高度复杂多变，相关技术飞展，噪信比高，从攻击插入到实施破坏之间可能有较长的时间周期，多方面的威胁快速演变，事件发生的速度超出人类处理的极限，孤立非整合的工具达不到态势感知的需求，数据过载而数据含义却欠载，自动化所带来的挑战……上述诸多因素了当前网空行动中的网空态势感知。虽然在网空安全领域态势感知是一个比较新的话题，但态势感知在控制复杂企业的运营和传统战争等方面的研究和应用却有较长历史。基于这一原因，态势感知在传统的军事或敌我交战等方面，比在网空对抗中更广为人知。通过探索传统战争（也称作动能战）中态势感知的内涵，我们可以获得与网空相关的见解和研究方向。这些内容是本书第2章的主题。这一章讨论了传统战争中态势感知的本质，回顾了关于传统态势感知（KSA）的现有知识，然后将其与对网空态势感知（CSA）的当前理解进行比较。我们发现传统态势感知和网空态势感知所面临的挑战与机遇是相似的，或者至少在某些重要方面是在同一方向上的。关于两者的相似之处，在传统和网络空间世界里，态势感知都会严重影响到任务的完成效果。同样，在传统态势感知和网空态势感知中也存在认知偏差。作为两者之间差异的一个例子，传统态势感知通常依赖于被普遍接受并广泛使用的组织化表现形式，例如战场的地形图。目前，在网空态势感知中还未出现这类通用的表现形式。在讨论了网空态势感知的重要和主要特征之后，我们进一步探讨它是如何形成的。网空态势感知的形成是一个复杂的过程，需要经过许多不同的阶段并产生一系列不同的输出。承担不同角色的人员使用多样化的规程和计算机化的工具来推动上述过程的进行。第3章将探讨在网空防御过程的不同阶段中如何形成态势感知，并描述在态势感知的生命周期中涉及的不同角色。此外，该章概述了网空防御的整体过程，进而识别出了在网空防御上下文中态势感知的若干个独特方面。该章还详细描述了作者开发的网空态势感知综合框架，并概述了相关领域的现状与发展。我们重点强调了网空态势感知中五大关键功能的重要：从攻击中吸取经验、指定优先级、设定度量指标、持续诊断与缓解以及自动化机制。 第4章将继续围绕“如何形成感知”这一主题，同时专注于面向所有渠道整体网络视图的一种特定类型的态势感知。我们使用“宏观态势感知”这个术语来表示基于网络整体动态的一种态势感知，这种态势感知将网络视为单一“有机体”，并对个体元素或个体事件进行汇总观察；这与网空态势感知正好相反，网空态势感知聚焦于网络资产或网络行为的单个原子级元素，例如单个可疑网络包、对潜在入侵行为的告警或易受攻击的计算机等。另一方面，原子级的事件可能对整个网络的运行产生广泛的影响。这意味着网空态势感知的范围必须同时涵盖“微观”视角与“宏观”视角。获得所有渠道感知的过程包含对网络资产和防御能力的发现与枚举，以及对威胁和攻击的感知。我们认为有效的网空态势感知必须聚焦于对决策制定、协同机制和资源管理的完善，并讨论了达到有效所有渠道态势感知的方法。因为人类认知能力以及相关支撑技术是网空态势感知的核心，所以这是第5章的重点内容。为了阐明人类态势感知中信息整合技术和计算表达方面的挑战和方法，该章聚焦于入侵检测的过程。我们认为有效开发能够以符合人类认知的方式形成网空态势感知的技术和过程，需要引入认知模型，即形成态势感知和处理决策制定信息所涉及的认知结构和机制的动态与可自适应计算表达。虽然经常认为可视化和机器学习是加强网空态势感知的重要方法，但是我们指出当前状态下它们在态势感知方面的发展和应用存在一些局限。目前，我们在理解网空态势感知的认知需求方面存在一些知识差距，包括：缺少一个在认知架构下的网络态势感知理论模型；决策差距，表现在网络空间中的学习机制、经验和动态决策制定方面；语义差距，涉及能够在安全社区形成同认识的一种通用语言以及一套基本概念。因为认识到我们对网空分析师的认知推理过程的理解有限，所以第6章将重点讨论弥合这一知识差距的方法。首先，这一章总结了基于先前认知任务分析成果而产生的对网空分析师认知过程的理解。然后，讨论了采集记录“细粒度”认知推理过程的重要和挑战。接着，通过呈现一个对网空分析师的认知推理过程进行非侵入式采集记录和体系化分析的框架，阐述解决上述挑战的方法。该框架包含一个概念模型，非侵入式采集记录网空分析师认知轨迹的实践方法，以及通过分析认知轨迹来提取网空分析师的推理过程的实践方法。该框架可以用于开展提取专业网空分析师认知推理过程的实验研究。当有可用的认知轨迹时，就可以分析其特并与分析师的表现做出比较。在许多领域中，数据可视化和分析产品有于分析复杂的系统和活动。分析师通过图像来利用其视觉观察能力识别出数据中的特征，并应用其领域知识。同样，我们也可以预期采用类似的方式帮网空分析师在实践中形成复杂网络的态势感知。第5章介绍了与可视化相关的主题，包括以网空分析师为代表的用户的重要作用，以及可视化的误区和局限等。第7章将详细介绍用于网空态势感知的可视化。首先，该章概述科学可视化和信息可视化，以及近期用于网空态势感知的可视化系统。然后，基于与专家级网空分析师所展开的大量讨论，我们为待选的可视化系统推导整理出一系列要求。，对个能够满足上述要求并且基于Web的工具进行案例研究，以结束该章内容。可视化的重要并不会弱化算法分析在实现网空态势感知方面的关键作用。算法能够对大量的网空观察结果和数据进行推理，并推断出有于分析师和决策者形成态势感知的重要情境特征。为了实现推理并使推理结果有益于算法和人类用户，算法的输入与输出需要遵循包含明确术语定义及其相互关系的一致词汇表，即需要一个具有清晰语义和标准的本体模型。这是第8章的重点主题。第5章中提到了语义的重要，这里将详细讨论在网空行动中如何应用基于本体模型的推断来确定威胁的来源、目标和企图，以确定潜在的行动方案和对未来可能造成的影响。由于在网空安全领域不存在一套综合全面的本体模型，因此该章将展示如何利用现有的网空安全相关标准和标记语言开发一个本体模型。第9章进一步阐述了与推理相关的问题，并聚焦于机器学习这一对网空信息处理很好重要的特定类型算法。该章继续围绕本体模型和语义进行讨论，探讨了算法的有效与算法产出物的语义清晰度之间的折中关系。通常情况下，不易于从机器学习算法中提取有意义的上下文信息，因为那些具有高准确的算法经常使用人类难以理解的表达方式。另一方面，那些使用更易于理解的词汇进行表达的算法可能不太准确，会产生更多的虚告（误报）并给分析师带来困惑。因此，算法的内部语义与其输出的外部语义之间存在折中关系。该章将通过两个案例研究来阐明这种折中关系。网空态势感知系统的开发人员必须意识到这些折中关系，并设法妥善处理。如章所述，第2级态势感知称为“理解”，用于确定某个情境中各元素相对于元素和网络总体目标的重要，以及它们之间的关系。这也常常称为态势理解，包含根据观察到的信息所解读的“那意味着什么”问题。本书之前的章节没有重点讨论这一层级的态势感知。因此，0章对第2级网空态势感知“理解”进行具体阐述。该章解释了理解情境中不同元素之间重要关系的有效途径是专注于分析这些元素如何影响网络的任务。这需要提出并解答一系列问题，包括：疑似攻击之间有什么关系，疑似攻击与网络组件的剩余能力有什么关系，以及攻击导致的服务中断和服务降级会如何影响任务的元素和任务的总体目标。在讨论了第2级态势感知后，1章继续讨论第3级态势感知。态势感知的优选层级是预测，包含推断当前情境将如何演化至未来情境，以及对情境中未来元素的预期。在网空态势感知的上下文中，对未来的网空攻击或网空攻击未来阶段的预测至关重要。攻击过程通常需要较长的时间周期，涉及大量的侦察、攻击利用和混淆活动，以达到网空活动或破坏的目的。对未来攻击行动的预期通常以当前观察到的恶意活动为推导基础。该章回顾了现有优选的网络攻击预测技术，然后解释了如何评估正在进行的攻击策略，并据此预测网络关键资产即将面对的威胁。这些预测需要根据网络和系统的漏洞信息分析可能的攻击路径，需要了解攻击者的行为模式，需要持续地学习或了解新的模式，以及需要有能力看穿攻击者的混淆和欺骗行为。前几章主要围绕如何提高网空态势感知以及讨论所面临的挑战。然而，我们目前还未提到如何对可能实现的改进进行量化评价。实际上，为了取得对网络安全的准确评估，并提供足够的网空态势感知，简单但有含义的度量指标是必不可少的，正如2章所述。“如果无法度量，则无法有效管理。”这句格言也阐明了这一理念。如果缺乏良好的度量指标和相应的评价方法，安全分析师和网空运行人员就无法准确地评估和度量网络的安全状态以及判断网络运行成功。特别注意该章探讨的两个不同的问题：如何定义和使用度量指标，并将其作为量化特征来表达网络的安全状态；如何从防御者角度出发定义和使用度量指标来衡量网空态势感知。本书几章讨论了实现网空态势感知的目标。3章指出，网空态势感知的目标是实现态势管理，即持续调整网络及网络所支撑的任务，以确保任务能够继续实现目标。事实上，前几章强调网空态势感知存在于具体任务的上下文中，并且服务于任务目标。能够“吸收”攻击并继续恢复到可接受执行水平的任务称为弹恢复任务。网空态势感知的目的是维护任务的弹恢复能力。该章解释了以任务为中心的弹空防御应当基于两个相互作用的动态过程的集体行为和自适应行为，这两个动态过程是网络空间中的网空态势管理，以及物理空间中的任务态势管理。还讨论了这种互相自适应过程的架构和支撑技术。采用这种架构，即使支撑任务的网络受到网空攻击的破坏，任务依然可以持续进行。