态势感知研究方法论.pdf

焦 点 Focus C E S 态势感知研究的方法论 T I N C 文/中国科技大学网络态势感知研究中心 王砚方 “态势感知”是网络安全文献中使用频度相 按专家事先制定的方案进行。总之，Endsley模型 当高的一个术语，态势感知已成为研究网络安全所 是指导人——机器的互动的原则：如果用较多的 必需解决的问题，但业内的专家对此可能有不同的 人工，可以得到对机器设备状态的较多的感知， 理解。本文企望通过相关的介绍和分析提出一己的 因而可使设备接近最佳的状态；而如果自动程度 看法。 较高，可以节省人工，但操作员的感知较少，遇 到不理想的情况就难以作出抉择，在这个问题 “态势感知”概念的来源 上，Endsley模型就是要解决人工同自动化之间最 由于人的因素在动态系统（如飞机驾驶、空 好的折中。这种模型适用于处理简单的系统，专 中交通管制、电力网管理等）中彰显出越来越大 家的先验的成分较多。显然，它不适用于复杂网 的重要性，M.R.Endsley在1 5年提出人类决策模 络。事实上自这个模型提出的十五年来，在许多 型，总结出包括采集、理解和预测三个层次的态 方面开拓了研究，如人员培训、设计、工作团队 势感知模型。此模型基于各元素间的确定关系， 协调等方法有不少成果。国内有学者把它作为通 例如由飞机的航速、方位角及风速判断它的落地 用的理论模型，提出基于流量和局域网的单机日 点和落地时间，机场的空中交通管理人员就可以 志的数据融合，建立大规模网络安全的态势评估 按事先确定的方案引导飞机安全降落。再如战斗 模型。 机驾驶员根据空中环境的动态变化，按规定的程 到上世纪末，已经有人意识到仅靠在单个计 序作战场上的各种相应的战术动作。在自动控制 算机上的防入侵设备已不能解决网络的安全问题， 设备运行时，遇到异常时操作员如何介入，也可 出现了把网络上安全传感器和计算机上的防入侵等 2011.02/中国信息安全/41 设备同网络流控和管理结合起来的需求。1 年T. Bass提出了多台安全传感器和入侵检测设备的数据 融合的原理和流程，称为Bass模型。Bass模型没有 从网络本身的特点出发，而只是在数据融合技术方 面就事论事。差不多从那时开始，已经有人认识到 复杂网络中个体的非线性相互作用对于系统宏观行