1.2　态势感知的概念及发展进程

态势感知源于战争与对抗行动。态势感知包括对敌我双方兵力、武器、指战员等直接战斗要素定性定量的了解，对作战的地理、气候、水文等环境特征的掌握，对敌我双方作战目的、战术战法、攻防行动的分析预测，对战场动态和进程的实时获取等的一系列活动。虽然在早期的战争对抗活动中就已经有了态势感知的某些活动，但那时还没有形成“态势感知”的具体概念，属于对态势感知的朴素研究与运用时期。随着战争复杂程度和武器技术含量的增加，对态势感知的研究和有关技术的运用逐渐成型，形成了传统“态势感知”概念。信息化技术大量应用于生产生活，信息化作战和常态化网络对抗下的网络安全问题日益突出，在传统态势感知概念的基础上，网络安全态势感知的概念逐渐形成。

1.2.1　朴素的态势感知

冷兵器、热兵器及早期的单平台机械化作战时期，战争的内涵均是基于单兵单平台作战。这个阶段虽然并没有形成明确的态势感知的概念，但在实战中却已实施了部分态势感知的活动，其中最典型的就是通过人工侦察或情报刺探来掌握敌方的兵力情况、机动部署计划和作战目的等，同时利用简易的物理沙盘、布帛纸张地图展示战场动态。例如，我国历史上秦赵之间的长平之战，双方均派出了的大量的“细作”（情报侦察人员）侦察敌方兵力情况和动向，刺探作战情报。这个时期的《孙子·谋攻篇》把态势感知朴素地描述为“知己知彼”（掌握敌情我情），并将其重要性上升到决定战争胜败，即“知己知彼，百战不殆”。在态势感知过程中，观察和刺探是核心活动，根据作战决策人员自身经验和简单的计算猜测对手攻防活动，制定战术战法，并根据双方势力优劣简单估计胜败的可能性。朴素的态势感知模型如图1-2所示。

图1-2　朴素的态势感知模型

因此，这个时期对态势感知的研究和运用仍停留在实践探索阶段，没有形成统一、明确的概念，人们通过对历次作战行动的分析和总结形成了朴素的态势感知，并在实战中运用和验证。

1.2.2　传统的态势感知

随着新的工业技术在武器装备及战争中的运用，战争复杂度、影响作战进程要素的数量和相关度、作战单元平台与作战环境耦合度等有了极大的增强。战争对现代意义上的态势感知研究提出了迫切需要。第二次世界大战后，美国空军在对提升飞行员空战能力的人因工程学研究的过程中提出了态势感知（Situation Awareness，SA）这一术语，并用该术语表示飞行员为了获取空战环境信息、快速判断形势以做出正确反映、提升空战能力，所实施的一系列观察、分析、评估、预测等认知思考活动［12］。

进入信息赋能协同作战时期，对态势感知的实践探索和运用终于达到了创立理论体系并构建模型的阶段。较早对态势感知概念进行明确定义的是Endsley博士［13］，她将态势感知定义为“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久的将来的状态”，她还从认知角度提出了态势感知的概念模型（见图1-3）。这一概念模型的核心是态势感知，包括“对环境要素的获取、对当前态势的理解以及对未来状态的预测”［14，15］。

Endsley博士提出的这个定义奠定了传统态势感知概念的基础，将态势感知理解为一个认知过程，即通过使用过去的经验和知识，识别、分析和理解物理系统的当前状态，更新自身的“状态知识”，并对系统未来的状态变化进行预测和评估，而且随着时间和系统变化进程的推进，持续地对系统进行观察、理解、评估，修正之前的理解和预测，更新“状态知识”［16］。这一认知过程最终构成了一个循环的映射过程，即将物理系统的状态和变化映射为对物理系统进行观察的人的语义认知，并用“状态知识”进行表达和交流，促进在观察人之间达成一致认知。另外，Endsley态势感知概念模型将态势感知表示为一个持续的动态变化过程，而且，不同的认知个体因为经验、能力等的不同，对同一物理系统的认知结果不尽相同，意味着在团体感知、多方决策中存在着认知一致性问题。

图1-3　Endsley提出的态势感知概念模型

针对态势感知中的认知一致性问题，Wellens［17］提出了团体态势感知的概念，并将其定义为“群体成员关于当前环境事件达成的共同观点”。Endsley博士在其提出的态势感知概念模型基础上，进一步研究并提出“群体态势感知是指每一位参与成员根据其各自职责而达成态势感知的程度”［18］。如图1-4所示，在群体态势感知中，对于群体成员：一方面需要掌握所需的态势信息（这些信息可能是由其他成员提供的），并根据各自的职责实现个体态势感知；另一方面还需要就群体中公共态势信息部分与其他成员达成一致。

图1-4　群体态势感知

1.2.3　网络安全态势感知

随着信息技术的发展，传统作战形态逐渐向虚拟网络空间延伸，信息化作战、网络空间的常态化对抗成为不可逆转的发展趋势。美国空军通信与信息中心的Bass［19］首次提出“网络态势感知”，但并没有给出具体定义，只是强调基于网络入侵检测等多传感器实现的数据融合技术应成为网络态势感知系统的组成部分。

龚俭教授等人［20］认为，态势感知是一种认知过程，而网络安全态势感知是在网络安全领域通过运用态势感知的方法，协助网络安全人员把握不断变化的网络的整体安全状态，为高层管理人员提供决策支持，因此，将网络安全态势感知定义为“对网络系统安全状态的认知过程，包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取，识别出存在的各类网络活动以及其中异常活动的意图，从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解”。这一定义从功能和过程上对网络安全态势感知进行了解读，并将网络安全态势感知划归为传统态势感知的实例子集。

石乐义教授等人［21］分析了当前网络安全态势感知概念的研究现状，认为“网络安全态势感知是指通过收集网络环境中综合、全面的安全要素并进行数据融合后，对网络的安全态势有宏观、全面的认知，并且能对网络系统的安全趋势进行预测的过程，是保障网络安全的有效手段”。该定义从过程和目的上对网络安全态势感知进行了解读。正如石乐义教授所述，“目前对网络安全态势感知尚未形成统一、全面的定义，大多是对Endsley态势感知定义的详细解释，并没有针对网络安全这一领域做出特定的阐释”，“对网络安全态势感知给出科学、全面的定义，对不同阶段进行合理的划分仍是需要讨论和解决的问题”。

综合当前已有研究，笔者以构建网络安全态势感知系统、支持大规模网络安全防御为目标，从方法论的视角，将网络安全态势感知定义为：基于大规模网络环境中的安全要素和特征，采用数据分析、挖掘和智能推演等方法，准确理解和量化当前网络空间的安全态势，有效检测网络空间中的各种攻击事件，预测未来网络空间安全态势的发展趋势，并对引起态势变化的安全要素进行溯源。网络安全态势感知概念的示意图如图1-5所示。

图1-5　网络安全态势感知概念的示意图