《网络空间安全防御与态势感知》

编辑推荐

（1）从网空安全防御总体框架角度全面阐述了态势感知的各个方面。

（2）网络空间安全领域知名专家黄晟与安天研究院联袂翻译，忠实再现原书内涵与精华。

（3）两篇重量级万字长序既有助于读者深入理解原书内容，又融入了企业在网络空间安全态势感知方面的经验和教训，对网络安全从业者有极大的参考价值。

内容简介

《网络空间安全防御与态势感知》是一部关于网络空间安全防御与态势感知的专题学术文章合集，全面覆盖网络空间安全态势感知研究的理论要点，并包括丰富的面向实践的实验数据和经验教训资料，对从事网络空间安全态势感知研究与开发工作的读者极具指导作用，对广大网络安全从业人员也有较大的参考价值。
为深入解读《网络空间安全防御与态势感知》内容，《网络空间安全防御与态势感知》第*译者黄晟和安天首席架构师肖新光倾力作序。黄晟老师在序中系统回答了网络空间防御为什么需要态势感知、网络空间安全态势感知是什么、如何实现网络空间安全态势感知、如何围绕网空防御人员实现态势感知，以及支持实现态势感知的系统形态是什么五个问题。肖新光老师的序则从对手的变化、视角的变化、思路的变化、效果的变化四个维度，以安天为例梳理了网络安全企业在态势感知技术解决方案研发和推广实践过程中的经验和教训。

作者简介

译者简介

黄晟网络安全领域资深专家，具有国际咨询公司和大型国有企业工作经验，在以能源行业为代表的大型企业网络安全体系规划设计、建设实施和运行管控方面有丰富的一线工作经验，并在应用安全、密码技术、安全协议、认证技术、威胁情报分析等网络安全技术领域有深厚的功底，熟悉金融机构操作风险、欺诈风险管理等安全与业务结合领域，并在云计算安全防护和大数据安全分析等前沿领域具有探索实践。
他较早地提出并完善了以“塔防模式”实践网络安全纵深防御的工作思路，长期与业界专家共同致力于倡导能力导向的网络安全规划与建设实践，并以复杂组织体体系架构（Enterprise　Architecture，也称“企业架构”）方法论为基础，开创性地提出了将信息化环境层次与叠加演进安全能力进行深度结合以实现防御机制全面覆盖的网络安全防御体系设计工作方法。
他也致力于推动在网安防御工作实践中引入国际上的网空态势感知研究成果和先进理念，并着重研究在我国网络安全基础条件和工作现状基础上的结合应用解决方法，从而在日益严峻的网络空间威胁环境中为网络强国建设提供安全保障。为此，他使用业余时间与安天研究院共同完成了《网络空间安全防御与态势感知》的翻译工作，并从网安防御体系规划与设计实践者的视角撰写序言，尝试展望一种以网空态势感知为指控中枢的网络安全动态综合防御体系。

安天研究院是安天集团的下属研究机构，专注于网络安全威胁检测和知识工程方向的前沿探索，研发下一代威胁检测引擎，完善配套的知识工程体系；对认知能力、推理和本体模型、威胁知识图谱等领域进行研究探索；对智能终端、IoT、工业控制系统和各种新兴场景下的安全威胁进行分析和预判；对各种高级网空威胁行为体的工程体系、装备体系、作业框架等进行分析梳理。
安天研究院下设多个专家工作室。同时与多所高校进行合作，按照“优势互补、窄带聚焦、实战导向、追求领先”的原则，选择安天有工程能力和数据基础，高校有学术积累的窄带专业方向展开深入研究，助力高校形成具有前瞻性和实用前景的高水平学术成果，推动科研成果向有效的安全价值转化。
安天研究院积极跟进国际网络安全领域的前沿成果，发起成立了安天技术公益翻译组，累计翻译了超过1600万字的文献资料。

精彩书评

《网络空间安全防御与态势感知》既包含了态势感知的内涵解读，也有全面的实现框架思考，更有对尚未解决的理论问题的探索，是网络空间态势感知领域罕有的完整而系统的基础文献。

——中国工程院院士方滨兴

《网络空间安全防御与态势感知》从传统战争态势感知概念这个原点出发，阐述态势感知的内涵，是对网络空间态势感知概念和所需要达成目标的正本清源。

——中国工程院院士于全

《网络空间安全防御与态势感知》有助于规划和实践者走出网络安全态势感知能力建设中展示为主、有态无势的误区；回归有效管理情景态势、提供响应决策、支撑保障业务运营和风险控制的目标。

——中国工程院院士　廖湘科

《网络空间安全防御与态势感知》中译本的出版，无异于让国内网络安全行业从业者得到了一大助力。这本专业论文集较全面深入的阐述了网络空间态势感知的各方面理论框架与实践探索，而且中译本的译者序言部分也提出了“能力导向模式实现动态综合防御目标”与“态势感知指挥控制积极防御”等可以作为导读脉络的创新性思路。这些理念和观点，不仅有很多方面与本人所在企业的服务实践方法不谋而合，而且对我们的战略与规划方向有较大参考借鉴作用。衷心感谢第yi译者与安天研究院共同付出的专业努力，也希望能够与国内网络安全的从业人员共同分享文中的真知灼见，并推动其在国内安全产业中快速、有效的落地。

——360企业安全集团总裁吴云坤

《网络空间安全防御与态势感知》作为专题研究论文集，在网络空间安全防御的大框架之下，明确了态势感知的准确定义和整体框架。该书正本清源，厘清“地图炮”等态势感知认知误区，强调态势感知是攻防对抗动态思维框架下的“知行合一”。该书联合译者兼具企业网络安全实操经验与多年专注研究积累，必定能够克服诸多翻译挑战，让《网络空间安全防御与态势感知》中文版变得更加出色。

——阿里巴巴集团安全资深总监张玉东（黄眉）

《网络空间安全防御与态势感知》的成功翻译出版，对我国实现全天候态势感知并完善动态综合网空安全防御体系具有重要而关键的参照作用。译者所撰写的序言作为《网络空间安全防御与态势感知》导读，能够辅助读者按照构建网空安全防御能力体系的脉络来理解书中各篇专业性较强的专业论文，对网络安全研究者与从业者有着重大价值。

——复旦大学网络空间治理研究中心主任沈逸研究员

当战争进入网络空间，网络安全问题悄无声息从一般意义的技术防护问题，迅速演变为国家安全问题，而网络空间攻防对抗范式，也越来越趋向于战争范式。面对人机智能、万物互联的时代大潮，基于简单性思维的方法论已无法应对新兴的网络空间复杂性问题，运用复杂性思维重新认知网络空间攻防体系构建、攻防对抗活动，已成为必然。透过译著《网络空间安全防御与态势感知》，我们看到了战争思维视角、复杂性思维视角的网络空间防御新问题、新思路，相信对读者会有所启发。

——网络空间战略研究学者海予

《网络空间安全防御与态势感知》是一本很重要、很专业，而且能在一定程度上满足当前网络安全斗争形势迫切需要的好书，覆盖了态势感知的各个方面的理论框架和实践经验。从事任何安全工作，都需要态势感知。建议相关人员好好读读这《网络空间安全防御与态势感知》，并结合译者序言提出的能力导向网空安全防御体系脉络展开思考，对提高自己、单位和国家的网络安全态势感知能力水平，肯定是有好处的。

——国防大学战略研究所退休研究员徐纬地

自从加入安全江湖以来，我每天都在思考如何提升安全能力。在漫长的攻防对抗历程中，我发现随着威胁不断复杂化，除了对安全技术的磨砺，对安全世界中发生事物的持续感知，也是我们所不可或缺的，而这就需要在网络空间中把握住态势感知的精髓——“知彼知己”。《网络空间安全防御与态势感知》中译本的出版有助于我国网安行业从业者与网空防御人员更好地理解态势感知各个方面的概念框架和实践探索，然后探索如何围绕态势感知来提升安全能力，从而在漫长的网空威胁对抗中取得优势。译者凭借多年的一线安全防御的工作经验和对网空防御的深入理解，编写了可以指导你高效阅读的译者序，增强了阅读体验。相信这本网络空间安全态势感知的“红BAO书”能够给你带来全新的认识与理解，辅助你在今后的工作学习中大踏步的前进。

——XCon创始人王英键（呆神）

《网络空间安全防御与态势感知》中译本的出版，对网安行业从业者、网络运行者以及包括投资人在内的网安发展关注者都具有重要意义。正如所有高速演化的事物一样，网安行业在发展过程中会产生众多带来迷茫与困惑的误解。这部领域内国际权V著作的中译本及时起到了正本清源的作用，配合该书译者序言中提出的网安防御能力体系建设脉络，有助于形成态势感知这一网安行业关键领域在国内发展演进的理论框架和实践指导。

——知名网络安全领域投资人斯道资本投资总监张矩

《网络空间安全防御与态势感知》作为一本专题论文集，从网空安全防御总体框架角度全面阐述了态势感知的各个方面，对企业信息化基础设施运行者构建实战化的网络安全协同防御体系具有重要的参考作用。该书译者序言中提出能力导向的体系化网络安全防御思路，不仅能够帮助读者理解书中的专业内容，也对我们的大型企业私有云安全防护体系规划设计工作起到了较大的借鉴作用。

——北京中油瑞飞信息技术有限责任公司数据中心板块总监付长春

目录

译者序

推荐序

前言

致谢和免责声明

关于作者

第1章　理论基础与当前挑战1

1.1　引言1

1.2　网空态势感知3

1.2.1　态势感知的定义3

1.2.2　网空行动的态势感知需求4

1.2.3　态势感知的认知机制5

1.3　网空行动中态势感知所面临的挑战11

1.3.1　复杂和多变的系统拓扑结构11

1.3.2　快速变化的技术12

1.3.3　高噪信比12

1.3.4　定时炸弹和潜伏攻击12

1.3.5　快速演化的多面威胁13

1.3.6　事件发展的速度13

1.3.7　非整合的工具13

1.3.8　数据过载和含义欠载14

1.3.9　自动化导致的态势感知损失14

1.3.10　对网空态势感知挑战的总结14

1.4　网空态势感知的研发需求15

1.4.1　网络空间的通用作战态势图15

1.4.2　动态变化大规模复杂网络的可视化17

1.4.3　对态势感知决策者的支持17

1.4.4　协同的人员与自主系统结合团队17

1.4.5　组件和代码的检验和确认18

1.4.6　积极控制19

1.5　小结19

参考文献20

第2章　传统战与网空战21

2.1　引言21

2.1.1　从传统战场到虚拟战场的过渡22

2.1.2　态势感知的重要性24

2.1.3　传统态势感知25

2.1.4　网空态势感知25

2.2　传统态势感知研究示例25

2.2.1　DARPA的MDC2计划26

2.2.2　RAID计划27

2.3　传统态势感知与网空态势感知之间具有指导意义的相似点与巨大差异28

2.3.1　传统态势感知与网空态势感知有力地影响任务结果29

2.3.2　认知偏差会限制对可用信息的理解30

2.3.3　信息的收集、组织与共享难以管理32

2.3.4　协作具有挑战性33

2.3.5　共享的图景无法保证共享的态势感知34

2.4　小结34

参考文献35

第3章　形成感知37

3.1　引言37

3.2　网空防御过程38

3.2.1　当前的网空环境38

3.2.2　网空防御过程概览38

3.2.3　网空防御角色40

3.3　态势感知的多面性41

3.4　相关领域的发展现状44

3.5　态势感知框架46

3.6　小结49

参考文献50

第4章　全网感知51

4.1　引言51

4.1.1　网空态势感知形成的过程51

4.1.2　网空态势感知的输入和输出53

4.1.3　态势感知理论模型53

4.1.4　当前网空态势感知存在的差距54

4.2　在网络上下文中的网空态势感知55

4.3　网络运营及网空安全的态势感知解决方案55

4.4　态势感知的生命周期56

4.4.1　网络感知56

4.4.2　威胁/攻击感知57

4.4.3　运营/任务感知57

4.5　对有效网空态势感知的需求58

4.6　对有效网空态势感知的概述59

4.6.1　对网络进行计量以获得有效网空态势感知所需的数据60

4.6.2　根据当前态势感知预测将来61

4.6.3　实现有效网空态势感知的可能途径61

4.7　实现有效网空态势感知62

4.7.1　用例：有效网空态势感知63

4.7.2　实现全网感知64

4.7.3　实现威胁/攻击感知69

4.7.4　实现任务/运营感知72

4.8　未来方向76

4.9　小结77

参考文献78

第5章　认知能力与相关技术79

5.1　引言79

5.2　网空世界的挑战及其对人类认知能力的影响82

5.3　支持分析师检测入侵行为的技术84

5.4　ACT-R认知架构85

5.5　基于实例的学习理论和认知模型88

5.6　在理解网空认知需求方面的研究差距90

5.6.1　认知差距：将认知架构机制映射至网空态势感知90

5.6.2　语义差距：整合认知架构与网空安全本体模型91

5.6.3　决策差距：体现在网空世界中的学习、经验累积和动态决策制定方面93

5.6.4　对抗差距：体现在对抗性的网空态势感知和决策制定方面94

5.6.5　网络差距：处理复杂网络和网空战95

5.7　小结97

参考文献98

第6章　认知过程103

6.1　引言103

6.2　文献综述108

6.2.1　认知任务分析108

6.2.2　基于案例推理108

6.3　对认知推理过程进行信息采集和分析的系统化框架111

6.3.1　分析推理过程的AOH概念模型111

6.3.2　AOH对象及其彼此间关系可表达分析推理过程112

6.3.3　对分析推理过程的信息采集112

6.3.4　可从认知轨迹中提取出以AOH模型表达的推理过程114

6.4　专业网络分析师案例研究115

6.4.1　采集认知轨迹的工具115

6.4.2　为收集专业网络分析师认知轨迹而展开的人员实验115

6.4.3　认知轨迹118

6.4.4　不同水平分析师的认知轨迹有什么特点122

6.5　小结125

参考文献126

第7章　适应分析师的可视化技术129

7.1　引言129

7.2　可视化设计的形式化方法131

7.3　网空态势感知的可视化132

7.3.1　对安全可视化的调研133

7.3.2　图表和地图134

7.3.3　点边图134

7.3.4　时间轴135

7.3.5　平行坐标系135

7.3.6　树形图137

7.3.7　层次可视化138

7.4　可视化的设计理念139

7.5　案例研究：对网络告警的管理140

7.5.1　基于Web的可视化141

7.5.2　交互的可视化141

7.5.3　分析师驱动的图表141

7.5.4　概览+细节143

7.5.5　关联的视图144

7.5.6　分析过程示例145

7.6　小结148

参考文献148

第8章　推理与本体模型150

8.1　引言150

8.2　场景151

8.3　场景中人员展开的分析152

8.4　网空安全本体模型的使用概要153

8.4.1　本体模型153

8.4.2　基于本体模型的推导155

8.4.3　规则156

8.5　案例研究157

8.5.1　网空安全本体模型157

8.5.2　概述基于XML的标准160

8.5.3　将网空安全XML提升为OWL161

8.5.4　STIX本体模型163

8.5.5　其他本体模型166

8.6　APT测试用例170

8.6.1　测试网络171

8.6.2　规则173

8.6.3　基于推导的威胁检测174

8.7　网空安全领域中其他与本体模型相关的研究工作174

8.8　经验教训和未来工作176

8.9　小结178

参考文献178

第9章　学习与语义183

9.1　引言183

9.2　NIDS机器学习工具的分类185

9.3　机器学习中的输出与内部语义187

9.4　案例研究：ELIDe和汉明聚合189

9.4.1　ELIDe190

9.4.2　汉明距离聚合192

9.5　小结196

参考文献197

第10章　影响评估200

10.1　引言200

10.1.1　高级威胁与影响评估的动机201

10.1.2　已有的告警关联研究202

10.1.3　工作任务影响评估方面的已有研究成果206

10.1.4　计算机网络建模208

10.2　自上而下的设计209

10.2.1　模型设计——工作任务定义211

10.2.2　模型设计——环境建模213

10.2.3　可观察对象设计215

10.3　小结216

参考文献218

第11章　攻击预测219

11.1　引言219

11.2　用于威胁预测的网络攻击建模222

11.2.1　基于攻击图和攻击计划的方法222

11.2.2　通过预估攻击者的能力、机会和意图进行攻击预测223

11.2.3　通过学习攻击行为/模式进行预测225

11.3　待解决问题和初步研究228

11.3.1　攻击建模中混淆的影响228

11.3.2　以资产为中心的攻击模型生成231

11.3.3　评价网络攻击预测系统的数据需求236

11.4　小结237

参考文献238

第12章　安全度量指标241

12.1　引言241

12.2　网空态势感知的安全度量指标242

12.2.1　安全度量指标：是什么、为何需要、如何度量242

12.2.2　网络空间中态势感知的安全度量245

12.3　网络漏洞和攻击风险评估251

12.3.1　漏洞评估的安全度量指标251

12.3.2　攻击风险的建模与度量254

12.4　网空影响与工作任务的相关性分析255

12.4.1　从工作任务到资产的映射与建模256

12.4.2　对工作任务的网空影响分析259

12.5　资产的关键性分析与优先级排序262

12.5.1　基于AHP的关键性分析262

12.5.2　基于优先级的网格分析263

12.6　未来工作265

12.7　小结266

参考文献266

第13章　工作任务的弹性恢复能力269

13.1　引言269

13.2　概览：可弹性恢复网空防御271

13.2.1　复杂系统中的弹性恢复行为271

13.2.2　对以工作任务为中心和可弹性恢复网空防御的理解271

13.2.3　相关研究成果回顾272

13.3　基于网空态势感知的可弹性恢复网空防御方法273

13.3.1　通用的态势感知与决策支持模型273

13.3.2　整合的网空-物理态势管理架构275

13.4　对工作任务、网空基础设施和网空攻击的建模276

13.4.1　工作任务建模276

13.4.2　网空地形278

13.4.3　面向影响的网空攻击建模279

13.5　网空态势感知和可弹性恢复网空防御280

13.5.1　网空态势感知过程280

13.5.2　对目标软件的影响评估281

13.5.3　工作任务影响评估282

13.6　合理可能的未来任务影响评估284

13.6.1　合理可能未来网空态势的原理284

13.6.2　合理可能的未来任务影响评估过程286

13.7　通过适应调整取得工作任务的弹性恢复能力287

13.7.1　联邦式多代理系统的适应调整287

13.7.2　保持适应调整策略的工作任务弹性恢复能力288

13.8　小结289

参考文献290

第14章　结束寄语293

14.1　挑战293

14.1.1　网络空间中的人类执行者294

14.1.2　网空攻击的高度不对称性294

14.1.3　人类认知与网空世界之间的复杂性失配295

14.1.4　网空行动与工作任务之间的分离296

14.2　未来的研究296

前言/序言

lao推荐序

一个网络安全工作者的实践总结与反思（节选）

肖新光

经过了为期两年的翻译审校工作，由网络空间安全专家黄晟同志协同安天研究院的部分同志组译的《网络空间安全防御与态势感知》一书即将出版。《网络空间安全防御与态势感知》是一份专题技术文章合集，同时很负责任地说，也是迄今为止，国内业界在网络空间态势感知领域最为完整和系统的基础理论文献。

《网络空间安全防御与态势感知》的主要译者黄晟同志致力于网络安全防御工作十余年，在网络安全规划建设等领域中做了大量有价值和前瞻性的工作。他长期关注国际上的网空安全态势研究成果和先进理念，并发起了《网络空间安全防御与态势感知》的翻译工作。他为《网络空间安全防御与态势感知》撰写的”译者序”，以问题为导向，通过五个问答的形式，对《网络空间安全防御与态势感知》的内容进行了非常深入的概括，并升华为更加清晰凝练的观点。“译者序”中提出了能力导向的规划与建设体系，区分了被戏称为“地图+炮”形式的态势感知与积极防御的指挥控制态势感知，提出了耦合式态势感知的思路，探讨了态势感知的复杂超系统形态，从而形成了一套具备实践指导意义的观点体系。“译者序”不仅对于深入理解书中内容起到了很好的导读作用，而且还对深入理解全球网空态势感知研究成果和理念，明确做好网空态势感知的方法要点，起到非常清晰的价值指向作用，特别是对于进行态势感知相关技术与系统的研发和推动对威胁对抗情境下的安全体系规划有很大的价值。

我作为一名在网络安全威胁对抗领域学习、工作多年的从业者，在学习《网络空间安全防御与态势感知》内容，特别是研读《网络空间安全防御与态势感知》“译者序”的过程中，看到了我所在的安天团队过去工作实践的不足之处，将一些尚不成熟的总结和反思，赘述于此。

《网络空间安全防御与态势感知》作者之一MicaR.Endsley给出了态势感知的经典定义。态势感知是指“在一定时间和空间内观察环境中的元素，理解这些元素的意义并预测这些元素在不久将来的状态”。我站在网络安全工作者的主观视角来理解，特别是从网络安全产品和工程系统研发者的角度来看，网络安全态势感知是由观察、理解、预测三个层级组成的，支撑网空防御决策和行动的复杂行为活动。这种活动，不可能通过单纯人力工作来实现；也不可能不依赖人的交互参与，完全依靠自动化手段来实现；亦不可能借助一个单体系统或工具来完成。正如《网络空间安全防御与态势感知》”译者序”中所指出的，“态势感知作为一种综合利用各种已有技术与系统的产品设计模式与运行使用方式，需要以‘多个系统或工具整合+网空防御人员团队’来完成。”

在过去十余年的各种安全规划立项中，有大量的项目冠以“态势感知”名义出现，这些工程项目和产品间形态差异极大，甚至一些单一的流量监测或扫描检测产品也被称为态势感知平台，几乎是“有一千个人，就有一千个态势感知”。正因为态势感知的概念有较为广阔的内涵，几乎与网络安全检测、防护、分析、研判、决策、处置等各种能力和动作都发生关联，所以导致网络安全工作者很容易从自己的本位视角去理解态势感知。在网络安全工作中，本位视角是必然存在的。管理和职能部门、应急机构通常从社会应急的视角出发，更多偏重对公众关注的事件做出公共预警、全局响应策略并指导互联网层面遏制威胁。部分学界人士为了保证研究问题的收敛，倾向于寻找易于抽象的场景，把安全威胁分析和防护的一些单点或某一层面，转化为某种易于转化的“算法问题”。安全厂商为了保证安全产品的确定性价值和交付边界收敛，通常从应对某种或几种具象威胁的需求出发，进行工程实现，并将这种能力指标化。这种本位视角体现出了领域中不同机构的角色分工定位，我们不能说这些本位视角是错的，但需要考虑其中的经验局限、刻板偏见或利益考量对认知的影响。

态势感知相关工作，无论作为一种状态、一个过程、一种活动还是一个复杂的能力体系，是需要落实到具体目标和场景的，而非单纯宏观、全局的整体威胁情况。从网络安全的业界实践来看，以下三种场景中的工作更多涉及到态势感知能力建设：

第一，赋能机构客户建立防御体系（也包括安全厂商自身的安全防护体系建设）；

第二，赋能监管部门建设监测通报预警能力；

第三，安全厂商的威胁捕获、威胁分析、客户支撑等工作体系的自我建设完善。

在这三类场景下，针对网空威胁，支撑观察、理解、预测能力，辅助决策和行动的一系列综合系统，往往都被称为态势感知平台，但这些场景也有着显著的差异。

《网络空间安全防御与态势感知》“译者序”中设问解答了一个关键问题“态势感知应当面向策略调整还是战术响应？”，并明确指出“态势感知还应当面向在宏观层面之下但又高于微观细节的‘中观层面’。”结合当前需求和已有实践来看，目前有两类态势感知平台建设需求：一类是网络安全主管和职能部门，为了掌控宏观态势，推动指导安全策略优化调整而需要的监测型态势感知平台；另一类是重要信息系统和关键信息基础设施的管理者，针对复杂多变的敌情，实现更高效的决策支撑响应行动所需要的战术型态势感知平台。

如“译者序”中指出，“进一步从与高水平威胁的对抗角度来看，由于网空攻击发生速度极快，对高水平威胁行为体长期潜伏后某一次快速发生的突然进攻做到事前或事中阻断可能非常困难。因此，需要结合在中长时间周期中对抗威胁进攻行动所积累的经验知识，根据所监测到的突发事件信息，采用网空态势感知发现潜伏的高级威胁并确定其影响节点范围，指挥对所暴露威胁展开猎杀清除等响应行动，并通过向积极防御体系中的具有实时监控响应能力的设备或系统下发威胁对抗策略，实现对越来越多的‘已知’攻击行动展开实时阻断。”基于这些要求，满足“战术型”态势感知需求远比满足“监测型”态势感知更为困难和复杂。

综合《网络空间安全防御与态势感知》各章节内容，参考《网络空间安全防御与态势感知》“译者序”，以及在《网络安全纵深防御思考》等文献中的观点和研究成果，结合安天在过去十八年的威胁对抗工作实践，可以看到，做好网络安全态势感知工作应基于以下四点变化。

对手的变化——从应对单点威胁到应对高级网空威胁行为体（略）

视角的变化——从自我闭环走向赋能客户、与攻击者闭环（略）

思路的变化——从网络安全监测平台走向战术型态势感知平台（略）

效果的变化——从单点防护能力到动态综合防御能力（略）

复杂性科学的重要奠基人之一布莱尔?阿瑟（BrinaArthur）曾经询问著名航空工程专家沃尔特?文森蒂（WalterVincenti），为什么绝少工程师试图奠定他们领域的理论技术，得到的回答是，“工程师只喜欢那些他们能解决的问题。”必须承认，在过去非常长的一段时间里，我们在态势感知和网空防御相关的工作实践中缺少真正意义上的理论层面的思考。而《网络空间安全防御与态势感知》的正文和译者序，很大程度上弥补了我们的理论层面思考的匮乏。这体现出“工程师所扮演的内部思考者”是与众不同的。为此，我必须向《网络空间安全防御与态势感知》的各位作者和主要译者黄晟同志表示敬意。

我们坚信，我们进一步的研发与工程实践能延展和深化书中那些指向未来的路标。在协助网信主管部门实施监测型态势感知平台的经验基础上，我们正在全力加速战术型态势感知平台研发，以网络安全能力叠加演进为导向，协助用户开展深度结合与全面覆盖的体系化网络安全规划与建设，支撑起协同联动的实战化运行，赋能用户筑起可对抗高级威胁的网络安全防线。这些工作仅靠一个厂商无法完成，而需要由多个能力型厂商组成的良性生态体系。

任重道远。愿与网络安全同仁们携手努力。

译者序（节选）

黄晟

《网络空间安全防御与态势感知》是一部关于网络空间安全防御与态势感知的专题学术文章合集，覆盖了网空态势感知研究方面的各个理论要点，并提供了大量面向实践的实验数据和经验教训资料，对从事网空态势感知研究与开发工作的读者具有非常重要的指导作用，而且对广大网络安全从业人员也有较大的参考价值。在《网络空间安全防御与态势感知》的前言中，对所涉及各个理论方面的主要内容和贡献价值作了非常清晰的概括介绍，建议读者在阅读正文之前先通过该章节获得对《网络空间安全防御与态势感知》的内容结构和各章节间相互关系的整体了解。对于从事网空态势感知领域研究的读者，建议带着在工作中遇到的问题，全面阅读各个章节；对于从事网空安全防御工作并希望加强了解网空态势感知的读者，则建议至少深入阅读《理论基础与当前挑战》章节以理解态势感知的基本概念，深入阅读《传统战与网空战》章节以军事进攻与防御视角了解网空态势感知，并且深入阅读《形成感知》章节以了解围绕着网空安全防御过程有哪些主要角色职责、各自对应的态势感知需求及其所需要的支撑工具。

译者本人在十余年中致力于从事网络安全防御相关工作，并由于参与相关项目，从2013年开始重点关注网络空间态势感知这一热点领域。在参与《网络空间安全防御与态势感知》翻译工作的过程中，深刻感受到与我国的网络空间态势感知研究与实践现状相比，国际上在这一相对“年轻”的学术应用领域的相关工作已达到较高水平；因此，也感受到迫切需要将国际上的网空态势感知研究成果和先进理念应用到我国的网络空间防御工作实践中，从而在日益严峻的网络空间威胁环境中为网络强国建设提供安全保障。因此，译者使用业余时间与安天研究院共同完成了《网络空间安全防御与态势感知》的翻译工作，并希望通过撰写本序言，以若干个在开展网络空间防御工作中遇到与网空态势感知相关的问题或困惑为引子，结合我们网络安全基础条件和实践工作现状，阐述对《网络空间安全防御与态势感知》中的一些重要学术观点和研究成果的理解，从而在一定程度上帮助读者们消化吸收《网络空间安全防御与态势感知》中的知识，并为推动实践应用提供一些启发思路。

第一个问题：网络空间防御为什么需要态势感知？

这是一个需要以网络空间发展的视角，从信息网络技术应用发展、安全防护工作模式转变、网络安全防御理念演化、网络安全防御体系建设模式变革与网络安全防御机制创新等多个方面加以考虑才能回答的根本性基础问题。（略）

第二个问题：态势感知是什么？

尝试从网络空间安全防御工作视角加以理解，就是需要将积极防御中各种与指挥控制相关的工作结合至态势感知概念定义的三个层级阶段，按照《网络空间安全防御与态势感知》《理论基础与当前挑战》章节中描述的态势感知动态决策模型来实现网络空间态势评估过程，确定对各类型网络空间动态环境信息的输入需求，接收持续监测网络和系统所采集的网空数据和安全事件信息，结合关于工作任务目标、网络与系统架构、威胁情报乃至国际关系与地缘政治环境等上下文信息，形成对潜伏威胁的攻击行动、当前影响节点范围与可带来的网空效应等作出理解，进而对下一步攻击行动、未来影响节点范围与可能造成后果影响等方面作出合理推测和预估，并通过对备选行动方案进行对比评价以确定行动计划，进而有效指挥针对威胁的积极防御响应处置行动。（略）

第三个问题：如何实现态势感知？

事实上，在《网络空间安全防御与态势感知》《理论基础与当前挑战》章节描述的态势感知模型中，实现态势感知的过程包含观察、理解和预测三个阶段，虽然从认知过程发展的角度来看也对应着三个层级，但并不意味着这三个层级可以割裂开来分别实现，更不能将其视为三套不同水平的“完整态势感知”体系。还有就是，必须清楚认识到，态势感知的目的是支持决策制定和行动执行，如果止步于观察或理解阶段的态势感知相关过程，仅能达到“感而不为”或“知而不为”的残缺效果。正如《网络空间安全防御与态势感知》《认知能力与相关技术》章节所明确指出的，态势感知本身并不是最终目的，而只是在快速演变复杂环境中可被依赖于支持明智决策的手段，因此也是通过作出准确的积极防御决策以有效对抗威胁的先决条件。（略）

第四个问题：如何围绕网空防御人员实现态势感知？

正如《网络空间安全防御与态势感知》《理论基础与当前挑战》所指出的，网空防御领域需要一种人机结合的工作方法，将技术系统与人类认知能力融合在一起，从而在各种复杂的网空环境中实现态势感知。而且，《网络空间安全防御与态势感知》《形成感知》章节明确指出，实现网空态势感知的实际系统，不仅包括硬件与软件系统，还必须包括制定网空防御高阶决策所需的心理模型。因此，需要通过加强人员与技术系统之间的交互关系，避免“人在闭环外”式自动化机制带来的态势感知损失问题，同时需要如同《网络空间安全防御与态势感知》《认知能力与相关技术》章节所描述由入侵检测技术、机器学习技术、信息融合技术与可视化技术相互结合的模式，综合利用技术系统与人员认知能力各自的优点与长处：采用系统的数据处理与信息整合能力应对网络空间海量数据过载和高速流动的挑战，依托训练有素的网空安全分析人员的强大认知能力理解当前情境与发现那些隐藏的潜伏威胁和复杂的攻击行动，交由网空安全防御人员把控响应行动方案并监督响应行动执行过程，并在后续阶段利用系统的自动化响应执行能力对快速发生的已知攻击行动及时作出响应处置。（略）

第五个问题：支持实现态势感知的系统形态是什么？

综合来看，几乎不可能以一个单体系统来满足积极防御对态势感知的多样化需求，而且事实上也存在着大量与态势感知紧密相关的系统设备和工作流程。因此，可能需要对实现态势感知的系统形态作出创新性的探索想定，引入系统工程（SystemEngineering）理念（Walden等人，2015），把威胁情报驱动的积极防御体系作为一个由持续监测体系、协同响应平台、运维工作流/工单系统、知识管理/知识模型/知识工程体系、大数据分析系统、大数据交互式查询系统、可视化系统、大屏幕展示系统等多个构成系统有机组成的复杂超系统（SystemofSystems），并将“态势感知”作为一个由所有构成系统通过网空安全人员的安全运行工作发挥相互作用以共同实现的一种“涌现特性”。基于这一想定，未来可以采用系统工程方法，体系化地设计以态势感知为中心的威胁情报驱动积极防御体系，并据此在开展新系统建设工作的同时，对原有系统作出适应性调整学术。（略）