1.2　態勢感知的概念及發展進程

態勢感知源于戰爭與對抗行動。態勢感知包括對敵我雙方兵力、武器、指戰員等直接戰斗要素定性定量的了解，對作戰的地理、氣候、水文等環境特征的掌握，對敵我雙方作戰目的、戰術戰法、攻防行動的分析預測，對戰場動態和進程的實時獲取等的一系列活動。雖然在早期的戰爭對抗活動中就已經有了態勢感知的某些活動，但那時還沒有形成“態勢感知”的具體概念，屬于對態勢感知的樸素研究與運用時期。隨著戰爭復雜程度和武器技術含量的增加，對態勢感知的研究和有關技術的運用逐漸成型，形成了傳統“態勢感知”概念。信息化技術大量應用于生產生活，信息化作戰和常態化網絡對抗下的網絡安全問題日益突出，在傳統態勢感知概念的基礎上，網絡安全態勢感知的概念逐漸形成。

1.2.1　樸素的態勢感知

冷兵器、熱兵器及早期的單平臺機械化作戰時期，戰爭的內涵均是基于單兵單平臺作戰。這個階段雖然并沒有形成明確的態勢感知的概念，但在實戰中卻已實施了部分態勢感知的活動，其中最典型的就是通過人工偵察或情報刺探來掌握敵方的兵力情況、機動部署計劃和作戰目的等，同時利用簡易的物理沙盤、布帛紙張地圖展示戰場動態。例如，我國歷史上秦趙之間的長平之戰，雙方均派出了的大量的“細作”（情報偵察人員）偵察敵方兵力情況和動向，刺探作戰情報。這個時期的《孫子·謀攻篇》把態勢感知樸素地描述為“知己知彼”（掌握敵情我情），并將其重要性上升到決定戰爭勝敗，即“知己知彼，百戰不殆”。在態勢感知過程中，觀察和刺探是核心活動，根據作戰決策人員自身經驗和簡單的計算猜測對手攻防活動，制定戰術戰法，并根據雙方勢力優劣簡單估計勝敗的可能性。樸素的態勢感知模型如圖1-2所示。

因此，這個時期對態勢感知的研究和運用仍停留在實踐探索階段，沒有形成統一、明確的概念，人們通過對歷次作戰行動的分析和總結形成了樸素的態勢感知，并在實戰中運用和驗證。

1.2.2　傳統的態勢感知

隨著新的工業技術在武器裝備及戰爭中的運用，戰爭復雜度、影響作戰進程要素的數量和相關度、作戰單元平臺與作戰環境耦合度等有了極大的增強。戰爭對現代意義上的態勢感知研究提出了迫切需要。第二次世界大戰后，美國空軍在對提升飛行員空戰能力的人因工程學研究的過程中提出了態勢感知（Situation Awareness，SA）這一術語，并用該術語表示飛行員為了獲取空戰環境信息、快速判斷形勢以做出正確反映、提升空戰能力，所實施的一系列觀察、分析、評估、預測等認知思考活動［12］。

進入信息賦能協同作戰時期，對態勢感知的實踐探索和運用終于達到了創立理論體系并構建模型的階段。較早對態勢感知概念進行明確定義的是Endsley博士［13］，她將態勢感知定義為“在一定時間和空間內觀察環境中的元素，理解這些元素的意義并預測這些元素在不久的將來的狀態”，她還從認知角度提出了態勢感知的概念模型（見圖1-3）。這一概念模型的核心是態勢感知，包括“對環境要素的獲取、對當前態勢的理解以及對未來狀態的預測”［14，15］。

Endsley博士提出的這個定義奠定了傳統態勢感知概念的基礎，將態勢感知理解為一個認知過程，即通過使用過去的經驗和知識，識別、分析和理解物理系統的當前狀態，更新自身的“狀態知識”，并對系統未來的狀態變化進行預測和評估，而且隨著時間和系統變化進程的推進，持續地對系統進行觀察、理解、評估，修正之前的理解和預測，更新“狀態知識”［16］。這一認知過程最終構成了一個循環的映射過程，即將物理系統的狀態和變化映射為對物理系統進行觀察的人的語義認知，并用“狀態知識”進行表達和交流，促進在觀察人之間達成一致認知。另外，Endsley態勢感知概念模型將態勢感知表示為一個持續的動態變化過程，而且，不同的認知個體因為經驗、能力等的不同，對同一物理系統的認知結果不盡相同，意味著在團體感知、多方決策中存在著認知一致性問題。

針對態勢感知中的認知一致性問題，Wellens［17］提出了團體態勢感知的概念，并將其定義為“群體成員關于當前環境事件達成的共同觀點”。Endsley博士在其提出的態勢感知概念模型基礎上，進一步研究并提出“群體態勢感知是指每一位參與成員根據其各自職責而達成態勢感知的程度”［18］。如圖1-4所示，在群體態勢感知中，對于群體成員：一方面需要掌握所需的態勢信息（這些信息可能是由其他成員提供的），并根據各自的職責實現個體態勢感知；另一方面還需要就群體中公共態勢信息部分與其他成員達成一致。

1.2.3　網絡安全態勢感知

隨著信息技術的發展，傳統作戰形態逐漸向虛擬網絡空間延伸，信息化作戰、網絡空間的常態化對抗成為不可逆轉的發展趨勢。美國空軍通信與信息中心的Bass［19］首次提出“網絡態勢感知”，但并沒有給出具體定義，只是強調基于網絡入侵檢測等多傳感器實現的數據融合技術應成為網絡態勢感知系統的組成部分。

龔儉教授等人［20］認為，態勢感知是一種認知過程，而網絡安全態勢感知是在網絡安全領域通過運用態勢感知的方法，協助網絡安全人員把握不斷變化的網絡的整體安全狀態，為高層管理人員提供決策支持，因此，將網絡安全態勢感知定義為“對網絡系統安全狀態的認知過程，包括對從系統中測量到的原始數據逐步進行融合處理和實現對系統的背景狀態及活動語義的提取，識別出存在的各類網絡活動以及其中異常活動的意圖，從而獲得據此表征的網絡安全態勢和該態勢對網絡系統正常行為影響的了解”。這一定義從功能和過程上對網絡安全態勢感知進行了解讀，并將網絡安全態勢感知劃歸為傳統態勢感知的實例子集。

石樂義教授等人［21］分析了當前網絡安全態勢感知概念的研究現狀，認為“網絡安全態勢感知是指通過收集網絡環境中綜合、全面的安全要素并進行數據融合后，對網絡的安全態勢有宏觀、全面的認知，并且能對網絡系統的安全趨勢進行預測的過程，是保障網絡安全的有效手段”。該定義從過程和目的上對網絡安全態勢感知進行了解讀。正如石樂義教授所述，“目前對網絡安全態勢感知尚未形成統一、全面的定義，大多是對Endsley態勢感知定義的詳細解釋，并沒有針對網絡安全這一領域做出特定的闡釋”，“對網絡安全態勢感知給出科學、全面的定義，對不同階段進行合理的劃分仍是需要討論和解決的問題”。

綜合當前已有研究，筆者以構建網絡安全態勢感知系統、支持大規模網絡安全防御為目標，從方法論的視角，將網絡安全態勢感知定義為：基于大規模網絡環境中的安全要素和特征，采用數據分析、挖掘和智能推演等方法，準確理解和量化當前網絡空間的安全態勢，有效檢測網絡空間中的各種攻擊事件，預測未來網絡空間安全態勢的發展趨勢，并對引起態勢變化的安全要素進行溯源。網絡安全態勢感知概念的示意圖如圖1-5所示。