刘奇：网络安全将从态势感知向情景意识迈进

我认为，随着网络威胁的日益复杂和多样化，传统的态势感知（Situational Awareness）已难以满足全面、深度的安全防护需求，得益于人工智能大模型技术的跃进式发展，所以我提出网络和数据安全要从“态势感知”向“情景意识”（Situational Understanding）迈进。

我将情景意识分为三个层面，分别为感知层、理解层和预判层。其主要依托的是人工智能、自动化和主动防御三个着力点，来提升网络和数据安全的整体防护能力。

例如：大模型的出现为具身智能的发展提供了强大的技术支持，大模型凭借其强大的数据处理和环境预测能力，能够在任务规划上展现出独特优势，并通过海量知识和数据资源显著提升了具身智能的感知和理解能力。

一、当前现状

1.1 态势感知的应用与成效

近年来，态势感知技术在网络与数据安全领域得到了广泛应用。通过实时监控网络流量、系统日志、用户行为等数据，能够及时发现异常活动和潜在威胁，提升了安全事件的检测和响应能力。例如，网络安全运营中心（SOC）利用态势感知系统，能够实现对网络环境的实时监控和可视化展示，有效应对各类安全事件。

1.2 存在的问题与不足

尽管态势感知在安全防护中发挥了重要作用，但随着网络环境的复杂性增加，其局限性也逐渐显现（这里简单罗列几点，都能单独写一篇了）：

• 数据处理能力有限：面对海量、多样化的数据，现有的态势感知系统在数据处理和分析能力上存在瓶颈，难以全面理解复杂的安全态势。

• 缺乏深度理解：态势感知侧重于“知”当前的安全状态，缺乏对事件背后原因和趋势的深度理解，难以支持战略性决策。

• 预测能力不足：现有系统主要依赖历史数据和规则进行威胁检测，缺乏对未来安全威胁的预测和预判能力，难以主动防御新兴威胁。

二、为什么需要从态势感知过渡到情景意识

2.1 两者的概念与区别

• 态势感知（Situational Awareness）：主要指通过收集、处理和分析各种信息，实时了解和监控当前网络环境中的安全状态。其核心在于实时监控和可视化展示，强调对当前数据的获取与分析。

• 情景意识（Situational Understanding）：在态势感知的基础上，进一步对网络环境的复杂性和动态变化进行深度理解。涵盖对环境背景、威胁动因、潜在趋势的全面认识，并具备预测和预判未来安全事件的能力。

2.2 过渡的必要性

• 应对复杂威胁：随着高级持续性威胁（APT）、零日漏洞等复杂威胁的增加，单纯的态势感知难以全面应对，需要更深层次的情景意识来理解和预测威胁。

• 支持战略决策：情景意识能够为安全决策提供更全面、精准的情报支持，帮助制定和优化安全策略，提升整体防护能力。

• 提升主动防御能力：通过预测性分析和预警机制，情景意识能够实现主动防御，提前采取措施应对潜在威胁，减少安全事件的发生和影响。

2.3 两者的互补关系

态势感知和情景意识并非对立关系，而是层次递进、相辅相成的关系。态势感知提供了基础的数据和实时信息，而情景意识则在此基础上进行深入分析和预测，共同构建全面、动态的安全防护体系。

三、感知层、理解层、预判层的核心内涵

3.1 感知层（Perception Level）

• 信息获取的基础阶段：感知层是情景意识的第一步，它关注的焦点在于对环境中各种数据与信息的全面而准确的获取与记录。可以将其类比为我们的感官系统，通过眼睛、耳朵、皮肤等感官来获取外部世界的各种刺激信号。当转移到网络与数据安全领域，感知层所需处理的是海量且多样化的数字信号，包括网络流量数据、系统日志、用户行为数据、设备状态信息、攻击者活动迹象以及外部威胁情报数据等。

• 数据的多源整合与标准化处理：感知层不仅要简单收集数据，还要对来自不同来源、不同格式的数据进行整合和标准化处理。将纷繁复杂、格式各异的数据转化为可理解、可分析的结构化或半结构化信息，为后续层次的深入分析提供干净、有序的“原材料”。

• 实时性和全面性要求：感知层强调数据采集的实时性和全面性。只有在第一时间获取尽可能多的相关数据，才能为快速响应潜在威胁提供基础。若感知层出现信息缺失或延迟，将导致后续的理解和预判层在决策时信息不充分、错过最佳响应时机。

总结：

感知层是情景意识的“输入端”和“基础层”，重在数据采集与整理，它回答的是“我们现在有什么数据？我们看到了什么？”这一问题。

3.2 理解层（Comprehension Level）

• 从信息到知识的转化：如果说感知层提供的是大量的数据和信息，那么理解层的任务就是在这些原始信息的基础上进行意义提炼和关联分析。理解层好比我们的“大脑皮层”功能，它对输入的信息加以解释、分类、关联和分析，从中识别出哪些是正常的、哪些是异常的、异常背后可能隐藏什么样的意图和模式。

• 威胁识别与事件关联分析：在网络与数据安全中，理解层需要利用人工智能、机器学习、行为分析等技术，将感知层的数据进行融合，识别出潜在的攻击手法、攻击链条、攻击者意图以及被攻击资产的关键属性。在这一阶段，数据不再是孤立的日志或流量条目，而是被串联起来的线索，能够让安全分析师或自动化系统理解当前网络环境所面临的实际安全态势。

• 上下文与背景信息的引入：理解层还要引入上下文和背景知识，包括历史事件信息、已知的漏洞与威胁情报、网络拓扑结构、系统关键节点和业务逻辑等。通过上下文加持，系统能够判断异常行为的严重性和可能影响，从而为后续决策提供有价值的参考。

总结：

理解层是从数据中“抽丝剥茧”获取意义的过程，它回答的是“这些数据代表什么？当前态势的本质是什么？”这一问题。

3.3 预判层（Projection/Prediction Level）

• 超越当前态势的前瞻性分析：当我们已经通过理解层明白了当前发生了什么、为什么会发生，那么预判层的任务就是向未来扩展。预判层旨在利用现有数据与态势分析的结果，对未来可能的威胁演变、攻击手法升级和安全风险进行预测。

• 趋势分析与潜在风险评估：预判层常使用统计分析、机器学习中的预测模型和趋势分析手段，结合历史数据和当前态势，识别未来可能的攻击方向、攻击者下一步行动计划，或者潜在的零日漏洞被利用的可能性。通过预测，可以提前在关键节点强化防护措施，减少安全事件的冲击。

• 决策支持与主动防御策略的生成：预判层输出的不是过去或现在的状态数据，而是对未来风险和威胁格局的判断。这些判断直接用于决策支持，通过合理的策略调整、资源部署和应急预案制定，为主动防御创造可能。举例而言，如果预判到某类攻击手法即将兴起，安全团队可以提前打补丁、加强监控、配置更严格的访问控制策略，从而在攻击来临前化解风险。

总结：

预判层是面向未来的策略性思考层面，它回答的是“接下来可能会发生什么？我们应该如何提前应对？”这一问题。

3.4 三层的逻辑递进关系

• 从“看见”到“理解”再到“预判”：

感知层是基础，若无足够而准确的数据输入，理解和预判都会无从谈起。

理解层在感知层的数据基础上，向更高层抽象，从原始信息中获取对态势的真正认识。没有正确的理解，就无法在下一步预测未来风险。

预判层在理解层的基础上，更进一步将对现状的认知扩展至未来，支持战略与战术的主动防护和风险管理。

• 从“数据”到“信息”再到“智慧”的演变：

感知层提供的是“数据”，理解层输出的是具有深度和上下文关联的“信息”，而预判层则是在信息之上建立起可指导行动的“智慧”。这一演变过程体现了从底层客观事实到高层决策支持的渐进式提升。

我认为从态势感知向情景意识的迈进，是应对日益复杂网络威胁、提升整体安全防护能力的必然选择。通过分层次、全方位的建设措施，深化数据分析与融合、构建综合性安全态势感知系统、实施预测性分析与威胁预警、建立主动防御与响应机制、推动创新技术应用，情景意识将为网络和数据安全提供更深层次的理解和更前瞻的预测。