一、网空态势感知的能力

1.创建问题解决工作流或流程的能力

2.查看网空防御全局情况的能力

3.管理不确定性的能力

4.基于不完整或受干扰信息进行推理分析的能力

5.在海量信息中快速锁定关键线索的能力

6.战略规划的能力

7.预测攻击者可能采取的后续动作的能力

二、网空态势感知领域的研究目标和

1. 目标A：

（1）不同层级安全分析人员的成效存在巨大差距，如何消除

（2）拥有许多工具但无法有效提高工作成效

（3）需要哪些模型、工具和分析方法才能提升工作表现成效

  目标B：
 开发出网空态势感知系统设计、实施和评价方面的新范式。

2. 科学研究障碍

（1）传感获得的数据量巨大，与安全人员无法有效利用信息的矛盾；

（2）人类认知的神经元级速度，与信息传感的芯片级速度之间的矛盾；

（3）对于全局情况感知的需求，与烟囱式传感机制之间的矛盾；人员之间也存在相互孤立的“烟囱”

（4）对于知晓我情的概念，研究人员和网络安全中心尚未得到充分关注

（5）缺乏实际情况的信息，与对科学合理模型的需求之间存在的矛盾

3. 科学研究的新方向

（1）理解安全分析人员在网空态势感知的认知与决策方面的特性

（2）能够利用人类认知过程特质的新型网空态势感知系统设计提供启发

（3）打破纵向（区隔之间）和横向（抽象层次之间）的烟囱式鼓励情况

（4）推动围绕任务保障的分析方法（包括资产映射、损害、影响、缓解、恢复）的进步发展

（5）发现在态势情境了解方面存在的盲点

（6）将对敌方意图的分析作为网空态势感知分析方法中不可或缺的一个部分

原则1：从定性研究方法发展到定量研究方法；从数据匮乏的研究模式发展到数据充裕的研究模式。

在充斥着巨大不确定性和不可信赖性的环境中，对横跨区隔和纵跨抽象层次的多样化异质数据进行创造性的"任务感知"分析。

原则2：工具应在设计阶段考虑到人类在认知和决策方面的特点。

4. 多学科研究方法的必要性

（1）从计算机科学和信息科学的角度：

资深安全分析人员可能会使用初级安全分析人员不使用的工具。

资深安全分析人员能更深入连接工具的内部工作机制。

资深安全分析人员可以创建出一套新的工具链，并诊断分析出未曾遭遇过的攻击行动。

（2）从认知科学的角度：

资深安全分析人员和初级人员有不同的认知过程和心理状态，即使对相同的攻击。

资深安全分析人员推理过程更加缜密，而且也更不容易出错。

资深安全分析人员和初级人员有不同的团队认知行为。

（3）从决策和学习科学的角度

资深安全分析人员和初级安全分析人员对相同的攻击会“编织”出不同的假设“网络”（不太理解原话是什么意思）

资深安全分析人员和初级安全人员在进行入侵监测分析室，具有不同的基于实例的学习行为。

MURI（Multi-disciplinary University Research Initiative）

5. 态势感知实践中的两个根本性问题

（1）人类认知能力与网空态势感知工具和算法之间存在巨大差距。原始数据所包含的信息量比分析人员的“认知能力吞吐量”高出几个数量级，且缺少从数据到决策的关键“连接”。

-----解决方案：

通过特定于网络态势感知的信息与知识融合、认知能力自动化、人工智能和可视化分析等方面来构建原先缺失的连接环节。未来期望将人类智能与人工智能进行整合。

（2）现有的态势感知工具和系统对网络空间整体状况存在重大“盲点”

-----解决方案：

通过打破横向和纵向“烟囱”，来解决第二个限制问题。设想的技术包括纵跨抽象层次的依赖关系分析与知识融合、横跨区隔的依赖关系分析与知识融合、实现不确定性分析和管理的概率图模型，以及实现“知晓我情”与“知晓攻击行动敌情”的知识整合。

6. 未来的主要研究方向

（1）认知能力的自动化

   开发能够表现出智能行为的交互式态势感知系统

  研究特定于网空态势感知的认知行为

  追踪安全分析人员的数据分类分流操作行为和推理过程

 开发能够实现基于经验的自动化态势识别与预测的技术

 开发能够帮助安全分析人员获得网空态势感知的智能代理技术；智能代理能够学习安全分析人员的数据分类分流操作行为和推理过程。

对特定于网空态势感知的认知能力吞吐量进行评估。

发现基于团队的网空态势感知中存在的瓶颈。

（2）对于“盲点”的监控

纵跨抽象层的依赖关系分析和影响评估

横跨区隔的依赖关系分析与影响评估

进行跨数据源的安全相关事件的关联

基于博弈论的分析

应用大数据分析和机器学习技术

（3）态势知识融合

开发用于态势知识展现和管理的网空态势知识参考模型。

构建概率图模型以开展不确定性分析和管理。

（4）可视化分析

适用于网空态势感知的可视化分析方法