杂谈态势感知

1】起源

态势感知是一个相当宽泛的概念,从前三四年开始接触,至今听到的模样可谓五花八门。期间一两年也曾因大家做到绝望而冷了一段时间,直到今年因威胁情报大热,所以大家觉得可以把态势感知拿出来加两个蛋重新炒一下,又能下一盘菜了。

据说态势感知的起源是在1995年,Mica R.Endsley的论文(《oward a Theory of Situation Awareness in Dynamic Systems》)中提到了“利用当前数据趋势预测未来事件”的思路,这一思路即使利用大规模的已有数据进行必要的关联计算和分析,形成未来态势的感知能力,从而进行预警。

态势感知的概念可能如此,但类似于态势感知的场景应用一定远远早于这个时间。

至少,从华尔街的地位被确立之后,就一定有一群人在各种模型中导入历史数据,用于推测人们当前的经济活动,并尝试从中牟利。他们之所以这样做的原因并不难理解。对这些华尔街精英们来说,他们坚信 —— 人性是驱动历史重复的齿轮”。

只要人性不变,历史就会不断的 Repeat

2】狭义理解

态势感知可理解的范围过于宽广,这里只说安全行业里对态势感知的狭义理解。

差不多的含义也就是 —— 通过对历史事件的分析,并在掌控现有目标资产、业务和人员的前提下,跟踪和分析当前事件以实现对其走势的跟踪和提前防治。

这不是什么标准概念,而是融合了我在这个行业里见过的很多态势感知概念的精髓。

3】黑天鹅

最早欧洲人以为,天鹅都是白色的 —— 你看,《天鹅湖》不也都是穿着白衣。

直到那个月黑风高的杀人夜 …… 一群绿色的光亮点在湖面飘逸着,走近才发现,原来是一群黑色的鸭子 —— 哦不,黑色的天鹅。

现在呢,黑天鹅就是指着市场上总是存在着不可预知的事情 —— 多用于股票市场,比如,2015年中国牛市的绿色6月。

所以这个词应该是对任何带有“感知”和“预测”字眼的最大打击和讽刺。因为不可预测的终究是难以预测的。

这也是为什么大家都会说风险是不可消除只可降低的,因为黑天鹅无处不在。

所以,任何感知系统不可不信,但也不可迷信。

4】“态势”不是“事件”

“小李,隔壁老王趁你上班去你家了”—— 这是事件;

“小李,我感觉隔壁老王看你老婆的眼神不太对,你要多关注” —— 这是态势;

其实,想聊态势感知,路口右转找黄半仙最合适 —— 大师们从来都会告诉你“10日之内定有血光之灾”,而不是告诉你“35小时27分之后,你家出门第二个红绿灯右转时,一辆时速 8km/小时 的儿童三轮车正好撞上你的痔疮”。

所以可以说,事件是必然性的结果,即便是预测事件也应该是精确度较高的一种推测 —— 这更像是用数学公式推算出一个确定性的数字。而态势是趋势,加上感知两个字后那就是对趋势的预测。

这就引发了很重要的一个怪异现状。

很多宣称的态势感知,其所作的不是趋势分析和预测,而是对现有事件的告警和说明,这两者之间说远其实是很远的,说近,则很可能就是一层窗户纸。那么,这层窗户纸怎么破。

看看Google的流感趋势预测。Google会先“发现”近期很多人在搜索流感相关关键词并标注他们的区域,根据区域的变化来“跟踪”流感的走向,加上不同州的人群分布情况以及历史上流感的可参考数据来“预测”将会受到流感影响的人数和持续时间等。

实际上,可以看到,预测很可能是基于对所发现事实的跟踪,并辅以历史数据进行的推测。

说到本行的话,应该就是这样:

1、不要光告诉我哪个区域出现了多少次攻击;

2、我更希望知道攻击的走势是如何(跟着技术走、还是跟着目标走、还是跟着敏感事件走?);

3、根据我们这个团队的历史响应情况来看,响应上会存在多少盲点以及无法及时跟进而导致的事件;

4、这些导致的事件最可能发生在什么区域;

5、最终的影响如何(历史上来看,挂了一片,下岗一堆等等);

以此,我会决定是否需要对攻击进行深度分析和跟踪,是否需要调配更多人员,是否需要在哪些区域提前部署力量等等。

5】“态势”与“情报”

情报是一种基于公开或非公开信息的必然性较高的预测。

古代战神汉尼拔便是情报大师,他所被人津津乐道的坎尼会战实际上只是兵法上的胜利。

其实在坎尼会战之前发生的特拉西梅诺湖之战,才是利用双方信息不对称及战法结合的经典战役,汉尼拔不但提前调查了地形、预测了气候而且还巧妙的躲过了罗马人的侦查,并一举拿下3万多罗马兵。

另外,还有更多关于情报的有趣案例,可能都和战争或多或少有些关系,可查看:【历史上有哪些通过公开的信息做出精彩情报分析的真实案例(http://www.zhihu.com/question/29547695)】。

由这些实例可知,情报是用于辅助决策的半成品,而好的情报甚至可以直接用于决策。

那最大的问题则在于,可感知到的态势是否可用于辅助决策或直接决策?

这点实在就是“仁者见智、智者见仁”了。

而在我看来,好的态势预测并非不能用于决策,例如上一章所说的例子就是一个比较贴切现实的仿真。

6】自说自话的罗生门

态势感知与情报和事件不太一样的地方应该是 —— 态势感知是反映趋势的、是动态的、可预测的,所以它需要更多的事件、更多的情报以及很多很多的历史数据才可以完成的。

因为态势感知更需要通过大局来跟踪和决策,所以虽然都是决策,而态势感知更像是战略决策,情报更有可能是战术决策,必要的时候,战术是需要服从战略的。

但是,一旦需要聚合多类、多条元素来完成一个态势的跟踪和分析,罗生门就不可避免。

《大数据时代》里已经给出了很多的例子,因为需要分析数据的基数庞大,加上噪声数据,很可能大家分析出来的结果是千差万别的 —— 所有人都会向自己有利的方向去挖掘和分析。

比如,2013年有一组数据

640

(上图截取自我的某个PPT,看过的人看到我这个解读可能要大呼上当了,提前做好准备,颤抖吧,骚年~)

这里提取了61万个被黑网站及这些网站被挂上的被黑页面,然后按照被黑页面的特征进行分类,被黑页面相同或相似度极高的话,则认为这些黑页来自同一个黑客(或团队),那么,这算下来的话,61万个站点实际上只被挂上了6769个被黑页面(即,存在着一个黑页挂到很多个网站上的情况),然后根据这个数字来勾画出上面这样一张图 —— 这张图里,横轴每个点代表了一个被黑页面,纵轴代表了这个被黑页面挂到了多少个被黑网站上面(因为整个数据图较大,所以这里只截取了部分)。

这样还不够,如果这里我再划一条线,某一个黑客黑掉的网站少于3000个在线下,多于3000个则在线的上方,则得出两组数据:

  • 6150个黑客黑掉了近7万个站点
  • 619个黑客黑掉了54万个站点

接下来就有意思了,我可以有多种解读维度:

  • 我可以说,少数的黑客干了更多的坏事(就好象巴莱特的2/8定律一样);
  • 或者我说,勤奋的黑客很少,只有619个(这样就以“黑掉这些站很轻松,只是需要耗费体力而不是智力”为前提)
  • 我还能说,少数黑客发现了多数问题并吃了第一口蛋糕,而多数人只是script kids,只能拾人牙慧去搞那些“少数黑客”看不上的站(但实际上,那7网站站更有价值还是那54万网站更有价值,谁都不知道)
  • 还有一种性价比论,即,如果我掌握了那619个人的作战方法,恐怕我就可以避免88.5%54万除以61万)被黑了,而处理619个的代价要远小于6150个(但实际上,这和上面一条是有潜在冲突的,如果619个黑客真的是高级黑的话,恐怕处理6150个的代价会更小一些)
  • 当然,更不要脸的说法就是 —— 只有特么的屌丝黑客才会去黑站挂黑页,哈哈哈哈 ……

所以,造成这一切的根本是在于,任何单一的数字如果不能挖掘到底的话,都是非对称的、不公平的评价,所以,数据的分析和解读,应该遵循“一挖到底、挖无可挖”的地步,虽然这很难,但却可以在最大程度上说服自己,以及那些高级黑。

7】还不是尾声

其实,很多分析和整体思路的构建上还有很多槽点和坑。

但今天我是没有办法再一一列举出来了,有些东西我也还在持续研究,等我有了什么新的感悟后,再来继续吧

[via@Piz0n]