《牛津词典》公布的2016年度英文词汇是“post-truth（后真相）”，后真相环境使我们每个人质疑我们接收的数据，这种环境是认知攻击的结果——这个术语也被称为脑攻击。

认知攻击历来与政治或金融环境有关，但更大的数据保真问题存在所有环境中。这种现象的出现主要有几个原因，我们有必要探讨这些因素，因为它们可预测潜在解决方案的成功或者失败。这些因素有助于确定确保数据保真的问题，并最终明确如何解决这个问题。

首先，我们必须考虑数据在环境中的作用。数据代表连接技术和人类组成部分边缘的实体或胶合剂。虽然我们在人类和技术领域对数据已经进行了大量研究，还有人机界面研究，但数据的实际价值大体仍未得到验证。

数据的价值是技术和人类问题。在技术方面，完整性和隐私性可确保数据的传输以及静态数据的维护；然而，简单地捕获数据并确定数据价值是不够的。数据存在于环境中；因此，为了确定数据的价值，必须在环境中理解数据，这个背景环境涉及数据何时被创建。

数据保真和网络安全

当讨论网络安全数据时，根据数据的位置和类型的不同，创建数据的环境会有所不同。以入侵检测系统（IDS）警报为例，IDS警报可发生在网络（线路）或者实际主机中，在这两种情况下，处理警报的软件信任警报。

然而，实际事件可能与报告事件不符。除了事件信息外，可能还有内存使用情况和CPU循环次数等其他环境变量，围绕该事件的背景信息可提供必要的数据以确保事件数据的保真度。

在IDS数据的情况下，如果网络IDS系统称所有连接都正常，但流量会话看起来比正常情况多，或者连接数量明显超出正常水平，那么我们可以推断存在异常情况。

目前来看，这与基本的异常检查没有太大区别。不过，当将这些数据与基准数据的正常方差进行比较，或者将这些数据与现有安全信息事件管理（SIEM）数据比较时，便会发现差异，我们则可质疑SIEM数据的保真性。

接下来，考虑涉及主机的情况。文件系统也许仍然保持可接受的改变，但正常进程的时间超过正常情况，并使用额外的CPU周期。在这种情况下，与前面的例子一样，这说明环境中发生了扰动。

IoT环境中的数据保真

在其他情况下，环境可能看起来正常，但对象或警报可能已经改变，这表明可能存在虚假警报；这是异常检测系统的常见问题。在这种情况下，通过将对象和环境变量耦合在一起，我们可潜在减少误报数量。最低限度的情况下，我们可更好地了解误报问题，而不会导致漏报。

同时，收集必要的环境变量需要深入了解各种环境。当应对物联网时，这个问题变得相当复杂。虽然实际嵌入式设备环境很简单，但主机环境的多样性带来很多需要观察的新变量。

表1：数据对象和数据环境对

尽管如此，还是有共同领域提供可观察的基础。例如，可在不同状态观察和确定消息速率基准，认识到某些受压状态不适合自动化操作。

表1适用于三种环境：网络、主机和IoT，以及这些在不同处理时间的每个元状态。每个环境的元处理状态包括启动、空闲、正常处理、受压处理、降级处理和关闭。这些元状态关联着变量，而我们可访问和检查变量来确定这些是否是受控事件、异常事件或者潜在问题。

当然，每个环境的每个状态都会发生变化，这也是为什么设定基准很重要的原因。设定基准有时候被认为是网络安全的监管工作，很多人尝试使用机器学习来完成该任务，但这导致机器学习算法得到不好的名声，因为它们通常会错误地将异常数据归类为正常，而通过适当的基准化可解决这个问题。

结论

数据保真问题可能仍将继续困扰安全软件，部分原因在于人机信任关系，以及安全专家和产品开发人员在互联网安全早期阶段做出的基本假设。这些假设（非常类似于基于签名的检测模式）将继续保持无效，除非数据恢复能力（数据保真的重要组件）成为安全讨论的最前沿问题。

我们将会首先看到在IoT领域引入情境评估以支持数据保真，部分原因在于环境变量的性质以及需要更好地了解交互作用。