IARPA首次利用網(wǎng)絡(luò)心理學(xué)賦能網(wǎng)絡(luò)防御重塑安全

一發(fā)布背景(一)網(wǎng)絡(luò)心理學(xué)目前更多地運(yùn)用在網(wǎng)絡(luò)心理戰(zhàn)領(lǐng)域網(wǎng)絡(luò)心理學(xué)是一個(gè)新興的跨學(xué)科領(lǐng)域，它將人類(lèi)行為和決策融入網(wǎng)絡(luò)領(lǐng)域，使人們能夠理解、預(yù)測(cè)和影響網(wǎng)絡(luò)操作員的行為。網(wǎng)絡(luò)心理學(xué)多用于網(wǎng)絡(luò)心理戰(zhàn)領(lǐng)域，網(wǎng)絡(luò)心理戰(zhàn)主要針對(duì)敵對(duì)國(guó)家的政府、民眾以及軍隊(duì)。一方面，通過(guò)大量的虛假信息誤導(dǎo)敵對(duì)國(guó)家政府和軍隊(duì)的決策層，使其產(chǎn)生誤判，做出錯(cuò)誤的決定。所謂“兵不厭詐”，就是這個(gè)道理。另一方面，通過(guò)發(fā)布大量展示敵對(duì)國(guó)家軍隊(duì)損失慘重的視頻、圖片和相關(guān)文字，打擊對(duì)方的士氣、斗志，同時(shí)也鼓舞了本方的士氣、斗志。目前，網(wǎng)絡(luò)心理學(xué)在網(wǎng)絡(luò)防御領(lǐng)域的運(yùn)用還不多。(二)針對(duì)美國(guó)企業(yè)、政府的網(wǎng)絡(luò)攻擊是一個(gè)普遍存在的問(wèn)題針對(duì)美國(guó)個(gè)人、私營(yíng)企業(yè)、地方和州政府以及聯(lián)邦政府的網(wǎng)絡(luò)攻擊是一個(gè)普遍存在的問(wèn)題，從挾持在線(xiàn)個(gè)人賬戶(hù)或企業(yè)賬戶(hù)以勒索贖金，到從數(shù)百萬(wàn)政府雇員和承包商那里竊取敏感的個(gè)人身份信息，相關(guān)網(wǎng)絡(luò)攻擊問(wèn)題經(jīng)常讓網(wǎng)絡(luò)安全專(zhuān)家應(yīng)接不暇。2020年末，“太陽(yáng)風(fēng)”黑客事件震驚全球。黑客利用美國(guó)“太陽(yáng)風(fēng)”公司的“獵戶(hù)網(wǎng)絡(luò)”管理平臺(tái)，成功入侵了美國(guó)財(cái)政部、國(guó)土安全部商務(wù)部、能源部等多家美國(guó)聯(lián)邦政府機(jī)構(gòu)網(wǎng)站。此外，還有英特爾、英偉達(dá)、思科、貝爾金以及VMware等約100家美國(guó)公司的網(wǎng)絡(luò)系統(tǒng)企業(yè)受到嚴(yán)重攻擊。(三)傳統(tǒng)防御措施更專(zhuān)注于被動(dòng)阻止可疑網(wǎng)絡(luò)行為，缺乏主動(dòng)防御網(wǎng)絡(luò)攻擊的問(wèn)題日益復(fù)雜且嚴(yán)峻，許多網(wǎng)絡(luò)安全專(zhuān)業(yè)人士正在努力尋找解決這一問(wèn)題的方法。他們采取了多層防御措施，例如防火墻、殺毒軟件、多重身份驗(yàn)證以及其他相關(guān)措施。然而，最復(fù)雜、持續(xù)時(shí)間最長(zhǎng)的網(wǎng)絡(luò)攻擊主要是人為驅(qū)動(dòng)的，這些網(wǎng)絡(luò)攻擊利用了防御者的人為錯(cuò)誤。與此同時(shí)，大多數(shù)網(wǎng)絡(luò)防御卻都沒(méi)有考慮攻擊者的人為因素，例如：攻擊者的人性弱點(diǎn)和局限性。此外，大多數(shù)現(xiàn)有的傳統(tǒng)防御措施都專(zhuān)注于阻止可疑的網(wǎng)絡(luò)行為的發(fā)生，很少有人主動(dòng)與可疑的攻擊者進(jìn)行互動(dòng)，以了解他們的特性、技能或目標(biāo)，更不用說(shuō)誘導(dǎo)他們的行為發(fā)生變化了。于此，IARPA提出大膽設(shè)想：我們是否能利用攻擊者的人性弱點(diǎn)和局限性，主動(dòng)引導(dǎo)攻擊者并改變其行為，以此阻止和挫敗網(wǎng)絡(luò)攻擊？二項(xiàng)目目標(biāo)由此，美國(guó)情報(bào)高級(jí)研究計(jì)劃局（IARPA）推出最新項(xiàng)目——“利用基于網(wǎng)絡(luò)心理學(xué)的網(wǎng)絡(luò)防御系統(tǒng)重塑網(wǎng)絡(luò)安全”（ReSCIND），就可用于主動(dòng)挫敗網(wǎng)絡(luò)攻擊。該項(xiàng)目將網(wǎng)絡(luò)心理學(xué)防御措施納入其中，旨在通過(guò)開(kāi)發(fā)一套新的網(wǎng)絡(luò)心理學(xué)防御系統(tǒng)來(lái)改善網(wǎng)絡(luò)安全，這些防御措施利用攻擊者的人性弱點(diǎn)，例如先天決策偏見(jiàn)和認(rèn)知漏洞（CogVuls）等。三主要內(nèi)容ReSCIND項(xiàng)目專(zhuān)注于誘導(dǎo)或強(qiáng)化認(rèn)知偏見(jiàn)或其他認(rèn)知局限，以阻止和挫敗網(wǎng)絡(luò)攻擊。項(xiàng)目提案者提出了創(chuàng)新的解決方案，通過(guò)影響網(wǎng)絡(luò)攻擊者的決策來(lái)增加他們實(shí)施網(wǎng)絡(luò)攻擊的工作難度和所用資源，而不僅僅是試圖被動(dòng)地檢測(cè)和阻止網(wǎng)絡(luò)上的可疑行為。(一)五大技術(shù)難點(diǎn)（1）識(shí)別并提供與網(wǎng)絡(luò)攻擊者相關(guān)的認(rèn)知漏洞(CogVuls)的證據(jù)在ReSCIND項(xiàng)目中，認(rèn)知漏洞包括認(rèn)知和決策偏見(jiàn)、先天認(rèn)知限制、情緒或精神狀態(tài)或可能導(dǎo)致網(wǎng)絡(luò)攻擊者的成功率或有效性降低的生理弱點(diǎn)。開(kāi)發(fā)人員將通過(guò)理論和實(shí)驗(yàn)研究，確定認(rèn)知漏洞與網(wǎng)絡(luò)攻擊者的相關(guān)性，解釋個(gè)體之間的相關(guān)差異；生成一個(gè)結(jié)構(gòu)化的視覺(jué)表示，將網(wǎng)絡(luò)攻擊者、網(wǎng)絡(luò)和外部環(huán)境的特征與認(rèn)知漏洞進(jìn)行映射對(duì)應(yīng)。（2）理解、衡量和誘導(dǎo)網(wǎng)絡(luò)攻擊行為的變化項(xiàng)目開(kāi)發(fā)人員將通過(guò)實(shí)驗(yàn)確定哪些選定的認(rèn)知漏洞、敏感元素和誘餌會(huì)對(duì)網(wǎng)絡(luò)攻擊行為產(chǎn)生可衡量的影響；開(kāi)發(fā)利用網(wǎng)絡(luò)攻擊者的認(rèn)知漏洞進(jìn)行防御的方法；確定預(yù)測(cè)和影響以阻止攻擊者行為的新技術(shù)；開(kāi)發(fā)能夠可靠地誘發(fā)或加劇認(rèn)知漏洞的偏差觸發(fā)器（例如主機(jī)或網(wǎng)絡(luò)操作）。（3）開(kāi)發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御(CyphiDs)系統(tǒng)，影響網(wǎng)絡(luò)攻擊的早期和后期階段基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)將通過(guò)利用強(qiáng)大和可測(cè)量的認(rèn)知漏洞，對(duì)網(wǎng)絡(luò)攻擊者的有效性和成功率產(chǎn)生的影響。項(xiàng)目開(kāi)發(fā)人員將創(chuàng)建結(jié)構(gòu)化的視覺(jué)表示，將認(rèn)知漏洞和網(wǎng)絡(luò)心理學(xué)防御系統(tǒng)映射到防御目標(biāo)，并對(duì)網(wǎng)絡(luò)攻擊行為產(chǎn)生可衡量的影響；實(shí)現(xiàn)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)的邏輯和軟件，用于網(wǎng)絡(luò)范圍測(cè)試平臺(tái)的測(cè)試；演示該系統(tǒng)的有效性，以減緩或減少網(wǎng)絡(luò)攻擊的成功嘗試。（4）創(chuàng)建網(wǎng)絡(luò)特定的計(jì)算認(rèn)知模型(C3M)，反映和預(yù)測(cè)攻擊者對(duì)防御系統(tǒng)干預(yù)后的行為變化項(xiàng)目開(kāi)發(fā)人員需要開(kāi)發(fā)、訓(xùn)練和測(cè)試網(wǎng)絡(luò)特定的計(jì)算認(rèn)知模型，該模型能夠反映和預(yù)測(cè)攻擊者行為，其可變性取決于認(rèn)知漏洞；建模工作還應(yīng)該根據(jù)攻擊者屬性、網(wǎng)絡(luò)和主機(jī)特征或情境因素來(lái)處理攻擊者行為的差異。（5）根據(jù)攻擊者行為，創(chuàng)建自適應(yīng)的心理防御（APhiD）

項(xiàng)目開(kāi)發(fā)人員將創(chuàng)建一個(gè)自適應(yīng)防御系統(tǒng)，基于觀(guān)察到的攻擊行為，自動(dòng)化地選擇CyphiD，以獨(dú)立地響應(yīng)網(wǎng)絡(luò)攻擊者的行為，以及其他環(huán)境特征或網(wǎng)絡(luò)屬性；并且將開(kāi)發(fā)APhiD算法；實(shí)現(xiàn)APhiD的邏輯和軟件，結(jié)合結(jié)構(gòu)化視覺(jué)表示和先前實(shí)驗(yàn)結(jié)果的相關(guān)結(jié)果，在網(wǎng)絡(luò)范圍測(cè)試臺(tái)中進(jìn)行測(cè)試。(二)項(xiàng)目進(jìn)度安排該項(xiàng)目分為三個(gè)研究階段如下表所示，目前尚處于招標(biāo)啟動(dòng)時(shí)期。第一階段時(shí)間為18個(gè)月，主要目標(biāo)為識(shí)別與網(wǎng)絡(luò)攻擊者相關(guān)的認(rèn)知漏洞，包括誘導(dǎo)、加劇和度量每個(gè)認(rèn)知漏洞的方法。第二階段時(shí)間為15個(gè)月，主要目標(biāo)是研究和開(kāi)發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)，能夠映射到網(wǎng)絡(luò)攻擊者屬性并且可以預(yù)測(cè)破壞整個(gè)網(wǎng)絡(luò)殺傷鏈的網(wǎng)絡(luò)攻擊行為，同時(shí)降低攻擊者的性能和成功率。第三階段時(shí)間為12個(gè)月，主要目標(biāo)是利用先前階段的實(shí)驗(yàn)結(jié)果和數(shù)據(jù)，開(kāi)發(fā)自適應(yīng)防御系統(tǒng)和特定于網(wǎng)絡(luò)的計(jì)算認(rèn)知模型(C3M)，以反映和預(yù)測(cè)所提供的行為數(shù)據(jù)。表1ReSCIND項(xiàng)目時(shí)間節(jié)點(diǎn)及目標(biāo)(三)三個(gè)階段主要內(nèi)容（1）1階段重點(diǎn)在于開(kāi)發(fā)偏差傳感器與偏差觸發(fā)器第一階段旨在基礎(chǔ)科學(xué)研究和與網(wǎng)絡(luò)有關(guān)的人文學(xué)科研究實(shí)驗(yàn)的基礎(chǔ)上，確定與網(wǎng)絡(luò)攻擊行為最相關(guān)的認(rèn)知漏洞，包括誘導(dǎo)、加劇和測(cè)量它們的方法。具體而言，第一階段包括開(kāi)發(fā)偏差傳感器和偏差觸發(fā)器。偏差傳感器旨在使用網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)這些認(rèn)知漏洞，而偏差觸發(fā)器的作用則是在網(wǎng)絡(luò)情況下誘導(dǎo)和強(qiáng)化這些認(rèn)知漏洞。偏差傳感器將通過(guò)網(wǎng)絡(luò)防御者提供的數(shù)據(jù)來(lái)確定網(wǎng)絡(luò)攻擊者在多大程度上存在特定的認(rèn)知漏洞。偏差傳感器將被開(kāi)發(fā)成軟件組件，在網(wǎng)絡(luò)或主機(jī)上使用，這樣就可以獲得所需的網(wǎng)絡(luò)防御數(shù)據(jù)。第一階段的研究和開(kāi)發(fā)還必須包括IARPA選擇的人類(lèi)常見(jiàn)的兩個(gè)認(rèn)知漏洞，即損失厭惡（人們傾向于避免損失，而不是獲得同等的收益）和代表性偏差（一種傾向是過(guò)分強(qiáng)調(diào)證據(jù)的代表性，而忽視證據(jù)發(fā)生的頻率），以及至少3個(gè)額外的認(rèn)知漏洞。選擇標(biāo)準(zhǔn)將包括新穎性、多樣性、相關(guān)性、數(shù)量、科學(xué)嚴(yán)謹(jǐn)性、潛在影響等。項(xiàng)目開(kāi)發(fā)人員將根據(jù)收集的觀(guān)察結(jié)果開(kāi)發(fā)偏差觸發(fā)器，以與攻擊者進(jìn)行交互或適應(yīng)攻擊者，并在網(wǎng)絡(luò)領(lǐng)域創(chuàng)建誘導(dǎo)和利用每個(gè)認(rèn)知漏洞的情景；并且初步開(kāi)發(fā)一種可視化的表示（即概念地圖）來(lái)清楚地顯示認(rèn)知漏洞、偏差傳感器和偏差觸發(fā)器、攻擊者的相關(guān)特征、網(wǎng)絡(luò)和外部環(huán)境以及各種網(wǎng)絡(luò)行為影響之間的關(guān)系。（2）2階段核心是開(kāi)發(fā)用于鏈接CyphiDs與傳感器、觸發(fā)器的軟件和邏輯在第二階段，項(xiàng)目人員將開(kāi)發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)（CyphiDs）以及用于鏈接偏差傳感器和偏差觸發(fā)器的軟件和邏輯。CyphiD由一組針對(duì)特定認(rèn)知漏洞或認(rèn)知漏洞集群開(kāi)發(fā)的偏差傳感器和偏差觸發(fā)器組成，如圖1所示。該偏差傳感器檢測(cè)認(rèn)知漏洞的存在，基于偏差傳感器的輸出確定觸發(fā)，利用偏差觸發(fā)器來(lái)誘導(dǎo)、利用或加強(qiáng)認(rèn)知漏洞。項(xiàng)目人員還將創(chuàng)建一個(gè)簡(jiǎn)單的、定制的儀表板，以幫助網(wǎng)絡(luò)防御者理解偏差傳感器的發(fā)現(xiàn)(即所測(cè)量的每個(gè)認(rèn)知漏洞的程度)和對(duì)CyphiDs的影響。在第二階段，項(xiàng)目人員將繼續(xù)更新他們的結(jié)構(gòu)化的可視化表示，并在他們的軟件中實(shí)現(xiàn)相關(guān)部分，以演示在哪些條件下應(yīng)該使用特定的CyphiD來(lái)應(yīng)對(duì)網(wǎng)絡(luò)行為的影響。CyphiDs將在網(wǎng)絡(luò)范圍內(nèi)自我測(cè)試與迭代，項(xiàng)目人員將結(jié)果和對(duì)結(jié)果的解釋提交給IARPA。IARPA還將提供一個(gè)排行榜來(lái)跟蹤每個(gè)團(tuán)隊(duì)的CyphiDs系統(tǒng)指標(biāo)完成情況。圖1CyphiD概念圖：偏差傳感器、偏差觸發(fā)器和邏輯組合組成一個(gè)CyphiD（3）3階段主要是自適應(yīng)與建模以及改進(jìn)前兩個(gè)階段的成果第三階段的目標(biāo)是自適應(yīng)、建模和改進(jìn)以前階段的研究成果，同時(shí)達(dá)到更高的效果規(guī)模。項(xiàng)目人員將開(kāi)發(fā)自適應(yīng)的心理信息防御（APhiD），它會(huì)隨著時(shí)間的推移自動(dòng)選擇適當(dāng)?shù)腃yphiD組合或序列如下圖2所示；還將根據(jù)迄今的實(shí)驗(yàn)結(jié)果研究和開(kāi)發(fā)特定于網(wǎng)絡(luò)的計(jì)算模型，該模型將敏感地反映和預(yù)測(cè)攻擊者的行為。APhiD必須通過(guò)創(chuàng)建智能算法（例如，專(zhuān)家系統(tǒng)、人工智能）來(lái)自主運(yùn)行，以選擇CyphiD的最佳組合或序列。IARPA將為項(xiàng)目團(tuán)隊(duì)提供一個(gè)帶注釋的數(shù)據(jù)集，用于訓(xùn)練他們的APhiD，以及所有可用CyphiD，以供選擇。項(xiàng)目人員將使用IARPA提供的數(shù)據(jù)集和第一階段的人文學(xué)科研究實(shí)驗(yàn)結(jié)果，來(lái)開(kāi)發(fā)特定于網(wǎng)絡(luò)的計(jì)算認(rèn)知模型（C3M）和APhiD。C3M將重點(diǎn)關(guān)注項(xiàng)目人員在第二階段檢查的認(rèn)知漏洞。C3M的目標(biāo)是概括人類(lèi)行為模式，因?yàn)樗c網(wǎng)絡(luò)攻擊場(chǎng)景中的人類(lèi)決策和行為變化有關(guān)。圖2APhiD概念圖：多個(gè)Cyphid與邏輯組合形成APhiD，由邏輯決定在每個(gè)時(shí)間點(diǎn)使用哪個(gè)Cyphid四認(rèn)識(shí)與研判(一)前期實(shí)驗(yàn)性研究為項(xiàng)目開(kāi)展奠定了很好的基礎(chǔ)雖然ReSCIND項(xiàng)目才剛剛開(kāi)始，尚未選擇研究和開(kāi)發(fā)該項(xiàng)目技術(shù)的執(zhí)行團(tuán)隊(duì)，因此無(wú)法保證其像其他IARPA研究項(xiàng)目一樣最終取得成功。但是，據(jù)該項(xiàng)目的IARPA官方負(fù)責(zé)人金伯利·費(fèi)格森·沃爾特（KimberlyFergusonWalter）博士透露：他之前的研究結(jié)果給了團(tuán)隊(duì)很大的信心，例如關(guān)于誘餌（即防御者創(chuàng)建的虛構(gòu)機(jī)器，作為分散、混淆和檢測(cè)攻擊者的方法）及其對(duì)網(wǎng)絡(luò)攻擊者的影響的實(shí)驗(yàn)，發(fā)現(xiàn)欺騙手段對(duì)經(jīng)驗(yàn)豐富的攻擊者十分有效。誘餌往往會(huì)減緩攻擊團(tuán)隊(duì)的進(jìn)展速度，迷惑他們，并觸發(fā)警報(bào)，使攻擊者暴露。這項(xiàng)技術(shù)只利用了一小部分潛在的相關(guān)認(rèn)知偏見(jiàn)，但效果顯著。(二)防御方法相較于被動(dòng)和靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全手段更加積極主動(dòng)ReSCIND項(xiàng)目的目標(biāo)是研發(fā)新的網(wǎng)絡(luò)防御方法，但相較于被動(dòng)和靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全手段（比如不同的密碼或防火墻），該項(xiàng)目則更積極主動(dòng)，更注重參與者。ReSCIND項(xiàng)目的研究人員將尋求利用攻擊者的認(rèn)知漏洞，而不是僅僅是創(chuàng)建一種新的被動(dòng)防御措施。具體而言，ReSCIND項(xiàng)目將通過(guò)開(kāi)發(fā)一套新的基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)和自適應(yīng)心理防御算法，使網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)自動(dòng)化，以獨(dú)立地主動(dòng)響應(yīng)網(wǎng)絡(luò)攻擊者的行為。(三)ReSCIND項(xiàng)目的創(chuàng)新有望改變網(wǎng)絡(luò)對(duì)抗中的攻守雙方的局勢(shì)在技術(shù)日新月