IARPA首次利用網(wǎng)絡心理學賦能網(wǎng)絡防御重塑安全

一發(fā)布背景(一)網(wǎng)絡心理學目前更多地運用在網(wǎng)絡心理戰(zhàn)領域網(wǎng)絡心理學是一個新興的跨學科領域，它將人類行為和決策融入網(wǎng)絡領域，使人們能夠理解、預測和影響網(wǎng)絡操作員的行為。網(wǎng)絡心理學多用于網(wǎng)絡心理戰(zhàn)領域，網(wǎng)絡心理戰(zhàn)主要針對敵對國家的政府、民眾以及軍隊。一方面，通過大量的虛假信息誤導敵對國家政府和軍隊的決策層，使其產(chǎn)生誤判，做出錯誤的決定。所謂“兵不厭詐”，就是這個道理。另一方面，通過發(fā)布大量展示敵對國家軍隊損失慘重的視頻、圖片和相關文字，打擊對方的士氣、斗志，同時也鼓舞了本方的士氣、斗志。目前，網(wǎng)絡心理學在網(wǎng)絡防御領域的運用還不多。(二)針對美國企業(yè)、政府的網(wǎng)絡攻擊是一個普遍存在的問題針對美國個人、私營企業(yè)、地方和州政府以及聯(lián)邦政府的網(wǎng)絡攻擊是一個普遍存在的問題，從挾持在線個人賬戶或企業(yè)賬戶以勒索贖金，到從數(shù)百萬政府雇員和承包商那里竊取敏感的個人身份信息，相關網(wǎng)絡攻擊問題經(jīng)常讓網(wǎng)絡安全專家應接不暇。2020年末，“太陽風”黑客事件震驚全球。黑客利用美國“太陽風”公司的“獵戶網(wǎng)絡”管理平臺，成功入侵了美國財政部、國土安全部商務部、能源部等多家美國聯(lián)邦政府機構網(wǎng)站。此外，還有英特爾、英偉達、思科、貝爾金以及VMware等約100家美國公司的網(wǎng)絡系統(tǒng)企業(yè)受到嚴重攻擊。(三)傳統(tǒng)防御措施更專注于被動阻止可疑網(wǎng)絡行為，缺乏主動防御網(wǎng)絡攻擊的問題日益復雜且嚴峻，許多網(wǎng)絡安全專業(yè)人士正在努力尋找解決這一問題的方法。他們采取了多層防御措施，例如防火墻、殺毒軟件、多重身份驗證以及其他相關措施。然而，最復雜、持續(xù)時間最長的網(wǎng)絡攻擊主要是人為驅動的，這些網(wǎng)絡攻擊利用了防御者的人為錯誤。與此同時，大多數(shù)網(wǎng)絡防御卻都沒有考慮攻擊者的人為因素，例如：攻擊者的人性弱點和局限性。此外，大多數(shù)現(xiàn)有的傳統(tǒng)防御措施都專注于阻止可疑的網(wǎng)絡行為的發(fā)生，很少有人主動與可疑的攻擊者進行互動，以了解他們的特性、技能或目標，更不用說誘導他們的行為發(fā)生變化了。于此，IARPA提出大膽設想：我們是否能利用攻擊者的人性弱點和局限性，主動引導攻擊者并改變其行為，以此阻止和挫敗網(wǎng)絡攻擊？二項目目標由此，美國情報高級研究計劃局（IARPA）推出最新項目——“利用基于網(wǎng)絡心理學的網(wǎng)絡防御系統(tǒng)重塑網(wǎng)絡安全”（ReSCIND），就可用于主動挫敗網(wǎng)絡攻擊。該項目將網(wǎng)絡心理學防御措施納入其中，旨在通過開發(fā)一套新的網(wǎng)絡心理學防御系統(tǒng)來改善網(wǎng)絡安全，這些防御措施利用攻擊者的人性弱點，例如先天決策偏見和認知漏洞（CogVuls）等。三主要內(nèi)容ReSCIND項目專注于誘導或強化認知偏見或其他認知局限，以阻止和挫敗網(wǎng)絡攻擊。項目提案者提出了創(chuàng)新的解決方案，通過影響網(wǎng)絡攻擊者的決策來增加他們實施網(wǎng)絡攻擊的工作難度和所用資源，而不僅僅是試圖被動地檢測和阻止網(wǎng)絡上的可疑行為。(一)五大技術難點（1）識別并提供與網(wǎng)絡攻擊者相關的認知漏洞(CogVuls)的證據(jù)在ReSCIND項目中，認知漏洞包括認知和決策偏見、先天認知限制、情緒或精神狀態(tài)或可能導致網(wǎng)絡攻擊者的成功率或有效性降低的生理弱點。開發(fā)人員將通過理論和實驗研究，確定認知漏洞與網(wǎng)絡攻擊者的相關性，解釋個體之間的相關差異；生成一個結構化的視覺表示，將網(wǎng)絡攻擊者、網(wǎng)絡和外部環(huán)境的特征與認知漏洞進行映射對應。（2）理解、衡量和誘導網(wǎng)絡攻擊行為的變化項目開發(fā)人員將通過實驗確定哪些選定的認知漏洞、敏感元素和誘餌會對網(wǎng)絡攻擊行為產(chǎn)生可衡量的影響；開發(fā)利用網(wǎng)絡攻擊者的認知漏洞進行防御的方法；確定預測和影響以阻止攻擊者行為的新技術；開發(fā)能夠可靠地誘發(fā)或加劇認知漏洞的偏差觸發(fā)器（例如主機或網(wǎng)絡操作）。（3）開發(fā)基于網(wǎng)絡心理學的防御(CyphiDs)系統(tǒng)，影響網(wǎng)絡攻擊的早期和后期階段基于網(wǎng)絡心理學的防御系統(tǒng)將通過利用強大和可測量的認知漏洞，對網(wǎng)絡攻擊者的有效性和成功率產(chǎn)生的影響。項目開發(fā)人員將創(chuàng)建結構化的視覺表示，將認知漏洞和網(wǎng)絡心理學防御系統(tǒng)映射到防御目標，并對網(wǎng)絡攻擊行為產(chǎn)生可衡量的影響；實現(xiàn)基于網(wǎng)絡心理學的防御系統(tǒng)的邏輯和軟件，用于網(wǎng)絡范圍測試平臺的測試；演示該系統(tǒng)的有效性，以減緩或減少網(wǎng)絡攻擊的成功嘗試。（4）創(chuàng)建網(wǎng)絡特定的計算認知模型(C3M)，反映和預測攻擊者對防御系統(tǒng)干預后的行為變化項目開發(fā)人員需要開發(fā)、訓練和測試網(wǎng)絡特定的計算認知模型，該模型能夠反映和預測攻擊者行為，其可變性取決于認知漏洞；建模工作還應該根據(jù)攻擊者屬性、網(wǎng)絡和主機特征或情境因素來處理攻擊者行為的差異。（5）根據(jù)攻擊者行為，創(chuàng)建自適應的心理防御（APhiD）

項目開發(fā)人員將創(chuàng)建一個自適應防御系統(tǒng)，基于觀察到的攻擊行為，自動化地選擇CyphiD，以獨立地響應網(wǎng)絡攻擊者的行為，以及其他環(huán)境特征或網(wǎng)絡屬性；并且將開發(fā)APhiD算法；實現(xiàn)APhiD的邏輯和軟件，結合結構化視覺表示和先前實驗結果的相關結果，在網(wǎng)絡范圍測試臺中進行測試。(二)項目進度安排該項目分為三個研究階段如下表所示，目前尚處于招標啟動時期。第一階段時間為18個月，主要目標為識別與網(wǎng)絡攻擊者相關的認知漏洞，包括誘導、加劇和度量每個認知漏洞的方法。第二階段時間為15個月，主要目標是研究和開發(fā)基于網(wǎng)絡心理學的防御系統(tǒng)，能夠映射到網(wǎng)絡攻擊者屬性并且可以預測破壞整個網(wǎng)絡殺傷鏈的網(wǎng)絡攻擊行為，同時降低攻擊者的性能和成功率。第三階段時間為12個月，主要目標是利用先前階段的實驗結果和數(shù)據(jù)，開發(fā)自適應防御系統(tǒng)和特定于網(wǎng)絡的計算認知模型(C3M)，以反映和預測所提供的行為數(shù)據(jù)。表1ReSCIND項目時間節(jié)點及目標(三)三個階段主要內(nèi)容（1）1階段重點在于開發(fā)偏差傳感器與偏差觸發(fā)器第一階段旨在基礎科學研究和與網(wǎng)絡有關的人文學科研究實驗的基礎上，確定與網(wǎng)絡攻擊行為最相關的認知漏洞，包括誘導、加劇和測量它們的方法。具體而言，第一階段包括開發(fā)偏差傳感器和偏差觸發(fā)器。偏差傳感器旨在使用網(wǎng)絡數(shù)據(jù)檢測這些認知漏洞，而偏差觸發(fā)器的作用則是在網(wǎng)絡情況下誘導和強化這些認知漏洞。偏差傳感器將通過網(wǎng)絡防御者提供的數(shù)據(jù)來確定網(wǎng)絡攻擊者在多大程度上存在特定的認知漏洞。偏差傳感器將被開發(fā)成軟件組件，在網(wǎng)絡或主機上使用，這樣就可以獲得所需的網(wǎng)絡防御數(shù)據(jù)。第一階段的研究和開發(fā)還必須包括IARPA選擇的人類常見的兩個認知漏洞，即損失厭惡（人們傾向于避免損失，而不是獲得同等的收益）和代表性偏差（一種傾向是過分強調(diào)證據(jù)的代表性，而忽視證據(jù)發(fā)生的頻率），以及至少3個額外的認知漏洞。選擇標準將包括新穎性、多樣性、相關性、數(shù)量、科學嚴謹性、潛在影響等。項目開發(fā)人員將根據(jù)收集的觀察結果開發(fā)偏差觸發(fā)器，以與攻擊者進行交互或適應攻擊者，并在網(wǎng)絡領域創(chuàng)建誘導和利用每個認知漏洞的情景；并且初步開發(fā)一種可視化的表示（即概念地圖）來清楚地顯示認知漏洞、偏差傳感器和偏差觸發(fā)器、攻擊者的相關特征、網(wǎng)絡和外部環(huán)境以及各種網(wǎng)絡行為影響之間的關系。（2）2階段核心是開發(fā)用于鏈接CyphiDs與傳感器、觸發(fā)器的軟件和邏輯在第二階段，項目人員將開發(fā)基于網(wǎng)絡心理學的防御系統(tǒng)（CyphiDs）以及用于鏈接偏差傳感器和偏差觸發(fā)器的軟件和邏輯。CyphiD由一組針對特定認知漏洞或認知漏洞集群開發(fā)的偏差傳感器和偏差觸發(fā)器組成，如圖1所示。該偏差傳感器檢測認知漏洞的存在，基于偏差傳感器的輸出確定觸發(fā)，利用偏差觸發(fā)器來誘導、利用或加強認知漏洞。項目人員還將創(chuàng)建一個簡單的、定制的儀表板，以幫助網(wǎng)絡防御者理解偏差傳感器的發(fā)現(xiàn)(即所測量的每個認知漏洞的程度)和對CyphiDs的影響。在第二階段，項目人員將繼續(xù)更新他們的結構化的可視化表示，并在他們的軟件中實現(xiàn)相關部分，以演示在哪些條件下應該使用特定的CyphiD來應對網(wǎng)絡行為的影響。CyphiDs將在網(wǎng)絡范圍內(nèi)自我測試與迭代，項目人員將結果和對結果的解釋提交給IARPA。IARPA還將提供一個排行榜來跟蹤每個團隊的CyphiDs系統(tǒng)指標完成情況。圖1CyphiD概念圖：偏差傳感器、偏差觸發(fā)器和邏輯組合組成一個CyphiD（3）3階段主要是自適應與建模以及改進前兩個階段的成果第三階段的目標是自適應、建模和改進以前階段的研究成果，同時達到更高的效果規(guī)模。項目人員將開發(fā)自適應的心理信息防御（APhiD），它會隨著時間的推移自動選擇適當?shù)腃yphiD組合或序列如下圖2所示；還將根據(jù)迄今的實驗結果研究和開發(fā)特定于網(wǎng)絡的計算模型，該模型將敏感地反映和預測攻擊者的行為。APhiD必須通過創(chuàng)建智能算法（例如，專家系統(tǒng)、人工智能）來自主運行，以選擇CyphiD的最佳組合或序列。IARPA將為項目團隊提供一個帶注釋的數(shù)據(jù)集，用于訓練他們的APhiD，以及所有可用CyphiD，以供選擇。項目人員將使用IARPA提供的數(shù)據(jù)集和第一階段的人文學科研究實驗結果，來開發(fā)特定于網(wǎng)絡的計算認知模型（C3M）和APhiD。C3M將重點關注項目人員在第二階段檢查的認知漏洞。C3M的目標是概括人類行為模式，因為它與網(wǎng)絡攻擊場景中的人類決策和行為變化有關。圖2APhiD概念圖：多個Cyphid與邏輯組合形成APhiD，由邏輯決定在每個時間點使用哪個Cyphid四認識與研判(一)前期實驗性研究為項目開展奠定了很好的基礎雖然ReSCIND項目才剛剛開始，尚未選擇研究和開發(fā)該項目技術的執(zhí)行團隊，因此無法保證其像其他IARPA研究項目一樣最終取得成功。但是，據(jù)該項目的IARPA官方負責人金伯利·費格森·沃爾特（KimberlyFergusonWalter）博士透露：他之前的研究結果給了團隊很大的信心，例如關于誘餌（即防御者創(chuàng)建的虛構機器，作為分散、混淆和檢測攻擊者的方法）及其對網(wǎng)絡攻擊者的影響的實驗，發(fā)現(xiàn)欺騙手段對經(jīng)驗豐富的攻擊者十分有效。誘餌往往會減緩攻擊團隊的進展速度，迷惑他們，并觸發(fā)警報，使攻擊者暴露。這項技術只利用了一小部分潛在的相關認知偏見，但效果顯著。(二)防御方法相較于被動和靜態(tài)的傳統(tǒng)網(wǎng)絡安全手段更加積極主動ReSCIND項目的目標是研發(fā)新的網(wǎng)絡防御方法，但相較于被動和靜態(tài)的傳統(tǒng)網(wǎng)絡安全手段（比如不同的密碼或防火墻），該項目則更積極主動，更注重參與者。ReSCIND項目的研究人員將尋求利用攻擊者的認知漏洞，而不是僅僅是創(chuàng)建一種新的被動防御措施。具體而言，ReSCIND項目將通過開發(fā)一套新的基于網(wǎng)絡心理學的防御系統(tǒng)和自適應心理防御算法，使網(wǎng)絡心理學的防御系統(tǒng)自動化，以獨立地主動響應網(wǎng)絡攻擊者的行為。(三)ReSCIND項目的創(chuàng)新有望改變網(wǎng)絡對抗中的攻守雙方的局勢在技術日新月