IARPA首次利用網(wǎng)絡(luò)心理學(xué)賦能網(wǎng)絡(luò)防御重塑安全

一發(fā)布背景(一)網(wǎng)絡(luò)心理學(xué)目前更多地運(yùn)用在網(wǎng)絡(luò)心理戰(zhàn)領(lǐng)域網(wǎng)絡(luò)心理學(xué)是一個新興的跨學(xué)科領(lǐng)域，它將人類行為和決策融入網(wǎng)絡(luò)領(lǐng)域，使人們能夠理解、預(yù)測和影響網(wǎng)絡(luò)操作員的行為。網(wǎng)絡(luò)心理學(xué)多用于網(wǎng)絡(luò)心理戰(zhàn)領(lǐng)域，網(wǎng)絡(luò)心理戰(zhàn)主要針對敵對國家的政府、民眾以及軍隊(duì)。一方面，通過大量的虛假信息誤導(dǎo)敵對國家政府和軍隊(duì)的決策層，使其產(chǎn)生誤判，做出錯誤的決定。所謂“兵不厭詐”，就是這個道理。另一方面，通過發(fā)布大量展示敵對國家軍隊(duì)損失慘重的視頻、圖片和相關(guān)文字，打擊對方的士氣、斗志，同時也鼓舞了本方的士氣、斗志。目前，網(wǎng)絡(luò)心理學(xué)在網(wǎng)絡(luò)防御領(lǐng)域的運(yùn)用還不多。(二)針對美國企業(yè)、政府的網(wǎng)絡(luò)攻擊是一個普遍存在的問題針對美國個人、私營企業(yè)、地方和州政府以及聯(lián)邦政府的網(wǎng)絡(luò)攻擊是一個普遍存在的問題，從挾持在線個人賬戶或企業(yè)賬戶以勒索贖金，到從數(shù)百萬政府雇員和承包商那里竊取敏感的個人身份信息，相關(guān)網(wǎng)絡(luò)攻擊問題經(jīng)常讓網(wǎng)絡(luò)安全專家應(yīng)接不暇。2020年末，“太陽風(fēng)”黑客事件震驚全球。黑客利用美國“太陽風(fēng)”公司的“獵戶網(wǎng)絡(luò)”管理平臺，成功入侵了美國財(cái)政部、國土安全部商務(wù)部、能源部等多家美國聯(lián)邦政府機(jī)構(gòu)網(wǎng)站。此外，還有英特爾、英偉達(dá)、思科、貝爾金以及VMware等約100家美國公司的網(wǎng)絡(luò)系統(tǒng)企業(yè)受到嚴(yán)重攻擊。(三)傳統(tǒng)防御措施更專注于被動阻止可疑網(wǎng)絡(luò)行為，缺乏主動防御網(wǎng)絡(luò)攻擊的問題日益復(fù)雜且嚴(yán)峻，許多網(wǎng)絡(luò)安全專業(yè)人士正在努力尋找解決這一問題的方法。他們采取了多層防御措施，例如防火墻、殺毒軟件、多重身份驗(yàn)證以及其他相關(guān)措施。然而，最復(fù)雜、持續(xù)時間最長的網(wǎng)絡(luò)攻擊主要是人為驅(qū)動的，這些網(wǎng)絡(luò)攻擊利用了防御者的人為錯誤。與此同時，大多數(shù)網(wǎng)絡(luò)防御卻都沒有考慮攻擊者的人為因素，例如：攻擊者的人性弱點(diǎn)和局限性。此外，大多數(shù)現(xiàn)有的傳統(tǒng)防御措施都專注于阻止可疑的網(wǎng)絡(luò)行為的發(fā)生，很少有人主動與可疑的攻擊者進(jìn)行互動，以了解他們的特性、技能或目標(biāo)，更不用說誘導(dǎo)他們的行為發(fā)生變化了。于此，IARPA提出大膽設(shè)想：我們是否能利用攻擊者的人性弱點(diǎn)和局限性，主動引導(dǎo)攻擊者并改變其行為，以此阻止和挫敗網(wǎng)絡(luò)攻擊？二項(xiàng)目目標(biāo)由此，美國情報(bào)高級研究計(jì)劃局（IARPA）推出最新項(xiàng)目——“利用基于網(wǎng)絡(luò)心理學(xué)的網(wǎng)絡(luò)防御系統(tǒng)重塑網(wǎng)絡(luò)安全”（ReSCIND），就可用于主動挫敗網(wǎng)絡(luò)攻擊。該項(xiàng)目將網(wǎng)絡(luò)心理學(xué)防御措施納入其中，旨在通過開發(fā)一套新的網(wǎng)絡(luò)心理學(xué)防御系統(tǒng)來改善網(wǎng)絡(luò)安全，這些防御措施利用攻擊者的人性弱點(diǎn)，例如先天決策偏見和認(rèn)知漏洞（CogVuls）等。三主要內(nèi)容ReSCIND項(xiàng)目專注于誘導(dǎo)或強(qiáng)化認(rèn)知偏見或其他認(rèn)知局限，以阻止和挫敗網(wǎng)絡(luò)攻擊。項(xiàng)目提案者提出了創(chuàng)新的解決方案，通過影響網(wǎng)絡(luò)攻擊者的決策來增加他們實(shí)施網(wǎng)絡(luò)攻擊的工作難度和所用資源，而不僅僅是試圖被動地檢測和阻止網(wǎng)絡(luò)上的可疑行為。(一)五大技術(shù)難點(diǎn)（1）識別并提供與網(wǎng)絡(luò)攻擊者相關(guān)的認(rèn)知漏洞(CogVuls)的證據(jù)在ReSCIND項(xiàng)目中，認(rèn)知漏洞包括認(rèn)知和決策偏見、先天認(rèn)知限制、情緒或精神狀態(tài)或可能導(dǎo)致網(wǎng)絡(luò)攻擊者的成功率或有效性降低的生理弱點(diǎn)。開發(fā)人員將通過理論和實(shí)驗(yàn)研究，確定認(rèn)知漏洞與網(wǎng)絡(luò)攻擊者的相關(guān)性，解釋個體之間的相關(guān)差異；生成一個結(jié)構(gòu)化的視覺表示，將網(wǎng)絡(luò)攻擊者、網(wǎng)絡(luò)和外部環(huán)境的特征與認(rèn)知漏洞進(jìn)行映射對應(yīng)。（2）理解、衡量和誘導(dǎo)網(wǎng)絡(luò)攻擊行為的變化項(xiàng)目開發(fā)人員將通過實(shí)驗(yàn)確定哪些選定的認(rèn)知漏洞、敏感元素和誘餌會對網(wǎng)絡(luò)攻擊行為產(chǎn)生可衡量的影響；開發(fā)利用網(wǎng)絡(luò)攻擊者的認(rèn)知漏洞進(jìn)行防御的方法；確定預(yù)測和影響以阻止攻擊者行為的新技術(shù)；開發(fā)能夠可靠地誘發(fā)或加劇認(rèn)知漏洞的偏差觸發(fā)器（例如主機(jī)或網(wǎng)絡(luò)操作）。（3）開發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御(CyphiDs)系統(tǒng)，影響網(wǎng)絡(luò)攻擊的早期和后期階段基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)將通過利用強(qiáng)大和可測量的認(rèn)知漏洞，對網(wǎng)絡(luò)攻擊者的有效性和成功率產(chǎn)生的影響。項(xiàng)目開發(fā)人員將創(chuàng)建結(jié)構(gòu)化的視覺表示，將認(rèn)知漏洞和網(wǎng)絡(luò)心理學(xué)防御系統(tǒng)映射到防御目標(biāo)，并對網(wǎng)絡(luò)攻擊行為產(chǎn)生可衡量的影響；實(shí)現(xiàn)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)的邏輯和軟件，用于網(wǎng)絡(luò)范圍測試平臺的測試；演示該系統(tǒng)的有效性，以減緩或減少網(wǎng)絡(luò)攻擊的成功嘗試。（4）創(chuàng)建網(wǎng)絡(luò)特定的計(jì)算認(rèn)知模型(C3M)，反映和預(yù)測攻擊者對防御系統(tǒng)干預(yù)后的行為變化項(xiàng)目開發(fā)人員需要開發(fā)、訓(xùn)練和測試網(wǎng)絡(luò)特定的計(jì)算認(rèn)知模型，該模型能夠反映和預(yù)測攻擊者行為，其可變性取決于認(rèn)知漏洞；建模工作還應(yīng)該根據(jù)攻擊者屬性、網(wǎng)絡(luò)和主機(jī)特征或情境因素來處理攻擊者行為的差異。（5）根據(jù)攻擊者行為，創(chuàng)建自適應(yīng)的心理防御（APhiD）

項(xiàng)目開發(fā)人員將創(chuàng)建一個自適應(yīng)防御系統(tǒng)，基于觀察到的攻擊行為，自動化地選擇CyphiD，以獨(dú)立地響應(yīng)網(wǎng)絡(luò)攻擊者的行為，以及其他環(huán)境特征或網(wǎng)絡(luò)屬性；并且將開發(fā)APhiD算法；實(shí)現(xiàn)APhiD的邏輯和軟件，結(jié)合結(jié)構(gòu)化視覺表示和先前實(shí)驗(yàn)結(jié)果的相關(guān)結(jié)果，在網(wǎng)絡(luò)范圍測試臺中進(jìn)行測試。(二)項(xiàng)目進(jìn)度安排該項(xiàng)目分為三個研究階段如下表所示，目前尚處于招標(biāo)啟動時期。第一階段時間為18個月，主要目標(biāo)為識別與網(wǎng)絡(luò)攻擊者相關(guān)的認(rèn)知漏洞，包括誘導(dǎo)、加劇和度量每個認(rèn)知漏洞的方法。第二階段時間為15個月，主要目標(biāo)是研究和開發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)，能夠映射到網(wǎng)絡(luò)攻擊者屬性并且可以預(yù)測破壞整個網(wǎng)絡(luò)殺傷鏈的網(wǎng)絡(luò)攻擊行為，同時降低攻擊者的性能和成功率。第三階段時間為12個月，主要目標(biāo)是利用先前階段的實(shí)驗(yàn)結(jié)果和數(shù)據(jù)，開發(fā)自適應(yīng)防御系統(tǒng)和特定于網(wǎng)絡(luò)的計(jì)算認(rèn)知模型(C3M)，以反映和預(yù)測所提供的行為數(shù)據(jù)。表1ReSCIND項(xiàng)目時間節(jié)點(diǎn)及目標(biāo)(三)三個階段主要內(nèi)容（1）1階段重點(diǎn)在于開發(fā)偏差傳感器與偏差觸發(fā)器第一階段旨在基礎(chǔ)科學(xué)研究和與網(wǎng)絡(luò)有關(guān)的人文學(xué)科研究實(shí)驗(yàn)的基礎(chǔ)上，確定與網(wǎng)絡(luò)攻擊行為最相關(guān)的認(rèn)知漏洞，包括誘導(dǎo)、加劇和測量它們的方法。具體而言，第一階段包括開發(fā)偏差傳感器和偏差觸發(fā)器。偏差傳感器旨在使用網(wǎng)絡(luò)數(shù)據(jù)檢測這些認(rèn)知漏洞，而偏差觸發(fā)器的作用則是在網(wǎng)絡(luò)情況下誘導(dǎo)和強(qiáng)化這些認(rèn)知漏洞。偏差傳感器將通過網(wǎng)絡(luò)防御者提供的數(shù)據(jù)來確定網(wǎng)絡(luò)攻擊者在多大程度上存在特定的認(rèn)知漏洞。偏差傳感器將被開發(fā)成軟件組件，在網(wǎng)絡(luò)或主機(jī)上使用，這樣就可以獲得所需的網(wǎng)絡(luò)防御數(shù)據(jù)。第一階段的研究和開發(fā)還必須包括IARPA選擇的人類常見的兩個認(rèn)知漏洞，即損失厭惡（人們傾向于避免損失，而不是獲得同等的收益）和代表性偏差（一種傾向是過分強(qiáng)調(diào)證據(jù)的代表性，而忽視證據(jù)發(fā)生的頻率），以及至少3個額外的認(rèn)知漏洞。選擇標(biāo)準(zhǔn)將包括新穎性、多樣性、相關(guān)性、數(shù)量、科學(xué)嚴(yán)謹(jǐn)性、潛在影響等。項(xiàng)目開發(fā)人員將根據(jù)收集的觀察結(jié)果開發(fā)偏差觸發(fā)器，以與攻擊者進(jìn)行交互或適應(yīng)攻擊者，并在網(wǎng)絡(luò)領(lǐng)域創(chuàng)建誘導(dǎo)和利用每個認(rèn)知漏洞的情景；并且初步開發(fā)一種可視化的表示（即概念地圖）來清楚地顯示認(rèn)知漏洞、偏差傳感器和偏差觸發(fā)器、攻擊者的相關(guān)特征、網(wǎng)絡(luò)和外部環(huán)境以及各種網(wǎng)絡(luò)行為影響之間的關(guān)系。（2）2階段核心是開發(fā)用于鏈接CyphiDs與傳感器、觸發(fā)器的軟件和邏輯在第二階段，項(xiàng)目人員將開發(fā)基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)（CyphiDs）以及用于鏈接偏差傳感器和偏差觸發(fā)器的軟件和邏輯。CyphiD由一組針對特定認(rèn)知漏洞或認(rèn)知漏洞集群開發(fā)的偏差傳感器和偏差觸發(fā)器組成，如圖1所示。該偏差傳感器檢測認(rèn)知漏洞的存在，基于偏差傳感器的輸出確定觸發(fā)，利用偏差觸發(fā)器來誘導(dǎo)、利用或加強(qiáng)認(rèn)知漏洞。項(xiàng)目人員還將創(chuàng)建一個簡單的、定制的儀表板，以幫助網(wǎng)絡(luò)防御者理解偏差傳感器的發(fā)現(xiàn)(即所測量的每個認(rèn)知漏洞的程度)和對CyphiDs的影響。在第二階段，項(xiàng)目人員將繼續(xù)更新他們的結(jié)構(gòu)化的可視化表示，并在他們的軟件中實(shí)現(xiàn)相關(guān)部分，以演示在哪些條件下應(yīng)該使用特定的CyphiD來應(yīng)對網(wǎng)絡(luò)行為的影響。CyphiDs將在網(wǎng)絡(luò)范圍內(nèi)自我測試與迭代，項(xiàng)目人員將結(jié)果和對結(jié)果的解釋提交給IARPA。IARPA還將提供一個排行榜來跟蹤每個團(tuán)隊(duì)的CyphiDs系統(tǒng)指標(biāo)完成情況。圖1CyphiD概念圖：偏差傳感器、偏差觸發(fā)器和邏輯組合組成一個CyphiD（3）3階段主要是自適應(yīng)與建模以及改進(jìn)前兩個階段的成果第三階段的目標(biāo)是自適應(yīng)、建模和改進(jìn)以前階段的研究成果，同時達(dá)到更高的效果規(guī)模。項(xiàng)目人員將開發(fā)自適應(yīng)的心理信息防御（APhiD），它會隨著時間的推移自動選擇適當(dāng)?shù)腃yphiD組合或序列如下圖2所示；還將根據(jù)迄今的實(shí)驗(yàn)結(jié)果研究和開發(fā)特定于網(wǎng)絡(luò)的計(jì)算模型，該模型將敏感地反映和預(yù)測攻擊者的行為。APhiD必須通過創(chuàng)建智能算法（例如，專家系統(tǒng)、人工智能）來自主運(yùn)行，以選擇CyphiD的最佳組合或序列。IARPA將為項(xiàng)目團(tuán)隊(duì)提供一個帶注釋的數(shù)據(jù)集，用于訓(xùn)練他們的APhiD，以及所有可用CyphiD，以供選擇。項(xiàng)目人員將使用IARPA提供的數(shù)據(jù)集和第一階段的人文學(xué)科研究實(shí)驗(yàn)結(jié)果，來開發(fā)特定于網(wǎng)絡(luò)的計(jì)算認(rèn)知模型（C3M）和APhiD。C3M將重點(diǎn)關(guān)注項(xiàng)目人員在第二階段檢查的認(rèn)知漏洞。C3M的目標(biāo)是概括人類行為模式，因?yàn)樗c網(wǎng)絡(luò)攻擊場景中的人類決策和行為變化有關(guān)。圖2APhiD概念圖：多個Cyphid與邏輯組合形成APhiD，由邏輯決定在每個時間點(diǎn)使用哪個Cyphid四認(rèn)識與研判(一)前期實(shí)驗(yàn)性研究為項(xiàng)目開展奠定了很好的基礎(chǔ)雖然ReSCIND項(xiàng)目才剛剛開始，尚未選擇研究和開發(fā)該項(xiàng)目技術(shù)的執(zhí)行團(tuán)隊(duì)，因此無法保證其像其他IARPA研究項(xiàng)目一樣最終取得成功。但是，據(jù)該項(xiàng)目的IARPA官方負(fù)責(zé)人金伯利·費(fèi)格森·沃爾特（KimberlyFergusonWalter）博士透露：他之前的研究結(jié)果給了團(tuán)隊(duì)很大的信心，例如關(guān)于誘餌（即防御者創(chuàng)建的虛構(gòu)機(jī)器，作為分散、混淆和檢測攻擊者的方法）及其對網(wǎng)絡(luò)攻擊者的影響的實(shí)驗(yàn)，發(fā)現(xiàn)欺騙手段對經(jīng)驗(yàn)豐富的攻擊者十分有效。誘餌往往會減緩攻擊團(tuán)隊(duì)的進(jìn)展速度，迷惑他們，并觸發(fā)警報(bào)，使攻擊者暴露。這項(xiàng)技術(shù)只利用了一小部分潛在的相關(guān)認(rèn)知偏見，但效果顯著。(二)防御方法相較于被動和靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全手段更加積極主動ReSCIND項(xiàng)目的目標(biāo)是研發(fā)新的網(wǎng)絡(luò)防御方法，但相較于被動和靜態(tài)的傳統(tǒng)網(wǎng)絡(luò)安全手段（比如不同的密碼或防火墻），該項(xiàng)目則更積極主動，更注重參與者。ReSCIND項(xiàng)目的研究人員將尋求利用攻擊者的認(rèn)知漏洞，而不是僅僅是創(chuàng)建一種新的被動防御措施。具體而言，ReSCIND項(xiàng)目將通過開發(fā)一套新的基于網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)和自適應(yīng)心理防御算法，使網(wǎng)絡(luò)心理學(xué)的防御系統(tǒng)自動化，以獨(dú)立地主動響應(yīng)網(wǎng)絡(luò)攻擊者的行為。(三)ReSCIND項(xiàng)目的創(chuàng)新有望改變網(wǎng)絡(luò)對抗中的攻守雙方的局勢在技術(shù)日新月