IARPA：利用心理学进行主动网络防御

摘要：网络攻击的问题日益复杂且严峻，但目前我们应对网络攻击的手段大多以被动的检查和防御为主。针对这一问题，本文重点介绍了一种基于网络心理学相关知识的网络防御系统，该系统能够利用网络攻击者个人或团队的性格、认知以及所具备技能的局限性，主动与网络攻击者互动，以改变网络攻击者行为，最终挫败网络攻击。该防御系统的研发为网络防御系统的发展提供了新的方向。

关键词：美国，网络攻击，网络心理学，网络防御系统，ReSCIND

相关研究报告指出，针对美国个人、私营企业、地方和州政府以及联邦政府的网络攻击是一个普遍存在的问题，从挟持在线个人账户或企业账户以勒索赎金，到从数百万政府雇员和承包商那里窃取敏感的个人身份信息（PII），相关网络攻击问题经常让网络安全专家应接不暇。

网络攻击的问题日益复杂且严峻，许多网络安全专业人士正在努力寻找解决这一问题的方法。他们采取了多层防御措施，例如防火墙、杀毒软件、多重身份验证以及其他相关措施，即便如此，网络防御者还要另外花很多时间和精力防止敏感数据的泄露和丢失。

最复杂、持续时间最长的网络攻击主要是人为驱动的，这些网络攻击利用了防御者的人为错误。然而，大多数网络防御都没有考虑攻击者的人为因素，例如：攻击者的人性和局限性。此外，大多数现有的防御措施都专注于阻止可疑的网络行为，很少有人主动与可疑的攻击者进行互动，以了解他们的特性、技能或目标，更不用说诱导他们的行为发生变化了。这就引出了一个问题：我们是否能利用攻击者的人性和局限性，主动引导攻击者并改变其行为，以此阻止和挫败网络攻击？

事实证明，这是可行的。

美国情报高级研究计划局（IARPA）的最新项目之一就可用于主动挫败网络攻击，该项目名为“利用基于网络心理学的网络防御系统重塑网络安全”（ReSCIND），这一项目将网络心理学防御措施纳入其中。网络心理学是一个新兴的跨学科领域，它将人类行为和决策融入网络领域，使人们能够理解、预测和影响网络操作员的行为。网络心理学多用于在线广告、政治竞选、电子商务和在线游戏等领域，以此操纵他人的心理弱点成功获利。目前，网络心理学在网络防御领域的运用还不多。

“ReSCIND”项目

“ReSCIND”项目专注于诱导或强化认知偏见或其他认知局限，以阻止和挫败网络攻击。项目参与者提出了创新的解决方案，通过影响网络攻击者的决策来增加他们实施网络攻击的工作难度和所用资源，而不仅仅是试图被动地检测和阻止网络上的可疑行为。

“ReSCIND”项目所寻求的新方法包括：

1. 识别并提供与网络攻击者相关的认知漏洞（CogVuls）信息；
   

2. 了解、量化和诱导网络攻击行为的变化；
   

3. 开发影响网络攻击早期和晚期的网络心理学相关防御系统（CyphiDs）；
   

4. 创建反映和预测攻击者行为的网络特定计算认知模型（C3M）；
   

5. 研发适应性心理相关防御系统（APhiD），该防御根据观察到的攻击者行为自动设置CyphiD的首选序列。
   

“ReSCIND”项目旨在开发CyphiD，利用对攻击者决策、人类局限和认知偏见的理解来降低攻击效果。“ReSCIND”项目将通过探索在“网络杀伤链”（Cyber Kill Chain）的各个阶段操纵攻击者行为的新方法，重新平衡网络防御的固有不对称性。

如图1所示，“ReSCIND”项目将通过利用公认的认知漏洞（如决策偏见、心理模型探索法）来扩展网络防御工具包，为防御者提供急需的优势，这些漏洞可以被强化和操纵，以阻止网络攻击者。项目参与者将根据社会科学研究提出新的方法，并将CyphiD与可观察性（例如，环境特征、攻击者属性、任务背景）相关联，以有效破坏网络攻击行为的网络杀伤链各个阶段。

图1：“ReSCIND”项目在网络防御中所起作用的概念图

虽然“ReSCIND”项目的目标是研发新的网络防御方法，但相较于被动和静态的传统网络安全协议，该项目则更积极主动，更注重参与者。“ReSCIND”项目的研究人员将寻求利用攻击者的认知弱点（比如不同的密码或防火墙），而不是仅仅创建一种新的被动防御措施。具体而言，“ReSCIND”项目将通过开发一套新的基于网络心理学的防御系统，利用攻击者的局限性，如天生的决策偏见和认知弱点，来改善情报界的网络安全。

由于网络犯罪分子不断探索绕过网络防御的新方法，“ReSCIND”项目可能会让攻击行动变得更加困难。

“ReSCIND”项目负责人金伯利·费格森·沃尔特（Kimberly Ferguson Walter）博士认为：“通过消耗攻击者的时间和精力，'ReSCIND’项目最终将延迟并可能挫败网络攻击，并更快地使攻击者暴露。虽然分层网络防御必不可少，但我们也需要一种增强防御的新方法。”

由于“ReSCIND”项目才刚刚开始，尚未选择研究和开发该项目技术的执行团队，因此无法保证其像所有IARPA研究项目一样最终取得成功。然而，沃尔特博士引用了他之前关于诱饵（即防御者创建的虚构机器，作为分散、混淆和检测攻击者的方法）及其对网络攻击者的影响的实验，发现欺骗手段对经验丰富的攻击者十分有效。

诱饵往往会减缓攻击团队的进展速度，迷惑他们，并触发警报，使攻击者暴露。这项技术只利用了一小部分潜在的相关认知偏见，但效果显著。沃尔特博士说：“这些结果给了我很大的信心，我们会取得成功。”

“ReSCIND”项目已于2023年春季发布了广泛机构公告（BAA），并将暂时授予合同，其计划在年底前正式推出。该项目计划运行近四年，将通过六个月的项目审查以及明确的指标来衡量该项目成功与否。

渊亭防务是中国军事智能先行者和领导者。欢迎注册登录天网·实时防务情报智库（i.utenet.cn），获取百万篇国外专题研究、防务报告、军事影像、防务资讯等干货资料！