DARPA近年网络空间安全领域主要项目梳理

前言

2021年5月18日，《美国创新与竞争法案》（United States Innovation and Competition Act of 2021）通过，由芯片和ORAN5G紧急拨款、《无尽前沿法案》、《2021战略竞争法案》、国土安全和政府事务委员会相关条款、《2021迎接中国挑战法案》和其他事项六部分构成。该法案进一步强化了《无尽前沿法案》提出的在科技领域赢得与中国的竞争的目标，提出了十大科技创新领域，其中包括网络空间安全。基于此背景，编者梳理了美国防部、DARPA、国土安全部近年网络空间安全领域的主要项目，以此厘清美在网络空间安全领域的研发部署重点，供参阅。

美国国防部高级研究计划局（DARPA）的网络安全技术研发部署特别强调创新，强调探索新技术路线，以新思路应对网络安全的旧问题与新问题。近年DARPA网络安全技术研发部署重点包括高效攻击溯源等威慑类技术，脆弱性分析、高安全系统设计、安全形式化设计与验证、基于密码的系统保护和大规模攻击缓解等保护类技术，新型攻击高速准确检测和供应链隐藏威胁检测等检测类技术以及系统弹性增强和系统快速恢复等响应类技术。具体如下：

一、DARPA网络安全技术研发部署

DARPA网络安全技术研发部署主要分为威慑类技术、保护类技术、检测类技术和响应类技术[1]。

(一) 威慑（Deter）类技术研发部署

威慑类技术，通过增加攻击者的成本、减少其收益、提升其风险和不确定性来遏止恶意网络活动。

DARPA在威慑类技术的研发部署重点在于高效攻击溯源技术。

DARPA在威慑类技术的研发部署：

1. 高效攻击溯源技术

1.1 Active Social Engineering Defense (ASED)

ASED（社会工程攻击主动防御），自动化地诱导出实施社会工程攻击者的信息，以此识别、破坏和调查攻击，干预用户与攻击者之间的通信流程，主动检测攻击行为，调查攻击者并溯源。

1.2 Enhanced Attribution (EA)

EA（增强的攻击溯源），通过大范围协作，提供与共享与攻击相关的多种信息，增强攻击溯源能力。

(二) 保护（Protect）类技术研发部署

保护类技术，促进组件、系统、用户和关键基础设施能够有效抵抗恶意网络活动，保障保密性、完整性、可用性。

DARPA在保护类技术的研发部署重点在于脆弱性分析技术、高安全系统设计技术、安全形式化设计与验证技术、基于密码的系统保护技术、大规模攻击缓解技术。

DARPA在保护类技术的研发部署：

1. 脆弱性分析技术

1.1 Automated Rapid Certification Of Software (ARCOS)

ARCOS（软件系统安全风险自动评估），迅速地对软件系统的安全风险进行自动化评估。

1.2 Computers and Humans Exploring Software Security (CHESS)

CHESS（人机协作的软件系统安全漏洞高效发现与修补），发展基于计算系统与人工高效合作的，具备高度可扩展性，能够迅速发现并且修补所有种类软件漏洞的能力。

1.3 Space/Time Analysis for Cybersecurity (STAC)

STAC（网络空间安全的时空分析），识别算法中资源使用行为的时空特性中的安全漏洞，尤其是算法复杂度漏洞以及边信道漏洞。

1.4 Side Channel Attack Testbench Estimator (SCATE)

SCATE（芯片设计阶段边信道检测），在芯片设计阶段进行边信道检测，使得芯片能够在设计阶段即修改完善，避免边信道攻击出现。

2. 高安全系统设计技术

2.1 Building Resource Adaptive Software Systems (BRASS)

BRASS（自主适应底层依赖资源变动的软件系统），对设计与实现软件系统的方法进行基础性创新，使其能够在其所依赖的物理、逻辑资源变化时无感，持续正常运行。

2.2 Clean-slate design of Resilient, Adaptive, Secure Hosts (CRASH)

CRASH（弹性、自适应、安全计算系统白板设计），设计新型计算系统，使其具备针对攻击的高度抵抗力，能够在被攻击后提供关键服务，自动从以前的攻击中学习，从而主动防御未来的攻击，能够从攻击中自动恢复。

2.3 Configuration Security (ConSec)

ConSec（配置安全），自动化地生成、部署、强制执行设备与系统的配置项，使其能够缩减攻击面。将所有关联的设备与系统的配置看作一个大系统的组成部分，以此整体视角保障配置安全。

2.4 Cyber Assured Systems Engineering (CASE)

CASE（嵌入式计算系统内生安全），发展设计、分析与确证工具，允许系统工程师在嵌入式计算系统的设计阶段有机融入内生安全弹性机制，在应对攻击时具备抵抗力。

2.5 Guaranteeing AI Robustness Against Deception (GARD)

GARD（人工智能对抗性欺骗鲁棒能力保障），为人工智能对抗性欺骗鲁棒能力保障奠定理论基础，基于理论指导，识别人工智能易受欺骗的原因，指导能够适用于多种对抗样本攻击的防御技术研究。

2.6 Quantifying Ensemble Diversity for Robust Machine Learning (QED for RML)

QED for RML（基于集成多样化机制的机器学习对抗性鲁棒能力度量），开展理论基础研究，对集成多样化机制机理深入理解，对其防御能力进行度量，并指导更高效的防御技术研究。

2.7 High-Assurance Cyber Military Systems (HACSM)

HACSM（网络空间军事系统安全高保障），以白板设计哲学，重新设计高安全的CPS系统，基于形式化安全验证等方法，构建军事系统安全高保障能力。

2.8 Resilient Anonymous Communication for Everyone (RACE)

RACE（高弹性强匿名通信系统），研究强匿名通信系统构建技术，即便系统数据与通信流程被攻破，也不能破坏通信双方匿名性。

2.9 SAFEWARE

SAFEWARE（防逆向工程分析的软件），研究新型软件混淆技术，使其安全好处能够度量，基于困难数学问题给逆向分析制造障碍。

2.10 System Security Integration Through Hardwareand Firmware (SSITH)

SSITH（硬件固件集成的系统安全），建立硬件安全架构，开发相应的设计工具，使得片上系统设计人员能够保护其硬件，使得系统免受硬件漏洞利用的攻击。

3. 安全形式化设计与验证技术

3.1 Safe Documents (SafeDocs)

SafeDocs（高安全语法分析器），基于形式化验证方法，构建高安全保障的语法分析器。

4. 基于密码的系统保护技术

4.1 Securing Information for Encrypted Verificationand Evaluation (SIEVE)

SIEVE（加密确证与评估中的信息安全保护），突破零知识证明技术扩展性瓶颈，使其能够用于大规模、复杂事务场景。

5. 大规模攻击缓解技术

5.1 Extreme DDoS Defense (XD3)

XD3（极端DDoS攻击防御），开展创新研究，基于包括分散计算设施、设施特征伪装、终端系统自适应缓解等在内的方法，增强多类型DDoS的防御能力。

5.2 Harnessing Autonomy for Countering Cyberadversary Systems (HACCS)

HACCS（大规模僵尸网络远程销毁），通过向大规模僵尸网络注入自动软件，使其能够自动销毁僵尸网络中的主机被感染的恶意软件。

（三）检测（Detect）类技术研发部署

检测类技术，高效地检测甚至预测对手决策和活动。

DARPA在检测类技术的研发部署重点在于新型攻击高速准确检测技术、供应链隐藏威胁检测技术。

DARPA在检测类技术的研发部署：

1. 新型攻击高速准确检测技术

1.1 Cyber-Hunting at Scale(CHASE)

CHASE（大规模网络空间攻击快速检测与响应），发展自动化工具，能够检测、刻画新型攻击，采集相关数据，自动构造防御机制并在环境中部署。检测、防御、响应流程在适当的人工干预下，尽量自动化，以机器速度防御攻击。

1.2 Rapid Attack Detection, Isolation and Characterization Systems (RADICS)

RADICS（攻击快速检测、隔离与特征描述系统），基于态势感知、网络隔离、攻击特征迅速确认等技术，在电力基础设施遭受攻击后，能够迅速恢复。

1.3 Transparent Computing (TC)

TC（透明计算），为系统组件交互过程提供可视性，能够利用系统组件交互细节数据，辅助高隐蔽性攻击的发现。

2. 供应链隐藏威胁检测技术

2.1 Vetting Commodity IT Software and Firmware (VET)

VET（系统供应链中软件与固件安全隐患发现），在供应链中开展系统恶意软件与固件发现研究，快速发现隐藏的恶意功能。

2.2 Microsystems Exploration: Safeguards against Hidden Effects and Anomalous Trojans in Hardware (SHEATH)

SHEATH（硬件隐蔽木马检测），基于多模式感知、边信息提取、触发机制发现等综合方法，开展适用于复杂电路板卡上的硬件隐蔽木马检测技术研究，具备实时检测能力和低误报率。

（四）响应（Respond）类技术研发部署

响应类技术，防御者、防护措施和基础设施通过高效地适应破坏、抵抗恶意活动、从损害中恢复、在恢复期间维持运转，以及调整以挫败未来的类似活动，对恶意网络活动做出动态反应。

DARPA在响应类技术的研发部署重点在于系统弹性技术、系统快速恢复技术。

DARPA在响应类技术的研发部署：

1. 系统弹性技术

1.1 Clean-slate design of Resilient, Adaptive, Secure Hosts (CRASH)

CRASH（弹性、自适应、安全计算系统白板设计），设计新型计算系统，使其具备针对攻击的高度抵抗力，能够在被攻击后提供关键服务，自动从以前的攻击中学习，从而主动防御未来的攻击，能够从攻击中自动恢复。

2. 系统快速恢复技术

2.1 Cyber Fault-tolerant Attack Recovery (CFAR)

CFAR（网络空间攻击容忍与恢复），提供能够直接用于当前软硬件系统的，能够显著提高其弹性能力的技术。

2.2 Rapid Attack Detection, Isolation and Characterization Systems (RADICS)

RADICS（攻击快速检测、隔离与特征描述系统），基于态势感知、网络隔离、攻击特征迅速确认等技术，在电力基础设施遭受攻击后，能够迅速恢复。

二、建议加快发展安全防御机制形式化分析验证技术

安全防御机制形式化分析验证技术是与当前的安全防御分析验证技术完全不同的一类技术，强调严密性、可证明性等。应用该技术对安全防御效能所给出的结论是能够达到的最强结论。该技术正处于迅速发展过程中，是安全顶级会议等研究界当前关注重点，也是微软等业界重量级企业安全部门重点发展的技术。

建议重点关注本研究第一部分中的 ARCOS、CASE、HACSM和SafeDocs等项目，尽快掌握安全防御机制形式化分析验证技术。重点针对我们的安全防御系统中的关键部分，如密码模块、核心协议等，先期发展针对性的形式化分析验证技术，对其安全效能进行形式化证明，保证其安全性。后期则重点发展针对更复杂系统的高效能形式化分析验证技术，并以安全服务的形式对外提供安全分析验证服务。

参考资料：

[1] https://www.darpa.mil

声明：本文来自网安思考，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。