新年的一年开启了，希望在学习的路上可以坚持。

2024年2月，美国情报高级研究计划局（IARPA）与佩拉顿实验室、雷神技术研究中心等五家机构签订了为期四年的“利用网络心理学重塑信息网络防御安全”（ReSCIND：Reimagining Security with Cyberpsychology-Informed Network Defenses）合同，标志着该项目经过近一年的酝酿正式启动。ReSCIND将注意力落脚在“攻击者的决策心理”上，基于认知偏差相关理论和研究，通过将传统的网络安全与网络心理学相结合，目标是创新设计出一种新的网络安全理念和技术，以期在网络攻击的整个阶段影响和操纵网络攻击者的决策。众所周知，识别并拦截网络攻击并非易事，发现并溯源攻击者更是难上加难，而ReSCIND则是要“左右”攻击者，这其中的体系复杂度、跨界融合度、技术难度可想而知，不仅仅是知识的较量，也是思维的博弈。该项目若能成功实施，这种专注于攻击主体—“人”的新颖方法将大大增强分层网络防御能力，在某种情况下防御者看攻击者可能如“上帝视角”一般。从一年前发布的广泛机构公告（BAA）看，该项目具有较高的创新性和挑战性，从近日中标的承研机构看具有较高的科研性。

然而，在网络空间这个虚拟环境中，攻击者的背景、动机、身份往往是多种多样的，主体有的可能是个体，可能是组织，目的可能是勒索、可能是窃密、可能是破坏。ReSCIND项目要做到因人而异，要结合不同时间不同环境作出正确的判断，这其中的难度可想可知。只有在“长期的深入研究、反复的技术迭代，模型的边研边用、创新的研发机制、科学的管理模式”下有可能实战化。从该项目公告发布以来，网上能够获得的参考信息多来源于公告技术文档，预算等其他信息皆难寻踪迹，现在确定了承研机构但信息依然有限，后续是否可以有更多的项目参考信息，有待跟踪。但无论怎样，这个项目的出发和创新点确实挺吸引人。

一、心理学“认知偏差”为项目理论基础

认知偏差是一种即使通过合理的标准判断仍然会导致系统的偏差的行为趋势，它通常作为心理学家和行为经济学家的研究对象。认知偏差是一把双刃剑，在正确的环境下会带来好的效果，而适用到错误的环境时就导致有害结果。这也是ReSCIND项目的心理学理论基础之一。项目经理介绍材料里引用了维基百科中的188条认知偏差类型如下图所示。

图1 认知偏差类型

研究显示，导致认知偏差出现的四个主要原因及出现的偏差反应如下：

一是信息过载，大脑只能选择性地接受信息。例如曝光效应（指人们会偏好自己熟悉的事物），就是由于人类每天会接触海量的信息，人类的大脑会选择性地接受那些已经熟悉或者被反复提起过的信息。

二是记忆力有限，仅会记住部分信息。例如峰终法则，即由于大脑只会对整个事件中相较重要的信息印象深刻（体验的高峰处和结尾处），之后也会通过这些关键信息看待整个事件。

三是信息意义不明确，大脑自动补充缺失的部分。例如赌徒谬误（指认为一个随机事件的已发生概率和未发生概率之间有关联，例如投硬币，如果前面好多次都是正面朝上，那么人们会不理智地认为下一次大概率是反面朝上，但其实概率依旧是50%），就是由于人类习惯凭借过往的记忆去看待眼前的不确定事物，脑补了与真实情况有偏差的信息。

四是需要迅速反应与行动。例如模糊偏误效应（指人们倾向避免未知，决策时避开资讯不足的选项），就是由于人类在不断进化中为了避免错失机遇等形成了想要快速做出反应的习惯，所以在决定时会更倾向简单和确定的选项，而非复杂和模糊的选项。

二、“攻心为上，影响攻击者决策”的总体要求

ReSCIND项目侧重于诱导或强化认知偏差或其他认知限制，旨在通过影响网络攻击者的决策，增加其攻击的成本和资源投入，减弱攻击效果。探索在网络杀伤链（Cyber Kill Chain）的各个阶段操纵攻击者行为的新方法，重新平衡网络防御的固有不对称性，对攻击者实施网络惩罚，增加攻击者当前和未来实施网络攻击的难度。

图2 ReSCIND项目效果图

三、“识别、诱导、干预、自动”层层递进的技术难点

ReSCIND项目要求构建成熟的行为科学结构，建立有用的度量标准，提出有效的可量化评估方法，掌握人类的认知和决策理论，开发影响网络行为的方法等。具体技术难点主要体现在以下五个方面：

一是识别网络攻击行为者的认知脆弱性并提供证据。认知脆弱性(CogVuls：Cognitive Vulnerabilities)主要包括认知和决策偏见、先天认知限制、情绪或精神状态或可能导致网络攻击者的成功率或有效性降低的生理弱点。ReSCIND项目要求通过理论和实验研究，确定认知脆弱性与网络攻击者的相关性，解释个体之间的相关差异；生成结构化的视觉表示，将网络攻击者、网络和外部环境的特征与认知脆弱性进行映射对应。

二是测量网络攻击的行为并成功诱导。ReSCIND项目要求通过实验确定会对网络攻击行为产生可衡量影响的认知脆弱性、敏感元素和诱饵；开发利用网络攻击者认知脆弱性进行防御的方法；确定预测和影响以阻止攻击者行为的新技术；开发能够可靠地诱发或加剧认知脆弱性的偏差触发器（例如主机或网络操作）。

三是开发基于网络心理学的防御系统。项目将开发网络心理学防御（CyphiD：Cyberpsychology-informed Defenses）系统。通过利用强大和可测量的认知脆弱性，对网络攻击者的有效性和成功率产生影响。设计结构化视觉界面，将认知脆弱性和网络心理学信息防御映射到防御目标和对网络攻击行为的可衡量影响；设计开发基于网络心理学的防御系统的逻辑和软件等。

四是创建反映和预测攻击者对防御系统干预后的行为变化的计算认知模型(C3M)。项目需要开发、训练和测试网络特定的计算认知模型，该模型能够反映和预测攻击者行为，其可变性取决于认知脆弱性；建模应该根据攻击者属性、网络和主机特征或情境因素来处理其行为的差异。

五是开发自适应的心理防御系统。项目将开发自适应的心理防御（APhiD：Adaptative Psychology-informed Defenses）系统，基于观察到的攻击行为，自动化地选择CyphiD，以独立地响应网络攻击者的行为，以及其他环境特征或网络属性。

四、“传感器、逻辑结构、智能算法”为主的研发重点

ReSCIND项目的研发重点主要包括以下：

一是研发偏差传感器与偏差触发器。偏差传感器是在网络或主机上使用的软件组件，以获得所需的网络防御数据。通过网络防御者提供的数据来确定网络攻击者在多大程度上存在特定的认知脆弱性。偏差触发器的作用则是在网络情况下诱导和强化这些认知脆弱性。

二是研发用于链接网络心理学防御系统传感器、触发器的软件和逻辑。CyphiD由一组针对特定认知脆弱性或认知脆弱性集群开发的偏差传感器和偏差触发器组成。偏差传感器检测认知脆弱性的存在，基于偏差传感器的输出确定触发，利用偏差触发器来诱导、利用或加强认知脆弱性。项目人员还将创建一个简单的、定制的仪表板，以帮助网络防御者理解偏差传感器所测量的每个认知脆弱性程度及其影响。

图3 CyphiD概念图

三是研发智能算法实现自主运行和适应。在前期研究和开发测试的基础上，开发自适应的心理信息防御（APhiD：Adaptative Psychology-informed Defenses），通过创建智能算法（例如，专家系统、人工智能），自动选择适当的CyphiD组合或序列，敏感地反映和预测攻击者的行为。

图4 APhiD概念图

五、“创新企业、投资机构和国家实验室”强强联合的承研

2023年，美国情报高级研究计划局（IARPA）在广泛机构公告（BAA）中提出，强烈鼓励投标者之间的合作结成研究团队。团队要求是多学科的，可能包括行为科学、认知心理学、防御性网络作战、网络攻击建模、人工智能和自适应系统、统计数据分析、数学建模、软件开发和工程、犯罪学、认知和神经科学、人为因素工程、人机交互、计算机安全和网络安全、认知建模等。

2024年，IARPA将ReSCIND合同授予了查尔斯河分析公司（Charles River Analytics, Inc）、GrammaTech公司、佩拉顿实验室（Peraton Labs）、雷神技术研究中心（Raytheon Technologies Research Center）和斯坦福国际研究院（SRI International）。这五家企业各有特色，有老牌国防承包商、有网络攻防自动化创新企业、有科技创新的投资和成果转化机构等，涉及网络行为分析、人工智能攻防等网络安全技术领域。

1.查尔斯河分析公司的网络安全业务主要聚焦网络风险和漏洞分析、恶意软件分析和检测、实时网络攻击检测和缓解、弹性和网络、训练和建模等领域。该公司曾参与了美国国防高级研究项目局（DARPA）的VET计划，研发一种可评估IT产品固件和其他低级软件中潜在漏洞的网络安全工具（HAMLET）；为美国海军开发网络安全方法等。

2.GrammaTech公司从事网络研究和创新30余年，专注于安全性、弹性、自动化，在软件分析和二进制转换方面成果突出。早在2016年，该公司参加了美国防高级研究项目局（DARPA）的网络超级挑战赛（Cyber Grand Challenge），参赛队伍全部由计算机组成，无任何人为干预，旨在实现全自动的网络安全攻防。该公司和弗吉尼亚大学联合团队TECHx研制的Xandra系统获得了第2名的成绩。

3.佩拉顿实验室成立于2017 年，后被科技与政府交叉领域的领先投资公司 Veritas Capital 收购并不断发展壮大；2021年又以34亿美元收购了诺斯罗普·格鲁曼公司的联邦IT和任务支持业务。曾获得美国土安全部金额近27亿美元的数据中心和云优化服务合同。

4.雷神技术研究中心是协助雷神技术将创新研究转化为可持续在航空、网络安全、节能和先进防御系统实际应用的部门。

5.斯坦福国际研究院成立于 1946年，原为美国斯坦福大学所属机构，最初的角色定位是校内科研人员为社会提供咨询的服务平台，1970年从斯坦福大学中脱离成为独立的研究机构。研究院70多年的创新中创造了新的行业、数十亿美元的市场价值和持久的社会价值，被称为“硅谷创新之源”。

与此同时，作为该项目的一部分，测试和评估工作将由马里兰大学情报与安全应用研究实验室、麻省理工学院林肯实验室、劳伦斯利弗莫尔国家实验室和MITRE进行。

声明：本文来自青青喵吟 悠悠网事，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。