ReSCIND计划：美国IARPA通过网络心理学重构网络防御

2023年2月20日，美国情报高级研究计划局（IARPA）发布“利用网络心理学重塑信息网络防御安全”（ReSCIND）计划广泛机构公告（BAA）。该计划旨在利用网络攻击者的人类局限性，如天生的决策偏见和认知脆弱性，开发一套新的“网络心理学防御系统”来提高网络安全。

ReSCIND计划试图开发新的方法，增强传统的网络防御，通过对攻击者施加网络惩罚来帮助重新平衡网络防御的不对称性，从而拖延和挫败网络攻击。本文概述了该计划的研究目标、主要技术路径与关键技术挑战，仅供学习参考。

美国IARPA：通过网络心理学重构网络防御

【资料图】

编译作者：网安观察员 红星

全文摘要与关键词

1.计划目标：利用对攻击者决策、人类局限性和认知偏见来降低攻击效果

2.研究方法与技术挑战：

②测量网络攻击行为，并成功诱导之

③开发心理信息防御和计算认知模型

④创建“网络计算认知模型”

⑤产生自适应心理和知情防御等方式

3.研究安排与团队建设：计划刚起步，预计周期45个月，多学科团队要求（行为科学、认知心理学、防御性网络作战、网络攻击建模、人工智能和自适应系统、统计数据分析、数学建模、软件开发和工程、犯罪学、认知和神经科学、人为因素工程、人机交互、计算机安全和网络安全、认知建模），根据HSR实施测试评估

然而，最复杂和持久的网络攻击主要是人为驱动的。为此，IARPA开展ReSCIND计划，将结合网络心理学防御措施，将人类行为和决策整合到网络领域使人们能够理解、预测和影响网络操作员的行为。

【关键词】

利用网络心理学重塑信息网络防御安全/ReSCIND：Reimagining Security with Cyberpsychology-Informed Network Defenses

网络心理学信息防御/CyphiD：Cyberpsychology-informed Defenses

认知脆弱性/CogVuls：Cognitive Vulnerabilities

适应性心理信息防御/APhiD：Adaptative Psychology-informed Defenses

01

计划核心与研究目标

ReSCIND计划通过开发影响攻击的网络心理学信息防御（CyphiD），利用人类攻击者自身的人类局限性、及认知偏见，来影响其决策，从而降低攻击效果。探索在网络杀伤链（Cyber Kill Chain）的各个阶段操纵攻击者行为的新方法，重新平衡网络防御的固有不对称性，对攻击者实施网络惩罚，旨在增加攻击者当前和未来实施网络攻击的难度。

02

研究方法与技术挑战

研究切入点：ReSCIND将利用认知漏洞（如决策偏见、心理模型启发）来扩展网络防御工具包，同时还强化和操纵这些认知漏洞，以阻止网络攻击者的攻击行为，从而为防御者提供急需的优势，如下图所示。

图：ReSCIND网络防御概念比较图

总体研究方法：该计划招标要求投标者根据社会科学研究提出新的方法，并将网络心理学信息防御（CyphiD）与环境特征、攻击者属性、任务上下文等可观察性要素相关联，以可量化的方式精准破坏网络杀伤链各个阶段的网络攻击行为。

五个技术路径及其关键技术挑战：ReSCIND计划寻求以下五种方法，并列出了该五种方法的目标和所面临的技术挑战。

2.1识别网络攻击行为的认知漏洞，并提供证据

瞄准认知脆弱性：在ReSCIND计划中，认知脆弱性包括认知和决策偏见、天生认知局限性、情绪或精神状态，或可能导致网络攻击者成功率或有效性降低的生理脆弱性。

探索网络攻击的动态场景：投标人须描述其研究计划，与网络安全人员探索动态网络攻击场景，须识别可能影响所选CogVuls（认知脆弱性）防御效用的可观察攻击者属性、网络和主机特征以及环境特征。

计划实施具体内容：

① 通过理论和实验研究，确定漏洞与网络攻击者的相关性，解释个体之间的相关差异性；

② 设计和执行经验和统计高效的实验，探索动态网络攻击任务中的网络心理学；

③ 生成结构化视觉表示，将CogVuls映射到攻击者、网络和外部环境的网络相关行为特征。

2.2 测量网络攻击的行为，并成功诱导

投标人将提出CogVuls、识别和测量其偏见传感器以及制造网络情境，以诱导和强化CogVul的偏见触发器之间的假设关系。

计划实施具体内容：

① 通过实验确定哪些选定的CogVuls、偏置传感器和偏置触发器会对网络攻击行为产生可衡量的影响；

② 开发利用网络攻击者CogVuls获取防御利益的方法；

③ 了解CogVuls可能重叠的程度，及在网络特定情况下导致CogVul的先例因素；

④ 确定测量、预测和影响攻击者行为以阻止成功的新技术；

⑤ 创建偏见特征，将网络数据映射到特定认知脆弱性的存在或增加；

⑥ 使用现实环境中为维权者提供的数据（如PCAP、IDS警报）开发偏差传感器；

⑦ 使用既定方法建立偏差传感器的可靠性和有效性，开发能够可靠地诱发或加剧CogVuls的触发器（主机/网络操作）。

图：概念CyphiD图形，偏置传感器、偏置触发器和逻辑组合形成CyphiD，每个CyphiD都专注于实现理想的网络行为影响

2.3 开发影响网络攻击的“网络心理信息防御”系统

通过利用稳健和可衡量的CogVuls，对网络攻击者的攻击产生可衡量的影响。基于被确定为最相关和最具影响力的CogVuls，一组改进或新创建的偏置传感器和偏置触发器将被纳入CyphiD。从而影响网络攻击者在其网络攻击早期和后期的效果。

计划实施具体内容：

① 制作结构化视觉界面，将CogVuls和CyphiD映射到防御目标和对网络攻击行为的可衡量影响；

② 实施CyphiD的逻辑和软件，用于在网络范围测试台中进行测试，结合结构化视觉表示相关见解；

③ 展示CyphiD在减缓或减少网络攻击尝试成功率方面的功效；

④ 开发新衡量标准，评估网络攻击早期和后期以人为中心的网络行为和性能。

图：概念APhiD图形，多个CyphiD与确定在每个时间点使用哪个的逻辑相结合，形成一个APhiD

2.4 创建特定的“网络计算认知模型”

模型须对偏置传感器测量的CogVuls的变化做出响应，以便能利用可用数据来提高和降低相关属性。这些模型将复制并预测由偏见触发因素引起的行为变化。

计划实施者可选择使用建立的模型来为APhiD的开发提供信息：

① 开发、训练和测试反映和预测攻击者行为的C3Ms2，其可变性取决于CogVuls的存在。

② 建模工作还应解决基于攻击者属性、网络和主机特征或情境因素的攻击者行为差异。

2.5 产生自适应心理信息防御

计划实施者将创建自适应防御系统，自动选择CyphiD，以独立应对网络攻击者的属性和行为，以及其他环境特征或网络属性。

计划实施具体内容：

① 开发APhiD算法，实现CyphiD自动适应；

② 实现APhiD逻辑和软件，在网络范围测试台中进行测试，结合结构化视觉表示和先前实验结果的相关见解；

③ 为企业网络和基于证据的用例提供新的通用防御，包括部署指南，突出每种防御对各种现实世界特征（即攻击者属性、任务上下文、网络和主机特征）的有效性。

03

ReSCIND计划研究安排与团队

3.1 时间进度安排

ReSCIND计划刚起步，尚未选出研究和开发该计划的技术实施团队。预计2023年春季发布公告将暂定ReSCIND合同，并在年底前正式启动。该计划将运行近四年，将通过明确定义的指标和为期六个月的计划审查来衡量成功与否。ReSCIND计划为期45个月，包括三个阶段。表1提供了ReSCIND计划进度安排。

表：ReSCIND计划进度安排

3.2 团队专业知识要求

为了应对ReSCIND带来的各种挑战，强烈鼓励投标者之间的合作结成研究团队。团队将是多学科的，可能包括行为科学、认知心理学、防御性网络作战、网络攻击建模、人工智能和自适应系统、统计数据分析、数学建模、软件开发和工程、犯罪学、认知和神经科学、人为因素工程、人机交互、计算机安全和网络安全、认知建模等。

3.3 测试与评估

测试与评估（T&E）团队将使用机构审查委员会（IRB）批准的人类受试者研究（HSR）协议，在项目的整个生命周期内进行几次测试与评估活动，以评估计划实施者开发的解决方案。

04

结语

4.1ReSCIND计划有望从根本上改善网络防御态势

网络犯罪涉及计算机和网络，但网络犯罪与计算机无关，而是与人的行为有关。分析网络罪犯的作案动机和犯罪目的是制胜之道。因此，掌握网络犯罪分子的心理心态，可将有关人类行为的关键见解与技术解决方案整合在一起，是改变网络安全态势的可能有效手段。

ReSCIND计划从心理学角度出发，充分利用认知心理学、行为科学、犯罪学、认知和神经科学等研究成果，利用攻击者的人类局限性，并运用计算机安全和网络安全、人工智能和自适应系统等新技术将人类网络行为和决策融入网络领域，以理解、预测和影响网络行为并应用于网络安全，开发一套新的网络心理学防御系统来提高网络安全，可能会使攻击者的工作变得更加困难，有望从根本上改善网络防御态势。该计划也给网络防御提供了一条很好的发展思路。

4.2 美国具备ReSCIND计划开展的一些基础条件

网络攻击是技术与心理相结合的过程，仅单纯从技术或心理单一角度都不足以解决网络攻击的问题。网络犯罪心理学的研究已经溶入多学科的综合性研究之中，而美国无论是在犯罪心理学、行为认知科学、神经科学，还是网络安全、计算机、人工智能技术方面都是全球的姣姣者。

美国太平洋西北国家实验室在建模人类行为、预测内部攻击等方面进行了长期大量的研究，具体包括人类行为建模，用于识别/预测恶意内部网络活动，将社会文化因素建模为恐怖活动的预测因素，以及用于增强情报分析决策的人类信息交互概念等。

美国联邦调查局具有大量的犯罪心理学实际工作经验。先进的技术和心理学学科的研究积累为IARPA开展ReSCIND计划研究奠定了坚实的技术基础和雄厚的知识积累。

4.3 ReSCIND计划可能需要多次技术迭代才能具备实用价值

网络犯罪者的犯罪心理和动机的成因是多种多样的，犯罪者的心理变化情况不易捉摸，且有个体差异。对犯罪者心理的研究要因人而异，要结合不同时间不同环境作出正确的判断。而网络犯罪者在网络远端，其个体特征、所处环境难以知晓，ReSCIND计划不可能包罗万象，完全把握犯罪心理与犯罪行为较为困难，开发的认知模型需要不断在实践中检验和完善，这些因素也注定了ReSCIND计划需要反复技术迭代，进行长期深入研究才可能走向实用化。

原文地址：https://www.iarpa.gov/research-programs/rescind

文章内容编译自网络，本文观点不代表本公众号立场。欢迎交流讨论，批评指正。

标签：