过去十年来,世界各地的军队都宣布网络空间为战争领域。这促使作战部队中的网络团队专业化。这些网络团队必须了解如何在网络空间这一新领域进行控制、防御和机动。此外,指挥官还必须对网络团队进行培训和装备,使其在明确的任务预期和成功标准下取得成功。对于网络团队的表现而言,成功的定义仍然是一个非常模糊的概念。军事和私营机构正在花费大量资源培训网络团队。培训的形式多种多样,从个人技能开发到先进工具,再到团队演练,不一而足。由于缺乏对网络团队绩效衡量标准的了解,要确定哪种培训最有益几乎是不可能的。
本研究试图通过以下方法弥补这一差距:1)通过计算定义网络团队的绩效衡量标准;2)创建一个可以模拟网络部队在冲突中部署的软件工具。这将使研究人员能够试验多种变量,如团队构成、训练状况、对手类型、组织互动、行为理论和网络地形因素。为此,创建了基于智能体的 Cyber-FIT 模拟框架。我介绍了该软件的所有版本,这些版本采用螺旋式开发方法,最终形成了能够真实模拟网络团队部署的架构。我介绍了网络团队绩效衡量标准的定义和现实适用性。为了收集合成数据并分析所有衡量标准,我们模拟了一场真实规模的网络冲突。使用该模型进行了几次虚拟实验,以显示其实用性,同时还对最重要的控制变量进行了敏感性分析。最后,对 Cyber-FIT 模型进行了验证。
1.1 网络是一个战争领域
2011 年,美国国防部(DoD)宣布网络空间为战争领域,与陆地、空中、海上和太空并列[1]。军事的目的是控制领域,因此必须以与其他领域类似的方式对待网络。这意味着要了解如何在领域内操作和机动,以便成功地与敌人交战。考虑一下陆基交战:陆军指挥官会清楚地知道他们可以控制哪些陆地地形。现在,指挥官必须知道他们控制了多少网络地形,以及哪些因素会阻止他们在网络空间中进一步机动。这给战场带来了极大的复杂性。网络空间很难概念化,因为它可以有多种理解方式,如物理连接、逻辑依赖或虚拟网络等等。这是一个众所周知的问题,1980 年首次提出了开放系统互连(OSI)模型[2]。如今,还没有一个标准可以向指挥官展示 "网络战场",以便其就如何在这一领域采取行动做出决策。这一问题几乎渗透到网络领域军事行动的所有其他方面。根据《联合出版物 3 - 12》,网络空间是 "信息环境中的一个全球性领域,由相互依存的信息技术基础设施网络和常驻数据组成,包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器"[3]。这意味着美国军事规划人员现在必须确定如何勘测、确保和保护网络领域,就像勘测陆地、海洋区域或领空一样。网络空间作为战争领域的这种演变,在过去十年中催生了 "网络小组 "的大幅增长。这些小组是以在网络空间作战为主要任务的军事单元。
随着网络地形融入越来越多的动能任务,美国政府在过去十年中不断增加对网络小组的资金投入。五角大楼 2022 年的预算申请要求提供 112 亿美元的网络经费[4]。在此之前一年,五角大楼的预算将网络小组的数量增加了 10%[5]。显然,对于军方来说,这是一个非常复杂和昂贵的问题。下图显示了 2017 - 2021 年美国联邦政府网络安全总支出的增长情况。
图 1:2017 - 2021 年美国联邦政府在网络安全方面的支出[6]。
网络领域的快速扩张并不局限于军事领域。网络犯罪对公民个人和整个行业造成的成本耗费巨大。下图显示了数据泄露给公众造成的损失,以及网络安全产品和服务支出的增长。简而言之,数千亿美元正被用于解决一个数万亿美元的问题。
图 2:2017 - 2022 年数据泄露成本和网络安全支出 [7]
美国防部发布了《2015 年网络战略》,呼吁增加投资,以帮助了解网络团队如何在网络领域开展行动。具体而言,该战略呼吁需要 "建立全企业范围的网络建模和模拟能力",更具体地说,需要 "评估预计的网络任务部队在面对多种突发事件时实现任务目标的能力"[8]。显然,这种建模和模拟能力将以软件的形式出现,必须定义网络部队、地形和交战方式。这就引出了网络综合技术如何运作的最初构想。
1.2 网络效应建模与仿真
自古以来,军队就一直在进行战争博弈和部队应用分析。现代战争博弈很可能始于 19 世纪初,当时普鲁士的指挥官们将其作为一种训练年轻军官的方法,让他们了解战争中许多不可预测的方面[9]。兰德公司[10]研究了 20 世纪 50 年代和 60 年代科学战争博弈工作的论文和会议记录,试图预测一场热核战争。当时专家的最终分析很明确:模拟是唯一的出路。在过去的几十年里,计算能力的提升为研究人员提供了实现模拟承诺的工具。20 世纪 70 年代,出现了基于智能体的系统领域,其中最著名的是康威的生命游戏[11]。基于智能体的建模是一种技术,或者说是仿真的一个子集,其中实体被定义为智能体,其行为由规则集决定。智能体建模尤其适用于研究复杂性,如社会系统的突发行为[12]。Bonabeau [13] 描述了最适合基于智能体建模的四类仿真:流动仿真、组织仿真、市场仿真和扩散仿真。组织模拟有多种类型,如人员构成、人员数量、组织约束、通信结构和所使用的系统等。本论文将深入探讨应用于网络团队的组织模拟。
由于大多数军事行动的性质是由自主智能体组成的单元为实现一个目标而努力,因此基于智能体的建模自然非常适合。单元可被视为一个复杂的系统,个体之间的相似性、参与度、感知和表现程度各不相同。一项对 1998 - 2008 年基于智能体建模文献的调查[14]显示,13.6% 的同行评审论文涉及军事应用。改进网络仿真模型的努力不断增加。早期的信息战仿真框架[15]由 Welsh、Conti 和 Marin 提出并制作原型,通过部分有序的离散事件将感兴趣的对象连接起来。该框架为持有和传递信息的节点之间的互动提供了一个有效的概念,但没有考虑到进行行为和社会仿真所需的人与计算机、人与人之间的互动。Bergin [16] 提出了一种网络攻击和防御模拟器,可准确模拟无线网络和自动驾驶汽车行为的各个方面。该框架的数据定义包括适当的 OSI 层属性、基于数据包的模拟和可配置的控制变量。具有这种逼真度的模拟软件,其构建和维护费用将非常昂贵,尤其是在该领域使用的技术将不断发展的情况下。因此,在设计时应优先考虑军事组织最迫切的问题。汤普森和莫里斯-金创建了[17]一个专门针对机动战术单元的仿真框架,该框架解决了分级指挥与控制结构、群体机动性和网络安全之间的相互作用问题。该模型对研究机动战术单元相当有用,但不能很好地推广到其他类型的任务和部队。基于智能体的建模和仿真最有用的一个方面是进行虚拟实验来比较各种行动方案。当替代方案的实施成本较高时,分析行动方案的虚拟实验尤其有用。模拟训练策略就属于这一类,因为军方将其预算的很大一部分用于部队的教育、训练和演习。Petty、Barbosa 和 Hutt 实施了[18]一个基于智能体的模型,模拟了三种不同的实战、虚拟和建设性训练方法的成本。他们估算了参与构建和交付每种训练系统的所有人员的人工成本,并确定了哪种方法对空军来说成本最低。
虽然有许多基于智能体的军事应用模型,但没有一个模型是专门用来模拟网络团队的行为、操作和最终表现的。在本论文中,我将创建一个基于智能体的建模和仿真框架,以解决对网络团队如何执行任务的认识差距。该软件将模拟网络团队的行为,以及国防部要求的项目团队操作成果。
1.3 如何对网络小组进行培训、装备和评估
网络单元是美军中一个相对较新的结构,在训练、装备和评估方面一直面临挑战。培训是军事需要,在许多联合和军种的具体条令中都有概述。参谋长联席会议主席第 3401.02B 号指令规定:"各单元将报告指派人员目前的训练水平,并与联合指令规定的训练有素单元的标准进行比较"[19]。这一训练水平被视为 "T "级。训练有素的单元通常具有每个人员分队所需的知识和经验水平。这种语言广泛适用于所有美军单元。因此,网络单元都有一个训练评级,将其相对水平与训练有素的理想团队联系起来。那么,怎样才能构成一支训练有素的理想网络队伍呢?这可能是基本网络知识与特定工作培训的结合。军事人员都有所谓的军事职业专业(MOS),该专业规定了针对这些职责的特定岗位培训。信息安全、编码、架构等形式的网络专业培训对新兵极具吸引力,这可能也是网络士兵在最初的合同期内能够更好地留用的原因[20]。网络人员在完成其 MOS 技术培训后,经常能够通过 CISCO 和 SANS Institute 等私营提供商接受后续培训。因此,一份与特定单元相关的个人培训清单,汇总到团队层面,就是理想的培训单元。然后,再加上必要的经验水平和军衔,就组成了典型的等级森严的军事组织。2011 年,美国网络司令部首次推出了这种小组,小组的等级和军衔混合向总部单元报告。每个 "网络保护小组 "由 39 人组成,分成五个小队:任务保护、发现和反渗透、网络威胁模拟、网络准备和网络支持[21]。这样做的目的是将专业分成不同的角色,并将特定的训练与不同的分队和个人联系起来。在进行个人训练的同时,网络小队与所有美军单元一样,必须定期完成以团队为基础的演习、检查和评估。这些集体训练活动可确保单元内的个人能够将战术技术和程序结合起来,协同完成单元级的基本任务。
装备网络小组也非常困难。空军最近的一份报告发现了许多问题,如承包商支持不力、网络训练场地不理想和工具不标准化等[22]。由于网络团队的分散性和任务的差异性,自上而下的方法可能并不合适。只需搜索网络安全工具,就会有大量选择。这导致网络团队使用各种开源工具、自己的定制代码,以及网络上潜在危险的非认可可执行文件。政府官方办公室很难跟踪所有的选项,更不用说对推荐的工具包进行担保了。大型技术公司正在争夺这一领域的大额合同,并相互竞争以提供此类功能,最近的例子是安全云系统[23]。软件模拟可以帮助解决这一问题,确定网络团队在做什么,以及这些工具如何协助单元完成任务中的基本任务。
在指挥官的所有任务中,评估网络团队可能是目前最困难的工作。不像其他战争领域,可以直观地看到单元的实际位置,以及装备和能力受到了多大的破坏,网络空间大多是不可见的。网络指挥官必须依靠下属单元的报告和从网络计算系统读取比特的仪表盘。美国军队以指挥官为中心。指挥官有很大责任运用自己的判断力来评估局势并贯彻指挥官的意图。这一概念适用于对部队的评估。指挥官评估规划与执行手册》对此有明确阐述: "评估是指挥员决策周期的关键组成部分,有助于根据任务的总体目标确定战术行动的结果,并为完善未来计划提供潜在建议"[24]。下图直观地展示了评估的基本步骤和流程,其持续性可为指挥官决策提供支持。
图 3:联合参谋部 J-7 确定的评估流程概览 [24]
作为联合训练系统四阶段评估方法的一部分,联合参谋部在条令中也对训练评估做出了规定。根据《美国武装部队联合训练手册》,评估的目的是 "确定指挥部内哪些组织能够达到任务式指挥标准所要求的水平,以及指挥部训练完成哪些任务"[25]。上级指挥部将任务式指挥分解成小块,由下属单元完成。经常采用网络战争演习形式的集体训练活动来确定指挥员精通哪些任务。
1.4 网络培训与评估技术的差距
归根结底,整个军队的网络领导负责培训网络团队,然后对这些培训工作进行评估。在培训和评估网络部队的技术水平方面存在明显差距。上图详细说明了指挥官必须经历的持续评估过程。举例说明,指挥官将监控一次行动,然后评估团队的表现,并据此指导活动。也许这项行动是完成与网络相关的信息请求(网络审计、检查或调查中的典型任务)。下图将这一网络行动应用到条令评估流程中,并详细说明了网络指挥官为有效通过评估流程而必须了解的所需数据。
图 4:说明性评估流程的数据要求
指挥官在监控行动时,必须清楚了解与行动相关的战术、技术和程序(TTP)。这将是绘制出的所有流程,以及小分队和团队成员之间交换信息所需的互动。交换信息的类型以及数据和交换媒介的特征都应了如指掌。现在,行动已经完成,许多信息请求也得到了处理和满足,可以考虑评估数据了。为了正确评估行动,指挥官需要了解对信息请求的定性和定量要求。理想情况下,应收集有关网络小组所使用的 TTP 的数据,以便进行后期分析。有了评估数据并完成适当的评估后,指挥官就可以针对行动中不符合标准的部分指导网络培训,其中包括质量和数量方面的改进目标(绩效衡量标准)。同样的流程可应用于各种网络行动,如关键地形网络防御、在网络上实施新的安全控制或模拟网络对手。
再举一个例子,同样的流程可用于指挥官对网络战争演习的评估,网络战争演习被广泛认为是考验网络团队的最佳方式。最关键的 TTPs 将被绘制出来,并附有明确的衡量标准,以划定成功防御网络地形的范围。这将包括网络团队必须如何加固受保护的地形、追捕对手的存在、补救威胁和主动攻击等细节,所有这些都将在演习期间进行监控。所有这些数据都将在演习期间按照规定的时间间隔进行评估,然后在演习结束时按照标准进行评估,这些标准包括这些 TTPs 预期性能的数据和定义。最后,指挥官将在高级技术顾问的建议下,进行一次彻底的行动后审查(AAR),认真检查 TTP。TTP 可能会被重新开发、调整或废弃。然后,指挥官可以指导新的培训,将团队的精力集中在最突出的问题上。下表总结了网络指挥官在第二个网络战争演习示例中通过评估流程所需的一些最基本的数据和定义。
本论文目标
在了解网络团队如何执行任务以及他们对军事目标的贡献方面,显然还存在差距。本论文通过对网络部队的表现进行计算和定量预测,加深了我们的理解。要实现这一目标,必须达到三个高层次的里程碑: 1)定义网络团队的绩效衡量标准;2)创建基于智能体的软件框架来模拟绩效结果;3)验证软件。第二章将介绍从零开始建立模型的早期迭代工作,以及早期版本如何帮助理解如何定义网络团队绩效衡量标准。在与网络团队进行更多互动并与主题专家讨论结果之后,第三章将介绍定义网络团队绩效的计算和公式。第四章介绍了当前版本的 Cyber-FIT,该版本能够模拟冲突并计算所有绩效指标。本章还介绍了现实规模的模拟、模型敏感性分析和两个虚拟实验。第五章介绍了最常见的基于智能体的模型验证方法,并将这些技术应用于 Cyber-FIT。第六章介绍了这项工作的进展、局限性和未来方向。
该软件有两个直接有用的通用用例:兵棋推演和虚拟试验。(这两个用例都以军事为重点,但与本作品中的许多其他概念一样,通过调整模拟的结果和重点,它可以很容易地应用于工业领域)。兵棋推演的第一个用例是在战略层面。高级军官负责战役规划,部署大量部队以完成特定的军事目标。兵棋推演几乎总是多领域和联合的。多领域是指多个或所有战争领域(陆地、空中、海上、太空、网络)都参与其中,联合是指多个或所有军种(陆军、空军、海军、海军陆战队、太空部队、海岸警卫队)都参与其中。兵棋推演通过回合进行,在回合中提出情景、选择方案,然后模拟呈现结果和必须应对的新挑战。考虑这样一种情况:参战者选择将航空母舰上的一揽子空中组成部分转移到有争议的海域。这一回合可能会模拟对手如何通过攻击工业能源能力做出回应。现在,参赛者必须对这种新情况做出反应。兵棋推演非常困难,而且需要大量资源。通过提供参与者选择的网络领域结果的模拟,Cyber-FIT 可用于兵棋推演模拟。例如,参与者可能被迫选择是立即部署一支网络小队,还是暂缓一个回合,在有争议的网络地形中与未知敌人交战。本论文第四章中的虚拟实验二就是针对这一确切的使用案例。
虚拟实验的第二个用例是在网络冲突的战术层面。这是单元级网络领导人在信息不完整的情况下做出艰难决策的领域。这一级别的网络领导者要处理的问题包括培训选择、部署规划、战备准备和分队分配。所有这些决策最终都会影响团队在部署到冲突地区时的表现。在与战术层面的网络领导人交谈时,许多人都表示有兴趣使用一款软件来模拟部分(或全部)决策,以帮助思考利益权衡。
在这项工作结束时,网络任务规划人员可以查看即将到来的任务时间表,并建立一个虚拟实验,模拟被分配任务的团队,并对计划进行评估。目前,还没有通过软件模拟进行这样的预测。在本论文结束时,将能利用 Cyber-FIT 进行这种性质的虚拟实验。例如,团队领导可能会观察组织内的一个普通网络团队。这个团队的技能水平可以通过增加一个专家技能水平的部队或提供丰富的练习来提高,从而将现有团队成员中的一个从普通技能水平提升到专家技能水平。前一种方法意味着要从组织内的另一个团队中抽调专家。后一种方法则意味着团队必须等待该技能被掌握,而这需要时间和金钱。这两种选择都要权衡利弊,另一种选择是保持团队现状。这一使用案例是第四章虚拟实验一的主题。
以现实的方式和有意义的方式模拟网络效应极其困难。如果这是美军的关键需求,为什么还没有做到呢?我认为这个问题的答案就是它太难了。政府合同通常是根据要求授予的。需求书写起来非常困难,因此很难明确规定这样的工作。如果政府机构想要购买一款能够预测网络任务有效性的软件,承包商可能首先会说:"请定义有效性: 请定义有效性。在这一领域存在着 "先有鸡还是先有蛋 "的效应。我们需要数据来支持模拟。但模拟软件也需要数据来确定模拟是否正确。投资回报也可能是进入该领域的障碍。私人承包商很难证明其对结果不明确的模拟软件的投资是合理的。制定措施、开发计算模型和分析结果都需要投入大量精力,而所有这些都没有明确的回报。幸运的是,这正是博士论文的最佳主题。
原文
相关内容
微信扫码咨询专知VIP会员