本報告詳細介紹了我們開發技術的方法，即在一個自動框架內調查受自適應系統的自我修復計劃影響的關鍵屬性的再驗證潛力，該框架還測量了自我修復發生時被侵犯屬性的風險。從這項調查中，我們1）設計了一個框架，使基于組件的系統同時具有架構和驗證意識，并能對自我修復計劃進行動態的再驗證狀態評估；2）設計了一個風險評估機制，如果自我修復計劃導致違反關鍵要求，則對系統可能進入的潛在風險狀態發出警報；3）在該框架內測試了Genprog自我修復計劃的應用。該框架已被嵌入到兩個內部案例研究和一個為模仿可穿戴設備操作和通信而開發的測試平臺中并進行了評估。

圖 1：基于元數據的驗證和認證框架

彈性要求自動適應阻礙任務的情況。一個自適應的軟件系統可以監控自己，分析故障的發生，并通過改變其狀態、邏輯或結構來恢復。這樣的自主系統依賴于對系統和環境的持續監測，分析性能異常，根據環境和可用資源規劃最可行的適應策略，并在部署的系統上執行適應。在自適應系統的各個層面都存在大量的研究，例如，架構的重新配置、界面的改變和嵌入式系統的改變，但它主要側重于在不中斷的情況下執行功能或架構改變（Cheng，2009），（Lemos，2013）。一旦改變，強加在最初部署的系統上的同樣的要求合規性保證過程也應該同樣強加在適應的系統上。在系統適應期間和之后的自我驗證方面的研究嚴重不足，特別是對于分布式系統、面向服務的架構和嵌入式系統（Calinescu，2012），（Tamura，2013）。軟件驗證和確認，以及安全認證，都是困難而繁瑣的過程，需要明確的要求、清晰的評估策略，以及不需要比被評估功能更多代碼的自動化方法（Zuo，2011）。本項目定義了一個技術框架，以確定改編是否會抑制用于驗證或認證的原始合規性保證流程的重用，其中驗證指的是正式的方法流程，而認證則專門用于保證安全控制的合規性，如NIST SP800-53（NIST，2013）。它從這些流程中提取關鍵屬性和評估或檢查的流程，以確定適應性將如何影響它們（Jahan, 2017）。影響的破壞性越大，合規保證流程被重用的可能性就越低。流程重用的可能性越低，合規性違反的可能性就越高，因為很少能有替代的合規性保證流程被用于需求（Marshall，2018）。

要構建和部署這項技術，有多個研究問題需要解決。一個主要的研究問題是定義一個策略，以確定在設計和選擇適應計劃時，是否可以通過對適應系統的驗證或認證來重新保證一個需求。面臨的挑戰是要超越識別關鍵屬性和通過驗證或認證確定系統的符合性水平，捕捉和建模最初進行驗證或認證的符合性保證過程。驗證和認證的形式化過程在運行時部署的資源成本太高。盡管模型檢查在合規性保證過程中引入了一個抽象層次，但它在可以表達和評估的內容方面也是有限的（Sharifloo，2015）、（Calinescu，2012）、（Cordy，2013）、（Weyns，2012）。為了解決這個研究問題，我們主張將驗證和認證過程（即合規性保證過程）以一種可以嵌入系統的方式建模，使其具有合規性意識。有了這種意識，就可以開發技術來評估它是如何被保證符合要求的，以及適應性如何影響符合性保證過程的再利用。本報告展示了一個體現這種技術的初始框架。

另一個研究問題是，需要定義衡量標準，將風險水平與確定適應性計劃如何抑制合規性保證過程的再利用聯系起來。此外，一旦計算出一個風險系數，就必須了解該風險是如何在整個系統需求中傳播的。這個項目將風險評估與重新驗證和重新認證的狀態評估結合起來。通過該框架，風險指標直接與受影響的屬性的關鍵性以及這些影響對一個或多個合規性保證過程的再利用的程度相聯系。

第三個研究問題是如何在運行時將合規意識和風險評估編碼到動態適應性計劃分析中（Abie，2012）、（Almeida，2011）、（Camara，2013）、（Cheng，2009）。所開發的框架定義了表達內部處理和外部交互性能參數及其依賴關系的建模抽象。它為每個關鍵需求嵌入了一個可執行的彩色Petri網（CPN）（Jensen，2009），（Jensen，2015），表示合規性保證過程的架構以及用于驗證和認證的屬性。每個CPN的輸出被匯總以計算適應計劃與替代計劃的風險。總的來說，本項目開發的建模和評估機制將為在設計時捕獲相關元數據提供信息，從而在彈性系統中實現更好的合規意識表示和操作。

合成孔徑激光雷達（SAL）與合成孔徑雷達（SAR）有幾個不同的現象，使其成為自動目標識別（ATR）有希望的候選者。SAL的漫射性質導致目標上有更多的像素。光學波長提供厘米級的分辨率，其孔徑基線比SAR基線小10000倍。雖然漫反射散射和光學波長有一些優勢，但也有一些挑戰。與SAR相比，SAL的漫反射性質導致了更明顯的斑點效應。光學波長更容易受到大氣噪聲的影響，導致形成的圖像失真。雖然這些優點和缺點在理論上被研究和理解，但還沒有被付諸實踐。本論文旨在量化從鏡面SAR切換到漫反射SAL對算法設計的影響。此外，鑒于CAD模型的幾何和物理特性，提出了一種性能預測和模板生成的方法。這種方法不依賴于形成圖像，并減輕了生成多個斑點場和冗余光線追蹤的計算負擔。

圖2.1: MSTAR目標的例子和目標的照片。MSTAR圖像包含目標、背景和陰影信息。

引言與動機

1.1 自動目標識別

自動目標識別（ATR）是指從收集的傳感器信息中自動檢測感興趣的目標并進行分類的行為[72]。ATR是一個多學科的領域，包括但不限于信號處理、圖像處理、人工智能、統計和人的表現。一個ATR系統要經歷一個多步驟的過程。這些步驟包括但不限于：

• 感知--從感興趣的區域（RoI）收集傳感器數據。
• 檢測--選擇可能包含感興趣目標（ToI）的子區域。
• 切割--將有信息的像素從背景和噪聲中分離出來。
• 分類--宣布目標為某種類型。

圖1.1顯示了ATR過程的一個例子。

為了收集ATR數據，我們利用了各種傳感方式。這些模式包括合成孔徑雷達（SAR）、合成孔徑聲納（SAS）、3-D激光雷達、超光譜成像（HSI）、廣域運動圖像（WAMI）、激光測振和紅外圖像。這些模式的例子見圖1.2。

圖1.1: 一個改編自[14]的ATR管道實例。在這個例子中，收集的傳感器信息是一個場景的圖像。另外還采取了一些步驟，如雜波抑制。

圖1.2：各種傳感模式的例子。每種模式都有自己的一套優勢和劣勢，普遍的操作條件和使用案例。圖片分別來自[22、28、24、80、1、55]。

每種模式都有其自身的優勢、劣勢和使用案例。每種模式都有一套獨特的因素，影響ATR系統的有效性。這些因素被稱為操作條件（OCs）。對OCs的研究以及它們如何影響ATR系統是ATR研究的前沿問題。OCs可以分為三個主要類別[72, 54]：

• 傳感器OCs - 影響傳感器收集高質量數據能力的因素。此類OCs包括傳感器噪聲、相位誤差和運動補償。

• 環境因素--改變傳感器和目標的環境屬性的因素。此類OCs包括天氣、對抗性干擾器、無源能源、雜波、樹葉和大氣噪聲。

• 目標OCs--改變物理屬性或感興趣的目標的因素。此類OCs包括偽裝網、銜接、材料特性、型號變化、誘餌和操作模式。

任何給定的傳感器的OC空間可能大得無法估量。第2章討論了克服這一問題的策略。

本節前面提到的模式有大量的知識，討論了傳感器現象學、ATR算法和傳感器現象學。本論文的重點是合成孔徑LADAR。對于ATR的目的，SAL是相對未被探索的。正如第二章所討論的，SAL的知識體系主要包括傳感器設計和現象學。對現象學和設計進行了很好的研究，可以確定在SAL數據上設計一個有效的ATR的潛在問題。此外，還討論了SAR ATR的技術現狀。

本文件的其余部分組織如下。

• 第2章是對SAR ATR技術現狀的回顧。討論了分類技術、預測性能、操作條件和合成數據策略。對SAL現象學的歷史和討論進行了更全面的介紹。

• 第3章介紹了基于第2章的回顧，在SAL和ATR的知識體系中的研究差距。列出了目標貢獻和影響。

• 第4章介紹了SAL ATR研究的方法和結果，以及SAL ATR性能預測的擬議技術。

• 第5章總結了第4章的結果并討論了擬議的未來工作。列出了所提出的和擬議的工作的發表時間表。

摘要

我們介紹了四場兵棋推演，旨在提高我們分析挪威軍事行動中聯盟方面的能力。我們討論了目標、配置和經驗教訓。實踐證明，兵棋推演對于發現我們在特定類型的軍事行動和系統方面的知識差距非常有幫助，并指出了場景組合的不足之處。它們還強調了更普遍的方法論，如明確說明基本前提的重要性。我們認為，兵棋是評估知識、挑戰當前觀點和改進分析方法的有用工具。

關鍵詞：兵棋推演、軍事行動、作戰研究、場景肥西、國防規劃

引言

評估一個人的知識是很困難的。心理學警告我們一些現象，比如鄧寧-克魯格效應，描述那些缺乏知識或能力的人缺乏洞察力的現象。但是，即使人們認識到知識不足的可能性，識別錯誤概念和知識差距或缺失信息的問題仍然存在。最自然的做法是向其他專家尋求建議和意見。然而，自我評估的方法仍然是有價值的，原因有很多，包括以下幾點：

• 主題可能非常復雜，難以確定所需的所有專業領域。

• 要回答的問題需要對分析過程的具體細節非常熟悉，外部專家不容易得到全貌。

• 至少目前還沒有相關的專家。

• 該主題是保密的，限制了可能的資訊庫。

此外，一般來說，在尋求外部幫助之前，最好能盡可能多地整理出錯誤。

挪威國防研究機構（FFI）提供分析，以支持長期的戰略防御發展和聯合總部的作戰規劃。我們使用基于場景和能力的方法來描述未來的軍事防御要求，并評估擬議的防御計劃是否能滿足相關的威脅。我們不斷地尋求改進我們的方法，并重新審視以前的論點和結論。

在本文中，我們分享了利用一系列兵棋作為工具來評估和開發我們對挪威軍事行動聯盟方面的知識經驗，這對分析工作特別重要。雖然我們很清楚，這一層面在以前的分析中沒有得到應有的重視，但我們發現很難確切地知道不足是什么。出于上述所有原因，我們發現在邀請專家參與之前進行自我評估至關重要。

利用兵棋推演，發現了我們對軍事系統和行動的知識不足之處，并暴露了以前想當然的錯誤觀念和有問題的結論。我們現在正在擴大我們的場景組合，以涵蓋以前被忽視的情況。我們還改進了展示我們分析結果的方式。特別是，我們更清楚地認識到明確基本前提的重要性，以及對我們可以從分析性兵棋推演中得出的結果有一個清醒的估計。作為一個副產品，我們也大大提高了我們進行動態兵棋推演的能力，這在以后的分析中會有較大益處。

這并不是試圖推動兵棋的科學發展。我們寫這篇文章的目的是為了激勵同行們欣賞兵棋推演的潛力，將其作為一種工具來發現他們不知道的東西。這一系列的兵棋推演是在2022年2月俄羅斯入侵烏克蘭之前進行的。

基于能力防御分析中的場景和聯盟

本文描述的活動涉及我們為挪威軍事和政治防務領導提供分析支持的工作。這項工作的主要困難來源是其固有的不確定性。在合理的時間范圍內，相關的威脅是什么？沖突將如何發展？未來的軍事系統是否會有預期的表現？通過使用場景組合作為可能的部隊結構和防御概念的試驗場，我們可以探索這種不確定性。我們利用這些情景來確定未來防御的能力需求，并為其他作戰分析提供背景。

除了國家軍事和民防能力外，北約成員資格和我們與盟國的雙邊關系是挪威國防和安全戰略的基石。挪威武裝部隊的最佳發展取決于對未來盟國在挪威和挪威附近可能采取的行動性質的洞察。然而，我們的分析傳統上是基于描述對挪威的直接攻擊的情景，并且在大多數情況下關注的是挪威武裝部隊在沒有主要盟國支持的情況下或在其參與之前應該執行的任務。因此，在過去幾年中，重新審視國防分析的聯盟方面是很重要的。

我們還注意到，我們的情景分析在本質上有一種靜態的傾向。這對于已經使用了幾年的情景來說尤其如此：隨著時間的推移，分析家們傾向于把以前的結論視為理所當然。本文介紹的活動是我們努力的一部分，目的是振興我們運行更多動態戰爭游戲的能力，作為桌面地圖討論的替代。這暴露了我們以前分析中的薄弱論點和結論，有助于結果的驗證。

通過這一系列旨在研究盟軍可能的行動路線的戰爭游戲，我們實現了一個雙重目標。我們發現并填補了我們在挪威國防的聯盟方面的許多知識空白，同時我們也大大改進了我們的戰爭游戲技術。

不同種類的戰爭演習是我們分析的一個重要工具。它們提供了定性和指示性的答案，而我們使用其他形式的建模和仿真來獲得定量的結果。這些方法可以結合起來，反復使用，形成一個綜合分析和實驗運動計劃。

關于兵棋推演

兵棋從根本上說是一種溝通行為--專家之間的結構化對話。根據Pournelle（2017）的說法，進行兵棋推演有三個目的：知識創造、知識轉移和娛樂。正如英國國防部的《兵棋推演手冊》（DCDC，2017）所指出的那樣，雖然兵棋可能會使從業者在超出其設計目的的方面獲益，但建議將兵棋推演指向一個特定的目的。Pournelle區分了兩類適合創造知識的游戲。它們是探索游戲和分析游戲。探索游戲通常用于解決非結構化的問題，而分析游戲則適用于更多的結構化問題（Pournelle, 2017）。在我們的系列中，我們同時應用了探索性和分析性的兵棋推演。

盡管 "兵棋推演"這個術語被廣泛使用，但并沒有一個共同認可的定義。我們可以在文獻中找到不同的定義；例如，Perla（1990）將兵棋推演定義為 "不涉及實際部隊行動的戰爭模型或模擬，其中事件的過程影響并受代表敵對雙方的玩家在這些事件過程中做出的決定影響"。美國海軍戰爭學院（USNWC，2020）將兵棋推演的基本組成部分確定為 "人們在競爭或沖突的背景下（與自己、其他人或環境）做出決策"，而英國國防部的《兵棋推演手冊》（DCDC，2017）將兵棋推演描述為一種決策技術，使用 "基于場景的戰爭模型，其中事件的結果和順序影響到玩家的決策，并受到其影響"。

這些定義的共同點是，兵棋推演是關于不同角色競爭的沖突情況，對戰略和作戰方案（CoA）做出決策，以實現目標，并對其他玩家的決策做出回應。兵棋推演適合讓參與者沉浸在一個由場景描述的環境中，在那里他們會面臨各種不可避免的挑戰（Perla，1990；DCDC，2017），它們具有動態的性質，形成事件進程或路線，這取決于參與行動者的決策。

兵棋可以按照它們的全面性和嚴格性進行分類。在本文中，我們區分了三種主要類型的兵棋：研討會游戲、矩陣游戲和Kriegsspiel。這與Pournelle（2017）討論的兵棋風格相一致。

研討會游戲	研討會游戲是人們在一個共同的背景/場景下進行的討論。通常情況下: 他們有一個自由的形式。它們是探索性的。他們有開放的信息。研討會游戲對于支持創造力和探索特別有用。裁決通常不那么嚴格，但足以推動事件的發展進程。裁決可以由裁判員進行，也可以由玩家之間達成共識。
矩陣游戲	矩陣游戲比研討會游戲有更強的角色扮演功能，通常使用更正式的裁決規則。在一個典型的矩陣游戲中，不同的角色將制定和提出他們喜歡的CoA，并為其提供支持性論據。其他角色將試圖提出反駁的論點。裁決由裁判員進行，他們評估論點的利弊，并決定CoA的成功概率。結果是由擲骰子決定的。矩陣游戲適合于在一個場景背景下探索不同的事件進程.
Kriegsspiel	Kriegsspiel是更正式的兵棋，與研討會和矩陣游戲相比，它的細節和嚴格程度有所提高。它們通常對沖突有一個更真實的表述，有更詳細的場景和環境表述。

為了決定最適合于分析的游戲形式，應該考慮信息要求、所需的詳細程度、以及準備和游戲執行的時間和資源等因素。不同類型的兵棋適合于支持分析過程的不同階段（Malerud & Fridheim, 2021）。不太正式的（探索）游戲，如研討會和矩陣游戲，特別適合于支持分析的初始階段--例如，問題的結構化和對不同決策選擇的探索。如果需要深入研究更多的細節，更正式和結構化的兵棋在后期階段會很有用。

我們是如何做到的

在開始我們的游戲系列之前，我們考慮了上面討論的不同類型的兵棋，并得出結論，我們需要從游戲1開始，這是一個不太正式的游戲，以提高我們對在挪威境內或附近的盟軍行動背景下的主題理解，并獲得關于如何設計以下游戲的想法。因此，游戲1可以被看作是對真正游戲的測試。在我們的游戲2-4中，我們對目標和分析要求有了更好的理解，并改進了我們的兵棋推演技術。因此，我們很自然地收緊了游戲格式，并以更明確的矩陣游戲的設置來進行這最后三場游戲。在下面的描述中，我們將指出第一場游戲的設置與后來的游戲的不同之處。

在實踐中，我們遵循英國國防部《兵棋推演手冊》（DCDC，2017）中描述的兵棋推演過程或周期，以確保游戲適合目的，并利用新的知識和經驗教訓來完善新游戲的設計。在這個過程中，我們還考慮了各種限制因素，如參與者、可用時間和預算。這個過程將在下文中詳細描述。

目標

如上所述，我們的兵棋推演的首要目標是探索盟軍的行動如何在挪威和大西洋北部地區進行，并找出錯誤的觀念和缺乏的知識。我們的觀點是，我們對盟軍在挪威境內或附近的行動可能是什么樣子的認識不足，而且為了分析挪威的防御能力，我們需要提高我們對這種行動的認識。但究竟什么是我們不了解的，甚至哪些領域和主題是我們應該追求的，都不清楚。

因此，我們從一個非常松散的游戲1開始，通過這個游戲，我們旨在確定我們可以在后續游戲和分析中研究的問題。隨著我們進行一系列兵棋推演，增加了知識，提高了進行兵棋推演的技術能力，使我們能夠把注意力更多地放在行動者作戰方案的細節和現實上。因此，游戲2-4更直接地關注于研究紅方和藍方在相關場景中可能的作戰方案。

要求

在我們開始開發系列游戲之前，我們確定了一些限制和要求。

關于設置：

• 執行游戲（包括向玩家介紹情況）的可用時間為一天。

• 參與者不一定是軍事或政治專家。

• 應該有裁判員裁決。

• 游戲應該考慮到行動者之間的動態關系。

• 我們應該能夠在最小的技術支持下運行游戲。

關于內容:

• 由此產生的CoA應該涉及軍事戰斗。

• 盟軍被迫參與到沖突中來。

• 紅藍雙方在團隊規模和背景方面不應過于不平衡。

游戲設置

游戲中的每個角色都由一個小組來扮演。白方小組由一名主持人和一到兩名記錄員組成。這個小組還充當裁判員。

在游戲開始前，向玩家們介紹了以下內容:

• 對局勢的總體描述進行總結的場景，在整個游戲2-4中大致相同，而游戲1開始于當地沖突的后期階段。

• 戰略前提（這部分在游戲1中不夠精確，見下文）。

• 對現有部隊結構的描述（作戰順序）。

• 一組政治/軍事目標或玩家在游戲中要達到的目標。雖然這些目標是松散的現實的，但它們是有目的的沖突，以便玩家在追求解決方案時訴諸暴力（在游戲1中，玩家可以自由地追求他們為自己制定的任何目標）。

作為游戲2-4的起點，各小組的任務是制定一個簡化的行動設計，并根據他們的目標確定他們的首選最終狀態。這由白方小組收集并用于分析。每個游戲在7-8小時的時間范圍內包括三到五個回合。

各輪游戲

在游戲1中，各小組被要求決定一系列的行動和步驟，這些行動和步驟在全體會議上口頭提出，并在包括白方小組在內的所有參與者中討論。每次全體會議后，白方小組根據他們對事件進程的主觀意見和想法對沖突進行裁決。

在第2-4輪游戲中，玩家的任務是寫下他們的行動或舉動，并解釋為什么會成功，這符合矩陣游戲方法。在這次分組討論中，各小組被允許使用"外交手段 "進行互動。這些行動和舉動通過電子郵件發送給白方小組，然后在全體會議上按照預定的順序提出。支持和反對這些行動成功的論點在全體會議上提出并討論。戰斗行動員的動作需要裁決，并在全體會議結束時寫下來供白方小組評估。白方小組裁判員確定了可能的結果及其概率。然后通過擲骰子對結果進行裁決。每次全體會議后，主持人都會更新一張大的態勢圖，并提交給各小組。

角色

由于兵棋推演的目的是探索在挪威境內或附近的盟軍行動，我們需要代表挪威、挪威的盟軍和俄羅斯的角色或行動者，作為未來可能對挪威造成威脅的一個相關例子。

所扮演的角色是挪威、美國、北約（不包括挪威和美國）、戰略級俄羅斯、俄羅斯北方艦隊，以及瑞典和芬蘭的組合。在第一場游戲中，俄羅斯只代表一個角色，而瑞典和芬蘭則沒有代表（見下文）。北方艦隊是一個獨立的角色，因為他們并不被迫聽從戰略級俄羅斯的命令。我們使用了兩個俄羅斯角色，試圖平衡對立雙方。見圖1。

分析

在游戲期間，我們收集了選手的意見，記錄了裁決，并討論了由此產生的CoA。作為總結的一部分，收集了經驗教訓并確定了知識差距（見下文）。每場比賽都有一份單獨的報告。

場景以及游戲如何展開

在我們的游戲中，我們使用了不同的場景，其中沖突起源于世界的其他地方，并橫向升級到高北地區。在游戲1中，對場景和角色的目標進行了松散的描述。游戲者開始時的情況是，俄羅斯試圖保護他們的第二打擊能力--位于科拉的彈道核潛艇--并攻擊挪威領土，以便在他們的防御位置上創造更多的深度。由于定義松散的場景和缺乏關于基本前提的信息，這個游戲很難玩。比起盟軍的行動，我們更了解我們在設計戰爭游戲方面的不足。我們將在下面討論在這樣的游戲中正確定義基本前提的重要性。游戲1的主要目的是確定需要進一步調查的問題和議題；從這個意義上說，這個游戲是成功的。

在游戲2-4中，我們使用了一個俄羅斯和北約在黑海地區進行戰斗行動的場景。俄羅斯正在尋求減少土耳其對敘利亞的壓力，沖突可能會橫向升級到波羅的海地區和北部高地。這些游戲有明確的目標和相關角色的戰斗命令，以及關于使用核武器、瑞典和芬蘭的立場和其他參數的基本前提。

在這些游戲中，人們反復觀察到，玩家的行動很少引發軍事戰斗行動。由于我們的目標是關注盟軍在高緯度地區沖突中的軍事作戰方案和能力需求，這是一個問題。沖突雙方的玩家都動員起來，把部隊移到北方的潛在沖突地區附近，但有幾個玩家試圖避免在該地區發生全面戰爭。

為了引發沖突，白方通過不同方式引入潛艇事件進行干預。在其中兩場比賽中，一方的 "流氓 "潛艇在另一方的大本營附近被發現，這使沖突按主持人的意愿升級。在第四場比賽中，場景從一開始就稍有改變，有一艘失蹤的潛艇，并修改了目標，試圖引發一場沖突。有點令人驚訝的是，這把游戲變成了一個危機管理游戲，所謂的敵人為了找到潛艇而合作。同時，雙方都調動了自己的力量，為可能的升級做準備。

在游戲中，挪威的陸地領土只在很小的程度上受到影響。用于向其他地區投射力量的空軍和海軍基地是個例外，這些基地受到了遠程精確武器的攻擊。另一方面，該地區的島嶼是有吸引力的目標，兩個主要政黨的陸軍在兩個不同的游戲中分別控制了冰島和斯瓦爾巴群島。無論如何，大部分活動是在海上進行的，包括海面以下和海面以上，有海上和空中力量。除此之外，雙方都強調在網絡領域的攻擊，并對對方后方的后勤和基礎設施進行破壞。雖然我們對可能的行動方案有了一些想法，但在量化能力需求方面，我們仍有很長的路要走。然而，我們已經發現并隨后填補了一些知識空白，并且更接近于讓正確的主題專家參與進來，并接近于我們改進對聯盟相關能力需求分析的最終目標。

同樣重要的是要意識到，我們只是從非常多的作戰方案中扮演了幾個樣本，而且我們顯然不能用我們的觀察來預測真實場景會如何發展（見下文）。請注意，這種預測并不是我們進行場景分析的目的；我們的最終目標是確定對場景變化具有穩健性的能力需求。

關于開展兵棋推演的一些經驗教訓

清楚地傳達游戲的目的和目標是很重要的，而我們在讓玩家與我們的意圖保持一致方面做了很多努力。這可能是因為一些參與者沒有軍事行動的場景分析經驗，但有危機管理游戲的經驗。一些參與者試圖避免升級和使用軍事力量，盡管這是白宮明確表示的意圖。

關于這個問題，我們在作戰和戰略層面的混合游戲中并沒有幫助。這種混合的好處是，主要在戰略層面思考的玩家有軍事行動工具可以使用。這讓選手們對這兩個層面都有了有益的了解。問題是，游戲參與者的任務是實現政治性的目標，同時被期望采用相當詳細的作戰順序。目標和手段之間的矛盾可能使白軍更難實現他們的意圖。許多玩家對作戰順序所提供的詳細程度感到不舒服。在某種程度上，詳細的作戰順序也將人們的注意力引向了詳細的戰術層面，玩家可以更多地考慮整體的CoA。由于總的意圖是學習軍事行動方案，玩家的目標可以用軍事行動術語而不是政治層面來給出。

在兵棋推演系列的過程中，我們學到了很多關于如何引入場景，以使玩家適當地參與到場景中。然而，即使是在第四場比賽，即該系列的最后一場，事件也出現了意想不到的轉折，因為白方小組引入了本應是沖突的觸發器，使游戲變成了合作式的搜救游戲。對于如何介紹這個場景，以使玩家與白方小組的意圖保持一致，我們沒有任何方法，只知道要注意這些困難。

改善長期防御分析中的聯盟因素

在我們對挪威長期防御規劃過程的支持中，我們使用了通過形態分析開發的場景組合。通過我們上面描述的兵棋類別，我們可以改進我們的方法--從對定義場景組合的參數和組合的更好理解到確定場景中的作戰方案和能力需求。我們既發現了可能的新參數組合，也發現了已經定義的參數組合中缺失的場景。

例如，在我們的系列兵棋推演中研究的大國之間的沖突類型中，挪威和挪威的國防可能對大局沒有什么影響。然而，這樣的場景對挪威部隊的發展會有重要影響。我們從游戲中得到的經驗是，我們需要開發更多的場景，使挪威卷入這種并非由任何對挪威領土或挪威部隊的攻擊所引發的、我們的聯盟與對手之間的沖突。我們現在已經開發了一些技術，將這類場景納入我們的場景組合中。

我們發現的另一個重要問題是，場景中的時間線難以確定。聯盟需要多長時間才能到達？他們將到達哪里？以及用什么力量？對于挪威武裝部隊的能力需求，不同的答案可能會導致非常不同的結論。這一點可以通過敏感性分析來探討，在新的或現有的情況下，改變一些關于時間、地理和部隊的參數。

基本前提的重要性

在第一場游戲中，我們想確定在方法論開發和分析工作中必須解決的盟軍行動的各個方面。基本問題很簡單："關于盟軍行動，我們不知道的是什么？" 這導致我們以一種非常松散的 "看看發生了什么 "的方法來進行游戲，這導致了關于參數將影響盟軍在北方的行動的方式討論。場景中有許多隱藏的條件，我們預計這些條件是明確的或不重要的，但結果卻是模糊的和至關重要的。由于存在未定義的戰略因素，玩家們無法確定最佳作戰方案。因此，主要結果是對基本前提的重要性有了更好的理解。

在第一場比賽中，缺少基本前提的一個例子是瑞典和芬蘭的角色和態度。進入瑞典和芬蘭的領土和領空將大大增加盟軍的選擇，但這將取決于瑞典和芬蘭的合作。沒有代表這些國家的玩家，我們也沒有確定他們在劇情中的位置。這一疏忽可能是由于白宮的一個隱含假設，即這些國家將站在挪威及其盟國一邊。然而，在現實世界的未來局勢中，他們的立場將取決于他們對嚴重卷入一場他們可以避免的沖突的恐懼，以及他們如何重視與挪威和挪威盟友的良好關系。

因此，在第一場游戲之后，我們建立了一個戰略因素清單，我們需要在接下來的游戲中明確這些因素。這些因素包括每個參與者的明確目標、技術因素、公眾輿論以及當地游戲場外的事件（特別是玩家是否需要在其他場域的沖突中平衡其軍事努力）。

非明確的基本前提的問題比兵棋推演的背景要普遍得多。當決策者評估有關他們選擇的現有信息時，他們依賴于陳述的清晰性和透明度。行動員有責任知道并傳達結論和建議所依據的假設。這表明了它們的有效性。決策者的責任是判斷這些方案是否對基本假設的變化有足夠的把握。這是一種風險判斷。

全面記錄所有的基本假設是不可行的。有一些假設是非常確定的，以至于把它們繪制成圖表是沒有意義的。也會有一些不太確定的假設，在這些假設中，失敗的后果不足以證明需要付出的努力。我們必須確定那些有影響的、很可能會失敗的假設。

我們永遠不可能知道是否還有一些我們尚未明確的重要假設。但對這一問題的關注應能提高分析的深度和適用性。

因此，我們看到，第一場比賽的經驗告訴我們，在分析中要更小心地避免隱含前提。我們認為，這對任何參與武裝部隊發展的人來說都是重要的一課，從國防教育課程畢業的軍官應該習慣性地以關注基本假設的方式來迎接任何分析。此外，我們認為，兵棋推演的形式，即玩家被迫根據現有的信息來選擇他們的行動，暴露并強調了這種關注的重要性。

確定知識差距

正如導言中所討論的，無論是個人還是團體，都很難評估自己的知識。盡管一個人可能認為自己了解盟軍的軍事行動，但當他的知識受到考驗時，錯誤的觀念和缺乏的信息會浮現出來。在安全的兵棋推演環境中發現這些知識差距，比在聯合總部尖銳的計劃情況下發現這些差距，或者在基于錯誤建議的決策產生不良結果時發現這些差距要好。

在我們的兵棋推演系列中，一個重要的例子是，參與者，其中大部分是民間分析家，并沒有真正理解涉及航空母艦和航母編隊的行動。我們的分析員通常研究挪威軍隊，對他們來說，航空母艦的能力有點異乎尋常。然而，正如我們的游戲所顯示的，如果我們想了解挪威部隊可能參與的未來盟軍行動，盟軍將這種能力部署到我們的地區作為當地情景的一部分是一種可能性，我們需要考慮到這一點。

另一個在兵棋推演中更明顯知識差距的例子是，從敵人手中奪回土地的行動性質將涉及兩棲攻擊。此外，多種技術性質的未知因素也影響了我們的兵棋推演。這方面的例子包括不同類型飛機的作戰范圍，以及導彈攻擊以地基防空系統防御的空軍基地的效果。

這種知識差距有兩種情況。一方面，有一些導致我們從外部來源尋求更多的信息。它們與 "X是如何工作的 "這一問題有關。在這種情況下，X可能是一個軍事系統（例如一個航空母艦群），也可能是一個一般的作戰概念，如兩棲作戰。另一方面，有一些知識差距導致我們以諸如建模或模擬更詳細的小插曲式子場景的形式進行進一步分析。

在我們的系列兵棋推演中，我們利用每場游戲的觀察結果，建立了進一步調查的議題清單，直到下一場游戲。我們通過查閱文獻和創建簡單的事實表來解決其中一些問題。對于一些概念性的議題，我們在下一次游戲前舉行了簡報會，由我們小組中指定的事實核查員，或邀請的專家來進行。此外，我們還確定了一些戰術小故事，我們計劃對其進行更詳細的研究，以改進我們基于能力的分析。

了解自己的洞察力的局限性是很重要的。對于軍官來說，一個尖銳的計劃情況可能會包含與以前的行動和演習不同的因素。我們已經看到，我們的兵棋推演成為識別我們知識差距的工具，否則這些差距可能會被忽視。這導致了知識的發展，使我們的工作有了更堅實的基礎。當然，一個人不可能填補所有的知識空白--但兵棋推演作為一種評估自己知識的方法，應該引起官員們的興趣。

了解不確定性

根據定義，基于場景的分析與不確定性有關。從一些確定的初始條件出發，情況的發展可能會有巨大的變化。像我們在這里討論的那些兵棋推演，每次只能探究其中的一種延續。因此，兵棋推演的結果只代表一個樣本結果。更嚴格的結果，如果可以得到的話，需要隨機模擬和仔細建模。

基于兵棋推演的信息的有效性可能會被高估，除非清楚地了解游戲中的作戰方案在多大程度上代表了可能的情況。從兵棋推演中過度歸納的危險很大；觀察到的結果可能在很大程度上取決于玩家的任意選擇、隨機裁決或玩家的個性和偏好。在我們的游戲中，我們確實觀察到某些玩家更愿意進行先發制人的進攻，而其他玩家則更注意不要升級。由于游戲之間的隊伍被洗牌，這對事件的進程產生了重大影響。

由于兵棋推演可以揭示出在真實情況下應該避免的風險和其他弱點，因此它們可能更適合于發現事情不應該發生的方式，而不是它們會如何發生。

提供決策支持的分析人員必須意識到這些問題--但決策者也有必要認識到這些問題。有了從這種兵棋推演中獲得的第一手經驗，人們可能就不太相信兵棋推演可以為真實情況的發展提供明確的答案。

參與帶來理解和信心

支持國防事務決策的分析工作往往非常復雜。這樣的工作必然涉及到許多人，其中沒有一個人對整個主題有深入的了解。首先，參與者必須對自己的責任領域有深刻的了解。然后，他們需要充分了解他們的同事的情況，以便相信結果，并理解其對自己工作的影響。

國防分析中的兵棋推演的一個優點是，它是一種讓人們參與其中的方式。因此，需要注意的是，雖然主題知識，特別是軍官的主題知識，在FFI的工作中至關重要，但可能很難有效地獲得這些知識。主題專家（SMEs）和分析員必須有一個共同的參考框架，以便相互理解。兵棋推演提供了一個集中討論的舞臺，在這里，適當的背景和規則是被迫的。

我們的兵棋推演提供了一個機會，作為一個由作戰分析員、軍官、安全政策專家和技術專家組成的小組，共同探討各種場景。兵棋推演的形式為討論提供了一個共同的參考框架，并幫助我們理解整個分析拼圖，而不僅僅是我們自己的碎片。

基于場景的分析經常受到那些沒有參與分析過程的人的懷疑。兵棋推演提供了一個讓利益相關者和結果使用者參與的舞臺，幫助他們信任和理解游戲中產生的分析結果。作為一個積極的參與者，他們將更好地理解結果的影響和局限。

結語

一系列兵棋推演讓我們學到了很多關于如何改進我們對聯合總部的長期防御計劃和作戰計劃的分析支持。我們利用兵棋推演發現了我們對軍事系統和行動的知識不足之處，并揭露了以前想當然的錯誤觀念和結論。我們也已經能夠改善我們的場景組合應對對軍事威脅環境。此外，我們現在更好地理解了如何描述決定基于場景分析結果有效性的一些因素。

雖然我們還沒有修訂未來的能力要求，但我們現在能夠更好地邀請外部專家和利益相關者參與兵棋推演，為導致修訂要求的分析活動作出貢獻。因此，整個內部系列可以被看作是測試更有影響的游戲的一種方式。

兵棋推演不僅僅是讓有知識的人參與進來和探索場景中的可能性的絕佳方式。它是了解計劃中風險和弱點的好工具。但應該注意的是，我們所使用的這種形式的矩陣游戲不一定適合于預測或獲得關于場景如何發展的確定信息：自由度實在太多。對于分析人員和依賴分析支持的決策者來說，理解這些限制是很重要的。

特別是，我們認為，在使用基于場景進行分析的官員需要接受培訓，以識別基本假設和結果的有效性是否得到充分的描述。對兵棋推演的親身體驗可以讓人更好地理解這一重要性。

兵棋推演提供了一個通過實驗學習的機會，探索可能性，發現知識的差距和局限性，挑戰當前的觀點，并理解不確定性。

摘要

欺騙技術在網絡防御領域越來越受歡迎。本文試圖將欺騙建模為非合作博弈環境下的戰略決策。我們將網絡安全系統和黑客之間的互動建模為一個攻擊者和防御者的博弈。為攻擊者引入了一個無成本的指數學習方案，其中的博弈是在一個抽象的網絡圖上進行。該博弈在主動目錄用戶網絡上模擬了特權升級攻擊的場景。欺騙，以假用戶的形式，被植入整個網絡。博弈的策略在于在網絡的不同位置放置誘餌，以阻礙攻擊者實現其目標的理想路徑。結果表明，即使是最簡單的基于欺騙的安全系統，也會大大減緩攻擊者實現其目標的速度。此外，結果表明，與節點相關的網絡參數和成本陰影在決定結果方面起著重要作用。

關鍵詞：網絡安全；博弈論；欺騙；模擬；攻擊者與防御者博弈

1 簡介

傳統的網絡安全防御依賴于基于周邊的方法（Zaliva，2008）。這些方法利用異常檢測系統，通過分析安全數據湖來應對我們的可疑事件。數據湖是收集安全網絡內不同系統日志的數據存儲。安全數據湖是巨大的，每秒鐘從各種數據源中獲取數百萬安全事件。任何異常事件都會被檢測到，并顯示給安全分析員，以檢查警報的真實性和準確性。然而，由于以下原因，這些系統并不健全。

1.大量的誤報(Axelsson, 2000)

2.捕獲、存儲和索引數據湖是一個昂貴和復雜的過程。

此外，大量的錯誤警報會給安全分析員帶來損失，導致真正的警報被遺漏的情況發生。這些系統遵循被動的防御策略，其目標是防止攻擊。這很少奏效，因為破壞目標系統的平均時間較短，而且一直在穩步下降（Leversage and Byres, 2008）。傳統的網絡周界--許多這些預防技術通常部署在這里--已經變得松散，并經常被突破。云計算、移動性和自帶設備（BYOD）以及面向互聯網的應用程序的激增，使得這些周邊防御變得無效（inc，2017）。

欺騙技術作為一種積極的網絡安全防御形式正在迅速崛起（Mitnick和Simon，2011；Almeshekah，2015；Yuill等人，2006），并被用于緩解上述情況。欺騙技術的重點是創造陷阱（欺騙/誘餌）和誘餌，并部署在現有的IT基礎設施內。所使用的欺騙手段并不是常規操作的一部分，而只是在網絡攻擊中被揭露。攻擊者或入侵者花費時間和精力來定位和訪問分布在企業網絡中的欺騙行為。他們這樣做是認為欺騙是真實的，但實際上是專門為攻擊而設置的。任何關于欺騙的操作都是對妥協的積極肯定。換句話說，在一個基于欺騙的解決方案中，一個高度積極的異常現象會宣布自己，從而減輕假陽性的泛濫（inc，2017）。

在本文中，我們制定了一個非合作性的攻擊者-防御者博弈，以模擬攻擊者和防御者之間的互動，使用欺騙作為主動防御的工具。將黑客和安全系統之間的互動建模為一個博弈的想法并不新穎（Zhuang等人，2010；Xu和Zhuang，2016）。然而，在一個圖框架內使用欺騙來定義博弈模型，之前還沒有人嘗試過。在我們的框架中，每個原子欺騙單元被認為是由真實服務單元組成的圖中的一個節點。我們把這個圖稱為抽象網絡圖（ANG）。ANG是對真實網絡圖的一種同構抽象。每個原子功能單元都是ANG的一部分。因此，由各個功能單元組成的主機本身就形成了子圖。例如，一個企業的主機有一個網卡（NC），它連接在主板上，由CPU控制。NC、主板和CPU可以被看作是企業ANG的節點。在這個主機上運行的任何應用程序或進程也將是ANG的一部分。圖1中顯示了一個代表不同類型節點的ANG樣本。我們設計了在內部ANG放置欺騙的策略，以最大限度地提高防御者獲勝的機會。不同的攻擊場景被建模和模擬，以列舉攻擊者可能遵循的不同可能性。關鍵的想法是欺騙攻擊者并誤導他，從而耗盡他的資源。

圖1. 一個企業中的抽象網絡圖（ANG）樣本

攻擊者所追求的資源之一是活動目錄（Chadwick, 2005; Metcalf, 2016）。活動目錄服務控制著廣泛的基于目錄的身份相關服務的訪問權。為了使建模更加真實，我們選擇活動目錄攻擊來進行博弈模擬。攻擊者試圖通過不同的策略來控制AD。我們將建模的重點放在使用密碼重置方法Metcalf（2016）的一種特權升級形式上。這種形式的攻擊通常被稱為重置密碼攻擊。其基本思想是利用未經授權的訪問權限授予用戶認證。為了減輕這種攻擊，我們以假用戶和假憑證的形式進行欺騙，以誤導攻擊者。我們提出了我們對這些攻擊的模擬結果和分析。

這項工作的主要貢獻和意見是：

• 使用欺騙手段制定攻擊者-防御者博弈的基于圖的新方法

• 經驗表明，部署欺騙會大大增加攻擊者實現其目標的工作量。

• 表明通過增加欺騙手段來增加圖中的節點數，即用戶數是有益的。

• 確定了圖的屬性在攻擊者和防御者之間的決斗結果中起著重要作用。

盡管我們為主動目錄攻擊建立了博弈模型，但我們的博弈模型是可擴展的，并能穩健地模擬任何基于欺騙的防御策略。本文的其余部分如下：在第2節，我們描述了欺騙和ANG背后的概念。我們在第3節中介紹了我們的工作背景。在第4節中，我們解釋了博弈的制定和包含的模型。第5節解釋我們的實驗設置。在下一節中，將介紹模擬的結果和討論。最后在第7節中對本文進行了總結，并提出了一些未來的指導意見。

圖 3. 特權升級與欺騙之間的部署。在這種情況下，攻擊者被迫探索更大的網絡。

任務工程是對一個系統體系（SoS）的應用效果進行量化，以實現可衡量的預期結果。任務執行是由任務線程定義的，也就是由子系統執行的行動/過程序列組成。通常情況下，有許多合理的任務線程可以被執行。復雜任務域被認為是"棘手的"，因為傳統的軍事和空間系統工程實踐由于缺乏離散化工作、對環境的依賴和任務線程非唯一性而失敗。棘手問題通常是非結構化的，沒有集中的控制，并且不適合線性的分步求解。棘手問題本質上是不確定的，這導致了更廣泛的問題，即產生對任務知識庫和任務分析的信任問題。復雜任務的性質要求采用迭代方法，從而不斷減少不確定性，提高信任度，并完善任務線程的拓撲結構。本文所描述的方法是基于應用范疇論（ACT）的；本文基于OODA的任務線程分解，側重于博伊德的ORIENT功能；本文提出的信任度指標，為決策者提供對結果的信任度。

執行摘要

任務工程是對一個系統體系（SoS）應用的效果進行量化，以實現可衡量的預期結果。一個任務可以受到動態環境的制約，也可以從動態環境中受益。環境被定義為背景的一個子集，只占許多條件中的一個，這些條件既有助于定義，也能改變任務的執行。任務的執行是由任務線程定義的；也就是由子系統執行的行動/過程序列組成。通常情況下，有許多合理的任務線程可以被執行。任務線程可以被分解為事件鏈。一個事件鏈是一個具有可量化結果的 "短"事件序列。

傳統的系統評估建模和仿真（M&S）工具很難在任務層面上描述性能。通常，這些工具是結構化的、針對離散事件進行仿真，在系統層面上使用很成功，但在任務范圍內應用于系統時，由于許多原因而失敗。另一種方法是放棄單一的M&S方法，試圖為任務的成功提供一個真實/錯誤的答案。相反，采用一個結構化和非結構化M&S方法的工具箱，為可接受的任務成功標準提供各種量化的觀點，從而為任務背景提供更豐富的洞察力。

如果任務是由許多源自次優化業務規則的活動部件構成的，那么任務就會很復雜。從組合學的角度來看，在執行一個給定的任務時，可能會有許多看似合理的任務線程。任務是圖形化的，任務圖中的每個節點和邊都包含結構化和非結構化的信息，包括元數據、功能行為以及經驗和虛擬數據。任務可能是高度復雜的，數據存儲將是廣泛的，節點的數量預計將超過10^9。

高度復雜的任務域被描述為 "棘手的"，因為傳統的基于軍事和空間項目的系統工程實踐由于缺乏離散化工作、對環境的依賴和任務線程的非唯一性而失敗。棘手的問題也傾向于非結構化，沒有集中的控制，或只是簡單的等級結構，并且不適合線性的分步流程。由于復雜性和環境的動態性質，棘手問題本質上是不確定的。這種不確定性導致了更廣泛的問題，即對任務知識庫和任何任務分析的信任度。

SoS滿足任務目標的性能在很大程度上是由中間環節（系統之間的關系）、SoS本身和操作環境決定的。SoS和環境之間的動態相互作用排除了單一的最佳答案，盡管可能有許多足夠好的答案。換句話說，很可能有多個合理的任務線程來實現一個特定的任務成功措施。

任務分析應該在一組有代表性的邊界任務線程上進行，而且分析中的不確定性必須被量化。必須對任務各方面的信任度進行衡量，作為決策的基礎。復雜任務的性質要求采用反復的方法，從而不斷減少不確定性，提高信任度，并完善任務線程及其組成事件鏈的拓撲結構。

對任務效果的可信預測需要一個多方面和分層的方法。

1 簡介

任務工程是對一個系統體系（SoS）應用的效果進行量化，以實現可衡量的預期效果。一個任務可以受到動態環境的制約或受益。環境被定義為背景的一個子集，只占許多條件中的一個，這些條件既有助于定義，也能改變任務的執行。任務的執行是由任務線程定義的；也就是由子系統執行的行動/過程序列組成。通常情況下，有許多合理的任務線程可以被執行。任務線程可以被分解為事件鏈。一個事件鏈是一個具有可量化結果的"短"事件序列。

任務可以利用基于圖的方法進行數學描述。一個任務圖由系統、環境、策略和理論以及連接關系組成。系統由圖中的節點代表。系統的行為往往受數學定律或方程的制約（如牛頓力學和麥克斯韋方程）。任務圖的邊定義了節點之間的關系和相互作用。這些關系是可量化的行為，可用于預先確定任務成功標準。兩個節點之間可以有很多邊。任務線程是通過該圖的關鍵路徑。任務的成功由系統間的關系或間隙空間主導[Garrett, 2011]，即整合所在的結構或物質之間的空間。

傳統的系統評估建模和仿真（M&S）工具很難在任務層面上描述性能。通常，這些工具是結構化的、針對離散事件的仿真，在系統層面上使用很成功，但當應用于任務背景下的系統時，由于許多原因而失敗[Riox, 2002] [Henriksen, 2008]。Kinder建議擺脫單一的M&S方法，這種方法試圖為任務的成功提供一個真實/錯誤的答案。為了評估SoS，他采用了結構化和非結構化的M&S方法的工具箱，為可接受的任務成功標準提供各種量化的觀點[Kinder, 2014]，從而為任務背景提供更豐富的洞察力。

如果任務是由許多源自次優化業務規則的活動部件構成的，那么任務就會很復雜。雖然復雜性經常被用于描述SoS，但它很少被量化[Ladyman, 2013]。就任務工程而言，復雜性是對程度的衡量，定義為一個有序的三要素（n，e，p），其中n是任務圖中節點的數量，e是圖中邊的數量，p是定義的路徑或任務線程的數量。在任務圖中，邊的數量可以接近n^2（n的平方），路徑的最大數量可以接近n!（n的階乘）[Guichard, 2017]。從組合學上看，在執行一個給定的任務時，可能會有許多看似合理的任務線程。任務圖中的每個節點和邊都包含結構化和非結構化的信息，以包括元數據、功能行為以及經驗和虛擬數據，即實時、虛擬和建設性的數據[Urias, 2012]。由于組合學的原因，任務圖預計將是高度復雜的，數據存儲將是廣泛的。圖數據庫是成熟的技術，具有可擴展性和可延伸性，非常適合于存儲這些大量的和多樣化的預期任務數據集。圖可視化和查詢工具是現成的，與數據庫兼容[Besta, 2019]。

隨著任務知識的增加，相關的任務圖數據存儲的復雜性將大大增加，節點數量預計將超過10^9。 高度復雜的任務域被描述為 "棘手的"，因為傳統的基于軍事和空間項目的系統工程實踐由于缺乏離散化工作、對環境的依賴以及 "足夠好 "的任務線程的非唯一性而失敗。棘手的問題也傾向于非結構化，沒有集中的控制，或只是簡單的等級結構，并且不適合線性的分部流程[Rittel, 1973]。由于環境的復雜性和動態性，棘手的問題本質上是不確定的。這種不確定性導致了整個任務知識庫和任何任務層面分析的信任問題[Liu，2016] [Loper，2019]。

SoS滿足任務目標的性能是由中間環節（系統之間的關系）、SoS本身和操作環境決定的。SoS和環境之間的動態相互作用排除了單一的最佳答案，可能有許多足夠好的答案。換句話說，很可能有多個合理的任務線程來實現一個特定的任務。任務分析應該在一組有代表性的邊界任務線程上進行，而且分析中的不確定性必須被量化。必須對任務各方面的信任度進行衡量，作為決策的基礎。復雜任務的性質要求采用迭代的方法，從而不斷減少不確定性，提高信任度，并完善任務線程的拓撲結構及其組成事件鏈。

本文提出了一種多方面的、本質上非結構化的、迭代的建模、仿真和分析循環（MSAL）方法，以更好地定量評估任務成功率。通過真實例子展示多層次、多維度的任務模型和事件鏈的創建。出發點將是美國國防部（US DoD）提出的任務工程和集成過程。然后，這個過程將被嚴格地擴展，并應用于一個替代性例子中的通用任務，該例子利用一個城市街區，涉及到人們在街區內穿梭，并參與教育和工作的功能，其具有潛在的欺騙行為。這項工作的重點是建立一個基于應用范疇論的嚴格任務模式，以及基于觀察、定向、決定、行動（OODA）循環的任務功能分解方法[Boyd, 1987]。這個示范創造了必要的圖基礎和數學基礎，MSAL可以應用于此。最后，我們將介紹一種量化信任的通用方法。

2 應用范疇論（ACT）

雖然關于SoS的知識可以采用知識圖譜來存儲和操作，但這種表述方式無法捕捉到物理互動的數學本質。在棘手的問題中，我們發現每個子領域都受不同的數學原理支配。例如，在無線電通信的電磁領域，系統受麥克斯韋方程和相位與振幅的求解方程支配，但這些無線電通信是在社交網絡上傳遞信息，而社交網絡是由離散的通信圖上的隨機過程支配的。為了整合這些基本動態的巨大差異，我們必須在應用范疇論（ACT）提供的統一數學理論中存儲信息。

我們的軟件方法（//github.com/jpfairbanks/SemanticModels.jl ， ）實現了一個快速發展的數學領域，即ACT，它通過范疇的視角來理解物理和計算系統[Halter et. al, 2019]。范疇是一種數學結構，由對象（事物）和形態（事物之間的關系）構建，其中結構來自形態的組成。數學的傳統表述以集合論為中心，對象是集合，形態是功能，具有功能組合的傳統定義。幾乎任何數學對象都可以被看作是一個范疇，例如，圖是一個以頂點為對象、以路徑為形態的范疇。在圖中，你通過從頭到尾串聯路徑來構成路徑。化學、生物和生態體系可以被看作是以物種為對象、以反應為形態的類別。對反應來說，如果反應的產物是反應的試劑，就可以組成。 系統工程中的過程可以被建模為一個范疇，例如，協同設計可以被建模為一個范疇，對象是資源，提供輸入資源的組件，產生輸出資源[Censi, 2017]。ACT尋求超越領域和學科的數學知識的普遍表示。ACT方法本身具有計算性和通用性，這使得它成為研究任務工程和集成的理想框架。

通過采取ACT視角，我們可以建立數學和計算工具來分析不同領域的系統。統一的范疇框架允許將不同的數學框架表示為一個共同的代數結構。這種異質建模框架的統一使我們能夠建立足夠專業的工具，以利用關于應用領域的結構化知識，但又足夠通用，可以根據通用接口編寫軟件。這種方法的一個例子是將任務線程建模為圖。現有的基于圖的技術將連邊作為主要結構，并為了理解或計算效率而建立系統的分層表示，而ACT方法將網絡的分層設計作為主要內容，并直接處理該分層的結果。

一旦一個系統被建模為圖，圖分析技術，如尋路、中心性和社團挖掘，就可以用來分析該系統。尋路技術被用來探索圖中的路徑。尋路的一個例子是谷歌地圖，其中兩點之間的幾條最短路線是按照距離和時間計算的。在任務模型中，該技術可用于探索備用的任務線程或事件鏈。中心性被用來探索任務圖中的節點作用。中心性提供了一個連接性的度量。它還需要找到具有重要控制力或影響力的節點，這些節點可能是通信或決策中的脆弱點。社團挖掘算法是基于尋找群體內的關系和行為。這些群體可能是一個彈性的結構，也可能導致后續的失敗。這些技術所使用的算法是成熟的，并且可以作為開源工具使用，例如，Apache Spark與GraphX。這些技術將提供洞察力，使任務模型和/或任務線程的拓撲結構發生變化[Fairbanks等, 2015]。然而，ACT視角為分析系統開辟了一套全新的工具，如通過最優傳輸對網絡與元數據進行比較[Patterson 2019]。

任務工程是一個固有的多領域問題，問題的動態似乎過于復雜，無法用數學建模。然而，當試圖確定一套單一的數學規則來仿真任務的所有方面時，情況確實如此。當你把任務分成每個領域并分別建模時，任務工程過程就可以進行數學分析。然而，由于不同領域的規則各不相同，傳統的模擬軟件開發技術無法對系統進行統一的處理，而這對于建立大規模的軟件來準確仿真復雜的任務是至關重要的。只有通過ACT范式，我們才能看到這些不同的數學建模框架是具有各種公理范疇的。然后，我們可以建立與公理的明確表示相配合的軟件，為復雜多領域任務的數學建模和計算機仿真建立一個統一的軟件生態系統。建立模型對于棘手問題中的任務工程來說是不夠的，你建立的模型必須被用來推理世界并做出決策。這個決策過程要求模型在分析上或數字上是可操作的。ACT視角為你提供了一個用符號代數分析系統的框架，當沒有分析解決方案時，可以輕松過渡到數值分析，這通常是針對棘手問題的。

3 美國防部任務工程和集成過程

美國國防部正在努力建立一個任務工程學科。國防部通過采辦與維持副部長辦公室的《任務工程與集成指南》[DoD, 2020]，為任務工程與集成（MEI）定義了一個基于任務的10步流程。本文將從國防部的例子開始，但我們的工作并不限于軍事應用。MEI的步驟是：

• (1) 識別任務和工作。

• (2) 定義任務成功和預期效果。

• (3) 識別任務成功因素。

• (4) 確定每個任務成功因素的條件。

• (5) 將任務成功條件與任務相聯系。

• (6) 確定每個任務的關鍵條件。

• (7) 將系統映射到任務中。

• (8) 為每個任務定義適當的評分標準。

• (9) 應用評分標準。

• (10) 管理指定的任務區。

這個過程開始時是基于語言的分析，收集任務信息。這些數據是從理論和政策中檢索出來的，包括定義背景和行動任務環境的初始任務線程。該過程的下一步是對任務線程進行事件分解，以創建一系列離散的、按順序排列的效應/殺傷鏈（本文中稱之為事件鏈），這些事件鏈由一組任務組成（例如，跟蹤威脅、探測敵意、消除威脅）。事件鏈被表示為圖中的路徑，路徑中的每個節點/系統根據定義的成功標準被主觀地排列為紅/黃/綠。在這個分析中，邊只被隱含地處理。隨著分析的進行，戰術系統取代了鏈上的概念節點。效應/殺傷鏈隨后被重新配置，以最大限度地提高綠色能力。在這些分析的基礎上，任務線程被重新配置，并隨著目標的發展重復分析。背景和環境充其量是隱含的，而且沒有創建支持元數據的任務圖。本指南使用一個簡單的空戰例子來展示這個過程。這個例子的評分標準見表1，評分的事件鏈，使用節點、邊、路徑（n，e，p），在圖1中顯示為一個字符串圖。

表1.用于對空戰例子進行評分的評價標準

圖1.對由三個系統組成的SoS的事件鏈（具有復雜性(14, 15 ,4)）進行評分

4 功能分解，OODA和定向功能

許多基于軍事的事件鏈在構建時都以系統為中心，以滿足必要的系統工程流程。對其系統邊界以外的通信和信息傳遞的評估（特別是在虛擬和建設性測試中）通常只被隱含地考慮。系統級的事件鏈也傾向于系統獨特性，其抽象程度對于任務分析是不必要的。當把不同的系統聚集到一個基于任務的SoS中時，這提供了新的挑戰。一個具有適當抽象水平的SoS/任務事件框架是可取的，它明確表示整個SoS的通信，并提供情境感知。

在圖1的空戰例子中，信息技術（例如，通信、信息技術、數據分析、人工智能）在圖中被表示為邊。這些邊是關于整個任務的集成和互操作性的領域[Garrett, 2011]。因此，邊在任務成功中起著主導作用，需要在事件鏈中明確表示。解決中間環節的過程是基于John Boyd的OODA環路，如圖2所示[Boyd, 1987]。

圖2.John Boyd的OODA環路

觀察、決定和行動是系統功能，博伊德將定向（Orient）定義為它們之間的多面性和反復性樞紐。正是Orient適合代表間歇性功能。博伊德為Orient定義了五個子功能，它們提供了情境感知；但與外部的溝通沒有被考慮。

• 新信息、以前的經驗和分析/合成是直接涉及數據處理的，并且很容易擴展到任務工程。

• 遺傳遺產和文化條件涉及推理，是評估局部環境的一種手段，包括任務環境中的社會背景。

最后兩個定向子功能減少了不確定性，并能做出更好的決定和知情行動[Boyd, 1976]。第六個子功能，通信，被添加到明確地解決整個SoS的信息傳遞。通信子功能不僅僅是擁有通信的手段（如管道）；它包括管道上流動的內容（語法和語義、質量、可信度、及時性）以及由管道（邊）連接的兩個系統（節點）的獨特需求。因此，通信是間隙空間的一部分，是任務中每個系統/子系統之間的基礎性特征。從博伊德戰斗機飛行員角度到SoS任務角度的映射見表2。

表2.將博伊德的定向功能轉化為適合任務工程的SoS結構

圖3將圖1中的空戰事件映射到OODA功能上。有趣的是，沒有定向步驟來實現數據流和通信。為了創建一個代表網絡化SoS的事件鏈，這些OODA功能被明確地穿插到Orient功能中。圖4顯示了可信的觀察和決定事件鏈，其中定向功能被明確表示，定向是表2中前四個子功能之一。在這些事件鏈中，通信子功能被表示為一條有向邊。關于定向功能的循環代表了迭代處理，可以增加顯著的復雜性。這些圖不是事件鏈的唯一解決方案，但代表了任務線程中的合理路徑。將事件鏈和任務線程呈現為基于OODA的圖形，將為后續的定量分析奠定基礎。

圖3.空戰殺傷/事件鏈與OODA功能的映射

圖4.考慮到傳感器網絡配置的循環，空戰例子的一個合理的事件鏈，其復雜程度（30, 50, ∞）。

引言

本文件是北約 IST-151 研究任務組 (RTG) 活動的最終報告，題為“軍事系統的網絡安全”。該 RTG 專注于研究軍事系統和平臺的網絡安全風險評估方法。 RTG 的目標如下：

? 協作評估軍事系統的網絡安全，并在 RTG 的北約成員國之間共享訪問權限；

? 在 RTG 的北約成員國之間共享風險評估方法和結果；

? 將 RTG 的北約成員國使用的評估方法整合到一個連貫的網絡安全風險評估方法中，以使北約國家受益。

軍事平臺比以往任何時候都更加計算機化、網絡化和受處理器驅動。他們大量使用數據總線，如 MIL-STD-1553A/B、CAN/MilCAN、RS-422/RS-485、AFDX 甚至普通以太網，以及戰術通信的舊標準，如 MIL-STD-188C 和 Link 16。此外，捕獲器、傳感器、執行器和許多嵌入式系統是擴展攻擊面的額外無人保護的潛在輸入。結果是增加了網絡攻擊的風險。然而，這些平臺的持續穩定運行對于軍事任務的成功和公共安全至關重要。

軍事系統和平臺是網絡攻擊的首選目標，不是因為它們像消費電子產品那樣普遍，而是因為它們潛在的戰略影響。一旦受到影響，就可以實現各種短期和長期影響，從拒絕能力到秘密降低其有效性或效率。因此，軍隊必須在各個層面解決網絡安全問題：戰略層面，同時獲取平臺和系統；作戰層面，同時規劃軍事任務和戰術。

北約國家擁有大量可能面臨網絡攻擊的軍事平臺和系統。因此，北約將受益于利用當前的流程和方法來設計更安全的系統并評估當前系統的網絡安全。

本報告介紹了針對軍事系統和平臺量身定制的網絡安全評估方法，該方法由 RTG 團隊成員合作開發，并建立在他們的經驗和專業知識之上。團隊成員已經使用的流程被共享、分析、集成和擴充，以產生本報告中描述的流程。本報告的目標受眾是愿意評估和減輕其軍事系統的網絡安全風險的決策者。

圖一：網絡安全評估過程的五個主要步驟。

報告結構

第 2 節介紹了 RTG 團隊在其存在的三年中用于開發流程的方法。第 3 節列出了可以應用該過程的系統的一些特征。最后，第 4 節描述了評估流程，而第 5 節總結本報告。

執行總結

軍事平臺比以往任何時候都更加計算機化、網絡化和受處理器驅動。這導致增加了網絡攻擊的風險。然而，這些平臺的持續穩定運行對于軍事任務和公共安全的成功至關重要。

絕對的網絡安全是不存在的。必須通過迭代風險評估持續管理網絡安全。傳統 IT 系統存在許多網絡安全風險管理框架和流程。然而，在軍事平臺和系統方面，情況遠非如此。本文檔介紹了針對軍事系統量身定制的網絡安全風險評估流程。該流程由北約 IST-151 研究任務組 (RTG) 活動的團隊成員開發，該活動名為“軍事系統的網絡安全”。該過程可以應用于傳統的 IT 和基于固件的嵌入式系統，這些系統在軍事平臺和系統中無處不在。

今天介紹的是美國蘭德公司、耶魯大學聯合發表于The Journal of Defense Modeling and Simulation: Applications, Methodology, Technology（國防建模與仿真學報:應用、方法、技術）期刊的論文“Artificial intelligence for wargaming and modeling”。

摘要：

在本文中，討論了如何將人工智能 (AI) 用于與擁有大規模殺傷性武器和其他涉及太空、網絡空間和遠程精確度的高端能力的國家發生沖突的政治軍事建模、模擬和兵棋推演武器。人工智能應該幫助兵棋推演的參與者和模擬中的代理人了解在不確定性和錯誤印象下作戰的對手的可能觀點、看法和計算。人工智能的內容應該認識到升級的風險，導致沒有贏家的災難，但也有可能產生有意義的贏家和輸家的結果。我們討論了對設計和發展的影響使用多種類型的 AI 功能的模型、模擬和兵棋推演。我們還討論了使用模擬、歷史和早期兵棋推演的理論和探索性工作為兵棋推演決策輔助工具，無論有無人工智能。

關鍵詞：

人工智能，兵棋推演，建模與仿真，認知建模，決策，深度不確定性下的決策，海量場景生成，探索性分析與建模