未來技術的軍事效用評估（MUAFT）方法是作為北約的破壞性技術評估游戲方法的一個具有成本效益的替代方法而開發的，將作為瑞典武裝部隊長期能力發展進程的一部分。本研究涉及的問題是，MUAFT是否可以被認為在其背景下具有有效性，因此它是否有可能對其他中小國家有用。該分析基于克拉克科技情報分析框架的實操化，并結合以軍事能力為中心的軍事效用觀點。從2012年到2018年的MUAFT報告在如何滿足五個關鍵標準方面被審查。該研究表明，如果由適當的專家小組使用，MUAFT提供了實用性，他們意識到了該方法的局限性。這些局限性主要來自于缺乏對評估除技術力量以外的變革力量對軍事能力發展影響的明確支持。專家組作為技術預測和軍事效用評估之間的綜合橋梁。因此，需要在各種軍事技術專業、發起人的軍事能力以及為評估其他有影響力的社會變革力量而必須掌握的科目方面有全面的專業知識。

1. 簡介

"技術突襲是指在戰爭中通過引進新武器（或通過創新使用已知武器）來獲得單方面的優勢，而對手要么沒有意識到它的存在，要么沒有準備好有效的反制措施，而反制措施的開發需要時間。" [1]因此，大多數國家考慮探索可能對軍事戰略能力決策至關重要的科學技術的長期發展。在過去，新技術的使用以及成熟技術的新應用都影響了沖突和戰爭的進行方式，而且它們很可能會繼續影響。技術發展對戰爭的影響往往是漸進式的，但有時，正如漢德爾最初的那句話所暗示的，它們是令人驚訝的，甚至是革命性的[2]。這種影響被稱為破壞性的[3]，因為它們使一些能力過時，同時也產生了對新能力的需求。火藥、鐵路、雷達技術、信息技術、全球導航衛星系統只是軍事史上許多可能的例子中的幾個[4]。這些例子告訴我們，一個真正了解技術中的潛力的軍事行為者可以獲得優勢，或者通過利用技術，或者通過避免在戰場上的意外。此外，根據經驗，我們知道，將新技術整合到武器系統中，引入軍事單位，并調整理論，往往需要幾十年時間。因此，軍事決策者確實需要有能力、準確的技術預測。

預測的特點是 "對高度可能發生的事件進行或多或少的線性系統估計、陳述、推斷、預測或預報" [5]。因此，預測是一個適用于研究領域和選擇部門的概念，如技術和國防與安全部門。雖然，即使在其起步階段，技術預測被預測為會像經濟和天氣預測一樣被接受和有用[6]，但預測方法可以因其不可避免的不準確性而受到批評。例如，未能預測1973年的 "石油沖擊 "導致人們對預測的有效性和實用性產生了相當大的懷疑[7]。今天，一些軍事思想家甚至聲稱，認為在部隊規劃中使用科學或軍事情報可以避免戰場上的技術突襲是徒勞的。相反，芬克爾建議，補救措施是設計一支足夠靈活的部隊，以便在不可避免的技術發生時迅速恢復[8]。他聲稱一些必要的靈活性需要軍事物資的多樣性和冗余性，但他強調了組織要求，首先是軍官的教育和培訓。然而，由于它們的目的是幫助決策者評估不同技術發展的概率和意義，而不是預測它們在未來特定日期的具體應用中的確切形式[6]，對可行方法的研究仍在進行。

在文獻中，發展是以眾多的外延報道的，如：未來研究、預測、展望、地平線掃描、未來研究、技術預測、數據挖掘、文本挖掘、未來學、技術觀察、面向未來的分析、新興技術、破壞性技術、戰略展望、道路圖、場景規劃、結構化頭腦風暴、形態分析和軍事破壞性技術[[9], [10], [11], [12], [13]] 。本刊以前發表的工作討論了技術預測和技術評估[[14]、[15]、[16]、[17]、[18]、[19]]。我們選擇使用技術預測這一術語來描述圖1中的活動序列。該序列改編自Kindvall等人[9]。

瑞典技術預測過程中的活動順序通常包括活動一到八。所有的活動都可以，但不能由一個組織中的一個小組來完成。在活動四中，贊助者，如瑞典武裝部隊（SwAF）通過瑞典國防物資管理局（FMV），選擇優先考慮的技術和訂購科學報告。為選定的技術準備科學報告對應于活動五和六。然后在下一步中，它們被用作MUAFT的輸入。MUAFT方法將在第三節進一步描述。MUAFT評估的結果以及對每項技術的未來行動建議將在每年的技術預測報告中提交給發起人。這些建議是關于投資、監測或不考慮具體技術的。資助者負責第八項活動。

在20世紀80年代，由瑞典武裝部隊（SwAF）協調的技術預測，每四年左右為相關的技術領域提供趨勢報告。這項工作是與瑞典國防物資管理局（FMV）和瑞典國防研究局（FOI）密切合作完成的。然而，由于所產生的報告內容廣泛，而且是保密的，很少被用于SwAF的研究或其他發展目的，所以最后一份這種格式的報告是在2005年發布。巧合的是，在20世紀90年代末，蘇聯解體后，歐洲的軍事發展呈現出緩和的特點。從20世紀90年代末到21世紀的第一個十年，瑞士空軍的長期規劃受到了主導戰場意識（DBA）、軍事事務革命（RMA）和網絡中心戰（NCW）等概念的嚴重影響。人們相當關注傳感器和指揮與控制系統發展的技術方面[9]。然后，在9/11襲擊事件之后，為了配合瑞士空軍在阿富汗參與打擊塔利班的戰爭，重點發生了變化。人們對支持海外任務的技術更感興趣，例如，對士兵設備的保護和供電[20]。在這個時候，瑞士空軍不想重新采用以前那種無效的、耗費資源的技術預測方法。因此，開發了一種新的未來技術趨勢分析方法。作為一個小國，用于技術預測的經濟資源有限，瑞典需要一個簡單的、具有成本效益的、能夠支持軍事能力發展的綜合方法的過程[20]。一些中等規模的國家使用復雜、昂貴和耗時的技術預測方法，并已開始改變它們[21,22]。瑞典軍事技術預測的主要目的是為瑞典空軍提供國防研發撥款的政策建議。由于預算削減，技術預測所能涵蓋的技術數量不得不減少。因此，必須對要評估的技術進行嚴格的優先排序（圖1中活動四）。2005年至2015年期間，瑞典國防物資管理局（FMV）的一個小組決定了優先事項，并選擇了未來技術的科學報告，用MUAFT方法進行分析。自2016年以來，瑞典空軍總部參與了選擇過程，在委托弗勞恩霍夫研究所、麻省理工學院或瑞典國防研究局等研究機構提供科學報告之前，批準了技術清單。

此外，瑞典空軍希望增加對未來技術的了解，特別是在武裝部隊人員中。因此，在2009年開發了一種針對普通公眾的新報告格式。新的出版物使用了圖形和對未來技術應用的通俗科學解釋，否則決策者可能難以掌握，它在瑞典國防界的受歡迎程度也隨之提高[20]。

直到2011年，政策建議（活動八）直接基于瑞典國防研究局、FOI或合作伙伴研究機構發布的技術評估報告。2012年，瑞典國防大學（SEDU）被要求評估選定的未來技術的潛在軍事用途；因此，圖1中的活動七被添加到該序列中。評估的重點是這些技術是否有可能被瑞典空軍或可能的對手成功地整合到軍事系統中，以提高軍事能力。該方法的基本原理是避免走上漫長的、不確定的、往往是昂貴的開發新軍事物資的道路。相反，應該探索某些選定技術對軍事能力的潛在貢獻。在新的瑞典技術預測過程中，應該放棄以前純粹基于潛在技術性能的建議[2,23,24]。從一開始，SEDU的評估也包括關于SwAF研究、研發投資或監測技術發展的建議的政策建議，即對圖1中活動八的投入。本文所評估的方法已經逐步發展，現在被稱為未來技術的軍事效用評估（MUAFT）[24]。

有理由相信，瑞典具有成本效益的MUAFT方法可能對其他中小國家有意義。然而，它能提供效用嗎？雖然傳統的技術預測活動在其他地方已經被徹底討論過，但MUAFT還沒有。該方法已經使用了十年之久，現在需要仔細研究。本研究的目的是分析和評估MUAFT方法作為瑞典武裝部隊長期能力發展進程的一部分的效用。

在第二節中，我們介紹了理論，即我們對中心概念的看法和我們的理論框架，該框架來源于美國情報分析家羅伯特-M-克拉克的經驗[25,26]。在第三部分，我們簡要介紹MUAFT方法。此后的結構是傳統的。我們在第四節描述了評估的方法。第五節介紹了分析，隨后在第六節討論了結果的效用和MUAFT方法。本文最后在第七節中提出結論和對未來研究的建議。

2022 年 10 月 11 日，美國陸軍發布了一份綜合數據計劃（ADP），這是一種全軍范圍內改進數據管理以確保陸軍成為以數據為中心的組織的方法。

該計劃是一項為期三年的工作，將改善整個陸軍的數據管理、數據治理和數據分析。作戰任務是陸軍數據計劃的當前重點。ADP 在該任務領域的成果是通過進行必要的更改來確保作戰人員的數據得到正確管理和使用，從而為作戰人員提供優勢。陸軍已經開始對數據管理能力、工具和模型進行原型設計，以實現這一目標。

陸軍首席信息官 Raj Iyer 博士說：“數據以及如何在所有梯隊中整合這些數據以實現真正快速、敏捷的決策，才是真正為陸軍提供其在未來戰爭中所需的競爭優勢的關鍵。”

數據和數據分析將為 2030 年的陸軍提供動力。士兵將需要在正確的時間和正確的地點獲得正確的數據，以便在每個梯隊做出更快、更好的決策——以超越任何對手的思維和步伐。

與早期的軍事行動相比，現在的戰爭范圍更大且范圍不斷擴大。作為聯合全域作戰的一部分，多域作戰是陸軍必須準備并贏得下一場戰斗的地方。這是一個數據豐富的環境。

每個領域都有自己的信息和數據流，一些信息來自開源情報，一些來自天基傳感器，還有一些來自網絡空間。今天的士兵和指揮官需要跨領域的綜合來主宰戰場。

ADP 概述了工作的組織并提供了總體戰略目標。它側重于中期努力，未來將被另一個更新所取代。

通過陸軍數據計劃實現這一決策優勢是陸軍的關鍵目標。

2020年，美國和愛沙尼亞指派北約合作網絡防御卓越中心開展為期兩年的5G供應鏈和新一代電信基礎設施相關的網絡安全項目，以解決北約盟國和緊密合作伙伴的戰略、法律和政策問題。該項目的目的是研究電信網絡供應鏈安全的不同方面，支持相關研究并為聯盟勾勒出建議。隨后，CCDCCOE在2021年發表了《軍用5G網絡的供應鏈和網絡安全研究報告》。這第二份報告側重于軍事運動背景下5G網絡的實際問題，是第一份研究報告的后續，采用了智能海港和C-V2X支持的公路運輸兩個案例研究。

新技術的出現為許多行業創造了巨大的利益和潛在的使用案例，同時也是大國競爭領域的一種工具。為此，電信和通信技術已被大小國家用于政治和軍事優勢--有時在規模和相對實力不同的競爭對手之間帶來一定程度的均勢和平衡。5G蜂窩通信的推出是在逐步和持續的基礎上進行的，需要軍隊、情報部門和私營部門不斷調整，以避免任何潛在的不利因素。然而，5G技術也給軍事部門帶來了許多新的解決方案和應用。隨著技術的不斷發展，即使不為軍隊本身開發5G解決方案，也會出現新的風險和威脅。由于民用技術的快速發展和軍隊對民用解決方案的依賴，例如軍事行動，5G將不可避免地到達軍隊并影響日常運作。因此，所有相關各方都需要做好準備，應對5G帶來的機遇和風險。隨著新的風險和威脅的上升，今天需要考慮和解決網絡安全方面的問題，以消除未來的潛在威脅，特別是對北約盟國的軍隊和密切的合作伙伴。因此，網絡機會和風險都需要從技術角度進行評估，以了解在北約國家間移動設備和物資時對軍隊的影響。為了實現北約的功能意識，使用案例將作為向該領域的政策制定者提出建議的基礎。

該報告以智能港口和智能公路為案例，研究了2030年軍事行動場景下與5G連接技術相關的網絡安全挑戰。該報告旨在提高人們對通過公共和私人5G網絡運作如何影響北約和平時期的集體防御的認識，從而為決策者提供與5G網絡相關的可能挑戰的循證信息。

該報告介紹了2030年波羅的海地區軍事行動的未來前景故事情節。然后，它提供了兩個5G用例的描述，即智能海港和智能公路，這兩個用例在2030年可用于為北約的集體防御目的運輸軍事裝備和物資。基于與5G實施相關的風險和威脅分析，報告強調了軍隊使用私人和公共網絡可能面臨的主要網絡安全風險和挑戰。最后，報告制定了一套建議，供盟國和/或北約決策者在發展5G基礎設施和制定網絡相關政策和決策時考慮。

執行摘要

本備忘錄報告是對美國海軍研究實驗室（NRL）資助項目 "對抗性在線學習"研究成果的總結，該項目資助周期為2017財年到2020財年。其主要目標是研究和展示在線機器學習算法的安全漏洞，并以博弈論分析和計算方法為支撐進行利用和反制。

1. 目標

對抗性在線學習項目中的目標是研究和展示在線機器學習算法的安全漏洞，并以博弈論分析和計算方法來支持開發和反措施。人工智能和機器學習算法經常被建模為具有單一目標函數的解決方案，這暗示著存在非智能對手。對抗性環境意味著有多個具有競爭性目標的智能Agent，需要一種更復雜的解決方法，這正是我們所尋求的。

2. 背景/動機

美國海軍研發框架（Naval R&D 框架）包括機器學習和推理算法，其是自主和無人系統的智能推動器。這項研究將學習與推理相結合，以減輕對手對數據的欺騙性操縱，從而影響旨在保護我們資產的在線學習算法的預測。此外，為了實現信息主導地位，未來的系統必須包括利用和操縱對手數據的能力，并保護我們數據的完整性。這項研究在信息主導權方面具有防御性以及進攻性的用途。

美國海軍信息優勢路線圖預測，未來的作戰環境將是高度競爭和信息密集的。它要求對對手進行快速分析和生成情報。探測對手的算法正在改進并變得越來越動態。然而，這些算法并不 "知道 "何時以及如何通過欺騙來隱藏自己的弱點，或對沖他們對數據的欺騙性操縱的預測，而這正是本研究的目標。

四年一度的國防審查和國防戰略越來越強調網絡空間對國家安全的重要性以及潛在對手探測我們關鍵基礎設施的風險。減輕網絡風險需要發展創新的行動概念，以挫敗對手戰略。

3. 技術方法

技術方法是基于一個博弈論的計算框架，我們將對抗性機器學習的問題視為一個被稱為學習器或防御器的機器學習算法與對手或攻擊者之間的博弈。

對抗性機器學習的背景。我們的研究主要考慮有監督的機器學習算法。在有監督的機器學習中，學習器被提供了一組稱為訓練集的樣本。訓練集中的每個樣本都可以被看作是從一組輸入變量或特征到稱為標簽或類別的輸出變量的映射。學習器的目標是通過觀察訓練集中的樣本（輸入和輸出對）來學習這種映射。訓練結束后，學習器使用其學到的映射來預測輸入的標簽，稱為查詢，其輸出或標簽并沒有提供給學習器。換句話說，機器學習算法使學習器能夠自動確定一個查詢的輸出。舉個例子，如果學習器是一個自動的垃圾郵件過濾器，對學習器的查詢可能是一個電子郵件的文本，而學習器則輸出該郵件是否是垃圾郵件。對抗性機器學習為上述機器學習問題增加了另一個層次的復雜性：對抗者通過不知不覺地修改有效的查詢來向學習器提供可疑的查詢，從而誤導學習器的輸出。例如，一個垃圾郵件發送者可以改變合法電子郵件中的有效超鏈接的幾個字符，并將超鏈接重定向到一個惡意網站，使該電子郵件成為有害或垃圾郵件。但是，學習器可以把不正確的超鏈接解釋為一個打字錯誤，并把修改后的電子郵件歸類為非垃圾郵件。對手略微修改合法軟件可執行文件的類似活動可以將良性軟件轉化為惡意軟件，從而繞過自動惡意軟件檢測器，嚴重損害受保護的計算機系統。顯然，在對抗性機器學習中，學習器有兩個目標：其主要目標是學習有效訓練實例的基礎功能，此外，還要學習識別和正確分類對抗者發送的查詢。在本報告的其余部分，我們根據討論的背景，交替使用了學習器和防御器，以及攻擊者和對手這些術語。

我們的技術方法將學習器和對手之間的互動建模為一個2人博弈。為此，學習器從過去與對手的互動中建立了一個對手的行為模型。然后，學習器與對手的模型進行多次互動，稱為博弈，以便從對手那里獲得不同的攻擊策略并確定相應的反應。例如，在我們的自動垃圾郵件檢測器學習者的例子中，學習器收到的詢問是對對手的模型所發送的電子郵件文本的不同修改。然后，學習器計算出適當的反應，以正確歸類敵方的電子郵件以及來自非敵方的合法電子郵件。我們在學習器與對手的博弈框架中考慮了三個主要方向，如下所述：

1.機器探測：我們專注于兩個問題：（1）如何找到學習器的盲點以操縱預測，以及（2）如何探測學習器以泄露有關其可預測性的信息以達到規避目的。這種類型的互動對應于探索性攻擊，試圖獲得關于學習器的信息（例如，它的偏見、它的特征或它的訓練數據）。

2.機器教學：這里的主要問題是如何毒害學習者，使其在盡可能少的嘗試中做出不準確的預測。這種類型的互動對應于通過訓練數據直接影響學習器的致病攻擊。機器教學被認為是機器學習的一個逆向問題，它將目標模型映射到一組樣本上。

3.反制措施:這方面的研究解決了從機器探測和機器教學中引出的漏洞。我們努力開發一個元學習器，作為學習器的封裝，它將權衡學習器的行動與自適應對手的關系，后者根據學習器的預測動態地演變其戰術。對于博弈的每個方面，探測或教學，我們在對手和學習器之間設置了一個博弈，對手的行動是對數據的操作，而學習器的行動是使用哪種策略來進行預測或攝取數據。收益是錯誤分類風險和學習器特征評估成本與修改對手數據成本的比值。我們的評估基于與非對抗性學習器的性能差異。

總之，我們的技術方法是在機器學習和計算博弈論的交叉點。該研究涉及分析和開發攻擊者與防御者之間的博弈，其中對手試圖回避或學習學習器使用的機器學習算法的信息，對手試圖主動修改學習器使用的機器學習算法的機器教學，以及反制措施，即學習器學會對對手的機器探測和機器教學相關行動做出戰略反應。

4. 結果

我們按財政年度總結了項目的主要結果和成果，如下所述。

4.1 2017財年

在項目的第一年，我們研究對比了應用于網絡安全的生成性和判別性機器學習（ML）模型。我們開發了一個基于深度學習的ML模型，利用字符級卷積神經網絡（CharCNN）[1]將電子郵件文本數據分類為垃圾郵件或非垃圾郵件，并使用Kaggle電子郵件和安然電子郵件數據集驗證了該ML模型（//www.kaggle.com/venky73/spam-mails-dataset，//www.kaggle.com/wanderfj/enron-spam）。我們還在[2]中發表了一個初步的基于博弈論的框架，使基于ML的分類器能夠預測它所收到的查詢是合法的還是來自對手的探測攻擊。

該項目涉及使用快速梯度符號法（FGSM）[3]從圖像數據的干凈樣本中生成擾動樣本的算法。該技術在生成來自MIST數據集的手寫數字的擾動圖像方面得到了驗證[4]。

4.2 2018財年

在項目的第二年，主要致力于開發ML技術，用于模擬對手生成對抗性數據的策略。最近關于最先進的網絡安全技術的調查顯示，電子郵件文本和網絡數據包經常被攻擊者用來繞過網絡防御，如電子郵件垃圾郵件過濾器或惡意軟件檢測器[5, 6]。基于這一觀察，主要使用字符串數據，如電子郵件和社交媒體上的帖子的文本數據，以及網絡流量數據作為我們研究的主要數據模式。

作為第一個任務，開發了一個生成對抗性文本數據的算法。實現了Liang等人[7]的算法的一個略微修改版本，用于對文本數據樣本進行最小化的擾動，以生成一個對抗性樣本。Liang等人的原始算法被設計為戰略性地確定在一個給定的干凈文本樣本中改變哪些字符和多少字符，從而使改變后的文本被分類為與干凈文本不同的標簽，而該模型已被預先訓練為文本數據的分類。我們略微修改了算法，使干凈文本中要被擾亂的字符數可以作為算法的輸入參數來指定。這使我們能夠對使用不同擾動量或擾動強度的對手進行建模，這與他們的能力（如可用的預算、計算資源等）相稱，以從干凈的數據中產生對抗性數據。

接下來，我們研究了當對手的預算有限時產生對抗性數據的問題。對用于分類查詢的ML模型的參數和超參數的了解是對手產生成功規避攻擊的一個關鍵因素。這種知識通常由對手通過發送查詢和觀察分類器的輸出或預測來探測分類器而獲得。現有的文獻主要考慮了對手可用的ML模型參數知識的兩個極端：白盒，即對手有完全的知識，和黑盒，即對手沒有知識。白盒攻擊通常需要對手有大量的預算來發送幾個探針，而黑盒攻擊則假設對手沒有預算來發送探針并獲得ML模型參數的知識。然而，在許多現實生活中，對手可能有有限的預算，可以負擔得起發送幾個探針以獲得ML模型參數的部分知識。我們研究了一個預算有限對手的場景，稱為灰盒技術[8]。我們用一個基于深度學習的文本分類器評估了我們提出的灰盒技術，同時對一個名為DBPedia（

我們研究的最后一個問題是確定文本數據的有效向量表示或嵌入，因為有效的數據表示將使防御者的分類器能夠快速計算出查詢的類別或標簽，同時減少錯誤。大多數現有的生成文本數據嵌入的技術都是在字符級或詞級對文本進行編碼。這兩種表示法都有一定的缺陷：字符級表示法會導致非常大的矢量表示法，消耗空間并需要更多的計算時間，而詞級表示法會導致對不太常用的詞的矢量表示法效率低下，或者對以前未見過的詞沒有表示，導致在從干凈的文本樣本中生成對抗性樣本時，矢量數學計算不精確。我們開發了一種混合的字詞嵌入，其中一個叫做注意力的自適應參數被用來動態地確定是使用字符級還是字詞級編碼來確定一段文本中每個字的向量表示[9]。該技術在一個由學生用英語書寫的考試答案的開源數據集上進行了評估，該數據集被稱為 "劍橋學習者語料庫-英語第一證書"（CLC-FCE）數據集（

我們還組織并主持了一個題為 "網絡安全中的對抗意識學習技術和趨勢 "的研討會，作為AAAI 2018秋季系列研討會的一部分，在弗吉尼亞州阿靈頓舉行。研討會上，人工智能和網絡安全領域的知名研究人員發表了兩個主題演講，并發表了十篇關于對抗性學習的同行評審研究論文。我們在2018年10月的 "AAAI對抗性學習技術和網絡安全趨勢研討會（ALEC 2018）論文集 "上發表了在線研討會的會議記錄[10]。

4.3 2019財年

在這一年里，我們的研究重點是將博弈論與ML結合起來，以開發針對ML模型的對抗性攻擊的反制措施或防御措施。我們今年的主要貢獻是開發了一個新的基于博弈論的框架和算法，稱為重復貝葉斯連續博弈（RBSG）。該技術使使用基于分類器的自動預測機制的學習者能夠降低其分類成本，而不影響在存在對抗性輸入時的分類質量。RBSG結合了一種稱為聯合蒙特卡洛樹搜索（MCTS）的隨機樹搜索算法，該算法有效地探索了學習者和對抗者之間的博弈樹，以及具有對手模型的強盜算法。然后，RBSG算法確定了學習者和對手的每個可能的 "動作 "或行動的效用，并向學習者推薦可能的最佳行動（換言之，具有最大預期效用的行動）。我們為這個問題建立了一個正式的數學模型，包括對防御者和對手可以使用的策略的描述，一個基于博弈論的技術，稱為自我發揮，使防御者能夠建立一個準確的對手行為模型，一個基于蒙特卡洛樹搜索（MCTS）的算法，使用自我發揮的對手模型使防御者能夠快速探索可能的策略，以及RBSG算法，使防御者能夠計算像納什均衡策略一樣的戰略反應，以有效地應對對手的攻擊。我們驗證了我們提出的在存在戰略性修改文本數據的對手的情況下預測文本數據標簽的技術，同時使用收集的亞馬遜產品評論、Yelp商業評論和電子郵件信息的開源文本數據集。我們的結果表明，我們能夠將分類成本降低30-40%，而不會降低分類器的性能指標，如準確率和精確度。

RBSG技術似乎對海軍和國防部有很高的價值潛力，因為它可以降低關鍵應用的操作成本，如網絡安全、導彈探測、雷達和其他信號分析技術，這些應用依賴于對傳入數據的分類，并可能受到對手的攻擊。我們通過NRL專利處理辦公室為RBSG技術的潛在美國專利申請提交了一份發明披露。我們還開始與一家名為Varonis的公司探討CRADA，以實現RBSG技術在網絡安全產品上的潛在商業化。

在這一年里，我們還發表了一份關于網絡安全任務中基于博弈論的對抗性學習技術的全面調查[11]。在調查中，我們將相關技術歸類為攻擊者和防御者之間的零和游戲和一般和游戲。我們為所調查的技術提出了一個新的分類，使用不同的類別，如防御者可獲得的關于對手的初始信息，防御者建立的代表對手攻擊的模型以及技術被驗證的應用領域。調查的最后，我們討論了網絡安全問題中與使用對抗性機器學習技術進一步調查有關的幾個開放性問題。

最后，我們為21財年6.1基礎項目提出了一個題為 "用于防御應用的博弈論機器學習 "的項目，該項目擴展了本報告中的結果，使用強化學習和基于博弈論的技術，在攻擊者與防御者的場景中建立有效的防御措施。

4.4 2020財年

在20財政年度，我們的研究主要集中在兩個方向：研究改進RBSG技術的計算技術，以及評估RBSG在網絡安全相關場景中的應用。在第一個方向下，我們開發了一種基于最近提出的基于博弈論的概念的技術，稱為安全值[12]，用于計算防御者的策略。與原始的RBSG技術中基于納什均衡的計算不同，安全值方法假設攻擊者總是做出理性的決定，同時以最佳方式選擇其策略（即攻擊者選擇一個使其效用最大化的策略），安全值方法假設攻擊者可能偶爾會偏離最佳發揮，并且，使防御者能夠預測并利用攻擊者的偏離來改善防御者的表現（減少防御者分類器的操作成本）。我們實施了一種安全值方法，稱為安全的限制性斯塔克伯格反應（RSRS），并將其與RBSG算法相結合。RSRS算法的初步結果顯示，與在RBSG內部使用基于納什均衡的計算方法的成本相比，防御者的成本有5-10%的改善。

對于第二個方向，我們研究了生成惡意軟件數據的對抗性實例的技術，并建立了用于對抗性惡意軟件數據分類的ML模型。生成惡意軟件數據需要從干凈或正常運行的軟件可執行文件中創建惡意軟件可執行文件。這個問題的主要挑戰之一是，從圖像和文本模式的干凈數據中生成對抗性數據的相稱技術不能直接適用于軟件可執行文件，因為使用圖像或文本數據擾動技術擾動可執行文件內的二進制數據可能會破壞可執行文件的功能，使其無法正常工作。我們的研究基于MalGAN[13]技術，并在EMBER[14]和Kaggle惡意軟件數據集（

我們還開始研究一種合適的技術，以正式代表網絡安全場景中防御者與攻擊者的互動，如網絡入侵檢測。具體來說，我們研究了一個正式的數學模型，稱為攻擊圖博弈[15, 16]。在攻擊圖博弈中，攻擊者以順序的方式攻擊網絡資產，而防御者的目標是預測攻擊者未來的攻擊位置并保護它們。我們開始開發一種基于強化學習的算法，與納什均衡等博弈論概念相結合，在攻擊圖博弈框架內為防御者確定合適的策略，同時對攻擊者以前未見過的攻擊、隱蔽性和欺騙性做出智能反應。該算法在網絡入侵檢測場景中的實施和評估目前正在進行。

我們發表了幾篇關于RBSG技術研究成果的文章，包括在國防部AI/ML技術交流會議上的海報[17]，在關于AI for Cyber-Security的非存檔研討會[18]上的論文（與AAAI 2020同地舉行），以及在名為FLAIRS（佛羅里達州AI研究協會）會議的同行評審存檔會議上對該研討會論文的略微擴展版本[19]。我們還在INFORMS（運籌學和管理科學研究所）2020年年會上發表了擴展摘要，并應邀介紹了我們在這個主題上的研究[20]。我們在19財年提交的RBSG技術的發明公開，在2020年7月被NRL審查小組批準獲得專利申請。

我們在人工智能、機器學習和網絡安全的交叉領域編輯了一本名為 "Adversary Aware Learning Techniques and Trends in Cyber-Security "的書[21]。該書由人工智能/ML和網絡安全領域的知名研究人員撰寫的10個章節組成，涵蓋了各種不同但又相互關聯的主題，包括以博弈的人工智能和博弈論作為對人工智能/ML系統攻擊的防御手段，有效解決在大型分布式環境（如物聯網）中運行的人工智能/ML的漏洞的方法，以及使人工智能/ML系統能夠與可能是惡意對手和/或善意隊友的人類進行智能互動的技術。

我們為上述書籍貢獻了一章，題為 "重新思考智能行為作為處理機器學習的對抗性挑戰的競爭性博弈"[22]，其中我們描述了對抗性機器學習如何需要重新審視傳統的機器學習范式以及對抗性學習如何表現出智能行為。我們認為，發展對對手攻擊的抵抗力可以被建模為競爭性的多人博弈，包括具有矛盾和競爭性目標的不同玩家之間的戰略互動。在進一步的探索中，我們討論了不同的多人博弈環境的相關特征，這些環境被作為研究平臺來調查，以解決公開的問題和挑戰，從而開發出能夠超越人類智慧的人工智能算法。

繼續這個方向，我們在項目中研究的最后一個研究課題是如何通過機器學習技術發展智能能力，在復雜的互動場景中，如《星際爭霸-II》等實時戰略多人博弈中呈現的場景，發展對對手攻擊的抵抗能力[23]。我們開發了一種基于強化學習的算法，使防御者能夠智能地學習博弈戰術，包括何時以及部署多少游戲單位，以何種配置部署游戲單位等，以戰略性地擊敗更強大的對手。我們在虛擬舉行的2020年國防部AI/ML技術交流會上以海報形式展示了我們的研究成果[24]，我們在會上表明，由防御者利用強化學習自動學習的策略可以勝過由人類專家手工編碼的基于啟發式的策略。我們目前正在繼續這一研究方向，同時將其擴展到更復雜的攻擊者-防御者類型的交互場景中。

1 簡介

深度學習技術在計算機視覺領域的快速發展，促進了基于人工智能（AI）應用的廣泛傳播。分析不同種類的圖像和來自異質傳感器數據的能力使這項技術在軍事和國防應用中特別有趣。然而，這些機器學習技術并不是為了與智能對手競爭而設計的；因此，使它們如此有趣的特性也代表了它們在這一類應用中的最大弱點。更確切地說，輸入數據的一個小擾動就足以損害機器學習算法的準確性，并使其容易受到對手的操縱--因此被稱為對抗性機器學習。

對抗性攻擊對人工智能和機器人技術的穩定性和安全性構成了切實的威脅。這種攻擊的確切條件對人類來說通常是相當不直觀的，所以很難預測何時何地可能發生攻擊。此外，即使我們能估計出對手攻擊的可能性，人工智能系統的確切反應也很難預測，從而導致進一步的意外，以及更不穩定、更不安全的軍事交戰和互動。盡管有這個內在的弱點，軍事工業中的對抗性機器學習話題在一段時間內仍然被低估。這里要說明的是，機器學習需要在本質上更加強大，以便在有智能和適應性強的對手的情況下好好利用它。

2 人工智能系統是脆弱的

在很長一段時間里，機器學習研究人員的唯一關注點是提高機器學習系統的性能（真陽性率/敏感度、準確性等）。如今，這些系統缺乏穩健性的問題已不容忽視；許多系統已被證明非常容易受到蓄意的對抗性攻擊和/或操縱。這一事實使它們不適合現實世界的應用，特別是關鍵任務的應用。

一個對抗性的例子是，攻擊者故意設計了一個機器學習模型的輸入，以導致該模型犯錯。一般來說，攻擊者可能無法接觸到被攻擊的機器學習系統的架構，這被稱為黑盒攻擊。攻擊者可以利用 "可轉移性 "的概念近似于白盒攻擊，這意味著旨在迷惑某個機器學習模型的輸入可以在不同的模型中觸發類似的行為。

最近針對這些系統的對抗性攻擊的演示強調了對抗性行為對穩定性影響的普遍關注，無論是孤立的還是互動的。

也許最廣泛討論的攻擊案例涉及圖像分類算法，這些算法被欺騙成 "看到 "噪聲中的圖像，即隨機產生的不對應于任何圖像的白噪聲被檢測為圖像，或者很容易被像素級的變化所欺騙，因此它們將一輛校車分類為鴕鳥，例如。同樣，如果游戲結構或規則稍有改變，而人類不會受到影響，那么表現優于人類的游戲系統（如國際象棋或AlphaGo）就會突然失敗。在普通條件下運行良好的自動駕駛汽車，只要貼上幾張膠帶，就會被誘導轉向錯誤的車道或加速通過停車標志。

3 人工智能在軍事上的應用

許多北約國家利用人工智能和機器學習來改善和簡化軍事行動和其他國家安全舉措。關于情報收集，人工智能技術已經被納入在伊拉克和敘利亞的軍事行動中，其中計算機視覺算法被用來檢測人和感興趣的物體。軍事后勤是這一領域的另一個重點領域。美國空軍使用人工智能來跟蹤其飛機何時需要維護，美國陸軍使用IBM的人工智能軟件 "沃森 "來預測維護和分析運輸請求。人工智能的國防應用還延伸到半自主和自主車輛，包括戰斗機、無人機或無人駕駛飛行器（UAV）、地面車輛和船舶。

人們認為對抗性攻擊在日常生活中相對罕見，因為針對圖像分類算法的 "隨機噪音 "實際上遠非隨機。不幸的是，對于國防或安全技術來說，這幾乎是不可能的。這些系統將不可避免地被部署在對方有時間、精力和能力來開發和構建正是這些類型的對抗性攻擊的環境中。人工智能和機器人技術對于部署在敵人控制或敵人爭奪的地區特別有吸引力，因為這些環境對于我們的人類士兵來說是最危險的環境，在很大程度上是因為對方對環境有最大的控制。

在意識到人工智能發展和應用的技術領先的重要性后，北約于2020年在多國能力發展運動（MCDC）下啟動了人工智能、自動化和機器人技術的軍事用途（MUAAR）項目。該項目的范圍是開發概念和能力，以應對開展聯合聯盟行動的挑戰，并對其進行評估。項目的目標是評估可能受益于人工智能、自動化和機器人技術的當前和未來的軍事任務和功能。它還考慮了效率和成本節約方面的回報。

在國防應用中，對抗性地操縱機器學習分類器所帶來的危險的例子很多，嚴重程度各不相同。例如，致命的自主武器系統（LAWS）可能會將友軍戰車誤認為是敵軍戰車。同樣，一個爆炸裝置或一架敵方戰斗機可能會被錯誤地識別為一塊石頭或一只鳥。另一方面，知道人工智能垃圾郵件過濾器跟蹤某些單詞、短語和字數進行排除，攻擊者可以通過使用可接受的單詞、短語和字數來操縱算法，從而進入收件人的收件箱，進一步增加基于電子郵件的網絡攻擊的可能性。

4 結論

綜上所述，人工智能支持的系統可能會因為對抗性攻擊而失敗，這些攻擊是故意設計來欺騙或愚弄算法以使其犯錯的。這種攻擊可以針對分類器的算法（白盒攻擊），也可以通過訪問輸入來針對輸出（黑盒攻擊）。這些例子表明，即使是簡單的系統也能以意想不到的方式被愚弄，有時還可能造成嚴重后果。隨著對抗性學習在網絡安全領域的廣泛應用，從惡意軟件檢測到說話人識別到網絡物理系統再到許多其他的如深度造假、生成網絡等，隨著北約增加對自動化、人工智能和自主代理領域的資助和部署，現在是時候讓這個問題占據中心位置了。在將這些系統部署到關鍵任務的情況下之前，需要對這些系統的穩健性有高度的認識。

已經提出了許多建議，以減輕軍事環境中對抗性機器學習的危險影響。在這種情況下，讓人類參與其中或在其中發揮作用是至關重要的。當有人類和人工智能合作時，人們可以識別對抗性攻擊，并引導系統采取適當的行為。另一個技術建議是對抗性訓練，這涉及給機器學習算法提供一組潛在的擾動。在計算機視覺算法的情況下，這將包括顯示那些戰略性放置的貼紙的停車標志的圖像，或包括那些輕微圖像改變的校車的圖像。這樣一來，盡管有攻擊者的操縱，算法仍然可以正確識別其環境中的現象。

鑒于一般的機器學習，特別是對抗性機器學習，仍然是相對較新的現象，對兩者的研究仍在不斷涌現。隨著新的攻擊技術和防御對策的實施，北約軍隊在關鍵任務的行動中采用新的人工智能系統時需要謹慎行事。由于其他國家，特別是中國和俄羅斯，正在為軍事目的對人工智能進行大量投資，包括在引起有關國際規范和人權問題的應用中，北約保持其戰略地位以在未來戰場上獲勝仍然是最重要的。

作者

Elie Alhajjar博士是美國陸軍網絡研究所的高級研究科學家，同時也是紐約州西點軍校數學科學系的副教授，他在那里教授和指導各學科的學員。在來到西點軍校之前，Alhajjar博士曾在馬里蘭州蓋瑟斯堡的國家標準與技術研究所（NIST）從事研究。他的工作得到了美國國家科學基金會、美國國立衛生研究院、美國國家安全局和ARL的資助，最近他被任命為院長的研究人員。他的研究興趣包括數學建模、機器學習和網絡分析。他曾在北美、歐洲和亞洲的國際會議上展示他的研究工作。他是一個狂熱的科學政策倡導者，曾獲得民用服務成就獎章、美國國家科學基金會可信CI開放科學網絡安全獎學金、Day One技術政策獎學金和SIAM科學政策獎學金。他擁有喬治-梅森大學的理學碩士和數學博士學位，以及圣母大學的碩士和學士學位。

戰爭的特點正在發生根本性的變化，這些變化對空中力量的影響尤其深遠。多域整合為空中力量和越來越多的空間力量在未來幾年內的一系列轉變做好了準備，這些轉變不僅與技術有關，而且與空軍組織和進行規劃和行動的戰略和作戰概念有關。

迫在眉睫的、不可避免的多域作戰似乎是空中力量的一個明顯的邏輯演變，它可能會引發這樣的問題：為什么我們沒有更早地沿著這些思路思考和發展作戰概念？畢竟，對優化、作戰協同和武力經濟的尋求在空中力量中是持久的。可以說，多年來，空軍及其相關部門事實上已經嘗試以某種方式或形式在多域背景下運作。然而，在整個部隊甚至整個戰區范圍內，為多域作戰（MDO）提出的早期作戰概念（CONCOPS），在多域作戰空間產生作戰協同和效果的努力是前所未有的。

諸如聯合全域指揮與控制（JADC2）這樣的結構闡述了一個作戰云賦能的未來戰爭，其中任務指揮和戰斗空間管理被有效地隱含在整個戰斗部隊中，觀察-定向-決定-行動（OODA）環路被加速到邊緣計算的速度。傳感器和通信網絡決定了空軍承擔幾乎所有傳統任務的功能能力。數據和數據流將變得比空軍傳統上對機動自由的依賴更加重要，并且有效地成為其戰略推動者。空軍力量將越來越多地與網絡而非平臺、數據而非武器系統有關。

任務的成功和失敗一直是由指揮官和作戰人員可用的態勢感知水平決定的。在新興的作戰模式中，空軍以近乎實時的速度收集、處理和利用數據的能力有效地使數據成為最大的工具和最令人垂涎的武器。收集、處理、匯總、分析、融合和傳播大量的數據、信息和知識將需要像未來有爭議的戰場上的事件速度一樣快。目前正在進行的戰爭數字化將導致在未來幾年內將 "大數據"廣泛用于作戰過程。空間領域將在實現全球范圍內連續的、有保障的和安全的通信方面發揮顯著的作用，除了更傳統的遠程監視用途外，它還被用作這種通信的運輸層。

對信息主導地位的追求將以新的和不確定的方式在物理、電磁和虛擬世界中擴展競爭的連續性。隨著空軍對帶有嵌入式人工智能（AI）工具和應用的作戰云的使用，新的風險、脆弱性和故障點將被引入。本出版物收集了來自世界各地領先的思想家的文章和見解，對多域整合和空中力量的信息優勢框架和概念的一些最相關問題提供了深入的觀點。這里的觀點和討論反映了當前對各種戰略、指揮和作戰層面的思考，讀者會發現這些思考對他們更廣泛的理解很有幫助。

這里介紹的專家展望本身既不樂觀也不悲觀，正如我們所期望的那樣，所確認的是各種新技術促成的 "飛躍"機會正在地平線上形成，但其有效利用帶來了復雜和破壞性的新挑戰。在強調其中一些關鍵的挑戰和更好地理解這些挑戰的必要性的同時，正如通常的情況一樣，沒有快速的解決辦法或現成的解決方案。然而，有令人信服的理由認為，今天所預見的眾多挑戰似乎在理論上和技術上是可以克服的，有些甚至在未來幾年內就可以克服。在未來存在的許多不確定因素中，可以肯定的是，空中力量將被徹底重新定義。

多域作戰與空軍之間的互操作性

在多域作戰（MDO）概念的影響下，空中力量界的戰略思維正在發生巨大的變化。20世紀90年代，武裝部隊廣泛進行了 "轉型 "工作，目的是改善各軍種之間的協調。到了2000年，轉型工作的目標和目的發生了變化，改善協調的愿望促使各軍種和聯盟伙伴之間進行更深入的行動整合。MDO將轉型目標推向了最終融合各作戰領域的能力，以便能夠以更快的行動速度實現同步效果（Jamieson和Calabrese，2015）。然而，并非所有國家都清楚如何準確地將美國的MDO愿景納入他們自己的理論和作戰概念，或如何解決可能產生的整合和互操作性挑戰（Townsend，2019）。

MDO的預期目標是加快軍事行動的步伐，并允許在作戰環境中產生更多的協同效應。多領域整合有望優化作戰優勢，以便對敵對部隊的決策環路施加壓力。同時，MDO也意味著聯合作戰方法需要相當大的演變和必要的改變，因此它的影響將隨時對友好部隊產生同樣深刻的影響。正如法國防空和空中作戰司令部（CDOA）副司令路易斯-佩納少將所指出的，MDO代表了 "思考空軍在未來如何規劃和進行空中作戰的機會"（Pena，2020）。可以肯定的是，MDO將是塑造未來空中作戰和作戰概念的一個強有力的因素，然而需要克服一些復雜的概念、技術和戰略挑戰。

連接性和未來的空戰

未來的作戰飛機被設想為 "連接中心 "和 "機載數據融合服務器"，與作戰云相連，為聯合或聯盟部隊的分布式單位提供實時多領域信息。這些下一代作戰飛機被預先部署，以承擔目前空軍分配給機載預警和控制（AWAC）飛機的相同角色。自從Link 16的到來，AWACS已經成為空中作戰的一個關鍵節點功能，在最近幾十年里，通過在聯合和聯盟戰役中實現徹底改善的態勢感知和指揮、控制和通信（C3）能力，AWACS被證明對西方的空中優勢很有幫助。

聯盟環境下的互操作性挑戰正在被重新規劃，并將隨著新的作戰飛機和平臺的引入而出現新的方向，但目前還沒有明確或現成的解決方案來彌合理論和作戰概念的差異，或在聯盟環境下進行技術整合，因為聯盟中的空軍部隊各自帶來自己的能力、工具和平臺。

在未來，數據融合和中繼功能將變得更加分散，并越來越多地轉移到作戰飛機本身，它們將能夠協調無人機群，例如，穿透敵人的防空設施或提供動能效應。通過新一代數據和通信網絡的新工具和更快的決策，作戰飛機將作為關鍵的指揮和控制（C2）節點，在多領域空間內運作。因此，空戰行動將不再與一組有順序的任務相關聯，而是與基于對方部隊活動并對其作出高度響應的單一連續的非分割化機動和效果相關聯。

圖：信息系統互操作性層次（LISI）模型

空戰的特點是更加明智地應用武力經濟，利用速度、飽和度和隱身性（"V2S"--速度、飽和度、隱身性）的結合來壓倒對方的部隊，以實現戰斗空間的優勢。這些未來的概念依賴于一個系統的方法，其核心是指揮、控制、通信、計算機、情報、監視和偵察（C4ISTAR），每個單獨的軍力矢量同時作為傳感器和效應器發揮作用。與數據融合、自動化、機器人和人工智能（AI）有關的能力對于實現 "頻譜優勢"--在整個作戰范圍內的優勢至關重要。

空戰將逐漸變得更加依賴多領域態勢感知和信息主導權。然而，作為中央庫或大腦單一的、總體性的作戰的前景在聯盟環境中帶來了復雜的問題。與這種作戰云的永久連接會給聯盟部隊的組成部分帶來明顯的脆弱性。雖然在力量集中和效率方面有優勢，但同樣的權力集中和對一個中央云的依賴會產生災難性的行動自由損失。敵對勢力的目的是阻礙通信并對傳感器網絡使用誘餌，在這樣一個良性的網絡空間和電磁戰的背景下，"一環 "作戰云可能導致其使用用戶群的行動癱瘓。

在考慮這些風險時，圍繞作戰云概念的關鍵使能技術的成熟度存在著嚴重的問題。收集、分析、存儲和傳輸數據的信息系統和技術都會受到敵對勢力的入侵威脅和復制，以提高其反介入/區域拒止（A2AD）的有效性（Orlin, 2021）。大數據是分布式C2要素之間作戰圖像（CROP）的基本必要條件，如果沒有人工智能，就無法適當地加以利用，由于人工智能容易被操縱和欺騙，其使用仍然存在問題。

預測性維護是未來空戰平臺的本源，并將通過網絡不斷進行交流，它在戰爭空間中提供了一個新的攻擊漏洞，并有可能成為嚴重的目標（Hitchens, 2020）。對潛在的軟件缺陷和限制的利用將為敵對勢力在欺騙、規避和突襲行動方面創造機會。針對通信和傳感器網絡的先進干擾，針對作戰云的進攻性網絡戰行動（Gros，2019年），以及對空間資產的依賴，在地面或空間資產被摧毀或關鍵數據鏈被破壞的情況下，會帶來嚴重的風險（法國國防和國家安全戰略評論，2017年）。

無人機技術的擴散和作戰系統的數字化已經迫使歐洲的空軍和他們的姐妹服務部門集中投資于網絡空間對抗措施，并 "加固 "平臺、資產和操作基礎設施，以確保通信節點和發射器不被破壞。這種努力將加速和加強，因為軍事競爭者的目標是數據和數據連接能力，跨越更廣泛的攻擊面，擴展到所有連接到同一云的聯盟或盟國部隊。因此，多域作戰網格的這種內在風險強調需要考慮在 "一環 "設計之外的聯盟環境中開發用于MDO的未來作戰云。

歐洲的作戰機隊：當前和未來的形勢

在歐洲，空軍之間的行動整合一直在穩步推進--北約因素是一個重要因素，但絕不是在加強歐洲空軍之間互操作性方面取得進展的唯一驅動力。然而，歐洲空軍的格局仍然具有相當大的多樣性，目前服役的1,900多架作戰飛機的不同類型就說明了這一點。

由美國主導的F-35項目匯集了包括英國、荷蘭、丹麥、挪威、比利時和意大利在內的一些歐洲國家。F-35作為第五代作戰飛機為歐洲引入了一個新的模式和互操作性標準，這將與它的運營商一起，在未來幾年內對整個歐洲空軍的互操作性努力和計劃起到強有力的作用。然而，大多數F-35用戶繼續保持更廣泛的戰斗機隊--例如，由于F-35在空中優勢任務中的局限性，歐洲臺風戰斗機（Eurofighter Typhoon）可能仍然是英國不可或缺的。出于類似的原因，"臺風 "可能將繼續由意大利、德國和西班牙運營，類似的考慮可能延伸至F-16的運營商，如比利時、丹麥、希臘、荷蘭、挪威、葡萄牙和土耳其。

圖：未來網絡化多域作戰中的互操作性要素

其他歐洲空軍已經獲得了諸如 "鷹獅"-E和 "陣風 "等作戰飛機，"陣風 "具有AESA雷達和數據融合能力，可以被視為事實上的未來歐洲互操作性的標準。芬蘭正在推行其HX戰斗機計劃，有五個作戰飛機平臺積極參與競爭。2040年及以后，歐洲可能會繼續看到下一代作戰飛機的本土化發展，并且隨著它們的發展，新的互操作性標準被插入到采購和作戰計劃框架中。考慮到FCAS（未來戰斗航空系統）和英國 "暴風雪 "的發展，作為例子--這兩個平臺將與遙控和自主系統及中繼器結合，并在基于云的多域數據交換網絡內運行。

因此，空戰行動將不再與一套有順序的任務相關聯，而是與基于敵對部隊活動并對其作出高度響應的單一連續的非分割化機動和效果相關聯。

歐洲空戰機隊現有的和未來可能的多樣性，表面上看可能意味著不必要的能力重復，然而這些方法和能力的同樣差異也在作戰和戰略層面上提供了更大的彈性。在聯盟環境中，目前還不清楚歐洲的空戰機隊將在多大程度上與例如現在進入歐洲作戰服役的F35戰斗機進行互操作。同樣的問題在理論上也適用于FCAS或 "暴風雪"，這些圍繞兼容性和互操作性的問題將延伸到未來，特別是與MDO有關的問題。

聯盟環境下的互操作性挑戰正在被重新規劃，并將隨著新的作戰飛機和平臺的引入而出現新的方向，但目前還沒有明確或現成的解決方案來彌合一方面的理論和作戰概念的差異，或在聯盟環境下的技術整合，即組成空軍各自帶來自己的一套能力、工具和平臺進行戰斗。具有諷刺意味的是，多領域整合的基本前提和目的是解決不同領域的不同類型的平臺之間缺乏或低兼容性和協同性的問題，而這些平臺是使用不同的技術標準和系統工程方法開發的。

關于整合和互操作性的政治層面

向MDO的演變意味著空軍面臨新的挑戰，在聯盟環境中為聯合平行規劃引入新的動力。它還提出了調整或取代現有機制的需要，這些機制是為了使聯盟伙伴之間的整合和互操作性達到必要的水平，使他們能夠有效地共同運作。隨著朝向MDO的運動的加速，它提出了一個基本問題。當屬于聯盟和同盟的空軍由于不同的工業和政治考慮而在系統和網絡設計中采用不同的標準時，互操作性是否可能？

這個問題突出了與2040年及以后未來時間框架中的互操作性有關的不確定性，以及在歐洲范圍內已經面臨類似挑戰的當前空戰機隊。歐洲空軍將需要應對作戰層面的聯合整合和融合的要求，這將需要與延伸到國家戰略領域的更高層次的政策考慮相平衡，包括行動自由和戰略自主權。在這種情況下，歐洲空軍將需要根據國家或歐洲的政策方向，與能力項目和互操作性目標進行互動和規劃，這些政策方向是由復雜的體制因素和議程形成的。

一個合理的論點是，在聯盟環境中，空軍之間的分布性和數據融合可能帶來的好處超過了共享作戰云所造成的相關風險或發生作戰癱瘓的可能性。然而，除了純粹的作戰考慮，還有重要的政策問題，這些問題由大戰略和政治前景決定。即使在世界觀相似、經常在聯盟和聯合作戰密切合作的盟友和伙伴之間，國家政策也會有分歧--特別是在危機情況下的軍事活動方面。

繼續努力實現聯盟和盟國伙伴之間的互操作性是有歷史緣由的，包括在作戰云的背景下所暗示的。然而，這些努力必須與維護戰略自主權和獨立評估或軍事活動能力的需要相平衡（Binnendjik和Vershbow，2021）。有時被視為導致 "能力重復 "和浪費財政資源的不同方法以另一種方式提供了優勢，即為國家和聯盟的聯合作戰建立自然的防火墻和復原力。

考慮到聯盟空戰模式的當前和未來的發展，保持一定程度的自主性可能與確保新興作戰云本身一樣重要。這在歐洲尤其如此，因為聯合作戰機隊可能由一系列的平臺類型組成，每個平臺都是根據不同的系統工程、技術和互操作性標準開發的，這與工業和政治考慮有關。同樣的基線挑戰可能會被移植到世界其他地區，如中東或亞洲。與其試圖將空戰機隊劃分為 "第一 "和 "第二 "層次的能力，聯盟和盟國伙伴將需要集中精力克服挑戰，并為傳統聯盟環境中的MDO提供整合能力和互操作性解決方案（Binnendjik等人，2021）。

作者

奧利維爾-扎耶克（Olivier Zajec），畢業于圣西爾軍事學院和巴黎政治學院，是里昂讓-穆蘭大學的政治學教授以及戰略與防務研究所（IESD）的主任。他是EA 4586實驗室和巴黎比較戰略研究所（ISC）的研究員。他還在法國聯合戰爭學院講授戰略理論。他目前的研究興趣集中在國際關系的現實主義理論、跨大西洋防御政策、核政策和戰略以及地緣政治理論。他經常為各種國防和國際關系出版物撰稿：《世界外交》、《國防與國際安全》（DSI）、《軍事資源》、《中國世界》、《沖突》、《國防評論》。

摘要

拒絕和欺騙（D&D）技術利用錯誤信息和對手的認知偏差，長期以來一直是混合作戰的一部分。這種戰術給傳統上由人類分析員制作的情報、監視和偵察（ISR）產品帶來了不確定性和懷疑。在一個由人工智能（AI）擴散主導的未來戰斗空間中，算法生成的ISR產品數量可能會增加。因此，D&D戰術將越來越多地被顛覆人類而非機器推理的需要所驅動。對抗性機器學習（AML）的發展，即對欺騙性人工智能的研究，對未來混合作戰空間中的實踐狀態有重大影響。**本文回顧了對抗性機器學習技術之間的關鍵區別，以及它們對敵方對作戰人工智能的了解和訪問做出的假設。然后，我們總結了我們團隊最近與混合作戰有關的幾個對抗機器學習研究方向：對成像系統的物理對抗性攻擊，數據中毒攻擊，以及AML與設計強大的人工智能系統的相關性。

引言

混合戰爭指的是使用顛覆性的、非軍事的手段來推進民族國家的利益，特別是俄羅斯近年來采用的技術，在不訴諸公開的、常規的軍事行動的情況下占領領土并影響各國的政治和政策[1]。所采用的混合戰術包括網絡攻擊、動員智能體團體采取行動、施加經濟影響以及其他秘密措施。由于混合作戰存在于常規軍事沖突和平民生活之間的 "灰色地帶"，因此戰術上采用了拒絕和欺騙（D&D），通過利用民眾或敵對勢力的認知偏差來迷惑、威懾或影響理想的行為。D&D戰術在常規戰場上的歷史使用是有據可查的[3]。有效的D&D技術通過對依賴人類專家分析的軍事情報、監視和偵察（ISR）產品產生懷疑而獲得成功。在混合軍事行動中，情況不一定如此，在混合軍事行動中，D&D也可能試圖影響平民的看法。此外，隨著人工智能（AI）成為國家軍事投資戰略的重點（如[4]和[5]），以及商業信息技術部門越來越多地采用人工智能[6]，人工智能在未來的 "灰色地帶 "可能會無處不在。因此，我們必須考慮在未來由人工智能的使用主導的混合戰斗空間中可能存在的D&D威脅。

當前的人工智能能力是由機器學習的進步所帶來的，特別是在深度學習這個子領域，在過去的10年里。機器學習（ML）涉及將系統的輸入映射到預測結果的問題，例如，將車輛的圖像映射到一個類別的標簽。通常情況下，這是在大型數據集中通過統計模式識別實現的。深度學習具體涉及到多層神經網絡的使用，它是具有數百萬自由參數的高度非線性回歸模型，作為模式識別的統計模型。雖然深度網絡在各種任務上的表現優于人類（最著名的是圖像分類[7]），但在諸如[8]和[9]等作品中觀察到它們容易被愚弄之后，對抗性機器學習（AML）領域作為一個活躍的研究領域出現了。許多作者指出，ML算法所犯的錯誤可能會在民用領域產生嚴重后果[10]-[15]。我們也認為必須提出類似的擔憂，即軍事人工智能系統在常規戰場和混合戰斗空間中的脆弱性。

本文的其余部分組織如下：第2.0節將提供關于對抗性機器學習的進一步背景介紹，以及我們認為目前在解決其與混合軍事行動的相關性方面存在的差距。在第3.0節中，我們描述了約翰霍普金斯大學應用物理實驗室（JHU/APL）目前正在進行的三項研究工作，以解決這些知識差距。最后，我們在第4.0節中做了總結性發言，并總結了我們到目前為止的發現。

圖1. 使用深度學習模型將貓的圖像識別為 "鴕鳥 "的對抗性實例的例子

圖 6. AI 開發周期（圓形流程圖）和采用機器學習的典型算法步驟（橙色大框）。