信息戰與聯合部隊

今天，人們普遍認為，信息就是力量，雖然這個眾所周知的公理看起來很老套，但近年來，聯合部隊在信息戰（IW，information warfare）環境中經歷了快速變化。軍事資產被賦予聯合部隊或其組成部門，在網絡空間領域的新興工具和作戰云概念的支持下，越來越多連接在部隊范圍或部門間產生。在幾乎任何人都可以進入的信息環境中，實現主導地位目標，在一個跨越物理世界和虛擬世界的新興超級連接現實中面臨新的復雜挑戰。聯合部隊在進攻和防守方面都沒有單獨的責任或權力，這種二分法在新出現的作戰環境中尤為突出，在這種情況下，越來越多的行為者和參與者變得越來越明顯。因此，在聯合和分布式跨域作戰中，未來的網絡攻擊方法將需要從根本上改變和重新調整，以響應聯合部隊作戰空間性質和范圍的根本變化。

聯合部隊調整系統、網絡和作戰方法以在未來的競爭環境中實現優勢，需要對諸如 "信息環境 "和 "信息戰 "本身等分類法所推斷的內容進行重新概念化。即使在今天，我們也應該問自己，什么是IW，它與聯合部隊的傳統軍事行動和活動有何不同，以及它將如何影響全域指揮和控制結構？在為未來建立一支靈活而有彈性的戰斗部隊（包括網絡空間領域）的更廣泛努力中，網絡攻擊的定位是什么？這些都是令人困惑的問題，必須考慮 "權力"的重要因素是如何因信息革命而發生變化的。重新思考當今世界的大戰略是理解聯合部隊必須在理論、規劃和行動方面調整其未來方法的關鍵。越來越多的人以新的和新穎的方式測試和使用IW，聯合部隊使用IW的頻率和復雜性也越來越高，且這種情況只會加快。

信息是分散的力量

信息中蘊含著巨大的力量，雖然 "傳統 "的軍事方法強調并尋找 "新 "的IW效果，但這些可能并不反映聯合部隊的最佳解決方案，也不能提供必要的優勢，因為網絡空間與計劃和作戰周期的融合正在進行中。IW的范圍、性質和特點已經擴大，然而IW在戰術、技術和程序（TTPs）以及大戰略本身的層面上仍然是一個模糊不清、定義不明的概念。信息革命導致了新的組織和行為者的形成，以及商業甚至非國家行為者在聯合部隊 "虛擬 "作戰領域中的重要性日益增加。因此，越來越多的人需要把這些在信息環境和網絡空間范圍內活躍的、最終影響到聯合部隊如何成功執行任務的、日益增長的、不同的利益相關者和行為者集合起來。

變得更有活力和反應能力的目標將要求聯合部隊在其互動和影響或被影響的信息環境中，產生一個更 "真實 "的IW威脅和風險的戰略和行動畫面。安全模式從軍事主導的格局轉移到一個新的格局，這個格局更加分散，跨越了更大深度和廣度的利益相關者和合作伙伴，這說明了在戰略和作戰層面上，網絡攻擊具有不連貫性。要真正理解戰略和作戰環境中正在發生的變化，關鍵是要理解近年來國家權力結構中發生的巨大變化。具有諷刺意味的是，很少有一個正式的政府部門或機構或作戰單位只關注信息力量，負責控制和分配這種權力。然而現實情況是，信息力量被稀釋在一系列的機構和組織中。

隨著聯合部隊向跨領域綜合作戰能力的轉變，這些能力本質上是由信息領域促成的，而信息領域從本質上講是一個不透明的領域，模糊了物理世界和虛擬世界，因此越來越需要在與空戰或陸戰相同的水平上認識IW。

試圖現在聲稱或圍繞什么是信息力量的要素設定界限，對聯合部隊和類似的其他部隊來說，都將是徒勞的。這有令人信服的理由，即處理分類學和組織關系，以及無法為IW任務設定明確的界線和資金。針對越來越多的政府和軍事機構的任務，只會阻礙一個連貫的、綜合的國家信息主導戰略的發展，在這個戰略中，整個軍隊，特別是聯合部隊是多個組成部分中的一個。在過去，聯合部隊或其組成部分的作戰C2僅由 "他們 "各自的指揮部負責，他們有自己的通信系統，但現在情況不一定如此。例如，問一下，誰在戰略層面上控制著信息力量和信息資源？如果不是聯合部隊，那么聯合部隊怎么可能成為IW的關鍵C2機構？

為聯合部隊重新聚焦信息戰

如果反擊敵對勢力的行動是海陸空部隊的任務，那么影響 "他們 "行動的網絡攻擊的性質和范圍已經擴大，他們今天將如何處理這些任務？戰斗網絡的設計是可靠的、有彈性的和嚴格的，在某些情況下，它們是唯一的通信手段，但在多領域背景下，敵對勢力為了破壞、降低或延遲今天的行動，還可以在許多方面進行網絡攻擊，例如物流和供應鏈。隨著聯合部隊向綜合跨域作戰能力的轉變，這些能力本質上是由信息領域促成的，而信息領域的性質是不透明的，模糊了物理世界和虛擬世界，因此越來越需要在與空戰或陸戰相同的水平上認識IW。

這一點尤其正確，因為大多數聯合部隊的行動預計將發生在高度競爭和分布式的環境中，在這種環境中，IW將是競爭空間的一個固有特征。然而，隨著預算的限制，威脅的增加，以及更多的行為者出現在這些空間中，聯合部隊的指揮官發現他們處于一個關鍵的決策點。聯合部隊將需要產生新的方法、手段和目的來快速處理大量的信息，并與更多的合作伙伴、客戶和這些信息資源和數據庫的消費者一起這樣做。作為綜合布線的一部分，信息管理、連接和流動將成為核心任務要素，聯合部隊將需要向一個更加綜合和相互依存的現實轉變，以便將信息領域新的關鍵作戰要素和層次納入其規劃和作戰周期。

IW的范圍、性質和特點已經擴大，但在戰術、技術和程序（TTPs）以及大戰略本身的層面上，IW仍然是一個模糊不清、定義不明的概念。

在尋求信息主導權方面的外部相互作用和聯系

對于聯合部隊來說，解決其重點是否應該更多放在進攻性或防御性IW上的問題將是至關重要的。許多人同意，聯合部隊應該發展并保持進攻性和防御性IW能力的平衡，但前者有更多的限制。最終，聯合部隊將需要通過明確其未來的IW目標、能力和目的的范圍來解決這些問題，考慮長期的戰略需求，但要理解什么是對其在短期內有效執行作戰任務而絕對必要的戰術。

信息戰活動將越來越多地使用或依賴商業網絡，或以重要方式與商業網絡互動。這些網絡和工具將阻礙聯合部隊利用傳統的電子戰工具和網絡戰行動。作戰規劃者將需要在IW方面與全新的參與者、網絡、系統和其他因素進行斗爭。聯合部隊將不再在真空中規劃任務，而是越來越需要了解、意識到并與更多的機構和商業行為者進行行動協調。這將是一個非常復雜的挑戰，需要制定必要的合作框架，以允許聯合部隊與情報機構、第三方后勤供應商、聯盟伙伴的各種部隊元素等進行有效的協調和信息流動。

我們可以從很多方面來考慮影響IW未來方向的因素。首先，IW是否存在真正的作戰要素？如果有，誰擁有它，它的控制和影響范圍是什么？任何聯合部隊的IW戰略都不應該只是國家權力工具的一個子集，而應該與之完全融合，跨越所有領域，包括陸地、海洋、空中和太空。隨著聯合部隊學會更無縫地同步效果，對信息環境的支配將成為其整體成功的關鍵。IW將需要從規劃開始就嵌入到所有的活動中，而不是在最后才 "添加 "或孤立地規劃。聯合部隊將需要研究它打算產生什么效果，然后為此選擇適當的武器或行動。從理論上講，真正的跨領域的全方位瞄準應該提供一種可供選擇的動能效果，甚至是純粹的信息效果，作為備選方案。

這將如何影響聯合作戰環境中的C2，以及在認識到信息戰的發展現實、范圍和需求以及所需能力的情況下連接作戰力量的目標是至關重要的。要問的硬問題是："我們到底在什么方面不能控制？在IW方面，我們到底不能控制什么？在這里，我們需要考慮外國和國內團體網絡行動日益增長的作用和重要性，以及網絡攻擊實際上是一個轉型的概念而不是一個固定的概念。IW不能被孤立，需要分布在安全和情報架構的所有元素中，聯合部隊與之互動并共同運作。新的分類法再次證明了這種方法的必要性。例如，與其把活動稱為IW，為什么不把它們僅僅標為行動？將信息作為力量要素或武器使用并不新鮮，盡管它是聯合部隊指揮官武庫中相對較新的工具，但如果戰場準備得當，這也是一種需要使用的武器，就像其他工具一樣。

結論

信息時代不僅承諾在傳感器和射手、有人駕駛和無人駕駛車輛之間實現超級連接，而且在更廣泛的范圍內，包括后勤、情報和平民本身，因此，在向前發展的過程中，聯合部隊在IW環境的能力規劃方面應該遇到什么？聯合部隊在多領域或全領域作戰中實現信息優勢的目標，將需要在網絡武器中使用復雜的新方法和工具，來作為更廣泛的信息資源和信息力量生態系統的一部分。聯合部隊進行的網絡攻擊將需要與合作伙伴進行更密切的協調，例如，開展欺騙和網絡行動，甚至與假新聞和宣傳活動。

像勒索軟件這樣的威脅將在一端延伸到供應鏈伙伴，另一端延伸到有意識形態動機的非國家行為者。這種將信息環境分成越來越小的子群體的做法，為試圖在完全真空的情況下發展網絡武器創造了巨大的挑戰，對于聯合部隊和一個國家擁有的其他力量工具來說也是如此。事實證明，并且將在未來幾年內繼續強調，IW對于聯合部隊作戰和C2的有效性至關重要，尤其是在作戰云支持的環境中。未來軍事力量的部署和使用將要求聯合部隊的規劃者和作戰者更多地了解情況，更多地進行合作，更多地依賴信息環境中的合作伙伴，如果他們要超越傳統的 "內部 "方法并產生最佳的IW效果解決方案。

作者

埃德溫-"利"-阿米斯蒂德（Edwin “Leigh” Armistead）博士是一名美國退役海軍軍官，他撰寫了關于信息作戰（IO）的博士論文，并撰寫/編輯了關于這一重要主題的三本書。2006年，他參與建立了國際網絡戰爭與安全會議（ICCWS），//www.academic-conferences.org/conferences/iccws/ ，這個年度活動為該領域的學者、研究人員和從業人員提供了一個網絡平臺和論壇，以討論、探索和發展信息戰爭與安全的理論和實踐方面。他還是第9.10工作組（ICT在和平與戰爭中的應用）的副主席和《信息戰雜志》（JIW）的主編--這是美國唯一的雙盲、同行評審的信息戰（IW）學術雜志。

美國防戰略（NDS）確定了一個復雜的全球安全環境，其特點是對當前國際秩序的公開挑戰和國家間長期戰略競爭的重新出現。它要求建立一支致命的、靈活的、有彈性的和可快速部署的部隊，以對抗、威懾和贏得對所有對手的勝利。海軍執行CNO的指導，以我們的海上控制和力量投射的核心原則以及前瞻性的艦隊設計概念為中心，開展分布式海上作戰（DMO），提供NDS所需要的強大海上組成部分。作為NDS的組成部分，海軍航空兵強烈關注更新現有能力，使新的先進平臺投入使用，并通過加強戰術和程序來補充今天的作戰能力，以應對高端戰斗。

今天的航母攻擊群（CSG）--以大甲板、核動力航空母艦及其搭載的艦載機聯隊為中心--通過為艦隊指揮官提供多領域的軍事力量來實現這一創新的艦隊設計。艦載機在殺傷力、戰斗空間態勢和機動性方面為任何海上戰場帶來了無可比擬的貢獻，確保了海軍建立和維持海上控制、實現海上優勢和遠距離投射力量的能力。

海軍的固定翼和旋翼飛機、有人和無人飛機構成了世界上分布最廣的航空平臺，為CSG、遠征打擊群（ESG）和水面艦艇提供支持，提供廣泛的支持性任務。

《海軍航空遠景2030-2035年規劃》取代了《海軍航空遠景2025年規劃》，并反映了一些關鍵概念，以滿足CNO對海軍的愿景，即在海面上一擁而上，在每個軸心和每個領域提供同步的致命和非致命努力。

當海軍計劃建立和維持一支致命的、有彈性的部隊時，必須要有一個明確的路線圖，與此同時，也要有一個明確的計劃。

未來的技術

鑒于威脅快速發展，海軍航空必須投資并追求先進的技術和作戰概念，以便在戰爭的戰役層面上取得成功。美國防部長奧斯汀指出："盡管在過去30年中進行了兵力結構的削減，但聯合部隊有必要的能力和實力來實施國防戰略（NDS）的優先事項并應對今天的威脅。在國會的支持下，國防部將通過繼續投資聯合部隊的戰備和部隊現代化，以及加快對人工智能（AI）、機器學習（ML）和其他先進技術的投資，提高聯合部隊的戰斗潛力。這些投資，加上盟友和合作伙伴的合作，將優化部隊結構，產生一支能夠威懾或擊敗對手的有戰斗力的聯合部隊。"

海軍航空的先進技術包括：

• 無線電頻率（RF）和紅外線（IR）信號降低技術

• 增強被動和主動殺傷鏈

• 載人/無人機組隊（MUM-T）

  • MUM-T減少了駐扎在CVW內的有人飛機的風險，同時也提高了性能、容量和生存能力。無人機系統（UAS）將在未來的機翼和分布式水面艦隊中扮演不同的角色，如加油、通信中繼、后勤、空中電子攻擊、打擊和ISR&T等任務。

  • MQ-25將是海軍第一個基于航空母艦的無人平臺，并將增加CVW的殺傷力和覆蓋范圍，作為一個油輪，它具有輔助ISR作用。

  • MQ-4C "海獅"在2020年1月實現了早期作戰能力（EOC），通過人機和自主團隊提供持久的海上ISR&T。它將按計劃在2023年實現初始作戰能力（IOC）。當與任務管理工具配對時，如Minotaur與IFC 4多信息配置，"海獅"將提供傳感器的敏捷性，以定位、跟蹤、分類、識別和報告感興趣的目標。

  • MQ-8C "火力偵察兵 "無人機系統將在不久的將來首次部署先進的雷達、Link 16和Minotaur任務系統。

  • 正在推進物資和非物資解決方案，以加強MQ-8、MH-60和瀕海戰斗艦之間的互操作性。納入Link 16的信息傳遞以及Minotaur的整合，將提高分布式水面艦隊的有機瞄準能力，并提高戰斗空間態勢感知。

• 提高速度和射程--推進器解決方案在為先進任務系統提供動力和冷卻的同時，還能提高速度、射程和續航能力（即可變循環發動機）。

• 長距離、高容量和高超音速武器--下一代武器不僅要擴大空對空和地對空的覆蓋范圍，而且要同時擊敗機動空中目標和地對空防御。這可以通過增加運動量（即高超音速）和/或其他破壞性技術（如定向能武器）來實現。

• 減少決策時間--通過納入自動化、最佳機組-機隊交互和利用人工智能（AI）和機器學習（ML）的團隊化有人/無人部隊，推動戰術的簡單化。

• 電磁機動戰（EMW）能力--對抗敵人殺傷鏈和防空系統的能力。

• 網絡能力--對抗敵方網絡效應的能力，同時加強網絡能力和平臺。

• 先進的網絡--海軍戰術網格（NTG），具有彈性的可生存的波形。

• 福特級航空母艦--設計用于支持這些和其他技術到未來的發展。

在海軍航空部門實現這些技術革新的過程中，與工業界合作是至關重要的。與商業企業合作必須包括對開放架構的明確需求，避免獨特和專有的硬件和軟件，以及開發、測試和實施，推動分段而不是整體的變化。這種聯盟和合作將在正確的時間為正確的理由加速正確的變革。

海軍航空2030-2035遠景

"我們的武裝部隊作為世界歷史上最有能力的軍隊，已經配備了人員、訓練、裝備，并準備好響應國家的號召。" -美國防部長勞埃德-J-奧斯汀三世

當海軍航空展望未來時，很明顯正面臨著一個快速演變的威脅，需要大量的部隊現代化。領導層必須采取大膽的行動并做出艱難的選擇，以產生在各種沖突中獲勝所需的變化。這將需要重新關注海軍所需的能力、容量、戰備和訓練，以提高和保持作戰優勢。

海軍航空將接受可負擔性。通過明智地應用資源和進化的投資戰略，海軍航空2030-2035年遠景規劃概述了一種在所有戰爭領域提供完整的殺傷鏈的方法，有助于在未來幾年內保證進入、權力投射和海上控制。今天為2035年開發和采購的航空機隊是一個混合體：互補的第四代和第五代飛機；NGAD FOS；有人和無人平臺；以及網狀的傳感器和武器，以確保海軍能夠決定性地擊敗日益先進的近距離威脅。海軍航空兵必須能夠用下一代飛機在更遠的距離和更快的速度對任何目標提供精確的效果。

如果我們堅持這一愿景，海軍航空兵將能夠整合海基和陸基飛機--有人駕駛和無人駕駛--以提供一支持久、靈活、可調整的部隊，具有提供穩定存在、緩和地區緊張局勢或使用武力向我們的對手施加代價的靈活性和響應性。

縱觀其歷史，海軍航空兵一直處于海戰的戰術、作戰和戰略創新的前沿。空軍司令部的設想延續了這一傳統，并保留了海軍航空兵給我們國家帶來的作戰優勢。

報告總結

近四十年來，美國國防部（DoD）首次制定了旨在對抗先進軍事對手--特別是中國和俄羅斯--的聯合作戰概念。上一次這樣的努力發生在20世紀70年代末和80年代初的冷戰高峰期，以應對蘇聯在歐洲中央戰線的常規優勢所帶來的戰略和行動挑戰。現在，正如2018年國防戰略（NDS）所強調的，聯合部隊必須 "優先考慮備戰"，這包括為軍事優勢制定 "創新作戰概念"。由于作戰概念從根本上說是指導未來部隊設計和未來戰爭的愿景，聯合部隊首先必須回答它打算如何打未來戰爭的問題，然后再試圖回答它需要用什么打仗的問題。

然而，如果國防部要轉向 "聯合概念驅動的、洞察威脅的能力發展"，它面臨著相當大的挑戰，因為它的聯合概念發展和實驗過程從根本上說是破裂的。 雖然后冷戰時代見證了發展聯合作戰概念的反復努力，但該過程未能產生創新的作戰方法來指導未來的部隊和能力發展。相反，這個過程產生的概念似乎是故意不推動重大變革的。這些概念并不是真正的 "聯合"，而是由現有的服務概念組成的最低標準的組合，以服務的優先權為前提。任何能夠通過發展過程的創新的聯合概念都是如此的淡化和模糊，以至于它們不能引起變化（從而威脅到關鍵利益相關者的利益）。在這種環境下，單個服務概念勝過聯合概念，并驅動投資優先權。

然而，作戰概念和關鍵投資必須是聯合的，因為各軍種在作戰層面已經變得越來越相互依賴。此外，目前的戰爭演習和分析表明，這種作戰上的相互依賴將是未來與中國或俄羅斯等能力強大的同行對手發生沖突的一個關鍵方面--是作為一種優勢還是一種弱點，還有待觀察。我們可以預期，一個先進的、適應性強的對手會尋找美軍的任何差距和縫隙，并利用這些差距和縫隙來發揮其優勢。在這方面，目前的聯合部隊還不夠 "聯合"，無法與一個已經發展出對抗美國關鍵的、長期的作戰優勢（如空中、海上和信息優勢）的對手進行高端戰爭。正如本文所討論的，在與同行對手的沖突中成功發動戰爭的規模和強度將需要全新的作戰方式，這反過來又需要一種強制功能，將單個服務能力整合到實際的 "聯合 "戰斗力中。最近發展以威脅為重點的聯合作戰概念--如果成功的話--代表了這種結果實際發生的最佳機會。

本文簡要討論了國防部過去在發展聯合概念方面的三種嘗試，包括空地戰、空海戰和最近的努力--先進能力和威懾小組（ACDP）。本報告利用這些例子來展示克服孤立和狹隘的軍種主導的努力所面臨的挑戰，并說明建立以軍種為中心的概念并給它們披上聯合的外衣的弊端。這些案例強調了聯合概念發展過程中持續存在的病癥是如何使冷戰后的聯合概念在鼓勵作戰創新或推動服務投資優先事項的變化方面毫無用處。

正在進行的開發新的聯合作戰概念工作為國防部提供了一個早該提供的機會，將其概念開發集中在具體的威脅和相應的作戰目標上。目前的努力是幾十年來國防部第一次圍繞應對具體的威脅來組織概念開發，而不是支持聯合部隊對模糊或未定義的對手群體進行作戰的理想化概念。然而，如果不對被廣泛認為是沒有促進思想競爭的共識過程做出重大改變，國防部就有可能重復它過去所犯的概念發展錯誤。此外，新的聯合概念必須通過實驗活動進行嚴格的測試和完善，以驗證其對未來部隊設計的可行性。目前還缺少實驗這一塊。

聯合參謀部正在努力重建其聯合概念開發能力，因為多年來它既沒有優先考慮這項工作，也沒有為其提供足夠的資源。產生真正的新的作戰方式，并有可能改變未來的部隊設計，將需要國防部長辦公室（OSD）、參謀長聯席會議主席和副主席（CJCS和VCJCS）的持續關注，以通過該系統推動新的聯合概念。國防部的高級領導層必須克服每個軍種推動共識產品的傾向，這些產品更多的是為了保護現有的優先事項和長期的特權，而不是產生創造性的想法。

該文件提出了以下建議，以改進聯合概念開發過程：

• 將聯合概念開發的重點放在未來作戰環境中的優先挑戰上。
• 賦予作戰指揮部推動聯合概念發展的權力。
• 探討未來戰爭的其他設想，并通過廣泛的戰爭演習和實驗來驗證聯合概念，而不是通過共識。
• 擴大實地和艦隊演習中的實驗。
• 通過培養一種 "紅色思維 "的部門文化來加大思想碰撞。
• 促進概念開發者和技術專家之間更緊密的結合。
• 建立一個集中的、高水平的概念和能力發展組織。

修正流程是開發有用的聯合作戰概念的關鍵的第一步，但國防部還必須確保聯合概念開發從正確的角度出發，專注于正確的問題集，同時保持前瞻性。迄今為止，國防部對中國和俄羅斯的思考集中在保持或恢復聯合部隊在冷戰后 "單極時刻 "所擁有的作戰優勢水平上。然后，聯合參謀部提出的概念，如 "聯合愿景：2010"，是以 "信息優勢 "的假設為前提的，這將有助于實現 "全譜系主導地位 "的既定目標。國防部的概念和能力發展應該側重于為中國和俄羅斯創造作戰困境，而不是追逐其現有業務方式的微不足道的邊際回報。

很明顯，國防部仍然被其傳統的作戰方式所束縛。參謀長聯席會議副主席約翰-海滕將軍說，在2020年底一系列兵棋推演的測試中，根據美軍過去30年的運作方式制定新的聯合作戰概念的初步努力證明是完全失敗的。

制定新的聯合作戰概念的最初嚴重地依賴傳統的作戰方式，盡管它打算對抗新的對手和新的作戰挑戰，這暴露了一個倉促的“產品”。一個成功的、以威脅為重點的作戰概念需要全面深入的分析--既要分析對手的能力和概念，也要分析聯合部隊在所設想的時間段內的能力和概念，并在深入研究概念的形成和完善之前需要時間來綜合各種投入。以前的聯合概念開發的趨勢是優先形成“產品”和達成共識，而不是更平凡但必要的深度分析工作，這對目前的努力來說不是好兆頭。

自《國家發展戰略》要求提出新的作戰概念以來，已經過去了三年多。國防部需要全新的作戰方式。如果美國軍隊繼續按照今天的方式運作，就不可能保持對同行對手的競爭力。如果這個過程陷入官方機構的爭論，或者在努力達成軍種共識的過程中只產生微小的變化，那將是一個不折不扣的悲劇。

最后，對作戰挑戰提出的概念性解決方案，無論多么合理，只有得到最高級別的文職和軍警領導人的認可和授權，才能推動計劃的改變。雖然該部門在冷戰后的記錄并不完全令人放心，但發展新的聯合作戰概念背后的政治和官方動力是相當大的，而且中國和俄羅斯構成的戰略和行動挑戰比來自伊朗、朝鮮或恐怖組織的挑戰要緊迫和嚴重得多。如果國防部能夠正確對待這一進程，并專注于為中國和俄羅斯創造困境，那么在聯合部隊的轉型方面的積極影響可能是深遠的。

新美國安全中心：

新美國安全中心（CNAS）的使命是制定強有力的、務實的和有原則的國家安全和國防政策。在其工作人員和顧問的專業知識和經驗的基礎上，CNAS通過創新的、基于事實的研究、想法和分析來吸引政策制定者、專家和公眾，以塑造和提升國家安全辯論。我們任務的一個關鍵部分是為今天和明天的國家安全領導人提供信息和準備。

CNAS位于華盛頓特區，由共同創始人Kurt M. Campbell和Michèle A. Flournoy于2007年2月成立。CNAS是一個501（c）3免稅的非營利組織。它的研究是獨立和無黨派的。

作為一個致力于組織、知識和個人誠信的最高標準的研究和政策機構，CNAS對其想法、項目、出版物、活動和其他研究活動保持嚴格的知識獨立性和唯一的編輯指導和控制。CNAS在政策問題上不采取機構立場，CNAS出版物的內容僅反映其作者的觀點。根據其使命和價值觀，CNAS不參與游說活動，并完全遵守所有適用的聯邦、州和地方法律。CNAS不會代表任何實體或利益從事任何代表活動或宣傳活動，如果中心接受來自非美國來源的資金，其活動將限于符合適用的聯邦法律的善意的學術、學術和研究相關活動。該中心每年在其網站上公開承認所有捐款的捐助者。

摘要

混合行動由多個行動領域的協調攻擊完成，包括網絡戰和信息戰。檢測混合型威脅的一個關鍵挑戰是如何識別個別事件是對手（精心策劃的）措施的結果，并將所謂不相關的事件聯系起來。由于物理和網絡及信息領域的行動可能發生在不同的時間、不同的地點、不同的速度，作為短期或長期的活動，并且可能是低強度的，因此連接這些點的任務變得更加困難。為了確定與具體任務規劃和執行相關的信息，混合威脅的風險評估必須始終在具體任務的背景下進行，包括其任務目標、行動區域和任務時間范圍。

在本文中，我們描述了兩種情況，在這兩種情況下，對手可能在物理以及網絡和信息空間中進行攻擊，以干擾行動。接下來，我們描述了一個演示器的高級架構，顯示了不同類型的傳感器和信息源是如何連接在一起的。為了應對混合威脅并充分發揮對分析員和決策者的支持潛力，有必要在不同的細節水平上實現態勢感知--從原始數據到高度聚合的風險評估--在不同的領域中共享信息，并在聚合水平上融合它們。

引言

多域作戰（MDO）并不是一個新現象。在戰爭中，長期以來一直在多個領域開展行動。從陸、海、空行動開始，空間和網絡領域補充了對手的組合。為了對付這些，需要不同部門的深入合作。同樣，混合威脅這個詞也不是2020年的發明。一開始是混合戰爭，它與非對稱戰爭、非正規部隊和信息行動等概念混雜在一起。

在早期，重點是傳統的軍事沖突。戰場是傳統的地面，坦克、飛機和艦艇與人員一起是主要的行為者。通信是決定勝負的一個關鍵因素。數字化的開始提供了新的好處和選擇，但也給戰爭帶來了新的脆弱性。今天被稱為網絡和信息領域（CID）的使用在軍事能力方面是一個很大的推動。隨著社交媒體的出現，信息領域發生了巨大的變化，因為它使對手更容易影響公眾輿論和關鍵人物的意見。此外，隨著物聯網中相互連接的設備越來越多，網絡威脅的重要性也在增加。今天的關鍵基礎設施（用于能源、交通、衛生等）比過去更容易受到信息技術的威脅，它們是現代戰爭中的熱門目標。這為敵對勢力的攻擊打開了大門。他們的工具箱不再局限于經典的軍事資產。當然，新興的技術導致了反擊和反擊的措施，以及一場永恒的競爭。

在軍事和民用領域，對信息交流的使用和依賴日益增加，產生了新的攻擊載體，同時也產生了防御這些攻擊的新需求。在今天的沖突中，威脅影響到政治、軍事、經濟、社會、信息和基礎設施等領域。不同的威脅可能是由正規和非正規部隊造成的。這些可能是不利的國家，也可能是出于非政府考慮的團體。

一個關鍵的挑戰是如何在戰術層面上認識到個別事件是對手（精心策劃的）措施的結果，并將所謂不相關的事件聯系起來。在任務規劃或任務執行的風險評估中，這個問題的答案可能會導致對自己的措施無動于衷的決定，如使用通信渠道、部隊保護、路線規劃或反網絡行動。由于物理和網絡及信息領域的行動可能發生在不同的時間，以不同的速度，作為短期或長期的活動，并且可能是低強度的，因此連接這些點的任務變得更加困難。

摘要

在 2016 年人工智能促進協會 (AI) 發表的講話中，當時的協會主席呼吁 AI 為了魯棒性而犧牲一些最優性 [1]。對于 AI，魯棒性描述了系統在各種情況下保持其性能水平的能力 [5]。通過機器學習開發和驗證高質量模型面臨著特殊的挑戰。一般公認的大多數人工智能需要魯棒的原因包括：

? 訓練和運行數據的不確定性；

? 輸入來自不同訓練集，但在統計上或語義上與訓練群體一致；

? 訓練群體之外的輸入；

? 用有限的數據學習；

? 面對新穎的情況，需要不同于學習策略和分類器的開發方式；

? 對抗性行動。

此外，對于人類 AI 協作團隊，人類必須適當地信任 AI 系統；因此，透明度也可以被視為魯棒性問題。混合戰爭為人工智能的魯棒性帶來了額外的挑戰。決策的不同性質和必要的決策支持擴大了所需模型的范圍。在不同條件下開發的模型組合使用會影響可以對復合系統質量做出的統計聲明。

如果我們需要魯棒性，我們必須考慮它的度量。對與上述條件相關的魯棒性研究的調查，提供了一系列可能的措施。北約聯盟實施的混合戰爭需要了解所使用能力的魯棒性。在本文中，我們從當前文獻中調查了魯棒性度量的前景。在這樣做的過程中，我們有助于了解聯盟內部各種模型和軟件的組合。

1 引言

現代混合戰爭不僅包括傳統戰爭，還包括政治和網絡戰爭（以及其他），其越來越依賴人工智能 (AI) 在日益復雜的環境中執行任務。許多現代 AI 實現都是使用機器學習 (ML) 技術構建的，使用數據旨在來表示預期的情況。這意味著：

? 大多數當前的 AI 構建塊都是為特定目的而構建的，雖然旨在泛化以支持現實世界的輸入，但并不總是能夠處理不熟悉的情況（輸入）。它們是“黑盒”設計，可以實時或近乎實時地執行復雜的決策或環境解釋（分類），但通常只能為已知輸入產生可靠的答案。

? 如果提供以前從未見過的信息或通過人類可能察覺不到的攻擊，人工智能構建塊通常很容易被愚弄和混淆。

從本質上講，我們正在處理的是一個易受影響的問題：現代 ML 解決方案，實際上還有其他 AI 解決方案，本質上很容易被他們不熟悉的數據所欺騙 [2] [3]。例如，這使得依賴于它們的指揮和控制 (C2) 決策樹邏輯容易發生故障。當然，我們想知道如何通過確保利用人工智能的 C2 對故障具有魯棒性來保護自己免受此類漏洞的影響。

總結：

? 許多機器學習方法天生就容易受到環境變化和攻擊的影響；

? 因此，依賴機器學習（主要基于神經網絡（NN））的人工智能系統本質上是脆弱的；

? 因此，必須使依賴人工智能的混合戰爭變得強大。

1.1 魯棒性

ML 方法的訓練和運行都基于以下幾個方面：（1）輸入數據，（2）內部結構，以及（3）學習算法。機器學習的脆弱性可能是由許多因素造成的。出于本文的目的，我們假設網絡內部結構是靜態的、足夠強大且安全的，雖然還有許多其他因素，但我們考慮了兩個主要方面：(a) 訓練數據不佳，(b) 以前未使用的業務數據。因此，我們的重點是 ML 解決方案的輸入數據。

天真地，我們假設 ML 方法（尤其是 NN）是使用高質量（“好”）輸入數據訓練的：在運行期間可能期望 選擇性表示AI 處理的輸入范圍。這個想法是，在運行過程中，人工智能可以為運行數據產生“正確”的決策，這些決策與訓練它的數據相似。換句話說，人工智能必須能夠進行插值，并且在某種程度上還可以推斷其原理。

在最壞的情況下，糟糕的訓練數據會導致訓練出不符合目的的機器學習模型，或者在最好的情況下會導致生成“愚蠢”的模型；也就是說，只能做出具有高度不確定性的模糊決定。然而，在數據質量范圍的另一端也存在危險，因為雖然“好的”訓練數據可能會產生一個可以做出非常準確的決策的模型，但它可能只能使用窄范圍的輸入數據來做到這一點。當然，我們希望機器學習既能滿足其性能要求，又能適應它最初沒有訓練過的新環境；即能夠處理新穎事物場景。

因此，ML 的一個重要目標是構建一種泛化良好的能力。在狹窄的應用程序中，我們希望確保在環境樣本上訓練過的模型能夠像宣傳的那樣在整個環境中工作。最終，我們希望人工智能面向復雜環境的處理能力，可針對所有現實，或者至少是人類感知的所有現實。從某種意義上說，這完全涵蓋了所有情況，沒有新的情況。如果我們觀察牛頓宇宙并且擁有巨大內存量，那么所有情況都可以從當前數據中預測出來。但是，由于我們對宇宙建模的能力受到嚴重限制，因此可能會經常出現新穎情況。在不可能為復雜環境訓練模型的前提下，當這些模型被引入現實世界時，模型應該能應對各種突發情況。

因此，表征模型的魯棒性具有挑戰性，需要考慮模型的不同方面的魯棒性。雖然有許多可用的魯棒性定義，但應區分用于傳統軟件魯棒性的定義，例如 IEEE 24765[4] 的定義，以及與 AI 模型相關的定義。本文中使用 ISO CD22989 [5] 中提供的定義：

魯棒性是“系統在任何情況下保持其性能水平的能力。魯棒性屬性表明系統有能力（或無能力）在新數據上具有與訓練它的數據或典型運行數據相當的性能。”

1.1.1 魯棒性度量

在定義了術語“魯棒性”之后，由于本文的重點是魯棒性度量，我們現在將定義術語“度量”，應用于魯棒性。為了在編寫定義時為我們的思考過程提供信息，確定度量魯棒性可能具有的各種目的以及利益相關者可能是誰，是有用的。由于魯棒性度量的目的和要求將取決于 ML 模型的生命周期階段，因此我們分析了生命周期階段的目的。

盡管許多 ML 模型將基于 NN，但我們的分析擴展到涵蓋 ML 類型和架構的不同變體，并指出 ML 的主要變體是：NN、決策樹和強化學習。

在 ML 模型設計和開發階段，開發人員將試驗模型設計并調整模型的架構和參數，以優化模型的性能。在這個階段，魯棒性度量的目的既可以是提供一種在進行這些更改時度量魯棒性改進的方法，也可以描述模型如何表現魯棒性。此外，不同模型的開發人員之間商定的度量標準將允許在模型設計之間進行可靠的比較。

在系統設計階段，在選擇現成的ML模型納入整個系統時，度量魯棒性將通過提供一種方法來比較一個模型與另一個模型的魯棒性水平和性質，從而為系統設計者提供關于模型選擇的決策信息。

在部署之前，安全從業人員將使用魯棒性度量來為包含 ML 的系統的安全風險評估提供信息。具體來說，該度量將為 ML 模型的漏洞分析提供信息，若該模型具有低魯棒性，則表示攻擊者可以利用漏洞。

最后，在部署階段，從單個 ML 組件的魯棒性度量中得出的整體系統魯棒性度量，將支持最終用戶對系統輸出或行為的信任和信心。

鑒于上述使用范圍和相關利益者，出于本文的目的，我們將有意保留術語“度量”的寬泛定義。我們的定義超出了純粹的測量或量化行為，包括我們如何描述或表征 ML 在任何特定環境中的魯棒性。因此，我們將本文的其余部分基于以下定義：

魯棒性度量是 ML 模型在其生命周期中可能面臨的各種挑戰的魯棒性的度量或表征。特定度量的精確性質將取決于 ML 模型的類型、模型旨在完成的任務、以及模型所處生命周期的階段。

1.2 方法論和論文結構

在考慮魯棒性度量時，我們通過提出“面對……什么的魯棒性？”這個問題開始分析。這生成了一個 ML 模型可能面臨的情況列表，在這些情況下，它們的魯棒性可能會受到挑戰。我們稱這些為“面對”條件。

? 訓練和運行數據的不確定性；

? 不同于訓練集的輸入，但在統計上或語義上與訓練群體一致；

? 訓練群體之外的輸入；

? 用有限的數據學習；

? 新穎的情況，不同于學習策略和分類器的開發方式；

? 對抗性行動；

我們的文獻檢索提供了許多關于魯棒性的先前研究，對于每一項，我們都試圖確定它們適合哪些類別。雖然這并不總是顯而易見的，但它似乎代表了一種構建分析合乎邏輯的方式。因此，在以下段落中，我們嘗試以這種方式對文獻檢索中的單個研究進行分類。

對于每個類別，我們描述了每個魯棒性挑戰的性質和細節，然后是用于度量魯棒性的度量指標類型。盡管本文中對魯棒性的審查不包括混合戰爭示例，但所討論的內容適用于混合戰爭方法。

2 挑戰和度量方法

2.1 訓練和運行數據的不確定性

能夠處理訓練和運行數據中的不確定性對于 AI 來說至關重要，它代表了當前 ML 系統的關鍵組成部分，尤其是那些在軍事領域等危急情況下使用的系統。

2.1.1 挑戰

在 ML 中，目標是在給定的成本函數情況下，學習最適合訓練數據的模型參數。然后，部署該模型以獲取對新數據和未見過數據的預測。作為訓練過程的結果，任何學習模型都帶有不確定性，因為它的泛化能力必然基于歸納過程，即用數據生成過程的一般模型替換特定觀察[6]。盡管研究界做出了許多努力，但沒有任何現有的 ML 模型被證明是正確的，因為任何可能的實驗都嚴重依賴于假設，因此當受到以前未見的輸入數據影響時，每個當前的 ML 模型輸出仍然是不確定的。

不確定性在統計領域有著悠久的歷史，從一開始，它就經常被聯系起來并被視為一個類似于標準概率和概率預測的概念。然而，在最近，由于當前對 ML 的炒作以及如今基于此類解決方案的系統正在控制我們的日常生活，研究界對此類概念的興趣越來越大。這首先是出于安全要求，為此需要新的方法來應對。

在現有文獻中討論 ML 不確定性的不同方法中，可以根據所考慮的不確定性類型對它們進行聚類。當前的大多數作品都解決了偶然或認知不確定性。

2.1.1.1 偶然和認知不確定性

對 ML 中的不確定性進行建模的傳統方法是應用概率論。這種概率建模通常處理單個概率分布，因此忽略了區分偶然不確定性和認知不確定性的重要性 [7] [8]。

偶然不確定性：我們可以將其稱為統計不確定性，它源于實驗結果可變性的隨機性概念。簡而言之，當提到偶然不確定性時，我們隱含地指的是即使存在任何其他信息源也無法減少的不確定性。讓我們通過一個非常基本的例子來描述這一點：假設我們想要模擬拋硬幣的概率結果。我們可以定義一個概率模型，該模型能夠提供頭部或尾部的概率，但不能提供保證的結果。這種不確定性定義了總不確定性的不能復歸的部分。

認知不確定性：也稱為系統不確定性，這是由無知/缺乏知識決定的總不確定性的一部分。這種不確定性是由于機器學習系統的認知狀態造成的，并且可以通過附加信息來減少。例如，假設我們有一個 ML 模型學習一門新語言，并且給它一個新詞，它應該猜測它是指頭還是尾。智能體對正確答案的不確定性與預測拋硬幣時一樣不確定，但是通過在情況中包含額外信息（即提供同義詞或解釋單詞的正確含義），我們可以消除任何不確定性在答案中。因此應該很清楚，與偶然性相反，認知不確定性定義了總不確定性的可還原部分。

既然我們已經定義了偶然不確定性和認知不確定性，我們將考慮有監督的 ML 算法以及這兩種不同類型的不確定性如何在 ML 中表示。

在監督學習環境中，我們可以訪問由 n 個元組 (xi,yi) 組成的訓練集 D = {(x1,y1),…,(xn,yn)}，其中 xi （屬于實例空間 X）是包含特征的第 i 個樣本 (即，測量值），而 yi 是來自可能結果集 Y 的相關目標變量。

在這種情況下，ML 算法具有三個不確定性來源：

? 偶然不確定性：通常，X 和 Y 之間的相關性不是確定性的。因此，對于給定的輸入 xi，我們可以有多個可能的結果。即使存在完整的信息，實際結果 yi 也存在不確定性。

? 模型不確定性：為解決給定問題而選擇的模型可能遠非最適合該任務的模型。這是由于模型的正確性和假設的正確性存在不確定性。

? 近似不確定性：通過優化過程學習的模型參數只是對真實假設的估計。這種估計是由于在學習過程中使用的數據缺乏保真度。

模型和近似不確定性都代表認知不確定性。

應該注意的是，對于 ML 算法，偶然不確定性和認知不確定性在很大程度上取決于環境。例如，通過允許學習過程改變最初定義的場景的可能性，可以減少偶然不確定性以支持認知不確定性；也就是說，原始環境中的偶然不確定性并沒有改變，而是通過改變環境而改變（類似于在擲硬幣的例子中加權硬幣的一側）。相反，如果我們考慮一個固定的初始場景，我們知道認知不確定性（即缺乏 ML 算法知識）取決于學習過程中使用的數據量（多少觀察）。由于訓練樣本的數量趨于無窮大，機器學習系統能夠完全降低逼近不確定性。

2.1.2 表示不確定性的機器學習方法

表示不確定性的不同 ML 方法具有不同的能力，可以根據以下內容進行聚類： (i) 表示不確定性的方式； (ii) 如果處理兩種類型的不確定性（偶然性和認知性）中的兩種或僅一種； (iii) 如果他們提供了任何可用于提供不確定性數量粗略估計的解決方案。

2.1.2.1 高斯過程

高斯過程 (GP) [9] 是一種用于監督學習的通用建模工具。它們可用于泛化多元隨機變量的貝葉斯推理和函數推理。在分類的情況下，GP 具有離散的結果，不確定性定義的困難在于知識的表示，然后將其識別為模型的認知不確定性，就像在貝葉斯方法中一樣。在回歸的情況下，可以將偶然不確定性（即誤差項的方差）與認知不確定性區分開來。

2.1.2.2 最大似然估計和Fisher信息數

在機器學習中，最大似然估計原理起著關鍵作用。事實上，如果一個模型可以“非常接近”似然函數的最大值，這意味著數據的微小變化可能對估計的影響有限。如果似然函數是平滑的，它可能是一個很好的指標，表明估計存在高度的不確定性，這可能是由于許多參數的配置具有相似的似然性。

在 ML 中，我們經常利用 Fisher 矩陣 [10] 來表示認知不確定性的數值 [11]。

2.1.2.3 生成模型

生成模型可用于量化認知不確定性。考慮到這些方法的概率性質，這些方法旨在模擬數據分布的密度，通過確定給定數據是否位于高密度或低密度區域，這些模型隱含地提供有關認知不確定性的信息。這一類別中最相關的工作是基于核密度估計或高斯混合，最近在深度自動編碼器方面取得了一些進展[12]。

密度估計是處理異常和異常值檢測方法的關鍵要素，后者只是一個分類問題，當樣本位于低密度區域時，它被認為是分布之外的問題。這樣的成果反而捕捉了偶然的不確定性。

一般來說，生成模型解決了一個非常具有挑戰性的問題，需要大量數據才能正常工作，并且通常具有很高的不確定性。

2.1.2.4 深度神經網絡

人工深度神經網絡 (DNN) 本質上是一個概率分類器，我們可以將訓練 DNN 的過程定義為執行最大似然推理。這導致模型能夠生成給定輸入數據的概率估計，但不能提供有關其概率置信度的詳細信息：捕獲了偶然的不確定性，而沒有捕獲認知。盡管如此，后者通常被稱為模型參數的不確定性。在文獻中，最近有一些作品 [13] [14] 試圖通過將貝葉斯擴展引入 DNN 來模擬這種認知不確定性。

2.1.2.5 模型集成

模型集成（Model Ensembles ）模型類的常見示例是 bagging 或 boosting。這種方法非常受歡迎，因為它們可以通過產生一組預測而不是單個假設來顯著提高點預測的準確性[15]。可以包含在此類中的最相關的工作是隨機森林模型 [16]。此類別中的方法主要關注整體不確定性的任意部分。

2.1.2.6 Credal 集和分類器

Credal 集（Credal Sets）是一組概率分布，它是貝葉斯推理推廣的基礎，其中每個單一的先驗分布都被一個候選先驗的Credal 集所取代。作品 [17] [18] 研究如何定義Credal 集的不確定性以及相關表示，定義了存在于Credal 集中的兩種類型的不確定性：由于隨機性導致的“沖突”和“非特異性”。這些直接對應于任意和認知的不確定性；通常使用 Hartley 函數 [19] 作為標準不確定性度量； [20] 還定義了一種工具，可用于評估 ML 系統在面對訓練和操作數據的不確定性時的魯棒性。如果我們知道給定隨機變量的未知值在給定的有限集中，Hartley 函數可用于評估不確定性。此外，已經通過類似 Hartley [80] 和廣義 Hartley [81] 措施提出了對無限集的擴展。

2.2 與訓練集不同但在統計上或語義上與訓練群體一致的輸入

在運行期間，分類器為輸入數據的每個樣本分配一個類標簽。考慮到上述魯棒性的定義，類內可變性，即分配到同一類的所有樣本之間的可能變化，隱含地包含在用于學習分類器的訓練數據集中。

2.2.1 對語義數據變體的魯棒性

使用更具建設性的方法來定義魯棒性有助于更好地模擬用戶對分類器性能的期望。為此，如果分類器對于輸入數據的所有有意義的變體是不變的，我們將暫時稱其為魯棒分類器。顯然，所有有意義的變體的集合取決于應用場景，這通常很難描述。然而，對于許多分類問題，這種有意義的變體可以分為兩類：（i）物理修改（例如，噪聲添加、混合失真、裁剪、旋轉、縮放）和(ii) 輸入樣本的語義修改（例如發音的不同方式）。圖 1(1) 說明了手寫數字分類示例的這兩類可能變體。我們考慮書寫數字“9”的不同變體。而（如圖 1 所示）噪聲添加 (a) 和混雜失真 (b) 可被視為屬于第一類，第三類 (c) 在數字“9”上添加一個小弧線是有意義的（句法）變體，特別是不同國家的當地文化，它使符號（“九”）的語義保持不變。

圖 1 (1) 手寫數字 9 的可能數據變體，(2) 使用變分自動編碼器 (VAE) 重建的數字 3、8、9 的空間，該編碼器對來自 MNIST 語料庫的各個數字進行訓練，(3) 對應的潛在空間表示顏色編碼數字類型。

2.2.1.1 物理魯棒性

AI/ML 相對于第一類變體的魯棒性，尚未得到令人滿意的解決，但近年來已在相當程度上得到解決。在許多涉及對第一類變體的魯棒性的出版物中，基礎數據樣本被建模為歐幾里得向量空間中的向量。然后通過將范數有界向量添加到數據樣本來對失真進行建模。這里，通常使用 Lebesguetype 范數（lp norms）（特別是 l1、l2 和 l∞）。在一篇被廣泛引用的論文 [20] 中表明，這種 l2 范數有界的“對抗性攻擊”可用于在基于神經網絡的分類器中導致錯誤分類。隨后，在對抗性攻擊和相應的保護方法領域做了很多工作（本文稍后將進一步詳細討論）。結果表明，在許多情況下，攻擊很難檢測到，并且對于當時最先進的方法，可以繞過檢測 [21]。顯然，在這種情況下的魯棒性需要保護免受對抗性攻擊。在這種對抗性攻擊環境中定義魯棒性的許多方法可以在一個通用框架下捕獲，如 [22] 所示。

2.2.1.2 語義魯棒性

第二類，數據樣本的語義上有意義的變體，導致了迄今為止很大程度上尚未解決的重大挑戰。相應地，在[68]中，對所謂的感知擾動的魯棒性被稱為一個開放的研究問題。盡管現代基于 AI 的分類器，特別是深度神經網絡，在眾所周知的公共分類挑戰上取得了破紀錄的改進，但相比之下，它們的判別性自然不會導致分類結果的易解釋性。近年來，整個研究分支都集中在可解釋的 AI 上，即，研究通過給定分類器對映射到相同類別的樣本集進行形式化甚至語義化的方法。

理解分類器語義的一個重要方法是將成功的判別分類器與生成模型結合起來。生成方法的優點是可以使用這些模型生成來自原始（樣本）空間的示例。一種結合分類器和生成模型的成功方法是生成對抗網絡（GAN）[24]。

也可以適用于分類的生成模型是（變分）自動編碼器（VAE）[25]。自動編碼器的基本思想是通過訓練一個深度神經網絡來學習原始數據的緊湊表示，該網絡在兩端具有全維（相對于原始數據）層，中間有一個稀疏的“瓶頸”層。圖 1 (2) 和 (3) 說明了如何使用 VAE 來“理解”網絡學習的類別：(2) 顯示了一組具有代表性的重構，這些重構是由經過訓練的 VAE 的生成部分獲得的，用于對 MNIST 數據集的數字“3”、“8”和“9”進行分類。因此，在某種意義上，（2）總結了分類器準備識別的內容。在圖 1 的右側，（3）顯示了從 VAE 的分類器分支獲得的輸入樣本（即 MNIST 數字）的潛在空間表示。顏色對三個數字進行編碼。潛在空間點和重構樣本之間的對應關系如箭頭所示。在藍色中，繪制了將 9 的流形與其他數字分開的曲線，以指示學習的分類邊界。考慮到這個例子，我們注意到上述變體 (c) 在重建部分 (2) 中沒有很好地表示 - 考慮到語義庫受到北美書寫數字風格的偏見，這并不奇怪。因此，為了使分類器對變化 (c) 具有魯棒性，必須應用額外的措施，例如增加或添加到訓練數據中。

基于生成模型，Buzhinsky 等人[26] 提出了幾個指標來衡量分類器對“自然”對抗樣本的魯棒性。為此，他們提出了一組在潛在空間中工作的六個性能指標，并隨后顯示了上述經典對抗魯棒性和“潛在對抗魯棒性”之間的聯系，即對潛在空間擾動的魯棒性。后者的有趣之處在于，幾個示例的潛在空間擾動已被證明與原始樣本空間中語義上有意義的變體相對應。

我們注意到經典的對抗魯棒性已經可以用于獲得關于小范數有界擾動的人工智能分類器的“認證”魯棒性。然而，語義魯棒性更難以形式化，并且與正確理解和建模目標類密切相關。為此，生成模型是一個重要的工具。諸如投影信念網絡 (PBN) 等新概念，即基于前饋神經網絡結構的分層生成模型，具有易于處理的似然函數的優勢，在該領域非常有前景 [27]。

最近的一項工作 [75] 涉及一種稱為復雜事件處理的 ML 形式，其中融合了來自多個傳感器的具有空間和時間關系的多模態輸入，以允許深度學習模型推斷特定類型的事件，例如槍聲或爆炸。此類事件被稱為“復雜事件”。因此，魯棒性的概念并不適用于模型本身，而是適用于機器學習功能所包含的整個組件系統。該研究聲稱，（a）人類邏輯在基于模式和序列預定義復雜事件中與（b）來自單個傳感器的深度學習推斷相結合，提高了系統對錯誤分類的魯棒性。

2.3 訓練群體之外的輸入

在 [78]中，Ashmore 等人識別一組關于輸入域及其子集的定義：I 輸入域空間——模型可以接受的輸入集； O，運行域空間——模型在預期運行域中使用時可能預期接收的一組輸入； F，故障域空間——如果系統其他地方出現故障，模型可能接收到的一組輸入； A，對抗域空間——模型在被對手攻擊時可能收到的一組輸入；其中 O、F 和 A 都是 I 的子集。這些定義不僅在考慮訓練群體之外的輸入（可以從 O、F 或 A 中得出）時很有用，而且在推理模型的輸入時更普遍。

小的、像素空間的擾動，人類可能察覺不到，通常使用 lp 范數測量擾動幅度，是評估模型魯棒性的合理方法（將在 2.6 節后面討論）；特別是在對抗性攻擊的可能性更高的混合戰爭領域。然而，在考慮評估模型的魯棒性時，這些小擾動不一定適用于 Ashmore 的攻擊域空間 (A) 之外。最近，獨立的工作 [79] [80] 已經開始研究擾動模型的輸入，使其遠離經常討論和研究的小擾動方法，而不是生成被認為與環境相關且人類可區分的擾動：這些擾動看起來會在輸入上引入純粹、模糊或朦朧等（這可以合理地代表來自 F 或 O 的輸入）。

此外，在 [80] 中，作者建議對語義相關的圖像引入有意義的擾動，但這些擾動可能尚未包含在模型訓練集中；例如，例如，將一群鵝引入一個場景，在這個場景中，模型正在識別停車場中的車輛數量。雖然最后一類有意義的擾動顯然是 Ashmore 的輸入域空間 (I) 的一部分，但可以說，如果訓練數據集不足，這些語義相關的擾動也可以被視為運行域空間 (O) 的一部分。有趣的是，[80] 還發現，當增加系統對小擾動的魯棒性時，模型在處理語義上有意義的擾動時可能變得不那么魯棒，因此考慮評估模型對這兩種擾動類型的魯棒性顯然很重要。

為了評估模型對這種語義上有意義或環境相關的擾動的魯棒程度，[80] 的作者提出了一種用于引入擾動的滴定方法，這樣可以逐步測量在模型的準確性變得可疑之前引入擾動（例如，通過其置信度或已知基礎事實的分類變化）。當考慮模型在預期的運行域空間中的應用時，這提供了一個進一步的度量標準來評估模型的魯棒性。

2.4 用有限的數據學習

眾所周知，使用深度學習需要大量數據來學習復雜的任務。如果訓練數據太小，模型會過擬合，泛化能力很差。不幸的是，獲取高質量的訓練數據既困難又昂貴，因為它通常需要人工標記。例如，細粒度的 Cityscapes 數據集平均需要 1.5 小時來標記每個樣本 [28]。此外，與為學術目的（概念驗證、評估、基準測試等）開發的數據集不同，軍事數據集還必須包含代表在現實世界可能發生但難以觀察甚至預測的大量邊緣情況的數據。如果沒有這樣的訓練數據，在可能最重要的時候，或者在條件因敵對行動而意外改變的時候，軍事模型的實際價值將是有限的。

軍事應用的數據采集挑戰是重大的，但也是必須解決的，以確保模型在現實世界中部署時是強大的。幸運的是，許多轉移學習技術[29][30][31]已經被提出，這些技術利用了深度神經網絡可以學習到可轉移的一般特征，因此，可以被其他類似的任務重新使用[32]。預訓練與微調相結合，通常用于利用少量/有限的數據進行學習，同時避免昂貴的大規模模型（如GPT-3）的再訓練，這些模型可能需要專門的硬件來學習。其主要思想是：

1.將預訓練的源模型的一部分復制到目標模型中；

2.向目標模型添加一個或多個隨機初始化的（未訓練的）層，使最后一層與目標的標簽空間相匹配；

3.使用標記的目標域數據訓練模型。

然而，這些技術不能用于軍事數據來自特殊傳感器（如激光雷達、紅外、合成孔徑雷達和高光譜）的情況，這些傳感器很少有預先訓練好的模型，或者過于敏感，甚至在盟友之間也不能共享。

無監督領域適應是另一種轉移學習技術，雖然它在淺層學習中已經被研究了幾十年，但最近在深度學習中也受到了很多關注[33]。使用這種技術，來自源域的標記訓練數據可以用來訓練一個使用目標域的無監督數據模型。該方法假設源域的標記數據成本低且容易獲得。

從軍事角度來看，這個想法很有吸引力，因為源數據有可能是合成的。也就是說，已經存在的模擬器或其他生成模型有可能被改編為不僅能生成完美標記的源數據，還能生成代表邊緣情況的數據，否則很難甚至不可能獲得這些數據。基于模擬的方法將完全消除人類的標記工作，否則可能會導致不正確、有偏見和不完整的數據集，這些數據集在訓練時也會轉移到模型中。使用無監督領域適應性來彌補 "模擬到真實"的差距（sim2real）正在積極進行[34][35]，使用各種技術，其中許多依賴于使用對抗性方法，如領域損失函數[36][37]和生成性對抗網絡（GANs）[38][39]。

2.5 新情況，不同于學習策略和分類器的開發方式

為了在復雜環境中發揮作用，人工智能必須表現出對新事物的魯棒性。DeepMind[41]的演示表明，ML可以被用來開發策略，從而在僵硬的游戲中實現超人的發揮。圍棋“Go”這個游戲提供了一個復雜的環境，超過了我們對游戲可能狀態的存儲極限，因此提供了前面討論的關于我們對牛頓宇宙建模的極限的情況。然而，如果改變了游戲規則，生成的代理就會變得很脆弱或者完全失敗。在[42]中，這種類型的結果在一個更簡單的環境中被證明，實驗闡明不同的變化如何影響代理的魯棒性。

但新穎性不僅僅是數據點不包含在 ML 訓練集中的情況。為了將新穎性的研究結合起來，[43] 提出了一個描述新穎性的框架。圖 2 說明了人們如何以一種可以同時衡量新穎性和代理反應的方式看待新穎性。這種新穎性觀點的關鍵在于，可以將新穎性考慮到與世界有關的方面以及與代理人的經驗有關的方面。同樣，對代理任務有影響的新穎性，對魯棒性的影響不同于對任務沒有影響的新穎性。這也是 Chao [42] 中證明的一個發現。

圖 2. 考慮新穎性的框架。

2.5.1 DARPA SAIL-ON 計劃

DARPA SAIL-ON 計劃 [40] 中采用的一種基于游戲的新穎性實驗方法。 DARPA SAIL-ON 計劃假設智能體具有以下四個要素：

? 一種性能要素，它使用已知的專業知識通過感知、推理、規劃、控制機制來完成任務并實現目標（例如，尋找和收集具有所需特征的水下物體）;

? 一個監控元素，將觀察結果與期望值進行比較，以檢測環境（例如，聲納不可靠、不熟悉的捕食者）和代理自身行為（例如，車輛向右轉向）中的異常情況；

? 一種診斷要素，可定位專業問題，生成有關原因（例如，非反射表面、橫流、未對準的螺旋槳）、評估備選方案并從中進行選擇；

? 修復被認為是造成性能問題的專業知識并糾正它們的維修要素（例如，更新的聲納方程、電流敏感控制器或新的螺旋槳模型）。

正如上文關于新穎性的介紹部分所述，這項研究的大部分開始于認識到 DeepMind 用于解決圍棋、國際象棋、將棋和星際爭霸游戲的方法對游戲規則的變化并不魯棒。一個例子是南加州大學 (USC) 開發并通過 GitHub 發布的 GNOME 框架。

NIWC Pacific 與 USC 合作開發了一個版本，英國 Dstl 使用 GNOME 框架開發了“Hunting of the Plark”游戲。這將允許對受過訓練以玩該游戲的代理的新穎性影響進行實驗，這是圖靈研究所研究小組的重點。計劃對使用 ML 開發的決策支持工具進行進一步實驗，我們不僅可以處理模擬情況，還可以與美國海軍進行現場實驗。

2.5.2 新穎性檢測

個體在不知道世界形勢發生變化的情況下對新穎事物有很強的抵抗能力。這很可能是由于新穎事物對正在執行的任務并不重要，或者至少是在敏感度較低的領域變化。然而，處理新穎事物的一個策略是至少檢測到一個代理處于一個新穎的情況，即使該代理不知道如何在新穎的環境中工作，除了退出或提醒其他人注意這種情況。

代理的基本問題是：環境是否發生了變化，或者正在分析的數據是否只是在以前分布的一個尾部？目前，對于大部分的ML來說，僅僅認識到數據不在樣本范圍內可能就足夠了。至少能認識到其自身局限性的ML在許多情況下是一個進步。在這方面，經典的對抗性例子演示經常被提起：在這些實驗中，代理往往對他們的錯誤答案非常自信[44]。

在規劃系統中，識別可能基于對任務進度的動態評估。如果規劃無效，一種可能是世界以一種模型未反映的方式發生了變化。早期檢測可能會防止災難性結果，但這并不能保證。事實上，人們可以設想無法恢復的情景（在黑洞的事件視界上轉彎是一個極端的例子）。

2.5.4對新穎性的魯棒響應

[45] 將提供魯棒響應的任務定義如下：

? 假定：使用專業知識在一類環境情況下運行的代理架構；

? 假定：支持此類環境中可接受的代理性能專業知識；

? 假定：在突然的、未通知的更改環境中，經驗有限會導致性能降低；

? 發現：當環境發生變化時，哪些修改后的專業知識將支持可接受的性能。

對新穎事物的響應類型與正在執行的任務類型有關。在分類器中，系統可能需要調整其模型，不僅允許改變其提供的答案，還允許解釋這種變化意味著什么。例如，想象一個感知代理，其可確定機器人是否存在障礙物。相機系統的改變，例如鏡頭上的蒼蠅附著可能會為系統創造一個新局面。如果系統能夠適應并確定不存在障礙，則需要對情況進行解釋以證明答案的合理性。

圖 3. SAIL-ON 新穎性指標假設。注意程序中的 TA2 代理是那些對環境中的新穎事物做出反應的代理。

對于規劃系統，新穎性可能表現為采用新的行動或發現行動的成本與以前不同；目標可能會發生巨大變化。規劃系統可能不得不調整他們的知識，重新計算以前的任務，利用經驗來改變他們的計算。上面圖 3 中的假設說明了測量環境。在環境中出現變化之前，學習和運行可能會進行一段時間。對特定變化還不夠魯棒的代理性能會下降，必須找到一種方法來檢測新事物的發生，確定發生了什么變化并在運行中對其進行解釋。

2.6 對抗性行動

在過去的幾十年里，已經證明基于深度學習技術的機器學習模型可以在各種任務中達到甚至超越人類水平的表現。另一方面，機器學習模型通常容易受到輸入擾動的影響，并且很容易被愚弄以產生不正確的輸出 [53] [54]。這些類型的操作被稱為對抗性攻擊，機器學習模型對抗這些攻擊的性能被測量為對抗魯棒性 [55]。在兩個不同方面研究了對抗魯棒性。第一個方面，研究人員試圖找到一種產生對抗性攻擊的方法，以最大程度地降低模型的魯棒性 [56] [57] [58] [59] [48]。第二方面，研究人員試圖找到更好的訓練或防御方法，使網絡架構對這種對抗性攻擊更加魯棒[60] [61] [62] [63] [64]。在本節中，我們調查了對抗性攻擊和防御方法，并從當前文獻中定義了對抗魯棒性的指標和測量方法。

2.6.1 對抗性攻擊

[54] 中針對機器學習系統 M 和輸入樣本 C（稱為干凈樣本）定義了對抗性攻擊，如下所示：

“假設樣本 C 被機器學習系統正確分類，即 M(C) = y。可以構建一個對抗性樣本 A，它在感知上與 C 無法區分，但分類錯誤，即 M(A) ≠ y。”

基于此定義，對抗性攻擊的目的是修改模型輸入以導致不正確的模型輸出，使其無法被人類觀察者區分。不可區分性標準對可應用于輸入的擾動有一些限制，這在文獻中稱為 lp 范數，即

其中 ? 是最大允許擾動。最常用的范數是 l2 和 l∞。

考慮到這一限制，提出了幾種方法來生成對抗性樣本 [65] [55] [48]。生成對抗樣本主要遵循兩種不同的方法，即黑盒和白盒。在黑盒方法中，用戶不了解模型，只能訪問給定輸入的預測概率或預測類別。另一方面，假設模型及其參數在白盒方法中是完全已知的[47]。

白盒攻擊在欺騙模型方面比黑盒攻擊更有效，并且在文獻 [56] [57] [58] [48] 中使用不同的方法進行了廣泛的研究。白盒攻擊主要是基于梯度的攻擊方法：它們通常構造一個損失函數，可以導致擾動攻擊能力的提高和擾動幅度的降低，然后通過梯度優化損失函數以生成對抗樣本[66]。使用損失函數的梯度來確定對抗性擾動，可以像快速梯度符號法（FGSM）[65]那樣在一個步驟中進行，用于快速生成對抗性樣本。為了提高效果并減少擾動，在基于迭代梯度的攻擊中，不是在梯度方向上采取單一步驟，而是采取多個較小的步驟[54][48]。

對抗性攻擊也可以作為訓練的一部分。最近的一些工作[46]背景是一個對等網絡，其中每個對等體都有一份神經網絡模型的副本，以創建一個分布式的學習環境，這并不依賴于中央協調節點的存在。這樣的機器學習架構非常適用于有多個伙伴的軍事聯盟場景。最初，每個對等體擁有總訓練數據集的一個子集，隨著模型訓練的進行，模型參數在每次訓練迭代時都在對等體之間共享。

本實驗基于 Fashion-MNIST 數據集，并非試圖提高點對點 ML 的魯棒性，而是測量和優化中毒技術在導致對等體錯誤分類方面的有效性。中毒效果的衡量標準是，就訓練迭代次數而言，惡意對等體能夠可靠地毒化良性對等體的速度有多快。然而，我們相信相同的指標可以用來推斷 ML 對這種中毒的魯棒性：實現錯誤分類所需的迭代次數越多，魯棒性就越高。

2.6.2 對抗性防御

已經提出了一些方法來保證在特定條件下對范數有界的對抗性攻擊的魯棒性。例如，Wong 和 Kolter [67] 使用對抗性多面體的概念為基于 ReLU 的分類器提出了可證明的防御措施。此外，[68] 中提出了一種有效且完整的分段線性神經網絡魯棒性驗證器。在該論文中，提出了一種算法，該算法基于最大 (l∞-) 范數在對抗性誤差上產生經過驗證的界限。

獲得強大的深度神經網絡的最成功的方法之一是通過對抗訓練。對抗性訓練的主要動機是將攻擊和防御都納入一個共同的理論框架，自然地封裝了大多數先前關于對抗性樣本的工作 [55]。在這種方法中，不是直接將原始數據集中的樣本輸入到訓練中，而是允許對抗性攻擊首先擾動輸入，然后將擾動的樣本輸入到訓練中。對抗性訓練以不同的方式得到增強，例如改變攻擊過程、損失函數或模型架構 [69] [50]。

對抗性訓練的性能很大程度上取決于生成增強訓練數據集時使用的損失函數和對抗性攻擊方法，并且由于需要生成對抗性樣本，與干凈訓練相比需要更長的時間。在 [73] 中，已經證明，使用具有早期停止的經典對抗訓練可以更容易地提高最先進的對抗訓練方法的性能。這表明我們對對抗性訓練的理解是有限的。在 [74] 中分析了對抗性訓練對魯棒性的影響，他們得出結論，在使用（隨機）梯度下降的干凈訓練過程中，神經網絡將在所有特征中積累一些與任何自然輸入，但極易受到（密集）對抗性擾動的影響。在對抗訓練期間，這種密集的混合物被“純化”以使模型更加魯棒。

2.6.2.1 訓練期間隨機噪聲的隱式生成建模提高了對抗魯棒性

最近開展的工作 [70] 專門研究了上述方法。事實上，這項工作旨在通過將隨機噪聲引入訓練輸入并使用隨機梯度下降 (SGD) 對其進行優化，同時最小化訓練數據的總體成本函數，從而使深度神經網絡對對抗性輸入更加魯棒。效果是在開始時隨機初始化的輸入噪聲在訓練過程中逐漸被學習。結果，噪聲近似地模擬了輸入分布，以有效地最大化給定輸入的類標簽的可能性。

作者 [70] 評估了他們在 MNIST、CIFAR10 和 CIFAR100 等分類任務上的方法，并表明以這種方式訓練的模型更具對抗性。發現噪聲和干凈圖像的組合方式對精度有重大影響，乘法比加法獲得更高的精度。魯棒性的直接度量沒有發展，而是隨著擾動水平的增加，魯棒性被量化為精度函數。

2.6.2.2 基于離散化的對抗性攻擊解決方案

繼對抗性訓練的主題之后，[72] 表明，圖像分類深度神經網絡對對抗性輸入的魯棒性可以通過輸入空間和模型參數空間的離散化來提高，同時精度損失最小。在使用 MNIST、CIFAR10、CIFAR100 和 ImageNet 數據集的實驗中，輸入空間的離散化涉及將像素強度的數量從 256 (28) 減少到 4 (22)，參數空間的離散化涉及使用低精度權重訓練模型以及諸如二元神經網絡 (BNN) 之類的激活。此外，結合這兩種離散化技術極大地提高了模型的魯棒性。與更昂貴的對抗性訓練過程（即使用對抗性示例訓練模型）相比，這種組合方案可以被視為提高魯棒性的另一種方法。在每個實驗中，通過比較分類的準確性來衡量魯棒性，同時對抗性擾動 (ε) 逐漸增加。實際上，這項工作中魯棒性的度量似乎是在保持給定精度的同時可以容忍的擾動程度。

2.6.2.3 減輕神經網絡中的對抗性樣本

在最后一個示例中，進行了一項相對簡單的工作 [71]。對圖像分類器的輸入進行預處理是通過將輸入饋入高斯核來實現的，其效果相當于平滑低通濾波器，其中平滑程度取決于內核的標準偏差參數。該實驗是使用 MNIST 數據集進行的，并測量了平滑和各種對抗性噪聲水平的不同組合的準確度。結果表明，為了優化給定水平的對抗性噪聲的準確性，存在一個最佳的平滑水平。在這種情況下，用于魯棒性的度量是針對給定數量的對抗性噪聲的成功攻擊的百分比。該度量允許直接比較使用和不使用平滑的性能。

2.6.3 測量對抗魯棒性

對抗性魯棒性可以衡量為對抗性攻擊[47]擾動輸入的模型準確性。由于評估取決于應用的對抗性攻擊，因此很難衡量模型的實際對抗魯棒性。

文獻中的大多數作品通過使用在其訓練階段使用的相同或相似的對抗性攻擊方法和損失函數，來展示其方法的對抗性魯棒性。在[48]中已經表明，通過改變損失函數和生成對抗樣本的方法，可以實現比原始論文中報道的更低的對抗魯棒性。實際上，[48] 中指出，在 49 個案例中，有 13 個案例的魯棒性變化大于 10%，在 8 個案例中大于 30%。

在 [49] 中，通過將幾個深度神經網絡的性能與人類觀察者進行不同類型的操作進行比較，進行了類似的評估。在這項工作中，已經表明，只有在訓練階段知道所應用的操作時，深度神經網絡才能達到人類水平的性能。對于未知的操作，深度神經網絡的性能會急劇下降。此外，文獻中提出的許多防御策略都被更強大的對手打破了[48] [50]。因此，應仔細比較在不同方法下獲得的魯棒性，以確保評估盡可能有效[47]。

對抗魯棒性被報告為從擾動集中獲取的最壞情況輸入的模型精度。除了準確性之外，還可以測量兩種類型的性能指標來評估模型的魯棒性。第一個指標是對抗頻率，它衡量模型多久無法保持穩健[51]。第二個是對抗性嚴重性，用于衡量從原始輸入到對抗性樣本的預期最小距離 [51] [52]，即模型被愚弄的難易程度。事實上，引用[51]：

“頻率和嚴重性捕獲了不同的魯棒性行為。神經網絡可能具有高對抗頻率但對抗嚴重程度低，這表明大多數對抗樣本距離原始點有非常小的距離。相反，神經網絡可能具有較低的對抗頻率但較高的對抗嚴重性，這表明它通常是魯棒的，但偶爾會嚴重不魯棒。頻率通常是更重要的指標，因為具有低對抗頻率的神經網絡在大多數情況下都是魯棒的。實際上，對抗性頻率對應于用于衡量魯棒性的對抗性樣本的準確性。嚴重性可用于區分具有相似對抗頻率的神經網絡。”

3 結束語

混合戰爭表明可能有許多系統和許多模型，因此如果假設人工智能將在混合戰爭系統的集合中使用，那么多種錯誤來源具有破壞人工智能在軍事領域應用的巨大潛力。

因此，上述當前技術的標準和調查都與了解將 AI 和 ML 應用于混合軍事領域的潛在弱點相關，因此在涉及與 AI 和 ML 的魯棒性有關的考慮時，顯然需要確保未來進行廣泛的評估。很明顯，有一個重要的考慮領域和可用的度量方法。然而，正如之前在第 2 節中提出的，這些度量方法適用于不同的利益相關者、不同的模型和潛在的不同任務。

因此，當前的問題是如何為特定模型確定和找到正確的度量方法，以獲得混合戰爭系統所需的置信度。 IST-169 打算推進這項初步調查來做到這一點。我們相信，開發各種類型的魯棒性及其適用于不同類型 AI 階段的圖形表示，將有助于全面了解 AI 魯棒性格局。這將加強并采取更嚴格的方法對人工智能應用進行開發。

前言

自 2011 年起，瑞典國防大學 (SEDU) 的國防與安全系統科學部應瑞典國防物資管理局 (FMV) 的要求進行了技術預測。目標是在設定的時間范圍內評估所選技術對瑞典武裝部隊 (SwAF) 的潛在未來軍事用途。

本報告總結

出于2021技術預測的目的，瑞典國防物資管理局和瑞典武裝部隊選擇了德國弗勞恩霍夫研究所的五份報告，并將其交給國防和安全系統科學部門進行分析和評估，時間跨度為2040年。

瑞典國防大學工作組審查了以下研究報告：

• 對抗性機器學習
• 高熵陶瓷
• 大型無人水下航行器
• 活體傳感器
• 材料開發中的機器學習

本報告的目的是評估所審查技術的潛在軍事用途，以及它們如何根據提出的概念和情景對瑞典武裝部隊的作戰能力做出貢獻。

軍事效用按以下四種評估之一分類：顯著、中等、可忽略或不確定。

以下技術被評估為可能具有重要的軍事用途：

• 高熵陶瓷
• 材料開發中的機器學習
• 對抗性機器學習

以下技術被評估為可能具有中等軍事用途：

• 大型無人水下航行器

以下技術被評估為具有不確定的軍事用途：

• 活體傳感器

圖 1. 軍事用途包括軍事有效性、軍事適用性和可負擔性。軍事有效性維度（級別）對應于 MUAFT 方法中的能力影響評估，而軍事適用性和可負擔性對應于足跡。

摘要

記錄一個系統或集成系統內所有信息變化的出處，這提供了關于正在做出的決定和促使這些決定的重要信息。從取證的角度來看，這可以用來重新創建決策環境。然而，出處也可以為其他兩個重要功能服務。收集的數據可以支持組件的整合，而生成的圖形數據結構可以通過解釋、總結和告警來支持操作員進行態勢感知。混合戰爭將必然匯集不同決策支持能力，因為決策者必須在多個戰爭領域運作。自主代理將可能在計劃和執行過程中發揮作用，有時能夠在沒有人類干預的情況下做出決定，但人類決策者必須意識到這一點。事實證明，證據圖可以轉化為修辭結構圖（RSG），使代理能夠用自然語言甚至多模態交流，向人類解釋他們的行動。證據還被證明可以加強對計劃執行監控，并可用于向人類或自主代理提供通知，當計劃中使用的信息發生變化時，可能需要重新考慮計劃。隨著我們朝著智能機器在復雜環境中支持人類決策者團隊的方向發展，跟蹤決策及其輸入的需要變得至關重要。

引言

出處是關于實體、活動、代理以及這些概念之間關系的信息[1]。這些信息不僅僅解釋了發生了什么，它還回答了關于實體如何被操縱、何時發生以及誰參與了這個過程的問題。我們很可能熟悉關于追蹤藝術作品出處的新聞和虛構的故事。任何實體的創造、破壞或修改的出處都可以被追蹤。在本文中，我們將重點討論軍事系統內的信息。在指揮與控制（C2）內，信息出處對于記錄行動背后的決策過程是必要的，特別是當自主和人工智能（AI）代理深入參與時。參與某一過程的 "誰 "可能是人類或人工智能代理。

信息出處有幾個目的。在取證方面，出處追蹤提供了參與決策的人和代理，以及數據是如何演化為該決策的。美國公共政策委員會指出，數據出處是算法透明度和問責制的一個明確原則[2]。完整記錄的出處可以闡明數據的依賴性、責任流，并幫助解釋為什么采取某些行動。隨著人工智能和自主代理繼續自動化進程，它們在做出關鍵決策時已變得更加不可或缺[3]。

圖1 PROV-DM模型。

摘要

今天的軍事行動中使用的防御系統并沒有為現代技術所能發動的攻擊做好準備。使用無人機、電子戰和其他手段造成的破壞在最近的交戰中被證明是非常致命的，如敘利亞、亞美尼亞和烏克蘭。有現成的技術以及其他需要額外研究和開發的技術，可以幫助保護北約部隊免受這些威脅。為了做好現代戰場的準備，北約部隊必須改變他們的訓練和裝備，否則將面臨巨大的減員風險。本文將探討混合戰場的威脅，并就如何更新戰術以防范這些威脅提出建議。隨著我們的部隊重新將重點從反叛亂行動轉向同行競爭者，我們的訓練和行動也需要發展。僅僅塵封冷戰時期的野戰手冊和恢復訓練中心的高強度場景對于混合戰場是不夠的。建議的變革可以而且應該迅速實施，以擊敗這些現有和新出現的威脅。

引言

隨著新威脅的出現，現代戰場正在繼續演變，產生了被稱為 "混合戰爭"的情況。在諸如敘利亞、沙特阿拉伯、亞美尼亞和烏克蘭的沖突中，武器正在被引入或以新的方式使用。無人機正在集體或單獨進行攻擊，作為彈藥投送系統或飛行炸彈[1]-[3]。電子戰正經歷著信號干擾和定位系統（PLS）欺騙的重新崛起[4], [5]。隨著僵尸網絡傳播錯誤信息和針對關鍵基礎設施的網絡攻擊，信息戰正變得越來越突出[6]。鑒于這些威脅，北約部隊必須重新思考他們的防御措施，以保護他們的戰斗力并保持他們的機動自由。

目前的軍事實戰手冊充滿了為昨天的戰場設計的技術和戰術。偽裝設計主要是為了將部隊隱藏起來，不被人看到。戰術障礙物主要集中在對載人地面車輛和人員進行渠化、轉向或阻擋。信息傳播停留在傳單和擴音器廣播等舊媒體上。在這些舊戰術的基礎上，再加上二十年的戰場優勢，使得部隊對控制其電磁輻射不以為然。同行競爭者和等級較低的對手都準備使用往往具有不對稱優勢的技術，而且成本相對較低。如果我們不調整我們的防御措施以適應這些新的威脅，那么我們目前的軍事優勢就會消失殆盡。

為了保護我們的部隊，我們必須專注于最大的威脅。第一次世界大戰前，在頭頂上挖掘戰斗陣地的做法并不常見，因為大炮并不是后來的傷亡制造者。在這種情況下，戰術的演變是為了應對威脅。據報道，在烏克蘭和亞美尼亞-阿塞拜疆的戰斗編隊被無人機部隊迅速摧毀，這表明我們最大的威脅之一是瞄準系統。因此，偽裝戰術需要不斷發展，以對抗基于人工智能（AI）的瞄準系統。保護我們的部隊還可能涉及建立定位、導航和定時（PNT）防御系統，以逃避PNT制導的彈藥。工程方面的努力可能會轉移到建造側重于空中和地面無人機的障礙物上。需要作出新的努力來減少電磁輻射，以保護其不受測向資產和干擾系統的干擾。最后，信息戰將需要通過防止泄露情報和欺騙在線數據挖掘系統得出不正確的結論來關注行動安全和欺騙。在下面的章節中，我們將對各種技術進行研究，以提出保護我們部隊所需的潛在行動。

2021年3月，美國哈德遜研究所國防概念與技術中心發布研究報告《實施以決策為中心的戰爭：提升指揮與控制以獲得選擇優勢》，提出以決策為中心的戰爭將使美軍做出更快、更有效的決策，從而賦予美軍更大的競爭優勢。

序言

自冷戰結束以來，美國國防部（DoD）針對來自主要對手（如中國、俄羅斯和朝鮮等）的巨大軍事沖突發展了相應理論和能力。這些最壞的情況是為了確保美軍也能應對“較少的情況”。然而，這種方法偏重于為大規模、高強度軍事沖突設計的概念和系統，美國的智能對手不太可能向美軍挑起對抗，而國防部可以在力量投射或精確打擊等任務中發揮其優勢。

美國的對手在過去十年中已經發展出了抵消美國軍事優勢的方法，如中國和俄羅斯的灰色地帶或混合行動，這些方法以較低的成本和升級——盡管比傳統的軍事作戰時間更長——獲得目標。因此，國防部應修訂其規劃，提高新方案的優先級，這些方案以不同于戰區范圍內高強度作戰的方式給美軍施加壓力，如通過延長時間、不同程度的升級和規模，以及使用代理和準軍事力量。

中國的“系統破壞戰”概念和俄羅斯軍方的“新一代戰爭”概念是針對美國及其盟友的新方法的代表。雖然它們的制勝理論和方法大相徑庭，但這兩種概念都有一個共同點，即把信息和決策作為未來沖突的主戰場。它們從電子和物理上直接攻擊對手的戰斗網絡，以降低其獲取準確信息的能力，同時引入虛假信息，削弱對手的定向能力。同時，軍事和準軍事力量將通過孤立或攻擊目標的方式向對手提出難題，以中和對手的戰斗潛力，控制沖突的升級。

美國海軍如何重新平衡實施 "馬賽克戰 "部隊的例子

決策中心戰的興起

以決策為中心的概念，如系統破壞戰和新一代戰爭，很可能成為未來沖突的重要形式，甚至是主要形式。在冷戰后期，美軍革命性的精確打擊戰方式利用了當時的通信數據鏈、隱身和制導武器等新技術。同樣，以決策為中心的戰爭可能是軍事上利用人工智能（AI）和自主系統的最有效方式，這些技術可以說是當今最突出的技術。

以決策為中心的戰爭的一個例子是國防高級研究計劃局（DARPA）的馬賽克戰爭概念。馬賽克戰爭概念的中心思想是，由人類指揮指導的、具有人工智能功能的機器控制的分列式有人和自主單位可以利用它們的適應性和明顯的復雜性來延遲或阻止對手實現目標，同時破壞敵人的重心以排除進一步的侵略。這種方法與機動戰一致，不同于第二次世界大戰期間盟軍采用的基于損耗的戰略，也不同于冷戰后美軍在科索沃、伊拉克和利比亞沖突中采用的戰略。雖然馬賽克戰爭采用損耗作為給敵人制造困境的一部分，但其實現成功的主要機制是拒絕、拖延或破壞對手的行動，而不是削弱對手的軍事實力，使其無法再有效作戰。因此，馬賽克戰爭非常適合作為現狀軍事大國（如美國）尋求遏制侵略的概念。

在近期兵棋推演中，馬賽克部隊與傳統軍事部隊在任務完成情況的比較

馬賽克戰爭提出了一種部隊設計和指揮控制（C2）程序，與今天的美軍相比，它將使美軍能夠執行更多、更多樣化的行動方案（COA）。馬賽克部隊的分解結構和使用人類指揮與機器控制，將使對手的決策復雜化，縮小其選擇范圍，并施加一系列可能無法解決的困境。通過增加美軍指揮官的選擇權，減少敵方的選擇權，馬賽克戰法將尋求獲得“選擇權優勢”，使美軍能夠做出更快、更有效的決策。

選擇性戰略與以預測為中心的規劃方法形成鮮明對比，在這種規劃方法中，選擇最有可能導致成功的作戰行動方案并迅速實施，通過將與未選擇的作戰行動方案相關的系統和兵力要素分配給其他任務來提高效率。在以預測為中心的模式中，資源的早期承諾必然會限制指揮官今后的選擇空間。

與今天的美軍相比，馬賽克部隊的設計和C2過程可以在選擇權競爭中提供更大的優勢，因為隨著對抗或競爭的進展，可以緩解由于損失或敵方態勢感知的改善而導致的選擇權減少的自然趨勢。例如，“馬賽克”部隊可以更容易地隱藏具有反ISR能力的平臺或編隊，并在以后暴露出來，以實現新的選擇；利用數量更多、規模更小、成本更低的增援部隊；或依靠決策支持工具，允許繼續使用與高級指揮官物理或電子隔離的部隊。

圖：以網絡為中心的戰役空間架構與基于情境的戰役空間架構的特點比較

一支馬賽克部隊也將比今天的美軍更有能力進行縮小對手選擇范圍的行動。通過同時發起許多行動并加速其決策，一支使用人類指揮和機器控制的分布式部隊可以給對手造成足夠的困境，從而排除與作戰相關的數量的《作戰協議》。此外，馬賽克部隊還可以利用諸如分配、佯攻和探測等欺騙技術以及反ISR系統來補充其更大的規模和決策速度，這些技術可以使對手相信某些選擇不可行或不可能成功。

雖然國防部的C3結構，如混合和聯合全域指揮和控制（CJADC2）開始納入決策支持工具，為特派團整合效應鏈，但其目前和近期的實例旨在支持有效的火力投送，而不是持續的可選性。此外，與CJADC2相關的C2和通信（C3）舉措，如高級戰役管理系統（ABMS），需要提前確定架構和組件系統。因此，CJADC2在其能夠提供的可選性方面將受到固有的限制。

圖：C2實施方法的比較

通過C3實現選擇權

第一步是壓縮空間的表征，重點放在時間的表征上。以一個作戰人員在短時間內的行動為例，在這個例子中，一個作戰人員的任務是收集指定地點的圖像。這在操作上是不現實的情況，只是用一個簡單的案例來說明這個概念。

在C3組合中，國防部已經在通信復原力方面進行了大量投資。因此，大部分新的努力和資源應該應用于C2能力。盡管美國軍方投資于所謂的C2系統，但這些項目主要是操作中心和軟件堆棧，作為在部隊中傳遞數據、信息、命令或權限的基體。盡管對管理部隊來說是必要的，但目前國防部的C2系統——將C2看作是連接——并不是決策支持系統，后者將C2看作是一個過程。

圖：在馬賽克C2方法中采用OODA循環

用于以決策為中心的戰爭的C3能力需要做的不僅僅是實現連接。例如，C2工具將需要生成能創造和維持可選擇性的COA，以提高適應性，并將復雜性強加給對手。為了幫助初級領導人執行任務指揮，C2工具還需要了解哪些單位在通信中，他們在潛在的COAs中的作用，并配置網絡以確保所需單位與適當的指揮官保持一致。為了評估這些要求和以決策為中心的C3的其他要求，本研究采用了多種視角，如下所述。

• 棧式視角：與互聯網一樣，以決策為中心的C3架構需要有物理媒介來進行數據移動；需要網絡結構來管理指揮官、傳感器和效應器之間的數據移動；需要信息架構來將數據組織成有意義的形式；需要評估信息的應用程序，如決策支持工具。目前的技術可以滿足這些需求，但無法在追求選擇優勢的同時，在對抗性環境中實現部隊和網絡的動態組成和重新配置。

圖：以預測為中心和以決策為中心的選擇空間隨時間變化的比較

• 網絡視角：要實現可選擇性和實施以決策為中心的戰爭，就需要有能力使C2結構與現有通信保持一致，而不是試圖建立一個在面對敵方協同干擾和物理攻擊時仍能生存的網絡。這些需求導致了一種混合架構，這種架構將網絡方式與分層方式結合起來，可以被定性為 "異構"。這種拓撲結構將使指揮權與合格的人類操作者占據的節點中具有最高程度的節點相一致。

• 解決問題的視角：與從頭開始處理每個新情況相比，使用類比推理的問題解決過程可以更迅速地評估潛在的備選方案，由此產生的決策空間的增加可以使指揮官將限制其備選方案的作戰行動協議推遲到最后一刻。此外，如果使用人工智能支持的算法在沒有監督的情況下建立COA，對手可以通過佯攻和探測來影響算法的學習，使系統認為COA是成功的，如果不是對手的行動，實際上會失敗。

圖：來自DARPA PROTEUS計劃的分析和用戶界面，AI輔助規劃

• 時間視角：可選性的概念適用于多個時間尺度，從戰略到工業能力發展和部隊的戰術行動。C3架構的能力應該有助于擴大每個時間尺度上的努力所帶來的決策空間，而不是僅僅在任務期間。

• 組織視角：國防部的C3架構不是在真空中存在的。各組織的人員必須通過戰略、工業、作戰和戰術時空的流程來運用這些架構。可選性是在以決策為中心的戰爭中獲得優勢的關鍵，但如果僅僅是派出一支更分散的部隊和使用它的工具，如果這支部隊的使用方式很狹窄，為每個單獨的行動提供最高的成功概率，那么只能稍微增加美軍的復雜性和適應性。需要決策組織和程序，盡可能長時間地擴大指揮官的選擇空間。

今天的戰斗指揮官（CCDR）參謀部缺乏組織和程序，無法為即將到來的任務以各種不同的配置組合部隊。為了能夠在任務時間內組成部隊，國防部可以采用類似于將計算機程序編譯成可執行代碼的方法。軟件指令是用較高層次的計算機語言編寫的，但在軟件被計算機處理器執行之前，需要將其轉換成二進制形式。這種方法將從決策支持系統的COA開始，然后組合適當的單位來支持行動。雖然部隊構成主要是以硬件為中心，但也需要在技術棧的信息層和網絡層進行部隊包的軟件構成。

圖：從人工構成到決策中心戰的任務整合浪潮

結語

美軍將需要采用新的部隊設計和C2流程，以實現以決策為中心的戰爭，但如果不與工具和組織結合起來，以充分利用使用人類指揮和機器控制的更分散的部隊中可能存在的可選性，這些努力將付諸東流。

目前國防部通過CJADC2和相關的作戰概念努力使美軍向更分散的組織和更分散的能力發展，這是實現更以決策為中心的軍事行動方法的重要一步。高級戰斗管理系統（ABMS）和DARPA的幾個項目正在開發C2工具和流程，這些工具和流程將增加指揮官使用這些更分布式部隊的可選性。國防部的部隊設計變革或C3舉措將需要更進一步，以便美軍在面對已經躍升到以決策為中心的戰爭并擁有主場優勢的同行對手時保持可選擇性優勢。

也許更重要的是，將需要新的組織和程序，使CCDR能夠在戰區組成和整合分散的部隊，并改變國防部定義需求和發展新能力的方式。如果不對國防部的需求和部隊發展程序進行重大改革，美軍就有可能在爭奪決策優勢的競爭中落后于對手，從而威脅到其保護美國利益和盟友免受大國侵略的能力。

（參考來源：軍事文摘作者：張傳良）