2.4.1 偏见的角色
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.4.1 偏见的角色,在认知心理学中,偏见的意思是:
一种基于个人和常常不合理的观点来判断他人或解释某种情况的倾向[41]。
偏见是任何基于欺骗的机制成功的基础。欺骗的目标是需要提供一个合理的“谎言”,从而能够成功地欺骗和/或迷惑对方。如果目标察觉到这种谎言是不可信的,则会更倾向于拒绝它,而不是相信它,或至少提高攻击者对目前被欺骗可能性的怀疑。一个成功的欺骗应该利用攻击者的偏见,并为他们提供一个或多个可能的替代真相的信息。
Thompson等人讨论了4个任何分析师都需要知道的偏见:个人的偏见、文化偏见、组织偏见和认知偏见[42]。从图2.2可以看出,欺骗性的安全工具利用的偏见越具体,那么该工具应用的广泛性也就越低。例如,若利用一些具体到某个攻击者的个人偏见的安全工具,则很难推广到其他攻击系统的攻击者上。然而,偏见的选择越具体,越能够提高欺骗性组件的有效性。导致这种情况发生的部分原因是认知的偏见是众所周知的;与此同时,恶意敌手可能通过增加一个额外的显示推理层来刻意保护自己,尽量减少(偏见)对他们侦察操作的影响。在下面的章节中,我们分别讨论这些不同类的偏见。
1.个人偏见
正如Jervis在文献[43]中所讨论的,个人偏见源于个人亲身经历或特质。这些偏见对设计欺骗成分/操作很有帮助;然而,它们①由于要求拥有潜在攻击者的详细知识而更难获得,②在对抗具体的攻击者变得更有效的同时,也使得欺骗成分不适用于更广范围的攻击。战争里的传统欺骗行动已经使用过个人偏见,如在第二次世界大战中利用希特勒政府的傲慢行动作为“竖忍行为”诱骗计划的一部分[41]。
2.文化偏见
Hofstede把文化偏见称为“心灵的软件”[44]。它们代表了人类对属于这些文化的思维、感知和行动的精神及认知的思维方式。在Guss和Dorne进行的一项研究中,他们发现文化影响了测试者的认知、战略发展和决策的选择,而尽管提供给所有的测试者相同的数据[45]。Hofstede讨论了文化的6个主要维度,他在网站(geerte-hofstede.com)上对这些文化的不同维度分配了量化的值。此外,他将与测量值有关的不同行为都结合起来。这些维度介绍如下。
(1)权力距离指数(PDI)
PDI是对期望和接收程度的衡量,即“权利被不平等地分配”。Hofstede发现PDI高的文化,往往有忠诚的意识、表现得有实力而且以集体利益优先。欺骗设计者通过关注攻击者展现自我的自豪感来利用这种特征,进而可以知道这个攻击者来自一个PDI高的文化。
(2)个人主义与集体主义(IVC)
集体主义的社会价值观是 “牺牲个人利益而促进集体的进步”。Hofstede发现,大多数文化是集体主义,即拥有较低的IVC指数。
(3)男性与女性(MVF)
男性文化是“情感的性别角色明显不同”的一种文化。例如,一个来自男性文化的攻击者更容易对由女性写的或发给女性的信息警告产生怀疑。在这种情况下,可以利用这种偏见来影响攻击者的行为。
(4)不确定性回避文化(UAI)
它是对未知或意外的文化响应的测量。高UAI意味着这种文化对不确定性有着相对结构化的响应,这使得攻击者的欺骗和混淆变得更加容易。
(5)长期导向与短期导向(LTO和STO)
STO文化通常追求即时利益。例如,防御者可能牺牲次重要信息来欺骗攻击者,使他们相信那是重要的信息,以保护重要信息为首要目标。
(6)放纵与克制(IVR)
此维度的文化特征是人们如何选择休闲与幸福活动的标准。
Wirtz 和Godson引用下面的一段话总结了在进行欺骗设计时理解文化的重要性“要想成功,欺骗者必须认识目标的感知上下文,去了解什么样的实际情景是似是而非的[46]”。
3.组织偏见
在一个高度结构化的环境中对目标进行欺骗设计时,组织偏见是非常重要的[41]。在这样的组织中,有很多人是负责分析信息并决定是否要将其传递到更高层次的分析者。利用这些偏见可以将重要的信息标记为不太重要,从而将欺骗传递到更高级的水平。组织偏见的一个例子是由于信息的不均匀分布导致看法不同而未能预见到攻击,比如1994年的美国珍珠港攻击事件[41]。
4.认知偏见
在所有的文化、个性和组织中,认知偏见在人类中都是很普遍的。它们代表了“人类感知、回忆和处理信息的与生俱来的方式”[41]。世界各地的许多研究人员在许多学科上(特别是在认知心理学)早已对这些偏见有所研究,它们在欺骗的设计以及计算上都起着重要的作用。
Tversky和Kahneman提出的3个通用的启发式思想似乎是用来将一个复杂的任务降为一个更简单的判断决策——尤其是在不确定的情况下——从而导致一些可预见的偏见[47]。它们是:代表性、可用性、锚定与调整。他们直观地定义“通过以下情况评估代表性的程度①基本特征与母体相似;②由什么特殊方式产生的”[47]。可用性启发式是另一种偏见,它通过评估不确定事件使人想起的难易程度判断该不确定事件发生的可能性。最后,锚定与调整启发式是一种使我们做出比其他保证的初始值更接近于已提供的初始值估计的偏见。
Solman讨论了假设在人类中普遍存在的两个推理系统:基于关联(系统1)和基于规则(系统2)[48]。系统1通常是自动的和基于启发式的,并且通常是由习惯掌控。系统2的规则和原则通常更合乎逻辑。两种系统在人类大脑中同时工作,欺骗目标系统1可达到更理想的响应。
在1994年,Tversky和Koehler认为,人们不重视对事件的主观可能性的判断。相反,他们重视对这些事件描述的可能性的判断[49]。也就是说,同一个事件的两种不同的描述往往导致人们给它们分配不同的可能性。此外,作者假设对事件的描述越明确和详细,人们分配给它的概率就越高。此外,他们发现把对事件的描述拆分为互不相交的几部分,可以增加人们相信它的概率。他们的研究很好地解释了与“结合谬误”有关的概率评估的错误[50]。
Tversky和Kahneman发现,人们通常会给两个事件同时发生P(XY)比单个事件(如P(X)或P(Y))发生分配一个更高的概率。他们表明,人类通常更倾向于相信一个有明确细节的详细故事。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.4.1 偏见的角色