双边网络冲突结果与相对网络能力强弱相关性研究*
——基于双边网络事件争端数据库和贝尔弗国家网络能力指数2020

2021-06-22 11:56宋道青葛腾飞
情报杂志 2021年6期
关键词:非对称双边专用

宋道青 葛腾飞 陈 曦

(国防科技大学国际关系学院 南京 210039)

自20世纪末以来,以互联网为代表的通用信息系统高速发展,与此同时,进攻一方在网络领域内享有非对称优势的观点自提出以来就一直被奉为圭臬[1],网络进攻主导论学者们不仅用非对称进攻优势来解释频发的网络冲突,还过度渲染和鼓吹网络安全威胁,而这些解释和推论都建立在双边网络冲突结果与相对网络能力强弱之间不存在显著相关性的基础之上[2]。但网络空间实际上包含通用信息系统和专用控制系统两个性质不同的组成部分,通用信息系统是指构成并影响网络通信服务质量、内容和状态的网络类型[3],如互联网,而专用控制系统则是指影响现实物理世界的网络类型[4],包括但不局限于发电站、反应堆等基础设施内部控制网络[5]。不加区分地鼓吹非对称进攻优势会部分夸大实际网络安全威胁,降低网络空间合作的意愿和可能性。虽然这种非对称进攻优势广泛存在于通用信息系统之中,但在跨越通用信息系统边界时是否仍能保持显著还有待进一步的研究和探讨。

1 数据选取原则与基本研究思路

1.1数据选取原则对非对称进攻优势在两种网络系统间差异进行定量论证之前,必须根据网络攻防的独有特性与双边网络冲突这一具体研究对象选取合适的变量以及数据源。

网络空间的独有技术特性使得网络攻、防能力难以进行准确、实时和可比较的量化和评估:第一,网络空间分为通用信息系统和专用控制系统两种类型;第二,网络防御往往在时间上滞后于网络攻击,即存在时间不同步性;第三,网络攻、防方式与机理不完全相同,攻、防能力缺乏可直接比较的基准;第四,网络攻防是集系统性与随机性于一体的过程,在网络攻击能力、防御能力保持不变的情况下,情报搜集能力、人员素质及管理规范和标准制定能力等的改变都能颠覆攻防结果,攻击能力等简单指标难以体现这种系统性和随机性。

从双边网络冲突这一特定研究对象来看,网络攻防平衡高速动态变化的特性使得世界范围内国家网络实力强弱排序呈现出一定的时间波动性。虽然追求一个完美、实时量化所有国家绝对网络能力的数据库存在较大的障碍,但是考虑到网络空间发展规划与投入规模必然与国家整体发展战略与规划相统一,双边网络冲突对象自2000年以来并没有发生太大的变化,中美、美俄、美伊、俄乌等占据了冲突总数的近六成,特定双边冲突对象间相对强弱的重要性远远高于特定单一国家绝对能力的绝对数据,例如美国强于伊朗这一事实比美国与伊朗具体的能力指数数据更重要,这就对特定网络能力指数绝对数值的依赖性进一步降低,因此稳定性更高。

综上所述,对双边网络冲突结果与相对网络能力强弱相关性进行量化研究,必须选取包含以下条件的变量和数据:a.较为全面的双边网络冲突数据库,且包括明确的攻防主体和攻防结果,冲突类型得到有效区分;b.能反映冲突双方在事件爆发时间段内相对网络水平高低的网络能力变量,对预测冲突结果有参考意义。考虑到网络攻防是集系统性与随机性于一体的过程,相对于网络攻击能力这种简单指标而言,包含尽可能多因素的网络综合能力这类复合指标在容错性和兼容性上更具优势。

1.2基本研究思路与常规领域内博弈不同,由于网络空间自身技术特点,国家间在网络空间的博弈信息更加不透明,造成了可用数据的匮乏和不完整[6],加上网络攻击非对称优势概念本身的不确定性与不可操作性,对其直接量化十分困难,影响变量过多,相对权重模糊,严重影响对概念的操作化和检验过程的推进[7]。因此,本文跳出了直接量化的思路束缚,运用间接指标量化的方法来验证网络进攻非对称优势在两种冲突类型的不同性质和特点,统计变量为两种冲突类型的频数、占比、成功率以及双边网络攻防结果与相对网络能力强弱之间的相关系数,这些变量是间接表征网络进攻非对称优势相对大小的关键指标,并从以下两个角度切入进行定量研究:第一,计算在相同时间范围内所有双边网络冲突中,通用信息系统与专用控制系统网络冲突各自发生的频数、占比和胜率;第二,分别计算两种网络系统中,双边网络冲突结果与相对网络能力强弱之间的相关系数。从主体-类型-占比-成功率-相关性五个方面来刻画双边网络冲突中非对称进攻优势的特点。

具体来说,就是通过对双边网络冲突数据库内的信息描述进行统计,汇总通用信息系统冲突数和专用控制系统冲突数,从频发性与普遍性的角度出发,在宏观层面描述非对称进攻优势在两种网络系统间的差异。同时,结合处理后的双边相对网络能力强弱数据,在微观层面详细探讨在两种网络系统中,网络攻防结果与相对网络能力强弱之间的相关性,验证非对称进攻优势在专用控制系统内是否低于通用信息系统。

2 数据源简介与可靠性分析

美国海军研究生院国防分析部整理的双边网络事件与争端数据库[8](Dyadic Cyber Incident and Campaign Dataset,Version1.5)与基于哈佛大学肯尼迪政治学院下属的贝尔弗科学与国际事务中心发布的《国家网络能力指数2020》[9](National Cyber Power Index 2020)的双边网络能力相对强弱数据较好地满足了上文的要求。

2.1双边网络事件与争端数据库双边网络事件与争端数据库[10]对网络冲突双方的身份有着严格的要求,攻击发起者必须是国家或者有证据证明有国家授权和支持的行为体,而作为攻击目标方也必须是国家政府部门、军事部门或者影响国计民生乃至国家安全的关键行业(如能源产业、军工集团、核心媒体与金融行业),数据库虽然也关注到了第三方在网络冲突中的影响,但仍聚焦于双边网络冲突,未包括多边网络冲突,因此,数据库符合理性行为体假定与双边冲突作为最小分析单元假定[11]。双边网络事件与争端数据库致力于创建一个可靠、可复现的网络冲突数据库,编码方案遵从战争相关指数(Correlates of War)数据库的相关标准,严格对历史记录、媒体报道、政府和安全公司发布的报告进行审查。数据库包含的时间范围从2000年1月1日到2016年12月31日,数据库记录的样本都经过卡巴斯基、迈克菲、赛门铁克和火眼等计算机安全公司和美国国家情报局、联邦调查局和国土安全部等国家部门发布的报告证实。15名专家对相关变量的编码结果经卡帕检验[12]表现出高度的一致性,再次证明了数据库数据的可靠性与客观性。

2.2贝尔弗国家网络能力指数贝尔弗国家网络能力指数为评估双边网络冲突攻防相对网络能力强弱提供了基本基准,其对30个主要国家的网络能力进行了量化评估,量化评估分别从意图和能力两个方面对7大指标进行评估,意图方面又细分为32小项,能力方面细分为27小项,所有评估指标都基于公开数据与专家评估。与既有的网络相关指数不同,贝尔弗国家网络能力指数认为网络能力不能被简单指标所刻画[13],而应该是在国家战略框架下众多复合能力的集合。因此,贝尔弗国家网络能力指数的量化评估过程考虑了国家控制下所能投入的所有资源和潜能。7大指标分别为国内非国家行为体监管、国家层面网络防御、信息内容与服务控制、国家安全情报搜集、促进经济发展、网络攻击能力和国际网络规范与技术标准制定。由于国家间网络冲突的公开数据有限,因此贝尔弗国家网络能力指数仅仅包括30个国家,其中与双边网络事件与争端数据库冲突主体吻合的国家一共为18个。

2.3数据匹配与可靠性分析双边网络事件与争端数据库所统计的变量数据提供了冲突的类型和结果,样本经过多方检验,具有一定的代表性,但由于条件严苛,在完备性和全面性上有所欠缺。贝尔弗国家网络能力指数则提供了双边相对网络能力强弱信息,两者之间的结合为研究网络进攻非对称优势在通用信息系统与专用控制系统之间的差异提供了有力的数据支撑。但两者之间的匹配也存在一个问题:以贝尔弗国家网络能力指数统一表征2000-2016年期间内各国不同时间内的绝对网络能力强弱具有一定的局限性,但对相对固定的冲突双方间相对网络能力强弱影响相对有限,这在数据选取原则部分已经做了定性分析,为进一步提高数据的针对性和可靠性,本文对贝尔弗国家网络能力指数做了进一步泛化处理[14],淡化数据绝对值,对国家网络能力进行显著、鲜明地等级划分,将不同能力等级之间设置较大的阈值,达到最大数值的10%,6个能力等级之间的差距十分显著。从实际数据统计来看,双边网络冲突对象在2000-2016年的17年内并没有发生太大的变化,例如美国-中国、美国-俄罗斯和美国/以色列-伊朗等,在对190例双边网络冲突对象的分析中,仅有17例攻防双方相对强弱不显著,其余173例双方的差距十分显著(即贝尔弗国家能力指数绝对值至少相差10)。此外,处理后反映冲突双方相对网络能力强弱数据与我国网络空间研究院发布的《世界互联网发展报告2019》[15]中互联网发展指数的吻合度达到91%,与国际电信联盟发布的《国际网络安全指数2018》[16]的吻合度达到80%,博思管理顾问公司和经济学人智库共同发布的《网络能力指数2011》[17]缺乏部分国家数据,共同部分吻合度达到76%。通过简单的定量分析再次证明了双边相对网络能力强弱对时间和特定网络能力排名的敏感度和依赖性较低,大大减少了数据库时间匹配带来的影响,由于贝尔弗国家能力指数具备复合变量、量化标准统一和数据全面的优点,故以此为例进行相关性分析。

3 概念可操作化与数据预处理

3.1概念可操作化对网络攻击非对称进攻优势的量化验证必然涉及到双边网络冲突中的概念界定以及基于清晰概念界定上的操作化过程,而对概念进行具体操作化需要解决的问题主要包括:第一,如何界定通用信息系统内网络冲突和专用控制系统网络冲突?第二,如何验证在两种类型的网络冲突中非对称网络进攻优势是否存在?第三,如果存在,网络非对称进攻优势在两者之间是否存在差异?

对通用信息系统网络冲突与专用控制系统网络冲突进行区分在操作上较为简单,双边网络事件与争端数据库中有较多变量可以选用:政治目标文本描述、攻击方法、战略目标和冲突影响程度等。由于网络非对称进攻优势没有明确统一的概念和标准,且发展变化过于迅速,在实际操作上对非对称进攻优势进行实时和精确的量化既不现实也没有实际意义,但是对通用信息系统与专用控制系统这两个领域内的非对称进攻优势进行相对性层面上的量化对比,在实际操作上不仅可行,而且具有较强的现实意义和价值,能够为制定针对性更强、更有效的网络空间安全战略和政策提供参考。本文根据双边网络事件与争端数据库计算出各自领域内网络冲突爆发的频率、成功率,结合攻守双方的相对网络能力强弱,计算出双边网络冲突结果与能力相对强弱的相关系数,用这些参数来表征网络冲突结果与攻防双方网络能力相对强弱是否存在强相关性,对通用信息系统和专用控制系统两个领域内网络进攻非对称优势的差异进行刻画和比较。

在网络冲突类型区分部分选取的因变量为网络冲突类型,若为通用信息系统内网络冲突,则赋值为1;若为专用控制系统网络冲突,则赋值为2。自变量为政治目标文本描述、攻击方法、战略目标和冲突影响程度,部分变量分类与取值见表1。

表1 变量编码、含义与统计表

贝尔弗国家能力指数[8]见表2。

表2 贝尔弗国家网络能力指数表(部分)

3.2数据预处理为了具体量化两种网络系统内双边网络攻防结果与相对能力强弱的相关性,需要将双边网络事件与争端数据库和贝尔弗国家网络能力指数2020数据进行预处理:首先,筛选出符合双边网络冲突基本要求的样本,剔除地区行为体样本,保证数据库样本冲突双方都是理性国家行为体;其次,根据数据库内的政治目标文本描述、攻击方法、战略目标和冲突影响程度等变量来确定网络冲突所处的网络类型,从而将通用信息系统内网络冲突与专用控制系统内网络冲突区分开来,并统计两种网络冲突各自的频数与占比;然后,在两个领域内分别统计冲突攻守双方国别和网络进攻是否成功3个变量,计算两个领域内网络冲突进攻成功比例;最后,对贝尔弗国家能力指数绝对数值做进一步的泛化处理,为不同能力等级划分条件设置严苛的阈值:能力指数相差5以内的认定为能力相近,且不同能力等级之间也至少相差5,达到最大数值的近10%,最终将18个国家划分为6个能力等级。

将网络能力等级与双边网络事件与争端数据库中攻守双方国家进行匹配,根据攻守双方的等级高低将网络冲突细分为强攻弱、弱攻强和能力相近攻防三大类型,为避免误差,在相关系数计算时排除能力相近的样本案例,从而计算网络能力相对强弱与攻防结果的相关系数。最后,本文确定数据库符合条件的样本量为190例(攻防相对能力差距显著173例),其中通用信息系统内网络冲突177例(攻防相对能力差距显著163例),专用控制系统内网络冲突13例(攻防相对能力差距显著10例)。

4 数据分析与检验

4.1双边网络冲突爆发频数与网络进攻成功率在对数据进行预处理和变量选取的基础上,统计出两种类型网络冲突爆发的频率和成功率,结合攻守双方相对网络能力强弱,计算出双边网络冲突结果与相对网络能力强弱的相关系数。经过筛选后确定数据库中符合条件的样本总量为190个,其中通用信息系统网络冲突为177个,占样本总量的93.16%,其中进攻成功样本数为156,占比88.14%,失败样本数为21,占比11.56%;专用控制系统网络冲突为13个,占样本总量的6.84%,其中进攻成功样本数为12,占比92.3%,进攻失败样本数为1,占比7.3%。由此可见,通用信息系统内网络冲突占据了国家间网络冲突形式的绝大部分,是国家间在网络空间互动与冲突的主要形态,从爆发普遍性上来看,可以初步印证出通用信息系统内存在非对称网络进攻优势,虽然不能对这种进攻优势的绝对值进行量化,但是从相对性的角度来看,远远大于专用控制系统内网络冲突;从两种类型网络冲突的进攻成功率上来看,通用信息系统内网络冲突进攻成功率略低于专用控制系统网络冲突,似乎表征着非对称进攻优势在专用控制系统网络冲突内更显著,但我们要客观地看待统计指标。

首先,在数值上,两种类型网络冲突在进攻成功率上相差并不是太大,并不像冲突总量在两种冲突类型分布上的差异显著,因此成功率上的微小差异并不足以动摇通用信息系统内非对称进攻优势更显著的基本判断;第二,由于网络空间的特殊技术属性,归因问题一直是一个很大的困难,尤其是影响有限的通用信息系统网络冲突,高昂的技术和经济门槛让许多国家放弃了归因和取证工作,而专用控制系统网络攻击造成的影响较大,且在取证与伤害认定上更简单,也更容易获取国际认同[18],而双边网络事件与争端数据库统计的都是明确攻守双方的冲突案例,因此一些进攻成功却由于影响有限,或者还未被发现以及归因得不到明确的案例都未被包含在内,所以依据数据库内统计数据得出的通用系统网络冲突进攻成功率是偏低的。因此,还必须结合攻守双方的网络能力进行具体的分析和讨论。

4.2双边网络冲突结果与相对网络能力强弱相关性分析通过将双边网络事件与争端数据库和数据泛化处理后的网络能力等级相匹配,根据相对网络能力等级来判定国家间相对网络实力的强弱,等级越高,网络能力越强(如表3所示),通过表3不难发现这样的分级层次清晰显著,基本能够代表相对长时期内的国家间相对网络能力强弱,与数据可靠性分析中的量化分析结果吻合。

表3 国家间相对网络能力等级表(部分)

为了更准确地刻画两种网络冲突内非对称进攻优势的有无和相对大小,将结合双边网络能力相对强弱、冲突结果和网络冲突类型重新进行统计、计算与分析。把数据库中190个冲突样本分成两部分进行分析,即177个通用信息系统网络冲突和13个专用控制系统网络冲突。通用信息系统网络冲突依据攻防双方网络能力等级与冲突结果有6种类型(网络能力等级至少相差一级的视为强弱可区分):强国进攻弱国并胜利64例、强国进攻弱国并失败5例、弱国进攻强国并胜利79例、弱国进攻强国并失败15例和能力相近的双边攻防14例(进攻胜利13例,失败1例)。弱国进攻强国94例,占比53%,强国进攻弱国69例,占比39%,能力相近国家间攻防14例,占比8%。网络攻防结果与网络相对能力正相关的84例,占比47%,负相关的79例,占比45%,不相关的14例,占比8%。通过上述统计数据,不难发现以下两条重要规律:第一,主权国家是否决定发动网络攻击与双方相对网络能力相关性不大,双边网络冲突并非都是强国对弱国的进攻,相反,弱国对于强国的主动进攻占相对多数;第二,通用信息系统内国家间网络冲突存在非对称进攻优势,即网络攻防结果的成败与双方的网络能力差距不完全相关,相对网络能力差别并不能完全决定网络攻防结果,正相关案例与负相关案例大致各占样本总量的一半。此外,网络能力差距与网络攻防结果负相关的84例样本中,有39%,即33例网络能力差距在三个等级及以上,这充分表明了通用信息系统网络冲突中不仅存在着非对称进攻优势,且这种优势在程度上较高;而在专用控制系统网络冲突的13个样本中,网络攻防结果与双边网络能力相对强弱表现出正相关性的占10例,占比达到78%,虽然样本总量较少,但也有理由怀疑2000-2016年内,专用控制系统非对称进攻优势弱于通用信息系统非对称进攻优势。

为进一步验证网络冲突中非对称优势在两种网络冲突内的不同表现规律与特征,本文将双边网络能力等级差异与网络攻防结果进行相关性分析,分别计算二者在两种网络冲突内的皮尔森相关性系数、斯皮尔曼相关性系数和肯德尔相关性系数,相关系数越接近1则相关性越高,越接近0则相关性越低,而p值越小代表相关系数的可靠程度越高[19]。为了降低两个数据库之间时间不匹配引进的绝对数值误差,本文以网络能力等级差异来表征国家间的相对网络能力强弱,弱化结论对绝对数值的敏感性和依赖性,同时规避连续变量与0-1变量数据类型不统一在相关性计算中带来的干扰,具体结果如表4所示。由表中数据不难发现在通用信息系统网络冲突中,双边网络能力等级差与网络攻防结果的三大相关系数都很小,也即两个变量之间具有较强的独立性,相对强大的国家网络能力并不能保证在对弱小国家的网络冲突中占有优势,相对弱小的国家网络能力也不意味着对网络强国的进攻毫无胜算可言,甚至往往获取胜利,因此存在较为显著的非对称进攻优势。在专用控制系统网络冲突中,双边网络能力等级差与攻防结果三大相关系数都接近0.5,这个结果虽然暂时不能支撑网络能力与网络结果在专用控制系统网络冲突内具备较强相关性的结论,但与通用信息系统网络冲突相比,仍有理由可以认为2000-2016年间在专用控制系统网络冲突中,双边网络能力差距对网络冲突结果的影响更大,也即网络进攻的非对称优势在跨越通用信息系统网络边界后得到了一定程度的衰减。

表4 网络能力等级差与网络攻防结果相关系数统计表

虽然在专用控制系统网络冲突中,双边网络能力等级差距与网络冲突结果二者的相关性仍不显著,远远未达到预期的程度,但是考虑到网络能力等级差异分布相较于结果的0-1变量而言仍然十分分散,本文将双边网络能力差异进一步简化,只区分相对强弱,而不区分具体的差距,即强国进攻弱国赋值为1,弱国进攻强国赋值为0,网络能力相近的冲突样本则进行剔除,通用信息系统网络冲突剩余样本数量为163例,专用控制系统剩余样本数量为10例。将两组0-1变量的相关性再次进行分析和讨论,具体情况如表5所示。通用信息系统网络冲突内的双边网络能力相对强弱与冲突结果相关性并未发生较大的变化,与此同时,专用控制系统网络冲突中,两者的相关性却提高至100%,但也应注意到专用控制系统网络冲突的样本量较少,只有13例,且网络能力相近的3个样本中,进攻一方都获取了胜利,虽然不能排除非对称进攻优势存在的可能性,但综合来看,专用控制系统网络冲突中双边网络冲突结果受网络能力相对强弱影响更大,有理由怀疑2000-2016年间网络非对称进攻优势在两种网络冲突内存在一定的差异。

表5 网络能力强弱与网络攻防结果相关系数统计表

一方面,本文从双边网络冲突在两种冲突类型的频数分布情况和成败结果数据出发,以通用信息系统网络冲突爆发的频率远远超过专用控制系统网络冲突的统计结果为基础,侧面佐证了通用信息系统内网络进攻优势的客观存在;另一方面,从双边网络能力相对强弱与网络冲突结果的相关性层面进一步分析了网络冲突在两种冲突类型的差距,有理由怀疑2000-2016年间网络进攻优势在突破通用信息系统边界后得到了一定程度的衰减。

5 小 结

网络空间非对称进攻优势自提出以来就成为学术界的共识,同时也成为美国等国家大力发展网络武器,将网络空间军事化的重要原因,极大破坏了国家间的互信和合作基础[20],然而,却鲜有学者对网络空间非对称进攻优势进行系统性和定量的分析,定性、笼统的认知只会放大非对称进攻优势带来的安全威胁和恐惧,双边网络事件与争端数据库与贝尔弗国家网络能力指数为双边网络冲突相关概念的操作化与量化提供了便利,既解决了系统性量化数据的有无问题,也为数据的一致性和可靠性提供了坚实的基础。通过对两种不同类型的网络冲突进行区分,分别对两种网络冲突攻守双方国别及其网络能力相对强弱,两种冲突的各自占比和成功率进行统计,并计算不同类型冲突网络能力相对强弱与冲突结果的相关系数,反映非对称进攻优势在两类网络冲突中存在的差异。

在2000-2016年内,通用信息系统内网络冲突的确存在较为显著的非对称进攻优势,但也有理由怀疑这种进攻优势在突破通用信息系统边界后得到了一定程度的衰退。因此,专用控制系统目前面临的网络安全风险可能被部分高估与夸大,既有的文献大多将频繁但危害有限的通用系统网络攻击与鲜有发生且门槛极高、危害极大的专用控制系统网络冲突不加区分、混为一谈,客观上部分助长了对网络威胁的担忧[21]。只有将这两类完全不同的网络冲突区分开来,才能对网络空间安全与稳定有全面的认知,从而在新基建过程中把握好发展速度与安全的平衡,避免网络空间陷入国际无政府状态产生的安全困境之中[22]。与此同时,也要注意到数据库的时间滞后性,2000-2016年冲突样本难以体现5G等颠覆性技术对网络空间冲突的影响,必须以发展的眼光看待网络空间的跨越式发展,尤其是5G和新基建的推进,将促进专用控制系统与通用信息系统的融合,这既表现在系统、协议和硬件的通用化,也表现在专用控制系统之间的互联互通与通用信息化,非对称进攻优势在两者之间的差异也可能随之减小。

猜你喜欢
非对称双边专用
后发技术非对称赶超策略及其情境依赖机制研究
非对称腹板束设计方法在地铁大跨变宽变高连续梁中的应用
体能测试专用鞋
体能测试专用鞋
体能测试专用鞋
隧道内超短边多公共转点双边角交会测量技术探讨
双边投资协定与外商直接投资
非对称干涉仪技术及工程实现
与2018年全国卷l理数21题相关的双边不等式
基于不确定性严格得分下双边匹配决策方法