縱觀21世紀數(shù)十年，網(wǎng)絡空間問題日益凸顯，網(wǎng)絡威脅層出不窮，網(wǎng)絡空間已成為繼陸、海、空、天外的第五主權空間，成為國家主權延伸的新疆域。美國長期以來憑借自身在信息技術領域的巨大優(yōu)勢，成為了當之無愧的網(wǎng)絡強國。在美國稱霸網(wǎng)絡空間的背后，美國國防高級研究計劃局（DARPA）扮演了舉足輕重的角色。DARPA成立60多年來始終引領著前沿性、顛覆性創(chuàng)新技術的發(fā)展潮流，其技術研發(fā)一直備受關注。本文試圖通過DARPA近三年的預算概況，跟蹤網(wǎng)絡安全相關項目研發(fā)動態(tài)，分析美國網(wǎng)絡安全技術研發(fā)趨勢，為我國網(wǎng)絡安全研發(fā)提供參考。

　　一、預算整體概況及分析

　　DARPA年度“研究、開發(fā)、試驗與鑒定”（RTD&E）預算申請報告，主要對下一財年經(jīng)費支出情況進行系統(tǒng)規(guī)劃，對項目的研究內容、預算金額、工作進展、重點規(guī)劃等情況加以闡述。項目領域涵蓋信息技術、生物技術、材料技術及航天技術等。

　　保持穩(wěn)定的技術基礎投資，是美國《國防科技戰(zhàn)略》明確提出的要求。DARPA資金一直保持相對穩(wěn)定狀態(tài)，2014—2017年度經(jīng)費基本維持在28—30億美元。特朗普上臺后，一改奧巴馬政府軍事收縮政策，連續(xù)大幅上調軍費預算，國防科研經(jīng)費隨之同步增長。2018年，DARPA經(jīng)費首次超過30億美元，此后呈大幅上漲趨勢。

　?。ㄒ唬┙觐A算概況

　　DARPA預算經(jīng)費從2017年開始大幅上調，近三年（2019—2021財年）的預算經(jīng)費已趨于穩(wěn)定，基本維持在35億美元左右（見表1）。

　　2019年，DARPA預算申請同比增長8.5%。該年新增項目31個，預算申請約4.78億美元，占總預算比例約13.9%。在“電子復興計劃”的推動下，DARPA大幅提升電子領域投入，新增項目中包含11項電子領域項目，預算金額占新增項目總額的50.84%。

　　2020年，三個階段的預算均有不同程度增長。該年新增項目28個，預算申請約3.52億美元，占總預算比例約10%。新增項目中有21個項目啟動經(jīng)費超過1000萬美元，主要分布在人工智能、生物技術及指揮控制和通信等領域。

　　2021年，預算申請與上一財年基本持平，項目體系安排及重點關注領域基本保持穩(wěn)定。該年新增項目31個，預算申請約3.46億美元，占總預算比例約10%，規(guī)模較上一年度略減。與上一年度類似，新增項目仍分布在人工智能、指揮控制和通信等領域，重點項目研發(fā)進度加快推進。

　?。ǘ┍容^分析

　　1、從研究階段看，優(yōu)化前沿技術體系布局

　　基礎研究是DARPA科研創(chuàng)新的動力源泉，一般占總預算比例為13.6%。2021年基礎研究預算占當年總預算的15%，預算增長源于新項目部署和現(xiàn)有項目預算增長，主要集中在人工智能、信息技術、生物技術等領域。

　　應用研究主要圍繞未來概念構想開展技術攻關，一般占總預算比例為41%。2021年應用研究預算較2020年略有下降，占當年總預算的38.6%，預算下降源于較多應用研究項目的完成，但該階段的網(wǎng)絡安全、人工智能與人機共生、生物材料與設備等項目單元預算仍較多。

　　先期技術開發(fā)是銜接待驗證的先進技術和軍事應用間的重要橋梁，一般占總預算比例為42%。2021年先期技術開發(fā)預算占當年總預算的44%，預算增加源于部分現(xiàn)有項目預算的大幅增長，涵蓋先進空天系統(tǒng)、太空項目和技術、混合技術等領域。

　　2、從項目單元看，持續(xù)拓展海陸空網(wǎng)領域

　　DARPA預算在不同研究階段下共列14個項目單元。基礎研究包括國防研究科學和基礎作戰(zhàn)醫(yī)學2個項目單元；應用研究包括信息與通信技術、戰(zhàn)術技術、電子技術、材料與生物技術、生物醫(yī)學技術和生物戰(zhàn)防御6個項目單元；先期技術開發(fā)包括網(wǎng)絡中心戰(zhàn)技術、先進空天系統(tǒng)、指揮控制和通信系統(tǒng)、太空項目和技術、傳感器技術和先進電子技術6個項目單元。以下對近三年不同項目單元預算進行列舉（見圖1）。

　　圖1 DARPA近三年項目單元預算圖

　　從圖1可以看出，近三年多數(shù)項目單元預算申請呈上漲或維持穩(wěn)定狀態(tài)，少數(shù)項目單元預算下降?；A研究階段，國防研究科學項目單元預算增長較快，2021年該項目單元預算同比增長10%，而基礎作戰(zhàn)醫(yī)學項目單元基本持平；應用研究階段，2021年受“班組X”（Squad X）、“機動部隊防護”（MFP）等項目結束影響，戰(zhàn)術技術項目單元預算大幅下降，信息與通信技術項目單元出現(xiàn)增長，其余項目單元預算基本持平。先期技術開發(fā)階段，2021年受國防部推進“全域作戰(zhàn)”概念影響，網(wǎng)絡中心戰(zhàn)技術項目單元漲幅接近30%，先進空天系統(tǒng)、太空項目和技術項目預算減少。此外，DARPA機密項目分布于指揮控制和通信系統(tǒng)、網(wǎng)絡中心戰(zhàn)技術及傳感器項目單元，增長幅度明顯。

　　3、從研究項目看，網(wǎng)絡安全領域逐漸受到重視

　　DARPA網(wǎng)絡安全項目主要集中于應用研究中的“信息與通信技術”項目單元。2020年預算申請將“信息與通信技術”的子項目“信息保障和可維護性”更名為“網(wǎng)絡安全”，2021年預算延用更名后的項目名稱。

　　從表2看出，近三年網(wǎng)絡安全項目數(shù)量呈上升趨勢，項目預算經(jīng)費整體也隨之上漲。但2021年經(jīng)費較上一年度同比下降，源于該年5個項目的計劃完成，包括頻譜協(xié)作挑戰(zhàn)賽（SC2）、布蘭代斯（Brandeis）、利用模擬域實現(xiàn)安全性（LADS）等。其余網(wǎng)絡安全的多數(shù)項目已完成初期技術研究與開發(fā)，正加速推進演示驗證和應用轉化。項目的數(shù)量及預算增長都說明DARPA高度關注網(wǎng)絡安全領域。

　　二、重點網(wǎng)絡安全項目分析

　?。ㄒ唬╊A算內重點網(wǎng)絡安全項目

　　根據(jù)DARPA近三年的預算概況，結合項目經(jīng)費預算額度及項目持續(xù)時間，本文梳理了部分網(wǎng)絡安全相關重點項目。（見下表）

　　1、大規(guī)模網(wǎng)絡狩獵（CHASE）

　　該項目將開發(fā)一種數(shù)據(jù)驅動的網(wǎng)絡捕獵工具，通過使用計算機自動化、高級算法跟蹤大量數(shù)據(jù)，發(fā)現(xiàn)隱藏在數(shù)據(jù)中的高級網(wǎng)絡攻擊，實現(xiàn)實時探測、表征和抵御網(wǎng)絡威脅，以解決國防部網(wǎng)絡和網(wǎng)絡存儲系統(tǒng)上流動數(shù)據(jù)量過大、分析能力不足的問題。

　　該項目啟動于2018年，預計持續(xù)四年，共分為三個階段。當前處于第一階段，側重于開發(fā)、演示和評估單個技術組件。DARPA與BAE系統(tǒng)公司簽訂合同，結合先進的機器學習和網(wǎng)絡攻擊模型，旨在通過自動檢測并消除當前無法檢測到的網(wǎng)絡威脅。

　　2、快速攻擊偵測，隔離和特征識別系統(tǒng)（RADICS）

　　該項目旨在開發(fā)在能源部門關鍵基礎設施遭受網(wǎng)絡攻擊時，可使美國電網(wǎng)恢復正常的自動化系統(tǒng)，恢復電力服務。該系統(tǒng)能夠監(jiān)控異構分布式網(wǎng)絡、檢測需要快速評估的異常情況、隔離受損的系統(tǒng)元件、建立安全的應急通信網(wǎng)絡、描述攻擊特征以及檢測傳感器的干擾。

　　該項目啟動于2016年，預計持續(xù)四年，共分為三個階段。當前處于第三階段，專注于具備可擴展、高效和可部署功能的工具開發(fā)。DARPA與BAE系統(tǒng)公司合作構建可替代性安全應急網(wǎng)絡，BAE公司的技術可快速將企業(yè)IT和電力基礎設施網(wǎng)絡與惡意攻擊渠道隔離，在可信任的組織間建立安全應急網(wǎng)絡，從而恢復復雜電網(wǎng)的電力服務。

　　3、利用自主系統(tǒng)對抗網(wǎng)絡對手（HACCS）

　　該項目將開發(fā)安全、可靠、自主的軟件代理，測量識別被僵尸網(wǎng)絡感染的準確性、識別停留在網(wǎng)絡中設備類型的準確性以及潛在訪問向量的穩(wěn)定性，并采用壓制或其他方式限制惡意軟件的操作能力，盡量減少對中立系統(tǒng)和基礎設施的不良影響。

　　該項目啟動于2017年，預計持續(xù)四年，共分為三個階段。當前處于第三階段，側重于特征化IP地址空間、制定操作準則。DARPA與Packet Forensics簽訂合同，將依據(jù)僵尸網(wǎng)絡感染的網(wǎng)絡指紋確定植入物的存在，識別網(wǎng)絡上存在的設備數(shù)量及類型；同時，針對已知漏洞生成非破壞性利用軟件，此類軟件可以在每個僵尸網(wǎng)絡上建立初始狀態(tài)，而不影響合法系統(tǒng)功能。

　　4、網(wǎng)絡保證系統(tǒng)工程（CASE）

　　該項目旨在開發(fā)一系列設計、分析和驗證工具，研究網(wǎng)絡安全技術如何以廣泛、可拓展的方式進行應用，確保網(wǎng)絡彈性在嵌入式計算系統(tǒng)的每個階段都發(fā)揮關鍵作用。網(wǎng)絡彈性也將成為每個防御平臺的核心屬性，并與其他非功能性屬性結合。

　　該項目啟動于2017年，預計持續(xù)四年，共分為三個階段。當前處于第二階段，側重于技術增強和對新型工具的測試。通用電氣公司技術研發(fā)部門（GE Research）研發(fā)網(wǎng)絡安全工具Verdict，融合多種現(xiàn)有安全工程和網(wǎng)絡安全指標，可對網(wǎng)絡安全威脅進行全面評估、提出漏洞處置建議、預測未來網(wǎng)絡攻擊發(fā)生的可能性，為美國關鍵軍事及工業(yè)系統(tǒng)網(wǎng)絡提供安全防護保障。

　　5、增強歸因（EA）

　　該項目旨在開發(fā)一種能夠將網(wǎng)絡攻擊者的惡意行為與單個運營商關聯(lián)起來，并在不損害信息來源和途徑的前提下公開披露這些行為的技術。該項目側重于研究識別惡意網(wǎng)絡運營商、分析其軟件工具和行為，并利用商業(yè)和公共數(shù)據(jù)源進行信息確認。

　　該項目啟動于2016年，預計持續(xù)54個月，共分為三個階段。該項目整體推進較為緩慢，當前處于第一階段，側重于開發(fā)網(wǎng)絡行為、活動跟蹤與總結的技術。2020年4月，DARPA授予CYNNOVATIVE公司項目合同，旨在開發(fā)基于人工智能技術的網(wǎng)絡歸因工具。

　　6、人機探索軟件安全（CHESS）

　　該項目將開發(fā)以可擴展、及時和一致的方式發(fā)現(xiàn)和解決所有類型漏洞的能力，通過利用自動化程序分析技術和高級人機協(xié)作融合的方式，實現(xiàn)在某些規(guī)模下、特定時間內發(fā)現(xiàn)系統(tǒng)漏洞。該項目代表了由人機團隊擔任高強度網(wǎng)絡運營的發(fā)展趨勢——將人類的洞察力與機器的計算分析速度和規(guī)模相結合。

　　該項目啟動于2018年，預計持續(xù)42個月，共分為三個階段。當前處于第一階段，側重于小型軟件庫的開發(fā)設計。DARPA與Galois公司簽訂合同，開發(fā)一種使用混合人機方法檢測網(wǎng)絡安全漏洞的工具，而該漏洞是使用傳統(tǒng)方法無法檢測到的。

　　7、主動社會工程防御（ASED）

　　該項目旨在尋求對社會工程攻擊（即試圖操縱用戶執(zhí)行其希望的操作或泄露敏感信息的攻擊）的自動防御。該項目試圖通過建立反社會工程機器人防御社會工程攻擊，這些機器人將代表用戶對通信進行協(xié)調和匯集，并自動識別攻擊者。

　　該項目啟動于2017年，預計持續(xù)四年，共分為兩個階段。當前處于第一階段，側重于開發(fā)、演示和評估技術組件。DARPA授予湯森路透（THOMSON REUTERS）公司600萬美元合同，旨在開發(fā)自動檢測社會工程攻擊技術。

　　8、配置安全（ConSec）

　　該項目旨在研發(fā)能夠自動生成、部署和強化用于軍事平臺的器件和子系統(tǒng)的配置技術，提升商用現(xiàn)貨（COTS）電子元器件的可信計算能力，減少網(wǎng)絡攻擊的薄弱環(huán)節(jié)。

　　該項目啟動于2017年，預計持續(xù)42個月，共分為三個階段。當前處于第一階段，側重于系統(tǒng)初步開發(fā)與建模。DARPA與Perspecta公司簽訂合同，負責“攻擊面最小化”（OCCAM）系統(tǒng)的開發(fā)與交付，該系統(tǒng)將能自動生成匹配且安全的配置，同時生成可由人類識讀的相關證據(jù)，以便于把整個平臺升級到最新配置。

　?。ǘ?020年新開展網(wǎng)絡安全項目

　　根據(jù)年度預算，DARPA一般會選擇單個項目下開展專項項目研究。本文梳理了部分DARPA最新開展的網(wǎng)絡安全項目。

　　1、穩(wěn)健物聯(lián)網(wǎng)中超大規(guī)模架構的加密技術（CHARIOT）

　　2020年8月，DARPA發(fā)布“穩(wěn)健物聯(lián)網(wǎng)中超大規(guī)模架構的加密技術”項目，旨在為物聯(lián)網(wǎng)設備開發(fā)快速、高效、低成本、抗量子的革命性加密技術，以保護美國軍方目前使用的大量物聯(lián)網(wǎng)設備。這些設備不都具備加密安全性，其安全風險隨著量子計算和5G無線網(wǎng)絡的運用變得愈發(fā)突出。另外，由于一些物聯(lián)網(wǎng)設備預計將使用十年以上，軍方需要低功耗的加密解決方案。

　　2、大型舊版軟件的安全性驗證和性能增強（V-SPELLS）

　　2020年7月，DARPA發(fā)布“大型舊版軟件的安全性驗證和性能增強”項目，將為開發(fā)人員創(chuàng)建一種工具，旨在保證兼容的情況下通過更安全、性能更高的代碼，逐個升級美軍關鍵任務軟件，進而將先進技術引入不能重新設計或整體替換的系統(tǒng)。該項目有四個技術領域：自動化、迭代交互式程序理解；組合式（特定領域語言）編程、組件規(guī)范推理；驗證層扁平化和分發(fā)；演示和評估。

　　3、發(fā)現(xiàn)漏洞阻止篡改（FETT）

　　2020年6月，DARPA發(fā)布首個漏洞報告獎勵項目——發(fā)現(xiàn)漏洞阻止篡改（FETT），為“通過硬件和固件進行系統(tǒng)安全集成”（SSITH）項目發(fā)現(xiàn)可能削弱其硬件防護能力的潛在漏洞或缺陷。該項目將通過眾包安全公司Synack經(jīng)審查的研究人員、人工智能和機器學習使能技術，以及其已建立的漏洞披露流程實施眾包安全活動。

　?。ㄈ┨攸c分析

　　近年來，DARPA開展的網(wǎng)絡安全項目具有如下特點：

　　1、主旨明確，助力網(wǎng)絡防御能力提升

　　美軍網(wǎng)絡長期以來依托以“愛因斯坦計劃”為代表的網(wǎng)絡安全解決方案，通過采用動態(tài)防御、變形網(wǎng)絡等先進防御技術裝備，以達到發(fā)現(xiàn)僵尸網(wǎng)絡、了解服務器的指揮控制狀態(tài)、關聯(lián)敵人對企業(yè)級網(wǎng)絡探測行為、警示企業(yè)級網(wǎng)絡面臨風險等目的，提升網(wǎng)絡空間防御安全威脅能力。如“大規(guī)模網(wǎng)絡狩獵”（CHASE）項目旨在研發(fā)開發(fā)自動化工具，檢測識別新型攻擊方法，幫助安全分析人員發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的高級攻擊。

　　2、應用廣泛，致力保障重點領域網(wǎng)絡安全

　　美國為踐行“向前防御”理念，通過一系列政策文件從法律層面引導、促進網(wǎng)絡安全政策的制定與發(fā)展，特別關注重點領域的網(wǎng)絡安全問題，包括物聯(lián)網(wǎng)安全、關鍵基礎設施安全、供應鏈安全等。DARPA開展一系列針對重點領域的網(wǎng)絡安全項目，如開展旨在為物聯(lián)網(wǎng)設備開發(fā)快速、高效、低成本、抗量子的加密技術的“穩(wěn)健物聯(lián)網(wǎng)中超大規(guī)模架構的加密技術”（CHARIOT）項目；保障電力網(wǎng)絡安全的“快速攻擊偵測、隔離劑表征系統(tǒng)”（RADICS）項目；確保計算機硬件安全的“通過硬件和固件集成系統(tǒng)安全”（SSITH）項目等。

　　3、創(chuàng)新活躍，提升新興技術對抗能力

　　量子信息、5G、人工智能等新興技術不斷取得突破發(fā)展，同時也帶來了新的網(wǎng)絡安全威脅。一方面網(wǎng)絡攻擊者利用新興技術突破傳統(tǒng)網(wǎng)絡安防體系，另一方面新興技術領域安全成熟度不高也帶來新的安全隱患。為應對新興技術產生的網(wǎng)絡安全威脅，美國不斷加強網(wǎng)絡安全新興技術的研發(fā)和創(chuàng)新，懾止對手利用新興技術開展網(wǎng)絡攻擊滲透活動。

　　2020年，DARPA開展“開放、可編程、安全5G”（OSP-5G）項目，旨在利用可移植、開源、符合標準的5G移動網(wǎng)絡棧，化解5G網(wǎng)絡被用來開展網(wǎng)絡間諜和網(wǎng)絡戰(zhàn)的風險。同年，DARPA啟動“高噪聲中等規(guī)模量子優(yōu)化器件”（ONISQ）項目，擬在通用容錯量子計算機取得突破之前開發(fā)出量子信息處理技術，旨在通過在解決優(yōu)化挑戰(zhàn)中超越經(jīng)典系統(tǒng)的性能來展示量子信息處理的定量優(yōu)勢。

　　三、美國網(wǎng)絡安全領域技術發(fā)展趨勢

　　從DARPA近年來啟動的重要網(wǎng)絡安全項目來看，美國網(wǎng)絡安全領域技術發(fā)展呈現(xiàn)以下趨勢。

　?。ㄒ唬崟r響應網(wǎng)絡威脅，提升智能自動處理能力

　　網(wǎng)絡空間攻擊行動以接近光速傳播和實施，且能夠對特定目標造成整體性影響，這種瞬間和整體攻擊能力也成為網(wǎng)絡空間行為的特質。人工智能和自動化技術的發(fā)展為美國網(wǎng)絡空間安全帶來了新的發(fā)展機遇，成為美軍提升網(wǎng)絡安全能力的倍增器?；谌斯ぶ悄艿陌踩{檢測，可大幅縮短網(wǎng)絡攻擊檢測時間，根據(jù)威脅等級、種類、行為自動制定處置方案，同時實現(xiàn)自主學習，不斷提高防御能力。

　　2019年，DARPA在“人機探索網(wǎng)絡安全”（CHESS）項目下設立“防止漏洞利用的合并分析”（MATE）項目，開發(fā)可拓展的人機混合網(wǎng)絡漏洞評估工具，尋求創(chuàng)建自動化的程序分析技術，使非專家能夠致力于漏洞評估工作，對特定應用程序的關鍵漏洞進行檢測。2017年，DARPA開展“快速攻擊偵測，隔離和特征識別系統(tǒng)”（RADICS）項目，與國土安全部、能源部、國民警衛(wèi)隊和電力公司開展合作，利用人工智能解決電網(wǎng)網(wǎng)絡安全問題，在電網(wǎng)發(fā)生網(wǎng)絡攻擊時實時“黑啟動”恢復。

　?。ǘ┐蛟炜尚膨炞C體系，提升身份驗證授權管理能力

　　零信任建立了以數(shù)據(jù)為中心的安全模型，消除了受信任或不受信任的網(wǎng)絡、設備、角色或進程的概念，轉變?yōu)榛诙鄬傩缘男湃渭墑e，使身份驗證和授權策略在最低特權訪問概念下得以實現(xiàn)。美國基于零信任原則開展身份與訪問管理，以此降低網(wǎng)絡匿名性，降低網(wǎng)絡滲透和橫向移動的機動能力。美國防部已將零信任實施列為最高優(yōu)先事項。

　　DARPA開展“加密驗證和評估信息安全保障”（SIEVE）項目，旨在通過研發(fā)零知識證明技術實現(xiàn)復雜軍事應用中的加密技術，進而增強軍方信息安全和可信計算能力。該項目有三個技術領域：構建零知識語句、構建零知識證明生成編譯器、后量子零知識研究。

　?。ㄈ└叨戎匾暁w因能力，全面支撐網(wǎng)絡空間威懾戰(zhàn)略

　　美國政府高度重視網(wǎng)絡空間威脅歸因能力建設。特朗普任內首份《國家安全戰(zhàn)略》報告中強調“投入資源以支持并提升實現(xiàn)網(wǎng)絡歸因的能力，確保有能力做出快速反應”。2020年3月，美國網(wǎng)絡空間日光浴委員會提出的“分層網(wǎng)絡威懾”戰(zhàn)略中，實現(xiàn)戰(zhàn)略的六大支柱之一便強調“提高歸因溯源能力，重振網(wǎng)絡信心”。2018年以來，美國主要政策文件紛紛強調溯源歸因能力建設的重要性，成為美軍實施網(wǎng)絡威懾的重要依據(jù)。

　　2016年，DARPA開展“增強歸因”項目，旨在開發(fā)利用商業(yè)和公共數(shù)據(jù)源進行信息確認的新方法，通過分析網(wǎng)絡攻擊行為及其使用的軟件識別惡意網(wǎng)絡運營商。隨著歸因技術的發(fā)展，該項目會為網(wǎng)絡管控能力提供新功能，如為攻擊者的網(wǎng)絡行為提供標識和預警。

　　四、結束語

　　DARPA作為美國創(chuàng)新技術發(fā)展的引領者，其近期研究項目代表了技術發(fā)展熱點，持續(xù)關注經(jīng)費投入及項目布局情況可達到對技術發(fā)展動向的實時洞察，并在此基礎上進一步分析其技術路線和方案，為我國發(fā)展提供參考和借鑒。

　　網(wǎng)絡安全正在成為影響國民經(jīng)濟發(fā)展的重要因素，并且不斷向民生、政治、經(jīng)濟、文化等各個層面滲透。我國在建設網(wǎng)絡強國的道路上首先就是要加強網(wǎng)絡安全，掌握關鍵核心技術至關重要。因此，我國一方面要合理布局新興技術，特別關注新興技術的交叉融合所帶來的新的安全威脅和機遇，例如人工智能與網(wǎng)絡安全的融合、物聯(lián)網(wǎng)安全以及5G安全問題等；另一方面，學習DARPA的軍民融合發(fā)展模式，在網(wǎng)絡安全領域加強政產學研用的協(xié)調合作，打造多維生態(tài)合作，加強網(wǎng)絡安全人才培養(yǎng)體系建設，推動網(wǎng)絡安全產業(yè)高端集聚發(fā)展。