2.4.4　监控与评估欺骗的使用

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一2.4.4　监控与评估欺骗的使用,识别和监控反馈通道是任何欺骗操作/组件成功的关键。Hesketh讨论了如何知道一个欺骗是否成功的3类信号[60]：

1）目标在错误的时间和/或地点做出响应。2）目标以浪费自己资源的方式做出响应。3）目标响应延迟或停止响应。防御者需要监视在欺骗框架步骤5中识别的所有反馈通道。我们注意到，任何欺骗组件的使用通常都会有3个一般性的输出。恶意敌手可能会①相信它，防御者通常会看到的欺骗成功的3个标志中的一个，②怀疑它，③不相信它。当攻击者怀疑一个欺骗性的组件被使用时，我们应该做出是否增加欺骗的级别或停止欺骗以避免暴露的决定，通常会通过提供更多的（也许真实的）信息让欺骗性的故事更合理而使得欺骗得以增强。这可以包含在欺骗框架中的一个反馈回路中。防御者应该分析这一观测报告以审查攻击者的偏见（即步骤3）以及由此创建欺骗的方法（即步骤4）。此外，在攻击过程中欺骗者可能会采用基于与攻击者交互的多级欺骗。当一个攻击者不相信防御者提出的欺骗，则需要有一个积极的监测和详细的行动计划。这在欺骗框架中应该是策划欺骗的第六步，然后再进行风险评估。此外，在与安全从业者的讨论中，许多人表示，一些攻击者在意识到他们被欺骗时，往往会开展攻击性的行动。这可以作为监测阶段测量攻击者对欺骗组件的反应的信号之一。同时，这种行为也可以作为供其他欺骗性机制参考的偏见，这些机制可能侧重于欺骗攻击者对系统损害的评估。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一2.4.4　监控与评估欺骗的使用