D&D矩阵在网络安全中的应用

原创于 2025-10-20 09:49:05 发布 · 634 阅读

CC 4.0 BY-SA版权

文章标签：

第2章连接经典D&D与网络安全领域

欺骗之所以有效，是因为它有助于实现以下四个安全目标中的任何一个或全部：
• 注意力—对手的注意力可以从真实资产转移到虚假资产上。
• 精力—对手宝贵的时间和精力可以在虚假目标上被浪费。
• 不确定性—可对所发现漏洞的真实性制造不确定性。
• 分析—可为对手行为的实时安全分析提供依据。

爱德华·阿莫罗索 (2011) 网络攻击：保护国家基础设施马萨诸塞区伯灵顿：爱思唯尔。

本章采用一种名为D&D方法矩阵的传统框架，作为描述物理世界中D& D基本原理的基础，将D&D矩阵扩展到网络安全领域，并概述了一系列在网络安全背景下应用D&D的技术。这些描述可与附录A中的网络D&D战术、技术和程序分类法相结合，以指导理解D&D在网络空间中的应用方式。我们探讨了规划和执行成功的防御性网络D&D行动所需的组织需求，并介绍了与D&D方法矩阵各个象限相关的物理和虚拟D&D战术。

2.1 经典D&D

欺骗在战争、外交和政治中已被证明有用（博德默等人2012；罗威和罗斯坦2004；惠利2007a），主要原因有四点。首先，欺骗可以转移侵略者的注意力，使其偏离实际目标和资源，从而增加欺骗使用者的行动自由。其次，欺骗可能导致对手采取有利于防御者的行动方案。第三，欺骗可以帮助防御者在对手面前获得出其不意的优势。最后，欺骗可能保护实际资源免遭破坏。

欺骗从根本上说是心理的。我们可以将一个行为体（欺骗者）的欺骗行为视为对另一个行为体（目标）的行为产生影响。欺骗应具有明确的目的：即欺骗者对目标实施欺骗，使目标以有利于欺骗者的方式行动。这是欺骗者的欺骗目标；而目标的行动则是欺骗者期望的欺骗效果。因此，尽管欺骗概念和计划的构成要素是心理的，但执行这些计划所产生的后果却是欺骗者与目标所采取的物理行为和反应。

两种基本的欺骗方法在心理状态与物理行为之间建立了这种因果关系。否认代表欺骗者采取的主动阻止目标感知信息和刺激的行为；换句话说，使用隐藏技术使目标对真实与非真实产生模糊性。欺骗指欺骗者提供误导性信息和刺激，以主动形成并强化目标的感知、认知和信念。这会在目标心中产生一种错误的确信，使其对真实与非真实做出确定、自信并准备行动的判断——但却是错误的。

这些D&D方法所针对的对象，如表2.1所示，是通过欺骗方法被揭示或通过否认方法被隐藏的事实与虚构内容。这些事实与虚构内容可以是信息或物理实体。“非关键友好信息”（NEFI）指的是欺骗者向目标披露的事实。防御方网络欺骗与隐瞒团队必须保护的事实性信息称为“关键友好信息要素”（EEFI），而防御方网络欺骗与隐瞒团队必须向欺骗目标展示的关键虚构内容称为“关键欺骗性信息要素”（EEDI）。最后，欺骗者必须对目标隐藏的虚构内容被称为“不可披露的欺骗性信息”（NDDI）。

经典D&D文献关注表格中的阴影象限，即通过模拟来揭示虚构信息，以及通过掩饰来隐瞒事实。另外两个象限——揭示事实和隐藏虚构信息——对于一次成功的欺骗与隐瞒行动同样重要。与模拟和掩饰一样，一次有效的欺骗与隐瞒行动会使目标感知并接受被揭示的事实，同时未能察觉欺骗者所隐藏的虚构信息。

表2.1 欺骗与否认方法矩阵

欺骗对象	D&D方法欺骗：误导（M）类型揭示方法	D&D方法否认：模糊性（A）型方法隐藏
事实	揭示事实：NEFI •向目标揭示真实信息 •揭示真实的物理实体，事件或过程给目标	隐瞒事实（掩饰）：EEFI •向目标隐瞒真实信息 •向目标隐瞒真实的物理实体、事件或过程
虚构	揭示虚构（模拟）：EEDI •向目标揭示信息已知不真实 •向目标物理的揭示实体、事件或过程已知为不真实	隐瞒虚构：NDDI •对目标信息进行隐藏已知为不真实 •对目标物理实体进行隐蔽，已知不真实的事件或过程

Source：改编自贝内特和沃尔茨（2007）

2.1.1 揭示事实

表格的左上象限展示了通过揭示选定事实（即NEFI）来进行欺骗（也称为误导或M型方法）。鉴于这些事实是可验证的，欺骗者必须仔细编辑和定制这些事实，以便利用它们来构建并强化向目标呈现的欺骗故事。目标应相信并接受欺骗者所揭示的事实、物理实体、事件和过程，但这些内容必须经过精心设计，以引导目标偏离对整体真相的感知与理解。欺骗者还可以通过诋毁真相的方式来影响目标，使其不相信或拒绝接受事实：即以某种方式向目标揭示关于真相的事实，导致目标质疑这些事实的真实性，并进而否认真相。

2.1.2 揭示虚构信息—模拟

阴影覆盖的左下象限显示了被揭示的虚构内容——EEDI，也称为模拟。这是制造虚假认知的基础。为了让被揭示的虚构内容成功欺骗目标，这些虚构内容必须“建立在先前真相的坚实基础之上”（马斯特曼 2000）。也就是说，当左上象限中显示的某些事实需要用来支持防御者的模拟时，目标必须至少相信其中的部分被揭示的事实。

在当前语境下，模拟指的是欺骗者故意编造、揭示并利用其明知不真实的信息、物理实体、事件或过程。信息类虚构内容包括虚假信息（即传播虚假或误导性信息）、搪塞欺骗（即揭示表面上支持虚构事实的真相1）以及说谎（即故意传递已知的不真实内容）。为了增强虚假信息、搪塞欺骗和谎言的可信度，欺骗者可以通过同时传播事实的通信渠道来散布这些信息，例如包含NEFI的新闻稿、白皮书或媒体机构。此外，欺骗者还可通过多种方式向目标展示物理类虚构内容，例如使用设备或人员的诱饵、干扰（如佯动、示威行动）、伪造品、替身和模型。在人际交流过程中，还可以通过呈现虚假面部表情、肢体语言和语音线索来模拟心理状态（如情绪、情感）。

一个此前被列为机密的间谍案件，最近被改编成电影《逃离德黑兰》，2 很好地说明了如何揭示建立在坚实真相基础之上的虚构故事。一组中央情报局专家制定了一项计划，用于将六名在美国驻伊朗德黑兰大使馆于1979年被占领期间逃离的美国国务院雇员从伊朗秘密撤离，这些雇员当时是位于德黑兰的加拿大大使馆的 “住客”。此次撤离行动的掩护故事是：这些雇员属于一部好莱坞科幻电影《逃离德黑兰》摄制组的前期勘景小组。为了确保掩护故事的可信度，该团队将实际的欺骗操作要素与真实的好莱坞业务过程交织在一起：包括前期勘景小组中涉及人员的数量和角色、为虚假制片公司设立配备可用电话的实体办公室、在最受欢迎的好莱坞行业期刊上发布制片厂新闻报道、使用真实的电影剧本作为道具、伪造的制作资料集，以及为这些住客及其中情局护送人员定制符合惯例的“好莱坞风格”着装等。该行动实现了欺骗与掩饰成功；六名住客成功从伊朗被秘密撤离，而在美国，这个虚假制片公司在撤离行动结束数周后才被解散，在此之前已收到了26份新的剧本（其中包括史蒂文·斯皮尔伯格提交的一份）。

2.1.3 隐瞒事实—掩饰

表 2.1 右上角阴影部分展示了否认，也称为模糊性或A类方法，用于隐藏 EEFI。在此情况下，欺骗者隐瞒真相，从而向目标实施否认。掩饰，即隐藏真实，涉及将真实信息、物理实体、事件或过程对目标进行隐藏。正如揭示事实是揭示虚构情节的基础，隐藏虚构信息则是掩盖事实的基础。例如，一名双重间谍应揭示大量事实，同时也透露少数其控制方希望诱使对手相信的欺骗性虚构情节。同样重要的是，该双重间谍应暗示某些被隐藏和被隐藏的虚构信息，仿佛它们是隐秘的事实。一个“知晓并透露一切”的间谍显得过于完美而不真实；因此，为了显得可信，双重间谍必须同时隐藏部分事实和部分虚构信息，使对手不得不努力获取这些内容，而这些努力很可能会通过双重间谍所属控制组织所管理的其他欺骗渠道进行。诱使对手耗费精力去拼凑这些被隐藏的虚构信息，是欺骗者可用来向对手“兜售”欺骗性虚构情节的一种手段。

温斯顿·丘吉尔曾说：“在战争时期，真相如此珍贵，必须由一队谎言护卫其左右。” 真相也可以通过保密来隐藏，从而拒绝让目标获取欺骗者最关键的真相，例如真实意图、能力、时间线，以及当然的，欺骗与迷惑计划本身。信息可以通过技术手段如隐写术、密码学以及用于隐藏真实网络环境的蜜罐、网络、令牌和客户端来保持秘密。物理实体、事件和过程则可通过伪装、隐蔽和安全设施等方法加以保密。与模拟类似，在人际交流中展示虚假面部表情、肢体语言和语音线索，可以防止目标识别出真实的心理状态。

作为隐蔽的一个例子，1962年，苏联人必须为其在古巴部署弹道导弹、中程轰炸机和一个机械化步兵师的计划制定一个掩护故事。作战安全（ OPSEC）最大限度地减少了参与规划该行动的高级文职和军事官员的数量；然而，为了执行该行动，这些规划人员必须对苏联和外国公民误导设备和部队的目的地。作为该行动的代号，苏联总参谋部使用了阿纳德尔——这是流入白令海的一条河流的名称，也是楚科奇自治区首府的名称，同时还是该地区一个轰炸机基地的名称。为了支持代号的假象，被部署到古巴的部队仅被告知他们将前往一个寒冷地区，并配备了包括滑雪板、毡靴和带毛衬里的派克大衣在内的冬季装备和“服装”。3 对于需要了解气候特征的人员，例如导弹工程师，则告诉他们正将洲际弹道导弹运往位于北极的新地岛上的某个地点，新地岛是一个历史上曾用于核武器试验的大岛。4 阿纳德尔否认策略非常成功，甚至欺骗了被派往古巴的高级苏联军官。一位将军曾问参与规划该行动的苏联总参谋部高级成员阿纳托利·格里布科夫将军，为何提供了冬季装备和衣物。格里布科夫回答说：“之所以叫阿纳德尔是有原因的。如果我们把任何热带服装放进你们的装备包里，就可能暴露整个行动。”5

2.1.4 隐藏虚构

表2.1的右下象限展示了隐藏虚构信息，即NDDI：也就是说，欺骗者将自己知道不真实的信息、物理实体、事件或过程从目标中隐藏起来。这是矩阵中最不直观的一个象限。为了说明隐藏虚构信息的概念，班尼特和沃尔茨（ 2007）举了“舆论操控者”言论的例子，这些言论以包含多重解释。此类陈述使舆论操控者能够采用策略，要么避免暴露自己在说谎，要么避免暴露其行动是一场骗局。在前一种策略中，舆论操控者通过压制谎言来否认虚构内容；在后一种策略中，则通过限制可能揭露骗局的信息来实现。

欺骗者通过向目标隐藏某些已知的虚构内容，从而支持自身的龙与地下城计划而获益。这种隐蔽应激起目标的兴趣，并使其注意力集中于拼凑欺骗者信息中缺失的部分。例如，欺骗者可能安排一名双重间谍向目标传递欺骗性信息（如真实但无害的事实与支持欺骗者欺骗意图的欺骗性信息和虚构内容的混合），同时对目标隐藏该间谍实际上为欺骗者效力这一EEFI。该间谍的通信应暗示但不透露其他符合欺骗者欺骗意图的虚构内容，促使目标主动收集并填补这些缺失的部分。当目标努力拼合这些拼图时，欺骗者便通过其他受控欺骗渠道持续提供信息。各部分逐渐就位，最终目标拼出了欺骗策划者希望其看到并相信的画面。

一个隐藏虚构信息的真实案例来自二十世纪初的战争。G·F·R·亨德森上校在南非战争期间担任英国情报主管（霍尔特 2007）。在此任务中，罗伯茨元帅计划采用传统的佯攻战术解除金伯利围城战。亨德森的任务是通过让布尔人持续关注罗伯茨佯攻的位置，同时隐瞒罗伯茨实际计划攻击的地点，从而欺骗敌人。为了迷惑和误导敌人，亨德森公开发布了虚假命令（即模拟），随后又用密码将其取消（即隐藏虚构信息）。亨德森的龙与地下城策略成功了：布尔人的注意力始终集中在佯攻上，未能察觉罗伯茨的实际行动，最终金伯利围城战得以解除。

同样，在第二次世界大战期间，英国人认为伪装不仅意味着隐藏真实，还包括展示假目标，且要使其“虚假性”被隐藏。6 美国第23特别作战总部部队7 紧随其后，采用了错误的伪装方式——即设计用来吸引注意力到假目标上的伪装。他们通过让假目标看起来足够真实而值得被隐藏，从而将假目标隐藏起来。通过这种方式，他们试图通过改变对手的认知来说服敌人做出决策：事物并非它们表面所呈现的那样。

例如，在1944年夏天，第23部队被指派执行首次大规模行动“象行动”，地点位于名为圣洛的城镇，当时盟军正在集结部队准备诺曼底战役。尽管“象行动”对第23部队来说是一场灾难，但这支部队从中吸取了许多宝贵的经验教训。8 如果他们对设备进行伪装，例如就像坦克一样，如果伪装得太好，敌人会认为那里根本没有东西；如果伪装过于显眼，敌人又会怀疑这是一个骗局。第23部队发现了一种妥协方案：他们模仿真实坦克兵在夜间驶入“营地”时所犯的错误。这些错误包括让炮管的一部分露在網外，将汽油罐暴露在外以在晨光下闪出暴露性反光，引起敌方观察员注意，将网罩搭得过于松散以致坦克轮廓明显，以及在“坦克”周围的植被中留下空隙。

2.1.5 欺骗动态

如本章迄今为止所展示的，隐真与示假是相辅相成的。欺骗者使用否认来通过隐藏真实的方式防止EEFI被检测到，展示虚假，以诱导产生错误认知。欺骗者通过制造诡计来隐藏和展示，从而构建一个假象。如欺骗与否认方法矩阵所示，欺骗者还必须隐藏虚假，即NDDI，以保护D&D计划，并展示真实，即NEFI，以增强D&D的掩护故事。欺骗是一个高度动态的过程，规划人员在欺骗行动中将受益于来自多个象限技术的相互配合。表2.2在表2.1的欺骗与否认方法矩阵基础上，从较高层次上列出了一些D&D方法。

一些历史实例说明了这些欺骗动态。例如，在埃尔斯博恩行动期间，第23部队的任务是让敌人相信第4步兵师位于前线后方于本和马尔梅迪之间的比利时军队休整营——埃尔斯博恩军营。10 在该行动开始前一周，第23部队负责处理第4部队所有的实际无线电通信，当时第4部队仍在前线某个区域驻守。当第4步兵师作为增援部队开赴许特根森林时，第23部队的无线电操作员继续使用虚假消息进行无线电通信，暗示第4部队正在埃尔斯博恩进行休息与休整（R&R）。第23部队还与此前一周曾在埃尔斯博恩驻扎的第9步兵师的通信操作员协调，组织了一场为期3天的无线电演习。当第23部队抵达埃尔斯博恩后，他们以所谓“演习”的名义继续进行广播，这为他们持续在空中通信提供了借口，并当第23部队本应因第四师的休息与恢复而保持沉默时，却传播了虚假信息。因此，第23部队实施了一次假中之假的行动。

很多时候，第23部队使用了魔术师的“牵引”技巧：让观众去看那只灵巧挥动的右手（即展示虚假），而老练的左手执行了把戏（即隐藏真实）。他们会展示出盟军集结和力量规模，而实际上这些并不存在。相反，第23部队伪装成已隐蔽且静默转移至另一关键攻击位置的部队。当德国人忙于关注甚至有时与第23部队张扬的右手交战时，他们在诡异的左翼被麻痹大意，那里突然暴露出盟军进攻，而这些部队本被认为位于其他地方。

胡安·普霍尔，这位在第二次世界大战期间被英国赋予代号“加尔博”的双重间谍，被誉为“史上最成功的双重间谍”。11 加尔博不仅进行模拟和伪装，他还揭示事实并隐藏虚构。第二次世界大战爆发时，普霍尔决定要为英国从事间谍工作。“我必须做点什么，”他对自己说，“要做些实际的事；我要为人类的福祉做出自己的贡献。”普霍尔认为希特勒是“一个精神病态者”，因此他必须支持盟军。“我想为他们工作，向他们提供对盟军事业在政治或军事上有价值的机密信息。”1941年1月，这位29岁的加泰罗尼亚人前往马德里的英国大使馆，提出愿为英国刺探德国情报。然而，大使馆断然拒绝了普霍尔的提议。

普霍尔随后尝试接触德国人，假装自己是一名热衷于法西斯主义、愿意对英国进行间谍活动的间谍——希望一旦被纳粹招募，他就能反过来背叛他们。德国人告诉他他们“非常忙碌”；然后，主要是为了摆脱他，德国人表示如果他能经由里斯本前往英国，或许可以利用他。普霍尔的德国情报机构联络官屈伦塔尔正式为普霍尔配备了隐形墨水、现金以及代号“阿伦贝尔特工”。到达里斯本后，普霍尔再次联系了英国人，但又一次被拒绝。普霍尔陷入了困境，因为他需要尽快向德国人发送情报。1941年7月19日，他向屈伦塔尔发送了一封电报，宣称自己已安全抵达英国[Reveal fiction] ，尽管他仍身处葡萄牙[Conceal fact] 。由于无法从任何一方获取真实情报的机会，普霍尔决定借助里斯本公共图书馆、二手书以及从新闻片中所能收集到的任何信息来捏造情报。他在里斯本停留了9个月，持续捏造他认为他的纳粹间谍头目希望听到的内容[Reveal fact; Reveal fiction]。

在里斯本，普霍尔继续纠缠英国人，要求被他们招募。尽管他提供了证据，表明自己已受雇于德国人，但仍屡次遭到拒绝。普霍尔转而联系了在里斯本的美国海军武官，该武官随即联系了英国大使馆的同行，后者最终（但非常缓慢地）向伦敦发送了一份报告。最后，英国军情六处意识到，那个向德国人发送虚假信息的德国特工，正是那位曾在里斯本多次接触他们的西班牙人胡安·普霍尔·加西亚。

现在为英国军情五处工作的加尔博向他的德国联络人发送了重要且真实的信息，但精心安排消息的发送时间，使其到达时对德国人来说已经太晚而无法发挥作用 [揭示事实]。普霍尔的英国控制人员想知道德国人可能会忽视他们的特工其实是“很少或从不说不真实的话，但同样也从不说任何新鲜事”的人。在德国人看来，加尔博未能及时提供高价值信息并不是他的过错[Conceal fact] 而是他们自己的问题；而他越是尝试[Reveal fact] 却失败[Conceal fact], ，他们就越喜爱他。

加尔博职业生涯中的另一个有趣转折是一个典型的隐藏虚构信息案例。罗杰·赫斯科特12 在战争期间曾担任盟军远征军最高司令部欺骗部门的成员，他对复杂故事模拟的复杂性提供了进一步的见解：创造有趣但灵活的故事元素，这些元素可能在未来尚未确定的欺骗行动中发挥作用。通过特殊手段及其他欺骗行动，盟军构建了多个可用于未来的掩护故事背景。对于加尔博，欺骗策划者设计了一个谜团：发生在奇尔特恩著名洞穴中的神秘秘密活动，这些洞穴自第一次世界大战以来就为德国人所熟知。英国人向加尔博透露了部分这一谜团（但并未透露完整故事），加尔博则利用这些信息来戏弄和引诱他的德国欺骗目标。加尔博及其假想下属特工和网络传递了以下信息：

⋯⋯一个关于奇尔特恩洞穴的相当神秘的故事⋯⋯数月来，加尔博一直在暗示这些洞穴中发生的奇怪事件[加尔博的一名下属特工在奇尔特恩洞穴工作，另一人则是洞穴的守卫] ，而这些洞穴以某种方式与即将到来的入侵有关[ Conceal fiction ]......

德国人认真对待加尔博关于奇尔特恩洞穴的报告，即使他们的兴趣有时带有怀疑。当入侵真正发生时，并没有合适的机会来利用这个故事，而⋯⋯德国人最终被告知，这些洞穴被用来为马基斯 [法国地下抵抗组织] 储存武器。[classic blow-off for cooling out the mark]

加尔博向德国人传达了一个谜团的片段，甚至连他自己都不知道整个故事的全貌。计划Bodega是一个

…完全虚构的开发，旨在为开辟第二战场做准备，包括在伦敦地区建立一个拥有地下隧道网络的巨大地下仓库，以及向机场和防空设施分发武器弹药。⋯⋯该计划（Bodega计划）的筹备工作后来可能被用于与“Overlord”行动相结合实施欺骗目的，但实际上并未加以利用。13

第2章连接经典D&D与网络安全领域

2.2 将龙与地下城转化为网络安全

经典D&D技术可以扩展到网络安全领域。可能需要将物理世界中的D&D技术“翻译”到虚拟世界中。表2.3在进一步构建网络攻防方法矩阵的基础上，通过列出一组高层次的网络防御与破坏技术（两个或更多战术），根据它们是事实还是虚构，以及是通过欺骗方法揭示还是通过拒绝方法隐藏来组织。这种战术的“包装”可能是用于CD目的的复杂欺骗能力的一个指标。

图 2.1 和 2.2 分别是进攻性和防御性战术、技术和程序（TTPs）的维恩图。该分类反映了特定TTP通常揭示或隐藏事实或虚构，或其某种组合。这些图表说明，在使用D&D方面，优势明显在攻击者一方，因为进攻性D&D TTPs的数量极为庞大。此外，与表 2.2 中反映的方法相比，图 2.1 中所示的大多数进攻性网络防御与破坏TTPs位于模拟‐反模拟轴上。这表明存在潜在的机会空间，可用于沿另一轴线设计揭示事实并隐藏虚构的新TTPs。附录A包含进一步的分析，并提出了完整的网络欺骗与否认分类体系：即所有这些进攻性和防御性网络防御与破坏TTPs的综合列表，14 根据D&D方法矩阵进行分类。

这些图表并未展示所有可能的网络防御与破坏战术、技术和程序，部分原因在于这些战术、技术和程序缺乏易于识别的命名规范，这可能是由于网络防御与破坏领域尚不成熟所致。15 此外，考虑到不断演变的

14 攻击性战术、技术和程序（TTP）条目包括 financially motivated actor 以及 espionage‐motivated actor 使用这些技术的示例。防御性 TTP 条目则包含针对 financially motivated actor 和 targeted espionage actor 进行对抗的应用示例。15 正如 Stech 等人在 2011 年发表的论文《网络空间中的欺骗、反欺骗与欺骗检测科学计量学》中所示，缺乏一套清晰的常规术语表明该领域尚不成熟。

表2.3 欺骗与否认方法矩阵与网络防御与破坏技术

欺骗对象	D&D方法欺骗：M类方法：揭示	D&D方法否认：A类方法：隐藏
事实	揭示事实：NEFI •发布真实网络信息 •允许披露真实文件 •揭示技术欺骗能力 •揭示误导性妥协细节 •选择性修复入侵	隐瞒事实（掩饰）：EEFI •拒绝访问系统资源 •使用隐蔽方法隐藏软件 •重新路由网络流量 •静默拦截网络流量
虚构信息	揭示虚构（模拟）：EEDI •歪曲软件意图 •修改网络流量 •暴露虚构系统 •允许泄露虚构信息	隐瞒虚构：NDDI •在蜜罐上隐藏模拟信息 •将欺骗性安全操作保密秘密 •允许部分枚举虚构信息文件

Source：改编自贝内特和沃尔茨（2007)

图2.1 进攻性网络防御与攻击战术

图2.2 防御性网络防御与攻击战术

由于计算机网络、技术和软件的性质，这些战术、技术和程序（TTPs）也必然随之演变，其中一些变得过时，一些被调整，还有一些新的被创造出来。因此，这些图表的有效性具有一个动态的时间窗口。

2.3 在网络安全中使用龙与地下城

在防御性计算机安全欺骗操作中，尤尔16 指出，网络龙与地下城补充了其他网络安全方法：

经过多年的研发，计算机安全仍然是一项容易出错的任务，在某些方面甚至可能是一场难以取胜的战斗。计算机安全长期存在的问题需要全新的方法。欺骗与传统安全的工作方式有着根本性的不同。传统安全通常直接应对黑客的行动，例如阻止或检测这些行动。而欺骗则通过影响黑客的思维，使其采取对防御者有利的行为。由于其本质上的差异，欺骗可以在传统安全薄弱的地方发挥强大作用。

本节按照D&D方法矩阵的四个象限组织，详细阐述了表2.3中提出的每一项高级网络防御与破坏技术。每个小节建议了一些在网络安全中实施龙与地下城的潜在方法，特别是在欺骗行动背景下用于事件响应。

2.3.1 揭示事实

向对手揭示事实可能是检测恶意行为者的一种有效方法。通过发布有限的真实信息 1 7 关于其网络、人员和任务的信息，防御者可以选择性地吸引注意力，或降低攻击者对防御性网络监控的敏感度（贝内特和沃尔茨 2007）。例如，防御者的欺骗战术可能包括通过公司博客或公共邮件列表公布员工将参加即将举行的会议的情况。采用针对性社会工程的恶意行为者可能会根据新情境调整其战术；例如，发送给员工的消息可能声称是跟进会议中的某个环节。由此产生的信息可作为区分鱼叉式网络钓鱼尝试与非针对性恶意电子邮件的标记。

防御者可能会通过暴露其欺骗能力，使其对手不再相信从以往入侵中获取的信息。防御者可以构建一个与组织的实际环境几乎完全相同的虚拟蜜罐环境，其中用户名、电子邮件账户、软件注册信息和服务器名称均准确反映真实配置。如果他们发现重复后，恶意行为者可能会怀疑在之前和未来的入侵中所找到数据的真实性，并在与所谓的受感染系统交互时变得警惕。sophisticated规划人员将此类欺骗能力特征集成到其生产网络中，以便在真正发生妥协时进一步制造疑虑。

恶意行为者侵入网络以获取敏感信息。一种泄露渠道是在虚拟蜜罐内部启动攻击者植入物。通过在欺骗环境中植入已公开发布、先前已被攻破或包含非敏感信息的真实文档，该环境在有限风险下向目标组织呈现出真实感。如果入侵尝试是由钓鱼邮件发起的，则原始消息及其在目标用户账户中的存在也作为对手成功的确认证据。

规划人员必须从多个影响维度来考虑欺骗策略。例如，有关入侵的公开性可能会损害组织的公众形象和地位。通过适当的强调，组织可以揭示这种看似薄弱的环节，以凸显其强大的安全计划，从而阻止进一步的入侵尝试。使用“内部安全专家团队正在例行调查网络被入侵的未经证实的说法”等误导性措辞，会增加入侵者行动的紧迫性。成功的披露会鼓励入侵者暴露其操作方法和支持手段，例如植入物、用于后续入侵和枚举的工具，以及命令与控制（C2）跳转点——如果入侵者认为自己有更充足的时间执行任务，他们可能会保留这些信息。当欺骗者了解对手的开源情报收集能力时，这种战术最为有效。

类似地，但更为直接的是，公开但不完整的补救措施可以加快入侵者的行动速度。在事件响应过程中，网络防御者以协调方式隔离并清理受感染的机器。18初步遏制后，安全人员可移除部分入侵者访问权限，同时保留某些部分，以便恶意行为者发现补救活动。该战术促使对手在试图重新建立“补救后”环境中的立足点时，暴露出更多的战术、技术和程序。

2.3.2 隐瞒事实

任何一方都可以隐瞒事实以在计算机网络入侵过程中获得优势。普通的访问控制策略——即资源拒绝的形式化表达——及其实施构成了长期存在的第一道网络安全防线。防火墙、服务代理、电子邮件过滤、基于角色的账户分配和协议加密会在系统遭到妥协时，向合法的网络用户拒绝所有资源。

对手可能会通过流量洪泛或大量失败的访问尝试来制造拒绝服务（ DoS）条件，作为其任务的部分完成。更具隐蔽性的入侵可能通过破坏工业控制系统，使物理资源无法访问。

在较低级别上，恶意软件可以拦截异常检测和其他警告信息，阻止它们到达处理这些信息的资源。例如，隐身方法可以通过修改内核数据结构来向安全软件隐藏恶意软件的存在，从而防止其出现在进程、服务和设备列表中。恶意代码通常会混淆其控制流和数据流依赖关系，以在植入物被发现后阻碍分析。加密或隐写术可能用于隐藏针对受感染机器的命令流量，使防御者无法意识到他们的信息正在被窃取。

防御者还受益于用于隐藏安全软件服务的软件隐身技术，例如主机活动传感器、防病毒软件和数据丢失防护客户端。其他防御性否认战术包括加密文档以防止知识产权泄露，以及禁用常被滥用的系统命令（如“dsquery” 或“netcat”），以阻止恶意行为者使用。虽然这并不能阻止行为者将功能相当的工具传输到受害者系统，但会迫使攻击者在此过程中承担更大风险。

代理和匿名化服务重新路由流量以隐藏机器的源地址。例如，Tor网络通过一系列机器路由加密数据。作为防御措施，许多组织直接屏蔽最后一跳机器的公开列表。威胁行为者通常为其命令与控制（C2）使用更临时的ad hoc代理网络，将受感染系统与分布式虚拟托管服务相结合。以这种方式通过其他机器路由流量，使得网络防御者更难有效过滤和调查恶意活动，特别是当主机跨越多个所有者和司法管辖区时。

重新路由敌对流量构成了主动防御技术的基础。诸如“Sinkholing（域名重定向）”之类的防御措施会将已知的恶意域名系统（DNS）请求引导至不存在的互联网协议（IP）地址，或引导至内部传感器。更积极的应对措施则会将恶意行为者引导至蜜罐系统。19 防御者还可以选择以虚构的理由执行系统关闭或注销操作，以此威慑恶意行为者。如果攻击者似乎即将发现他们身处骗局环境，这种直接的响应可能是禁用恶意访问计划的一部分。随着响应变得更加主动，此类战术更倾向于通过揭示虚构来替代掩盖事实。

使用代理来控制对互联网访问的组织对外部资源请求具有审查结构。传统系统会拒绝访问不可信主机，但主动防御者可能会允许此类连接，同时加强监控，但拒绝向可疑主机提供关键资源。一些企业尝试通过颁发自己的受信任证书，在加密的网站连接上实施中间人拦截。尽管这种做法可能引发隐私问题，但其优势在于能够检测使用安全套接层/传输层安全性（SSL/TLS）进行通信的恶意软件——鉴于最近在所谓安全系统中出现的Heartbleed漏洞事件，这一点尤为重要。

2.3.3 揭示虚构信息

Trend Micro reports that malware most commonly infects machines as a result of users’ installing software from the Internet or opening malicious email attach-ments.2 0 This f inding underlies the defensive practices of network security opera-tions centers that make large investments in Internet content and email f iltering. Most users would not knowingly compromise their organization’s network, 21 so malicious actors commonly lie to gain and preserve footholds in protected net- works. Attackers can misrepresent the intent of software and media in order to install malware, for example by using fake antivirus programs,2 2 Trojanized soft-ware in third-party application markets,2 3 and pornography sites.2 4 Phishing offers another instance of overt f iction intended to mislead users into opening documents that install malware. Malicious actors abuse webpage layout engines to simulate user interface elements that can trick victims into interacting with malicious con-tent. In one notable example from 2012, the Flame malware used a control panel interface that resembles an innocuous web administration panel, presumably to evade discovery by suspicious system administrators.2 5

尽管防御者可以重新路由本地DNS查询以拒绝访问恶意资源，但对手的一种强大战术是使用攻击者控制的IP地址污染DNS响应。在篡改记录后，对手会伪造用户期望访问的网站或服务，以利用用户对目标站点的信任。其常见目的包括收集用户的登录凭据，或推送利用访问系统漏洞的内容，从而植入恶意程序。

除了劫持域名外，恶意操作者还可以被动监控流量，以攻击实施不当的认证系统。26 此会话劫持利用了超文本传输协议（HTTP）的无状态特性通过针对网站创建会话所使用的认证Cookie。攻击者在获取认证Cookie后，可以重放这些Cookie以冒充已通过身份验证的合法用户。

防御方任务还可以通过呈现选定的虚构场景获益。恶意软件与其他软件一样，源自其开发人员随着时间推移不断修改以适应其目标的代码库。 Zeus、Poison Ivy 和 Gh0st RAT 是广为人知的远程访问工具（即 RAT）公开示例，威胁专家（例如 Mandiant 2013）列举了数十种其他此类工具。一旦防御组织对 RAT 带来的威胁进行分类，便可分析这些工具在其高优先级行动中用于植入物的命令与控制协议（C2 协议）。该分析有助于开发协议解析器、修改器以及由防御方控制的兼容植入程序。这些技术共同作用，能够拦截和修改网络流量，使攻击者获得关于所谓受感染系统的欺骗性视图。模拟植入程序提供基本功能，如文件列表和远程shell执行，但禁止难以模拟的操作，例如文件上传或屏幕截图。不支持的命令可能会因网络超时而静默失败，需要极长时间才能完成，或看似被策略阻止。

更一般地说，由于蜜罐的主要目的是易受攻击，防御者可以利用蜜罐通过呈现一个完全虚假的系统来欺骗试图入侵者。蜜罐分为两类：被动响应恶意行为者的低交互蜜罐，以及为了获得最佳效果需要进行维护和管理的高交互蜜罐。与模拟植入程序类似，低交互蜜罐是对系统的浅层模拟，能够看似合理地响应尝试性攻击。蜜罐可以在节点上模拟一项服务；例如，Kippo 充当安全外壳协议（SSH）监听器，收集暴力破解攻击，并允许与一个轻量级文件系统进行基本交互。27 蜜罐系统不会在 23 端口托管真实的 SSH 服务器，而是使用 Kippo 进行监听，为入侵者提供一个看似可攻击的机会。

另一种方法称为泥潭技术，它通过在生产网络中未分配的IP地址上模拟节点来实现。LaBrea以洛杉矶著名的沥青坑命名，是针对红色代码蠕虫（ Haig 2002）在14小时内快速感染339,000台机器问题提出的一种解决方案。其理念是通过在未分配的IP地址空间中呈现虚构的机器，使蠕虫能够在所有端口上建立传输控制协议（TCP）连接，但随后超时，从而减缓红色代码蠕虫的扫描速度。这种方法使红色代码蠕虫因等待TCP响应而占用其逻辑处理能力，无法继续感染新机器。LaBrea的超时响应对企业运营影响极小，因为生产流量仅涉及合法机器，不会触及未分配的IP地址空间。

低交互蜜罐的优势包括灵活部署，以及能够在不危及真实机器安全的情况下收集恶意行为者的信息。这些蜜罐已被证明对依赖自动化利用脚本但不具备发现欺骗性环境技术能力的相对低级的行为者有效。集成低交互蜜罐通过重新分配未使用的IP地址空间来接入生产网络，可使组织能够监控针对其内部网络主机的扫描和攻击尝试。

相比之下，高交互蜜罐提供的模拟层次比仅用于阻止自动化工具的最小化实现服务更深入。这些蜜罐通过提供一系列服务和存在漏洞的机器来欺骗真实对手。成功的部署使网络防御者能够收集恶意行为者在入侵后期阶段行为的数据。例如，honeyd 通过为未分配IP地址的流量提供更深入的响应，扩展了LaBrea的方法（普罗沃斯和霍尔茨2007年）。在节点级别，honeyd 通过对本地和远程过程的交互处理，模拟对三层及以上网络流量的响应——例如运行在80端口的真实HTTP网页服务器，或在23端口运行的Kippo等监听器。除了响应本地网络流量外，honeyd 还通过虚拟路由器模拟任意网络拓扑的遍历，并连接到其他非本地网络。

高交互蜜罐需要网络防御者进行定期监控，防御者应随着时间推移添加诱饵文件，以利用对手不断变化的兴趣。通常情况下，防御者在部署高交互蜜罐之前会创建看似合理的文档、电子邮件和用户活动。这些所谓的蜜罐文档无需完全伪造背景支持，但应对相关对手具有吸引力。通过跟踪蜜罐，组织可发现泄露情况或对手的分发方法。例如，在一次欺骗行动中，若恶意行为者窃取了一份伪造的电子邮件地址列表，这些电子邮件可能会被大规模公开曝光，或被重新用于向虚假用户发送钓鱼信息。诸如pastycake28 或谷歌提醒之类的工具可监控流行的分发站点，以检测“被盗”文档的公开曝光情况，同时组织也可对“被盗”的电子邮件账户进行额外监控。

创建虚构信息（即蜜罐），例如伪造用户账户，需要防御方组织将其添加到电话目录、电子邮件系统和员工域中。组织必须将任何试图与这些账户交互的行为视为高度可疑，并立即展开调查。在生产网络中，可将这些账户加入不具有危险权限的组，并配置登录脚本以防止滥用。作为一种主动防御措施，组织可以为高管或系统管理员等高价值目标使用诱饵电子邮件地址。向外部方披露的电子邮件地址可被监控钓鱼尝试，而不会影响内部通信。最后，向恶意行为者暴露过去的欺骗行为可能会抑制未来的入侵企图，具体效果取决于攻击者对组织整体防御态势的认知。这也可能使行为者质疑过去从该组织网络中获取的任何信息的有效性。高级持续性威胁（APT）会开发欺骗指标，并利用这些指标指导后续的交锋。防御者若将此类特征整合到生产环境中，便可能让真实成功的攻击在对手看来像是落入了蜜罐，从而可能导致对手失去兴趣。

2.3.4 隐蔽虚构信息

大多数拒绝技术可能由于配置错误、未及时打补丁，或因对手已展示出应对措施的某项能力被使用而变得脆弱。防御者应根据对手的标准操作程序（ SOP）调整削弱策略，使攻击者能够发现“隐藏”资源。可行方法包括为账户或加密介质选择中等至弱密码、利用可利用网页获取虚构资源（例如，该网页可能存在SQL [结构化查询语言]注入漏洞），以及部署过时的访问控制技术来保护内部资源。随着对手逐步获取更多“线索”，这些拒绝方法应共同引导敌对行为者将其精力集中于有限价值的资源上。

植入虚构但不可访问的文档可以吸引恶意行为者的交互，同时避免泄露风险。例如，一份声称是计划中的商业收购的文档可能包含伪装成加密文件的随机字节序列。在内部网络中使用此类文件，可以吸引已突破边界安全的恶意内部人员和外部攻击者。可被发现的文件元数据可以增强此类文件的感知价值，例如显示文件由高管或知名工程师创建。

防御者还可以制作使用高度技术性或特定领域语言编写的文档。由于担心检测和文件大小，恶意行为者使用的工具通常无法直接读取文档。诱人的标题和时间戳可能足以促使恶意行为者将这些文件上传到其服务器，从而为防御者提供有关其收集需求和基础设施的宝贵信息。通过在这些文件中植入水印，防御者还可以证明知识产权遭到妥协。

安全受保护的信用卡数据库的所有者可能会选择包含大量虚构的“荧光” 身份和账户号码，这些账户设计上无法使用，但一旦被尝试使用即会报告为欺诈行为；对于物理交易，报告该使用行为并召唤安全人员；对于网络交易，则允许交易进行，同时报告该使用行为并在用户设备上安装隐蔽跟踪和信标软件（例如通过可点击购买链接）。所有这些被隐藏的虚构账户都将受到保护，且仅在被非法获取的情况下才对攻击者生效。

防御者通常希望隐藏欺骗行为以操纵其对手。为此，他们经常配置蜜罐，使其在响应“uptime”或“systeminfo”等系统命令时返回篡改的值，以增强可信度并掩盖环境的欺骗性。为了创建假蜜罐，防御者构建一个真实系统，使其看起来具有蜜罐系统的已知特征。29 为了加强这种伪装，这些系统在以特定方式被查询时，可能表现为明显被隐藏的低交互仿真软件片段。

在政策层面，组织可以选择通过保密计划（贝内特和沃尔茨 2007）来隐藏欺骗能力的存在。与公开披露欺骗行动相比，行动安全的方法使恶意行为者仍对其入侵组织的能力保持信心。安全行动本身具有敏感性，而如果欺骗行动在欺骗策划者未事先知情的情况下被披露，则也容易受到反向利用。

2.4 攻防操作

规划和执行成功的D&D运营需要具备广泛的能力。这些能力包括理解网络防御与破坏的理论和技术要素，以及具备规划、准备、支持、协调、控制和执行复杂欺骗计划的组织能力。30 这一D&D组织要素应与整体IT运营、网络安全和运行安全要素以及威胁情报工作紧密结合。

欺骗与拒止团队创建并执行的欺骗掩护故事，以及EEDI，可能是完全真实的。例如，该故事可能代表了一项欺骗者并不打算执行的、切实可行的行动方案（COA）。欺骗与拒止团队可以使用被否决的行动方案的计划作为欺骗掩护故事的基础。在这种情况下，欺骗者为所选行动方案所做的大部分准备工作，将与实施被否决行动方案所需采取的行动相同或相似。这种模糊性，加上有效的欺骗掩护故事，会使欺骗目标误将真实行动方案的准备工作理解为与掩护故事中的行动方案一致。

为了使这种方法取得成功，欺骗者组织必须执行若干关键任务。欺骗者必须诱导目标在感知或解释环境信息时产生失误，从而影响目标后续的行动。这意味着欺骗者必须将“欺骗核心”（EEFI）对目标隐藏起来，或者为 EEFI模拟虚构的属性（即创建EEDI），以误导目标。随后，欺骗者必须建立关于目标思维和行为的理论，包括目标如何在环境中寻找、扫描和获取信息；如何对这些信息进行分类和解释；以及如何采取行动，包括在环境中进一步采样信息。图2.3a, b展示了通过运用龙与地下城战术来支持防御者欺骗与拒止团队实现欺骗目标的各项任务。

欺骗与拒止团队可使用否认战术来干扰目标对EEFI和NDDI的感知（分别见表2.4 和 2.5），而欺骗者的欺骗战术则干扰目标对欺骗者真实活动的认知解释与理解。欺骗者会传递EEDI和NEFI，使目标误解欺骗者的行动（分别见表2.6 和 2.7）。换句话说，欺骗者的否认（模糊性类型）战术会干扰目标的

30 参见第 7 章对网络防御与破坏的组织能力的分析。

感知，而欺骗者的欺骗（误导型）战术则扭曲目标对数据的解读。

欺骗目标始终应该是诱导目标采取有利于防御者的行动。这些行动构成了欺骗效果。

图2.3 （a）龙与地下城类型与战术：EEFI和EEDI（b）龙与地下城类型与战术：NDDI和NEFI

表2.4 否认战术（A型：隐藏真实信息：EEFI）

战术	描述	示例
掩蔽	在匹配另一实体特征的同时，隐藏某一实体的关键特征	使用假名，隐写术
重新包装	添加和更改标签或特征	基于地理IP位置显示不同的网站内容，密码学，足迹绘制
致盲	模糊特征，增加压倒性的替代特征	软件混淆
红旗标记	明显展示关键特征，“挥舞红旗”	一次性电子邮件地址

表 2.5 否认战术（A型：隐藏虚假信息：NDDI）

战术	描述	示例
OPSEC	实施作战安全计划以保护机密	将欺骗性安全操作保密
正面宣传	夸大正面因素以压制负面谎言	允许部分枚举虚构文件

表 2.6 欺骗战术（M型：显示虚假信息：EEDI）

战术	描述	示例
模仿	复制特征；创建虚构实体	伪造的Twitter账户、点击劫持、DNS缓存投毒
捏造	创建新的特征；合成逼真的指标	钓鱼邮件
诱饵设置	通过构建虚拟实体或指标来创建替代特征	蜜罐
双重策略	保持特征；以一种令人怀疑的方式展示真实情况	永久性Cookie

表 2.7 欺骗战术（M型：展示真实：NEFI）

战术	描述	示例
搪塞欺骗	揭示具有误导性的事实	揭示误导性妥协的细节
负面舆论导向	透露次要事实以隐瞒主要事实	允许泄露部分真实文件
佯攻/示威行动	试图将对手的注意力引向某一区域削弱对另一个区域的注意力	展示选定的技术欺骗能力
双重策略	诋毁真实信息，使目标对其产生怀疑	选择性修复入侵
双重 bluff	发布对欺骗者有利的真实信息被怀疑或拒绝	发布真实的网络信息

欺骗与拒止团队必须具备制定D&D运营的知识和能力，以保护EEFI和 NDDI，同时通过创建EEDI、NEFI和掩护故事来促进整个组织的目标和目的，这些措施有望产生欺骗效果。31 表2.8总结了欺骗与拒止团队的信息与行动以及目标的预期反应。

表格中显示的欺骗与拒止团队行动和信息，假设欺骗者对目标拥有大量信息和情报：了解目标对信息和行动的反应方式、目标的利益诉求、目标的预期以及目标的盲点。32 欺骗者掌握的目标情报越多，防御方网络欺骗与隐瞒团队就越能有效制定EEDI和掩护故事，以误导和欺骗目标。

EEDI的信息要素以及主要和次要的欺骗掩护故事可能包括对多个信息维度的模拟（操纵）或掩饰（隐蔽）。

行动：
– 意图（该活动是什么？）
– 地点/目标（该活动发生在哪里？）
– 动机（该活动为何发生？）
– 方式/方法（该活动如何进行？）
行为者 ：
– 参与者（谁参与了这项活动？）
– 力量规模（有多少人参与？）
阶段：
– 渠道（活动通过什么方式进行？）
– 模式（活动以何种方式/顺序进行？）
– 时间（活动何时进行？）

欺骗策划者应准备多个掩护故事，以支持特定欺骗行动的全过程。通过维持多个可行的掩护故事，若主要掩护故事遭到妥协，或欺骗目标对主要掩护故事未产生预期反应时，欺骗者可转而使用备用故事。有关在欺骗规划中识别和利用盲点的思路，参见范·埃克， M.L.（2007）《盲点：聪明人为什么做蠢事》。普罗米修斯出版社：纽约州阿默斯特；以及斯特恩伯格，R. 编（2002）《聪明人为什么会如此愚蠢》。耶鲁大学出版社：康涅狄格州纽黑文。

表2.8 欺骗团队的信息与行动，以及预期的目标反应

欺骗团队信息与行动（友好）	欺骗目标预期反应（对手）
吸引对手的注意力到EEDI上掩护故事信息和行动	请注意EEDI和掩护故事评估EEDI和掩护故事的相关性监控它们评估被揭示的EEDI要素并加以保护故事与预期一致
保持对手对EEDI的兴趣并进行掩护故事信息和行动	确认对手的预期并关于EEDI和掩护故事的经验
改变对手的预期并关于EEFI的经验	未能注意到EEFI隐藏元素

Whaley（2007年c）描述了一个用于规划、准备和执行欺骗行动的十步流程。这些创建有效欺骗的步骤（稍作修改，以包含表2.1中引入的EEFI、 EEDI、NEFI、NDDI术语）如下：
1. 利用蓝方 33 组织目标制定欺骗目标、欺骗效果和欺骗成功标准。
2. 收集有关红方对手的情报，并评估红方的先入之见、期望和反应。
3. 利用真实的蓝方行动方案（不会被执行）来制定欺骗掩护故事：将欺骗效果设计为红方对蓝方行动方案掩护故事的自然反应。
4. 进行全面的蓝方信息价值分析（与网络安全和行动安全合作伙伴协作）：识别必须向红方隐藏的信息（ EEFI）以及必须向红方揭示的信息（EEDI）。
5. 规划拒止行动，以隐藏为红方提供蓝方计划和行动独特且明确迹象的真实信息（EEFI），并规划拒止行动以隐藏支持蓝方欺骗与拒止计划的虚构内容；详细说明掩盖、重新包装、干扰或标记所有EEFI和NDDI所需的步骤。
6. 规划展示虚假信息：详细说明利用真实信息和行动（NEFI）以及模仿、虚构、诱骗或双重操作EEDI和行动（虚拟及其他）以支持欺骗掩护故事所需的步骤。
7. 制定欺骗计划：组织支持网络欺骗与拒止计划所需的必要欺骗与拒止手段和资源。
8. 管理网络欺骗行动：建立NEFI、EEDI、EEFI、NDDI和欺骗掩护故事的矩阵，以管理、协调和控制欺骗行动、信息和行动，并与整体网络行动、网络安全及行动安全合作伙伴协同工作。
33 惠利使用“蓝方”指代友方、欺骗者组织，使用“红方”指代对手目标。

监控欺骗行动：观察红方的行为、行动和反应（包括虚拟和其他情况）；评估欺骗掩护故事的有效性；将攻防行动与所有正在进行的虚拟及其他行动进行协调。
加强欺骗行动的成功：通过使用隐蔽、模拟或其他渠道来重新引导未成功的欺骗行动，以加强、维持和延续欺骗掩护故事；确保欺骗行动产生预期的欺骗效果；并对未能在红方欺骗目标上产生预期反应和效果的欺骗行动进行调整。

需要注意的是，欺骗过程的步骤1‐6属于欺骗规划，步骤7是欺骗准备，而步骤8‐10则是欺骗实施。欺骗者应在其旨在保护的行动开始之前尽早进行周密的欺骗规划；欺骗准备工作和实施工作应在其他作战规划继续进行的同时展开。这样，当真实行动开始时，欺骗者已经植入并支持了欺骗掩护故事，从而操纵目标使其对正在进行的事件产生误解和误判，并错误地确信自己理解了欺骗者的行动。