技術(shù)發(fā)展與網(wǎng)絡(luò)歸因問題的解決

文/張旭 劉楊鉞

1 網(wǎng)絡(luò)空間歸因問題的核心

美國國家科學(xué)院的赫伯特?林曾歸納網(wǎng)絡(luò)歸因存在的5個(gè)方面困境：攻擊者使用的網(wǎng)絡(luò)攻擊技術(shù)先前未曾見過；攻擊者沒有技術(shù)失誤，也沒有留下庭審線索；入侵者保持了完美的行動安全，沒有其他情報(bào)線索；入侵并為發(fā)生在沖突或者政治敵對時(shí)期，因此動機(jī)不明；對于入侵的快速回應(yīng)阻礙對入侵行動的徹底調(diào)查2。具體而言，網(wǎng)絡(luò)歸因障礙源于：

（1）網(wǎng)絡(luò)空間具有匿名性、虛擬性、跨域性等特征，而網(wǎng)絡(luò)攻擊的瞬時(shí)性等特征又決定了網(wǎng)絡(luò)歸因“信息搜集困難”、“地理性標(biāo)準(zhǔn)模糊”和“證明標(biāo)準(zhǔn)缺失”的障礙1。

（2）網(wǎng)絡(luò)欺騙技術(shù)發(fā)展增大歸因難度。通過在機(jī)主不知情的情況下捕獲并連接多臺電腦形成“僵尸網(wǎng)絡(luò)”的方法，攻擊者可以遠(yuǎn)程操控第三方電腦對他人進(jìn)行攻擊，并在攻擊結(jié)束后將責(zé)任嫁禍于第三方，而專業(yè)人員往往只能查到攻擊電腦對IP地址，不能抓住其“幕后黑手”。

（3）國際網(wǎng)絡(luò)技術(shù)規(guī)范缺位阻礙網(wǎng)絡(luò)取證。由于國際互聯(lián)網(wǎng)治理機(jī)構(gòu)和網(wǎng)絡(luò)取證規(guī)范尚未確立，網(wǎng)絡(luò)攻擊跨國境取證的條件并不具備，有學(xué)者提出“最大的歸因障礙來自于跨域司法管轄權(quán)的攻擊問題3”。

2 技術(shù)發(fā)展推動網(wǎng)絡(luò)歸因的解決

2.1 “誘騙式”動態(tài)防御技術(shù)

美國國家技術(shù)委員會提出了“移動目標(biāo)防御”（MTD）的概念，旨在通過“部署和運(yùn)行部署和運(yùn)行不確定，隨機(jī)動態(tài)的網(wǎng)絡(luò)和系統(tǒng)”，克服傳統(tǒng)防御技術(shù)在靜態(tài)網(wǎng)絡(luò)配置下“信息固定不變”的缺點(diǎn)，在防御層“捕捉”罪犯。動態(tài)網(wǎng)絡(luò)防御系統(tǒng)將作為“誘餌”的偽目標(biāo)嵌入系統(tǒng)中，誘騙攻擊者對其實(shí)施攻擊，從而觸發(fā)攻擊警報(bào)，或者擾亂攻擊者的視線，將其引入“死胡同”。在傳統(tǒng)的“蜜罐”技術(shù)基礎(chǔ)上，以色列IIIusive網(wǎng)絡(luò)安全公司開發(fā)了新型欺騙技術(shù)，增加了一層用戶不可見的“安全層”：只有能夠突破傳統(tǒng)網(wǎng)絡(luò)防御系統(tǒng)的黑客才能引起安全層的報(bào)警4，直接篩選出攻擊者。

“誘騙式”的動態(tài)防御技術(shù)在網(wǎng)絡(luò)防御環(huán)節(jié)實(shí)施網(wǎng)絡(luò)歸因，旨在網(wǎng)絡(luò)攻擊的初期對入侵實(shí)施取證和預(yù)警。

2.2 “網(wǎng)絡(luò)基因”與增強(qiáng)歸因項(xiàng)目技術(shù)

網(wǎng)絡(luò)歸因難以實(shí)施的部分原因是因?yàn)槟壳盎ヂ?lián)網(wǎng)架構(gòu)缺乏端對端審計(jì)環(huán)節(jié)，從防御者視角來說，黑客攻擊橫跨轄區(qū)、網(wǎng)絡(luò)和設(shè)備，但從防御者及盟友網(wǎng)絡(luò)環(huán)境來看，攻擊行為僅為“部分可見” 5，目睹完整的攻擊過程幾乎是不可能的。

美國國防高級研究計(jì)劃局（DARPA）發(fā)布了“網(wǎng)絡(luò)基因”項(xiàng)目，旨在利用曾經(jīng)受到的網(wǎng)絡(luò)攻擊程序中的代碼，數(shù)據(jù)，研究出“網(wǎng)絡(luò)基因”，“網(wǎng)絡(luò)指紋”等表征惡意特征，從而對 “攻擊方確定與定位”提供技術(shù)支持6。

在此基礎(chǔ)上，增強(qiáng)歸因項(xiàng)目通過跟蹤和識別富有經(jīng)驗(yàn)的目標(biāo)總結(jié)其行為特征，希望基于網(wǎng)絡(luò)活動研究出行為預(yù)測算法，從而識別潛在的攻擊者。美國情報(bào)高級研究計(jì)劃局（IARPA）研發(fā)項(xiàng)目’奧丁’，可以利用生物特征識別技術(shù)，通過對欺騙性指紋，面部圖像和虹膜的識別，對黑客攻擊進(jìn)行探測。另外，美國的“多尺度異常檢測”（ADAMS），“IP聲納”等項(xiàng)目，通過深度分析已知的攻擊手段，來預(yù)測潛在的攻擊，并對潛在攻擊方實(shí)施確定與定位。

“網(wǎng)絡(luò)基因”與增強(qiáng)歸因項(xiàng)目技術(shù)跳出“偵查完整攻擊過程”的思路，從攻擊方本身特征為歸因問題找到了一個(gè)可能的出路。

2.3 “網(wǎng)絡(luò)鏡像”數(shù)據(jù)取證技術(shù)

攻擊者指向的網(wǎng)絡(luò)基礎(chǔ)設(shè)施一般包含命令控制服務(wù)器、攻擊載載荷托管服務(wù)器、數(shù)據(jù)文件轉(zhuǎn)存服務(wù)器、重定向器和域名等等，從歸因取證角度來說，如果切斷服務(wù)器的用電和網(wǎng)絡(luò)，就可能破壞部分攻擊證據(jù)。因此，獲得包含磁盤和內(nèi)存數(shù)據(jù)在內(nèi)的服務(wù)器鏡像比獲得服務(wù)器硬件有價(jià)值得多7。

美國2018年對俄GRU黑客提出訴訟書中，明確提出了起訴俄軍方兩支部隊(duì)12名情報(bào)人員的取證線索，其中包括：26165部隊(duì)對DCN實(shí)施釣魚攻擊時(shí)，用于隱藏IP來源的VPN賬號，與74455部隊(duì)以Guccifer2.0的名義對外公布泄密郵件的VPN賬號完全重合；用于支付此VPN賬號的比特幣錢包，又被證實(shí)與注冊dcleaks.com這一用于公布泄密材料域名的比特幣錢包是同一個(gè)；同時(shí)，美方通過截獲Guccifer2.0與第三方機(jī)構(gòu)維基解密（WikiLeaks）之間未被加密的郵件內(nèi)容，確認(rèn)了其雙方之間的合謀關(guān)系8。美國司法部對于俄GRU黑客的起訴案例，充分表明了使用網(wǎng)絡(luò)鏡像分析解決網(wǎng)絡(luò)歸因問題的可能。

另一方面，美方對于俄網(wǎng)絡(luò)攻擊的取證過程充分展示了網(wǎng)絡(luò)歸因若想成功，需要具備的條件：

（1）先進(jìn)的歸因技術(shù)；

（2）充足的網(wǎng)絡(luò)資源；

（3）完整的調(diào)查體系。

調(diào)查過程中，F(xiàn)BI、CIA、NSA等情報(bào)人員通過谷歌、推特等第三方公司獲得服務(wù)器鏡像數(shù)據(jù)；DCCC和DNC雇傭安全企業(yè)CrowdStrik公司調(diào)查攻擊者留下的行動線索，并應(yīng)用了包括火眼（FireEye）和ThreatConnect等公司的取證分析報(bào)告；并最終由美國司法部起草并公布這樣一份起訴書。整個(gè)過程將政府、情報(bào)機(jī)構(gòu)和企業(yè)構(gòu)成了完整的取證鏈條，彰顯了網(wǎng)絡(luò)資源和調(diào)查體系對網(wǎng)絡(luò)歸因過程的重要性。

3 總結(jié)

互聯(lián)網(wǎng)的歸因問題是一種結(jié)構(gòu)性問題，完美的網(wǎng)絡(luò)歸因很難達(dá)成，互聯(lián)網(wǎng)的歸因問題帶來的“網(wǎng)絡(luò)空間管理”、“網(wǎng)絡(luò)犯罪打擊”、以及“網(wǎng)絡(luò)攻擊取證”等困難的問題，在短時(shí)間內(nèi)還很難得到解決。但是，隨著信息技術(shù)的不斷發(fā)展完善，網(wǎng)絡(luò)歸因問題的技術(shù)解決能力也不斷提升，“誘騙式”的動態(tài)防御技術(shù)、“網(wǎng)絡(luò)基因”與增強(qiáng)歸因項(xiàng)目技術(shù)和“網(wǎng)絡(luò)鏡像”數(shù)據(jù)取證等技術(shù)可以提升網(wǎng)絡(luò)歸因的準(zhǔn)確率。與此同時(shí)，我們也要警惕技術(shù)鴻溝造成歸因能力差距，認(rèn)清部分網(wǎng)絡(luò)大國充分掌握網(wǎng)絡(luò)資源、全面監(jiān)視國際互聯(lián)網(wǎng)的客觀現(xiàn)實(shí)，找準(zhǔn)我們在技術(shù)、資源和體系存在的差距，不斷提升我國的網(wǎng)絡(luò)歸因技術(shù)和能力。