一、

　　引　言

　　2019年4月9日，Carbon Black發(fā)布最新報告指出：“攻擊者潛蹤匿跡的手段更為豐富，駐留受害者網(wǎng)絡的時間增長。剛剛過去的3個月里，攻擊者反擊安全工具和管理員的行為有5%的上升。不只是入侵，攻擊者傾向于更長久地潛藏在網(wǎng)絡中，已成為攻擊者大政方針的一部分?！?/p>

　　事實上，內部有潛伏者已成常態(tài)，漏洞也成了備受歡迎的“硬通貨”。面對新的境況，尤其是當防御者在利用云計算IaaS、PaaS、SaaS架構來探索構建“海、網(wǎng)、云”協(xié)同防御體系時，黑客已經(jīng)公然推出了HaaS（HackerasaService，黑客即服務）的創(chuàng)新模式，悄悄踏上了攻擊服務化的快車道。漏洞是挖不完的，黑客威脅永遠存在，這也決定了沒有一勞永逸的防御方法，攻防競賽永遠存在。要想改變攻防對抗的不對稱格局，只有改變防御的游戲規(guī)則。

　　網(wǎng)絡欺騙防御一開始就是建立在內部有潛伏者的理念上并以此為基礎而設計的。不同于以往追求構建完美無瑕的系統(tǒng)以抵御攻擊的思路，網(wǎng)絡欺騙防御是一種通過不斷變換系統(tǒng)特性、限制脆弱性暴露、欺騙攻擊視圖、增加攻擊成本等方法，以提升防御有效性的主動防御新技術。網(wǎng)絡欺騙防御已成為移動目標防御（MTD）的重要技術手段和工具?！捌垓_防御”的本意，并非戲弄攻擊者或激怒攻擊者，其最重要的價值在于為MTD系統(tǒng)提供增加攻擊面轉換空間的手段，提高MTD的防御熵，也是更高層次上的防御智能化的核心。

　　隨著人工智能、博弈論等理論體系的完善，以及軟件定義網(wǎng)絡（SDN）、云計算、虛擬化等新技術的成熟，“欺騙防御”已經(jīng)遠遠超越了蜜罐的概念，取得了新的發(fā)展。

　　二、

　　網(wǎng)絡欺騙技術的定義及發(fā)展

　?。?）網(wǎng)絡欺騙技術的定義

　　從網(wǎng)絡安全防護角度來看，網(wǎng)絡欺騙防御技術作為一種主動式安全防御手段，可以有效對抗網(wǎng)絡攻擊。全球最具權威的IT研究與顧問咨詢公司Gartner從2015年起連續(xù)四年將攻擊欺騙列為最具有潛力的安全技術。同時給出了對網(wǎng)絡欺騙技術的描述：“欺騙技術被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應、有意的混淆、以及假動作、誤導等偽造信息達到‘欺騙’的目的”。

　　通過上述描述可以看出，網(wǎng)絡欺騙是欺騙技術在網(wǎng)絡防御中的應用，通過有意誤導對手的決策從而使得對手以有利用于防御方的形式行動或者不行動，在檢測、防護、響應方面均能起到作用，能夠實現(xiàn)發(fā)現(xiàn)攻擊、延緩攻擊以及抵御攻擊的作用。（1）發(fā)現(xiàn)網(wǎng)絡攻擊：通過在網(wǎng)絡中部署大量誘餌，并組合應用多種欺騙手段引誘攻擊者，一旦攻擊者觸碰這些誘餌，則表明系統(tǒng)正在受到攻擊，防御者就可以迅速響應，并定位溯源攻擊者；（2）延緩網(wǎng)絡攻擊：由于網(wǎng)絡中存在大量誘餌，攻擊者將陷入真假難辨的網(wǎng)絡世界，攻擊者需要花費大量的時間來分辨信息的真實性，從而延緩了攻擊者的網(wǎng)絡攻擊，給予防御者更多的響應時間，降低攻擊者對真實系統(tǒng)攻擊的可能性；（3）抵御網(wǎng)絡攻擊：網(wǎng)絡欺騙防御技術使用了與真實環(huán)境相同的網(wǎng)絡環(huán)境，攻擊者無法分辨真假，因此會對誘餌目標發(fā)起攻擊，采用大量攻擊手段、工具和技巧，而防御方可以記錄攻擊者的行為，從而為防御提供參考。

　　與傳統(tǒng)安全技術相比，網(wǎng)絡欺騙不是著眼于攻擊特征而是攻擊者本身，可以扭轉攻擊者與防御者之間的攻防不對稱：（1）通過網(wǎng)絡欺騙技術可以打破網(wǎng)絡系統(tǒng)的確定性、靜態(tài)性與同構性，使攻擊者無法獲取準確的環(huán)境信息；（2）通過網(wǎng)絡欺騙技術將攻擊者引入一個“偽造”的環(huán)境中，使攻擊者無法判斷攻擊是否成功，同時通過對攻擊者攻擊活動的記錄和分析，防御方可以獲取更多攻擊者的信息；（3）網(wǎng)絡欺騙系統(tǒng)與業(yè)務環(huán)境相融合，攻擊者探測到的并不是準確的業(yè)務環(huán)境，也就無法構建同樣的環(huán)境進行武器實驗；（4）通過在業(yè)務系統(tǒng)中布置偽造的數(shù)據(jù)，即使攻擊者成功竊取了數(shù)據(jù)，也會因為虛假數(shù)據(jù)的存在而降低了所竊取數(shù)據(jù)的總體價值。

　?。?）網(wǎng)絡欺騙技術的發(fā)展

　　網(wǎng)絡欺騙技術是一種積極主動的防御策略。一方面，通過構造一系列虛假信息和環(huán)境誤導攻擊者的判斷，使得攻擊者做出錯誤的動作，將攻擊者引向陷阱的方式可消耗攻擊者的時間、精力，增加入侵的復雜度和不確定性；另一方面，更加容易監(jiān)控攻擊行為、采集攻擊數(shù)據(jù)，部署相關反制措施，對攻擊者進行溯源追蹤和技術反制。網(wǎng)絡欺騙技術的發(fā)展可以概括為開創(chuàng)階段、蜜罐階段、欺騙防御階段三個階段。

　　開創(chuàng)階段：網(wǎng)絡欺騙技術的起源可以追溯到上世紀八十年代末期。1992年，AT＆T貝爾實驗的Cheswick在一篇文章中討論了如何用虛假的信息誘惑黑客，以追蹤該黑客和了解其技術。由此可見，網(wǎng)絡欺騙技術早期主要是為了對抗人工攻擊。1998年，第一款采用欺騙技術進行計算機防御的開源工具DTK發(fā)布。DTK使用Perl腳本實現(xiàn)，綁定系統(tǒng)上未使用的端口，接收攻擊者的輸入并給出存在漏洞的響應。DTK不會被攻陷，因而可以部署在實際的業(yè)務系統(tǒng)中，使得攻擊者在入侵系統(tǒng)時需要做更多的選擇，以此提前發(fā)現(xiàn)攻擊和浪費攻擊者的時間。

　　這一時期互聯(lián)網(wǎng)與計算機的應用主要在政府、軍隊和高校等科研機構，以數(shù)據(jù)共享為主。網(wǎng)絡入侵的攻擊者多由專業(yè)技術人員手工發(fā)起，以竊取數(shù)據(jù)為目標，網(wǎng)絡攻擊范圍有限。網(wǎng)絡欺騙技術僅僅被部分安全管理人員部署在業(yè)務系統(tǒng)中用于檢測入侵，主要形式是在業(yè)務系統(tǒng)中插入虛假數(shù)據(jù)或開啟虛假服務。為了防止這一思路暴露后引起攻擊者的警覺，部分安全人員盡管采用了網(wǎng)絡欺騙技術，卻沒有公開描述。

　　蜜罐階段：2000年左右，蠕蟲漸成為互聯(lián)網(wǎng)的主要威脅之一。蠕蟲可以通過共享文件夾、電子郵件、系統(tǒng)漏洞等方式進行傳播，互聯(lián)網(wǎng)的發(fā)展使得蠕蟲可以在極短時間內蔓延全球，蠕蟲的早期檢測對蠕蟲的防范至關重要。逐漸的，蜜罐的思路開始形成。蜜罐被定義為一類安全資源，其價值在于未授權的利用，通過在業(yè)務網(wǎng)絡中部署一系列沒有真實的業(yè)務系統(tǒng)或資源形成陷阱，這些陷阱被訪問則代表攻擊的出現(xiàn)，以此檢測攻擊。蜜罐因捕獲數(shù)據(jù)價值高、幾乎沒有誤報、能夠檢測Oday攻擊，且只要蜜罐系統(tǒng)能夠覆蓋網(wǎng)絡的一小部分IP地址，就可以在早期檢測到蠕蟲的爆發(fā)，因此受到重視。

　　2005年以后，僵尸網(wǎng)絡逐漸興起，隨著新惡意代碼產生率的增高，迫切需要自動化的方式來采集惡意代碼以便及時發(fā)現(xiàn)僵尸網(wǎng)絡。隨著針對各種網(wǎng)絡應用及非PC設備進行傳播的惡意代碼增多，也出現(xiàn)了相應的蜜罐，如Web應用蜜罐、SSH應用蜜罐、SCADA蜜罐、VoIP蜜罐、藍牙蜜罐、USB蜜罐、工控蜜罐、電話蜜罐、數(shù)據(jù)庫蜜罐等。在這一時期，自動化傳播的惡意代碼成為主流攻擊方式，蜜罐技術對惡意代碼的發(fā)現(xiàn)與樣本收集具有其他防御技術無可比擬的優(yōu)勢。

　　欺騙防御階段：2010年至今，隨著震網(wǎng)（Stuxnet）、Duqu、火焰（Flame）等高級持續(xù)性威脅（APT）出現(xiàn)，傳統(tǒng)安全機制無法很好的應對此類威脅?；诰W(wǎng)絡欺騙的安全防御方案得到了越來越多的安全研究人員的重視，它和已有安全防御體系相互補充，能夠更加有效的發(fā)現(xiàn)和抵御高級持續(xù)性攻擊，網(wǎng)絡欺騙技術因其自身的優(yōu)勢而受到了安全防御人員的關注。

　　根據(jù)全球第二大市場研究咨詢公司根據(jù)Markets and Markets 發(fā)布的一項最新的市場研究報告《2021年全球的欺騙防御技術市場前瞻》，在2021年欺騙防御技術的市場規(guī)模將從現(xiàn)在的10.4億美元增長到20.9億美元，復合年增長率（CAGR）約為15.1%。據(jù)預測，北美市場份額最大，亞太市場增長最快。亞太地區(qū)的欺騙防御技術市場具有極大的增長潛力，該地區(qū)廣泛存在的中小企業(yè)正在尋求高級網(wǎng)絡欺騙防御方案來對抗高級持續(xù)性威脅。銀行、金融服務和保險垂直行業(yè)預計為欺騙防御市場貢獻最大的份額。

　　目前，國外欺騙防御技術的主要供應商包括：Rapid7（美國），LogRhythm（美國），TrapX安全（美國），Attivo網(wǎng)絡（美國），Attivo Networks（以色列），Cymmetria（以色列），GuardiCore（以色列），Allure Security Technology （美國），vArmour（美國），Smokescreen Technologies（印度）。網(wǎng)絡欺騙產品頗具代表性的有：以色列公司illusice的Deceptions Everywhere、Cymmetria的MazeRunner，美國公司TrapX的DeceptionGrid Platform、Attivo公司的ThreatMatrix Platform等。國內公司也緊跟業(yè)界步伐，代表性的產品有綠盟科技異常行為誘捕系統(tǒng)（微蜜罐），長亭科技公司的諦聽威脅感知系統(tǒng)，默安科技的幻陣系統(tǒng)（云密網(wǎng)），錦行科技的幻云系統(tǒng)等。

　　在學術界，2017年Springer出版社出版了《Cyber Deception》一書，本書的作者就是全球首本《移動目標防御》的作者。這是第一本專門介紹網(wǎng)絡欺騙研究的著作，匯集了最新的網(wǎng)絡欺騙技術相關的研究成果；近年來，CCS、NDSS、USENIXSecurity等國際安全會議上也有相關學術論文發(fā)表。在政府方面，美國海軍和國防高級研究計劃局（DARPA）進行了網(wǎng)絡欺騙技術應對網(wǎng)絡恐怖主義的研宄以及網(wǎng)絡欺騙技術的探索。

　　網(wǎng)絡欺騙作為一種對抗性技術思路，從誕生開始就受到了學術界和產業(yè)界的關注，并涌現(xiàn)出一系列研究成果和工具。然而現(xiàn)有研究工作仍然存在一些不足：盡管有一些網(wǎng)絡欺騙技術的理論研究工作，當前研究更側重于對欺騙工具的開發(fā)與網(wǎng)絡欺騙效果的分析，沒有成體系的理論基礎研究；高交互蜜罐系統(tǒng)能夠發(fā)現(xiàn)針對未知漏洞的攻擊，但是僅限于攻擊者利用的漏洞存在于構建蜜罐時所用的應用程序，這限制了蜜罐的捕獲范圍；當前基于欺騙技術的工具對于攻擊信息的收集限于源IP、源端口、使用的攻擊樣本等，而忽視對攻擊者身份信息的收集；現(xiàn)有基于欺騙的安全工具在部署時往往與真實業(yè)務系統(tǒng)差別較大，容易被攻擊者所識別，且在部署上往往是隔離的，缺乏與已有安全機制的聯(lián)動。因此，深入理解網(wǎng)絡欺騙技術，總結其特性與演化規(guī)律，對于學術研究和工程實踐均具有重要意義。

　　三、

　　網(wǎng)絡欺騙技術分類

　　網(wǎng)絡欺騙本質是通過布設騙局從而干擾攻擊者的認知過程，欺騙環(huán)境的構建機制是其實施的關鍵。本文從欺騙環(huán)境構建的角度討論網(wǎng)絡欺騙技術的分類，這也是大多數(shù)網(wǎng)絡欺騙研究采用的分類方式。

　　蜜罐技術中有多種分類方式。根據(jù)欺騙環(huán)境提供的交互程度將其分為低交互蜜罐、中交互蜜罐、高交互蜜罐：低交互蜜罐往往采用軟件模擬的方式實現(xiàn)，而高交互蜜罐則采用真實系統(tǒng)構建，中交互蜜罐采用功能受限的系統(tǒng)來部署，交互性介于兩者之間。根據(jù)作為誘餌的資源是不是計算機將其分為蜜罐與蜜標：作為誘餌的資源是計算機時稱為蜜罐，非計算機的誘餌資源稱為蜜標。根據(jù)蜜罐獲取代碼的方式分為被動蜜罐與主動蜜罐：被動蜜罐對外暴露漏洞，被動等待惡意代碼發(fā)現(xiàn)和攻擊，有時也稱為服務器蜜罐，主動蜜罐通過內部構造漏洞，主動訪問惡意代碼宿主（如惡意網(wǎng)頁），從宿主上下載惡意代碼，也稱為客戶端蜜罐。根據(jù)蜜罐的目的分為研究型蜜罐和應用型蜜罐：研究型蜜罐一般用于科學研究，而應用型蜜罐則用于商業(yè)用途。然而，蜜罐技術僅僅是網(wǎng)絡欺騙技術的一種，這一分類方法并不適用于所有的網(wǎng)絡欺騙技術，例如操作系統(tǒng)混淆、蜜標、偽蜜罐等也是網(wǎng)絡欺騙技術的應用，卻不適合采用此類分類方法。

　　按照欺騙環(huán)境的構建方式將網(wǎng)絡欺騙技術可以分為四類：掩蓋、混淆、偽造、模仿。

　?。?）掩蓋欺騙通過消除特征來隱藏真實的資源，防止被攻擊者發(fā)現(xiàn)。典型工作如網(wǎng)絡地址變換，通過周期性的重新映射網(wǎng)絡地址和系統(tǒng)之間的綁定改變組織網(wǎng)絡的外形。Antonatos等人使用動態(tài)主機配置協(xié)議給每個主機重新分配網(wǎng)絡地址，用來對抗帶有目標列表的蠕蟲。MUTE使用隨機地址跳變技術為主機重新分配與真實IP地址相獨立的隨機虛擬IP地址，以限制攻擊者掃描、發(fā)現(xiàn)、識別和定位網(wǎng)絡目標的能力。

　?。?）混淆欺騙通過更改系統(tǒng)資源的特征使得系統(tǒng)資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐，通過使真實系統(tǒng)具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機操作系統(tǒng)混淆，使得受保護的操作系統(tǒng)對遠程探測工具表現(xiàn)出其他操作系統(tǒng)的特性，可以挫敗攻擊者的探測企圖。

　?。?）偽造欺騙通過采用真實系統(tǒng)或者資源構建欺騙環(huán)境，通過偽造的資源吸引攻擊者的注意力從而發(fā)現(xiàn)攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標技術，如蜜網(wǎng)、Honeybow、honeyfile等。此類技術特點是機密性好，但是維護與部署代價較高。

　?。?）模擬欺騙則是采用軟件實現(xiàn)的方式構造出資源的特征。典型工作如Deception ToolKit（DTK），DTK綁定系統(tǒng)未使用的端口，被動的等待連接。如果攻擊者訪問了這些端口，DTK就會記錄訪問信息。此類欺騙機密性較低，適用于攻擊檢測與惡意代碼收集，不適合對攻擊者行為的長期觀察。但是因為所占資源小而且?guī)缀醪粫盹L險，因此可以部署于業(yè)務主機之上，檢測范圍大，使用靈活。

　　四、

　　近年來網(wǎng)絡欺騙技術的研發(fā)及應用

　?。?）Acalvio公司推出下一代分布式欺騙解決方案ShadowPlex

　　2017年4月，安全公司Acalvio正式推出ShadowPlex欺騙技術平臺，并進入RSA 2018大會的創(chuàng)新沙盒角色，也體現(xiàn)了業(yè)界在該領域的創(chuàng)新程度。該平臺實現(xiàn)了其承諾的新型安全防御技術——流欺騙。任何欺騙技術背后的基本思想，都是提供某種形式的虛假前端，誘使攻擊者以為自己在對真實的用戶的基礎設施進行漏洞利用。

　　傳統(tǒng)蜜罐一般只是一個虛假的主機，安全研究員觀察惡意樣本在蜜罐中的行為，并沒有蜜罐被攻破后攻擊者的進一步行為分析和防護。與之相比，ShadowPlex是下一代分布式欺騙解決方案，提供了面向企業(yè)環(huán)境的自動化欺騙方法，可動態(tài)構建各種交互度的虛假網(wǎng)絡和主機系統(tǒng)。此外，ShadowPlex定位從檢測、分析到響應的全生命周期的高級威脅防護。（1）在檢測階段：ShadowPlex可精確和快速地檢測高級、多階段的攻擊；（2）在分析（Engage）階段：在受控的影子網(wǎng)絡（Shadow Network）中欺騙攻擊者，理解其攻擊模式，同時延誤對于真實資產的影響；（3）在響應階段：識別攻擊者軌跡和網(wǎng)絡中潛在的脆弱點，生成可表示攻擊者特征的IoC（Indicator of Compromise）。

　　該產品與業(yè)界的方案相比有四方面的創(chuàng)新：第一，將敏捷開發(fā)DevOps應用于欺騙技術：已有的欺騙方案需要大量的人工調查和分析，費時費力，因而欺騙系統(tǒng)的部署和維護成本很高。而本產品通過DevOps使得欺騙自動化，極大減少了人工成本；第二，流式欺騙（Fluid Deception）：已有的欺騙方案面臨一個難題–規(guī)?；ǖ徒换ィ﹙s.深度（高交互）。ShadowPlex結合了全面的動態(tài)欺騙從而提高了效率和效果；第三，攻擊者行為分析：ShadowPlex通過探針采集其他企業(yè)安全系統(tǒng)（如SIEM、EDR等）的數(shù)據(jù)來生成威脅情報和提供全面的攻擊行為分析；第四，欺騙農場（Deception Farm）：可以部署在私有云和公有云（Azure、AWS等）上。

　　從部署角度看，Acalvio的ShadowPlex技術會在客戶網(wǎng)絡中安裝一個小小的代理，構建一個安全隧道，并將IP地址投射到本地網(wǎng)絡（如果不用ShadowPlex技術，誘餌就必須部署在本地網(wǎng)絡了）。ShadowPlex的后端架構，是虛擬機和Docker容器的組合。虛擬機被用于模擬網(wǎng)絡中的主機，容器則負責應用和服務。

　　ShadowPlex平臺的核心元素，是對手行為分析（ABA）功能。ABA提供對手行為上下文，以回顧并確定攻擊者侵入網(wǎng)絡的路徑。ABA幫助確定攻擊發(fā)生的根源分析。此外，ShadowPlex中還有一個威脅分析引擎，會嘗試理解給定攻擊中發(fā)生的事情。最終目的，是要進一步以新增的能力和洞見，強化威脅分析。

　?。?）安全公司 Illusive Networks推出欺騙防御技術新功能及幻影網(wǎng)絡3.0

　　2017年，以色列安全公司 Illusive Networks 利用郵件數(shù)據(jù)欺騙功能，植入虛假信息誘騙捕獲攻擊者，反轉攻防形勢。Illusive Networks 的核心技術，是其欺騙平臺，提供不同類型的誤導網(wǎng)絡和應用路徑與信息，以期檢測到惡意攻擊者。郵件是非常豐富的信息來源，可以幫助攻擊者弄清公司運作模式。Illusive用郵件欺騙所做的，就是在郵件層誘騙攻擊者，當攻擊者檢查公司郵件收件箱時，只能獲得錯誤的路徑。Illusive郵件數(shù)據(jù)欺騙可被植入成貌似微軟Exchange郵件服務器和本地用戶收件箱信息的樣子，不會影響正常郵件操作。該解決方案的過人之處在于，只有攻擊者能看到誘騙信息，而真實的終端用戶看不到。因而，終端用戶不會被騙，也不會產生誤報，看到欺騙信息的唯一人員只能是攻擊者。此外，Illusive正在研發(fā)專注欺騙的額外金融服務，被稱為 SWIFT Guard 的欺騙平臺旨在幫助銀行對抗欺詐轉賬。

　　Illusive network推出其“幻影平臺”3.0版?；糜暗哪繕耸翘峁┙o用戶以攻擊者的視角幫助組織機構理解風險并防御攻擊，幻影網(wǎng)絡包括一個管理服務器能夠定義攻擊欺騙的策略，并通過鑒定去捕捉攻擊者威脅網(wǎng)絡的行為。這個平臺比“蜜罐”在捕獲攻擊者方面具備更多的優(yōu)勢?；糜?.0技術使用自身從網(wǎng)絡中學習到的信息去創(chuàng)造“攻擊者視角”，“幻影”的攻擊者視角并不是尋找軟件的缺陷，而是去嘗試確定攻擊載體。

　?。?）美空軍研發(fā)網(wǎng)絡欺騙系統(tǒng)

　　2017年，美國空軍研究實驗室（AFRL）投資75萬美元開發(fā)網(wǎng)絡欺騙系統(tǒng)，該系統(tǒng)是一個生成流量的誤導系統(tǒng)，為了生成流量，系統(tǒng)會觀察本地流量，然后生成與現(xiàn)有流量無法區(qū)分的流量，但會經(jīng)過細微修改滿足管理員的目標。附加的信息能被用來將對手引向假工作站或服務器，和/或將他們的注意力從真正的檢索術詞或操作優(yōu)先項轉移開來，從而誤導滲透進網(wǎng)絡的攻擊者，使其懷疑獲取的信息，或誤導他們犯錯，盡快暴露，以大大降低攻擊者滲透網(wǎng)絡的能力。該項目共分為兩個階段，第一階段重點研究如何根據(jù)對本地流量的觀察生成高度真實的流量。第二階段將集中擴展各種協(xié)議的生成能力，并使用“蜜罐數(shù)據(jù)”（Honey Data）— 定制的數(shù)據(jù)誤導攻擊者，從而使其采取對我們有利的行動。

　?。?）美國陸軍研發(fā)網(wǎng)絡欺騙技術

　　2018年8月，美國陸軍卓越網(wǎng)絡中心在一份機構聲明中表示，該中心正在測試網(wǎng)絡空間欺騙能力，“這種能力可以用來提供早期預警、虛假信息、混淆信息、賽博延遲或以其他方式阻礙賽博攻擊者”。美國陸軍補充說，通過使用一種基于傳感器的人工智能來學習網(wǎng)絡架構和相關行為，從而實現(xiàn)拒止、中立、欺騙和重定向網(wǎng)絡攻擊。該聲明強調要使用自主設備實現(xiàn)網(wǎng)絡防御能力。

　　這并不是美國軍方首次對欺騙網(wǎng)絡攻擊者的技術研發(fā)工作進行投資。六年多來，美國國防高級研究計劃局（DARPA）一直在投資一個項目，該項目通過偽裝、隱藏和欺騙攻擊者來保護網(wǎng)絡系統(tǒng)。其理念是對基礎設施和其他企業(yè)資源（如交換機、服務器和存儲器）進行虛擬復制以混淆敵人視聽。誘餌文件系統(tǒng)可以混淆攻擊者，從而大大降低他們攻擊的成功率。該項目并不是一個獨立的系統(tǒng)。它是一個更大的以“移動目標為主題”的情報、軍事和安全網(wǎng)絡項目的一部分，該主題隨時間的推移而不斷變化。

　?。?）IBM推出對抗語音網(wǎng)絡釣魚技術

　　2019年1月8日，IBM再次以共被授予9,100項專利位居美國年度專利斬獲榜首，其中，對抗語音網(wǎng)絡釣魚（vishing）技術尤其突出。語音網(wǎng)絡釣魚攻擊中，黑客利用網(wǎng)絡電話（VoIP）系統(tǒng)屏蔽掉呼叫源身份以欺騙受害者。IBM已經(jīng)注冊了一個問答系統(tǒng)專利，可以監(jiān)視并分析通話雙方語音交談，識別其間欺騙嘗試。IBM目前正開展網(wǎng)絡安全欺騙技術的創(chuàng)新研究，還有多項專利正在申請中。當前普遍應用的傳統(tǒng)安全方法存在巨大風險，因為這些方法用默認拒絕策略封堵已確知不希望出現(xiàn)在自己網(wǎng)絡上的東西，但弄清自己到底不希望哪些東西出現(xiàn)在自家內網(wǎng)并不是件容易的事。網(wǎng)絡安全欺騙技術則是默認放進所有請求，然后用各處安放的陷阱和誘餌作為早期警報系統(tǒng)來檢測可疑行為。

　　五、

　　網(wǎng)絡欺騙防御技術的最新理論發(fā)展

　?。?）蜜罐補丁：一種新型軟件網(wǎng)絡空間欺騙技術

　　當一個軟件安全漏洞被發(fā)現(xiàn)時，傳統(tǒng)的防御響應是快速修補軟件來解決問題。但是，如果補丁具有暴露和突出防御者網(wǎng)絡中其他易受攻擊漏洞的副作用，這種常規(guī)的補救措施可能會適得其反。不幸的是，上述現(xiàn)象很常見。補丁式的修補方式往往使攻擊者能具體地推斷出哪些系統(tǒng)已被修補，哪些系統(tǒng)未打補丁、易受攻擊。由于補丁很少被直接采用，所以存在未打補丁的系統(tǒng)是不可避免的，例如，為確保補丁的兼容性，往往需要進行提前檢測。因此，大多數(shù)軟件安全補丁對新發(fā)現(xiàn)的漏洞進行修復的同時，也告知了攻擊者該系統(tǒng)仍然易受攻擊。這不但形成了一種對抗文化，也使得漏洞探測成為網(wǎng)絡空間殺傷鏈中的關鍵一環(huán)。

　　蜜罐補丁是一種改變了游戲規(guī)則的替代辦法，可用來預測和擊敗這些定向的網(wǎng)絡空間攻擊。它的目標是通過一種方式來修補新發(fā)現(xiàn)的軟件安全漏洞，也就是，使未來的攻擊者無法再次攻擊這些已修補的漏洞，但對攻擊者仍然顯示漏洞攻擊成功。這樣就掩飾了已修補的漏洞，防止攻擊者輕易地識別出哪些系統(tǒng)是真正未打補丁的，哪些是由打過補丁的系統(tǒng)偽裝而成的。所檢測到的攻擊會被重定向到隔離的、未打補丁的誘餌環(huán)境中，受害靶服務器具有完全交互功能，只不過利用“蜂蜜”數(shù)據(jù)向對手提供假情報，并積極主動地監(jiān)控對手的行為。

　　欺騙性的蜜罐補丁能力形成了一種先進的、基于語言的主動防御技術，可以阻止、挫敗和誤導攻擊，并能顯著提高攻擊者所面臨的風險和不確定性。除了有助于保護內部設有蜜罐補丁的網(wǎng)絡空間之外，它也有利于公共網(wǎng)絡空間的安全。

　?。?）網(wǎng)絡空間抵賴與欺騙

　　網(wǎng)絡空間防御模式從靜態(tài)、被動的邊界防御逐步發(fā)展為外向型的主動防御，這種主動防御可以對網(wǎng)絡空間攻擊進行學習、結合和影響。這種發(fā)展在策略、操作和戰(zhàn)略的層面為通過網(wǎng)絡空間抵賴與欺騙提高網(wǎng)絡系統(tǒng)抵御攻擊的能力打開了一扇新的大門。網(wǎng)絡空間抵賴與欺騙是一種新興的交叉學科網(wǎng)絡空間安全防御體系。

　　1）網(wǎng)絡空間欺騙鏈

　　網(wǎng)絡空間欺騙鏈是從網(wǎng)絡空間生命周期的角度建立的網(wǎng)絡空間抵賴與欺騙操作管理高級元模型。類比于洛克希德·馬丁公司提出的“網(wǎng)絡空間殺傷鏈”模型，網(wǎng)絡空間欺騙鏈是從用于策劃、準備和執(zhí)行欺騙操作的流程發(fā)展而來的。網(wǎng)絡空間欺騙鏈促進了網(wǎng)絡空間抵賴與欺騙、網(wǎng)絡空間威脅情報和網(wǎng)絡空間運營安全3個系統(tǒng)間的相互融合。網(wǎng)絡空間欺騙鏈一共分為8個階段，如圖1所示。

　　圖1  網(wǎng)絡空間欺騙鏈

　　制定目標：就是網(wǎng)絡空間欺騙的目的，由于網(wǎng)絡欺騙的根本目的是為了影響攻擊者的行為，網(wǎng)絡空間欺騙的目的則要與對攻擊者行為影響的預期息息相關。也就是說，欺騙的目的是通過引導攻擊者實施或不實施某些操作，來幫助防御方實施網(wǎng)絡空間防御。

　　收集情報：在網(wǎng)絡空間欺騙鏈的第二個階段中，拒絕與欺騙策劃者定義了攻擊者在遭到欺騙后的預期行為。從某種程度上說，攻擊者預期行為是策劃者通過網(wǎng)絡空間威脅情報定義的。主要包括攻擊者將會觀測到什么；攻擊者將會如何解讀這種觀測；攻擊者將會如何對觀測的結果進行或不進行反饋；以及攻擊者的行為如何被防御方監(jiān)控。

　　設計故事：所謂“封面故事”是指網(wǎng)絡空間抵賴與欺騙策劃者想要攻擊者探測和相信的信息。拒絕與欺騙策劃者會將重要組件的抵賴與欺騙操作考慮在內；評估攻擊者觀測和分析的能力；虛構令攻擊者信服的故事，并利用它“解釋”攻擊者可觀測運營組件的原因；同時誤導攻擊者對其觀測意義和重要性的解讀。拒絕與欺騙策劃者將決定什么信息必須要被掩蓋，什么信息必須被虛構并且曝光。

　　籌備工具：在這個階段，網(wǎng)絡空間抵賴與欺騙策劃者需要分析所要隱藏的真實事件和活動的特征，以支持封面故事的設計；要鑒別攻擊者可以觀測的相關簽名；要計劃利用拒絕策略（比如偽裝、重組、擾亂和標注等）隱藏來自攻擊者的簽名。策劃者還要分析可用于描繪和觀測所支持騙局的名義上的事件與活動的特征；鑒別攻擊者可以觀測的相關簽名；計劃使用可以誤導攻擊者的欺騙性策略。

　　準備欺騙：在這個階段，抵賴與欺騙策劃者需要對可以使攻擊者認知和感知產生影響的欺騙運行進行設計，并探索可用的手段和資源以創(chuàng)造這些影響。

　　執(zhí)行欺騙：隨著欺騙轉變和真實運營準備的同步進行和相互交叉，抵賴與欺騙策劃者和網(wǎng)絡空間運營安全專家必須協(xié)同并控制所有正在進行的相關運營，從而可以在不妨礙和折損真實運營的情況下持續(xù)、可靠、有效地支持和實施所設計的騙局。

　　實施監(jiān)控：抵賴與欺騙策劃者與網(wǎng)絡空間威脅情報分析師、網(wǎng)絡空間運營安全專家共同對欺騙和真實運營進行監(jiān)測和控制。這將對友軍和敵軍的運營準備實施監(jiān)控；將會密切關注觀測通道和信源選擇性傳播給攻擊者的欺騙信息；將會監(jiān)測攻擊者對“表演”，即執(zhí)行的封面故事的反饋。網(wǎng)絡空間抵賴與欺騙操作員必須通過監(jiān)測攻擊者以決定欺騙性運營是否對攻擊者行為產生了預期影響。

　　強化效果：如果網(wǎng)絡情報獲知欺騙操作沒有把封面故事“出售”給攻擊者，且并未對攻擊者的行為產生預期的影響，那么網(wǎng)絡空間抵賴與欺騙策劃者就需要通過進一步欺騙、利用其他通道和信源將欺騙運營傳遞給攻擊者以強化封面故事。策劃者要重回網(wǎng)絡欺騙鏈的第一步，執(zhí)行備用欺騙，或者規(guī)劃其他的運營。

　　2）網(wǎng)絡空間欺騙鏈與網(wǎng)絡空間殺傷鏈

　　攻擊者在目標網(wǎng)絡空間中對有價值的信息實施攻擊時都遵從一個通用的行為模式。攻擊者通常利用的網(wǎng)絡攻擊策略，可被網(wǎng)絡空間殺傷鏈或者攻擊周期劃分為6個階段。類似于網(wǎng)絡空間殺傷鏈，網(wǎng)絡空間欺騙鏈并非一次入侵。每前進的一步都可能是遞歸或者不連貫的。網(wǎng)絡空間欺騙鏈同時也可以用于網(wǎng)絡空間殺傷鏈的任何一個階段，且欺騙操作的目的與殺傷鏈的每個階段都息息相關，如圖2所示。

　　圖2  創(chuàng)建網(wǎng)絡空間欺騙鏈防御

　　偵察：如果防御方可以察覺攻擊者偵察的力度，就可在傳遞階段為攻擊者提供為了實現(xiàn)防御目的而設置的一系列角色和Web足跡。值得注意的是，欺騙操作可被用于影響攻擊鏈中攻擊者將來的行為。

　　武器化：讓攻擊者對企業(yè)機構漏洞、防御姿態(tài)，以及防御方可抵御攻擊武器化荷載的能力產生錯覺。如果偵察階段成功，攻擊者將會嘗試給一個或多個自以為真實而實則是虛假的人員角色傳輸武器化載荷。

　　漏洞利用：識別（攻擊者）對漏洞利用的企圖，可以讓防御方列用蜜罐環(huán)境使攻擊者進行重定位。所謂蜜罐環(huán)境就是看似包含了豐富的漏洞信息的網(wǎng)絡組成部分，實則是防御方單獨設立，且可以監(jiān)測的網(wǎng)絡區(qū)域。其目標就是隱藏所有可能被“發(fā)現(xiàn)”或暴露蜜罐的信息，以增加攻擊者偵察的時間長度。

　　控制：當攻擊者擁有了唾手可得的接入權限時，通過給攻擊者提供由抵賴與欺騙策劃者設計的、具有豐富信息的互動型蜜罐，能幫助防御方識別攻擊者的動機、意圖和能力成熟度。

　　執(zhí)行：通過模擬系統(tǒng)中斷使攻擊者的攻擊步伐放緩，以便于收集網(wǎng)絡空間情報。

　　維持：通過適時增加和定期去除虛假人員角色信息以保持高互動性蜜罐環(huán)境的真實性，同時還要維持新有人員角色及其他，比如文件、郵件、密碼修改記錄、登錄記錄、瀏覽記錄等。

　　表1  欺騙與殺傷鏈模型的映射關系

　　六、

　　網(wǎng)絡空間欺騙防御面臨的挑戰(zhàn)

　　第一類挑戰(zhàn)是如何將用于應用欺騙技術描述的配置規(guī)則的語義進行分類。而這些技術與它們屬于的網(wǎng)絡環(huán)境的細節(jié)相關。例如，如果檢測到可能的攻擊活動，則可以無條件地觸發(fā)網(wǎng)絡空間欺騙。然而，如果檢測到雙重用途網(wǎng)絡事件，則必然存在用于觸發(fā)欺騙防御的附加條件。這種需要附件條件的示例是發(fā)起請求DNS傳輸?shù)木W(wǎng)絡連接主機的源IP地址。如果請求并非來自預期執(zhí)行網(wǎng)絡管理活動的主機節(jié)點，則會觸發(fā)欺騙防御。

　　第二類挑戰(zhàn)是不同的欺騙技術如何對不同類型的用戶產生不同的影響。例如，在網(wǎng)絡上呈現(xiàn)虛假服務，雖然從網(wǎng)絡管理的角度會存在一些問題，但是對于正常用戶沒有影響。與此同時，使用諸如偽造密碼或者蜂窩對象（例如未使用的數(shù)據(jù)文件，或者未映射的網(wǎng)頁）的欺騙技術來防止對正常用戶或者高級用戶活動產生任何影響。然而，使用諸如協(xié)議模糊的技術則可能嚴重地影響正常用戶的操作，并且當且僅當檢測到攻擊并識別出攻擊者時才能夠被直接定向和觸發(fā)。

　　第三類挑戰(zhàn)是，如果檢測到可歸屬于正常用戶操作的活動，但其試圖執(zhí)行超出分配優(yōu)先范圍的動作，則也會觸發(fā)欺騙防御。例如如果某個主機嘗試啟用被內部防火墻阻塞的口令，或者看似合法的內部用戶嘗試訪問禁止的網(wǎng)絡共享以啟動TCP連接等。

　　未來應對這些挑戰(zhàn)，一種可能的替代方法是對高級用戶的網(wǎng)絡請求/查詢采用多因素認證。欺騙活動對正常業(yè)務的影響最好通過仔細選擇與安全策略相一致的欺騙技術來解決。與此同時，還要注意的是，每個分析的數(shù)據(jù)包來源必須通過使用欺騙系統(tǒng)本身的能力，或者依靠其他部署的第三方防御檢測加以驗證。

　　七、

　　網(wǎng)絡欺騙防御技術的發(fā)展預測

　　現(xiàn)有網(wǎng)絡欺騙技術沒有形成固定且統(tǒng)一的形態(tài)，而是隨著攻擊技術與網(wǎng)絡安全需求的變化而演化。盡管有一些網(wǎng)絡欺騙技術的理論研究工作，然而更側重于對網(wǎng)絡欺騙效果的分析，沒有成體系的理論基礎與通用的標準規(guī)范。與其他安全防御措施相比，基于欺騙的防御工具需要防止被入侵者發(fā)現(xiàn)，這就要求與業(yè)務系統(tǒng)具有高度的一致性，現(xiàn)有的欺騙技術在根據(jù)業(yè)務系統(tǒng)進行動態(tài)調整的能力上還有所欠缺，由安全人員開發(fā)的欺騙工具與業(yè)務環(huán)境契合度尚需完善。概括起來，網(wǎng)絡欺騙技術未來發(fā)展趨勢包括：

　?。?）與威脅情報相結合，一方面利用威脅情報提供的信息完善欺騙策略，另一方面欺騙技術捕獲到的信息反過來可以助力威脅情報的生成；

　?。?）可定制、智能化的網(wǎng)絡欺騙技術框架研究與開發(fā)，通過機器學習、人工智能等技術根據(jù)所部署的業(yè)務環(huán)境自動生成與業(yè)務系統(tǒng)高度一致、具有高保密性的欺騙環(huán)境；

　?。?）研究以SDN、云平臺等技術部署的具有伸縮性的網(wǎng)絡欺騙工具；

　?。?）結合認知心理學、軍事學等學科關于欺騙的研究成果，進行網(wǎng)絡欺騙模型與理論研究。

　　八、

　　結　語

　　網(wǎng)絡空間防御作為保證網(wǎng)絡安全的關鍵，無論在方法理論、體系構建、還是技術實施等方面都在不斷推陳出新。不同于以往“封門堵漏”的被動防御思想，網(wǎng)絡空間防御正朝著主動防御的思想策略發(fā)展演變。欺騙防御跳出了技術對抗的思路，把關注點從攻擊上挪開，進而去關注攻擊者本身。即使人類進入量子計算時代，但凡人性的弱點還沒有消失，欺騙和防御的故事都會不斷上演，而且在未來的信息對抗中將扮演越來越重要的作用。