美國有線電視新聞網(wǎng)（CNN）3月13日報道稱，經(jīng)過近一個月調(diào)查發(fā)現(xiàn)，俄羅斯操縱網(wǎng)絡(luò)輿論的“巨魔軍隊”繼2016年以來繼續(xù)利用網(wǎng)絡(luò)假消息干擾本屆美國大選。該機構(gòu)長期從事網(wǎng)絡(luò)虛假消息活動，秘密設(shè)置大量偽造的 Twitter、Facebook以及其他社交媒體賬戶，以蠱惑西方民眾。2016年，俄羅斯的“巨魔工廠”位于圣彼得堡的一個辦公大樓，而今年，則將該工廠移到了地處西非的加納和尼日利亞，顯然，這次的手法更隱蔽，更具針對性、更難識別和跟蹤。

　　網(wǎng)絡(luò)輿論干擾國家大選是網(wǎng)絡(luò)空間常見的一種攻擊形式，隨著網(wǎng)絡(luò)空間在世界各國經(jīng)濟、政治、軍事等領(lǐng)域戰(zhàn)略制高點地位的提升，以及國家、組織間日益劇增的各種樣式的網(wǎng)絡(luò)攻擊的頻繁出現(xiàn)，如何對網(wǎng)絡(luò)攻擊進行追蹤溯源，成為當(dāng)今國際社會備受關(guān)注的網(wǎng)絡(luò)空間安全問題。

　　一、 引   言

　　網(wǎng)絡(luò)攻擊追蹤溯源，美國軍方的說法是“Attribution”，中文直譯為“歸因”，一般指追蹤網(wǎng)絡(luò)攻擊源頭、溯源攻擊者的過程。也有研究將“Traceback”和“Source Tracking”視為與“Attribution”同等意義。

　　近年來備受關(guān)注的APT（Advanced Persistent Threat，高級持續(xù)性威脅）就是一種典型的網(wǎng)絡(luò)攻擊表現(xiàn)形式，這種攻擊針對特定目標(biāo)（用戶、公司或者組織）發(fā)起攻擊，直接目的是隱蔽竊密或者破壞關(guān)鍵基礎(chǔ)設(shè)施。與DDos為代表的攻擊類型不同的是，后者沒有區(qū)分攻擊的指向性，APT則頻繁使用跳板主機、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務(wù)進行網(wǎng)絡(luò)攻擊，追蹤溯源難度更大。

　　二、 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)研究現(xiàn)狀

　　1.      全球態(tài)勢

　?。?）     近十年全球APT典型案例

　　2010年， 震網(wǎng)攻擊了伊朗的核工業(yè)基礎(chǔ)設(shè)施， 造成約1000臺鈾濃縮離心機故障，遲滯了伊朗核計劃，這是全球第一起引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件。2015 年初起，孟加拉等多國的SWIFT 銀行轉(zhuǎn)賬系統(tǒng)先后遭到攻擊，累計造成了近1億美元的經(jīng)濟損失。2015年，烏克蘭一家電力公司的SCADA系統(tǒng)遭到入侵，造成22.5萬用戶長達(dá)數(shù)小時的電力中斷，給民眾生活和國家安全造成了嚴(yán)重危害。2016年美國大選期間，“郵件門”丑聞引起美國政壇的巨大震動， 影響了美國大選走向。還有報告顯示2019年烏克蘭大選、2018年韓國平昌冬奧會、2017 年法國大選、2016 年臺灣民選、2014年烏克蘭大選， 也不同程度地受到了 APT 的干擾。

　?。?）     近十年ATP典型事件及溯源結(jié)論

　　2.      研究現(xiàn)狀

　　以Cohen D為代表的研究團隊將網(wǎng)絡(luò)攻擊追蹤溯源劃分為追蹤溯源攻擊主機、追蹤溯源攻擊控制主機、追蹤溯源攻擊者、追蹤溯源攻擊組織機構(gòu)四個級別。首選在追蹤溯源第一層上使用Input Debugging、Itrace、PPM、DPM、SPIE等網(wǎng)絡(luò)數(shù)據(jù)包層面的技術(shù)方法；其次，第二層上使用內(nèi)部監(jiān)測、日志分析、網(wǎng)絡(luò)流分析、事件響應(yīng)分析等技術(shù)；再次，在第三層上總結(jié)的自然語言文檔分析、Email分析、聊天記錄分析、攻擊代碼分析、鍵盤信息分析等技術(shù)。

　　另一種具有代表性的研究方法則是根據(jù)不同的攻擊場景，將網(wǎng)絡(luò)攻擊追蹤溯源劃分為虛假IP追蹤、Botnet追蹤、匿名網(wǎng)絡(luò)追蹤、跳板追蹤和局域追蹤五類問題，并將解決這五類問題的技術(shù)方法歸納為4中類型：包標(biāo)記、流水印、日志記錄和滲透測試。其中，包標(biāo)記方法主要包括Itrace、PPM、DPM 技術(shù)，其作為網(wǎng)絡(luò)數(shù)據(jù)包層面的追蹤溯源方法，難以應(yīng)對復(fù)雜的以APT為代表類型的網(wǎng)絡(luò)攻擊。流水印技術(shù)不需要修改協(xié)議， 也適用于加密流量， 甚至可以用來追蹤溯源一些以匿名網(wǎng)絡(luò)為跳板的網(wǎng)絡(luò)攻擊，但是流水印技術(shù)需要大量匿名網(wǎng)絡(luò)基礎(chǔ)設(shè)施的支持，因而不易實施，同時在技術(shù)上要保證水印檢測的準(zhǔn)確率也有一定難度存在。日志記錄技術(shù)則是一種被動追蹤溯源方法， 存在所記錄的信息有限、可能被攻擊者篡改的問題。滲透測試的方法可以為網(wǎng)絡(luò)攻擊的追蹤溯源提供關(guān)鍵突破， 但是技術(shù)難度大并且存在司法可信性方面的疑問。

　　3.      存在不足

　　目前的研究基于的攻擊場景多為諸如DDos的非定向網(wǎng)絡(luò)攻擊，沒有區(qū)分攻擊的指向性，在應(yīng)對類似APT等頻繁使用跳板主機、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)攻擊時，追蹤溯源能力有限。

　　從技術(shù)細(xì)節(jié)來看， 現(xiàn)有技術(shù)手段以被動追蹤溯源技術(shù)為主， 缺少主動獲取追蹤溯源關(guān)鍵信息方面的研究。網(wǎng)絡(luò)攻擊的隱蔽性和匿名性符合“木桶原理”， 因此， 追蹤溯源的突破往往取決于若干少量的核心關(guān)鍵線索。被動追蹤溯源收集到的是攻擊者有意或無意泄露的信息， 線索質(zhì)量難以滿足溯源方的預(yù)期。需要結(jié)合主動溯源進行主動出擊， 在司法允許的范圍內(nèi)，結(jié)合陷阱、誘捕、欺騙和軟硬件特性利用等方法， 同時在攻擊目標(biāo)和攻擊者兩端獲取高質(zhì)量的關(guān)鍵溯源線索。

　　從系統(tǒng)性來看， 各類追蹤溯源技術(shù)獨立使用、各自為戰(zhàn)， 而缺少定向網(wǎng)絡(luò)攻擊追蹤溯源的整體模型研究。模型研究作為基礎(chǔ)性工作， 可以有效整合現(xiàn)有策略、資源和技術(shù)手段，并應(yīng)用于網(wǎng)絡(luò)和系統(tǒng)的各個層面上， 形成面向追蹤溯源的縱深化防御體系。

　　總體來看， 現(xiàn)有研究成果大多面向非定向網(wǎng)絡(luò)攻擊，而缺少專門面向定向網(wǎng)絡(luò)攻擊追蹤溯源的理論和技術(shù)的研究。定向網(wǎng)絡(luò)攻擊是應(yīng)用和業(yè)務(wù)層面上而非網(wǎng)絡(luò)層面上的攻擊，更具隱蔽性、匿名性、持久性和復(fù)雜性，追蹤溯源的難度更大。同時， 定向網(wǎng)絡(luò)攻擊使用的攻擊工具和攻擊方法，也和非定向網(wǎng)絡(luò)攻擊有著顯著的區(qū)別。因此，在定向網(wǎng)絡(luò)攻擊追蹤溯源理論和技術(shù)方面， 需要進一步地創(chuàng)新。

　　三、 現(xiàn)有主流網(wǎng)絡(luò)攻擊溯源技術(shù)

　　1.      威脅情報技術(shù)

　　為了更加準(zhǔn)確高效地追蹤溯源網(wǎng)絡(luò)攻擊， 工業(yè)界提出了威脅情報（Threat Intelligence）這一概念。Gartner 曾給出了比較通用的威脅情報定義：威脅情報是一種基于證據(jù)的知識，包括威脅相關(guān)的上下文信息 （Context） 、 威 脅 所 使 用 的 方 法 機 制（Mechanisms）、威脅指標(biāo)（Indicators）、攻擊影響（Implications）以及應(yīng)對建議（Actionable advices）等。威脅情報描述了現(xiàn)存的或者即將出現(xiàn)的針對資產(chǎn)的威脅或危險， 并可以用于通知受害一方針對威脅或危險采取應(yīng)對措施。

　　2013年，David J. Bianco在總結(jié)威脅指標(biāo)（IOC,Indicator of Compromise）類型及其攻防對抗價值的基礎(chǔ)上， 建立了威脅情報價值金字塔模型（The Pyramid of Pain）， 該模型揭示了防御者追蹤溯源到不同的威脅指標(biāo)時， 會導(dǎo)致攻擊者付出的代價大小。2014年初，美國建立網(wǎng)絡(luò)威脅情報整合中心，負(fù)責(zé)對各部門收集的情報分析，并為其他部門提供分析報告，加強應(yīng)對網(wǎng)絡(luò)威脅。2015年，研究學(xué)者楊澤明等明確指出“威脅情報的共享利用將是實現(xiàn)攻擊溯源的重要技術(shù)手段”。目前，CERT、防病毒公司，安全服務(wù)公司，非政府安全組織等建立了各自的在線威脅情報平臺， 提供查詢和分析服務(wù)， 可以查看安全預(yù)警公告、漏洞公告、威脅通知等，幫助追蹤溯源網(wǎng)絡(luò)攻擊。

　　威脅情報在網(wǎng)絡(luò)攻擊追蹤溯源方面的優(yōu)勢在于其海量多來源知識庫以及情報的共享機制。這些情報可以為追蹤溯源工作提供有力支撐： 防御者將已掌握的溯源線索作為輸入傳遞給威脅情報系統(tǒng)，后者通過關(guān)聯(lián)和挖掘， 不斷拓展線索的邊界， 輸出大量與已知線索存在關(guān)聯(lián)的新線索。利用威脅情報“一鍵溯源”（自動化追蹤溯源），是近年來學(xué)術(shù)界和工業(yè)界研究的熱點。

　　圖1 威脅情報追蹤溯源原理圖

　　2.      Web客戶端追蹤技術(shù)

　　Web客戶端追蹤技術(shù)，主要是指用戶使用客戶端（通常是指瀏覽器）訪問Web網(wǎng)站時，Web服務(wù)器通過一系列手段對用戶客戶端進行標(biāo)記和識別，進而關(guān)聯(lián)和分析用戶行為的技術(shù)?；跒g覽器及插件存儲機制（如Cookie）的Web追蹤，是該領(lǐng)域最早使用也是最廣為人知的技術(shù)。隨著前端技術(shù)的發(fā)展，許多新的Web追蹤機制應(yīng)運而生。近年來，有研究提出使用指紋技術(shù)跨網(wǎng)站追蹤瀏覽器用戶。

　　（1）     Cookie追蹤

　　1）      Cookie同步

　　Cookie同步是指用戶訪問某A網(wǎng)站時，該網(wǎng)站通過頁面跳轉(zhuǎn)等方式將用戶的Cookie發(fā)送到B網(wǎng)站，使得B網(wǎng)站獲取到用戶在A網(wǎng)站的用戶隱私信息，研究人員通過訪問了Alexa排名前1500網(wǎng)站，發(fā)現(xiàn)兩個追蹤者進行Cookie同步以后，可以把數(shù)據(jù)完全共享，就像是一個追蹤者一樣。

　　2）      Evercookie

　　用戶可以通過清空瀏覽器緩存等方式，清除已保存的Cookie，Evercookie將Cookie通過多種機制保存到系統(tǒng)多個地方，如果用戶刪除其中某幾處的Cookie， Evercookie仍然可以恢復(fù)Cookie，如果開啟本地共享對象（Local Shared Objects），Evercookie甚至可以跨瀏覽器傳播。

　?。?）     瀏覽器指紋

　　1）      基本指紋

　　基本指紋是任何瀏覽器都具有的特征標(biāo)識，比如硬件類型（Apple）、操作系統(tǒng)（Mac OS）、用戶代理（Useragent）、系統(tǒng)字體、語言、屏幕分辨率、瀏覽器插件 （Flash,Silverlight, Java, etc）、瀏覽器擴展、瀏覽器設(shè)置（Do-Not-Track, etc）、時區(qū)差（BrowserGMT Offset）等眾多信息。

　　2）      高級指紋

　　高級指紋是基于HTML5的方法，包括Canvas指紋、AudioContext指紋等。Canvas是HTML5中動態(tài)繪圖的標(biāo)簽，每個瀏覽器生成不一樣的圖案。AudioContext生成與Canvas類似的指紋，前者是音頻，后者是圖片。

　　3）      硬件指紋

　　硬件指紋主要通過檢測硬件模塊獲取信息，作為對基于軟件的指紋的補充，主要的硬件模塊有：GPU's clock frequency、Camera、Speakers/Microphone、Motion sensors、GPS、Battery等。

　　4）      綜合指紋

　　Web世界的指紋碰撞不可避免，將上述基本指紋和高級指紋綜合起來，計算哈希值作為綜合指紋，可以大大降低碰撞率。即為綜合指紋。

　?。?）     跨瀏覽器指紋

　　上述指紋都是基于瀏覽器進行的，同一臺電腦的不同瀏覽器具有不同的指紋信息，這樣造成的結(jié)果是，當(dāng)同一用戶使用同一臺電腦的不同瀏覽器時，服務(wù)方收集到的瀏覽器指紋信息不同，無法將該用戶進行唯一性識別，進而無法有效分析該用戶的的行為。學(xué)者研究了一種跨瀏覽器的瀏覽器指紋，其依賴于瀏覽器與操作系統(tǒng)和硬件底層進行交互進而分析計算出指紋，這種指紋對于同一臺電腦的不同瀏覽器也是相同的。

　　（4）     WebRTC

　　WebRTC（網(wǎng)頁實時通信，Web Real Time Communication），是一個支持網(wǎng)頁瀏覽器進行實時語音對話或視頻對話的API，功能是讓瀏覽器實時獲取和交換視頻、音頻和數(shù)據(jù)?；赪ebRTC的實時通訊功能，可以獲取客戶端的IP地址，包括本地內(nèi)網(wǎng)地址和公網(wǎng)地址。

　　Web 客戶端追蹤技術(shù)在網(wǎng)絡(luò)攻擊中扮演著重要角色， 不僅是攻擊者探測社工信息的重要平臺， 還是投遞攻擊載荷的重要通道。瀏覽器指紋在溯源方面的一個重要應(yīng)用場景便是跨網(wǎng)站追蹤：攻擊者同時擁有一個已公開的身份和一個未公開的身份，雖然兩個身份訪問了不同的網(wǎng)站， 但可以提取到相同的瀏覽器指紋， 這就可以通過指紋關(guān)聯(lián)來溯源攻擊者的真實身份。

　　3      網(wǎng)絡(luò)欺騙技術(shù)

　　網(wǎng)絡(luò)欺騙技術(shù)（Cyber Deception）由蜜罐技術(shù)演化而來。Gartner 將網(wǎng)絡(luò)欺騙技術(shù)定義為：使用騙局或者假動作來阻撓或者推翻攻擊者的認(rèn)知過程， 擾亂攻擊者的自動化工具， 延遲或阻斷攻擊者的活動， 通過使用虛假的響應(yīng)、有意的混淆、以及假動作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的。

　　網(wǎng)絡(luò)欺騙技術(shù)主要包括欺騙環(huán)境構(gòu)建和蜜餌部署。欺騙環(huán)境構(gòu)建依賴于虛擬化技術(shù)和蜜罐技術(shù)， 前者主要目的是模擬真實內(nèi)網(wǎng)， 構(gòu)建一個包括主機和網(wǎng)絡(luò)拓?fù)涞母叻抡嫫垓_基礎(chǔ)環(huán)境；后者則是在欺騙環(huán)境中部署包括大量泛業(yè)務(wù)的應(yīng)用級蜜罐群。蜜餌部署主要是在可能的攻擊路徑上放置虛假的誘騙信息， 如代碼注釋、數(shù)字證書、Robots 文件、管理員密碼、SSH 秘鑰、VPN 秘鑰、郵箱口令、ARP 記錄、DNS 記錄等， 從而誘使攻擊者進入可控的欺騙環(huán)境。

　　網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)攻擊追蹤溯源方面的作用與優(yōu)勢可歸納為三個方面：

　　第一，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊， 此為追蹤溯源的前提。網(wǎng)絡(luò)欺騙通過部署虛假環(huán)境和蜜餌， 吸引和誤導(dǎo)攻擊者， 一旦這些正常用戶難以觸及的資源被訪問， 則表明網(wǎng)絡(luò)極有可能正在被攻擊。

　　第二，粘住網(wǎng)絡(luò)攻擊， 為溯源網(wǎng)絡(luò)攻擊贏得時間和機會。防御者通過欺騙手段將網(wǎng)絡(luò)攻擊逐步吸引至虛假的欺騙環(huán)境， 可以消耗攻擊者的時間、精力和資源，減少其攻擊重要真實系統(tǒng)的可能， 還能夠大量暴露其 TTP, 從而為制定針對性的防御策略， 乃至溯源反制贏得主動。

　　第三，威懾網(wǎng)絡(luò)攻擊， 其核心能力是追蹤溯源。如果攻擊者意識到已落入欺騙陷阱， 這本身對其就是一種巨大的心理威懾，攻擊行為已被發(fā)現(xiàn)， 溯源線索可能已經(jīng)暴露。此外， 攻擊者長期處于欺騙環(huán)境的監(jiān)視之下， 防御者有充足的時間和空間部署工具、設(shè)置機關(guān)， 開展網(wǎng)絡(luò)攻擊追蹤溯源工作， 從而形成反制和威懾。

　　四、 啟  示

　　首先，網(wǎng)絡(luò)攻擊的追蹤溯源是一門藝術(shù)：沒有單純的技術(shù)方法可能程式化、計算、量化或全自動實現(xiàn)溯源，無論這種技術(shù)是簡單的還是復(fù)雜的。高質(zhì)量的溯源取決于各種技巧、工具以及組織文化，合作順暢的團隊、能力突出的個人、豐富的經(jīng)驗。

　　其次，網(wǎng)絡(luò)攻擊的溯源依賴于政治風(fēng)險。某個事件帶來的后果越嚴(yán)重、造成的損失越大，政府在確定攻擊者時可投入的資源和政治資本就會越多。在對某次攻擊所采取的所有響應(yīng)，包括執(zhí)法、外交或軍事手段中，溯源是最基本的一項工作，即首先需要明確攻擊者是誰。政府決定如何開展溯源，以及溯源到何種程度就足以采取回應(yīng)行動。

　　未來網(wǎng)絡(luò)攻擊追蹤溯源會以一種“自相矛盾”的方式進行演變。

　　一方面，溯源正在變得更容易。更完善的入侵偵測系統(tǒng)能實時發(fā)現(xiàn)攻擊，能更快地調(diào)用更多的數(shù)據(jù)。適應(yīng)更強的網(wǎng)絡(luò)將提高攻擊行為的成本，消除不確定因素，節(jié)省出資源以更好的識別高級攻擊。網(wǎng)絡(luò)犯罪增多，能推動執(zhí)法部門、甚至是不友好的國家間的跨部門合作，這也將使國對國的間諜行為更加難以隱藏，政治成本更高。

　　另一方面溯源也變得更加困難。攻擊者能從被公開的錯誤中汲取教訓(xùn)。強加密技術(shù)使用的增多也給取證制造了更多的問題，制約了大規(guī)模數(shù)據(jù)的搜集。事實上，由于沒有出現(xiàn)重大的后果，國家與非國家行為體可能不怎么擔(dān)心被抓個正著，導(dǎo)致動力不足，溯源疲勞癥也開始出現(xiàn)。