一、

　　引　言

　　2019年4月9日，Carbon Black發(fā)布最新報告指出：“攻擊者潛蹤匿跡的手段更為豐富，駐留受害者網(wǎng)絡(luò)的時間增長。剛剛過去的3個月里，攻擊者反擊安全工具和管理員的行為有5%的上升。不只是入侵，攻擊者傾向于更長久地潛藏在網(wǎng)絡(luò)中，已成為攻擊者大政方針的一部分?！?/p>

　　事實(shí)上，內(nèi)部有潛伏者已成常態(tài)，漏洞也成了備受歡迎的“硬通貨”。面對新的境況，尤其是當(dāng)防御者在利用云計算IaaS、PaaS、SaaS架構(gòu)來探索構(gòu)建“海、網(wǎng)、云”協(xié)同防御體系時，黑客已經(jīng)公然推出了HaaS（HackerasaService，黑客即服務(wù)）的創(chuàng)新模式，悄悄踏上了攻擊服務(wù)化的快車道。漏洞是挖不完的，黑客威脅永遠(yuǎn)存在，這也決定了沒有一勞永逸的防御方法，攻防競賽永遠(yuǎn)存在。要想改變攻防對抗的不對稱格局，只有改變防御的游戲規(guī)則。

　　網(wǎng)絡(luò)欺騙防御一開始就是建立在內(nèi)部有潛伏者的理念上并以此為基礎(chǔ)而設(shè)計的。不同于以往追求構(gòu)建完美無瑕的系統(tǒng)以抵御攻擊的思路，網(wǎng)絡(luò)欺騙防御是一種通過不斷變換系統(tǒng)特性、限制脆弱性暴露、欺騙攻擊視圖、增加攻擊成本等方法，以提升防御有效性的主動防御新技術(shù)。網(wǎng)絡(luò)欺騙防御已成為移動目標(biāo)防御（MTD）的重要技術(shù)手段和工具?！捌垓_防御”的本意，并非戲弄攻擊者或激怒攻擊者，其最重要的價值在于為MTD系統(tǒng)提供增加攻擊面轉(zhuǎn)換空間的手段，提高M(jìn)TD的防御熵，也是更高層次上的防御智能化的核心。

　　隨著人工智能、博弈論等理論體系的完善，以及軟件定義網(wǎng)絡(luò)（SDN）、云計算、虛擬化等新技術(shù)的成熟，“欺騙防御”已經(jīng)遠(yuǎn)遠(yuǎn)超越了蜜罐的概念，取得了新的發(fā)展。

　　二、

　　網(wǎng)絡(luò)欺騙技術(shù)的定義及發(fā)展

　?。?）網(wǎng)絡(luò)欺騙技術(shù)的定義

　　從網(wǎng)絡(luò)安全防護(hù)角度來看，網(wǎng)絡(luò)欺騙防御技術(shù)作為一種主動式安全防御手段，可以有效對抗網(wǎng)絡(luò)攻擊。全球最具權(quán)威的IT研究與顧問咨詢公司Gartner從2015年起連續(xù)四年將攻擊欺騙列為最具有潛力的安全技術(shù)。同時給出了對網(wǎng)絡(luò)欺騙技術(shù)的描述：“欺騙技術(shù)被定義為使用騙局或者假動作來阻撓或者推翻攻擊者的認(rèn)知過程，擾亂攻擊者的自動化工具，延遲或阻斷攻擊者的活動，通過使用虛假的響應(yīng)、有意的混淆、以及假動作、誤導(dǎo)等偽造信息達(dá)到‘欺騙’的目的”。

　　通過上述描述可以看出，網(wǎng)絡(luò)欺騙是欺騙技術(shù)在網(wǎng)絡(luò)防御中的應(yīng)用，通過有意誤導(dǎo)對手的決策從而使得對手以有利用于防御方的形式行動或者不行動，在檢測、防護(hù)、響應(yīng)方面均能起到作用，能夠?qū)崿F(xiàn)發(fā)現(xiàn)攻擊、延緩攻擊以及抵御攻擊的作用。（1）發(fā)現(xiàn)網(wǎng)絡(luò)攻擊：通過在網(wǎng)絡(luò)中部署大量誘餌，并組合應(yīng)用多種欺騙手段引誘攻擊者，一旦攻擊者觸碰這些誘餌，則表明系統(tǒng)正在受到攻擊，防御者就可以迅速響應(yīng)，并定位溯源攻擊者；（2）延緩網(wǎng)絡(luò)攻擊：由于網(wǎng)絡(luò)中存在大量誘餌，攻擊者將陷入真假難辨的網(wǎng)絡(luò)世界，攻擊者需要花費(fèi)大量的時間來分辨信息的真實(shí)性，從而延緩了攻擊者的網(wǎng)絡(luò)攻擊，給予防御者更多的響應(yīng)時間，降低攻擊者對真實(shí)系統(tǒng)攻擊的可能性；（3）抵御網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)欺騙防御技術(shù)使用了與真實(shí)環(huán)境相同的網(wǎng)絡(luò)環(huán)境，攻擊者無法分辨真假，因此會對誘餌目標(biāo)發(fā)起攻擊，采用大量攻擊手段、工具和技巧，而防御方可以記錄攻擊者的行為，從而為防御提供參考。

　　與傳統(tǒng)安全技術(shù)相比，網(wǎng)絡(luò)欺騙不是著眼于攻擊特征而是攻擊者本身，可以扭轉(zhuǎn)攻擊者與防御者之間的攻防不對稱：（1）通過網(wǎng)絡(luò)欺騙技術(shù)可以打破網(wǎng)絡(luò)系統(tǒng)的確定性、靜態(tài)性與同構(gòu)性，使攻擊者無法獲取準(zhǔn)確的環(huán)境信息；（2）通過網(wǎng)絡(luò)欺騙技術(shù)將攻擊者引入一個“偽造”的環(huán)境中，使攻擊者無法判斷攻擊是否成功，同時通過對攻擊者攻擊活動的記錄和分析，防御方可以獲取更多攻擊者的信息；（3）網(wǎng)絡(luò)欺騙系統(tǒng)與業(yè)務(wù)環(huán)境相融合，攻擊者探測到的并不是準(zhǔn)確的業(yè)務(wù)環(huán)境，也就無法構(gòu)建同樣的環(huán)境進(jìn)行武器實(shí)驗(yàn)；（4）通過在業(yè)務(wù)系統(tǒng)中布置偽造的數(shù)據(jù)，即使攻擊者成功竊取了數(shù)據(jù)，也會因?yàn)樘摷贁?shù)據(jù)的存在而降低了所竊取數(shù)據(jù)的總體價值。

　　（2）網(wǎng)絡(luò)欺騙技術(shù)的發(fā)展

　　網(wǎng)絡(luò)欺騙技術(shù)是一種積極主動的防御策略。一方面，通過構(gòu)造一系列虛假信息和環(huán)境誤導(dǎo)攻擊者的判斷，使得攻擊者做出錯誤的動作，將攻擊者引向陷阱的方式可消耗攻擊者的時間、精力，增加入侵的復(fù)雜度和不確定性；另一方面，更加容易監(jiān)控攻擊行為、采集攻擊數(shù)據(jù)，部署相關(guān)反制措施，對攻擊者進(jìn)行溯源追蹤和技術(shù)反制。網(wǎng)絡(luò)欺騙技術(shù)的發(fā)展可以概括為開創(chuàng)階段、蜜罐階段、欺騙防御階段三個階段。

　　開創(chuàng)階段：網(wǎng)絡(luò)欺騙技術(shù)的起源可以追溯到上世紀(jì)八十年代末期。1992年，AT＆T貝爾實(shí)驗(yàn)的Cheswick在一篇文章中討論了如何用虛假的信息誘惑黑客，以追蹤該黑客和了解其技術(shù)。由此可見，網(wǎng)絡(luò)欺騙技術(shù)早期主要是為了對抗人工攻擊。1998年，第一款采用欺騙技術(shù)進(jìn)行計算機(jī)防御的開源工具DTK發(fā)布。DTK使用Perl腳本實(shí)現(xiàn)，綁定系統(tǒng)上未使用的端口，接收攻擊者的輸入并給出存在漏洞的響應(yīng)。DTK不會被攻陷，因而可以部署在實(shí)際的業(yè)務(wù)系統(tǒng)中，使得攻擊者在入侵系統(tǒng)時需要做更多的選擇，以此提前發(fā)現(xiàn)攻擊和浪費(fèi)攻擊者的時間。

　　這一時期互聯(lián)網(wǎng)與計算機(jī)的應(yīng)用主要在政府、軍隊(duì)和高校等科研機(jī)構(gòu)，以數(shù)據(jù)共享為主。網(wǎng)絡(luò)入侵的攻擊者多由專業(yè)技術(shù)人員手工發(fā)起，以竊取數(shù)據(jù)為目標(biāo)，網(wǎng)絡(luò)攻擊范圍有限。網(wǎng)絡(luò)欺騙技術(shù)僅僅被部分安全管理人員部署在業(yè)務(wù)系統(tǒng)中用于檢測入侵，主要形式是在業(yè)務(wù)系統(tǒng)中插入虛假數(shù)據(jù)或開啟虛假服務(wù)。為了防止這一思路暴露后引起攻擊者的警覺，部分安全人員盡管采用了網(wǎng)絡(luò)欺騙技術(shù)，卻沒有公開描述。

　　蜜罐階段：2000年左右，蠕蟲漸成為互聯(lián)網(wǎng)的主要威脅之一。蠕蟲可以通過共享文件夾、電子郵件、系統(tǒng)漏洞等方式進(jìn)行傳播，互聯(lián)網(wǎng)的發(fā)展使得蠕蟲可以在極短時間內(nèi)蔓延全球，蠕蟲的早期檢測對蠕蟲的防范至關(guān)重要。逐漸的，蜜罐的思路開始形成。蜜罐被定義為一類安全資源，其價值在于未授權(quán)的利用，通過在業(yè)務(wù)網(wǎng)絡(luò)中部署一系列沒有真實(shí)的業(yè)務(wù)系統(tǒng)或資源形成陷阱，這些陷阱被訪問則代表攻擊的出現(xiàn)，以此檢測攻擊。蜜罐因捕獲數(shù)據(jù)價值高、幾乎沒有誤報、能夠檢測Oday攻擊，且只要蜜罐系統(tǒng)能夠覆蓋網(wǎng)絡(luò)的一小部分IP地址，就可以在早期檢測到蠕蟲的爆發(fā)，因此受到重視。

　　2005年以后，僵尸網(wǎng)絡(luò)逐漸興起，隨著新惡意代碼產(chǎn)生率的增高，迫切需要自動化的方式來采集惡意代碼以便及時發(fā)現(xiàn)僵尸網(wǎng)絡(luò)。隨著針對各種網(wǎng)絡(luò)應(yīng)用及非PC設(shè)備進(jìn)行傳播的惡意代碼增多，也出現(xiàn)了相應(yīng)的蜜罐，如Web應(yīng)用蜜罐、SSH應(yīng)用蜜罐、SCADA蜜罐、VoIP蜜罐、藍(lán)牙蜜罐、USB蜜罐、工控蜜罐、電話蜜罐、數(shù)據(jù)庫蜜罐等。在這一時期，自動化傳播的惡意代碼成為主流攻擊方式，蜜罐技術(shù)對惡意代碼的發(fā)現(xiàn)與樣本收集具有其他防御技術(shù)無可比擬的優(yōu)勢。

　　欺騙防御階段：2010年至今，隨著震網(wǎng)（Stuxnet）、Duqu、火焰（Flame）等高級持續(xù)性威脅（APT）出現(xiàn)，傳統(tǒng)安全機(jī)制無法很好的應(yīng)對此類威脅。基于網(wǎng)絡(luò)欺騙的安全防御方案得到了越來越多的安全研究人員的重視，它和已有安全防御體系相互補(bǔ)充，能夠更加有效的發(fā)現(xiàn)和抵御高級持續(xù)性攻擊，網(wǎng)絡(luò)欺騙技術(shù)因其自身的優(yōu)勢而受到了安全防御人員的關(guān)注。

　　根據(jù)全球第二大市場研究咨詢公司根據(jù)Markets and Markets 發(fā)布的一項(xiàng)最新的市場研究報告《2021年全球的欺騙防御技術(shù)市場前瞻》，在2021年欺騙防御技術(shù)的市場規(guī)模將從現(xiàn)在的10.4億美元增長到20.9億美元，復(fù)合年增長率（CAGR）約為15.1%。據(jù)預(yù)測，北美市場份額最大，亞太市場增長最快。亞太地區(qū)的欺騙防御技術(shù)市場具有極大的增長潛力，該地區(qū)廣泛存在的中小企業(yè)正在尋求高級網(wǎng)絡(luò)欺騙防御方案來對抗高級持續(xù)性威脅。銀行、金融服務(wù)和保險垂直行業(yè)預(yù)計為欺騙防御市場貢獻(xiàn)最大的份額。

　　目前，國外欺騙防御技術(shù)的主要供應(yīng)商包括：Rapid7（美國），LogRhythm（美國），TrapX安全（美國），Attivo網(wǎng)絡(luò)（美國），Attivo Networks（以色列），Cymmetria（以色列），GuardiCore（以色列），Allure Security Technology （美國），vArmour（美國），Smokescreen Technologies（印度）。網(wǎng)絡(luò)欺騙產(chǎn)品頗具代表性的有：以色列公司illusice的Deceptions Everywhere、Cymmetria的MazeRunner，美國公司TrapX的DeceptionGrid Platform、Attivo公司的ThreatMatrix Platform等。國內(nèi)公司也緊跟業(yè)界步伐，代表性的產(chǎn)品有綠盟科技異常行為誘捕系統(tǒng)（微蜜罐），長亭科技公司的諦聽威脅感知系統(tǒng)，默安科技的幻陣系統(tǒng)（云密網(wǎng)），錦行科技的幻云系統(tǒng)等。

　　在學(xué)術(shù)界，2017年Springer出版社出版了《Cyber Deception》一書，本書的作者就是全球首本《移動目標(biāo)防御》的作者。這是第一本專門介紹網(wǎng)絡(luò)欺騙研究的著作，匯集了最新的網(wǎng)絡(luò)欺騙技術(shù)相關(guān)的研究成果；近年來，CCS、NDSS、USENIXSecurity等國際安全會議上也有相關(guān)學(xué)術(shù)論文發(fā)表。在政府方面，美國海軍和國防高級研究計劃局（DARPA）進(jìn)行了網(wǎng)絡(luò)欺騙技術(shù)應(yīng)對網(wǎng)絡(luò)恐怖主義的研宄以及網(wǎng)絡(luò)欺騙技術(shù)的探索。

　　網(wǎng)絡(luò)欺騙作為一種對抗性技術(shù)思路，從誕生開始就受到了學(xué)術(shù)界和產(chǎn)業(yè)界的關(guān)注，并涌現(xiàn)出一系列研究成果和工具。然而現(xiàn)有研究工作仍然存在一些不足：盡管有一些網(wǎng)絡(luò)欺騙技術(shù)的理論研究工作，當(dāng)前研究更側(cè)重于對欺騙工具的開發(fā)與網(wǎng)絡(luò)欺騙效果的分析，沒有成體系的理論基礎(chǔ)研究；高交互蜜罐系統(tǒng)能夠發(fā)現(xiàn)針對未知漏洞的攻擊，但是僅限于攻擊者利用的漏洞存在于構(gòu)建蜜罐時所用的應(yīng)用程序，這限制了蜜罐的捕獲范圍；當(dāng)前基于欺騙技術(shù)的工具對于攻擊信息的收集限于源IP、源端口、使用的攻擊樣本等，而忽視對攻擊者身份信息的收集；現(xiàn)有基于欺騙的安全工具在部署時往往與真實(shí)業(yè)務(wù)系統(tǒng)差別較大，容易被攻擊者所識別，且在部署上往往是隔離的，缺乏與已有安全機(jī)制的聯(lián)動。因此，深入理解網(wǎng)絡(luò)欺騙技術(shù)，總結(jié)其特性與演化規(guī)律，對于學(xué)術(shù)研究和工程實(shí)踐均具有重要意義。

　　三、

　　網(wǎng)絡(luò)欺騙技術(shù)分類

　　網(wǎng)絡(luò)欺騙本質(zhì)是通過布設(shè)騙局從而干擾攻擊者的認(rèn)知過程，欺騙環(huán)境的構(gòu)建機(jī)制是其實(shí)施的關(guān)鍵。本文從欺騙環(huán)境構(gòu)建的角度討論網(wǎng)絡(luò)欺騙技術(shù)的分類，這也是大多數(shù)網(wǎng)絡(luò)欺騙研究采用的分類方式。

　　蜜罐技術(shù)中有多種分類方式。根據(jù)欺騙環(huán)境提供的交互程度將其分為低交互蜜罐、中交互蜜罐、高交互蜜罐：低交互蜜罐往往采用軟件模擬的方式實(shí)現(xiàn)，而高交互蜜罐則采用真實(shí)系統(tǒng)構(gòu)建，中交互蜜罐采用功能受限的系統(tǒng)來部署，交互性介于兩者之間。根據(jù)作為誘餌的資源是不是計算機(jī)將其分為蜜罐與蜜標(biāo)：作為誘餌的資源是計算機(jī)時稱為蜜罐，非計算機(jī)的誘餌資源稱為蜜標(biāo)。根據(jù)蜜罐獲取代碼的方式分為被動蜜罐與主動蜜罐：被動蜜罐對外暴露漏洞，被動等待惡意代碼發(fā)現(xiàn)和攻擊，有時也稱為服務(wù)器蜜罐，主動蜜罐通過內(nèi)部構(gòu)造漏洞，主動訪問惡意代碼宿主（如惡意網(wǎng)頁），從宿主上下載惡意代碼，也稱為客戶端蜜罐。根據(jù)蜜罐的目的分為研究型蜜罐和應(yīng)用型蜜罐：研究型蜜罐一般用于科學(xué)研究，而應(yīng)用型蜜罐則用于商業(yè)用途。然而，蜜罐技術(shù)僅僅是網(wǎng)絡(luò)欺騙技術(shù)的一種，這一分類方法并不適用于所有的網(wǎng)絡(luò)欺騙技術(shù)，例如操作系統(tǒng)混淆、蜜標(biāo)、偽蜜罐等也是網(wǎng)絡(luò)欺騙技術(shù)的應(yīng)用，卻不適合采用此類分類方法。

　　按照欺騙環(huán)境的構(gòu)建方式將網(wǎng)絡(luò)欺騙技術(shù)可以分為四類：掩蓋、混淆、偽造、模仿。

　?。?）掩蓋欺騙通過消除特征來隱藏真實(shí)的資源，防止被攻擊者發(fā)現(xiàn)。典型工作如網(wǎng)絡(luò)地址變換，通過周期性的重新映射網(wǎng)絡(luò)地址和系統(tǒng)之間的綁定改變組織網(wǎng)絡(luò)的外形。Antonatos等人使用動態(tài)主機(jī)配置協(xié)議給每個主機(jī)重新分配網(wǎng)絡(luò)地址，用來對抗帶有目標(biāo)列表的蠕蟲。MUTE使用隨機(jī)地址跳變技術(shù)為主機(jī)重新分配與真實(shí)IP地址相獨(dú)立的隨機(jī)虛擬IP地址，以限制攻擊者掃描、發(fā)現(xiàn)、識別和定位網(wǎng)絡(luò)目標(biāo)的能力。

　　（2）混淆欺騙通過更改系統(tǒng)資源的特征使得系統(tǒng)資源看上去像另外的資源，從而挫敗攻擊者的攻擊企圖。典型工作如偽蜜罐，通過使真實(shí)系統(tǒng)具有蜜罐的特征從而嚇阻攻擊者。而通過采用計算機(jī)操作系統(tǒng)混淆，使得受保護(hù)的操作系統(tǒng)對遠(yuǎn)程探測工具表現(xiàn)出其他操作系統(tǒng)的特性，可以挫敗攻擊者的探測企圖。

　　（3）偽造欺騙通過采用真實(shí)系統(tǒng)或者資源構(gòu)建欺騙環(huán)境，通過偽造的資源吸引攻擊者的注意力從而發(fā)現(xiàn)攻擊或者消耗攻擊者的時間。典型的工作就是高交互蜜罐以及蜜標(biāo)技術(shù)，如蜜網(wǎng)、Honeybow、honeyfile等。此類技術(shù)特點(diǎn)是機(jī)密性好，但是維護(hù)與部署代價較高。

　?。?）模擬欺騙則是采用軟件實(shí)現(xiàn)的方式構(gòu)造出資源的特征。典型工作如Deception ToolKit（DTK），DTK綁定系統(tǒng)未使用的端口，被動的等待連接。如果攻擊者訪問了這些端口，DTK就會記錄訪問信息。此類欺騙機(jī)密性較低，適用于攻擊檢測與惡意代碼收集，不適合對攻擊者行為的長期觀察。但是因?yàn)樗假Y源小而且?guī)缀醪粫盹L(fēng)險，因此可以部署于業(yè)務(wù)主機(jī)之上，檢測范圍大，使用靈活。

　　四、

　　近年來網(wǎng)絡(luò)欺騙技術(shù)的研發(fā)及應(yīng)用

　?。?）Acalvio公司推出下一代分布式欺騙解決方案ShadowPlex

　　2017年4月，安全公司Acalvio正式推出ShadowPlex欺騙技術(shù)平臺，并進(jìn)入RSA 2018大會的創(chuàng)新沙盒角色，也體現(xiàn)了業(yè)界在該領(lǐng)域的創(chuàng)新程度。該平臺實(shí)現(xiàn)了其承諾的新型安全防御技術(shù)——流欺騙。任何欺騙技術(shù)背后的基本思想，都是提供某種形式的虛假前端，誘使攻擊者以為自己在對真實(shí)的用戶的基礎(chǔ)設(shè)施進(jìn)行漏洞利用。

　　傳統(tǒng)蜜罐一般只是一個虛假的主機(jī)，安全研究員觀察惡意樣本在蜜罐中的行為，并沒有蜜罐被攻破后攻擊者的進(jìn)一步行為分析和防護(hù)。與之相比，ShadowPlex是下一代分布式欺騙解決方案，提供了面向企業(yè)環(huán)境的自動化欺騙方法，可動態(tài)構(gòu)建各種交互度的虛假網(wǎng)絡(luò)和主機(jī)系統(tǒng)。此外，ShadowPlex定位從檢測、分析到響應(yīng)的全生命周期的高級威脅防護(hù)。（1）在檢測階段：ShadowPlex可精確和快速地檢測高級、多階段的攻擊；（2）在分析（Engage）階段：在受控的影子網(wǎng)絡(luò)（Shadow Network）中欺騙攻擊者，理解其攻擊模式，同時延誤對于真實(shí)資產(chǎn)的影響；（3）在響應(yīng)階段：識別攻擊者軌跡和網(wǎng)絡(luò)中潛在的脆弱點(diǎn)，生成可表示攻擊者特征的IoC（Indicator of Compromise）。

　　該產(chǎn)品與業(yè)界的方案相比有四方面的創(chuàng)新：第一，將敏捷開發(fā)DevOps應(yīng)用于欺騙技術(shù)：已有的欺騙方案需要大量的人工調(diào)查和分析，費(fèi)時費(fèi)力，因而欺騙系統(tǒng)的部署和維護(hù)成本很高。而本產(chǎn)品通過DevOps使得欺騙自動化，極大減少了人工成本；第二，流式欺騙（Fluid Deception）：已有的欺騙方案面臨一個難題–規(guī)?；ǖ徒换ィ﹙s.深度（高交互）。ShadowPlex結(jié)合了全面的動態(tài)欺騙從而提高了效率和效果；第三，攻擊者行為分析：ShadowPlex通過探針采集其他企業(yè)安全系統(tǒng)（如SIEM、EDR等）的數(shù)據(jù)來生成威脅情報和提供全面的攻擊行為分析；第四，欺騙農(nóng)場（Deception Farm）：可以部署在私有云和公有云（Azure、AWS等）上。

　　從部署角度看，Acalvio的ShadowPlex技術(shù)會在客戶網(wǎng)絡(luò)中安裝一個小小的代理，構(gòu)建一個安全隧道，并將IP地址投射到本地網(wǎng)絡(luò)（如果不用ShadowPlex技術(shù)，誘餌就必須部署在本地網(wǎng)絡(luò)了）。ShadowPlex的后端架構(gòu)，是虛擬機(jī)和Docker容器的組合。虛擬機(jī)被用于模擬網(wǎng)絡(luò)中的主機(jī)，容器則負(fù)責(zé)應(yīng)用和服務(wù)。

　　ShadowPlex平臺的核心元素，是對手行為分析（ABA）功能。ABA提供對手行為上下文，以回顧并確定攻擊者侵入網(wǎng)絡(luò)的路徑。ABA幫助確定攻擊發(fā)生的根源分析。此外，ShadowPlex中還有一個威脅分析引擎，會嘗試?yán)斫饨o定攻擊中發(fā)生的事情。最終目的，是要進(jìn)一步以新增的能力和洞見，強(qiáng)化威脅分析。

　?。?）安全公司 Illusive Networks推出欺騙防御技術(shù)新功能及幻影網(wǎng)絡(luò)3.0

　　2017年，以色列安全公司 Illusive Networks 利用郵件數(shù)據(jù)欺騙功能，植入虛假信息誘騙捕獲攻擊者，反轉(zhuǎn)攻防形勢。Illusive Networks 的核心技術(shù)，是其欺騙平臺，提供不同類型的誤導(dǎo)網(wǎng)絡(luò)和應(yīng)用路徑與信息，以期檢測到惡意攻擊者。郵件是非常豐富的信息來源，可以幫助攻擊者弄清公司運(yùn)作模式。Illusive用郵件欺騙所做的，就是在郵件層誘騙攻擊者，當(dāng)攻擊者檢查公司郵件收件箱時，只能獲得錯誤的路徑。Illusive郵件數(shù)據(jù)欺騙可被植入成貌似微軟Exchange郵件服務(wù)器和本地用戶收件箱信息的樣子，不會影響正常郵件操作。該解決方案的過人之處在于，只有攻擊者能看到誘騙信息，而真實(shí)的終端用戶看不到。因而，終端用戶不會被騙，也不會產(chǎn)生誤報，看到欺騙信息的唯一人員只能是攻擊者。此外，Illusive正在研發(fā)專注欺騙的額外金融服務(wù)，被稱為 SWIFT Guard 的欺騙平臺旨在幫助銀行對抗欺詐轉(zhuǎn)賬。

　　Illusive network推出其“幻影平臺”3.0版?；糜暗哪繕?biāo)是提供給用戶以攻擊者的視角幫助組織機(jī)構(gòu)理解風(fēng)險并防御攻擊，幻影網(wǎng)絡(luò)包括一個管理服務(wù)器能夠定義攻擊欺騙的策略，并通過鑒定去捕捉攻擊者威脅網(wǎng)絡(luò)的行為。這個平臺比“蜜罐”在捕獲攻擊者方面具備更多的優(yōu)勢?；糜?.0技術(shù)使用自身從網(wǎng)絡(luò)中學(xué)習(xí)到的信息去創(chuàng)造“攻擊者視角”，“幻影”的攻擊者視角并不是尋找軟件的缺陷，而是去嘗試確定攻擊載體。

　?。?）美空軍研發(fā)網(wǎng)絡(luò)欺騙系統(tǒng)

　　2017年，美國空軍研究實(shí)驗(yàn)室（AFRL）投資75萬美元開發(fā)網(wǎng)絡(luò)欺騙系統(tǒng)，該系統(tǒng)是一個生成流量的誤導(dǎo)系統(tǒng)，為了生成流量，系統(tǒng)會觀察本地流量，然后生成與現(xiàn)有流量無法區(qū)分的流量，但會經(jīng)過細(xì)微修改滿足管理員的目標(biāo)。附加的信息能被用來將對手引向假工作站或服務(wù)器，和/或?qū)⑺麄兊淖⒁饬恼嬲臋z索術(shù)詞或操作優(yōu)先項(xiàng)轉(zhuǎn)移開來，從而誤導(dǎo)滲透進(jìn)網(wǎng)絡(luò)的攻擊者，使其懷疑獲取的信息，或誤導(dǎo)他們犯錯，盡快暴露，以大大降低攻擊者滲透網(wǎng)絡(luò)的能力。該項(xiàng)目共分為兩個階段，第一階段重點(diǎn)研究如何根據(jù)對本地流量的觀察生成高度真實(shí)的流量。第二階段將集中擴(kuò)展各種協(xié)議的生成能力，并使用“蜜罐數(shù)據(jù)”（Honey Data）— 定制的數(shù)據(jù)誤導(dǎo)攻擊者，從而使其采取對我們有利的行動。

　?。?）美國陸軍研發(fā)網(wǎng)絡(luò)欺騙技術(shù)

　　2018年8月，美國陸軍卓越網(wǎng)絡(luò)中心在一份機(jī)構(gòu)聲明中表示，該中心正在測試網(wǎng)絡(luò)空間欺騙能力，“這種能力可以用來提供早期預(yù)警、虛假信息、混淆信息、賽博延遲或以其他方式阻礙賽博攻擊者”。美國陸軍補(bǔ)充說，通過使用一種基于傳感器的人工智能來學(xué)習(xí)網(wǎng)絡(luò)架構(gòu)和相關(guān)行為，從而實(shí)現(xiàn)拒止、中立、欺騙和重定向網(wǎng)絡(luò)攻擊。該聲明強(qiáng)調(diào)要使用自主設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)防御能力。

　　這并不是美國軍方首次對欺騙網(wǎng)絡(luò)攻擊者的技術(shù)研發(fā)工作進(jìn)行投資。六年多來，美國國防高級研究計劃局（DARPA）一直在投資一個項(xiàng)目，該項(xiàng)目通過偽裝、隱藏和欺騙攻擊者來保護(hù)網(wǎng)絡(luò)系統(tǒng)。其理念是對基礎(chǔ)設(shè)施和其他企業(yè)資源（如交換機(jī)、服務(wù)器和存儲器）進(jìn)行虛擬復(fù)制以混淆敵人視聽。誘餌文件系統(tǒng)可以混淆攻擊者，從而大大降低他們攻擊的成功率。該項(xiàng)目并不是一個獨(dú)立的系統(tǒng)。它是一個更大的以“移動目標(biāo)為主題”的情報、軍事和安全網(wǎng)絡(luò)項(xiàng)目的一部分，該主題隨時間的推移而不斷變化。

　　（5）IBM推出對抗語音網(wǎng)絡(luò)釣魚技術(shù)

　　2019年1月8日，IBM再次以共被授予9,100項(xiàng)專利位居美國年度專利斬獲榜首，其中，對抗語音網(wǎng)絡(luò)釣魚（vishing）技術(shù)尤其突出。語音網(wǎng)絡(luò)釣魚攻擊中，黑客利用網(wǎng)絡(luò)電話（VoIP）系統(tǒng)屏蔽掉呼叫源身份以欺騙受害者。IBM已經(jīng)注冊了一個問答系統(tǒng)專利，可以監(jiān)視并分析通話雙方語音交談，識別其間欺騙嘗試。IBM目前正開展網(wǎng)絡(luò)安全欺騙技術(shù)的創(chuàng)新研究，還有多項(xiàng)專利正在申請中。當(dāng)前普遍應(yīng)用的傳統(tǒng)安全方法存在巨大風(fēng)險，因?yàn)檫@些方法用默認(rèn)拒絕策略封堵已確知不希望出現(xiàn)在自己網(wǎng)絡(luò)上的東西，但弄清自己到底不希望哪些東西出現(xiàn)在自家內(nèi)網(wǎng)并不是件容易的事。網(wǎng)絡(luò)安全欺騙技術(shù)則是默認(rèn)放進(jìn)所有請求，然后用各處安放的陷阱和誘餌作為早期警報系統(tǒng)來檢測可疑行為。

　　五、

　　網(wǎng)絡(luò)欺騙防御技術(shù)的最新理論發(fā)展

　?。?）蜜罐補(bǔ)丁：一種新型軟件網(wǎng)絡(luò)空間欺騙技術(shù)

　　當(dāng)一個軟件安全漏洞被發(fā)現(xiàn)時，傳統(tǒng)的防御響應(yīng)是快速修補(bǔ)軟件來解決問題。但是，如果補(bǔ)丁具有暴露和突出防御者網(wǎng)絡(luò)中其他易受攻擊漏洞的副作用，這種常規(guī)的補(bǔ)救措施可能會適得其反。不幸的是，上述現(xiàn)象很常見。補(bǔ)丁式的修補(bǔ)方式往往使攻擊者能具體地推斷出哪些系統(tǒng)已被修補(bǔ)，哪些系統(tǒng)未打補(bǔ)丁、易受攻擊。由于補(bǔ)丁很少被直接采用，所以存在未打補(bǔ)丁的系統(tǒng)是不可避免的，例如，為確保補(bǔ)丁的兼容性，往往需要進(jìn)行提前檢測。因此，大多數(shù)軟件安全補(bǔ)丁對新發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)的同時，也告知了攻擊者該系統(tǒng)仍然易受攻擊。這不但形成了一種對抗文化，也使得漏洞探測成為網(wǎng)絡(luò)空間殺傷鏈中的關(guān)鍵一環(huán)。

　　蜜罐補(bǔ)丁是一種改變了游戲規(guī)則的替代辦法，可用來預(yù)測和擊敗這些定向的網(wǎng)絡(luò)空間攻擊。它的目標(biāo)是通過一種方式來修補(bǔ)新發(fā)現(xiàn)的軟件安全漏洞，也就是，使未來的攻擊者無法再次攻擊這些已修補(bǔ)的漏洞，但對攻擊者仍然顯示漏洞攻擊成功。這樣就掩飾了已修補(bǔ)的漏洞，防止攻擊者輕易地識別出哪些系統(tǒng)是真正未打補(bǔ)丁的，哪些是由打過補(bǔ)丁的系統(tǒng)偽裝而成的。所檢測到的攻擊會被重定向到隔離的、未打補(bǔ)丁的誘餌環(huán)境中，受害靶服務(wù)器具有完全交互功能，只不過利用“蜂蜜”數(shù)據(jù)向?qū)κ痔峁┘偾閳?，并積極主動地監(jiān)控對手的行為。

　　欺騙性的蜜罐補(bǔ)丁能力形成了一種先進(jìn)的、基于語言的主動防御技術(shù)，可以阻止、挫敗和誤導(dǎo)攻擊，并能顯著提高攻擊者所面臨的風(fēng)險和不確定性。除了有助于保護(hù)內(nèi)部設(shè)有蜜罐補(bǔ)丁的網(wǎng)絡(luò)空間之外，它也有利于公共網(wǎng)絡(luò)空間的安全。

　　（2）網(wǎng)絡(luò)空間抵賴與欺騙

　　網(wǎng)絡(luò)空間防御模式從靜態(tài)、被動的邊界防御逐步發(fā)展為外向型的主動防御，這種主動防御可以對網(wǎng)絡(luò)空間攻擊進(jìn)行學(xué)習(xí)、結(jié)合和影響。這種發(fā)展在策略、操作和戰(zhàn)略的層面為通過網(wǎng)絡(luò)空間抵賴與欺騙提高網(wǎng)絡(luò)系統(tǒng)抵御攻擊的能力打開了一扇新的大門。網(wǎng)絡(luò)空間抵賴與欺騙是一種新興的交叉學(xué)科網(wǎng)絡(luò)空間安全防御體系。

　　1）網(wǎng)絡(luò)空間欺騙鏈

　　網(wǎng)絡(luò)空間欺騙鏈?zhǔn)菑木W(wǎng)絡(luò)空間生命周期的角度建立的網(wǎng)絡(luò)空間抵賴與欺騙操作管理高級元模型。類比于洛克希德·馬丁公司提出的“網(wǎng)絡(luò)空間殺傷鏈”模型，網(wǎng)絡(luò)空間欺騙鏈?zhǔn)菑挠糜诓邉?、?zhǔn)備和執(zhí)行欺騙操作的流程發(fā)展而來的。網(wǎng)絡(luò)空間欺騙鏈促進(jìn)了網(wǎng)絡(luò)空間抵賴與欺騙、網(wǎng)絡(luò)空間威脅情報和網(wǎng)絡(luò)空間運(yùn)營安全3個系統(tǒng)間的相互融合。網(wǎng)絡(luò)空間欺騙鏈一共分為8個階段，如圖1所示。

　　圖1  網(wǎng)絡(luò)空間欺騙鏈

　　制定目標(biāo)：就是網(wǎng)絡(luò)空間欺騙的目的，由于網(wǎng)絡(luò)欺騙的根本目的是為了影響攻擊者的行為，網(wǎng)絡(luò)空間欺騙的目的則要與對攻擊者行為影響的預(yù)期息息相關(guān)。也就是說，欺騙的目的是通過引導(dǎo)攻擊者實(shí)施或不實(shí)施某些操作，來幫助防御方實(shí)施網(wǎng)絡(luò)空間防御。

　　收集情報：在網(wǎng)絡(luò)空間欺騙鏈的第二個階段中，拒絕與欺騙策劃者定義了攻擊者在遭到欺騙后的預(yù)期行為。從某種程度上說，攻擊者預(yù)期行為是策劃者通過網(wǎng)絡(luò)空間威脅情報定義的。主要包括攻擊者將會觀測到什么；攻擊者將會如何解讀這種觀測；攻擊者將會如何對觀測的結(jié)果進(jìn)行或不進(jìn)行反饋；以及攻擊者的行為如何被防御方監(jiān)控。

　　設(shè)計故事：所謂“封面故事”是指網(wǎng)絡(luò)空間抵賴與欺騙策劃者想要攻擊者探測和相信的信息。拒絕與欺騙策劃者會將重要組件的抵賴與欺騙操作考慮在內(nèi)；評估攻擊者觀測和分析的能力；虛構(gòu)令攻擊者信服的故事，并利用它“解釋”攻擊者可觀測運(yùn)營組件的原因；同時誤導(dǎo)攻擊者對其觀測意義和重要性的解讀。拒絕與欺騙策劃者將決定什么信息必須要被掩蓋，什么信息必須被虛構(gòu)并且曝光。

　　籌備工具：在這個階段，網(wǎng)絡(luò)空間抵賴與欺騙策劃者需要分析所要隱藏的真實(shí)事件和活動的特征，以支持封面故事的設(shè)計；要鑒別攻擊者可以觀測的相關(guān)簽名；要計劃利用拒絕策略（比如偽裝、重組、擾亂和標(biāo)注等）隱藏來自攻擊者的簽名。策劃者還要分析可用于描繪和觀測所支持騙局的名義上的事件與活動的特征；鑒別攻擊者可以觀測的相關(guān)簽名；計劃使用可以誤導(dǎo)攻擊者的欺騙性策略。

　　準(zhǔn)備欺騙：在這個階段，抵賴與欺騙策劃者需要對可以使攻擊者認(rèn)知和感知產(chǎn)生影響的欺騙運(yùn)行進(jìn)行設(shè)計，并探索可用的手段和資源以創(chuàng)造這些影響。

　　執(zhí)行欺騙：隨著欺騙轉(zhuǎn)變和真實(shí)運(yùn)營準(zhǔn)備的同步進(jìn)行和相互交叉，抵賴與欺騙策劃者和網(wǎng)絡(luò)空間運(yùn)營安全專家必須協(xié)同并控制所有正在進(jìn)行的相關(guān)運(yùn)營，從而可以在不妨礙和折損真實(shí)運(yùn)營的情況下持續(xù)、可靠、有效地支持和實(shí)施所設(shè)計的騙局。

　　實(shí)施監(jiān)控：抵賴與欺騙策劃者與網(wǎng)絡(luò)空間威脅情報分析師、網(wǎng)絡(luò)空間運(yùn)營安全專家共同對欺騙和真實(shí)運(yùn)營進(jìn)行監(jiān)測和控制。這將對友軍和敵軍的運(yùn)營準(zhǔn)備實(shí)施監(jiān)控；將會密切關(guān)注觀測通道和信源選擇性傳播給攻擊者的欺騙信息；將會監(jiān)測攻擊者對“表演”，即執(zhí)行的封面故事的反饋。網(wǎng)絡(luò)空間抵賴與欺騙操作員必須通過監(jiān)測攻擊者以決定欺騙性運(yùn)營是否對攻擊者行為產(chǎn)生了預(yù)期影響。

　　強(qiáng)化效果：如果網(wǎng)絡(luò)情報獲知欺騙操作沒有把封面故事“出售”給攻擊者，且并未對攻擊者的行為產(chǎn)生預(yù)期的影響，那么網(wǎng)絡(luò)空間抵賴與欺騙策劃者就需要通過進(jìn)一步欺騙、利用其他通道和信源將欺騙運(yùn)營傳遞給攻擊者以強(qiáng)化封面故事。策劃者要重回網(wǎng)絡(luò)欺騙鏈的第一步，執(zhí)行備用欺騙，或者規(guī)劃其他的運(yùn)營。

　　2）網(wǎng)絡(luò)空間欺騙鏈與網(wǎng)絡(luò)空間殺傷鏈

　　攻擊者在目標(biāo)網(wǎng)絡(luò)空間中對有價值的信息實(shí)施攻擊時都遵從一個通用的行為模式。攻擊者通常利用的網(wǎng)絡(luò)攻擊策略，可被網(wǎng)絡(luò)空間殺傷鏈或者攻擊周期劃分為6個階段。類似于網(wǎng)絡(luò)空間殺傷鏈，網(wǎng)絡(luò)空間欺騙鏈并非一次入侵。每前進(jìn)的一步都可能是遞歸或者不連貫的。網(wǎng)絡(luò)空間欺騙鏈同時也可以用于網(wǎng)絡(luò)空間殺傷鏈的任何一個階段，且欺騙操作的目的與殺傷鏈的每個階段都息息相關(guān)，如圖2所示。

　　圖2  創(chuàng)建網(wǎng)絡(luò)空間欺騙鏈防御

　　偵察：如果防御方可以察覺攻擊者偵察的力度，就可在傳遞階段為攻擊者提供為了實(shí)現(xiàn)防御目的而設(shè)置的一系列角色和Web足跡。值得注意的是，欺騙操作可被用于影響攻擊鏈中攻擊者將來的行為。

　　武器化：讓攻擊者對企業(yè)機(jī)構(gòu)漏洞、防御姿態(tài)，以及防御方可抵御攻擊武器化荷載的能力產(chǎn)生錯覺。如果偵察階段成功，攻擊者將會嘗試給一個或多個自以為真實(shí)而實(shí)則是虛假的人員角色傳輸武器化載荷。

　　漏洞利用：識別（攻擊者）對漏洞利用的企圖，可以讓防御方列用蜜罐環(huán)境使攻擊者進(jìn)行重定位。所謂蜜罐環(huán)境就是看似包含了豐富的漏洞信息的網(wǎng)絡(luò)組成部分，實(shí)則是防御方單獨(dú)設(shè)立，且可以監(jiān)測的網(wǎng)絡(luò)區(qū)域。其目標(biāo)就是隱藏所有可能被“發(fā)現(xiàn)”或暴露蜜罐的信息，以增加攻擊者偵察的時間長度。

　　控制：當(dāng)攻擊者擁有了唾手可得的接入權(quán)限時，通過給攻擊者提供由抵賴與欺騙策劃者設(shè)計的、具有豐富信息的互動型蜜罐，能幫助防御方識別攻擊者的動機(jī)、意圖和能力成熟度。

　　執(zhí)行：通過模擬系統(tǒng)中斷使攻擊者的攻擊步伐放緩，以便于收集網(wǎng)絡(luò)空間情報。

　　維持：通過適時增加和定期去除虛假人員角色信息以保持高互動性蜜罐環(huán)境的真實(shí)性，同時還要維持新有人員角色及其他，比如文件、郵件、密碼修改記錄、登錄記錄、瀏覽記錄等。

　　表1  欺騙與殺傷鏈模型的映射關(guān)系

　　六、

　　網(wǎng)絡(luò)空間欺騙防御面臨的挑戰(zhàn)

　　第一類挑戰(zhàn)是如何將用于應(yīng)用欺騙技術(shù)描述的配置規(guī)則的語義進(jìn)行分類。而這些技術(shù)與它們屬于的網(wǎng)絡(luò)環(huán)境的細(xì)節(jié)相關(guān)。例如，如果檢測到可能的攻擊活動，則可以無條件地觸發(fā)網(wǎng)絡(luò)空間欺騙。然而，如果檢測到雙重用途網(wǎng)絡(luò)事件，則必然存在用于觸發(fā)欺騙防御的附加條件。這種需要附件條件的示例是發(fā)起請求DNS傳輸?shù)木W(wǎng)絡(luò)連接主機(jī)的源IP地址。如果請求并非來自預(yù)期執(zhí)行網(wǎng)絡(luò)管理活動的主機(jī)節(jié)點(diǎn)，則會觸發(fā)欺騙防御。

　　第二類挑戰(zhàn)是不同的欺騙技術(shù)如何對不同類型的用戶產(chǎn)生不同的影響。例如，在網(wǎng)絡(luò)上呈現(xiàn)虛假服務(wù)，雖然從網(wǎng)絡(luò)管理的角度會存在一些問題，但是對于正常用戶沒有影響。與此同時，使用諸如偽造密碼或者蜂窩對象（例如未使用的數(shù)據(jù)文件，或者未映射的網(wǎng)頁）的欺騙技術(shù)來防止對正常用戶或者高級用戶活動產(chǎn)生任何影響。然而，使用諸如協(xié)議模糊的技術(shù)則可能嚴(yán)重地影響正常用戶的操作，并且當(dāng)且僅當(dāng)檢測到攻擊并識別出攻擊者時才能夠被直接定向和觸發(fā)。

　　第三類挑戰(zhàn)是，如果檢測到可歸屬于正常用戶操作的活動，但其試圖執(zhí)行超出分配優(yōu)先范圍的動作，則也會觸發(fā)欺騙防御。例如如果某個主機(jī)嘗試啟用被內(nèi)部防火墻阻塞的口令，或者看似合法的內(nèi)部用戶嘗試訪問禁止的網(wǎng)絡(luò)共享以啟動TCP連接等。

　　未來應(yīng)對這些挑戰(zhàn)，一種可能的替代方法是對高級用戶的網(wǎng)絡(luò)請求/查詢采用多因素認(rèn)證。欺騙活動對正常業(yè)務(wù)的影響最好通過仔細(xì)選擇與安全策略相一致的欺騙技術(shù)來解決。與此同時，還要注意的是，每個分析的數(shù)據(jù)包來源必須通過使用欺騙系統(tǒng)本身的能力，或者依靠其他部署的第三方防御檢測加以驗(yàn)證。

　　七、

　　網(wǎng)絡(luò)欺騙防御技術(shù)的發(fā)展預(yù)測

　　現(xiàn)有網(wǎng)絡(luò)欺騙技術(shù)沒有形成固定且統(tǒng)一的形態(tài)，而是隨著攻擊技術(shù)與網(wǎng)絡(luò)安全需求的變化而演化。盡管有一些網(wǎng)絡(luò)欺騙技術(shù)的理論研究工作，然而更側(cè)重于對網(wǎng)絡(luò)欺騙效果的分析，沒有成體系的理論基礎(chǔ)與通用的標(biāo)準(zhǔn)規(guī)范。與其他安全防御措施相比，基于欺騙的防御工具需要防止被入侵者發(fā)現(xiàn)，這就要求與業(yè)務(wù)系統(tǒng)具有高度的一致性，現(xiàn)有的欺騙技術(shù)在根據(jù)業(yè)務(wù)系統(tǒng)進(jìn)行動態(tài)調(diào)整的能力上還有所欠缺，由安全人員開發(fā)的欺騙工具與業(yè)務(wù)環(huán)境契合度尚需完善。概括起來，網(wǎng)絡(luò)欺騙技術(shù)未來發(fā)展趨勢包括：

　?。?）與威脅情報相結(jié)合，一方面利用威脅情報提供的信息完善欺騙策略，另一方面欺騙技術(shù)捕獲到的信息反過來可以助力威脅情報的生成；

　?。?）可定制、智能化的網(wǎng)絡(luò)欺騙技術(shù)框架研究與開發(fā)，通過機(jī)器學(xué)習(xí)、人工智能等技術(shù)根據(jù)所部署的業(yè)務(wù)環(huán)境自動生成與業(yè)務(wù)系統(tǒng)高度一致、具有高保密性的欺騙環(huán)境；

　?。?）研究以SDN、云平臺等技術(shù)部署的具有伸縮性的網(wǎng)絡(luò)欺騙工具；

　?。?）結(jié)合認(rèn)知心理學(xué)、軍事學(xué)等學(xué)科關(guān)于欺騙的研究成果，進(jìn)行網(wǎng)絡(luò)欺騙模型與理論研究。

　　八、

　　結(jié)　語

　　網(wǎng)絡(luò)空間防御作為保證網(wǎng)絡(luò)安全的關(guān)鍵，無論在方法理論、體系構(gòu)建、還是技術(shù)實(shí)施等方面都在不斷推陳出新。不同于以往“封門堵漏”的被動防御思想，網(wǎng)絡(luò)空間防御正朝著主動防御的思想策略發(fā)展演變。欺騙防御跳出了技術(shù)對抗的思路，把關(guān)注點(diǎn)從攻擊上挪開，進(jìn)而去關(guān)注攻擊者本身。即使人類進(jìn)入量子計算時代，但凡人性的弱點(diǎn)還沒有消失，欺騙和防御的故事都會不斷上演，而且在未來的信息對抗中將扮演越來越重要的作用。