《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)淺析

網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)淺析

2021-10-20
來源:信息安全與通信保密雜志社
關(guān)鍵詞: 網(wǎng)絡(luò)攻擊 溯源

  美國有線電視新聞網(wǎng)(CNN)3月13日報(bào)道稱,,經(jīng)過近一個(gè)月調(diào)查發(fā)現(xiàn),,俄羅斯操縱網(wǎng)絡(luò)輿論的“巨魔軍隊(duì)”繼2016年以來繼續(xù)利用網(wǎng)絡(luò)假消息干擾本屆美國大選。該機(jī)構(gòu)長期從事網(wǎng)絡(luò)虛假消息活動(dòng),,秘密設(shè)置大量偽造的 Twitter,、Facebook以及其他社交媒體賬戶,,以蠱惑西方民眾。2016年,,俄羅斯的“巨魔工廠”位于圣彼得堡的一個(gè)辦公大樓,,而今年,則將該工廠移到了地處西非的加納和尼日利亞,,顯然,,這次的手法更隱蔽,更具針對性,、更難識別和跟蹤,。

  網(wǎng)絡(luò)輿論干擾國家大選是網(wǎng)絡(luò)空間常見的一種攻擊形式,隨著網(wǎng)絡(luò)空間在世界各國經(jīng)濟(jì),、政治,、軍事等領(lǐng)域戰(zhàn)略制高點(diǎn)地位的提升,以及國家,、組織間日益劇增的各種樣式的網(wǎng)絡(luò)攻擊的頻繁出現(xiàn),,如何對網(wǎng)絡(luò)攻擊進(jìn)行追蹤溯源,成為當(dāng)今國際社會備受關(guān)注的網(wǎng)絡(luò)空間安全問題,。

  一,、 引   言

  網(wǎng)絡(luò)攻擊追蹤溯源,,美國軍方的說法是“Attribution”,中文直譯為“歸因”,,一般指追蹤網(wǎng)絡(luò)攻擊源頭,、溯源攻擊者的過程。也有研究將“Traceback”和“Source Tracking”視為與“Attribution”同等意義,。

  近年來備受關(guān)注的APT(Advanced Persistent Threat,,高級持續(xù)性威脅)就是一種典型的網(wǎng)絡(luò)攻擊表現(xiàn)形式,這種攻擊針對特定目標(biāo)(用戶,、公司或者組織)發(fā)起攻擊,,直接目的是隱蔽竊密或者破壞關(guān)鍵基礎(chǔ)設(shè)施。與DDos為代表的攻擊類型不同的是,,后者沒有區(qū)分攻擊的指向性,,APT則頻繁使用跳板主機(jī)、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務(wù)進(jìn)行網(wǎng)絡(luò)攻擊,,追蹤溯源難度更大,。

  二、 網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)研究現(xiàn)狀

  1.      全球態(tài)勢

 ?。?)     近十年全球APT典型案例

  2010年,, 震網(wǎng)攻擊了伊朗的核工業(yè)基礎(chǔ)設(shè)施, 造成約1000臺鈾濃縮離心機(jī)故障,,遲滯了伊朗核計(jì)劃,,這是全球第一起引起廣泛關(guān)注的網(wǎng)絡(luò)攻擊事件。2015 年初起,,孟加拉等多國的SWIFT 銀行轉(zhuǎn)賬系統(tǒng)先后遭到攻擊,,累計(jì)造成了近1億美元的經(jīng)濟(jì)損失。2015年,,烏克蘭一家電力公司的SCADA系統(tǒng)遭到入侵,,造成22.5萬用戶長達(dá)數(shù)小時(shí)的電力中斷,給民眾生活和國家安全造成了嚴(yán)重危害,。2016年美國大選期間,,“郵件門”丑聞引起美國政壇的巨大震動(dòng), 影響了美國大選走向,。還有報(bào)告顯示2019年烏克蘭大選,、2018年韓國平昌冬奧會、2017 年法國大選,、2016 年臺灣民選,、2014年烏克蘭大選, 也不同程度地受到了 APT 的干擾。

 ?。?)     近十年ATP典型事件及溯源結(jié)論

  2.      研究現(xiàn)狀

  以Cohen D為代表的研究團(tuán)隊(duì)將網(wǎng)絡(luò)攻擊追蹤溯源劃分為追蹤溯源攻擊主機(jī),、追蹤溯源攻擊控制主機(jī)、追蹤溯源攻擊者,、追蹤溯源攻擊組織機(jī)構(gòu)四個(gè)級別,。首選在追蹤溯源第一層上使用Input Debugging、Itrace,、PPM,、DPM、SPIE等網(wǎng)絡(luò)數(shù)據(jù)包層面的技術(shù)方法,;其次,,第二層上使用內(nèi)部監(jiān)測、日志分析,、網(wǎng)絡(luò)流分析,、事件響應(yīng)分析等技術(shù);再次,,在第三層上總結(jié)的自然語言文檔分析,、Email分析、聊天記錄分析,、攻擊代碼分析,、鍵盤信息分析等技術(shù),。

  另一種具有代表性的研究方法則是根據(jù)不同的攻擊場景,,將網(wǎng)絡(luò)攻擊追蹤溯源劃分為虛假IP追蹤、Botnet追蹤,、匿名網(wǎng)絡(luò)追蹤,、跳板追蹤和局域追蹤五類問題,并將解決這五類問題的技術(shù)方法歸納為4中類型:包標(biāo)記,、流水印,、日志記錄和滲透測試。其中,,包標(biāo)記方法主要包括Itrace,、PPM、DPM 技術(shù),,其作為網(wǎng)絡(luò)數(shù)據(jù)包層面的追蹤溯源方法,,難以應(yīng)對復(fù)雜的以APT為代表類型的網(wǎng)絡(luò)攻擊。流水印技術(shù)不需要修改協(xié)議,, 也適用于加密流量,, 甚至可以用來追蹤溯源一些以匿名網(wǎng)絡(luò)為跳板的網(wǎng)絡(luò)攻擊,但是流水印技術(shù)需要大量匿名網(wǎng)絡(luò)基礎(chǔ)設(shè)施的支持,因而不易實(shí)施,,同時(shí)在技術(shù)上要保證水印檢測的準(zhǔn)確率也有一定難度存在,。日志記錄技術(shù)則是一種被動(dòng)追蹤溯源方法, 存在所記錄的信息有限,、可能被攻擊者篡改的問題,。滲透測試的方法可以為網(wǎng)絡(luò)攻擊的追蹤溯源提供關(guān)鍵突破, 但是技術(shù)難度大并且存在司法可信性方面的疑問,。

  3.      存在不足

  目前的研究基于的攻擊場景多為諸如DDos的非定向網(wǎng)絡(luò)攻擊,,沒有區(qū)分攻擊的指向性,在應(yīng)對類似APT等頻繁使用跳板主機(jī),、跳板網(wǎng)絡(luò)和公共網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)攻擊時(shí),,追蹤溯源能力有限。

  從技術(shù)細(xì)節(jié)來看,, 現(xiàn)有技術(shù)手段以被動(dòng)追蹤溯源技術(shù)為主,, 缺少主動(dòng)獲取追蹤溯源關(guān)鍵信息方面的研究。網(wǎng)絡(luò)攻擊的隱蔽性和匿名性符合“木桶原理”,, 因此,, 追蹤溯源的突破往往取決于若干少量的核心關(guān)鍵線索。被動(dòng)追蹤溯源收集到的是攻擊者有意或無意泄露的信息,, 線索質(zhì)量難以滿足溯源方的預(yù)期,。需要結(jié)合主動(dòng)溯源進(jìn)行主動(dòng)出擊, 在司法允許的范圍內(nèi),,結(jié)合陷阱,、誘捕、欺騙和軟硬件特性利用等方法,, 同時(shí)在攻擊目標(biāo)和攻擊者兩端獲取高質(zhì)量的關(guān)鍵溯源線索,。

  從系統(tǒng)性來看, 各類追蹤溯源技術(shù)獨(dú)立使用,、各自為戰(zhàn),, 而缺少定向網(wǎng)絡(luò)攻擊追蹤溯源的整體模型研究。模型研究作為基礎(chǔ)性工作,, 可以有效整合現(xiàn)有策略,、資源和技術(shù)手段,并應(yīng)用于網(wǎng)絡(luò)和系統(tǒng)的各個(gè)層面上,, 形成面向追蹤溯源的縱深化防御體系,。

  總體來看, 現(xiàn)有研究成果大多面向非定向網(wǎng)絡(luò)攻擊,,而缺少專門面向定向網(wǎng)絡(luò)攻擊追蹤溯源的理論和技術(shù)的研究,。定向網(wǎng)絡(luò)攻擊是應(yīng)用和業(yè)務(wù)層面上而非網(wǎng)絡(luò)層面上的攻擊,更具隱蔽性、匿名性,、持久性和復(fù)雜性,,追蹤溯源的難度更大。同時(shí),, 定向網(wǎng)絡(luò)攻擊使用的攻擊工具和攻擊方法,,也和非定向網(wǎng)絡(luò)攻擊有著顯著的區(qū)別。因此,,在定向網(wǎng)絡(luò)攻擊追蹤溯源理論和技術(shù)方面,, 需要進(jìn)一步地創(chuàng)新。

  三,、 現(xiàn)有主流網(wǎng)絡(luò)攻擊溯源技術(shù)

  1.      威脅情報(bào)技術(shù)

  為了更加準(zhǔn)確高效地追蹤溯源網(wǎng)絡(luò)攻擊,, 工業(yè)界提出了威脅情報(bào)(Threat Intelligence)這一概念。Gartner 曾給出了比較通用的威脅情報(bào)定義:威脅情報(bào)是一種基于證據(jù)的知識,,包括威脅相關(guān)的上下文信息 (Context) ,、 威 脅 所 使 用 的 方 法 機(jī) 制(Mechanisms)、威脅指標(biāo)(Indicators),、攻擊影響(Implications)以及應(yīng)對建議(Actionable advices)等,。威脅情報(bào)描述了現(xiàn)存的或者即將出現(xiàn)的針對資產(chǎn)的威脅或危險(xiǎn), 并可以用于通知受害一方針對威脅或危險(xiǎn)采取應(yīng)對措施,。

  2013年,,David J. Bianco在總結(jié)威脅指標(biāo)(IOC,Indicator of Compromise)類型及其攻防對抗價(jià)值的基礎(chǔ)上, 建立了威脅情報(bào)價(jià)值金字塔模型(The Pyramid of Pain),, 該模型揭示了防御者追蹤溯源到不同的威脅指標(biāo)時(shí),, 會導(dǎo)致攻擊者付出的代價(jià)大小。2014年初,,美國建立網(wǎng)絡(luò)威脅情報(bào)整合中心,,負(fù)責(zé)對各部門收集的情報(bào)分析,,并為其他部門提供分析報(bào)告,,加強(qiáng)應(yīng)對網(wǎng)絡(luò)威脅。2015年,,研究學(xué)者楊澤明等明確指出“威脅情報(bào)的共享利用將是實(shí)現(xiàn)攻擊溯源的重要技術(shù)手段”,。目前,CERT,、防病毒公司,,安全服務(wù)公司,非政府安全組織等建立了各自的在線威脅情報(bào)平臺,, 提供查詢和分析服務(wù),, 可以查看安全預(yù)警公告、漏洞公告、威脅通知等,,幫助追蹤溯源網(wǎng)絡(luò)攻擊,。

  威脅情報(bào)在網(wǎng)絡(luò)攻擊追蹤溯源方面的優(yōu)勢在于其海量多來源知識庫以及情報(bào)的共享機(jī)制。這些情報(bào)可以為追蹤溯源工作提供有力支撐: 防御者將已掌握的溯源線索作為輸入傳遞給威脅情報(bào)系統(tǒng),,后者通過關(guān)聯(lián)和挖掘,, 不斷拓展線索的邊界, 輸出大量與已知線索存在關(guān)聯(lián)的新線索,。利用威脅情報(bào)“一鍵溯源”(自動(dòng)化追蹤溯源),,是近年來學(xué)術(shù)界和工業(yè)界研究的熱點(diǎn)。

  圖1 威脅情報(bào)追蹤溯源原理圖

  2.      Web客戶端追蹤技術(shù)

  Web客戶端追蹤技術(shù),,主要是指用戶使用客戶端(通常是指瀏覽器)訪問Web網(wǎng)站時(shí),,Web服務(wù)器通過一系列手段對用戶客戶端進(jìn)行標(biāo)記和識別,進(jìn)而關(guān)聯(lián)和分析用戶行為的技術(shù),?;跒g覽器及插件存儲機(jī)制(如Cookie)的Web追蹤,是該領(lǐng)域最早使用也是最廣為人知的技術(shù),。隨著前端技術(shù)的發(fā)展,,許多新的Web追蹤機(jī)制應(yīng)運(yùn)而生。近年來,,有研究提出使用指紋技術(shù)跨網(wǎng)站追蹤瀏覽器用戶,。

  (1)     Cookie追蹤

  1)      Cookie同步

  Cookie同步是指用戶訪問某A網(wǎng)站時(shí),,該網(wǎng)站通過頁面跳轉(zhuǎn)等方式將用戶的Cookie發(fā)送到B網(wǎng)站,,使得B網(wǎng)站獲取到用戶在A網(wǎng)站的用戶隱私信息,研究人員通過訪問了Alexa排名前1500網(wǎng)站,,發(fā)現(xiàn)兩個(gè)追蹤者進(jìn)行Cookie同步以后,,可以把數(shù)據(jù)完全共享,就像是一個(gè)追蹤者一樣,。

  2)      Evercookie

  用戶可以通過清空瀏覽器緩存等方式,,清除已保存的Cookie,Evercookie將Cookie通過多種機(jī)制保存到系統(tǒng)多個(gè)地方,,如果用戶刪除其中某幾處的Cookie,, Evercookie仍然可以恢復(fù)Cookie,如果開啟本地共享對象(Local Shared Objects),,Evercookie甚至可以跨瀏覽器傳播,。

  (2)     瀏覽器指紋

  1)      基本指紋

  基本指紋是任何瀏覽器都具有的特征標(biāo)識,,比如硬件類型(Apple),、操作系統(tǒng)(Mac OS),、用戶代理(Useragent)、系統(tǒng)字體,、語言,、屏幕分辨率、瀏覽器插件 (Flash,Silverlight, Java, etc),、瀏覽器擴(kuò)展,、瀏覽器設(shè)置(Do-Not-Track, etc)、時(shí)區(qū)差(BrowserGMT Offset)等眾多信息,。

  2)      高級指紋

  高級指紋是基于HTML5的方法,,包括Canvas指紋、AudioContext指紋等,。Canvas是HTML5中動(dòng)態(tài)繪圖的標(biāo)簽,,每個(gè)瀏覽器生成不一樣的圖案。AudioContext生成與Canvas類似的指紋,,前者是音頻,,后者是圖片。

  3)      硬件指紋

  硬件指紋主要通過檢測硬件模塊獲取信息,,作為對基于軟件的指紋的補(bǔ)充,,主要的硬件模塊有:GPU's clock frequency、Camera,、Speakers/Microphone,、Motion sensors、GPS,、Battery等,。

  4)      綜合指紋

  Web世界的指紋碰撞不可避免,將上述基本指紋和高級指紋綜合起來,,計(jì)算哈希值作為綜合指紋,,可以大大降低碰撞率。即為綜合指紋,。

 ?。?)     跨瀏覽器指紋

  上述指紋都是基于瀏覽器進(jìn)行的,同一臺電腦的不同瀏覽器具有不同的指紋信息,,這樣造成的結(jié)果是,,當(dāng)同一用戶使用同一臺電腦的不同瀏覽器時(shí),,服務(wù)方收集到的瀏覽器指紋信息不同,,無法將該用戶進(jìn)行唯一性識別,進(jìn)而無法有效分析該用戶的的行為,。學(xué)者研究了一種跨瀏覽器的瀏覽器指紋,,其依賴于瀏覽器與操作系統(tǒng)和硬件底層進(jìn)行交互進(jìn)而分析計(jì)算出指紋,,這種指紋對于同一臺電腦的不同瀏覽器也是相同的。

 ?。?)     WebRTC

  WebRTC(網(wǎng)頁實(shí)時(shí)通信,,Web Real Time Communication),是一個(gè)支持網(wǎng)頁瀏覽器進(jìn)行實(shí)時(shí)語音對話或視頻對話的API,,功能是讓瀏覽器實(shí)時(shí)獲取和交換視頻,、音頻和數(shù)據(jù)?;赪ebRTC的實(shí)時(shí)通訊功能,,可以獲取客戶端的IP地址,包括本地內(nèi)網(wǎng)地址和公網(wǎng)地址,。

  Web 客戶端追蹤技術(shù)在網(wǎng)絡(luò)攻擊中扮演著重要角色,, 不僅是攻擊者探測社工信息的重要平臺, 還是投遞攻擊載荷的重要通道,。瀏覽器指紋在溯源方面的一個(gè)重要應(yīng)用場景便是跨網(wǎng)站追蹤:攻擊者同時(shí)擁有一個(gè)已公開的身份和一個(gè)未公開的身份,,雖然兩個(gè)身份訪問了不同的網(wǎng)站, 但可以提取到相同的瀏覽器指紋,, 這就可以通過指紋關(guān)聯(lián)來溯源攻擊者的真實(shí)身份,。

  3      網(wǎng)絡(luò)欺騙技術(shù)

  網(wǎng)絡(luò)欺騙技術(shù)(Cyber Deception)由蜜罐技術(shù)演化而來。Gartner 將網(wǎng)絡(luò)欺騙技術(shù)定義為:使用騙局或者假動(dòng)作來阻撓或者推翻攻擊者的認(rèn)知過程,, 擾亂攻擊者的自動(dòng)化工具,, 延遲或阻斷攻擊者的活動(dòng), 通過使用虛假的響應(yīng),、有意的混淆,、以及假動(dòng)作、誤導(dǎo)等偽造信息達(dá)到“欺騙”的目的,。

  網(wǎng)絡(luò)欺騙技術(shù)主要包括欺騙環(huán)境構(gòu)建和蜜餌部署,。欺騙環(huán)境構(gòu)建依賴于虛擬化技術(shù)和蜜罐技術(shù), 前者主要目的是模擬真實(shí)內(nèi)網(wǎng),, 構(gòu)建一個(gè)包括主機(jī)和網(wǎng)絡(luò)拓?fù)涞母叻抡嫫垓_基礎(chǔ)環(huán)境,;后者則是在欺騙環(huán)境中部署包括大量泛業(yè)務(wù)的應(yīng)用級蜜罐群。蜜餌部署主要是在可能的攻擊路徑上放置虛假的誘騙信息,, 如代碼注釋,、數(shù)字證書、Robots 文件,、管理員密碼,、SSH 秘鑰、VPN 秘鑰,、郵箱口令,、ARP 記錄,、DNS 記錄等, 從而誘使攻擊者進(jìn)入可控的欺騙環(huán)境,。

  網(wǎng)絡(luò)欺騙技術(shù)在網(wǎng)絡(luò)攻擊追蹤溯源方面的作用與優(yōu)勢可歸納為三個(gè)方面:

  第一,,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊, 此為追蹤溯源的前提,。網(wǎng)絡(luò)欺騙通過部署虛假環(huán)境和蜜餌,, 吸引和誤導(dǎo)攻擊者, 一旦這些正常用戶難以觸及的資源被訪問,, 則表明網(wǎng)絡(luò)極有可能正在被攻擊,。

  第二,粘住網(wǎng)絡(luò)攻擊,, 為溯源網(wǎng)絡(luò)攻擊贏得時(shí)間和機(jī)會,。防御者通過欺騙手段將網(wǎng)絡(luò)攻擊逐步吸引至虛假的欺騙環(huán)境, 可以消耗攻擊者的時(shí)間,、精力和資源,,減少其攻擊重要真實(shí)系統(tǒng)的可能, 還能夠大量暴露其 TTP, 從而為制定針對性的防御策略,, 乃至溯源反制贏得主動(dòng),。

  第三,威懾網(wǎng)絡(luò)攻擊,, 其核心能力是追蹤溯源,。如果攻擊者意識到已落入欺騙陷阱, 這本身對其就是一種巨大的心理威懾,,攻擊行為已被發(fā)現(xiàn),, 溯源線索可能已經(jīng)暴露。此外,, 攻擊者長期處于欺騙環(huán)境的監(jiān)視之下,, 防御者有充足的時(shí)間和空間部署工具、設(shè)置機(jī)關(guān),, 開展網(wǎng)絡(luò)攻擊追蹤溯源工作,, 從而形成反制和威懾。

  四,、 啟  示

  首先,,網(wǎng)絡(luò)攻擊的追蹤溯源是一門藝術(shù):沒有單純的技術(shù)方法可能程式化、計(jì)算,、量化或全自動(dòng)實(shí)現(xiàn)溯源,,無論這種技術(shù)是簡單的還是復(fù)雜的。高質(zhì)量的溯源取決于各種技巧,、工具以及組織文化,,合作順暢的團(tuán)隊(duì),、能力突出的個(gè)人,、豐富的經(jīng)驗(yàn),。

  其次,網(wǎng)絡(luò)攻擊的溯源依賴于政治風(fēng)險(xiǎn),。某個(gè)事件帶來的后果越嚴(yán)重,、造成的損失越大,政府在確定攻擊者時(shí)可投入的資源和政治資本就會越多,。在對某次攻擊所采取的所有響應(yīng),,包括執(zhí)法、外交或軍事手段中,,溯源是最基本的一項(xiàng)工作,,即首先需要明確攻擊者是誰。政府決定如何開展溯源,,以及溯源到何種程度就足以采取回應(yīng)行動(dòng),。

  未來網(wǎng)絡(luò)攻擊追蹤溯源會以一種“自相矛盾”的方式進(jìn)行演變。

  一方面,,溯源正在變得更容易,。更完善的入侵偵測系統(tǒng)能實(shí)時(shí)發(fā)現(xiàn)攻擊,能更快地調(diào)用更多的數(shù)據(jù),。適應(yīng)更強(qiáng)的網(wǎng)絡(luò)將提高攻擊行為的成本,,消除不確定因素,節(jié)省出資源以更好的識別高級攻擊,。網(wǎng)絡(luò)犯罪增多,,能推動(dòng)執(zhí)法部門、甚至是不友好的國家間的跨部門合作,,這也將使國對國的間諜行為更加難以隱藏,,政治成本更高。

  另一方面溯源也變得更加困難,。攻擊者能從被公開的錯(cuò)誤中汲取教訓(xùn),。強(qiáng)加密技術(shù)使用的增多也給取證制造了更多的問題,制約了大規(guī)模數(shù)據(jù)的搜集,。事實(shí)上,,由于沒有出現(xiàn)重大的后果,國家與非國家行為體可能不怎么擔(dān)心被抓個(gè)正著,,導(dǎo)致動(dòng)力不足,,溯源疲勞癥也開始出現(xiàn)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。