技術發展與網絡歸因問題的解決

文/張旭 劉楊鉞

1 網絡空間歸因問題的核心

美國國家科學院的赫伯特?林曾歸納網絡歸因存在的5個方面困境：攻擊者使用的網絡攻擊技術先前未曾見過；攻擊者沒有技術失誤，也沒有留下庭審線索；入侵者保持了完美的行動安全，沒有其他情報線索；入侵并為發生在沖突或者政治敵對時期，因此動機不明；對于入侵的快速回應阻礙對入侵行動的徹底調查2。具體而言，網絡歸因障礙源于：

（1）網絡空間具有匿名性、虛擬性、跨域性等特征，而網絡攻擊的瞬時性等特征又決定了網絡歸因“信息搜集困難”、“地理性標準模糊”和“證明標準缺失”的障礙1。

（2）網絡欺騙技術發展增大歸因難度。通過在機主不知情的情況下捕獲并連接多臺電腦形成“僵尸網絡”的方法，攻擊者可以遠程操控第三方電腦對他人進行攻擊，并在攻擊結束后將責任嫁禍于第三方，而專業人員往往只能查到攻擊電腦對IP地址，不能抓住其“幕后黑手”。

（3）國際網絡技術規范缺位阻礙網絡取證。由于國際互聯網治理機構和網絡取證規范尚未確立，網絡攻擊跨國境取證的條件并不具備，有學者提出“最大的歸因障礙來自于跨域司法管轄權的攻擊問題3”。

2 技術發展推動網絡歸因的解決

2.1 “誘騙式”動態防御技術

美國國家技術委員會提出了“移動目標防御”（MTD）的概念，旨在通過“部署和運行部署和運行不確定，隨機動態的網絡和系統”，克服傳統防御技術在靜態網絡配置下“信息固定不變”的缺點，在防御層“捕捉”罪犯。動態網絡防御系統將作為“誘餌”的偽目標嵌入系統中，誘騙攻擊者對其實施攻擊，從而觸發攻擊警報，或者擾亂攻擊者的視線，將其引入“死胡同”。在傳統的“蜜罐”技術基礎上，以色列IIIusive網絡安全公司開發了新型欺騙技術，增加了一層用戶不可見的“安全層”：只有能夠突破傳統網絡防御系統的黑客才能引起安全層的報警4，直接篩選出攻擊者。

“誘騙式”的動態防御技術在網絡防御環節實施網絡歸因，旨在網絡攻擊的初期對入侵實施取證和預警。

2.2 “網絡基因”與增強歸因項目技術

網絡歸因難以實施的部分原因是因為目前互聯網架構缺乏端對端審計環節，從防御者視角來說，黑客攻擊橫跨轄區、網絡和設備，但從防御者及盟友網絡環境來看，攻擊行為僅為“部分可見” 5，目睹完整的攻擊過程幾乎是不可能的。

美國國防高級研究計劃局（DARPA）發布了“網絡基因”項目，旨在利用曾經受到的網絡攻擊程序中的代碼，數據，研究出“網絡基因”，“網絡指紋”等表征惡意特征，從而對 “攻擊方確定與定位”提供技術支持6。

在此基礎上，增強歸因項目通過跟蹤和識別富有經驗的目標總結其行為特征，希望基于網絡活動研究出行為預測算法，從而識別潛在的攻擊者。美國情報高級研究計劃局（IARPA）研發項目’奧丁’，可以利用生物特征識別技術，通過對欺騙性指紋，面部圖像和虹膜的識別，對黑客攻擊進行探測。另外，美國的“多尺度異常檢測”（ADAMS），“IP聲納”等項目，通過深度分析已知的攻擊手段，來預測潛在的攻擊，并對潛在攻擊方實施確定與定位。

“網絡基因”與增強歸因項目技術跳出“偵查完整攻擊過程”的思路，從攻擊方本身特征為歸因問題找到了一個可能的出路。

2.3 “網絡鏡像”數據取證技術

攻擊者指向的網絡基礎設施一般包含命令控制服務器、攻擊載載荷托管服務器、數據文件轉存服務器、重定向器和域名等等，從歸因取證角度來說，如果切斷服務器的用電和網絡，就可能破壞部分攻擊證據。因此，獲得包含磁盤和內存數據在內的服務器鏡像比獲得服務器硬件有價值得多7。

美國2018年對俄GRU黑客提出訴訟書中，明確提出了起訴俄軍方兩支部隊12名情報人員的取證線索，其中包括：26165部隊對DCN實施釣魚攻擊時，用于隱藏IP來源的VPN賬號，與74455部隊以Guccifer2.0的名義對外公布泄密郵件的VPN賬號完全重合；用于支付此VPN賬號的比特幣錢包，又被證實與注冊dcleaks.com這一用于公布泄密材料域名的比特幣錢包是同一個；同時，美方通過截獲Guccifer2.0與第三方機構維基解密（WikiLeaks）之間未被加密的郵件內容，確認了其雙方之間的合謀關系8。美國司法部對于俄GRU黑客的起訴案例，充分表明了使用網絡鏡像分析解決網絡歸因問題的可能。

另一方面，美方對于俄網絡攻擊的取證過程充分展示了網絡歸因若想成功，需要具備的條件：

（1）先進的歸因技術；

（2）充足的網絡資源；

（3）完整的調查體系。

調查過程中，FBI、CIA、NSA等情報人員通過谷歌、推特等第三方公司獲得服務器鏡像數據；DCCC和DNC雇傭安全企業CrowdStrik公司調查攻擊者留下的行動線索，并應用了包括火眼（FireEye）和ThreatConnect等公司的取證分析報告；并最終由美國司法部起草并公布這樣一份起訴書。整個過程將政府、情報機構和企業構成了完整的取證鏈條，彰顯了網絡資源和調查體系對網絡歸因過程的重要性。

3 總結

互聯網的歸因問題是一種結構性問題，完美的網絡歸因很難達成，互聯網的歸因問題帶來的“網絡空間管理”、“網絡犯罪打擊”、以及“網絡攻擊取證”等困難的問題，在短時間內還很難得到解決。但是，隨著信息技術的不斷發展完善，網絡歸因問題的技術解決能力也不斷提升，“誘騙式”的動態防御技術、“網絡基因”與增強歸因項目技術和“網絡鏡像”數據取證等技術可以提升網絡歸因的準確率。與此同時，我們也要警惕技術鴻溝造成歸因能力差距，認清部分網絡大國充分掌握網絡資源、全面監視國際互聯網的客觀現實，找準我們在技術、資源和體系存在的差距，不斷提升我國的網絡歸因技術和能力。