网络侦察及其防御技术研究综述
本文对网络侦察的目标信息(用户信息、系统信息、网络信息和应用信息)进行了分类,并详细探讨了常见的网络侦察方法(如主动式主机扫描、端口扫描等)及防御技术(如基于特征分析的探测方法)。此外,文章还介绍了基于军事欺骗思想的信息伪装技术及其在网络中的应用,并提出了未来研究方向:新型网络技术带来的新形式攻击手段与防御策略建模等问题。通过全面总结当前网络安全领域的核心内容与技术发展现状,本文旨在为相关研究者提供理论支持与实践参考。
摘
要
网络安全中的网络侦察活动主要关注收集目标网络的相关信息这一目的。这种技术贯穿于整个网络安全威胁生态链的不同环节,并非单纯的防御措施而是对手深入目标系统的重要手段之一。该过程的核心在于对手能够深入目标网络并利用存在的漏洞和缺陷来破坏系统的安全性。值得注意的是,在这个过程中可能会导致目标系统的敏感信息被非法获取或泄露这一结果的发生概率较高。因此从防御的角度来看它可被视为针对信息系统的非法获取行为的一种高级威胁形式。本文将系统地探讨当前网络安全领域中与之相关的各个方面包括其主要形式、防御策略以及应对方法等从而构建一个完整的对抗性模型来帮助研究人员更好地理解和应对这类安全威胁。
内容目录:
1 网络侦察的目标信息
1.1 用户信息
1.2 系统信息
1.3 网络信息
1.4 应用信息
2 网络侦察方法
2.1 主动网络侦察
2.1.1 主机扫描
2.1.2 端口扫描
2.1.3 操作系统指纹识别
2.1.4 应用程序指纹识别
2.2 被动网络侦察
2.3 侧信道扫描
3 网络侦察防御方法
3.1 网络侦察检测
3.1.1 基于特征分析的网络侦察检测
3.1.2 基于异常的侦察流量检测
3.2 欺骗防御技术
3.3 移动目标防御技术
3.4 网络侦察追踪溯源技术
4 未来研究建议
4.1 网络侦察的新形式
4.2 网络侦察建模
4.3 网络侦察攻防博弈刻画
4.4 网络侦察防御效果评价
5 结 语
如今网络已经深深融入国家治理和社会管理的方方面面,在各个领域都发挥着不可替代的作用。与此同时网络安全也受到了社会各界的关注并被纳入国家安全体系的重要组成部分。随着技术的发展网络攻击的形式也经历了从个人行为向国家层面组织化犯罪活动转变的趋势研究此类技术及其防御措施已成为一项刻不容缓的任务。
网络侦察并不会直接破坏网络的安全性,
而是在帮助 attacker 识别系统中的漏洞与易受攻破的目标,
并协助制定具体的进攻路线,
最终达到成功的破坏效果。
特别对于那些结构复杂且管理较为完善的国家关键信息基础设施系统而言,
attacker 通常需要投入大量时间和精力进行持续的有组织信息收集,
并巧妙地整合利用多个已知漏洞和潜在弱点。
因此可以说,在网络安全领域中,
网络安全威胁不仅包括传统意义上的主动攻击手段(如病毒和恶意软件),
也包括被动的间谍活动——即所谓的‘network reconnaissance’。
攻击方收集目标网络信息的过程被称为网络安全威胁分析。可以采用洛克希德·马丁公司开发的网络杀伤链模型来描述整个网络安全威胁分析的具体过程,在该过程中网络安全威胁分析作为该过程的第一阶段具体可见。
图1 网络杀伤链模型
该网络杀伤链模型凸显了网络侦察在网络安全中的关键作用;然而该模型仅聚焦于外部网络安全领域的侦察活动。经过深入研究与优化创新,在此基础上构建了一个新的基于侦察导向的杀伤链分析框架(如图2所示)。
图2 基于侦察的网络杀伤链模型
该模型认为, 基于网络侦察的杀伤链构建模式突出了对外部与 internals目标信息收集的关键性环节. 在外 perimeter层面, 该过程可揭示对手所掌握的目标网络部署安全措施、运行设备及其服务配置等技术细节, 并借助现有的已知系统漏洞与工具库, 攻击者得以系统性地开展攻击载荷准备、漏洞利用及后续行动部署. 在 internal层面, 此环节则可为攻击载体在目标网络内域的横向移动提供技术支撑.
攻击者执行网络侦察所采用的战术与技术种类繁多,在主要上可分为社会工程学手段与技术手段两大类。其中具体的技术手段主要包括网络钓鱼、信息窃取以及网络安全漏洞利用等技术,并还包括流量分析等其他相关技术。已有大量文献对此展开了系统性研究,在理论探讨与实践应用方面均取得了一定成果;然而,在当前的研究中仍存在诸多不足之处:一方面未能充分揭示此类攻击活动的整体特征;另一方面则对防御对策的相关研究尚显薄弱。本文旨在系统地探讨基于技术手段的网络侦察目标信息及常规技术手段,并着重分析其防御策略
01 网络侦察的目标信息
该攻击者在执行网络侦察时所寻求的目标信息类型具有多样性。这是因为在网络攻击的不同阶段所寻找的目标信息类型各有差异,并且在针对不同的网络攻击目标时也会探索各自独特的目标信息。本文将网络侦察的焦点分为四类:用户数据、系统架构、网络架构和应用细节(如图3所示)。
图3 网络侦察的目标信息
1.1 用户信息
用户的网络设备信息是指涵盖网络环境下的设备及其相关信息的具体内容。具体包括账号详细资料、浏览记录数据以及用于追踪访问的数据(如Cookies)。
(1) 账号详细资料:包含用户的列表及其所属组别(即用户与群组关系表)、具体的登录模式(即登录方式)、访问控制设置(即权限管理配置)以及相关的权限分配。这些资料通常包括但不限于用户名与token凭证等关键信息。
(2)用户登录凭据:包含密码、证书等信息。通常情况下,攻击者会利用键盘记录器等间谍软件获取这些凭据。
(3)浏览器历史记录和cookie:指用户使用浏览器访问网站的记录信息。
1.2 系统信息
系统信息包含软件配置、正在进行中的进程、文件及目录资料以及安全环境等方面的信息内容。这些数据资料被用来指导攻击者实施下一步骤的攻击活动。
(1) 操作系统:涉及不同版本、具体型号以及设备序列号等关键数据记录的信息集合。这些关键数据能够协助攻击者识别并利用操作系统的漏洞。
系统配置指的是主机内所有软硬件设置的具体信息。例如,在Windows系统中,注册表项和值是重要的安全参数。这些设置信息能够帮助攻击者深入了解计算机的操作状态、运行的程序及其软件配置等关键细节。
(3)系统硬件及外网设备:涉及中央处理器 (Central Processing Unit, CPU)组件以及内存存储器等其他关键硬件的详细信息。这些数据能够提供关于供应商背景的信息,并揭示潜在的硬件漏洞以及虚拟化环境的存在。
安全环境:是指防火墙配置、防病毒软件的部署情况以及蜜罐机制或沙箱设置的存在;这些配置还能够帮助对手规避蜜罐机制、虚拟机运行环境以及沙箱设置等问题。
(5) 文件和目录:包括用于获取敌方账号信息及密码存储方案的系统文件和目录,并包含用于保护个人数据(如账号信息)以及企业财务报表等的数据存储安排方案。
1.3 网络信息
该类数据包括但不限于网络安全架构中的拓扑结构描述、通信协议体系的详细定义以及相关安全防护措施等内容。
这些技术手段能够为潜在威胁提供关于本地网络安全运行状态的详细情况。
(1) 域名和主机名:包括根身份验证机构记录 (Start of Authority, SOA)、域名服务器记录 (Name Server, NS) 和邮件交换记录 (Mail Exchanger, MX),以及其他相关子域和 whois 记录之类的信息;此类信息有助于识别与特定实体相关的网络资源。
主机标识:它指的是面向公共网络(公网)或资源受限网络(专网)的可达IP地址与端口组合。
该段落已按要求改写为:
(3) 网络架构:指终端设备、路由器、交换机、防火墙和其他关键网络设备组成的系统视图,在此架构下可助敌方制定从目标节点抵达路径并规划其横向移动策略。
(4) 网络协议与网络服务: 指涵盖Web技术, 文件传输机制, 域名系统以及电子邮件系统等内容, 并涉及相关的通信规范。
网络设备信息涉及路由器、交换机等硬件设备的制造商或供应商信息、操作系统及其版本号记录、制造商设定参数和网络配置详细说明等数据内容;这些关键的网络设备信息可以帮助攻击者利用现有的安全漏洞进行恶意攻击。
安全措施:指在网络环境中安装的防火墙、入侵检测系统、网络隔离机制以及蜜罐技术等网络安全设备。这些设施旨在为用户提供防护机制,并防止被追踪或溯源。
1.4 应用信息
应用相关组件、版本、配置以及漏洞的信息属于应用信息范畴,在网络安全防护过程中具有重要价值。这些关键数据能够为攻击者提供识别和利用应用程序漏洞的机会,并为其进行网络攻击活动提供可行性依据。
涵盖的应用开发框架包括Django、SpringBoot、Flask等不同开发框架及其运行时环境
(2) 软件配置即为设备上预装的各种程序与应用设置。这些信息有助于识别运行于设备上的各类软件产品的潜在漏洞,并且同时包含了访问令牌、用户的凭据以及可能存在的不安全设置等关键数据。
(3)云服务应用程序界面(Application Program Interface, API):它包含用户远程连接到云端获取相关信息的能力,并通过这些具体信息有助于提供关于虚拟机、云工具、服务以及其他各类资源的详细知识。
数据库:大多数应用程序采用了数据库系统;然而这些系统的配置可能存在漏洞或人为失误;攻击者可借此漏洞进行恶意网络攻击。
02 网络侦察方法
网络侦察寻找的目标信息类型多种类型,在不同目标信息类别下所采用的网络侦察手段也不尽相同。根据其在网络侦察过程中是否与目标发生紧密的信息交流互动特征不同,在实际应用中通常将网络侦察划分为主动型和被动型两大类。主动型网络侦察必然伴随目标网络的频繁通信互动过程,在这种模式下虽然能够有效获取所需情报数据但同时也显著提升了被目标网络安全系统察觉的风险导致其成功概率相对较低。被动型网络侦察则完全不进行任何形式的信息交互过程因此能够在一定程度上规避目标网络安全系统的监控从而提高了探测成功的可能性然而这通常需要配备大量专门的流量采集硬件设备以保证足够的监测效率由此带来的高昂成本也成为了其应用的主要制约因素之一。
2.1 主动网络侦察
该主动式网络探测活动通过向目标主机发送定制化的HTTP请求以生成特定响应来进行持续的探测。这些响应则提供了目标主机及其操作系统类型、开放端口状态以及正在运行的服务类型等详细信息。基于其广泛使用的性质,则该方法通常被归类为主动式网络扫描技术。具体而言,则可分为主机扫描任务、端口扫描任务以及基于操作系统指纹或应用程序指纹的识别任务。
2.1.1 主机扫描
主机探测旨在识别活跃状态下的IP地址范围内的活动设备。该过程通过发送主动探测数据包至目标网络以获取响应信息。常用的数据包构建通常遵循Internet控制报文协议(ICMP)与传输控制协议(TCP)标准框架设计。主要探测方法包括基于ICMP Aktivity IP-ping的标准探测、TCP确认(Ack)辅助ping探测以及基于TCP同步(SYN)机制的ping探测等技术方案。此外,在局域网环境下也可采用地址解析协议(ArP)辅助的数据包广播方式完成设备探测任务,在这种机制下系统会发送ArP数据包并接收相应响应以判断是否存在活动主机ArP探测技术是一种适用于局域网内活跃设备快速定位的有效低层探测手段。
2.1.2 端口扫描
该系统首先向目标网络的所有端口发射扫描数据包,并通过接收方程判断各端口的状态特性;随后系统将依据返回的具体方程进一步解析网络特征与拓扑架构;所采用的数据包构建主要基于TCP协议以及用户数据报协议(UDP);具体而言,在不同协议下采用特定的标志位组合实现了以下几种典型扫描方式:全连接型TCP扫描、SYN发起式扫描、ACK应答式扫描、XMAS广播型扫描、FIN终止式扫描、NULL隐含型.scan以及按窗口大小分组的TCP窗口式.scan;此外系统还支持基于UDP协议的数据报格式.scan
(1)TCP全连接扫描
该系统向目标端口发送带有SYN标志的TCP报文以尝试建立连接。当目标端口处于开放状态时,相应的回应报文中包含SYN-ACK标志字段。当攻击者接收到相应回应后发送带有ACK标志的数据包以完成三次握手流程。
(2)SYN扫描
该扫描同样向目标端口发射带有SYN标志的TCP报文,在与全连通式TCP扫描相异之处在于无法建立完備的TCP链接因而得名半联结式扫描 SYNA型.scan在接收带有SYN或ACK标识的信息报文时会开启目的端口号若检测到带有重置(Reset RST)标识的信息报文则会关閉目的端口号
(3)ACK扫描
该发送请求至目的端口传输仅带有ACK标志的TCP报文;若目的端口处于开放状态,则将响应带有RST标志的数据包;否则将不会作出回应。
(4)XMAS扫描
此扫描会向目标端口发送带有无效标志的数据包。
当目标端口处于关闭状态时,该扫描会返回给带RST标记的数据包。
开放的端口会忽略这些数据包,并不会返回任何内容。
Nmap通常使用FIN、URG(紧急)和PSH(推送)3个标记用于执行XMAS扫描。
XMASscan能够避开防火墙以及IDS(入侵检测系统)的探测,并且速度极快。
(5)FIN扫描
该程序向目标端口发送带有FIN标志位的数据包;当目标端口处于关闭状态时,则会返回带有RST标志位的数据包;而处于关闭状态的端口则会忽略这些数据包,并不会返回任何内容。
(6)NULL扫描
该系统向目标端口发送所有标记字段设为0的TCP段,并根据TCP协议的规定,在检测到目标端口已打开时,则会返回带有RST标志位的数据帧。
(7)TCP窗口扫描
使用TCP窗口协议向目标端口发送带有ACK标志的数据包,并通过分析返回方接收到的数据包中的重传标志位(RST)来判断目标连接是否已建立。具体而言,在接收方接收到带有非零重传标志位(RST)的数据包时,则认为该连接已打开;而当接收到方检测到重传标志位(RST)为空,则认为该连接已关闭;若接收到的结果既不包含确认信息也不支持ICMP回 reply,则认为该连接无法建立连接。
(8)UDP扫描
UDP扫描主要用于支持当前运行服务的技术服务器环境中的应用开发人员进行 UDP 端口探测活动。在 UDP 扫描操作中,默认情况下若目标主机处于关闭状态,则通常会收到相应报文反馈信息。典型的支持 UDP 端口开放服务的应用包括:域名系统 (Domain Name System, DNS) 作为网络基础管理工具、虚拟专用网络 (Virtual Private Network, VPN) 作为安全通信平台、简单网络管理协议 (Simple Network Management Protocol, SNMP) 作为统一网络管理方案以及网络时间协议 (Network Time Protocol, NTP) 作为同步远程时间服务的关键组件。此外,在 UDP 扫描操作中还可以实现对操作系统及相关服务软件版本信息的有效获取,并且可以在执行反向 DNS 解析操作时准确确定目标主机的完整 hostname 值
2.1.3 操作系统指纹识别
通过扫描远程目标计算机的操作系统信息来识别其操作系统的手段被称为操作系统指纹识别。这种技术主要依赖于端口扫描机制,并通过发送经过精心设计的数据包来触发特定响应。常用的特征提取技术包括TTL域分析、ID域分析、“Don’t Fragment”位分析、“Sequence number”域分析、“Acknowledgment number”域分析、TCP标记位和TCP窗口大小分析等方法。在实际应用中,常用的操作系统指纹识别工具如Nmap、sinfp、Xprobe2等程序通常会结合多种检测手段以提高检测效率和准确性。
2.1.4 应用程序指纹识别
程序应用指纹识别主要依赖于服务器端在接收客户端连接之前发送的预导信息,通常被称作'Banner'。当扫描主机发送主动连接请求时,攻击者能够捕获Banner并明确活跃的应用程序和服务的具体细节,如软件版本号等关键参数。通过进一步分析这些数据[9-10],系统能够判断该软件是否存在已知的安全漏洞。识别过程涉及的关键指标包括FIN字段、BOGUS标志、ISN采样、DF位、TCP初始窗口大小、ACK值、ICMP出错消息抑制机制、ICMP引用消息、ICMP出错消息回射完整性度量标准以及服务类型(Type of Service, TOS)等参数。
2.2 被动网络侦察
被动式网络安全探测不会生成额外的数据流量;相反,在探测过程中会有效获取现有数据流中的相关信息。为了确保所获取的信息是最新的信息内容,则有必要持续不断地更新目标系统的相关信息库。因为主动式网络安全探测系统并不依赖于现有的数据流来进行工作操作;因此它必须迅速生成大量定制化数据流来进行目标系统的探测活动;这样才能跟上目标系统的变化节奏;满足持续更新信息内容的需求。而被动式的网络安全探测系统则能够有效利用现有数据流来进行工作;因此它能够快速、全面地发现目标系统的变动情况;与主动式网络安全探测相比具有更高的全面性和时效性优势。
被动网络侦察的主要手段是网络流量嗅探技术。这种技术首先利用网络流量嗅探工具捕获网络安全相关的数据包,并主要采用Wireshark、Ettercap、TCPdump、Windump等常用工具进行操作。随后会对获取到的数据包进行深入分析研究。值得注意的是,在没有加密的情况下对手能够轻易获得用户的凭证信息如用户名和密码等关键数据项这些信息通常会显式地以明文形式存在例如在Telnet服务中输入用户名和密码即可直接访问远程服务器;而超文本传输协议(Hyper Text Transfer Protocol, HTTP)则允许攻击者直接获取客户端发送的所有敏感数据内容。随着现代网络安全防护体系中加密技术的应用日益普及基于流量嗅探的技术已经难以有效获取关键系统信息尤其是那些未加防护的服务端口以及特定应用层 protocols所携带的信息如操作系统版本应用程序类型端口配置等等然而即使如此一些通信 protocol仍然能够被flow analysis技术所探测到包括像Telnet这样的简单连接建立服务端口之间的关系分析甚至能够识别出潜在的安全漏洞和配置错误情况从而为防御策略的制定提供重要依据
2.3 侧信道扫描
与主动式探测攻击和被动式探测攻击基于目标主机的主要通信通道进行信息收集不同,在侧信道扫描过程中基于目标主机的非主控通信信道获取数据。常用的目标主机相关侧信道信息包括互联网协议标识(Internet Protocol Identity, IPID)以及SYN-backlog等指标。这种技术手段不仅能够识别两台目标主机之间的连接性状态,并且能够统计开放端口数量以及评估网络地址转换(Network Address Translation, NAT)设备后的主机分布情况;此外还可以基于此生成远程目标主机的独特指纹特征供后续分析使用。
03 网络侦察防御方法
网络侦察防御的主要目标是保护目标网络的关键信息。在执行网络侦察防御的过程中,首要任务通常是识别并检测潜在的网络侦察流量。当这些异常流量被发现后,则需要采取相应的处理措施来应对它们。这些处理措施包括截断流量、限制其传播速度以及生成虚假响应等技术手段。此外,在某些情况下,防御机制还可以通过扩大目标网络的可观察面来增强效果,在这种情况下,有效信息会被大量虚假信息所覆盖。
3.1 网络侦察检测
在多数情况下,实施对网络安全威胁进行检测与识别被视为众多网络安全防护策略中的第一步。然而,在实际应用中发现,并非所有情况都适用同样的方法——具体而言,在多数情况下,并非所有情况都适用同样的方法——只有当威胁行为具有明显的主动特征时才能被有效识别。其中最常见的手段是基于端点行为监控(IDS)的实时监控机制(即传统的入侵检测系统),但该技术存在明显的局限性——即传统 IDS 仅能发现部分特定类型的攻击行为(如表1所示)。
网络侦察检测方法主要采用两种主要方法进行操作:一种是以特征行为为依据的检测方式;另一种则是通过异常模式识别技术来实现对网络活动的监控。这两种不同的技术手段能够从不同的角度对潜在的安全威胁进行识别和应对。
3.1.1 基于特征分析的网络侦察检测
基于特征分析的网络侦察检测是一种系统化的方法,在网络安全领域具有重要的应用价值。该方法旨在通过对网络环境中的数据进行深入分析以发现潜在的安全威胁。其核心步骤包括从网络侦察的数据包中提取特征信息,并通过多种技术手段对这些特征进行研究以实现安全防护的目的。具体而言,在这一过程中会涉及到以下关键指标:包括协议类型、源IP地址、端口号码、协议标志位字段以及流量的时间特性(如起始时间和持续时长)等多个维度的信息。在实际应用中常用的技术主要有三种类型:第一种是基于规则引擎的传统网络侦察检测方案;第二种则是结合机器学习算法和深度学习模型的技术手段进行自动化的异常流量识别;第三种则是通过统计分析方法对异常流量进行识别与监控。
基于规则的网络侦察检测方法利用侦察流量通常具有固定特征的特性来实现对扫描网络侦察的有效识别。文献[17]报道了一种基于规则的快速端口扫描检测系统,该系统通过一组预先定义的规则与阈值来识别端口扫描行为,并由一个特征选择器与决策引擎共同完成检测过程。其检测特征主要包含包中设置标志类型、源IP地址、目标端口号以及两个连续包的时间间隔和连续包的数量等因素。此外,文献[18]等也提出了基于网络包内信息特征的不同端口扫描检测方法。
机器学习与深度学习等相关的技术在网络安全领域得到了广泛应用,在提升网络安全防御能力方面发挥了重要作用,并进一步应用于网络侦察流量检测领域。例如,在文献[19]中研究者采用了监督学习模型对SYN.scan、FIN.scan、“Xmas Tree".scan、“NULL".scan等多种隐蔽性扫描进行检测实验,在实验结果表明决策树模型在检测性能上具有显著优势的同时计算开销相对较低。此外,在文献[20]中提出了基于深度信念网络的端到端训练机制用于实现对多种端口扫描攻击的有效识别过程;而在文献[21]的研究中则通过对比实验对支持向量机(SVM)与深度学习算法在处理端口扫描攻击分类任务时的表现进行了深入分析;最终研究结果表明,在该数据集上基于深度学习算法构建的分类模型不仅达到了更高的分类准确率而且显著优于传统SVM方法
该统计方法的核心理念在于通过设定特定时间段内各端口扫描尝试流量数量的数据统计来判断异常流量特征。具体而言,在文献[22]中提出了一种基于端口扫描次数的空间分布模型构建方法。该模型将每个端口的扫描次数转化为坐标空间中的数据点,并持续监测质心位置的变化趋势。通过分析不同时间段内质心位置的动态变化模式,可以有效识别网络环境下的正常与异常流量分布特征差异。此外,在文献[17]中则提出了改进型的时间序列分析检测算法,在连续时间序列分析的基础上优化了异常流量检测流程,在动态变化环境下能够更精确地识别快速变化类型的网络攻击行为特征
3.1.2 基于异常的侦察流量检测
基于侦察流量异常特征的方法被用于实现对侦察流量的检测任务。研究者们曾设计了一种利用模糊逻辑控制器进行TCP端口扫描检测的技术方案,该方案主要由模糊规则库与Mamdani推理机制构成[23]。通过对实际运行结果进行评估发现,该技术方案较现有的Snort等IDS系统在多级端口扫描效率方面表现更为突出[24]。此外,文献[25]还深入探讨了如何通过Dendritic Cell Algorithm (DCA)来增强对恶意TCP端口扫描行为的检测能力[26]。值得注意的是,DCA不仅可以有效识别是否存在端口扫描行为,还可以进一步挖掘出执行该行为攻击者的源IP地址信息[27]。最后,文献[28]提出了一种新型异常侦察流量检测算法,该算法不仅能够准确判断是否存在端口扫描行为,还可以结合目标IP地址信息来实现更加精准的行为识别功能。
3.2 欺骗防御技术
网络欺骗技术是一种基于军事欺骗思想利用对手认知和决策上的弱点或偏见来干扰或误导对手网络攻击过程的主动防御技术。网络欺骗按其行为类型可分为信息模拟和伪装。信息伪装通过掩藏、混淆等手段对目标的关键信息进行隐藏,使对手难以获得目标的真实信息。信息模拟则是构建或使用虚假的信息来分散或误导对手的注意力,常用的方法有蜜罐[27]、蜜网、诱饵[28]。网络欺骗技术可以应用在系统信息、流量信息和拓扑信息方面。系统信息欺骗方面,文献[29]提出了基于聚类的连续匿名容器指纹欺骗方法,通过对容器网络地址进行跳变和容器操作系统指纹进行修改,实现容器指纹欺骗,可大大增加对手网络侦察的成本消耗。文献[30]提出了一个基于深度强化学习的侦察攻击欺骗框架,该框架融合了欺骗防御和人工智能技术,可增强云端虚拟机防御侦察攻击的能力。在流量信息欺骗方面,文献[31]基于对抗性机器学习生成伪装指纹,以对抗对手基于深度学习的指纹分析攻击。文献[32]基于生成对抗网络模型生成动态的伪装流量,以规避对抗基于流量分析的网络扫描攻击;文献[33]通过改变源应用程序的数据包长度的概率分布,来混淆网络流量分类器,可有效降低网络流量分类器的分类准确率。在拓扑欺骗方面,文献[34]和文献[35]通过生成高欺骗性、低成本和高效率的有效模糊网络拓扑来对抗对手基于断层扫描的网络拓扑侦察。而文献[36]通过直接在数据平面中拦截和修改路径跟踪探测来混淆拓扑结构,以欺骗对手基于Traceroute的拓扑侦察。文献[37]提出一个基于软件定义网络(Software Defined Network,SDN)的拓扑欺骗系统来伪装网络中的关键资源,并在网络中放置虚假的脆弱节点诱导对手扫描攻击。
3.3 移动目标防御技术
由于网络服务和配置的静态性,攻击方容易通过网络侦察构建信息优势,从而提高网络攻击的效率。为了消除这种不对称优势,一种最直接的方法就是增强网络服务和配置的复杂性、多样性和随机性,以提高系统弹性,增加攻击者的复杂性和成本。移动目标防御就是通过创建随时间推移不断变化的机制和策略,降低系统信息暴露的机会的技术。媒体存取控制(Media Access Control,MAC)地址、IP地址、端口、协议、加密算法等节点信息和网络流传输过程中的转发链路、路由节点等链路信息是网络传输中的两个关键要素,也是需要保护的重要网络属性,因此节点信息和链路信息动态变换是当前主要的移动目标防御策略。节点信息的移动目标防御方法有动态IP地址转换[38]、端口地址跳变[39]、TCP/IP协议头变换[40]等。链路信息动态变换的移动目标防御方法有基于确定性多路径选择的转发路径迁移[41]、基于路由变换的转发路径迁移[42]等。另外,地址空间随机化、指令集随机化和数据随机化等系统硬件环境随机化和应用程序异构化也可达到移动目标防御的效果。实际应用中常综合使用多种移动目标防御机制,并结合博弈论制定防御策略,使用SDN进行部署,如文献[43]提出了一种基于软件定义网络的指纹跳变方法来抵御指纹攻击,该方法将指纹攻击及其防御的相互作用建模为一种信号博弈模型,并分析了该博弈的均衡性,提出了一种最优防御策略。
3.4 网络侦察追踪溯源技术
掌握网络侦察追踪溯源的技术有助于识别恶意组织,并对网络防御和反制措施产生重要影响。该方法专注于主动式的网络侦察活动。通过分析对手发送的特定数据包特征信息来实现这一目标。例如,在文献[26]中提到的方法能够识别出Shodan和Censys等机构使用的扫描流量行为。文献[44]则提出了一种基于遗传算法的新颖算法,在IPv4协议版本以及TCP报头字段中进行了指纹识别。该算法能够有效地在暗网中检测到扫描攻击时使用的指纹特征。研究领域面临的一个主要挑战是没有足够的高质量数据集可用。为了缓解这一问题,在文献[45]中作者提出了一个替代方案,并公开分享了相关数据样本作为参考。
04 未来研究建议
在上述分析的基础上,在本节中我们将重点从新型网络侦察手段及其实现途径等多方面展开讨论,并给出相应的建议。
4.1 网络侦察的新形式
新型网络技术不断涌现中,在这一背景下,针对目标网络信息的收集手段与方式也在随之发生变化。由于出现了新的信息形式,使得攻击方能够更有效地分析目标网络的漏洞。相应地,攻击方开发出新的技术用于目标网络信息侦察。伴随着虚拟化、云计算、容器化、移动设备以及边缘计算等颠覆性技术的快速发展,在云服务中托管计算资源及数据存储模式发生转变。这种转变不仅改变了数据处理的位置和范围,并且使得攻击者能够更容易地实施跨虚拟机缓存的侦察攻击。深入研究新型网络安全探测手段具有重要意义。
4.2 网络侦察建模
本文对网络侦察的目标信息及主要方法进行了系统性综述,在现有研究中尚未深入探讨不同类型攻击者在侦察过程中的行为建模问题,并且研究进展相对有限。进一步研究表明,不同类型的攻击者及其目标对其选择相应的侦察策略具有显著的影响
网络侦察模型应涵盖对手识别目标信息的行为模式及其分类体系(即根据目标类型建立优先级排序机制),并整合不同侦查手段类型的适用性分析(即合理配置具体侦查手段)。此外还需要考虑情报资源限制性条件下的情报融合方法(即建立情报数据融合分析流程)。在执行网络侦察任务时参与者不仅需要设计隐匿手段与非隐匿手段相结合的情报收集方案还需基于既定框架及数据资源构建相应的解释性分析模型以确保行动的有效性与可追溯性
4.3 网络侦察攻防博弈刻画
掌握网络侦察与防御之间的对抗性关系至关重要,在这一过程中深入刻画信息交互的具体过程能够为制定有效的防御策略提供可靠依据。对于如何充分利用对手的认知局限性及偏见特性来制定防御策略这一关键点而言, 相关研究已形成一系列典型博弈论模型框架, 包括基于贝叶斯假设的信息传递机制, 多阶段决策过程中的战略演进模式, 以及复杂的信息处理机制等基本类型。然而, 在动态环境下, 当前对对手侦察活动的研究仍显不足, 需要进一步完善相关理论体系, 包括对攻击方如何根据实时环境调整侦察策略以及如何利用收集到的情报进行精准打击等细节问题进行深入探讨;同时还需要更加系统地分析并建模这些因素对双方博弈结果的影响机制
4.4 网络侦察防御效果评价
网络安全防护工作可采用欺骗手段及混淆策略以隐匿目标关键系统的相关信息;同时可通过增强系统架构的复杂度、多样性及随机性来提升对手获取关键数据的信息难度;从而有助于降低敌方系统被入侵的风险程度。然而目前这些技术手段在实际应用中的有效性仍需进一步验证;特别是在应对不同类型的侦察策略时;需要评估多种防护手段在抵御各类侦察手段中的实际效果;例如侧信道扫描攻击往往难以被发现且具有隐蔽性强的特点;这就要求采取更加针对性的技术措施来减少其潜在危害;建立更加科学完善的网络安全威胁评估体系能够显著提升网络安全防护工作的针对性与效率;未来的研究工作应着重于完善相关技术体系与防护机制建设。
05 结 语
在网络安全战中发挥着核心作用的便是网络安全态势感知手段。这些技术能够帮助我们准确识别和评估敌方可能面临的威胁风险,并在此基础上制定相应的应对措施以规避潜在的安全隐患。通过对当前主流的网络安全态势感知技术和防护策略进行系统梳理,并对未来相关技术发展提出研究方向建议。