基于应用运行时自保护的网络攻击溯源方法.docxVIP

20

20 2023/08/DTPT

基于应用运行时自保护的

网络攻击溯源方法

1概述

随着信息技术的飞速发展，人们的科技和生活水平达到了新的高度，网络安全的整体形势却越发严峻。人工智能的发展让攻击手段更智能，云主机让网络攻击更隐蔽，网络攻击的难度和成本越来越低，网络攻击的破坏性和复杂性却越来越高。近年来，以高级持续威胁（APT）为代表的网络攻击事件层出不穷，如2019年伊朗针对美国基础设施的Parisite攻击，

——————————

收稿日期：2023-06-28

2022年西北工业大学遭受的APT攻击，都造成了巨大的破坏和经济损失。网络攻击溯源技术旨在网络遭受攻击时，综合利用各种技术手段主动追踪网络攻击发起者、定位攻击源，有针对性地减缓或反制网络攻击。然而，传统网络安全防护手段，如防病毒、防火墙等溯源能力严重不足，亟需新的技术手段提高溯源能力，从而对网络攻击者进行针对性的反制或取证。本文对网络攻击溯源技术进行了分析，提出了基于RASP的网络攻击溯源方法，该方法综合采用Web追踪和威胁情报分析技术，收集较为完备的网络攻击者信息并生成综合指纹标识网络攻击者，提高溯源的准

确性，为下一步取证和反制提供依据和支撑。

2网络攻击溯源技术简介

网络攻击溯源在安全领域被广泛的关注和研究，

器个体的指纹，可以用来跨网站追踪用户。近年来，还有研究提出使用Canvas指纹［11］、CSS指纹［12］跨网站追踪浏览器用户。除追踪外，还有学者研究了利用浏览器特性获取用户隐私信息，如2015年，研究人员di?

［13］

刘潮歌［1］等对网络攻击溯源技术进行了总结，并将网

afygi

就在github上公开了基于WebRTC特性得到用

络攻击溯源技术分为传统网络攻击溯源技术和目前

主流的网络攻击溯源技术。

2.1传统网络攻击溯源技术

在传统的网络攻击溯源技术的研究中，陈周国等［2］的工作比较具有代表性，其从攻击溯源的深度和精准度上将攻击溯源细分为4个层次，分别为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构，并介绍了每个层次的相

关溯源技术。

第1层追踪溯源的目标是定位攻击主机。第1层追踪溯源技术从攻击溯源的原理上可以划分为Input

户内外网IP地址的方法。

b）威胁情报技术。威胁情报在追踪溯源方面的

优势在于其海量多来源知识库以及情报的共享机制。

防御者将已掌握的溯源线索作为输入传递给威胁情报系统，通过关联和挖掘，输出大量与已知线索存在关联的新线索。2015年杨泽明等［14］明确指出“威胁情报的共享利用将是实现攻击溯源的重要技术手段”。

c）网络欺骗技术。网络欺骗技术由蜜罐技术演化而来。刘宝旭等［15］是国内研究网络欺骗的先驱，他们最早于2002年就基于蜜罐技术提出了“陷阱防御”思路，用于发现网络攻击和溯源取证；2017年，国内的

［3］

［4］

［5］

［16］

Debugging

、Itrace

、PPM

等方法，是网络数据包层

贾召鹏等

则系统地综述了网络欺骗技术。

面的技术方法，主要针对非定向网络攻击（如DDoS）。

第2层追踪溯源的目标是确定攻击控制主机。网

络攻击者为掩盖身份信息往往利用僵尸网络、匿名通

信系统或跳板机进行隐蔽攻击活动，使得攻击源追溯变得异常困难。第2层追踪溯源采用的技术主要有内部监测［6］、日志分析［7］、网络流分析［8］等。

第3层追踪溯源的目标是追踪定位网络攻击者。第3层追踪溯源是将网络空间中的事件与物理世界中的事件相关联，并以此确定物理世界中对事件负责的自然人过程。完成第3层追踪目标的核心是对信息数据的收集与分析，需要收集的信息包括但不限于邮件、攻击代码［9］等。

第4层追踪溯源的目标是确定攻击的组织机构，即实施网络攻击的幕后组织或机构。第4层溯源技术需要在前3个层次的追踪基础上，结合谍报、外交、第三方情报等所有信息，综合分析评估确定幕后组织机构。

2.2目前主流的网络攻击溯源技术

目前，在网络攻击追踪溯源理论和技术方面都进行了相应的创新，比较具有代表性的有Web追踪技术、威胁情报技术和网络欺骗技术。

a）Web追踪技术。Web在网络攻击中扮演着重要角色，不仅是攻击者探测社工信息的重