基于应用运行时自保护的网络攻击溯源方法.docxVIP

基于应用运行时自保护的网络攻击溯源方法

摘要

近年来，以高级持续性威胁（APT）为代表的高级网络攻击已经对政府、能源、金融、通信等诸多领域造成了巨大的影响。因此，开展网络攻击溯源技术的研究实现对高级网络攻击溯源成为网络安全领域的重要研究方向。介绍了基于应用运行时自保护技术（Runtimeapplicationself-protection，RASP）的网络攻击溯源方法，通过生成综合指纹标识网络攻击者，提高网络攻击溯源的准确性。

1、概述

随着信息技术的飞速发展，人们的科技和生活水平达到了新的高度，网络安全的整体形势却越发严峻。人工智能的发展让攻击手段更智能，云主机让网络攻击更隐蔽，网络攻击的难度和成本越来越低，网络攻击的破坏性和复杂性却越来越高。近年来，以高级持续威胁（APT）为代表的网络攻击事件层出不穷，如2019年伊朗针对美国基础设施的Parisite攻击，2022年西北工业大学遭受的APT攻击，都造成了巨大的破坏和经济损失。网络攻击溯源技术旨在网络遭受攻击时，综合利用各种技术手段主动追踪网络攻击发起者、定位攻击源，有针对性地减缓或反制网络攻击。然而，传统网络安全防护手段，如防病毒、防火墙等溯源能力严重不足，亟需新的技术手段提高溯源能力，从而对网络攻击者进行针对性的反制或取证。本文对网络攻击溯源技术进行了分析，提出了基于RASP的网络攻击溯源方法，该方法综合采用Web追踪和威胁情报分析技术，收集较为完备的网络攻击者信息并生成综合指纹标识网络攻击者，提高溯源的准确性，为下一步取证和反制提供依据和支撑。

2、网络攻击溯源技术简介

网络攻击溯源在安全领域被广泛的关注和研究，刘潮歌［1］等对网络攻击溯源技术进行了总结，并将网络攻击溯源技术分为传统网络攻击溯源技术和目前主流的网络攻击溯源技术。

2.1传统网络攻击溯源技术

在传统的网络攻击溯源技术的研究中，陈周国等［2］的工作比较具有代表性，其从攻击溯源的深度和精准度上将攻击溯源细分为4个层次，分别为追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者、追踪溯源攻击组织机构，并介绍了每个层次的相关溯源技术。

第1层追踪溯源的目标是定位攻击主机。第1层追踪溯源技术从攻击溯源的原理上可以划分为InputDebugging［3］、Itrace［4］、PPM［5］等方法，是网络数据包层面的技术方法，主要针对非定向网络攻击（如DDoS）。

第2层追踪溯源的目标是确定攻击控制主机。网络攻击者为掩盖身份信息往往利用僵尸网络、匿名通信系统或跳板机进行隐蔽攻击活动，使得攻击源追溯变得异常困难。第2层追踪溯源采用的技术主要有内部监测［6］、日志分析［7］、网络流分析［8］等。

第3层追踪溯源的目标是追踪定位网络攻击者。第3层追踪溯源是将网络空间中的事件与物理世界中的事件相关联，并以此确定物理世界中对事件负责的自然人过程。完成第3层追踪目标的核心是对信息数据的收集与分析，需要收集的信息包括但不限于邮件、攻击代码［9］等。

第4层追踪溯源的目标是确定攻击的组织机构，即实施网络攻击的幕后组织或机构。第4层溯源技术需要在前3个层次的追踪基础上，结合谍报、外交、第三方情报等所有信息，综合分析评估确定幕后组织机构。

2.2目前主流的网络攻击溯源技术

目前，在网络攻击追踪溯源理论和技术方面都进行了相应的创新，比较具有代表性的有Web追踪技术、威胁情报技术和网络欺骗技术。

a）Web追踪技术。Web在网络攻击中扮演着重要角色，不仅是攻击者探测社工信息的重要平台，还是投递攻击载荷的重要通道。2010年，Eckersley等［10］最早提出在浏览器端采集一系列属性作为区分浏览器个体的指纹，可以用来跨网站追踪用户。近年来，还有研究提出使用Canvas指纹［11］、CSS指纹［12］跨网站追踪浏览器用户。除追踪外，还有学者研究了利用浏览器特性获取用户隐私信息，如2015年，研究人员Diafygi［13］就在GitHub上公开了基于WebRTC特性得到用户内外网IP地址的方法。

b）威胁情报技术。威胁情报在追踪溯源方面的优势在于其海量多来源知识库以及情报的共享机制。防御者将已掌握的溯源线索作为输入传递给威胁情报系统，通过关联和挖掘，输出大量与已知线索存在关联的新线索。2015年杨泽明等［14］明确指出“威胁情报的共享利用将是实现攻击溯源的重要技术手段”。

c）网络欺骗技术。网络欺骗技术由蜜罐技术演化而来。刘宝旭等［15］是国内研究网络欺骗的先驱，他们最早于2002年就基于蜜罐技术提出了“陷阱防御”思路，用于发现网络攻击和溯源取证；2017年，国内的贾召鹏等［16］则系统地综述了网络欺骗技术。

3、基于RASP的网络攻击溯源方法

网络攻击溯源技术的研究积累虽然丰富，但现有网络攻击更加隐蔽，攻击溯源的难度越来越大，攻击溯源的成