摘自：《網(wǎng)絡(luò)安全技術(shù)和產(chǎn)業(yè)動(dòng)態(tài)》2021年第7期，總第13期。

中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）主辦，深圳市聯(lián)軟科技股份有限公司、格爾軟件股份有限公司供稿。

網(wǎng)絡(luò)欺騙技術(shù)（Cyber Deception Technology）是欺騙策略在網(wǎng)絡(luò)安全防御中的應(yīng)用，其通過在信息通訊系統(tǒng)上構(gòu)造虛假信息進(jìn)行干擾或誤導(dǎo)網(wǎng)絡(luò)攻擊者的認(rèn)知，從而延遲或阻攔網(wǎng)絡(luò)攻擊者的活動(dòng)，使攻擊者采取有利于防守方的動(dòng)作，最終達(dá)到增強(qiáng)信息通訊系統(tǒng)防御能力的目的。

與傳統(tǒng)安全技術(shù)關(guān)注入侵不同，網(wǎng)絡(luò)欺騙技術(shù)更加關(guān)注防御體系的構(gòu)建，其通過人工智能和自動(dòng)化技術(shù)實(shí)現(xiàn)真實(shí)網(wǎng)絡(luò)與數(shù)據(jù)環(huán)境的高度仿生，幫助防御方主動(dòng)構(gòu)造動(dòng)態(tài)的、真實(shí)的虛擬網(wǎng)絡(luò)與數(shù)據(jù)環(huán)境，欺騙攻擊者進(jìn)入陷阱以延遲攻擊時(shí)間。

網(wǎng)絡(luò)欺騙技術(shù)既可以作為一個(gè)獨(dú)立的平臺(tái)應(yīng)用，又可以聯(lián)合多種安全防御手段進(jìn)行應(yīng)用，利用人工智能的自動(dòng)學(xué)習(xí)能力，不斷收集并分析攻擊者路徑與思路，提高攻擊者的攻擊難度，進(jìn)而提升網(wǎng)絡(luò)欺騙防御能力。

一、技術(shù)發(fā)展情況

根據(jù)網(wǎng)絡(luò)欺騙應(yīng)對(duì)目標(biāo)的不同，網(wǎng)絡(luò)欺騙技術(shù)的發(fā)展可分為3個(gè)階段：應(yīng)對(duì)人工攻擊的開創(chuàng)階段；應(yīng)對(duì)自動(dòng)化攻擊的蜜罐階段；應(yīng)對(duì)高級(jí)持續(xù)性威脅（advanced persistent threat，APT）的欺騙防御階段。

開創(chuàng)階段，網(wǎng)絡(luò)欺騙只是被安全研究人員用于檢測(cè)業(yè)務(wù)系統(tǒng)的入侵情況和對(duì)抗人工攻擊，主要表現(xiàn)形式是在業(yè)務(wù)系統(tǒng)中插入虛假數(shù)據(jù)或開啟未使用的端口，從而欺騙入侵者。

蜜罐階段，自動(dòng)化工具的惡意代碼傳播成為攻擊的主流方式，惡意代碼的發(fā)現(xiàn)與樣本收集的實(shí)際需求促進(jìn)了蜜罐技術(shù)的發(fā)展，蜜罐或蜜罐傳感器被廣大安全從業(yè)人員熟知，并使用相應(yīng)的解決方案發(fā)現(xiàn)和收集威脅情報(bào)作為防御的關(guān)鍵策略。但由于動(dòng)態(tài)性、真實(shí)性、偽裝性不足，蜜罐往往容易被識(shí)破。

欺騙防御階段，主要通過人工智能和自動(dòng)化工具加強(qiáng)欺騙技術(shù)的真實(shí)性和運(yùn)維管理，主要特征有三點(diǎn)：一是分布式部署；二是使用真實(shí)的業(yè)務(wù)場(chǎng)景制作欺騙工具；三是與其他安全工具聯(lián)動(dòng)，構(gòu)建立體防御體系。一方面可以讓欺騙環(huán)境保持動(dòng)態(tài)更新，另一方面還可以降低人工運(yùn)維的成本并輸出可視化的威脅畫像，協(xié)助管理者作出應(yīng)對(duì)決策。

欺騙防御技術(shù)通過人工智能和自動(dòng)化技術(shù)實(shí)現(xiàn)真實(shí)網(wǎng)絡(luò)與數(shù)據(jù)環(huán)境的高度仿生，當(dāng)前網(wǎng)絡(luò)欺騙技術(shù)雖然在技術(shù)應(yīng)用和市場(chǎng)顯示出比較好的應(yīng)用前景，但仍處于起步階段，還主要在使用蜜罐集中或分布式部署，以增強(qiáng)惡意代碼和威脅檢測(cè)。

二、發(fā)展難點(diǎn)分析

與傳統(tǒng)的安全防御措施不同，網(wǎng)絡(luò)欺騙技術(shù)為了達(dá)到更好的效果，要求與業(yè)務(wù)系統(tǒng)具有高度的相似度和高交互的網(wǎng)絡(luò)數(shù)據(jù)，但當(dāng)前在構(gòu)建基于真實(shí)業(yè)務(wù)的虛擬數(shù)據(jù)動(dòng)態(tài)環(huán)境方面，還有所欠缺，并且還沒有形成固定且統(tǒng)一的形態(tài)，而是隨著攻擊技術(shù)與網(wǎng)絡(luò)安全需求的變化而演化，尚未形成體系化的理論基礎(chǔ)與通用的標(biāo)準(zhǔn)規(guī)范。

網(wǎng)絡(luò)欺騙技術(shù)的發(fā)展與應(yīng)用的難點(diǎn)目前主要體現(xiàn)在以下3個(gè)方面：1）網(wǎng)絡(luò)欺騙技術(shù)非常依賴攻擊者與虛擬環(huán)境之間的觸碰點(diǎn)，現(xiàn)有技術(shù)難以動(dòng)態(tài)地分布欺騙智能防御節(jié)點(diǎn)。2）高度仿真的虛擬環(huán)境在注入應(yīng)用程序或數(shù)據(jù)路徑中時(shí)，容易與真實(shí)環(huán)境發(fā)生沖突，導(dǎo)致業(yè)務(wù)中斷。

3）難以生成攻擊者行為的威脅畫像，無法助力威脅情報(bào)的生成，不利于完善防御策略。

三、產(chǎn)業(yè)落地情況

網(wǎng)絡(luò)欺騙技術(shù)解決方案現(xiàn)已部署在各個(gè)行業(yè)，包括銀行金融服務(wù)和保險(xiǎn)（BFSI）、能源與公用事業(yè)、政府、衛(wèi)生保健、IT與電信、汽車制造業(yè)等。

國際上，2018年，Gartner發(fā)布了威脅應(yīng)對(duì)技術(shù)成熟度曲線報(bào)告，該報(bào)告以威脅應(yīng)對(duì)技術(shù)為研究對(duì)象，集中分析并篩選出了能夠?qū)崿F(xiàn)直接防御或有效降低安全風(fēng)險(xiǎn)的新興安全技術(shù)，其中“網(wǎng)絡(luò)欺騙技術(shù)”被認(rèn)為是未來5-10年能夠進(jìn)入主流市場(chǎng)、并對(duì)現(xiàn)有安全防護(hù)體系產(chǎn)生深遠(yuǎn)影響的安全技術(shù)發(fā)展趨勢(shì)。美國等發(fā)達(dá)國家紛紛對(duì)網(wǎng)絡(luò)欺騙技術(shù)進(jìn)行了投入，如美國國防高級(jí)研究計(jì)劃署（DARPA）直接參與的賽博欺騙項(xiàng)目。2020年3月，Mordor Intelligence發(fā)布了專門針對(duì)欺騙技術(shù)市場(chǎng)的分析與預(yù)測(cè)，預(yù)計(jì)欺騙技術(shù)市場(chǎng)估值到2025年將達(dá)到24.8億美元。當(dāng)前，國際上網(wǎng)絡(luò)欺騙技術(shù)研發(fā)主要參與者包括IllusiveNetworks（以色列）、TrapXSecurity（美國）、Rapid7（美國）、LogRhythm（美國）、Attivo Networks（美國）。

在國內(nèi)，相比國外而言，網(wǎng)絡(luò)欺騙技術(shù)發(fā)展較為緩慢，但是國內(nèi)也有一批安全廠商開始布局網(wǎng)絡(luò)欺騙技術(shù)，如默安科技的高級(jí)威脅狩獵與溯源系統(tǒng)、長亭科技的偽裝欺騙系統(tǒng)、觀安的網(wǎng)絡(luò)威脅安全防御系統(tǒng)、聯(lián)軟科技的網(wǎng)絡(luò)智能防御系統(tǒng)等，均努力嘗試?yán)米陨砑夹g(shù)積累幫助客戶建立主動(dòng)防御機(jī)制。

四、意見和建議

網(wǎng)絡(luò)欺騙作為一種主動(dòng)防御機(jī)制，在未來網(wǎng)絡(luò)空間戰(zhàn)中具有積極戰(zhàn)略意義。建議主管部門從網(wǎng)絡(luò)空間戰(zhàn)略的高度上進(jìn)行統(tǒng)籌規(guī)劃、協(xié)調(diào)組織資源進(jìn)行研究探索。

1．政策與標(biāo)準(zhǔn)方面

建議盡快研究制定網(wǎng)絡(luò)欺騙技術(shù)相關(guān)標(biāo)準(zhǔn)，為網(wǎng)絡(luò)欺騙技術(shù)的研發(fā)及相關(guān)產(chǎn)品的落地實(shí)現(xiàn)提供指導(dǎo)，進(jìn)一步促進(jìn)網(wǎng)絡(luò)欺騙技術(shù)的規(guī)范化發(fā)展。

2．技術(shù)發(fā)展方面

隨著網(wǎng)絡(luò)欺騙技術(shù)的逐步完善，建議與移動(dòng)目標(biāo)防御（moving target defense，MTD）方案結(jié)合來增強(qiáng)真實(shí)的業(yè)務(wù)系統(tǒng)的多樣性和復(fù)雜性，讓網(wǎng)絡(luò)攻擊者更難獲取有效的情報(bào)進(jìn)行攻擊，發(fā)揮其最佳優(yōu)勢(shì)，降低攻擊者的效率與成功率。