国际网络侦察技术的演变及对策

几乎每天，安全公司和大众媒体都会报道有关成功的网络攻击的新闻，这些攻击的复杂性和数量都在增长。根据《行业周刊》的数据，2018年，鱼叉式网络钓鱼和商业电子邮件欺骗尝试分别增长了70%和250%，针对企业的勒索软件活动增长了350%。一般来说，经济损失是相关的，因为需要检测和调查攻击，以及恢复受损的硬件和软件。为了了解问题的影响，数据泄露的平均成本从2017年的490万美元上升到2018.19的750万美元，这让情况变得更糟。网络设备和物联网(IoT)设备以简单有效的方式，例如，通过犯罪即服务业务模式。通常，每个网络威胁都有其自己的复杂程度，并不是每个攻击都有相同的目标、影响或扩展。然而，文献也同意这一点。

图1.最流行的参考模型，用于将网络攻击分解为多个阶段。

如图1所示，攻击可以分解为一些一般的阶段。如图1所示，网络安全监控之道将攻击细分为5个阶段，将网络杀伤链细分为7个阶段，而ATT&CK框架提出了更细粒度的划分。尽管有参考模型，但第一步总是需要收集有关目标的信息，通常定义为“侦察”。其最终目标是识别目标系统的弱点并制定有效的攻击计划。

一般而言，侦察依赖于一组复合的技术和过程，而不应被认为仅限于在技术层面上表征目标的信息，例如所使用的硬件或软件组件的版本。攻击者还旨在收集与受害者的实际位置、电话号码、在目标组织工作的人员的姓名以及他们的电子邮件地址相关的细节。事实上，任何一点知识都可能被用来开发软件漏洞或揭示防御系统中的弱点。

不幸的是，互联网的发展、在线社交网络的普及，以及用于扫描智能设备和物联网节点的服务的兴起，导致了可以使侦察阶段更快、更容易、更有效的信息源爆炸式增长。这还可以防止与受害者接触或限制其持续时间，从而使及早发现和阻止侦察尝试变得更加困难。因此，研究网络侦察技术的演变对于部署或设计有效的对策是至关重要的。即使文献提供了一些关于侦察某些具体方面的调查(例如，参见网络扫描和利用社会工程的技术)，这些知识也是高度零散的，缺乏全面的审查。从这个角度出发，本文对现有的侦察技术和对策进行了“横向”审查，同时强调了新出现的趋势。

在本文中，我们介绍了最流行的侦察方法的分类和演变。然后，我们讨论了可能的对策，并提出了一些未来的方向。

关键见解

攻击可以分解为几个一般的阶段。第一步总是需要收集目标(又名)的信息。“侦察。”

攻击者可以使用过多的侦察技术，其中许多甚至不需要与目标受害者直接接触。

对抗侦察企图必须放在攻击者和防御者之间“军备竞赛”的框架内来看待。

捍卫者似乎在攻击方面后退了一步。

对策的目标应该是：加强培训，实施积极主动的方法，探索将网络欺骗作为一种防御工具，设计防侦察服务，并重新思考隐私概念。

一、分类和演变

为了说明最重要的网络侦察技术并描绘它们的演变，我们介绍了由四个类别组成的以下分类：

社会工程：它将收集信息以欺骗某人或说服他/她以期望的方式行事的方法组合在一起。

互联网情报：它利用互联网上公开可用的信息(包括可通过网络访问的数据库)对方法进行分组。

网络信息收集：它对绘制受害者网络(或计算)基础设施的方法进行分组。

边信道：它对利用受害者泄露的意外信息的方法进行分组。

每一类都说明了与受害者的特定“互动程度”，并广泛接受了为了侦察的目的与信息源的耦合应该有多紧密。例如，阅读计算机屏幕需要靠近受害者，因此可能存在物理交互，而扫描他/她的网络可以远程完成。此外，一些侧翼利用需要在物理上接近目标的测量(例如，测量电磁场的强度或热源的温度)，而从社交网络检索数据不需要与受害者本身运行或拥有的资产交互。

显然，计划复杂的攻击活动或绕过多个安全边界(例如，部署在非军事区内的虚拟化服务)可能需要组合属于不同类别的方法。攻击者主动与目标交互的时间越长，该企图被检测和瓦解的机会就越高。不幸的是，社交媒体的出现，许多流程和工作流程的逐步数字化(如在Industry 4.0或SMART-*范式中发生的那样)，以及搜索引擎日益普及的特性，使得数据收集变得更快、更有效。按照这种思路，图2提出了侦察技术的分类，并强调了它们的时间演变和与受害者交互所需的程度。我们强调，这个数字的目的是在方法首次出现的时间定位，而不是它们使用了多久(实际上，大多数方法仍然在攻击者的工具箱中)。

我们现在回顾在文献中提出的和在野外观察到的最重要的侦察技术，这些技术在边信道“侦察技术和来源的例子”中进行了总结和进一步的评论。

图2.根据出现的时间和需要与受害者互动的程度，对侦察技术及其组织进行了分类。

二、侦察技术和来源的例子

A、社会工程

肩窥：攻击者试图通过近距离观察受害者来获取机密数据的技术。

垃圾箱潜水：从被丢弃的材料中获取信息的做法，如文件、硬盘驱动器和存储卡等计算设备的组件。

网络钓鱼/vishing/Smishing：攻击者试图通过使用电子邮件、VoIP和短消息服务冒充值得信赖的实体来误导受害者。

社交网络：攻击者利用社交网络(例如Facebook、LinkedIn和Twitter)收集个人数据或说服受害者泄露敏感信息或完成特定操作。

社会工程学可能是用于侦察的最古老的技术家族，它非常有效，因为它利用了安全中最薄弱的环节：人类。

本质上，社会工程试图通过滥用受害者的信任来操纵和欺骗受害者，并说服他们分享机密信息或执行可能对攻击者有用的活动，例如，下载和安装键盘记录程序。它还可以显著减少收集信息所需的时间，而且往往只需要最少的技术技能或根本不需要技术技能。文献提出了几种社会工程攻击的分类方法，但最简单的细分考虑了两个主要群体：基于人的攻击需要直接或面对面的互动，基于技术的攻击不需要攻击者的实际存在。以人为本的技术是最古老的，包括模仿、垃圾箱潜水或肩窥等方法。即使仍在使用，如今基于技术的机制似乎更受欢迎，包括钓鱼和垃圾邮件等方法，或者通过弹出窗口和特别定制的电子邮件欺骗用户安装恶意软件。

网络日益普及的本质和搜索引擎的发展无疑为攻击者的工具箱增加了新的和强大的选择。

社会工程的另一个重要目标是获取受害者的信息，或者用其他技术丰富(不完整)收集的信息，例如，编译一个自定义词典，强制输入网站上观察到的用户名/电子邮件的密码。随着人们对多种通信渠道和各种社交媒体服务的高度接触，攻击者有大量机会策划侦察活动，因为他/她可以使用面对面、电话/VoIP或即时消息服务，以及在线诈骗和在线社交网络上的虚假身份攻击。自带设备模式加剧了此类风险，这使得企业更难控制员工的笔记本电脑、手机和智能设备，也更难执行对工作空间、维基、论坛和网站等共享资源的访问规则。

B、互联网情报（Internet Intelligence）

Whis/rwhis：提供有关受害者使用的IP地址范围和自治系统的信息的数据库。

网站：HTML页面可以包含非常大的复合数据集。就公司网站而言，可用的信息涉及员工、联系方式、在组织中的职位等，仅举几例。留在HTML中的注释是另一个有价值的信息来源。

谷歌黑客(Google Dorking)：利用谷歌的高级运营商揭示受害者管理的硬件和设备的潜在安全漏洞和/或配置错误的技术。

社交媒体：一种侦察数据来源，攻击者可以在这里收集受害者的个人信息，以了解他/她的习惯、爱好、好恶等，目的是创建更完整的目标人物档案。

Shodan/Censys/ZoomEye：特定的搜索引擎，索引关于不同类型的设备和网络设备的详细技术数据。

互联网情报（Internet Intelligence）

在Internet上搜索公开可用的信息可能是任何攻击者执行的第一步。现在可以查询的源的数量使得检索大量明显无关紧要的片段成为可能，如果适当组合，这些片段可以变得非常有用。从这个角度来看，互联网情报是开源情报(OSINT)的一个“进攻性”子群，它是专门的，仅限于互联网及其服务上可用的信息，如Web、公共数据库、专门的物联网节点地图扫描服务以及地理或地理参考源。幸运的是，《一般数据保护条例》部分缓解了这种风险，因为欧盟内的许多公共数据库的访问都受到限制。Internet Intelligence还可用于执行被动足迹，即收集公开可用的信息以识别硬件和/或软件基础设施。下面，我们将讨论互联网智能的主要使用趋势。

网络资源

网络日益普及的本质和搜索引擎的发展无疑为攻击者的工具箱增加了新的和强大的选择。通常情况下，侦察活动从受害者的网站开始。通过这种方式，攻击者可以收集重要数据，如员工姓名、电子邮件地址、电话号码或目标的物理地址，这些数据可用于执行社会工程或驱动其他威胁。个人信息也可以通过从在线社交网络收集的数据来“融合”和丰富。例如，在检索到公司的层次结构和员工列表后，攻击者可以转到Facebook或LinkedIn发起网络钓鱼或恶意攻击。

搜索引擎是互联网情报的核心，因为它们可以限制攻击者和受害者之间的互动，从而使数据收集阶段很难被检测到。例如，攻击者可能会手工创建一些脚本，直接从受害者附近的网站执行屏幕抓取，从而在Web服务器的日志中留下一些痕迹。然而，谷歌或互联网档案馆(Internet Archive)等服务提供的网页缓存版本可以用来避免侦察企图的痕迹。

除了可以从索引页以有机方式检索到的细节(例如，爱好、拥有的图书和记录或访问过的商店)，搜索引擎还可以用于执行更细粒度的情报活动。谷歌黑客攻击是最流行的技术之一，它利用高级操作员执行狭隘而精确的查询，主要是为了揭示安全漏洞或配置错误。例如，攻击者可以使用“inurl”之类的运算符在URL中进行搜索。然后可以使用“inurl：/hp/device/this.lcdispatcher”查询Google，以发现打印机型号的详细信息，从而揭示潜在的漏洞或搜索预先准备好的漏洞。另一种可能的侦察机制混合了前述的“Google the Internet”技术，即使用搜索引擎来收集通信中涉及的端点的信息，而不需要收集或分析网络流量。

公共数据库和资源

网上可获得的各种公共记录是另一个重要的信息来源。事实上，每个IP地址和域名都应该在公共数据库中注册，该数据库还可以包含联系地址和电话号码。在不需要直接扫描主机或电器的情况下，就可以推断出有关受害者网络的一些提示。通过查询American Registry中的Internet号码，可以获得分配给目标的完整IP地址块。域名系统可以提供大量有关所采用的寻址方案和命名策略的详细信息。用于侦察的其他来源是whis和rwhis，它们可以提供IP地址块和有关受害者自治系统的详细信息。

公共扫描服务

如前所述，攻击的成功很大程度上取决于识别目标网络/系统中的漏洞。直到几年前，这还需要对主机、网络设备和软件组件执行直接扫描，或者能够收集网络流量，例如，通过嗅探器。为了减少直接暴露，一种可能的技术是使用僵尸网络，即攻击者控制的受损主机网络。然后，僵尸可以被用作代理。即使这种方法可以阻止追溯扫描/攻击的来源，仍然可以发现或阻碍该尝试。在这方面，最近的一种趋势改变了这种情况，特别是如果侦察活动的目标是物联网设备或智能设备，如供暖、通风和空调。事实上，Shodan、Censys和ZoomEye等工具的出现推动了侦察模式的转变。粗略地说，这样的服务以分布式和随机的方式自动扫描整个IPv4公共寻址空间，并通过类似搜索引擎的接口或自组织应用编程接口提供所获得的知识(例如，使用的硬件、开放的端口或交付的服务类型)。参见侧栏“Shodan Query and Related Intelligence(Shodan查询和相关智能的示例)”，了解Shodan在Internet智能中的用法示例。

与用于索引Web的搜索引擎类似，也是在这种情况下，攻击者可以在不直接接触目标设备的情况下收集数据，并以快速、简单的方式汇编潜在目标/受害者的列表：文献通常将其定义为“非接触式主动侦察”。

非接触式主动侦察的最新趋势是将不同的公开来源结合在一起。例如，通过Censys收集的数据可以与国家漏洞数据库合并，以提高发现已知漏洞的准确性。

C、网络信息

收集(端口)扫描：探测设备的方法，以确定目标主机上是否有开放的端口和可利用的服务。

(操作系统/应用程序)指纹识别：用于识别目标设备上使用的操作系统和/或应用程序的技术。可以用特定的网络流量刺激主机，并分析回复以猜测操作系统和/或安装的应用程序。

(网络/设备)枚举：发现目标网络中由受害者公开暴露的主机/服务器/设备的系统过程。

通信量嗅探：攻击者通过收集(嗅探)通信量或通过监控工具推断有关受攻击网络的信息。

蜜罐检测：一套技术，允许攻击者识别被攻破的机器是真实的还是虚拟的。通常，此类方法依赖于对被破坏主机的行为(执行延迟)或网络配置(MAC地址、ARP和RARP条目等)的详细分析。

网络信息收集

当公开可用的数据不足时，攻击者需要直接与受害者的基础设施交互。最流行的一类技术是一种名为“网络扫描”的技术，它可以绘制远程网络图或识别使用的操作系统和应用程序。通常，网络扫描技术主要分为两组：被动扫描和主动扫描。在被动扫描中，攻击者通过监控通信量来推断有关网络的信息。为此，可以部署嗅探器来捕获和检查流，最流行的工具是tcpdump和Wireshark。这还可能需要对网络设备的端口进行“镜像”，以便复制流量。相反，在主动扫描中，通过故意生成特定数据包(也称为探测)并将其发送到被调查的网络设备并分析其响应来收集信息。我们指出，在执行扫描时，攻击者应该保持在“雷达之下”，以防止由于异常流量而被检测到。例如，通过入侵检测系统(IDS)和防火墙可以发现生成过多ICMP数据包或不完整的TCP连接。可以在协议栈的不同级别进行扫描。在这里，我们将介绍最流行的网络信息收集侦察技术，根据它们的范围进行分组。

网络和设备枚举

与网络信息收集相关的活动有两个重要部分，一是用于发现主机和服务器的网络枚举，二是用于识别物联网节点和受害者暴露的其他设备的设备枚举。尽管使用像Shodan这样的服务，攻击者可能需要“手动”搜索设备，例如，由于使用私有IPv4寻址方案或检查早期信息的一致性。网元和设备的枚举通常通过流量分析来执行。然而，随着WiFi、蓝牙和ZigBee等无线技术的日益普及，以连接灯泡、各种传感器、智能插座和锁等智能设备，出现了一种类似于战争驾驶(即搜索和标记无线信号以供未来利用)的新形式的技术。例如，由于无线接入点配置不当，电磁信号可能会“泄漏”到受害者控制的物理边界之外，因此恶意实体可能会扩大其潜在攻击面。为了扫描这样一个巴尔干技术空间，专门为物联网侦察设计的工具正在变得可用。例如，提出一种被动扫描多种无线技术的工具。一个有趣的想法是，通过对物联网节点的类型(例如，摄像头或智能扬声器)及其状态(例如，智能开关打开或关闭)进行分类，使用观察到的流量超越设备枚举。这可以为攻击者提供非常精确的侦察信息。

端口扫描和指纹识别

定义为端口扫描的方法旨在探测设备，以确定是否有开放的端口和可利用的服务。即使文献中有很多方法，但最流行的方法是利用TCP的三次握手过程的不同行为。然后，端口扫描可以通过尝试发送SYN/ACK数据包、建立完整的传输连接或中止中间过程来发现远程TCP端口是否打开。其主要限制是需要维护大量的TCP连接，从而导致传输瓶颈或耗尽所用机器的资源。因此，降低了扫描速率，并且可以检测到侦察尝试。最近的一种趋势是利用分布式框架，既可以减少扫描时间，又可以减少可能导致识别攻击者的异常资源使用。

扫描还可用于识别目标节点中可用的来宾操作系统或应用程序。这称为指纹识别，可以通过主动和被动两种方法来实现。在操作系统指纹识别的情况下，主要技术利用了这样一个事实，即每个操作系统的网络堆栈在回复精心制作的探测分组时表现出细微的差异(例如，TCP段的初始序列号、ICMP分组的默认TTL值等)。这样的伪像可以被用来远程确定被检查设备的OS的类型和版本。应用程序指纹识别使用的技术略有不同。在这种情况下，攻击者利用“banner”，这是服务器端应用程序在接受客户端之前发送的一种前导信息。通过用连接请求刺激主机，他们可以收集横幅以显示活动应用程序和服务的详细信息(例如，可以使用软件版本来确定已知漏洞)。在网络信息收集中用于主动扫描的典型工具是nmap。

应用级侦察

被称为应用级侦察的一类技术最近受到关注，特别是在推断目标主机的一些高级特征方面。为此，攻击者可以利用扫描工具揭示受害者网络的某些弱点。这类工具的可能例子是像Nessus、Acunentix和Vulners这样的商业套件，或者像ivre和Veges这样的开源解决方案。另一个想法是利用探针来量化对受害者的保护程度。在这种情况下，攻击者可以使用获得的响应时间来了解目标计算机上是否有防病毒软件在运行，或者其签名是否已更新。

蜜罐检测

蜜罐越来越多地被用来收集有关恶意软件的信息，以组织适当的防御技术或反击，特别是在僵尸网络的情况下。从攻击者的角度来看，它们是一种危险，因为它们可能被用来传播不正确的信息，从而(部分)使侦察阶段无效。因此，能够检测虚拟/虚构空间中的限制是开发成功威胁所需的核心技能。为此，攻击者可以检查ARP缓存中是否存在TUN/TAP设备或特定条目，以获得区分真实或虚拟设置的签名。另一种机制利用蜜罐的“公平”行为，阻止节点伤害第三方实体。因此，攻击者可以尝试危害主机并发起一些攻击性模式。根据结果，他/她可以理解节点是真实的还是虚拟的。

D、边信道

电磁发射/功耗：侧通道可用于推断屏幕、打印机或键盘泄漏的信号，以检索敏感信息。观察到的与设置旁通道最相关的物理量是电磁辐射或目标设备的功耗。

映射虚拟资源：侧通道用于映射云基础设施，以确定服务是否虚拟化/容器化或执行其他类型的攻击，如共存威胁。通常，这类边信道以完全远程的方式工作。

边信道最早由Lampson设想的术语侧信道通常定义通过滥用来自计算设备的不可预见的信息泄露来推断敏感信息的攻击。一个有趣的研究方向始于20世纪90年代，目标是密码算法及其实现的物理边信道。本质上，攻击者通过检查看似不相关的量，例如加密消息所需的时间、主机消耗的功率或设备CPU产生的电磁场，就能够推断出所使用的算法和密钥的信息，从而使泄露加密密钥或进行概率猜测成为可能。因此，在最初的设想中，侧通道需要与受害者进行高度互动。

这类技术再次流行起来，特别是用于侦察目的。例如，已经证明从屏幕、打印机和键盘泄露的信息或信号可用于检索登录凭证或密钥。其他类型的边信道正在得到越来越多的使用，特别是那些允许攻击者控制位于目标附近的传感器或推断触摸屏上的键盘输入的边信道，例如，利用用户留下的指纹来猜测使用的解锁模式或PIN码。由于现代硬件和软件的高度互联性和虚拟性，边信道攻击也可以以完全远程的方式操作，从而防止与受害者的接触。例如，它们可用于映射云基础设施，以了解服务是虚拟化还是集装化的，或者执行缓存计时攻击。总而言之，使用边信道是一把双刃剑，因为它可能需要一些物理上的接近，这可能会增加攻击者暴露的风险，因此应该仔细评估所获得信息的价值。

三、对策

正如在网络安全的许多其他领域已经发生的那样，对抗侦察必须放在攻击者和防御者之间的“军备竞赛”的框架内来看待。不幸的是，由于复合量的技术的可用性，要完全阻止攻击者检查目标是非常困难的。多年来，对策不断发展，图3中的肖像也进行了分类(在这种情况下，技术也根据其估计的初始外观在图表中定位)。

图3.侦察对策的分类和演变

如上所述，反措施的发展经历了三个主要阶段。最早的主要方法是培训和提高用户的意识，以降低社会工程的有效性或防止敏感信息的泄露。为完成这项工作，应定期对互联网上公开提供的信息进行持续的审计/监测活动。当应对措施的设计从主要考虑技术而不是人的时候，范式发生了转变。第一波涉及反应性对策，目标是直接响应特定的侦察技术，例如扫描或嗅探。最近的趋势涉及主动对策：在这种情况下，攻击者经常受到干扰或阻碍，例如，通过故意传播误导性数据。

A、以人为本的对策

为了减少可通过社会工程收集的大量信息，包括互联网上提供的信息，一种有效的方法旨在通过适当的培训和教育减少对个人的影响。具体而言，培训可以通过向用户解释哪些信息可以公开以及如何共享来限制接触社会工程技术。对于能够学习攻击者用来发现安全漏洞并设计解决方法的工具的技术人员来说，培训也是有益的。

同时，安全专家应该不间断地进行公共信息监控，也就是说，进行一种“保护性”的OSINT。获得的数据可以再次用于指导用户和技术人员。更重要的是，公共信息监控可以帮助评估目标的安全程度，净化数据泄露，以及提供更复杂的对策。

B、以反应性技术为基础的对策

正如所暗示的那样，反应性对抗是对侦察企图的直接反应，包括那些利用边信道的侦察企图。这种方法的主要局限性是，如果威胁及时演变，必须调整防御机制才能保持有效。主要反应方法综述如下。

嗅探和扫描预防

文献展示了几种限制攻击者嗅探通信量以了解网络配置和属性的能力的方法。通常的想法是发现有线/无线网络接口卡是否被设置为混杂模式，即，尽管主机不是预期的目的地，但所有接收到的帧都被传递到协议栈的更高层。为此，存在两种主要技术：基于挑战的技术和基于测量的技术。在基于质询的方法中，防御者通过使用特别定制的网络流量(通常是具有伪造MAC地址的数据包)激发来自(假定)嗅探机的回复。在基于测量的方法中，怀疑受攻击者控制的主机会被适当的流量模式淹没。在这两种情况下，提供的答案或其时间演变都将帮助防御者识别侦察企图。遗憾的是，硬件和操作系统的不断发展降低了此类技术的有效性，这主要是因为需要更新模板来比较接收到的流量。

最后，像Shodan这样的自动高效扫描服务的出现改变了仔细设计要使用的寻址方案的重要性。事实上，物联网和智能设备可以在端到端的透明性和对整个地址空间执行暴力扫描的困难方面利用IPv6。但是，IPv6可以直接暴露网络的一部分，因此将私有IPv4方案与网络地址转换结合使用是一种常见的早期前线防御技术。尽管如此，经典技术(如防火墙和IDS)仍应被视为对抗端口扫描和指纹识别尝试的主要对策。最后，最近的方法还侧重于以近乎实时的方式分析后向散射流量，即由未分配或未使用的IP地址产生的网络流量。这种方法可用于识别工业控制系统场景中的侦察战役。

边信道允许攻击者映射云数据中心或蜜罐中的虚拟资源。

C、边信道消毒

为了限制对边信道的暴露，已经提出了硬件和软件对策来“消毒”造成数据泄露的行为。硬件机制包括通过利用法拉第笼状封装来限制信号泄漏、最小化组件的金属部件数量或降低电路功耗以驯服电磁辐射等技术。对于软件对策的情况，我们提到将操作序列或表查找随机化的工具，以及避免特定指令模式的机制，以防止CPU/GPU辐射充当签名的可区分的EM模式。

边信道还允许攻击者映射云数据中心或蜜罐中的虚拟资源。由于缓存体系结构或计时行为经常出于此目的而被滥用，因此许多对策侧重于修改底层操作系统以引入时间填充(以确保受保护函数的执行时间独立于该函数所操作的任何秘密数据)、缓存清理(以禁止在运行敏感函数之后获取缓存的状态)和动态分区方法(以防止可信进程的资源在其执行期间被不可信进程访问)。针对边信道的其他可能对策可以部署在管理程序内或应用程序级别。

最后，如果使用旁信道通过网络推断信息，最好的解决方案是使用某种形式的流量标准化。在这种情况下，可以利用来推断数据的流的模糊性通过对协议数据单元的适当操作来消除。例如，防火墙的存在可以通过检查延迟和分组间时间统计来检测，因此合适的缓冲技术可以防止这种信息泄露。

积极主动的技术型对策。已经提出了主动解决方案，通过不断转移或毒化在侦察阶段可以获知的信息来预防攻击者。文献报道了两种主要的技术。

移动目标防御(MTD)是近年来出现的一种旨在从当前攻防双方不对称状态中恢复过来的方法。本质上，MTD可以通过动态改变网络和节点的配置来限制受害者的暴露，从而使泄露的数据不稳定或过时。要付出的代价是防御者和合法用户所经历的开销，例如，更改配置所需的延迟以及由于重新分配地址而导致的临时设备不可用。作为生产质量MTD机制的一个可能示例，动态网络地址转换允许在确保服务可用性的同时，通过替换TCP/IP报头信息来干扰恶意扫描阶段。保护云环境的另一种方法是修改调度程序以随机分配虚拟机，并防止在同一物理机上运行的虚拟机之间的共存攻击边信道。

D、网络欺骗

另一种新兴的主动式网络防御技术是网络欺骗(CD)。在这种情况下，防御者向攻击者提供误导性信息以欺骗他们。40一种可能的方法涉及操纵网络流量以向攻击者提供虚拟的但无用的网络拓扑。与MTD不同，基于CD的机制不会持续改变防御部署。相反，它的目的是分散攻击者对最关键部分的注意力，或者将他/她路由并将其限制在蜜罐或蜜网内。蜜罐试图引诱攻击者进入一个故意易受攻击的系统，而蜜网则通过“模拟”整个子网在更大范围内工作。因此，观察在这种严格控制的环境中操作的攻击者允许推断既可用于异常检测目的又可用于保护真实网络免受信息收集尝试的危害指示器。

40在这样的设置中，这两种技术可以被视为互补的：MTD允许调整系统或网络，以增加其多样性和复杂性，而CD则引导对手采取耗时但毫无意义的行动，从而耗尽他们的资源。

四、结论与展望

本文的重点是侦察阶段，这是整个网络安全攻击的基础。

作为一种大趋势，智能设备、社交媒体和支持物联网的应用程序的发展，增加了攻击者可以收集的信息量，也增加了可用于联系受害者的通信路径。因此，可用于侦察技术的潜在攻击面预计将继续增长，至少在不久的将来是这样。

关于反措施的发展，防御者似乎比攻击者后退了一步。为填补这一空白，应对措施应着眼于：

˲加强培训和监测，以考虑利用边信道的威胁；˲评估如何将通过公共来源获得的结果纳入积极主动的对策；

˲还利用网络欺骗扩展解决方案，以反击社会工程(例如，当员工检测到诈骗企图时，他/她故意误导攻击者)和边信道(例如，通过故意泄露不正确的信息)；

˲策划了一波新的防侦察设计服务，例如，通过最小化寻址方案、物联网的使用以及对像肖丹这样的扫描服务的展示的影响；

˲以更广泛的方式重新思考隐私的概念，将针对高级和恶意数据收集活动的保护机制也包括在内。

作者：Wojciech Mazurczyk和Luca CAVIGLIONE

Wojciech Mazurczyk是波兰华沙计算机科学研究所华沙理工大学的大学教授。

Luca Caviglione是意大利热诺瓦应用数学与信息技术研究所意大利国家研究委员会(National Research Council Of Italia)的高级研究科学家。