CCCF精选 | 密态对抗——网络空间高隐蔽威胁透视的发展方向

随着网络与信息技术的发展，人类社会由农业化、机械化社会逐步进入到信息化、网络化社会，网络空间日益成为与“陆海空天”自然空间交织存在、互为影响的第二类空间。相比自然空间，网络空间具有信息光速机动、软件无限克隆、行为高度隐蔽、身份虚拟匿名等特性，导致其安全威胁问题更加突出。

现实世界的安全事件表明，网络安全技术是一把双刃剑，一方面可以对网络与信息实施加密、认证等安全增强技术，以确保信息、网络、系统的安全属性；另一方面，这些技术也常被黑客组织或不法分子利用，从而隐藏其攻击行为（如加密窃取数据、隐蔽攻击通道、保护攻击载荷等），成为网络威胁发酵的温床。近年来我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等都遭受过不同程度的网络攻击，导致了严重的安全事故和经济损失。特别是近期发生的西北工业大学遭境外网络攻击事件，反映了网络空间中长期存在的高隐蔽威胁行为。本文将高隐蔽威胁行为的此类特点称为“匿迹”效应，而将高隐蔽威胁经过匿迹后所处的状态称为“密态”(Enigma State)。已有研究表明，高隐蔽威胁对国家关键信息基础设施、人民生产生活、网络空间环境等造成了极大影响。然而，关于如何全面认知这类威胁的隐蔽机理、提出新型防御应对方法的研究相对较少。

为此，本文梳理和分析了网络空间高隐蔽威胁的活动环境、威胁匿迹机理及演变趋势，提出了密态对抗(Enigma Countermeasure)的概念及其三要素，给出了典型高隐蔽威胁场景中的密态对抗方法，以期为提升网络空间高隐蔽威胁透视能力提供借鉴和思考。

网络空间威胁是指任何可能通过诸如未授权的访问、破坏、披露信息或者拒绝服务等手段，对信息系统产生不利影响的情况或事件。网络威胁最经典的模型是钻石模型和杀伤链模型。钻石模型由攻击者、攻击基础设施、攻击能力、受害者四要素组成，主要用来刻画攻击意图和技战术(Tactics Techniques and Procedures，TTP)。其中，攻击意图和攻击者、受害者相关，而技战术是指攻击基础设施和攻击能力的组合。杀伤链模型主要用来刻画攻击的不同阶段，一般包括侦察、武器化、投递、突破、后门植入、远程控制、后渗透7个阶段，每个阶段均可使用不同的TTP。

在传统开放式系统互联通信(Open System Interconnection，OSI)七层网络模型中，物理层和数据链路层的网络流(Network Flow)、网络层之上的文件流(File Stream)、指令流(Instruction Flow)等可统称为信流(Information Flow)。信流在网络空间快速流动和变换，从而实现信息的传输、处理和交换。从活动环境看，网络威胁承载于由软件、硬件、信息、协议构成的网络空间环境；从活动形式看，网络威胁主要靠信息在网络空间流动来实现。如图1所示，信流至少有3种形态。一是网络流，指信息在不同节点之间通过网络协议通信的流量包集，是信息传输的主要表现形式；二是指令流，又被称为控制流，指计算节点执行的指令序列，用来控制数据的传输、读写，是信息处理的主要表现形式；三是文件流，指所有能输入到计算节点并被程序处理的符号序列，是信息交换的主要表现形式。

在网络威胁中，网络流主要用于在攻击发起节点、跳板节点、受害节点之间传输信息；指令流和文件流位于节点侧，指令流处理文件流信息，并使用网络协议在不同节点之间传输网络流。

由于网络空间的虚拟化和匿名化等客观特性，以及攻击者隐匿威胁行为的主观动机，信流中的网络威胁一般都具有高隐蔽性，本文称之为信流匿迹效应，这给发现威胁带来极大挑战。具体来说，信流匿迹效应是指网络空间威胁在信流中隐匿恶意行为、藏匿自身存在，使攻击行为呈现单向不透明的密态，让防御者面临复杂性困境，从而难以发现威胁本身的现象。

通过分析总结网络空间高隐蔽威胁在攻击通道、武器、漏洞、痕迹等方面的隐匿特点，本文提炼了目前4种主要匿迹效应（如图2所示）：一是数据遮蔽效应，主要包括流加密（攻击命令控制和数据回传通道使用高强度密码算法或协议，对通信内容进行加密）、代码混淆、指令乱序等盲化遮蔽，使防御者望不透攻击通道；二是特征伪装效应，主要包括协议模拟（攻击通道伪装成TCP、UDP、ICMP等正常协议隐匿在网络流中）、代码寄生（攻击木马后门伪装在终端计算机固件、驱动、进程中）、凭证伪造等措施，使防御者在信流中辨不出具体的攻击通道、驻留武器等；三是行为透明效应，主要包括攻击者在目标突破时使用大量的零日漏洞，在持久化控制中使用跨域控制和跨网穿梭等措施，使防御者看不见攻击过程；四是时空释痕效应，主要特点包括低频次活跃、动态跳变、广域机动、攻击过程呈现长时间控制等，攻击杀伤链的特征浓度在长时间、大尺度网络中被大大稀释，从而使防御者厘不清威胁，陷入难以在超大规模信流中发现稀疏动态威胁的困境。上述匿迹效应带来的密态化问题给网络威胁的发现造成极大壁垒，导致目前发现的高隐蔽威胁仅仅是冰山一角。

高隐蔽威胁发现的现有方法主要包括加密流威胁检测、恶意代码威胁检测取证、漏洞攻击检测、攻击链检测等。

加密流威胁检测的主要方法包括端口分析、深度报文检测(Deep Packet Inspection，DPI)、流行为分析。端口分析最早用于识别使用特定的TCP、UDP等协议端口的拒绝服务攻击，端口伪装、随机化和隧道技术的发展使该方法逐渐失效；DPI方法集中在匹配数据包明文内容的检测上，难以发现加密数据包负载中的威胁；流行为分析方法基于统计特性和时间序列分析，一般采用支持向量机、机器学习、决策树等机器学习方法对威胁进行建模分析，威胁检测结果受训练数据质量和模型选择的影响较大，且结果的可解释性差。

恶意代码威胁检测取证的主要取证策略包括实时内存取证和系统多样化日志取证等，主要分析策略包括文件静态特征匹配（例如杀毒软件使用特征码快速查杀病毒）、代码指令流动态行为检测（例如沙箱分析、行为异常检测）等方法。已有的智能检测方法主要采用机器学习方式，对大量的恶意软件源码进行训练学习，当恶意软件使用源码混淆技术时威胁检出率不高，无法推广至复杂多变的现实场景。

漏洞攻击检测的主要方法包括Shellcode代码检测、面向返回的编程(Return Oriented Programming，ROP)攻击链检测和行为异常检测，通过检测漏洞攻击中使用的机器码、杀伤链、行为异常等来发现漏洞。该方法对已知漏洞有一定的检测能力，但针对未知漏洞攻击的检测还存在一些不足：一是基于规则的检测方法效果不够显著；二是目前仍缺乏针对内存破坏性漏洞攻击的有效检测方法；三是漏洞攻击样本的数量和质量达不到要求，难以运用人工智能提升检测效率。

攻击链检测的主要方法包括网络威胁情报(Cyber Threat Intelligence，CTI)挖掘、杀伤链技战术框架关联分析、溯源图分析等。CTI挖掘方法是从威胁的历史行为和固有特性出发，挖掘隐蔽程度高、持续时间长、危害影响大的高级网络威胁，但目前还存在着威胁情报来源不充分、覆盖率不够广泛、情报特征单一等瓶颈问题。杀伤链技战术框架关联分析方法是从杀伤链模型出发，分析技战术方法间的关联程度，最终形成能提供语义信息的杀伤链攻击图谱，但它难以有效且准确地识别复杂或未知的威胁。溯源图分析方法是通过分析流行为和审计活动日志，构建、压缩溯源图，最终通过图分类的方法判断是否存在威胁攻击，但目前存在溯源图的规模、效率和准确性之间的平衡难题。

随着网络安全技术的与日俱进，以及网络信流呈密态化趋势发展，上述方法在应对不断演变的未知威胁时，在平衡检测速度、精度和准确率等方面还存在不足，亟须提出新的威胁分析技术与方法。

1. 高隐蔽威胁的带内特征已被有效隐匿，但人机交互的存在引入了带外脆弱性。在高隐蔽威胁杀伤链致效过程中，攻击者使用匿迹效应对信息域内直接承载威胁的各类信流——带内信流进行隐匿，极大降低了威胁的带内信流特征区分度，使传统依赖瞬态带内信流观测分析的检测手段难以奏效。

透视高隐蔽威胁的关键在于转换思路，一是从威胁信流的设计和操作人员等出发，由于其攻击目的、打击目标、技战术、武器工具、基础设施等都具有人为属性，这就决定了信流除了具有信息域方面的特征——带内特征外，还具有认知域、社会域方面的特征——威胁活动的人为设计特性和组织实现规律（例如攻击时间分布、跳板分布、链路模式、上下行流占比、信流交互模式、节点出入度、后门激活模式、杀伤链组合模式），被称为攻击者认知带来的带外脆弱性；二是从威胁信流的运行过程出发，其不能独立运行，必须依托由攻击源节点、中间跳转节点、目的节点，以及节点上的硬件、软件、协议等组成的网络信息系统环境——带外环境来运行，需要与带外环境进行深度人机交互，交互过程既可以被防御者通过带外观测采集到，也会被复杂的带外环境记录或者影响到操作系统的其他信流运行从而产生多样化的间接信流，这些被称为信流运行环境带来的带外脆弱性。本文将这些由攻击者认知、信流外部运行环境等因素导致的带外脆弱性统称为人机交互带外脆弱性。

2. 人机交互带外脆弱性客观存在且不可避免，攻击者难以察觉或完全隐匿此类脆弱性。一方面，受攻击平台设计架构、技术指标的约束以及研发人员的水平限制，平台使用的攻击基础设施、武器工具都有一定的标识性，可被防御者构建的长时空区分器识别出来；另一方面，受攻击操作人员的工作时间、任务场景、技战术选用习惯等约束，威胁在长时空范围内一定会呈现人为规律。此外，由于攻击人员对威胁运行的操作系统、软件进程等带外环境复杂性认知的局限性，很难全面厘清究竟有多少与威胁相关的间接信流存在并被防御者利用。总的来说，高隐蔽威胁的人机交互带外脆弱性客观存在，且难以从根源上避免；受认知局限，攻击者将抗检测重点放在隐匿威胁直接信流的带内特征，忽视了威胁信流带外脆弱性的存在，也难以彻底地隐匿威胁的带外特征。

3.高隐蔽威胁带外脆弱性可被挖掘、分析和利用，以实现不依赖带内特征的威胁透视。人机交互带外脆弱性的存在，为高隐蔽威胁的发现打开了一扇窗，为寻找不依赖带内特征的威胁检测找到了一个崭新的前进方向。防御者可以开阔思路独辟蹊径，一是创新寻找攻击平台设计、操作、运维、指挥等人员的跨域交互脆弱性，将脆弱性挖掘从信息域扩展到认知域、社会域；二是创新探索带外观测方法，例如在操作系统层往下的硬件层中，直接绕过威胁信流的抗检测机制，实现操作系统无感的信流观测；三是深入分析威胁信流对运行的硬件平台、操作系统、软件系统的影响，将信流分析由直接作用的带内信流拓展至间接影响的带外信流。

为此，本文提出密态对抗这一核心概念，即针对网络空间中承载高隐蔽威胁的网络流、文件流、指令流等密态信流，通过带外观测分析方法，围绕数据遮蔽、特征伪装、行为透明、时空释痕等匿迹效应开展的威胁透视和博弈分析，提升威胁发现和识别效率的原理与防御方法。

密态对抗是一种方法和手段，也是一种全新的技术体制，其核心具备三个要素：带外发现、平行观测、多维关联，如图3所示。

图3 密态对抗模型

带外发现 指的是挖掘密态信流客观存在的人机交互带外脆弱性。不同于传统威胁分析聚焦在基于信流带内特征的建模分析，密态对抗坚持探寻事物产生根源的本源论思维，以及事物之间直接和间接的普遍联系规律，从构造威胁的人机交互脆弱性出发，探寻网络威胁分析的“元问题”，找到网络威胁产生、致效、匿迹的根源及其与人类思维、活动之间的关系，例如攻击平台设计局限性、攻击活动策划靶向性、攻击实施时空规律性、信流带外环境影响性，再投影到直接和间接信流中去审视和检测威胁。

平行观测 指的是密态对抗强调观测信流的全面性、观测过程的独立性、观测手段的客观性、观测动作的并发性、观测系统的协同性和观测结果的无偏性。密态对抗主要研究不依赖被观测对象的带外观测手段（类似在太空观测地球或通过摄像头监测交通），坚持独立性的平行观测，确保观测、采集威胁信流的客观性、无偏性和有效性，减少被观测对象对观测系统的干扰影响。此外，密态对抗方法可以调度威胁信流运行外部环境的所有传感器进行动态并发观测，同时对信流交互中的行为模式异常情况、时空活动规律、对其他信流的影响等攻击者难以抹掉的带外信息进行全面采集，从而实现攻击者无感、不依赖带内特征分析的高隐蔽、强对抗威胁发现。

多维关联 指的是密态对抗需要全面地利用各类主被动平行观测手段，将发现的各种信流数据异常情况和防御者的知识经验结合起来，开展多维度的数据同态映射压缩、时空富化扩张、综合关联分析，引发信流数据与知识产生关联从而发现威胁。密态对抗方法不局限在单点的瞬态异常分析，而是从威胁活动的全局出发，将不同威胁信流元数据（地址、端口、域名、协议、特征等）相关的历史时空活动以及网络流、文件流、指令流等关联起来；不局限在被动观测分析，而是综合利用电子取证、指纹测绘、欺骗诱捕、威胁情报、社会工程等主被动手段来挖掘威胁。

1.遮蔽效应场景：研究对象主要包括网络命令控制通道和数据回传通道使用高强度加密遮蔽、威胁跳板链路多级跳转构建泛动态匿名网络等情况。其可行的检测方式是发展基于带外特征的主被动挖掘分析的遮蔽流威胁透视方法。具体来说，按照加密流泛采集、信流伪随机性粗筛、通道异常发现精析的技术路线，对网络攻击泛动态匿名网络流进行高概率线路监测和大规模流谱分析，过滤基线正常业务流，提取信流时空元数据，基于带外分析方法发现信流宏观异常、协议特征异常、通联心跳异常、异常访问次数等线索，识别发现攻击泛动态匿名网络群，迭代实现从可疑线索到高隐蔽威胁的精准定位与泛动态匿名网络的高覆盖识别。

2.伪装效应场景：研究对象主要包括受害终端木马后门深度驻留、使用无线木马绕过软件检测、攻击载荷内存执行且检测自毁等情况。其可行的检测方式是发展基于带外旁路观测分析的威胁信流无感检测与取证分析方法。具体来说，从目标终端器部件底层硬件和操作系统内核入手，基于旁路分析(Side-Channel Analysis，SCA)思想，开展基于硬件直接存储器访问(Direct Memory Access，DMA)板卡读取的内存无文件恶意样本取证分析、基于声光电磁旁路泄露观测分析的恶意样本与无线信道检测、基于内核事件跟踪和上下文关联的攻击过程还原，尽可能在硬件层和内核层，从带外的角度对威胁信流行为开展观测分析，并将链路侧网络流和终端指令流组合起来，破译加密的攻击通道，还原高隐蔽威胁在终端的攻击事件过程及全貌。

3.透明效应场景：研究对象主要包括高隐蔽攻击频繁使用零日漏洞突破网络设备、信息系统，以及传统基于已知漏洞、依靠特征规则的方法难以检测越来越多的特征未知的零日漏洞攻击的情况。其可行的检测方式，是发展基于信流交互模式异常的可疑指令流检测与零日威胁发现方法。具体来说，依托公有云平台或行业单位网络搭建涵盖物联网设备、网络边界设备、网络安防设备等系统的漏洞信流主动捕获场，建立漏洞攻击中的信流交互模式异常模型，对可疑的漏洞攻击指令流开展监测识别，通过代码语义识别、逆向分析等手段重构漏洞利用代码和威胁检测规则。

4.释痕效应场景：研究对象主要包括网络攻击链路多节点级联大范围跳转、低频次间歇式活跃、杀伤链通道分离等特点，使杀伤链各阶段的TTP特征被稀释在网络空间长时空中，使防御方陷入长时空威胁数据采集、存储、计算复杂性困境的情况。其可行的检测方式是，针对长时空条件下多模离散行为进行特征聚合，进而发现威胁行为体。具体来说，通过对网络流、恶意样本、系统日志等开展元数据提取和数据清洗，大幅压缩原始数据规模，将无序的数据空间变换为可读的降维信息空间；利用多种威胁检测模型，对元数据进行标注，将其变换为可理解的威胁数据图谱；基于多源威胁情报，对威胁数据图谱进行关联分析，实现不同杀伤链特征数据的关联，适度富化图谱规模；根据已知威胁行为体攻击杀伤链特征构成的威胁情报图谱，与待判定的威胁数据图谱对照开展同源性分析，从技术角度归因出威胁行为体组织谱系。

目前网络空间高隐蔽威胁的密态对抗研究还处于早期，美国国防部高级研究计划署(DARPA)近年来已经通过部署透视计算(Transparent Computing，TC)、大规模网络狩猎(Cyber Hunting at Scale，CHASE)、利用模拟域实现安全(Leveraging the Analog Domain for Security，LADS)等项目开展了相关探索研究，我国也应该增强忧患意识，鼓励开展相关创新研究。建议由国家网信职能部门设立专项研究课题，引导学术界、工业界联合资源和集中力量，在密态对抗基础理论研究、关键技术攻关、行业规范与安全产品设计等方面整体布局，全面提升对高隐蔽威胁的信流匿迹效应刻画、带外脆弱性分析和透视发现能力。

特别是随着网络安全技术的发展以及虚拟化容器、后量子密码等新技术的出现，网络空间威胁将变得愈发隐蔽，密态化趋势愈发明显。相应地，更多的人机交互脆弱性会被挖掘出来用于密态对抗，其适用场景也会逐步增加，研究方法也会推陈出新。此外，围绕网络空间信流模型，攻击者和防御者将会持续博弈，攻防能力将此消彼长，出现“魔高一尺，道高一丈”的对抗局面。从长远来看，密态对抗将成为国家级对抗的常态化方式。

本文提出了密态对抗的核心概念和要素，对威胁人机交互带外脆弱性以及典型场景下的密态对抗方法进行了深入分析，探索了一套新的高隐蔽威胁透视技术体制，但在整体的理论化、系统化、框架化方面还存在一些不足，需要开展更加深入的探索和研究。未来，还需要制定高隐蔽威胁密态对抗数据规范，搭建高隐蔽威胁密态对抗试验场，设计带外脆弱性专用检测工具组装线、信流检测数据集线器、威胁数据综合分析平台，在试验场中检验评估密态对抗效能。

密态对抗是随着网络空间高隐蔽威胁发展出现的一种新型防御技术体制，其核心思想是通过全面观测、分析、利用信流的带外异常，与威胁的“数据遮蔽”“特征伪装”“行为透明”“时空释痕”等密态信流匿迹效应对抗，在不依赖带内特征的条件下透视发现高隐蔽威胁。如同DES、AES等密码算法设计研究推动密码学中的可证明安全和密码分析技术发展一样，开展密态对抗研究，有望澄清网络空间威胁匿迹机理，推动威胁密态化可证明安全和威胁密态对抗方法研究，在此基础上可建立网络空间密态对抗理论与技术体系，为高隐蔽威胁发现研究找到科学依据和技术突破口，研究意义重大。我们坚信，在领域同行的共同努力下，高隐蔽威胁透视问题将会得到深刻的认知、研究和解决，助力网络空间安全一级学科发展。

参考文献请参见CCF数图原文。

张帆

CCF专业会员。浙江大学网络空间安全学院教授。主要研究方向为网络安全、硬件安全、系统安全。

fanzhang@zju.edu.cn

郭世泽

浙江大学求是教授。主要研究方向为系统脆弱性分析和网络空间防御。