摘自：《網(wǎng)絡安全技術和產(chǎn)業(yè)動態(tài)》2021年第7期，總第13期。

中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟（CCIA）主辦，深圳市聯(lián)軟科技股份有限公司、格爾軟件股份有限公司供稿。

網(wǎng)絡欺騙技術（Cyber Deception Technology）是欺騙策略在網(wǎng)絡安全防御中的應用，其通過在信息通訊系統(tǒng)上構(gòu)造虛假信息進行干擾或誤導網(wǎng)絡攻擊者的認知，從而延遲或阻攔網(wǎng)絡攻擊者的活動，使攻擊者采取有利于防守方的動作，最終達到增強信息通訊系統(tǒng)防御能力的目的。

與傳統(tǒng)安全技術關注入侵不同，網(wǎng)絡欺騙技術更加關注防御體系的構(gòu)建，其通過人工智能和自動化技術實現(xiàn)真實網(wǎng)絡與數(shù)據(jù)環(huán)境的高度仿生，幫助防御方主動構(gòu)造動態(tài)的、真實的虛擬網(wǎng)絡與數(shù)據(jù)環(huán)境，欺騙攻擊者進入陷阱以延遲攻擊時間。

網(wǎng)絡欺騙技術既可以作為一個獨立的平臺應用，又可以聯(lián)合多種安全防御手段進行應用，利用人工智能的自動學習能力，不斷收集并分析攻擊者路徑與思路，提高攻擊者的攻擊難度，進而提升網(wǎng)絡欺騙防御能力。

一、技術發(fā)展情況

根據(jù)網(wǎng)絡欺騙應對目標的不同，網(wǎng)絡欺騙技術的發(fā)展可分為3個階段：應對人工攻擊的開創(chuàng)階段；應對自動化攻擊的蜜罐階段；應對高級持續(xù)性威脅（advanced persistent threat，APT）的欺騙防御階段。

開創(chuàng)階段，網(wǎng)絡欺騙只是被安全研究人員用于檢測業(yè)務系統(tǒng)的入侵情況和對抗人工攻擊，主要表現(xiàn)形式是在業(yè)務系統(tǒng)中插入虛假數(shù)據(jù)或開啟未使用的端口，從而欺騙入侵者。

蜜罐階段，自動化工具的惡意代碼傳播成為攻擊的主流方式，惡意代碼的發(fā)現(xiàn)與樣本收集的實際需求促進了蜜罐技術的發(fā)展，蜜罐或蜜罐傳感器被廣大安全從業(yè)人員熟知，并使用相應的解決方案發(fā)現(xiàn)和收集威脅情報作為防御的關鍵策略。但由于動態(tài)性、真實性、偽裝性不足，蜜罐往往容易被識破。

欺騙防御階段，主要通過人工智能和自動化工具加強欺騙技術的真實性和運維管理，主要特征有三點：一是分布式部署；二是使用真實的業(yè)務場景制作欺騙工具；三是與其他安全工具聯(lián)動，構(gòu)建立體防御體系。一方面可以讓欺騙環(huán)境保持動態(tài)更新，另一方面還可以降低人工運維的成本并輸出可視化的威脅畫像，協(xié)助管理者作出應對決策。

欺騙防御技術通過人工智能和自動化技術實現(xiàn)真實網(wǎng)絡與數(shù)據(jù)環(huán)境的高度仿生，當前網(wǎng)絡欺騙技術雖然在技術應用和市場顯示出比較好的應用前景，但仍處于起步階段，還主要在使用蜜罐集中或分布式部署，以增強惡意代碼和威脅檢測。

二、發(fā)展難點分析

與傳統(tǒng)的安全防御措施不同，網(wǎng)絡欺騙技術為了達到更好的效果，要求與業(yè)務系統(tǒng)具有高度的相似度和高交互的網(wǎng)絡數(shù)據(jù)，但當前在構(gòu)建基于真實業(yè)務的虛擬數(shù)據(jù)動態(tài)環(huán)境方面，還有所欠缺，并且還沒有形成固定且統(tǒng)一的形態(tài)，而是隨著攻擊技術與網(wǎng)絡安全需求的變化而演化，尚未形成體系化的理論基礎與通用的標準規(guī)范。

網(wǎng)絡欺騙技術的發(fā)展與應用的難點目前主要體現(xiàn)在以下3個方面：1）網(wǎng)絡欺騙技術非常依賴攻擊者與虛擬環(huán)境之間的觸碰點，現(xiàn)有技術難以動態(tài)地分布欺騙智能防御節(jié)點。2）高度仿真的虛擬環(huán)境在注入應用程序或數(shù)據(jù)路徑中時，容易與真實環(huán)境發(fā)生沖突，導致業(yè)務中斷。

3）難以生成攻擊者行為的威脅畫像，無法助力威脅情報的生成，不利于完善防御策略。

三、產(chǎn)業(yè)落地情況

網(wǎng)絡欺騙技術解決方案現(xiàn)已部署在各個行業(yè)，包括銀行金融服務和保險（BFSI）、能源與公用事業(yè)、政府、衛(wèi)生保健、IT與電信、汽車制造業(yè)等。

國際上，2018年，Gartner發(fā)布了威脅應對技術成熟度曲線報告，該報告以威脅應對技術為研究對象，集中分析并篩選出了能夠?qū)崿F(xiàn)直接防御或有效降低安全風險的新興安全技術，其中“網(wǎng)絡欺騙技術”被認為是未來5-10年能夠進入主流市場、并對現(xiàn)有安全防護體系產(chǎn)生深遠影響的安全技術發(fā)展趨勢。美國等發(fā)達國家紛紛對網(wǎng)絡欺騙技術進行了投入，如美國國防高級研究計劃署（DARPA）直接參與的賽博欺騙項目。2020年3月，Mordor Intelligence發(fā)布了專門針對欺騙技術市場的分析與預測，預計欺騙技術市場估值到2025年將達到24.8億美元。當前，國際上網(wǎng)絡欺騙技術研發(fā)主要參與者包括IllusiveNetworks（以色列）、TrapXSecurity（美國）、Rapid7（美國）、LogRhythm（美國）、Attivo Networks（美國）。

在國內(nèi)，相比國外而言，網(wǎng)絡欺騙技術發(fā)展較為緩慢，但是國內(nèi)也有一批安全廠商開始布局網(wǎng)絡欺騙技術，如默安科技的高級威脅狩獵與溯源系統(tǒng)、長亭科技的偽裝欺騙系統(tǒng)、觀安的網(wǎng)絡威脅安全防御系統(tǒng)、聯(lián)軟科技的網(wǎng)絡智能防御系統(tǒng)等，均努力嘗試利用自身技術積累幫助客戶建立主動防御機制。

四、意見和建議

網(wǎng)絡欺騙作為一種主動防御機制，在未來網(wǎng)絡空間戰(zhàn)中具有積極戰(zhàn)略意義。建議主管部門從網(wǎng)絡空間戰(zhàn)略的高度上進行統(tǒng)籌規(guī)劃、協(xié)調(diào)組織資源進行研究探索。

1．政策與標準方面

建議盡快研究制定網(wǎng)絡欺騙技術相關標準，為網(wǎng)絡欺騙技術的研發(fā)及相關產(chǎn)品的落地實現(xiàn)提供指導，進一步促進網(wǎng)絡欺騙技術的規(guī)范化發(fā)展。

2．技術發(fā)展方面

隨著網(wǎng)絡欺騙技術的逐步完善，建議與移動目標防御（moving target defense，MTD）方案結(jié)合來增強真實的業(yè)務系統(tǒng)的多樣性和復雜性，讓網(wǎng)絡攻擊者更難獲取有效的情報進行攻擊，發(fā)揮其最佳優(yōu)勢，降低攻擊者的效率與成功率。