第1章绪论
1.1抗追踪需求日益迫切
当今世界万物互联,人类生产生活已与互联网密不可分。俗话说“风过留声,雁过留痕”,人们在网络空间中的一切活动也可能在不经意间留下数字足迹,被别有用心的人监视和追踪,并被进一步地加工和利用,对人们的安全与隐私构成极大的威胁。因此,人们在网络空间中的抗追踪需求变得愈发迫切,这种需求主要体现在两个方面:①网络攻防博弈,随着网络攻防水平和强度的不断提升,网络攻防双方对网络抗追踪能力提出了更高的要求;②个人隐私保护,面对网络空间大数据分析、监视和追踪,个人隐私随时存在被泄露的风险,隐私保护对网络抗追踪能力的需求同样日益迫切。
由此可见,专门开展网络抗追踪技术的研究和实践工作具有重要的理论意义和现实价值,特别是在网络攻防博弈和个人隐私保护领域需求尤为迫切。
1.1.1网络攻防博弈
网络攻防博弈好比网络空间中一场无尽的猫鼠游戏,“追踪与抗追踪”是攻防双方永恒的主题。对于攻击方而言,抗追踪技术是实施隐蔽网络攻击的核心关键技术之一,能有效防止对攻击方的溯源;对于防御方而言,面对多方位立体化的网络追踪,亟须围绕抗追踪技术开展主动防御性研究,以应对可能的网络威胁。因此,网络攻防双方都有着迫切的抗追踪需求。
1.1.1.1网络攻击需要对抗敌手溯源
面对日益严峻的网络安全形势,世界各国纷纷研究和建设网络攻击检测与追踪系统,力求及时准确发现并从源头上消除网络威胁,以保障其网络空间安全,并支撑网络空间战略需要。下面简单介绍一下全球几个具有代表性的网络攻击检测与追踪系统。
1)美国FireEye公司的“网络威胁地图”系统
美国FireEye公司基于真实网络攻击数据构建了“网络威胁地图”系统[1],该系统可为用户可视化展示当前全球实时网络攻击,包括攻击来源、目的地、攻击总数以及*近30天的其他一些统计数据(例如,攻击*多的国家和受攻击*多的行业)。2013年,该系统曾检测到某黑客组织针对美国零售巨头Target信用卡系统实施的网络攻击。
2)美国Arbor Networks公司的“数字攻击地图”系统
美国Arbor Networks公司占据全球运营商安全设备70%左右的市场份额,其基于全球300多家互联网服务提供商(Internet Service Provider,ISP)客户提供的超过130Tbit/s的实时流量,构建了包含大量攻击信息的“数字攻击地图”系统[2]。该系统专门用于跟踪全球分布式拒绝服务(Distributed Denial of Service,DDoS)攻击事件,并支持对历史DDoS攻击的追踪溯源。2015年,该公司的工程与响应安全团队成功追踪到有“DDoS之王”之称的暴力黑客组织LizardSquad(蜥蜴小队),该组织利用其攻击工具LizaRDStresser(—个物联网僵尸网络)对全球游戏网站、巴西金融机构、ISP和政府机构发动了流量高达400Gbit/s的DDoS攻击。
3)蜜网项目组的“蜂蜜地图”系统
蜜网项目组(Honeynet Project)是网络安全领域一个著名的全球性非营利研究联盟机构,旗下拥有来自美国、中国、德国、英国、意大利、西班牙、法国等国家的三十多支研究团队。蜂蜜地图(Honey Map)系统[3]基于全球分布式部署的大量实时威胁蜜罐系统采集网络威胁数据,获得攻击者及其目标的信息,并对全球网络攻击实时分布进行可视化展示,包括攻击源、攻击目标、攻击时间及相应的坐标等信息。
4)俄罗斯Kaspersky公司的“网络威胁实时地图”系统
俄罗斯Kaspersky公司的网络威胁实时地图系统[4]基于Kaspersky实验室多种扫描系统、反病毒系统、入侵检测系统、僵尸网络活动检测系统以及反垃圾邮件系统所感知的网络威胁数据,为用户呈现全方位、全天候、交互式的实时网络威胁视图。用户可以通过该地图实时跟踪网络攻击的来源,查看所在地区乃至全球的威胁情况。2017年国际刑警组织世界大会上,Kaspersky实验室揭示其通过收集恶意软件证据、绘制攻击地图,追踪全球范围内实施复杂网络攻击行动的黑客踪迹,并与国际刑警组织合作揭开了诸多大规模网络攻击的真相。
除上述系统外,其他知名的网络攻击检测与追踪系统还包括美国趋势科技公司的“全球僵尸网络威胁活动地图”[5]、美国Team Cymru公司的“网络恶意活动地图”[6]等。
由此可见,随着防御方网络攻击检测与追踪能力的加强,攻击方要想保持攻防对抗的平衡性,甚至取得战略性优势,势必要提升自身的抗追踪能力。
1.1.1.2网络防御需要对抗敌手追踪
当前,网络空间的国际竞争方兴未艾,世界各国正相继加强网络威慑能力和网络军事能力的建设,网络攻防呈现出国家化、军事化、常态化的趋势。据联合国裁军研究所发布的调查报告表明,世界上已有46个国家组建了网络战部队,这一数量约占全球国家总数的1/4[7]。据国内网络安全机构发布的威胁情报表明,很多黑客组织与部分国家有着密切关联,例如,与美国国家安全局(National Security Agency,NSA)密切相关的方程式组织[8,9],被普遍视为世界上*先进的黑客组织,震网病毒(Stuxnet)攻击、火焰病毒(Flame)攻击等臭名昭著的网络攻击事件均与其相关[9];与俄罗斯军事情报机构格鲁(Glavnoe Razvedivatelnoe Upravlenie,GRU)密切相关的APT28组织[9],针对全球范围的政府、军队、外交领域的目标人员和机构实施网络间谍活动[1。];与朝鲜人民军121局密切相关的Lazarus组织[9],长期针对韩国、美国进行渗透攻击,同时还对全球的金融机构进行攻击[9,10]。这些成建制的网络战部队或黑客组织攻击性和针对性极强,攻击对象通常都是一些重点目标,危害巨大。
为实施精准高效的网络攻击,攻击方通常会提前对目标IP地址等关键信息进行网络侦察和网络追踪,其追踪技术手段呈现出持续性、多方位、立体化的特点和趋势,追踪能力日益强大,给防御方带来了巨大的网络安全威胁。因此,同样为寻求攻防对抗的平衡性,网络防御迫切需要提升抗追踪能力。
1.1.2 个人隐私保护
互联网高度的虚拟性、开放性、流动性和交互性,使得侵犯和传播个人隐私变得更加容易和隐蔽,造成的后果也更加严重。因此,如何防止个人隐私被追踪成为一个棘手的网络安全问题。
1.1.2.1互联网比你更了解你自己
1993年,《纽约客》杂志刊登了由Peter Steiner创作的一幅漫画,画面中一条狗坐在电脑前,对着同伴说:“在互联网上,没人知道你是一条狗。”该漫画巧妙地表达了早期互联网的隐匿性,即网络中没人知道你的真实身份。
随着信息技术的飞速发展,人类生活已与互联网深度融合。面对互联网中“第三只眼”的监视,用户数据在不知不觉中被收集和利用,对用户的安全和隐私构成威胁。例如,淘宝、亚马逊、京东、拼多多等各大购物网站监视着用户的购物习惯,以便根据用户偏好推荐商品;百度、必应、谷歌等各大搜索引擎监视着用户的搜索历史,以便根据用户兴趣投放推广信息,提高其广告收益;QQ、微信、微博、Twkter等社交应用监视着用户的社交关系网,以便向用户推荐可能认识的人;滴滴、高德、携程等出行软件监视着用户的生活轨迹,以便为用户规划和推荐出行路线。
由此可见,在当前所处的大数据时代中,互联网知道人们喜欢穿什么、喜欢吃什么、喜欢去哪儿玩、喜欢跟谁互动等。某种意义上讲,互联网可能比你更了解你自己。
1.1.2.2个人隐私需要抗追踪技术保护
由于个人隐私保护的复杂性和困难性,个人隐私泄露事件频频发生,引发了广大用户的恐慌。下面列举近年来几起影响力颇大的隐私泄露案件。
1)以色列选民数据泄露事件
2020年2月,经Haaretz、Calcalist和Ynet等以色列当地媒体证实,由以色列总理本杰明 内塔尼亚胡(Benjamin Netanyahu)执政的政党利库德(Likud)运营的竞选活动网站(elector.co.il),因其主页的公共源代码中列出的不受保护的API(Application Programming Interface)端点泄露了管理面板的用户名和密码,导致近650万以色列选民的个人资料被暴露,包括姓名、身份证号码、地址、性别、电话号码、父母亲名字等详细信息。
2)PACS(Picture Archivingand Communication Systems)服务器患者数据泄露事件
PACS是一种专门应用于医院影像科室的医学影像归档和通信系统,PACS服务器存储了全球海量的医学影像(包括核磁、CT、各种X光机等设备产生的图像)。2019年9月,据Securityaffairs报道,德国Greenbone Networks研究人员发现600个未受保护的PACS服务器暴露于互联网,其中,中国有14个未受保护的PACS服务器系统,泄露了近28万条数据记录,包括姓名、出生日期、检查日期、调查范围、成像程序的类型、主治医师、研究所/诊所和生成的图像数量等详细信息。
3)Facebook用户数据泄露事件
2018年3月17日,媒体披露剑桥数据分析公司(Cambridge Analytica)未经用户许可违规获取了Facebook近5000万用户的数据。受此事件影响,Facebook的市值仅仅两天便蒸发了500亿美元。2018年4月10日和11日,Facebook创始人
兼首席执行官扎克伯格出席美国参议院司法部和商务委员会举行的联合听证会,接受美国国会要求回答剑桥数据分析公司用户数据隐私丑闻的相关问题,并就此事件向公众致歉。
由此可见,面对互联网中“第三只眼”的监视,个人隐私泄露已成为一个非常重要的网络安全问题,人们迫切需要抗追踪技术保障个人隐私安全。
1.2构建抗追踪网络的必要性
针对网络空间抗追踪的需求,研究人员已开展了大量研究和实践工作。传统的抗追踪技术主要以代理、VPN、跳板等为代表,已被社会大众广泛应用于各个信息领域,其核心思想是利用“中间人”为通信双方提供抗追踪服务,以防止某一方的IP地址直接暴露给另一方。传统方法的特点在于简单高效,尤其适用于对抗追踪性和鲁棒性要求不高而对时效性要求较高的用户群体。
随着网络监听与追踪技术的快速发展,传统方法由于功能结构简单导致一旦“中间人”被监听或控制,就可以轻易地追踪到通信双方的IP地址。因此,如何有效提升抗追踪能力、防止网络追踪是近十年来学术界和工业界面临的一大技术挑战。针对这一挑战,我们认为*有效的解决思路是构建一个“抗追踪网络”,以多层次、体系化的一整套理论和技术体系来显著提升抗追踪能力,防御网络追踪。纵观抗追踪技术研究现状和发展趋势,抗追踪网络的研究和实践工作是有效应对曰益强大的网络追踪的关键技术手段,将成为抗追踪技术领域的研究重点和热点。
1.3抗追踪网络基本概念
1.3.1域
本书所述的“域”是指网络中的逻辑组织单元,是网络中一组逻辑节点构成的集合。通常情况下,每个域拥有自己的管理边界,并由不同的机构管理和运营。众所周知,全球网络逻辑上可划分为许多不同的域,如自治域、地理域、系统域等等,如图1.1所示。
图1.1网络按域划分示意图
一般而言,单一机构*多只能对其所在域内的网络流量进行监控。若要监控多个域的网络流量,通常需要域间协作。需要强调的是,在现实世界中监控全球网络往往不具备可行性。
1.3.2网络追踪
本书所述的“网络追踪”是指追踪方利用网络中的已知节点发现未知节点的过程。已知节点可视为追踪方掌握的先验知识,而发现未知节点的过程可能会综合利用多种技术手
展开
