透视“烟雾”：管窥美军网络反溯源项目

2021年12月，美国国防先进项目研究局(DARPA)发布了“基于运作知识与运作环境的特征管理”(SMOKE)项目，以此提升网络红队的反溯源能力。尽管该项目的公开目标是改善美军的网络安全评估能力，但毫无疑问，这些扮演“假想敌”的红队也完全能执行真正的网络攻击任务。就像项目缩写“SMOKE”所对应的英语单词“烟雾”一样，SMOKE项目试图以重重迷雾遮蔽美军的网络红队乃至网络攻击部队，使对手难以辨认攻击来自何方，从而大大减轻美军发动网络攻击时的安全和政治顾虑。

一、项目背景

面对愈演愈烈的网络威胁，美军已意识到单纯的照章检查乃至简单的渗透测试都不足以反映真实的网络安全水平，只有利用现实中最先进的战术、技术和程序(TTP)对己方网络发动模拟攻击，才能真正掌握和改善网络安全态势，而承担这一模拟攻击任务的便是网络红队。美军会根据模拟攻击的结果来查漏补缺，因此红队的能力在一定程度上决定了美军的网络安全水平。

1.1　构建攻击用基础设施费时费力

对攻击方而言，行动中至关重要的一环就是构建和部署攻击所需的指挥与控制(C2)基础设施，比如域名、“互联网协议”(IP)地址和虚拟服务器等等。在此过程中，攻击方需作出许多相互关联的复杂决策，这既会耗费大量的时间和人力，又难免在网络中留下一些痕迹。此类痕迹数据五花八门，其中既包括网络形象(persona)、浏览器指纹和cookie文件等账户管理信息，也包括IP地址、网络端口、网络协议、“传输控制协议”旗标(TCP flag)和时序(timing)等传输信息，还包括恶意软件的代码风格和开发环境等攻击方行为模式。防守方可通过先进的溯源技术来检测和分析这些数据，从而查明攻击方的身份及其基础设施，甚至发动反击。

1.2　自动构建的基础设施易被溯源

在大多数情况下，为避免引发政治危机或逃避法律责任，攻击方会想方设法隐藏其身份；同时出于人力成本上的考虑，攻击方又往往会采用自动化工具来构建基础设施。举例来说，要想实施“分布式拒绝服务”(DDoS)攻击，就必须依靠机器人程序(bot)来构建规模庞大的僵尸网络；而为了规避安全软件的检测，许多黑客组织都在利用遗传编程(GP)等自动编程技术来快速制造恶意软件变体。尽管这些自动化手段大幅提升了攻击效率，但不算复杂的自动处理过程会留下不少高度同源的特征信息(比如相同的代码片段)，因此难以有效对抗污点分析和语义分析等新兴分析技术，而日趋成熟的大数据分析技术更可能让攻击方无所遁形。美军之所以启动SMOKE项目，就是为了克服现有自动化工具在反溯源上的弱点。

1.3　既有红队难以模拟真实威胁

虽然红队也会像真正的黑客那样发动无预警的模拟攻击，但经过多次红队评估后，一些美军单位已充分掌握了红队的基础设施特征，而依靠溯源技术，这些单位很快就能将攻击痕迹与红队此前使用的基础设施关联起来，从而迅速判明红队的身份和TTP；与此同时，红队则因人手、资金和时间有限，无法频频更换基础设施以隐藏身份。这样一来，在后续评估中，受到攻击的美军单位从一开始就能采取针对性的防御措施(比如阻挡来自特定服务器的流量)，导致红队评估难以发挥应有的评估作用。为摆脱这一尴尬处境，美军亟需通过SMOKE项目来自动规划和部署不易被溯源的基础设施，以使红队更接近于现实中身份不明的黑客组织，从而改善红队评估的规模、效率和效果。

二、战略目标

SMOKE项目的宗旨，就是开发服务于网络攻击方的自动化特征管理技术体系。该体系将利用多种反溯源技术来建立不易被溯源的网络基础设施，实时量化攻击方面临的溯源风险，并能在网络基础设施发生变化后继续隐蔽攻击方，以此加快红队的攻击速度和消除可供溯源的红队特征。SMOKE项目为此确立了三大战略目标：

2.1　帮助攻击方配置基础设施

SMOKE项目将基于现有的公开和／或商业数据集，为攻击方推荐符合运行安全(OPSEC)风险要求的基础设施配置，并阐明与基础设施决策有关的溯源风险。具体而言，SMOKE项目不但将综合运用各种主动式、被动式和间接式的设备枚举技术与流量分析技术，还将通过规划算法来展示“利用现有的攻击工具和基础设施组件达成预定攻击效果”的概率，并阐明每项决策引发的溯源风险。SMOKE项目或将为此开发必要的智能体，以便根据任务需求，安全、可靠、自主地获取、交互和管理各种基础设施组件。

2.2　自动完成网络攻击准备

SMOKE项目开发的软硬件不但将自动制定网络攻击方案，还将自动建立与真实黑客组织相仿的C2基础设施。具体而言，SMOKE项目将开发必要的分析技术，再利用这些技术从公开和／或商业数据集中提取特定黑客组织的特征，然后将这些特征融入其制定的基础设施方案。之后红队可以选择执行哪项方案，自主式智能体便会按照该方案和网络安全评估的要求，自动建立和管理C2基础设施。

2.3　实时监控和评估溯源风险

通过追溯网络攻击行动留下的痕迹数据，攻击方的C2基础设施有可能被对手或第三方察觉，所以为了帮助攻击方及时抹除溯源线索，SMOKE项目将实时监控这些基础设施和痕迹数据。具体而言，SMOKE项目将开发必要的传感器，以监控暴露在公开和／或商业数据集中的基础设施组件。同时SMOKE项目将根据监控结果实时评估溯源风险，以确保不会因基础设施遭到溯源而危及攻击行动的安全。

三、技术能力

按照DARPA的规划，SMOKE项目将同时发展以下两大能力：

3.1　能力1：自动构建攻击用基础设施

该能力旨在按照网络安全评估的要求，利用数据驱动下的创新工具来自动规划、构建和部署与真实黑客组织相近的网络基础设施。

3.1.1　打造创建与管理工具体系

就能力1而言，SMOKE项目将重点开发以下四类工具：

（1）能够自动生成攻击用基础设施的工具，同时这些工具还应使攻击用基础设施能够模仿真实黑客组织的特征；

（2）能够自动获取、管理和处置基础设施资源池／选项池的工具；

（3）能够获取、管理和处置“用于与第三方服务和第三方基础设施进行交互的网络形象”的工具；

（4）能够根据基础设施的实时溯源风险评估结果，推荐和执行应急方案的工具。

美军将把这些工具与现有的任务平台相整合，然后在真实的网络环境下，通过红队评估等攻防演练来测试这些工具。这些工具必须提供以下三种功能：

（1）自动获取、交互、管理和处理网络攻击所需的各种基础设施组件，并在此过程中模拟特定黑客组织的特征；

（2）使基础设施自动完成攻击目标网络的准备，以便红队能专注于攻击行动；

（3）通过自定义设置嵌入不同的任务平台，并可对目标网络反复开展规模不一的红队安全评估。

3.1.2　以机器学习辅助攻击决策

DARPA强烈建议SMOKE项目方依靠强化学习3等机器学习技术来制定不确定条件下的方案，并将溯源信息纳入围绕网络基础设施展开的一系列决策，或是向人类操作员解释为何某一方案的效果相对更好。机器学习技术也应为能力1提供以下三种功能：

（1）使开发的自主式智能体能够学习攻击用基础设施的配置，进而自主维护相应的C2组件；

（2）在部分拒止环境下实施网络攻击，包括在不确定条件下进行推理，获取关于溯源风险的信息，以及在面临预料之外的检测或溯源时采取应对措施；

（3）在规划算法的辅助下，能从攻击速度和反溯源效果的角度权衡各项攻击方案的利弊。

3.2　能力2：发现和生成基础设施特征

该能力旨在开发网络特征生成技术，以使攻击用网络基础设施自动呈现出特定黑客组织的特征，从而满足网络安全评估的需要。

3.2.1　形成基础设施特征挖掘能力

就能力2而言，SMOKE项目将重点发展以下能力：

（１）开发能从大规模网络数据集中提取基础设施关联信息的算法；

（２）生成能被系统分析和处理的黑客组织特征信息；

（３）对能力1制定的攻击方案开展溯源风险评估；

（４）开发必要的工具／传感器，以检测能力1所建基础设施留下的痕迹数据，并就这些基础设施的使用情况作出反馈。

通过这些创新性能力，SMOKE项目将发现各种攻击用基础设施的特征，并挖掘各种基础设施组件之间的潜在关联。一方面，SMOKE项目将把这些特征转化为系统能够分析和处理的数据，以供攻击用基础设施模仿特定的黑客组织；另一方面，SMOKE项目也将根据这些特征来分析相关决策引起的溯源风险。

3.2.2　实现自动化特征模仿与反溯源

DARPA建议SMOKE项目方通过模式识别和图基推理等人工智能技术，从海量的真实网络数据集中提取关联信息，进而建立攻击用基础设施的关联模型。为了满足构建基础设施的需要，该模型还应实现以下功能：

（1）能在无监督的情况下建立和遍历各类关联信息；

（2）提取的关联信息质量不亚于主题专家提取的信息质量；

（3）预测攻击用基础设施的配置是否符合目标特征，或是否能够避免呈现出目标特征；

（4）能在红队评估期间捕捉到攻击方留下的痕迹数据并提供反馈；

（5）能向攻击方的人类操作员解释溯源评估结果。总而言之，美军希望SMOKE项目能在尽量避免人为干预的情况下，允许并非网络专家的操作员使用各种特征模仿与反溯源能力。

四、评价指标

评价指标是衡量SMOKE项目成败的关键，同时也反映了美军期望达到的作战能力。能力1和能力2的评价指标各有不同，但为了量化溯源和反溯源水平，两者均把统计学上的精确率(precision)和召回率(recall)作为重点评价指标，以判断能在多大程度上准确溯源或规避溯源。

表 1 SMOKE 项目指标

4.1　能力1的评价指标

能力1的评价指标侧重于时间、可扩大性和反溯源能力。具体来说，就是在能力1的帮助下，攻击方能在多大程度上缩短网络操作时间，能否在不被溯源的情况下同时持续开展多个方向的攻击，制定的基础设施计划能否妨碍溯源，能否在溯源后重建基础设施，以及围绕能力1开发的软硬件能否向人类操作员解释自主决策背后的理由。

4.2　能力2的评价指标

能力2的评价指标侧重于特征的生成与检测。具体来说，就是在能力2的帮助下，自动生成或检出的特征是否足够真实(比如能否通过溯源专家的评估)，溯源风险评估的结果与仿真结果能在多大程度上吻合，以及为能力2开发的软硬件能在多大程度上充当有价值的“溯源传感器”。

五、进度计划

DARPA从2021年12月6日开始为SMOKE项目征集技术提案，预计将于2022年8月正式启动该项目。按照DARPA的规划，SMOKE项目将持续36个月，并分为两个阶段，每阶段各持续18个月。第1阶段的重点是开发、演示和评价各组件，第2阶段的重点是对比评价各组件整合而成的方案。每结束一个阶段，SMOKE项目方就将与用户单位共同开展试点测试，以便把开发完毕的组件整合到现有的工作流程和任务平台中。

六、启示建议

6.1　美军对网络红队的需求持续扩大

尽管SMOKE项目的首要目标是改善红队的反溯源能力，但从其评价指标来看，该项目力求在3年内将红队的网络攻击效率提高10倍以上，如此雄心勃勃的目标从侧面反映了美军对红队评估的巨大需求。在美国国防部运作试验与评测局局长(DOT&E)近来发布的年度报告中，DOT&E明确指出现有网络红队8的工作已高度饱和，因此亟需通过自动化能力来减轻工作负担，而SMOKE等项目无疑承担着化解这一困局的使命。

截止2021财年，为改善美军在真实任务背景下的网络行动与决策能力，DOT&E已连续三年在六个作战司令部开展持续性网络红队评估。然而由于缺乏足够的规划和操作人员，此类评估始终未能成为定例，不少机构甚至无法在对抗性网络环境中开展演习。不过SMOKE项目若进展顺利，则有望在3年后大大缓解红队评估僧多粥少的局面。按照DOT&E的设想，未来美军还将继续增设网络红队，并把弹道导弹防御系统的配套网络以及遍布全球的“国防部信息网络”(DODIN)也纳入红队评估的范围之内，而这显然离不开SMOKE等项目的有力支持。

6.2　人工智能将助推反溯源能力

DARPA发布的SMOKE项目公告虽未指定任何具体技术，但从提出的各种自动化要求来看，该项目必将高度依赖人工智能技术。反溯源手段形式多样，包括隐藏、加密或擦除数据，修改时间戳或注入虚假数据，使用虚拟私人网络(VPN)或洋葱网络(TOR)等隐秘网络，采用U盘启动或网络启动等非本地的代码执行方式，以及使用“解压炸弹”来耗尽计算资源等。人工智能或可与其中一些手段相结合，从而大幅提升反溯源效果。举例来说，通过人工神经网络间的加解密对抗，“谷歌大脑”(Google Brain)研究团队于2016年获得了一些异乎寻常的可靠加密方式。对攻击方而言，该技术意味着可利用人工智能来随机生成加密方式，由此摆脱可能成为破绽的加密习惯，甚至对不同的设备和文件分别采用不同的加密方式，从而严重干扰调查工作。攻击方还可利用潜入目标或第三方设备的恶意人工智能来控制僵尸网络，使调查者无法通过命令与控制(C2)通信来追查源头。

作为网络战的头号强国，反溯源技术对美国来说并不仅限于理论，而是实实在在的网络战能力。“维基解密”(WikiLeak)网站曾于2017年曝光了美国中央情报局(CIA)开发的反溯源工具“大理石框架”(Marble Framework)，该工具能将恶意软件中的文本从英语改为俄语、汉语、朝鲜语和阿拉伯语等伪装语言，甚至再将伪装语言改回蹩脚的英语，以使调查者误以为攻击方在利用英语来掩盖其母语。此类反溯源工具通常会直接借用人工智能生成的机器翻译文本，不过当前的机器翻译水平与人类相比还有很大差距，母语用户往往能轻易发现表达错误，从而识破这种误导手段。有鉴于此，SMOKE项目很可能会将Transformer等最新的人工神经网络用于机器翻译，以使攻击工具的文本具备最自然的语言特征，进而让调查者误以为攻击来自特定民族国家。

6.3　可能动摇全球网络空间的稳定

以美俄为代表的网络强国都拥有不俗的网络攻击能力，这意味着若对他国发动重大网络攻击，就可能遭到对等报复。纵观数十年的网络发展史，曾因网络攻击而损失惨重的都是韩国、伊朗、委内瑞拉和乌克兰等中小国家，各大国的关键基础设施则很少遭受政治意图明显的破坏性网络攻击。这不仅是因为大国普遍拥有更强的网络防御能力，更是因为各大国担心在彼此间的网络对抗中“同归于尽”，这种均势在客观上保障了网络空间的相对稳定。举例来说，美国在2018年提出“网络威慑”理念，该理念明确表示，一旦美国的关键基础设施遭到网络攻击，美国就应对攻击方的关键基础设施予以对等打击。而从公开报道来看，据称受到俄方支持的对美网络行动基本仅限于渗透潜伏和情报窃取，这或许反映出美方的威慑确实发挥了一定作用。

显而易见，若要通过相互威慑来维持网络空间的稳定，各方就必须能够查明攻击方的身份，否则对等报复就无从谈起。然而从美国一贯的好战作风来看，SMOKE项目的成果不太可能仅用于红队评估，而是多半也会用于网络攻击部队。依靠SMOKE项目提供的掩护，美军可以放心大胆地对他国的关键基础设施发动破坏性网络攻击，对方却可能因无法追查而难以报复。美军甚至可能冒充第三国的网络部队发动攻击，从而挑拨对手与第三国的关系，自己则伺机从中渔利。然而必须指出的是，重大网络攻击往往与地缘政治格局密切相关，对手即使无法从技术层面查明攻击方，也仍可能通过政治形势猜中是美军所为，从而直接发起报复。考虑到这些因素，一旦SMOKE项目的反溯源能力为美军提供了虚假的安全感，就可能破坏大国之间“互不发动重大网络攻击”的默契，从而打破当前全球网络空间相对稳定的局面。

供稿：三十所信息中心