佐治亞理工學(xué)院剛剛獲得了一份價(jià)值1730萬美元的合同，來尋求技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)攻擊溯源（Attribution，或稱溯源）。

研究人員試圖借助機(jī)器學(xué)習(xí)技術(shù)來定位網(wǎng)絡(luò)攻擊的來源，為此他們選取了古希臘復(fù)仇女神拉墨涅亞(Rhamnousia)來命名該項(xiàng)目，以展現(xiàn)對“正義的復(fù)仇”的決心。

馬諾斯·安多納卡基斯，佐治亞理工學(xué)院電氣和計(jì)算機(jī)工程的助理教授，表示：“每當(dāng)我們想到人們正忍受著系統(tǒng)受攻擊、知識產(chǎn)權(quán)遭竊、數(shù)據(jù)被篡改之苦，就意識到一種義不容辭的責(zé)任：我們不能再讓這些攻擊者逍遙法外。”

邁克爾·法雷爾，網(wǎng)絡(luò)技術(shù)和信息安全實(shí)驗(yàn)室的首席科學(xué)家，補(bǔ)充說：“如果你無法鎖定你的對手，就不可能對他形成威懾。溯源是網(wǎng)絡(luò)威懾的關(guān)鍵，美國政府需要摸索出一種可重復(fù)使用的正式手段。”

但是溯源是一個(gè)極具爭議、影響很廣的問題，人們對其可行性始終眾說紛紜、沒有定論。錯(cuò)誤的結(jié)果會導(dǎo)致重大國際事件，如促成“網(wǎng)絡(luò)戰(zhàn)爭”。但準(zhǔn)確的溯源最可能的結(jié)果是與其他網(wǎng)絡(luò)威脅方式、經(jīng)濟(jì)或軍事制裁一樣，成為阻止其他國家的侵害行為的有力威懾。

準(zhǔn)確溯源可能嗎？

路易斯·科倫斯，熊貓實(shí)驗(yàn)室的技術(shù)主任，信誓旦旦地說：“當(dāng)我們將手中僅有的信息輸入學(xué)習(xí)系統(tǒng)時(shí)，系統(tǒng)可以發(fā)現(xiàn)我們沒提供的信息，這些標(biāo)志在每一個(gè)文件中都成千上萬的存在。”他相信機(jī)器學(xué)習(xí)將幫助我們找到攻擊者留下的“指紋”。

伊利·卡恩，Sqrrl的創(chuàng)始人之一、白宮的前網(wǎng)絡(luò)安全主管，對此表示同意。他認(rèn)為溯源可以通過三種方法的任意組合來實(shí)現(xiàn)：攻擊性（“入侵一個(gè)C2服務(wù)器，觀察其數(shù)據(jù)傳輸和流向——在美國境內(nèi)只有美國政府可以合法地這樣做”）；攻擊者失誤（“有時(shí)攻擊者的失誤會留下可追蹤的痕跡”）；和概率推斷（“研究攻擊者的代碼或第三方，尋找模式或標(biāo)志來在一定的確定性上推測攻擊者”）。最后一種方法將是佐治亞理工學(xué)院所此次項(xiàng)目的基石。

莫雷·哈伯，BeyondTrust的技術(shù)副總裁，也對此深表贊同：“通過研究代碼樣本和攻擊模式實(shí)現(xiàn)溯源在統(tǒng)計(jì)學(xué)上切實(shí)可行。”

但是伊利亞·克羅申科，High-Tech Bridge的總裁尚存疑慮：“網(wǎng)絡(luò)溯源是個(gè)很棒的想法，然而我很懷疑它是否能僅用1700萬就得以實(shí)現(xiàn)，今年我們已經(jīng)向上百個(gè)創(chuàng)新項(xiàng)目投入了數(shù)十億美元，但是我們至今仍未找到辨識網(wǎng)絡(luò)罪犯的方法。”

布萊恩·巴塞洛繆，卡巴斯基實(shí)驗(yàn)室高級安全研究員，警告說：“溯源是個(gè)大難題，有很多因素讓我們很難自然而然地相信溯源的結(jié)果。”

通常來說，很少有網(wǎng)絡(luò)安全專家認(rèn)為溯源是不可能的，但是很多人覺得它最終是不可靠的。值得注意的是，兩個(gè)獨(dú)立的研究人員（ESET的大衛(wèi)·哈雷分野和F-Secure的肖恩·沙利文）表明，溯源是一門藝術(shù)，而非科學(xué)。

沙利文說：“網(wǎng)絡(luò)溯源與其說是科學(xué)，不如說是一種藝術(shù)。你往往要根據(jù)已知的行為和線索，來進(jìn)行大致的推斷。這一過程毫無科學(xué)可言。由于缺乏證據(jù)，分析極易謬以千里。我可不會像相信物理規(guī)律那樣相信溯源的結(jié)論。”

同樣顯而易見的，由于溯源往往意味著懲罰，人們不得不慎重對待溯源。斯科特·富爾頓，BeyondTrust的技術(shù)員說：“雖然增加受訓(xùn)機(jī)器判定常見范式的可靠性在科學(xué)上可行，但這在法律上難以作為呈堂證供。”

機(jī)器學(xué)習(xí)準(zhǔn)確嗎？

機(jī)器學(xué)習(xí)的輸出并非是/否的形式，而是表示概率的分?jǐn)?shù)。這些分?jǐn)?shù)由算法和數(shù)據(jù)之間的交互得出，算法尋找數(shù)據(jù)的模式和關(guān)系，機(jī)器則通過重復(fù)過程從結(jié)果中學(xué)習(xí)。

這一流程的效率取決于算法的質(zhì)量，而輸出的準(zhǔn)確性依賴于學(xué)習(xí)所使用的數(shù)據(jù)的準(zhǔn)確性。兩者都受人為干預(yù)和人為錯(cuò)誤所影響。事實(shí)上，人們普遍認(rèn)為算法本身不是完全客觀的，它帶有開發(fā)人員潛意識中的偏見。然而，更令人擔(dān)心的是，如果數(shù)據(jù)是錯(cuò)誤的，輸出必將錯(cuò)誤。

科倫斯說：“這就是溯源過程最關(guān)鍵的地方只一，如果用來建立模型的數(shù)據(jù)是錯(cuò)的，預(yù)測自然不可靠。”

High-Tech的克羅申科警告說：“機(jī)器學(xué)習(xí)的好壞取決于設(shè)計(jì)算法和選擇數(shù)據(jù)組的人的能力。另外，專業(yè)黑帽子已經(jīng)在使用機(jī)器學(xué)習(xí)和大數(shù)據(jù)創(chuàng)建復(fù)雜的欺騙或煙幕系統(tǒng)來從事犯罪活動(dòng)。”

BeyondTrust的哈伯提出：“會有新的威脅源出現(xiàn)，這意味著未來必須建立新的相關(guān)條目”但現(xiàn)有的統(tǒng)計(jì)匹配不會對此有效。

卡巴斯基的巴塞洛繆評論說：“我認(rèn)為最大的問題在于系統(tǒng)初始數(shù)據(jù)的來源。攻擊行為的來源非常復(fù)雜，而且在很多案例里，攻擊者都不會有統(tǒng)一化的名稱。A組織口中的攻擊者X可能最終被B組織稱之為攻擊者Y和Z。處理這種組織形式非常困難，除非他們默認(rèn)這是同源的（如同一政府）。但如果他們采取這種方式，我們就先天限制了自己的視野，不斷圍繞這一假設(shè)打轉(zhuǎn)。

邁克·安德斯， Shadow Blade Technologies的網(wǎng)絡(luò)情報(bào)研究員有著一種樂觀的態(tài)度，畢竟任何“智能”都做不到100%準(zhǔn)確。“除非猜測的結(jié)果被證實(shí)，所有的情報(bào)工作的正確可能性總會低于100%，甚至被證實(shí)后這些工作也可能是錯(cuò)的！等待準(zhǔn)確率100%的溯源不過是個(gè)用爛了的借口。缺乏完整的智慧永遠(yuǎn)是用于這一目的。是否能在深知他們信息可能錯(cuò)誤或數(shù)據(jù)不足的情況下作出判斷，是區(qū)分真正的領(lǐng)導(dǎo)人、決策者和酒囊飯袋的依據(jù)。”

誤導(dǎo)性的信息、方向和標(biāo)志

一些專家擔(dān)心不同的攻擊源會故意誤導(dǎo)溯源機(jī)器。

巴塞洛繆警告說：“有很多攻擊者積極使用欺騙手段來誤導(dǎo)或迷惑調(diào)查者。我們理論上做得到區(qū)分各種案例中的錯(cuò)誤標(biāo)志，然而，有些攻擊者非常善于偽造出蛛絲馬跡來讓人追尋。近年來，這一趨勢越來越流行，我認(rèn)為它只會越演越烈。”

哈利補(bǔ)充：“有些標(biāo)志攻擊的目的就是產(chǎn)生錯(cuò)誤溯源。同時(shí)，很多攻擊試圖偽造編程細(xì)節(jié)、時(shí)間軸等信息”

克羅申科警告：“黑帽子們可以輕易用多國家的數(shù)十個(gè)VPN來騙過FBI的機(jī)器，或利用FBI內(nèi)部IP開展攻擊。這些案例在技術(shù)和政治層面上都難以調(diào)查。我們能清楚地猜到幕后攻擊者是誰，但是除非攻擊者犯下錯(cuò)誤導(dǎo)致暴露，我們就沒有任何確切的技術(shù)證據(jù)。”

科倫斯認(rèn)為良好的溯源引擎將讓虛假標(biāo)志的行動(dòng)更加困難，但也無法讓其根絕,“除非攻擊者知道用于溯源的具體模型。例如，國防部將獲得的所有信息，這樣他們才可以讓假標(biāo)志能愚弄系統(tǒng)——例如說服總統(tǒng)X國對我們發(fā)動(dòng)了攻擊。”

網(wǎng)絡(luò)戰(zhàn)爭

溯源結(jié)果被認(rèn)可的可能后果之一就是推動(dòng)本就必然發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭。如果一次破壞性的網(wǎng)絡(luò)攻擊來源被鎖定在特定某一國家政府，被攻擊的政府就不得不公開還擊。

巴塞洛繆：“關(guān)鍵問題在于：雖然創(chuàng)造了新的技術(shù)來幫助溯源是可喜可賀的，我們卻一定不能過分依賴這種“證據(jù)”或簡單地以它為工具來分析情報(bào)。”

科倫斯則認(rèn)為，雖然網(wǎng)絡(luò)戰(zhàn)爭是不可避免的，但是準(zhǔn)確的溯源會使它減少。這就是溯源的威懾效應(yīng)。“網(wǎng)絡(luò)戰(zhàn)爭是不可避免的……之所以不可避免，是因?yàn)楣舯阋艘仔卸菰蠢щy重重。如果能“解決”溯源問題，哪怕只是部分解決，也能使任何國家在攻擊前不得不三思（為避免被發(fā)現(xiàn)）。

Sqrrl的卡恩指出報(bào)復(fù)性反擊不會僅僅在于自發(fā)的網(wǎng)絡(luò)層面或戰(zhàn)爭層面。“如果一次網(wǎng)絡(luò)攻擊美國利益嚴(yán)重受損，美國政府將無所不用其極，來對敵人迎頭痛擊，其中可能包括外交譴責(zé)、具體動(dòng)作和（秘密或公開的）網(wǎng)絡(luò)行為。”

邁克安德斯也指出，政府永遠(yuǎn)不會只根據(jù)這一個(gè)情報(bào)來源就進(jìn)行決策。“網(wǎng)絡(luò)戰(zhàn)爭是一種可能的選擇。但是，就像所有關(guān)于戰(zhàn)爭的決定，它永遠(yuǎn)不會僅僅根據(jù)一件事或一個(gè)事件而產(chǎn)生。或者至少說，它不應(yīng)該這么潦草。我們需要牢記：真正的情報(bào)工作在于從數(shù)據(jù)中提煉信息和對信息加以分析。”

“網(wǎng)絡(luò)溯源是情報(bào)歸納的一部分。溯源不僅僅是一個(gè)組件，但也不是下結(jié)論前最后一步。任何戰(zhàn)爭的決定都不會僅僅采取黑箱運(yùn)行的結(jié)果，而需各種情報(bào)的全面分析來得到精確性。這就是為什么人類網(wǎng)絡(luò)分析師對決策過程如此重要。機(jī)器可以成為戰(zhàn)爭利器，但你仍然需要人類對他們加以控制。網(wǎng)絡(luò)情報(bào)分析的道理與此完全相同。”

企業(yè)需要期待溯源嗎？

現(xiàn)階段的共識是：準(zhǔn)確自動(dòng)的溯源已經(jīng)在一定程度上可實(shí)現(xiàn)，但是其準(zhǔn)確率不可能到100%。我們必須考慮到始終存在的錯(cuò)誤輸入和弱分析的危險(xiǎn)。在這種前提下，企業(yè)（而不是政府）是否應(yīng)對溯源抱有期望？路易斯·科倫斯認(rèn)為企業(yè)確實(shí)應(yīng)該，雖然它們現(xiàn)在興致不高。

安德斯確鑿地說：“企業(yè)確實(shí)應(yīng)當(dāng)關(guān)心。但是政府需要介入并明確限定，在尊重“網(wǎng)絡(luò)主動(dòng)防御”的前提下，被攻擊的商業(yè)單位的權(quán)限范圍。公開承認(rèn)主動(dòng)防御意味著很多，并不等同于“黑客”等傳統(tǒng)觀念中的主動(dòng)進(jìn)攻行為，而是一種嚴(yán)格意義上的網(wǎng)絡(luò)防御行動(dòng)。這需要由司法部、美國聯(lián)邦調(diào)查局和國會共同推進(jìn)。之后，就不會有那么對人對溯源達(dá)不到100%準(zhǔn)確率而橫加指責(zé)了”

“雖然任重而道遠(yuǎn)，找到問題的實(shí)質(zhì)還是讓我們倍感輕松。溯源是通向決策的一種努力，這樣的努力顯然越多越好，它也不可能達(dá)到100%準(zhǔn)確——這就是網(wǎng)絡(luò)的本質(zhì)，有時(shí)候你必須習(xí)慣它。”