文 | 广州大学副校长 田志宏;广州大学网络空间安全学院 吴未 刘园 孙彦斌 鲁辉 苏申;广州大学网络空间安全学院名誉院长,中国工程院院士 方滨兴
当前,我国关键信息基础设施面临着高级持续性威胁(APT)的严峻挑战。此类攻击通常具有高度明确的目标、精密复杂的技术手段、长时间的潜伏周期以及极强的隐蔽性等典型特征,攻击者往往以政府机构、国防军工、金融系统、大型企业、能源设施等高价值目标为重点,通过社会工程学手段诱导渗透,借助0day漏洞与定制化恶意软件实施持续入侵,并利用通信加密、伪装身份等方式巧妙隐藏其攻击轨迹,直至达成既定目的。正是由于这些高度隐蔽和持续性的特性,APT攻击极大挑战了现有防御体系,使得防守方在实战中普遍面临易攻难守的不利局面。传统的安全防护措施难以及时发现这类隐匿攻击,往往只能在攻击造成实质性破坏后才得以察觉。为了更好地应对这种复杂的威胁,网络靶场作为模拟真实攻击环境的有效工具,可以为APT攻击的检测、溯源及防御策略的优化提供重要支持。
一、对抗博弈背景下的网络威胁
APT攻击的复杂性和对抗性加剧了攻防之间的不对称性。在战术层面上,对于防守者来说往往处于“敌暗我明”的不利局面,在发起攻击前,攻击者已对目标进行充分侦察,借助自动化工具和大量“肉鸡”发动7×24小时不间断攻击;而防守方人员有限,只能被动应对。在技术层面上,防御者往往缺乏攻击者视角的审视能力,依赖既有的被动检测手段,难以抢占先机,陷入被动挨打的困局。当前网络安全体系仍以“自卫模式”为主,各个关键信息基础设施各自为战,通过持续叠加防护组件形成被动防御模式,面对动态演化的威胁时,易形成防御孤岛,跨组织的协同防御和主动反制能力严重不足,难以应对快速演化的高级威胁。在高烈度网络对抗博弈的背景下,实现高级威胁的有效检测和溯源,亟须解决以下挑战性科学问题。
一是数据窥探(Data Snooping)。高度隐蔽的恶意操作(如0day漏洞利用)常伪装于正常操作之中,攻击痕迹难以捕捉。传统检测依赖于良性基线数据,但因基线覆盖度有限,真实的攻击信号常被大量误报掩盖,从而导致对这类隐蔽威胁缺乏有效的感知手段。二是采样偏差(Sampling Bias)。虽然多源数据分析是发现APT的重要手段,但在跨网络、跨域且持续变化的威胁面前,由于缺乏全局关联研判,仍难以全面还原攻击全貌并准确预测攻击意图。三是时间窥探(Temporal Snooping)。防御方缺乏对攻击随时间演化的动态感知。现实中防守资源布设相对固定,而攻击者可利用长时间潜伏观察防守规律并择机行动。由于忽视主机、用户、应用等属性随时间的动态变化,从而导致防御手段僵化,陷入被动局面。
上述挑战导致APT攻击检测溯源领域陷入“隐蔽威胁难感知、跨源情报难关联、动态攻击难拒止”的被动局面,防御者难以及时捕获APT攻击链的关键线索,更无法对攻击意图进行前瞻性研判和阻断。因此,解决上述三个科学问题,成为构建主动防御体系、实现对APT攻击进行有效检测和溯源的前提。
二、基于软件定义欺骗防御的APT检测与溯源的四蜜体系
针对当前网络安全保障体系存在的不足,本文提出了基于软件定义欺骗防御的APT检测与溯源的四蜜体系(Honey 4-Software-Defined Deception-based Defense,H4SD3)。该体系以欺骗诱捕和设陷探测为指导思想,结合网络靶场的应用环境,围绕设陷探测、攻击探查、安全联动和威慑溯源四个维度构建而成。具体包括支持纵深威胁感知的蜜点技术、支持攻击观测和判别的蜜庭技术、支持攻击意图协同联动分析的蜜阵技术、支持网络威慑与攻击绘制的蜜洞技术,形成“护卫模式”网络安全保障体系(如图1所示)。根据以“隐蔽应对隐蔽”、以“未知应对未知”、以“持续应对持续”、以“威胁应对威胁”的理念,H4SD3提升了对高隐蔽攻击行为的感知和威慑能力,有效解决了“隐蔽威胁难感知、跨源情报难关联、动态攻击难拒止”等长期困扰防御者的问题。将现有的网络安全保障体系的防御重心从关注“保护对象自身安全”转变为“发现和阻断攻击者”,为构建国家级整体防御体系开启了新的篇章。
图1 基于软件定义欺骗防御的APT检测与溯源的四蜜体系架构
H4SD3采用管理平面、控制平面和数据平面的三层架构设计,以高度模块化、虚拟化和智能化为核心理念,为诱捕环境的构建、欺骗策略的编排以及攻击行为的感知溯源提供了强有力支撑。
(一)管理平面:提供智能指挥与策略调度能力
管理平面主要提供对H4SD3的安全措施主体功能,包括近身蜜点、前置蜜庭、中枢蜜阵、外溢蜜洞。这些功能共同构成了一个多层次、全方位的安全防护体系,能够有效地应对各种网络攻击。
近身蜜点是部署在被保护目标周边的轻量级威胁感知装置,由网络绊线和系统绊线组合而成,用于近距离诱捕探测攻击行为,实现早期预警。蜜点能够根据所保护资产的性质,在网络层和系统层提供自适应的模拟仿真能力,形成隐藏在网络和目标系统周围的“暗哨”,通过这种隐蔽的方式,蜜点可以迅速感知异常动向,为防御系统提供及时的警报和响应。
前置蜜庭是位于网络入口处的安全代理网关,用于管理和控制进出网络的流量。作为防御前哨,蜜庭利用IP信誉机制识别异常流量和请求,并根据威胁评估结果决定拦截或转发。通过过滤可疑访问、诱导攻击流量进入假象环境,保护真实系统免受直接冲击,实现以持续应对持续的防御理念。
中枢蜜阵是H4SD3的决策和指挥中心,以“未知应对未知”作为指导思想。根据基于攻击策略与意图预测的阵图调度算法,以及基于欺骗指令控制层面提供的多模态数字组件智能编排接口,中枢蜜阵能够快速构建入侵者攻击意图驱动的动态变化的欺骗环境,持续监测攻击行为轨迹,引导攻击者深入预设陷阱(外溢蜜洞),为后续溯源和反制创造条件。
外溢蜜洞专门用于深度追踪攻击者,通过部署各类诱饵(如伪装的文件、“浮动”恶意代码等),诱使攻击者上钩并进一步渗透到攻击者的内部系统,进行身份探测和甄别,实现对攻击者的有效黏随威慑。蜜洞体现了“以威胁诱捕威胁”的理念,攻击者一旦陷入其中,其后续行为将受到监视甚至反控制。
(二)控制平面:实现多模态数字组件的智能编排
控制平面作为四蜜体系的具体运行环境,基于虚拟化资源管理和SDN软件定义网络技术,形成一个包括主机、存储、网络设备等在内的虚拟化硬件资源池。该资源池可动态分配软硬件资源,用于模拟操作系统、网络服务、数据库等数字组件,支持实物节点和轻量级虚拟节点接入模拟网络,并动态生成分层的网络拓扑,通过可视化、脚本化的工具实现复杂网络环境和上层应用服务的快速构建和部署。
通过控制平面的智能编排能力,系统可针对被保护目标的真实业务网络拓扑结构、应用业务、数据流量等方面进行动态仿真,实现蜜阵的自动化快速构建(如图2所示)。蜜阵内嵌的攻击意图预测算法,可为由蜜点和蜜庭重定向或者转发的攻击者,提供一个更符合其技战术思路的入侵场景和横向移动空间。
图2 被保护目标网络的蜜阵构建示意图
控制平面还提供了南北向接口,北向接口与管理平面的四蜜应用进行通信,实现服务和应用与四蜜需求之间的快速适配;南向接口与虚拟SDN交换机的流表项进行交互,动态调整网络流量,引导攻击流量进入不同诱骗分区,并可根据攻击演进路径智能调整流表项,实现攻击链条的深度引导和精细管控。
(三)数据平面:提供虚拟化资源与基础设施支撑
数据平面作为系统运行的物理底座,涵盖计算、网络、存储等关键资源。通过底层流量控制与行为数据采集机制,能够精准记录攻击过程中的关键操作与横向移动路径,为上层的攻击态势识别与溯源分析提供高质量数据支撑。
三、四蜜体系的关键核心技术
在技术架构层面,H4SD3引入了软件定义理念,通过智能化策略调度与诱骗组件编排技术,形成系列核心关键技术,构建起动态、可演化的防御体系(如图3所示)。一方面,该系统通过知识图谱、逻辑回归、行为序列等手段精准感知攻击者TTP路径;另一方面,系统基于场景感知能力,结合诱导脚本、镜像模板与动态配置工具,快速构建“欺骗网络+系统级诱骗”环境,针对不同威胁类型营造虚实难辨的“战争迷雾”效应。
图3 H4SD3的蜜阵调度+组件编排关键技术
(一)多模态协同的威胁感知蜜点体系
H4SD3支持对多种类型的诱骗组件进行自动化编排组合,构建高度拟真的网络场景。在网络层面,系统部署服务绊线、流量绊线、域控绊线及云服务绊线等近身蜜点,并通过真实数据生成仿真的Windows域用户账号绊线作为诱饵,诱使攻击者实施窃取行为;同时在云环境中刻意投放含漏洞或错误配置的云服务蜜点,主动吸引攻击者介入。在系统层面,基于“万物皆可蜜”的理念,提供伪造的文件绊线、账户绊线、命令绊线、路径绊线、邮件绊线、进程绊线等,重点布设于攻击高发路径,用于检测隐蔽的攻击行为。通过多维度、多层级的威胁感知机制,系统成功构建起迷惑攻击者的“战争迷雾”环境,使其误判攻击机会并深陷预设陷阱。
(二)蜜阵调度与攻击技战术智能预测
中枢蜜阵内嵌的阵图调度算法结合了图神经网络与逻辑回归等AI技术,对攻击战术、技术和程序(Tactics,Techniques,and Procedures,TTP)进行智能化分析和意图预测。基于APT威胁知识图谱,构建攻击指标(IoC)与攻击者、恶意软件、攻击模式等威胁实体的关联关系模型,在统一推理框架下挖掘隐蔽关系。通过图算法发现攻击线索的“显式”与“隐式”关联,提升攻击意图预测深度。针对孤立零散的IoC缺乏上下文、不同攻击者策略混杂等问题,引入逻辑回归模型对蜜点捕获的行为序列进行统计分析,弥补知识图谱方法在细粒度模式识别上的不足。图神经网络提供全局关联推理,逻辑回归提供局部行为模式提取,两者结合形成更为精准的TTP预测。
(三)攻击意图驱动的场景化诱捕环境
H4SD3通过虚拟化技术实现诱骗环境的场景化弹性部署。利用Docker容器技术可快速启动或销毁轻量级蜜点镜像服务,通过KVM虚拟机部署具备完整沙箱隔离能力的仿真环境,支持对恶意代码的动态行为分析。这些能力使防御者能够按需增减欺骗资源,应对不同时刻的攻击强度,同时隔离真实系统,避免其成为攻击跳板。
H4SD3通过大量近身蜜点实现广谱探测,增加攻击者触发概率,并由蜜庭转发攻击者后续流量至中枢蜜阵。通过蜜阵实现聚焦分析,提供符合攻击意图的组合场景,将攻击者一步步诱导至精巧布置的蜜洞陷阱中,从而获取攻击者的TTP威胁情报,为实施精准溯源和反制提供支撑。
(四)动态可信可追溯的防穿透机制
针对具备反制能力的APT攻击者可能识别并突破诱捕环境特征的风险,H4SD3引入可信执行环境(Trusted Execution Environment,TEE)与动态入口混淆机制,全面提升系统的抗识别能力和执行可信性。
蜜点和蜜阵等关键模块被封装运行在受硬件保护的TEE环境中,确保其核心逻辑与数据无法被攻击者探知或篡改。同时,系统支持对蜜点入口信息(包括IP、端口、指纹特征等)实施动态重构与周期混淆,显著干扰攻击者的扫描与识别路径(如图4所示),有效阻断其针对性突破尝试。为增强攻击链条可溯性,平台广泛应用Honeyword、Honeytoken等诱导标记机制,在诱饵数据中嵌入可追踪识别符。一旦攻击者提取数据或进行横向移动操作,即可触发相关监测与追踪模块,形成“入侵即留痕”的闭环响应机制。通过整合可信计算、动态混淆与溯源标记三重机制,H4SD3有效解决了诱骗环境长期存在的易被识别且难溯源的问题,真正实现虚实难辨的欺骗效果,构建起具备高度抗穿透能力的可信欺骗空间。
四、四蜜体系的应用实践
目前,H4SD3已在我国多项重大活动的网络安保中成功部署,实战表现优异。在2022年北京冬奥会网络安保中,该系统首次采用四蜜探查技术,对奥运网络实施了全方位部署,助力实现冬奥会网络安全零事故目标。在第133届广交会(2023年4月)期间,H4SD3正式投入实战部署,全面开展对攻击行为的探查分析和溯源工作,在20天展会周期内精准识别并处置916个威胁IP,确保了广交会网络安全零事故。在第134届广交会上,H4SD3持续发挥作用,依托大模型驱动的APT溯源和攻击画布分析等新技术,提前侦测并消除了针对网上平台的攻击威胁,有效弥补了传统防护技术的不足。在2023年成都世界大学生运动会期间,H4SD3发现了大量采用传统安全技术难以察觉的隐蔽攻击,准确识别并协助处置了2137个威胁IP,为赛事网络稳定运行提供坚实保障。同年杭州第19届亚运会暨第4届亚残会期间,H4SD3持续发挥效能,每日监测发现50-200个威胁IP,通过研判筛查与及时处置,成功化解多起潜在安全风险,再次实现重大赛事网络安全零事故目标。在2025年第九届哈尔滨亚冬会上,H4SD3累计发现攻击事件达112.7万次,协助处置相关IP共1.25万个,有力保障了赛事网络平稳运行。以上一系列成果表明,H4SD3已成为重大活动网络安全防护的关键支撑与可靠保障。
为验证H4SD3对特定高级威胁行动的追踪溯源分析能力,我们复现了“离岸爱国者”和“RATANKBA”两起典型的APT攻击,均得到了精准的威胁分析报告。
“离岸爱国者”APT攻击。该案例具有跨国政治目的(由UTG-Q-015攻击团伙发起),攻击者通过入侵国内开发者论坛和政企网络实施供应链攻击和数据窃取。H4SD3利用捕获到的TTP特征,采用Markov决策算法并结合MITRE Engage矩阵、ATT&CK矩阵和Cyber Kill Chain模型,对攻击技术的危害程度进行了量化评估。针对检测到的技术,如非应用层服务利用(T1095)、命令和脚本解释器(T1059)、应用层协议通信(T1071)等,自动计算威胁评分并生成诱捕策略。在蜜阵的模拟网络中部署仿真ThinkPHP Web服务和虚拟Nginx中间件来诱捕扫描和挂马行为,对恶意代码注入行为启动虚拟PowerShell进程配合ThinkPHP服务诱饵牵引,设置陷阱捕捉后续Payload执行环节,并对持久化企图设置虚拟regsvr32.exe进程引诱恶意DLL注册。这些动态诱骗响应成功将攻击者引入虚拟环境,全面记录其行动步骤,实现对攻击者的深入溯源调查和行为挫败。
“RATANKBA”水坑攻击。该案例源自趋势科技2017年发布的报告,披露了Lazarus Group组织针对包括波兰在内的多国金融机构实施的大规模水坑攻击行动,其间通过名为“RATANKBA”的恶意软件非法获取银行认证凭证。面对这样隐蔽持久的金融攻击,四蜜体系展现出强大的TTP提取与诱捕能力。H4SD3首先基于已知情报识别出该攻击所涉及的关键TTP特征,具体包括系统网络配置发现(T1016)、隐藏文件和目录(T1564.001)、应用层协议通信(T1071)与命令和脚本解释器(T1059)。基于上述特征,系统通过蜜阵机制量化评估各关键TTP的风险等级,并自动匹配可用的欺骗资源进行响应部署,执行启动虚拟sshd、虚拟bash、ThinkPHP服务绊线以及Laravel服务等,从而实现诱敌深入,有效反制攻击者的防御目标。
上述案例证明了H4SD3在重大活动安保和高隐蔽未知威胁检测中的突出成效:一方面,大幅提升了潜在攻击的捕获率和响应速度;另一方面,通过迷惑和诱导攻击者,获取了传统手段难以获得的TTP情报,实现了对APT组织、恶意软件的精准溯源。这些经验为网络空间护卫模式提供了全新的思路,以更小的代价换取更大的安全收益。
五、总结与展望
基于软件定义欺骗防御的技术体系不仅在实战中取得了显著成效,也在架构与生态构建层面展现出良好的可扩展性与发展潜力,主要体现在以下四个方面。
一是构建可编程的灵活防御体系。H4SD3凭借平台化属性,具备快速搭建、灵活销毁欺骗诱骗环境的能力,并支持动态调度复杂攻击路径及实时转发多维数据。这一能力显著提升了防御体系的灵活性与敏捷性,为多场景、多阶段的对抗演练与实战部署提供了坚实基础。
二是奠定攻击意图驱动的网络防御基础。H4SD3采用插件化运行方式,使安全研究人员能够专注于上层攻击意图建模与算法策略优化,无需重复开发底层的虚拟化欺骗防御环境。通过网络靶场提供的灵活模拟环境,实现模块灵活替换与策略快速迭代,大幅提升了对APT攻击行为的理解深度与响应能力。
三是推动威胁情报共享机制落地。借助H4SD3的可编排、可调度的能力,可将威胁情报快速转化为针对性欺骗策略,并通过动态调度机制将规则与指令实时推送至已集成部署H4SD3的各部门和单位,有效实现“情报即指令、响应即防御”的快速闭环。
四是加速欺骗防御技术生态建设。H4SD3采用标准化接口体系,为上层四蜜组件的模块化开发与第三方集成提供了有力支撑。用户单位可依据业务需求自主开发并部署定制化四蜜模块,并与H4SD3的控制平面融合运行。随着部署规模的扩大,将逐步形成既保持各自独立性,又相互支撑的全局统一欺骗防御能力格局,构建协同互信、弹性高效的主动防御生态。
基于软件定义欺骗防御的四蜜体系,为网络安全防护提供了以“隐蔽应对隐蔽”、以“未知应对未知”、以“持续应对持续”、以“威胁应对威胁”的全新范式。用对抗博弈思维,化被动为主动,在主动欺骗诱捕中抢占对敌先机,在持续对抗中累积技术优势。未来,借助四蜜体系的技术优势与网络靶场的高仿真环境,实现网络空间保卫由被动应急向主动博弈战略的转变。
(本文刊登于《中国信息安全》杂志2025年第8期)
