网络归因溯源之误区刍议（一）

Attribution，剑桥英语词典的释义为the act of saying or thinking that something is the result or work of a particular person or thing，即声称或认为某事物是由某一特定人或物所导致的行为，中文通常将此概念译为“归因”。

在网络空间的场景下，由于网络虚拟空间与现实物理空间的天然区隔，将发生于网络虚拟空间的行为/活动归结为现实物理空间中的个人或组织就成为了一个十分具有现实意义的问题。特别是进入本世纪以来，随着网络空间与现实空间的进一步融合、人类生产生活对网络空间的依赖不断提升，网络空间中出现的黑客攻击、欺诈、谣言等恶意行为造成的危害、影响也变得越来越巨大。这也使得对网络事件的归因问题（Cyber Attribution）成为了现实的迫切需要。

正是在这样一个强烈需求的刺激下，网络归因溯源问题成为了近十年来全球网络安全产业、特别是美国网络安全业界的热门议题之一。以FireEye / Mandiant为代表的新兴网络安全企业，围绕归因溯源问题，开拓了一个全新的网络安全服务市场，在技术上、市场上、乃至政治上都赢得了巨大成功。但是非常遗憾，相比美国，我国的网络安全产业界在这一议题上却长期处于相对弱势地位。依个人浅见，造成这一局面的，是主导我国网络安全行业与政府的相关部门对归因溯源问题的一些认识误区。笔者尝试分三期文章分别展开辨析，如有疏漏错误，还请方家不吝赐教。

误区之一

      归因溯源问题就是要建立坚实可信的司法证据链

大部分关心网络空间安全的业内人士，感受到美国人在网络归因溯源方面强大能力带来的震撼，大都源于2014年FBI对61398部队五名军官的起诉通缉。这份起诉材料、以及之前Mandiant公司发布的APT1分析报告，基于Mandiant团队深厚的技术实力、先进的分析手段以及以FBI为代表的美国司法、情报机构强大的司法调查资源优势，充分综合利用各类数据资源，给出了针对被告的完整证据材料，证据链坚实可靠，可以说是归因溯源的典范案例教材。与之类似的，美司法部2016年对伊朗黑客的起诉、2018年两次对俄罗斯涉选举网络干预行动的起诉都是这样强大的套路：网络攻击的受害方配合网络安全服务企业，结合司法取证资源，最终建立坚实可靠的证据链条，将攻击行动发起者公之于众。

但这些案例同时却也给许多国人留下了深刻的印象：即归因溯源就是要给出强有力且准确的证据链，要能够经得起法庭辩论式的质疑。正是这样的刻板印象，使得大批网络安全行业从业者在归因溯源问题上止步不前：以企业安全团队、安全服务提供商所具备的技术与资源掌控能力来看，要完成如此全面、详尽、在法庭辩论上亦完全站得住脚的归因溯源任务确实太过困难。这样的回避态度也进一步助长了网络攻击受害者们的侥幸心态：既然反正也没法归因溯源找到攻击者，那也就干脆别再认真检查取证了，发现被攻击了就直接给设备断网、格盘、恢复。长此以往，攻击者越来越肆无忌惮，通过不断的尝试练习发展出越来越巧妙的攻击技术与手法；而防御者则永远处在被动位置，距离“构建完整证据链”的归因溯源终极目标越来越遥远。

事实上，“构建完整证据链”固然是一种理想的、终极的归因溯源结果，但归因溯源绝不应该仅仅被视为这一结果，也不仅仅包括这一种形式。

首先，归因溯源并不仅仅是最终提供可作为司法证据使用的一系列完整证据链材料这一结果，而更多的应该是收集各种能观察到的数据材料、对材料进行丰富完善、对证据进行分析、对收集与分析过程进行表达展示的完整过程。当攻击事件发生时，从受害者的设备上，可以利用取证手段获得各种数据材料；基于这些数据材料，防御者可以进一步挖掘丰富完善证据；结合猜测、推理等各种手段发现可能指向攻击者的关联线索；最后，根据证据材料和关联线索，防御者可以形成一个阶段性的分析报告，这份报告中可以对归因溯源的证据材料和分析推理过程进行清晰有逻辑的陈述，对归因溯源的证据准确性和分析置信度进行客观的评估，最终为攻击受害者提供研判参考。

另一方面，根据用户与使用场景的不同需求，归因溯源也应该具有多种不同层次。不同类型的用户能够掌控的用于归因溯源的资源是不一样的，对归因溯源的目标与期望也是不一样的。举例来说，一家遭到DDoS攻击的网络公司，其归因溯源的首要目标可能是找到DDoS攻击的来源网段地址、DDoS组织的行为模式特征，以便于其实施DDoS拦截防护手段；而针对同样的攻击事件，如果已经涉及犯罪，当执法机关介入调查后，警方与检方的归因溯源目标就是要找到实施DDoS行动的组织或个人，对其采取司法强制措施。同样在这个案例中，受害网络公司与执法部门拥有的调查资源也是显然不一样的，受害网络公司通常只能通过采集己方的网络流量进行技术分析，而执法机构在取得调查授权的前提下，一方面可以对运营商骨干网络、网关节点上的DDoS流量进行技术分析，另一方面还可以通过公开信息、现场执法调查、甚至审讯等方式获取关于DDoS攻击者的证据材料。资源、目标上的差异决定了归因溯源任务并非总是要寻找“终极的完整证据链”，而更多的是应该考虑最有效的满足用户的需求，为用户快速合理应对网络攻击事件提供直接的支持。

“归因溯源问题就是要建立坚实可信的司法证据链”这一错误认识，本质上源于对归因溯源问题性质的误解：归因溯源问题并不仅仅是简单的从技术上罗列证据与结论，而更应该是一个基于理性思考的情报分析过程，并应当成为固化于网络事件应对流程中的必不可少的一个环节。

在攻防双方对抗性的场景假设下，攻击者必然尝试用种种方式伪装身份、藏匿可用的证据信息，防御者只能获得有限的信息与资源，要想判断攻击行动的真实源头，防御者必然面临着判断的不确定性；归因溯源的过程，就是要根据防御者/归因溯源分析者所拥有的证据材料与资源，尽可能的消解不确定性，提供分析判断结论，为防御者提供应对决策参考。只有尽可能利用归因溯源分析了解作为对手的攻击者情况，防御者才能对攻击行动进行更合理应对，而不再是只能死守己方阵地的无头苍蝇。有了这个正确认识，对网络运营者而言，归因溯源问题就应该纳入在遭遇攻击事件时的第一梯次响应方案，成为网络安全服务产业优先发展的技术选项。