网络反欺骗：检测与应对攻击者欺骗

最新推荐文章于 2025-11-16 16:20:21 发布

原创最新推荐文章于 2025-11-16 16:20:21 发布 · 873 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#网络反欺骗 # 欺骗检测 # APT1 # 反欺骗模型 # 威胁情报

对抗否认与欺骗

原则上，揭露欺骗行为应该始终是可能的。R.V. 琼斯（1980）《情报与欺骗》，皇家学会杂志，春季，第142页。

在本章中，我们将探讨网络反欺骗（网络CD），包括其定义、运作方式以及如何将其融入网络防御体系。我们回顾了现有的反欺骗理论与技术，并将其调整适用于网络防御者，以配合他们的欺骗链和欺骗行动。在此基础上，我们提出了一个网络反欺骗过程模型，并将其应用于火眼APT1案例。我们的目标是阐明网络防御者如何结合防御性网络D&D行动，利用网络‐CD来检测和应对网络攻击者。

7.1 定义反欺骗

反欺骗（Counterdeception）一词由哈佛大学国际研究中心的威廉·R·哈里斯于1968年提出。麦克奈尔（1991年）提出了“反欺骗概念”，即在评估敌人或对手的行动和意图时，“指挥官必须准确识别敌方行动是否具有欺骗性，并避免采取对手希望其采取的行动，才能有效避免陷入敌方欺骗企图。” 惠利（2006年，2007a）认为，“反欺骗”这一术语仅是“欺骗检测”的简便缩写。所有关于反欺骗的定义都将它与情报功能联系起来，即理解对手的行为和目标，这与

否认与欺骗，即影响对手的感知、信念和行为的行动功能（例如，贝内特和沃尔茨 2007年；格韦尔和格伦 2002年；惠利 2006年，2007b年）。

贝内特和沃尔茨（2007年）从防御方所需支持的行动角度定义反欺骗： “反欺骗的特点在于：[对对手的欺骗能力与行动],具有意识，]⋯ [识别并揭露对手所使用的具体欺骗技术与战术], ，以及发现与渗透[对手的欺骗意图与目标]。” 贝内特和沃尔茨将反欺骗的目的定义为：确定欺骗者的实际与模拟能力，以及确定欺骗者的欺骗意图。

反欺骗的目的是回答两个基本且高度相关的问题。首先，反欺骗必须穿透欺骗以识别对手的真实能力和意图，换句话说，就是回答这个问题：什么是真实的？与此同时，分析人员和决策者必须确定对手试图让他们相信什么，以便考虑第二个问题：对手希望你做什么？这两个问题的答案对于自身战略、政策和行动的成功至关重要。

遗憾的是，巴顿·惠利（2007b年）对大量军事与政治欺骗的历史案例进行分析后得出了一个惊人的结论，即无论受害者多么精明，优势几乎总是倾向于欺骗者：“无论受害者的复杂程度如何，欺骗者几乎总是成功的⋯⋯这是历史证据无可辩驳的结论。”但惠利为反欺骗提供了一些希望：“通过欺骗避免受害”需要[一]个决策模型，特别是专门设计用于分析谋略信号的模型[即，欺骗] ⋯⋯要识破欺骗，至少必须知道去寻找那些指向欺骗的特定类型线索⋯⋯这些线索是反欺骗分析人员工具包中必不可少的部分。” 我们将在本章介绍一种这样的反欺骗模型。

格韦尔和格伦（2002年）的研究呼应了惠利关于反欺骗的建议：反欺骗分析人员必须了解欺骗者方法的优势与弱点，并找出利用特定弱点以察觉相应欺骗迹象的途径。他们写道：“[a]一个关键发现⋯⋯是不同的反欺骗方法可以且应当针对不同的欺骗技术加以应用。⋯⋯应通过实验来明确这些关系。 ⋯⋯需要有一套经过充分验证的实验与分析体系，明确指出应采用何种类型的反制措施来防范特定类型的欺骗。” 我们将在本章末尾再次讨论实验及其在发展反欺骗方法中的作用。

博德默等人（2012年）指出，在网络战争模拟中存在中国网络欺骗行为（第82页）：“有关中国人民解放军（PLA）通过协调的计算机网络攻击与电子战综合演习来提升其网络欺骗能力的报告。” 我们未发现明确提及网络反欺骗网络演习的参考资料。

7.2 定义反欺骗

区分反欺骗与反制欺骗非常重要。也就是说，反欺骗通常由防御方的情报机构对对手的否认与欺骗行动进行分析；而反制欺骗则是由防御方的欺骗机构实施的欺骗行动，旨在揭露或利用对手的欺骗行动。反欺骗是成功策划反制欺骗行动所必需的；反之，反制欺骗也可作为有效工具，用于扩展和加强针对欺骗性对手的反欺骗分析。

罗（2004年）将反制欺骗定义为：“保护信息系统，通过我们自身的欺骗手段来挫败攻击方的欺骗行为。⋯⋯除了欺骗本身的适用性外，我们还必须考虑这种欺骗手段成功迷惑攻击方的可能性。” 罗（2006年）使用“二阶欺骗”这一术语来指代我们所说的反欺骗：“代理识别出一个或多个⋯⋯一阶欺骗。⋯⋯欺骗检测会影响关于参与者身份、其动机以及他们所认知的前提条件的看法。”

最近，美国政府的一项小型企业创新研究（SBIR）奖项（威克 2012），题为“欺骗欺骗者：软件保护的主动反欺骗 [sic.] ”，描述了一种通过诱饵来欺骗网络攻击者的反制欺骗系统：

为了更好地保护[国防部行动和基础设施]关键系统，我们提议设计并构建一个“主动反欺骗”软件防护系统⋯⋯CYCHAIR由两项互补的技术组成。第一项[提供]了轻松生成大量可重复使用、可扩展且高度可重构诱饵的能力。这些诱饵具有多种用途：首先，它们能够增加对手的工作量，并使其对真实目标的方式和位置产生混淆；其次，它们充当情报收集器，记录所有对抗性交互。这些记录将被输入系统的第二部分，即我们称为LAIR（对抗性推理与响应逻辑）的推理引擎。这些推断可用于自动触发诱饵的动态重构（以进一步阻碍并延缓对手），并为人机协同中的操作人员提供有关应对攻击的额外主动响应建议。

换句话说，CYCHAIR中使用诱饵是一种网络反欺骗（cyber‐C‐D）行动，旨在对抗隐蔽且具有欺骗性的网络攻击者，而LAIR组件则增强了防御者所部署的欺骗性诱饵的有效性。该系统提供了次要的反欺骗元素（即“情报收集器，记录所有对抗性交互”），但该系统明确的目标是反制欺骗。

7.3 将网络‐CD应用于计算机入侵

在某些方面，网络反欺骗（网络CD）并不新鲜。攻击方通常使用否认技术隐藏于无害代码中，而这些技术通常通过在可执行代码中搜索已知的数据模式来检测。假设此类特征码在防御者之间共享，这便构成了利用已知恶意代码特征码的反欺骗手段。

网络攻击者的网络欺骗与否认行为远不止于在无害代码中植入恶意代码。攻击方的网络欺骗与否认战术（见图 2.1 ）十分广泛且复杂（例如，可能揭示或隐瞒事实，揭示或隐瞒虚构信息，或者隐瞒事实并揭示虚构信息），因此网络防御者需要具备强大的网络‐CD能力，以检测攻击中使用的各种工具和技术。

7.3.1 建立预警机制

此外，网络‐CD必须帮助防御者理解攻击方可能的意图和目标。如果网络防御者在防御中也使用网络欺骗与否认，则网络‐CD工作有助于制定防御性网络欺骗与拒止的规划和行动，并为网络防御者提供普遍支持。例如，为了使网络攻击者相信其进攻性网络欺骗与否认工具、战术、技术和程序（TTTP）成功欺骗了防御方，反欺骗可支持惠利（2006年）所称的反欺骗“三重间谍”，即检测对手的欺骗行为，并利用防御性网络欺骗与干扰战术、技术和程序将该欺骗行为反制于对手。

最近，经济学人描述了一项网络‐CD和防御性网络欺骗与否认行动，以保护银行免受网络欺诈。一家美国银行创建了“蜜罐银行家”；

拥有网络身份、虚假电子邮件地址和看似真实的个人履历的不存在的银行家，其相关信息附着于伪造的银行网页上，且这些网页未与银行网站其余部分链接。攻击方若使用进攻性网络欺骗与拒止手段隐藏自身身份，并向这些虚构的“蜜罐银行家”别名发送转账请求，则很可能暴露其欺诈者身份。随后，银行将封锁该发件人的互联网地址，待进一步调查。银行所采用的防御性网络欺骗与拒止战术——“蜜罐银行家”，同时也具备防御性网络‐CD功能，即通过引诱欺诈者，使其暴露为非合法客户的身份。

简而言之，网络‐CD提供了识别网络攻击者所使用的网络欺骗与干扰战术、技术和程序的方法和手段，并且在识别出可能正在使用网络欺骗与干扰战术、技术和程序后，防御方将希望生成并调查假设，以理解攻击方使用网络‐D&D的可能意图。由于许多网络攻击者的否认与欺骗工具和战术旨在 “隐藏于”保护企业的网络系统正常运行所产生的噪声中，因此网络‐CD的一个关键组成部分是保持对构成正常运行（即‘噪声’）的高分辨率刻画，以及对异常情况更详细的描述，包括已知和疑似网络攻击（即必须被检测和描述的‘信号’），并包含对攻击者先前使用网络‐D&D工具和技术的详细记录。也就是说，防御方必须拥有基于证据的基线活动表征能力，以便能够检测异常。例如，如果合法客户几乎不会向国际收款人进行单向转账，金融机构可能希望将此类转账标记为异常，待进一步验证。这种类型的检测与响应容易陷入攻击方与防御方之间的军备竞赛——欺诈者可能会通过中介机构转接资金或截获带外认证码来应对。

7.3.2 共享入侵数据

防御者有动力共享信息，以更好地检测攻击方和入侵方法。例如，火眼公司曾在 2013 中报告了高级持续性威胁（APT）行动者所使用的战术，包括指标和检测特征。在附录C：恶意软件武器库中，火眼公司提供了有关这些行动者开发的进攻性工具的详细技术信息，以及针对美国公司的入侵作战细节。这些行动者还利用公钥加密来加密客户端和服务器之间的通信，使用自‐签名的X.509证书。

通过火眼公司发布的大量数字失陷指标，使不知情的受害者能够在其网络中检测到该行为体的行动。网络‐CD极大地受益于这些指标的发布

利用详细的指标数据，网络‐CD可借此识别和确认网络欺骗与干扰战术、技术和程序。

如上一章所述，由美国国土安全部网络安全与通信办公室赞助的结构化威胁信息表达和可信自动指标信息交换系统，提供了防御者以结构化格式共享威胁指标的机制，该机制反映了此类传输中固有的信任关系。结构化威胁信息表达（STIX）是一种由社区驱动的语言，用于表示结构化的网络威胁信息。可信自动指标信息交换（TAXII）支持跨组织和产品边界的信息共享，以检测和缓解网络威胁。

除了识别和发现网络‐CD的指标外，还需要更复杂的防御方网络‐CD方法来应对更复杂的网络欺骗与否认方法。例如，需要有方法来推断对手网络欺骗与拒止行动的可能意图和目标。为此，应注意网络‐CD在欺骗链的第二步（即收集情报）中起着主要作用，并通过为防御方提供攻击方进攻性网络欺骗与拒止的信息，辅助支持规划、监控和强化防御性网络欺骗与拒止，从而在一定程度上帮助保障欺骗链其他步骤的安全。也就是说，网络‐CD用于检测并描述攻击方使用网络欺骗与否认的能力。尽管在欺骗链中会收集大量关于对手的情报，例如攻击方对防御方能力的一般性和具体性认知，但网络‐ CD对于挫败攻击方使用的欺骗与拒止战术、技术和程序至关重要。

7.4 反欺骗组件

多种反欺骗理论描述了实施这些组件的方法和过程。我们介绍其中一种反欺骗理论，并建议如何将其应用于网络‐CD。我们还描述了反欺骗分析的基本要素和必要步骤。反欺骗能力已由贝内特和沃尔茨（2007年）以及惠利（2006年、 2007d、2012年；惠利和巴斯比 2002年）进行了阐述。值得注意的是，无论是贝内特和沃尔茨，还是惠利，均未描述网络‐CD所需的能力。贝内特和沃尔茨在其2007年的著作中，

反欺骗：国家安全的原则与应用，描述了反欺骗职能以及组织反欺骗系统的组成部分和能力。他们所描述的功能能力包括：

识别对手的欺骗行动；
否定、中和、削弱或减轻对手欺骗行动的影响，或从中获取优势；
利用对对手欺骗行动的了解；
穿透欺骗以辨别对手的真实能力和意图；
确定对手试图让你相信什么——对手希望你做什么？

贝内特和沃尔茨认为，一个组织必须具备多种反欺骗系统，才能执行有效的反欺骗功能。这些反欺骗组织系统能力包括：

基本反欺骗技术方法；
支持反欺骗行动的系统架构；
反欺骗规划与收集策略；
用于反欺骗信息处理的系统：
分析方法和工作流程，
处理过滤器和知识库，
计算分析支持工具，
分析工具工作流程；
反欺骗分析、决策支持与生成系统：
欺骗分析流程，
替代方案分析，
欺骗预警；
反欺骗系统性能与效能评估指标

惠利（2007d）的《政治‐军事反欺骗教科书：基本原理与方法》将“反欺骗⋯⋯定义为对欺骗的检测——并进一步延伸为对欺骗者的可能实施三重间谍行动⋯⋯理想的反欺骗能够揭示谎言背后的真相、面具之下的真面目以及伪装之下的现实。良好的反欺骗使我们免遭意外突袭。这一术语还可延伸为对已识别出的欺骗者实施‘三重间谍’⋯⋯即采取主动措施，将对手的欺骗手段反用于其自身。” 惠利（2012年）还将反欺骗分析称为“不一致分析”，并将此术语归功于前述的威廉·哈里斯。

惠利指出，欺骗者编织欺骗之网与反欺骗侦探逐一拆解该网之间存在显著差异：

面对欺骗的分析人员必须像侦探破解谜团一样思考，并能够深入欺骗性对手的思维。欺骗策划者设计欺骗行动所采用的思维过程主要是线性且一维的，类似于连线游戏。相反，情报分析人员识破欺骗时，主要依靠一种逻辑上非线性且三维的思维过程来解开谜团，类似于完成填字游戏。

惠利将反欺骗分析所需的分析性思维类型与他所称的“传统分析”区分开来：

传统分析人员主要采用线性的因果演绎模型，往往（且通常过早地）锁定最明显的因果关系。相反，溯因反欺骗分析人员则从观察到的效果逆向推导，以发现最可能的原因，在此过程中会先探索各种替代假设，再逐步聚焦于与证据最为吻合的假设。这种溯因过程的关键在于其非线性特征，通过不断循环的反馈循环，确保对竞争性假设（ACH）至少进行一定程度的开放性分析。⋯⋯我们这两类分析人员在对欺骗的反应上将有所不同。当存在欺骗时，演绎型分析人员往往会如欺骗者所计划的那样，直接关注最明显的因果关系。相反，溯因分析人员则更有可能察觉那些特殊的明显不一致之处（异常或差异），这些特征总是能够将真实物体和事件与其模拟体—— 即伪造品——区分开来。

惠利从一般原则、具体方法、验证与证伪行动，以及检测与验证之外的行动等方面描述了反欺骗能力。

惠利将反欺骗视为需要具备将若干一般原则应用于分析的能力。首先，反欺骗分析在很大程度上是欺骗策划与实施的镜像：“隐藏与展示的事物特征及分析类别是相同的。唯一的区别⋯⋯在于欺骗者策划欺骗所遵循的逻辑路径与[反欺骗]分析人员识破欺骗的逻辑路径不同（尽管相关）。” 这种对称性的一个结果是，惠利主张反欺骗分析人员应具备欺骗策划的经验。麦克弗森（2010）针对军事单位强烈强调了这一点：“用于识别对手欺骗的高效小组，其成员应选自那些已经了解如何进行作战层面欺骗规划的人员。”

其次，惠利认为“欺骗侦测者的任务至少在理论上比欺骗者的任务[更容易]”。惠利将其称为‘反欺骗分析人员的优势’，即反欺骗分析人员具备探测模拟与掩饰的可观察迹象的能力：

制造欺骗的人，同时也会制造出解决该欺骗所需的全部线索。此外，每一次欺骗必然至少产生两条线索：至少一条关于被隐藏的真实情况，至少另一条关于被展示的虚假情况。

1) 每当欺骗者制造一次欺骗时，他们同时会产生检测该欺骗所需的所有线索。这些线索为反欺骗侦探发现欺骗行动提供了额外的机会。

2) 这些由欺骗产生的线索中的每一条都是一种不一致——一种将虚假事物与其试图替代的真实事物区分开来的不一致特征。

3) 每一种欺骗都有两个基本部分，即掩饰（隐藏）和模拟（展示）。掩饰是指隐藏或遮蔽某种真实事物，而模拟则是在其位置上展示或呈现某种虚假事物。理论上，隐藏和展示是同时发生的，即使其中一个是隐含的。

推论3a) 理想情况下，欺骗者应同时进行隐藏和展示 .

推论3b) 如果无法做到这一点，至少应在展示虚假替代物之前先隐藏真实事物。

推论3c) 并且在这样做时，应留出足够的时间，使被隐藏的事物看似已重新出现在其他地方。

4) 这两个部分各自与其先前的真实状态存在不一致。因此，每一次欺骗至少会产生两种不一致：一种表现为无法完全隐藏被隐藏事物的所有显著特征；另一种表现为无法充分展现所展示的替代事物的全部特征。因此，每个部分都会为[反欺骗] 侦探提供决定性的线索。

5) 因此，尽管欺骗者只有一次机会“推销”其欺骗行动，但反欺骗侦探（分析人员）却有两次机会发现它，两条直接指向解决方案的线索。

惠利指出，实际上有许多具体方法（他列出了20种）可以利用“反欺骗分析人员的优势”，从而实现对欺骗的探测：

有数十种具体的理论、原则和方法可用于检测欺骗。这些理论、原则和方法大多被绝大多数军政情报分析员所忽视——它们尚未被我们分析人员的教育培训学校和课程所采纳。然而，这些方法已被一种或多种其他学科所采用，特别是被那些持续取得成功的、或多或少定期应对欺骗行为的分析人员所采用。

仅仅发现欺骗对于成功的反欺骗来说是不够的，惠利强调必须具备验证欺骗假设的能力，并证伪其他备选假设（即，驳斥欺骗者所呈现的“现实”，并证明其并非真实）。评估多个相互竞争的备选假设的能力被普遍认为是有效反欺骗分析的必要条件。

惠利指出：“代价可能是过高的——在经济、心理、伦理、社会或政治方面—— 但这是可以做到的。”他描述了几种具体的方法，可用于检验替代假设；这些方法提供了验证与证伪能力，包括被动与主动措施、警报装置、陷阱、诱饵和挑衅手段。

惠利（2012年）最近提出了一套侦探（即情报与欺骗分析人员）必须按顺序使用的四项技能，以解决任何谜团：察觉不一致之处的能力；形成直觉或假设以解释这些不一致之处的能力；检验假设以确定其与当前现实认知的契合程度的能力；以及权衡任何替代性或竞争性假设的相对优势的能力。如果这一四步过程成功解释并消除了所有不一致之处，则谜题被破解。更可能的情况是，该过程将揭示新的不一致之处，从而促使该过程迭代。这一四步过程的每一次循环都将产生与现实越来越接近的匹配，或形成一个全新的现实模型，或一种新的观点。下文所述的反欺骗模型遵循惠利的四步过程。

最后，惠利强调了在发现欺骗之前、期间和之后采取行动的必要性。他认为，在欺骗检测之前和期间，对欺骗的预判和主动应对措施可以减少对欺骗的易感性和脆弱性，并有助于抵消或对抗欺骗的影响。在欺骗检测并得到验证之后，己方应考虑将该检测结果作为实施“三重间谍”的基础，即让欺骗者相信欺骗已成功，而实际上欺骗者的这种信念正被己方所利用。

惠利指出：“这些特殊行动需要情报分析人员、规划人员、作战人员甚至指挥官之间进行紧密且持续的联络与协调⋯⋯高层情报与作战部门之间要建立制度化合作，以及在各级情报分析人员和情报收集人员之间建立直接联络渠道。” 这些组织间的联络与协调机制需要具备额外能力，才能有效执行反欺骗。网络‐CD能力必须具有心理上和组织上的复杂性，因为网络攻击者使用复杂的攻击杀伤链和入侵行动，并采用网络欺骗与干扰战术、技术和程序来隐藏它们。

7.5 将网络‐CD应用于网络防御

假设网络攻击者在其攻击行动中将同时使用否认（或隐藏）和欺骗（或误导）的战术、技术和程序，那么网络防御者必须开发相应的战术、技术和程序来对抗这两种手段。也就是说，防御者必须具备反否认能力，以揭示隐藏的内容，同时还需具备反欺骗能力，以区分真实与虚假的信息（即欺骗检测）。正如惠利（ 2007b年）在分析大量军事与政治欺骗历史案例后得出的结论：无论目标多么精明，压倒性优势倾向于欺骗者的欺骗。表7.1在概念上展示了这种差异。除非防御方在适当的机会使用有效的反拒止与反欺骗战术、技术和程序，否则大多数优势都将归于攻击方（即参见六个浅灰色阴影单元格）。但当防御方的反拒止与反欺骗能力恰当地应对攻击方的否认与欺骗战术、技术和程序时，优势将归于防御方（即参见两个深灰色阴影单元格）。

7.6 网络‐CD过程模型

否认与欺骗战术、技术和程序难以被发现，因为它们利用了受害者的推理错误、认知局限以及相伴而生的偏见。导致受害者易受欺骗的最重要推理错误包括：

从证据到假设的因果推理，
未能考虑欺骗假设，
对概率的有偏估计，以及
未能考虑证据的误报率。

前两个错误涉及由于不完整的生成或过早的剪枝而导致考虑的替代假设过少，这可能涉及对

Table 7.1 攻击方的否认与欺骗行动 versus 防御方的反否认和反欺骗行动

攻击方：否认 & 欺骗行动	防御方：反否认和反欺骗行动	防御方：反否认和反欺骗行动	防御方：反否认和反欺骗行动
1. 无意的— 无否认或欺骗	无优势无优势	劣怀势疑：否认隐藏优不势存：在感知无侵端扰的性	劣势：怀疑不存在的欺骗存在；忽略否认优隐势藏：隐藏关键信息；感知无端的欺骗检测
3. 否认：掩盖— 隐藏	劣势：忽略否认隐藏的关键信息优势：隐藏关键信息	优势：感知隐藏的关键劣信势息：关键信息暴露	劣势：怀疑未被识破的欺骗存在；忽略否认优隐势藏：隐藏关键信息；感知无端的欺骗检测
5. 欺骗: 误导— 欺骗	劣势：被误导通过欺骗优势：误导并隐藏关键信息	劣势：被误导通过欺骗优势：感知隐藏的内容劣势：关键信息暴露优势：误导	优势：感知隐藏的内容和不被误劣导势：否认且欺骗失败；关键信息暴露

7.6 网络‐CD过程模型

概率。源自对概率进行心理估计的偏见来源及其影响是众所周知的。有两种偏见尤其不利于识破欺骗：因得出支持先入之见的结论而产生的偏见，即假设某项证据仅与过少的假设一致；以及镜像思维——假设对手可能会选择一种符合观察者偏好的行动方案。

影响反欺骗分析的两个主要分析缺陷是异常检测能力差（即遗漏异常，或过早地将异常视为无关或不一致）以及错误归因（即将不一致或异常事件归因于情报收集缺口或处理错误，而非欺骗行为）。第一个缺陷产生的原因是：分析人员未能充分建立正常环境模式模型，导致无法识别和衡量异常事件；同时，对否认与欺骗战术、技术和程序的指标缺乏了解，从而忽略了异常事件与可能使用的否认与欺骗战术、技术和程序之间的关联。

为了识别欺骗，分析人员必须考虑欺骗者的备选行动方案（COAs），并克服导致不恰当地加重看似支持少数几种备选COAs的证据权重的偏见。当接收到新的证据时，分析人员必须评估这些行动方案的可能性，同时考虑该证据可能是欺骗性的可能性。减少概率评估中偏见最有前景的方法是要求相关人员对证据进行系统分析，并加以记录，一方面考虑证据是真实的，另一方面考虑证据可能是欺骗性的。

斯特奇和埃尔塞瑟（2007年）提出了一种反欺骗过程模型（见图7.1），整合了多种反欺骗理论，以帮助分析人员避免认知偏见并提高欺骗成功可能性。该过程模型通过依次进行四个分析过程，并允许递归，来估计欺骗性信息和真实信息的可能性：

发现线索：检测预期中将观察到的证据与实际观察结果之间的异常和不一致。
描述线索：将异常与可能的否认与欺骗战术、技术和程序（D&D TTTPs）相关联，并关联对环境和证据的欺骗性操纵，以揭示对手欺骗战术的可能迹象。
连接各异常点：根据（全局和局部）否认与欺骗的战术、技术和程序以及无否认与欺骗的行动方案的证据，检验关于对手否认与欺骗行动方案的假设。评估对替代假设的敏感性和支持度，并在需要时重新收集证据。
看清整体图景：建议行动以检验否认与欺骗假设并利用对手欺骗与拒止。

该过程的第一步，寻找线索，涉及利用基于惠利和巴斯比的一致性‐不一致性理论以及监察员理论的技术来检测异常，并判断这些异常是否具有潜在的欺骗与拒止效用。发现异常（即不一致）并不一定意味着存在蓄意欺骗，因此建立对 “正常”（即无否认与欺骗）作战环境的清晰基线至关重要，同时还需要了解来自非欺骗与拒止原因以及欺骗与拒止战术、技术和程序所导致的异常和不一致的发生率。在不存在否认与欺骗的情况下，异常和不一致可能源于传感器故障、传输过程中数据或信息的无意失真或损坏、异常行为等

图7.1 反欺骗分析过程的概念示意图。源自贝内特和沃尔茨（2007年），基于斯特奇和埃尔塞瑟（2007年）

7.6 网络‐CD过程模型

网络环境中的用户或分析错误。欺骗之所以常常得逞，是因为受骗者将异常现象合理化，未能将其归因于否认与欺骗战术、技术和程序。因此，第一步是找出异常点，并考虑它们是否可能由否认与欺骗所致。

第二步，描述线索，涉及将异常与D&D TTTPs相关联。反欺骗过程采用R. V. 琼斯通过多信息渠道分析异常以识破伪造的概念。需要伪造的信息渠道越多，否认与欺骗就越困难且越容易被发现。某些渠道中的否认与欺骗可能极为成功，但在其他渠道中可能非常薄弱甚至完全不存在。

在第二步和第三步之间，反欺骗过程显示了“局部欺骗与全局欺骗”。这是反欺骗分析中的一个关键区别。局部欺骗代表由于局部条件导致的否认与欺骗，例如因“局部欺骗”（即本地系统故障）引起的网络流量隐藏，而不是由攻击对手制造的“全局欺骗”，如流量掩蔽与混淆。 “局部欺骗”的证据将是零星的、看似随机的、广泛分布的，并且最多只是与各种假设的对手行动方案存在微弱关联；而“全局欺骗”则具有相反的特征。

第三步和第四步，即连接各异常点和看清整体图景，使用休厄尔的相互竞争假设分析（ACH）来评估所观察到的异常与可能的欺骗性行动方案（ COA）相关联的可能性，并评估每个已识别的否认与欺骗（D&D）假设以及非欺骗与拒止假设的支持程度。当发现支持假设的D&D行动方案时，反欺骗分析人员可能希望针对可能的对手行动方案及其所提示的指标重新收集新信息（即寻找新的异常点，由连接第一步与第三步的虚线表示）。

斯特奇和埃尔塞瑟将休厄尔的ACH应用于反欺骗；对休厄尔原始的八步分析竞争假设流程所做的最重要调整包括：

在Heuer的第一步中加入“其他”或“未知”假设，即“确定需要考虑的可能假设”。这一修改支持对替代假设进行贝叶斯分析。
确保Heuer的第二步“列出支持和反对每个假设的重要证据和论点”不仅考虑证据支持某一假设的情况，即p(E|H i)，还考虑该假设不成立时观察到相同证据的可能性，即p(E|¬H i)。
在Heuer的第四步“完善ACH矩阵”和第五步“就各假设的相对可能性得出初步结论”中，明确考虑与欺骗相关的行动方案（COAs）。
在Heuer的第八步“识别未来观察的里程碑，这些里程碑可能表明事件正在朝着某个方向发展”中增加开展作战“实验”的概念。

与预期不同的路线”，以提供额外的情报，揭示故意欺骗的证据。

前两种改进支持使用贝叶斯信念网络对各种行动方案进行建模，并执行敏感性分析，以评估证据的诊断性，这是休厄尔的ACH中步骤3的一部分。后两种改进支持对可能的行动方案进行比较，这些方案可能包含否认与欺骗，也可能不包含；并支持识别针对对手采取反应措施的可能方式，以开展行动实验，从而帮助确定对手可能的意图和目标。

一些关于培训情报分析人员识破欺骗的建议与该模型一致。例如，霍布斯（2010）推荐了此类方法，供国际原子能机构分析人员在评估核设施检查及可能的欺骗证据时使用。

7.6.1 案例研究

这些分析步骤可用于应对明显使用欺骗手段来隐藏其身份和行动的对手，正如火眼公司关于一个被称为“APT1”的入侵组织的报告中所述。

在暗示APT1自2010年以来是一个资源丰富且多产的、具有海外关联的恶意行为者团体后，该公司决定公布支持其假设的文件，即APT1是中国军方下属的情报收集单位61398部队。该行为者被指控造成了数百名受害者，并窃取了数千吉字节的被盗知识产权，使中国政府拥有的企业在谈判与制造方面获得了原本无法实现的优势。APT1针对的行业与中国认定的对增长具有战略意义的行业相符，包括中国在其第十二个五年计划中确定的七个战略性新兴产业中的四个。

7.6.1.1 发现线索

反欺骗分析过程的第一步包括收集证据和调查来源。一些指标或数据点被用作APT1与上海一群入侵操作员之间的联系。在其“最后一跳”控制基础设施中，绝大多数IP地址

解析到同一家中国网络服务提供商，该提供商恰好位于一处军事设施附近。对多名行为者的社交媒体账户进行观察后发现，其隶属于驻扎在该设施的解放军部队，专门从事计算机网络入侵活动。
解析到同一家中国网络服务提供商，该提供商恰好位于一处军事设施附近。对多名行为者的社交媒体账户进行观察后发现，其隶属于驻扎在该设施的解放军部队，专门从事计算机网络入侵活动。

7.6.1.2 描述线索

该组织被发现同时使用进攻性欺骗来促进入侵，以及防御方法来隐藏其位置和身份。在进攻行动中，受害者会收到带有恶意内容、看似可信的发件人和主题行的伪造电子邮件，意图利用本地漏洞并安装恶意软件。通过基于收件人可能认识的真实联系人创建新的电子邮件账户，攻击者能够提高目标与邮件交互的可能性。这些行动中普遍存在语法错误的英文短语，表明其为非母语使用者。

从技术层面来看，攻击者安装的恶意软件会模仿合法的系统服务和良性文件名，例如“svchost.exe”。恶意文档被精心设计以欺骗邮件扫描工具并显得合法，同时包含漏洞利用代码。

这些行为者利用了公开可用的软件（如毒藤（Poison Ivy）和Gh0st RAT）以及定制工具来控制远程系统。公共工具配置上的偶然差异属于“局部欺骗”，而使用定制后门则实现了“全局欺骗”。他们通过代理网络和被入侵服务器隐藏控制服务器的来源，并通过远程桌面在多个同时行动的行为者之间共用中间的Windows设备。

一些工具实现了模仿合法互联网流量（如聊天客户端和网络服务）的隐蔽通信方法，从而增加了防御方的检测成本和产生误报的可能性。由于网络通信通常被允许在没有严格过滤的情况下向外传输，攻击者利用HTTP和 SSL的实现来隧道化控制流量。在受害者网络中的进一步传播通常是通过使用窃取的系统管理员凭据和常用于合法企业管理系统管理的psexec工具执行命令来实现的。

7.6.1.3 连接各异常点

来自卫星图像、公开来源和捕获的行为者活动的证据似乎表明APT1是中国国家支持的行动。

从2011年1月到2013年1月，APT1行为者使用远程桌面登录控制基础设施的情况共发生了1905次，来源为832个不同的IP地址。这些地址绝大多数归属于上海的网络服务提供商，注册地为上海浦东新区。

域名大多注册到“上海”，且联系信息虚假，表明对当地地区较为熟悉。多名APT1人员使用密码“2j3c1k”进行身份验证，这很可能是指中国人民解放军第二局第三处第一科的单位标识。

7.6.1.4 看清整体图景

主要假设是APT1的攻击目标性质及其基础设施和战术与解放军61398部队的任务和基础设施相吻合。该报告根据表7.2 中所示信息得出结论，认为这两个团体实为同一组织。

7.6.1.5 假设验证

火眼公司在这份报告中提出了两个替代假设：Either

“一个秘密的、配备充足资源的中国本土语言组织，可直接访问位于上海的通信基础设施，正在61398部队门外开展一场持续多年的、企业规模的计算机间谍活动，执行的任务与61398部队已知的使命相似。” Or
“APT1是61398部队。”

反欺骗分析过程将推荐使用反欺骗版本的ACH矩阵。也就是说，为 APT1= Unit 61389设置一个单独的假设“列”，为APT1 ≠ Unit 61398设置另一个假设“列”，第三个为“其他假设”。所有证据都将根据在给定假设为真或为假时被观察到的可能性或不可能性进行评估，以判断证据的诊断性。对于“其他假设”，所有证据都被视为既不支持也不排除“其他假设”，从而提供一个中性的基线，用于与其他假设进行比较。然后可以将两个主要假设的整体可能性与中性基线“其他假设”进行比较，以判断是否有任一假设得到证据的强有力支持。

Table 7.2 特征对比

特征	APT1（直接观察）	61398部队（据报告）
任务领域工具、战术，和程序 (TTPs) 规模行动专业知识人员位置	窃取知识产权来自英语国家组织针对战略性新兴产业中国第十二个五年计划中确定的有组织、有资金支持、纪律严明的操作人员具有特定的攻击目标和道德准则（例如，我们尚未观察到） APT1 破坏财产或窃取资金与大多数“黑客”甚至形成鲜明对比最复杂的有组织犯罪集团）持续从数百个自2006年以来，从141个组织窃取了数太字节的数据；同时针对至少2006年起；同时攻击至少20个主要行业的受害者 “跳转”基础设施的规模和持续的恶意软件更新表明至少数十人（但可能是数百人）操作人员及数百名支援人员人员具备一定的英语语言能力恶意软件开发计算机入侵识别有价值数据的能力 20 个行业 APT1 攻击者使用了上海的电话用于注册电子邮件账户的号码四个“本地”上海网络地址块中的两个被分配到浦东新区 APT1入侵者使用的系统简体中文语言设置行为者的位置是浦东新区	开展计算机网络行动，针对英语国家目标
任务领域工具、战术，和程序 (TTPs) 规模行动专业知识人员位置	窃取知识产权来自英语国家组织针对战略性新兴产业中国第十二个五年计划中确定的有组织、有资金支持、纪律严明的操作人员具有特定的攻击目标和道德准则（例如，我们尚未观察到） APT1 破坏财产或窃取资金与大多数“黑客”甚至形成鲜明对比最复杂的有组织犯罪集团）持续从数百个自2006年以来，从141个组织窃取了数太字节的数据；同时针对至少2006年起；同时攻击至少20个主要行业的受害者 “跳转”基础设施的规模和持续的恶意软件更新表明至少数十人（但可能是数百人）操作人员及数百名支援人员人员具备一定的英语语言能力恶意软件开发计算机入侵识别有价值数据的能力 20 个行业 APT1 攻击者使用了上海的电话用于注册电子邮件账户的号码四个“本地”上海网络地址块中的两个被分配到浦东新区 APT1入侵者使用的系统简体中文语言设置行为者的位置是浦东新区	执行军用级别计算机网络行动
任务领域工具、战术，和程序 (TTPs) 规模行动专业知识人员位置	窃取知识产权来自英语国家组织针对战略性新兴产业中国第十二个五年计划中确定的有组织、有资金支持、纪律严明的操作人员具有特定的攻击目标和道德准则（例如，我们尚未观察到） APT1 破坏财产或窃取资金与大多数“黑客”甚至形成鲜明对比最复杂的有组织犯罪集团）持续从数百个自2006年以来，从141个组织窃取了数太字节的数据；同时针对至少2006年起；同时攻击至少20个主要行业的受害者 “跳转”基础设施的规模和持续的恶意软件更新表明至少数十人（但可能是数百人）操作人员及数百名支援人员人员具备一定的英语语言能力恶意软件开发计算机入侵识别有价值数据的能力 20 个行业 APT1 攻击者使用了上海的电话用于注册电子邮件账户的号码四个“本地”上海网络地址块中的两个被分配到浦东新区 APT1入侵者使用的系统简体中文语言设置行为者的位置是浦东新区	作为中国人民解放军的一部分，是否资源（人员、资金，影响力）必要性在APT1处协调行动有规模数百人，也许数千人人员，如所建议的那样设施的规模以及在中国人民解放军中的职位
任务领域工具、战术，和程序 (TTPs) 规模行动专业知识人员位置	窃取知识产权来自英语国家组织针对战略性新兴产业中国第十二个五年计划中确定的有组织、有资金支持、纪律严明的操作人员具有特定的攻击目标和道德准则（例如，我们尚未观察到） APT1 破坏财产或窃取资金与大多数“黑客”甚至形成鲜明对比最复杂的有组织犯罪集团）持续从数百个自2006年以来，从141个组织窃取了数太字节的数据；同时针对至少2006年起；同时攻击至少20个主要行业的受害者 “跳转”基础设施的规模和持续的恶意软件更新表明至少数十人（但可能是数百人）操作人员及数百名支援人员人员具备一定的英语语言能力恶意软件开发计算机入侵识别有价值数据的能力 20 个行业 APT1 攻击者使用了上海的电话用于注册电子邮件账户的号码四个“本地”上海网络地址块中的两个被分配到浦东新区 APT1入侵者使用的系统简体中文语言设置行为者的位置是浦东新区	英语语言培训先决条件操作系统内部机制，数字信号处理，隐写术从中国技术大学
任务领域工具、战术，和程序 (TTPs) 规模行动专业知识人员位置	窃取知识产权来自英语国家组织针对战略性新兴产业中国第十二个五年计划中确定的有组织、有资金支持、纪律严明的操作人员具有特定的攻击目标和道德准则（例如，我们尚未观察到） APT1 破坏财产或窃取资金与大多数“黑客”甚至形成鲜明对比最复杂的有组织犯罪集团）持续从数百个自2006年以来，从141个组织窃取了数太字节的数据；同时针对至少2006年起；同时攻击至少20个主要行业的受害者 “跳转”基础设施的规模和持续的恶意软件更新表明至少数十人（但可能是数百人）操作人员及数百名支援人员人员具备一定的英语语言能力恶意软件开发计算机入侵识别有价值数据的能力 20 个行业 APT1 攻击者使用了上海的电话用于注册电子邮件账户的号码四个“本地”上海网络地址块中的两个被分配到浦东新区 APT1入侵者使用的系统简体中文语言设置行为者的位置是浦东新区	总部及其他设施分布于浦东新区，中国上海
基础设施	可便捷接入四个主要网络地址块，位于上海，由中国联通托管（一个中国两家一级互联网服务提供商之一) 部分使用中国电信IP地址（另一家一级互联网服务提供商）	建设网络基础设施名称中带有中国电信国家安全的