络侦察及其防御技术研究综述

摘要

络侦察是为收集目标 络信息而开展的活动，普遍发生在 络攻击链的各个阶段，是对手能够渗透目标 络并成功利用漏洞和缺陷破坏系统的关键。 络侦察会造成目标 络关键信息泄露，因此可视为一种以信息窃取为目标的 络攻击。通过系统性分析 络侦察的主要形式及防御方法，讨论 络侦察的主要目标信息，总结主要的 络侦察方法，介绍当前主流的 络侦察防御方法，提供了一个全面的对抗性的 络侦察攻防视角，可以帮助研究人员理解和建模 络侦察过程，改进 络侦察防御的方法和策略。

内容目录：

1　 络侦察的目标信息

1.1　用户信息

1.2　系统信息

1.3　 络信息

1.4　应用信息

2　 络侦察方法

2.1　主动 络侦察

2.1.1　主机扫描

2.1.2　端口扫描

2.1.3　操作系统指纹识别

2.1.4　应用程序指纹识别

2.2　被动 络侦察

2.3　侧信道扫描

3　 络侦察防御方法

3.1　 络侦察检测

3.1.1　基于特征分析的 络侦察检测

3.1.2　基于异常的侦察流量检测

3.2　欺骗防御技术

3.3　移动目标防御技术

3.4　 络侦察追踪溯源技术

4　未来研究建议

4.1　 络侦察的新形式

4.2　 络侦察建模

4.3　 络侦察攻防博弈刻画

4.4　 络侦察防御效果评价

5　结　语

如今 络早已成为国家治理、企业经营、居民活动等方面不可或缺的组成部分， 络安全也随之受到各方面重视，并成为国家安全的有机组成。 络攻击也逐渐从早期普通黑客的个人行为发展为国家间有组织的战争形态之一，研究 络攻击及其防御技术也就显得紧急而迫切了。

络侦察并不直接破坏 络的安全性，但却对攻击者寻找目标 络的漏洞或脆弱点、规划攻击路径、达成攻击效果至关重要。尤其是对国家关键信息基础设施这样复杂的管理良好的系统来说，攻击者往往需要通过长时间持续有组织地收集目标 络的信息，并组合利用多个漏洞或脆弱点才能执行高效的 络攻击。因此 络侦察也被视为一种 络攻击。对防御方来说，更好地理解 络侦察的过程和方法，并构建更高效、更有针对性的防御方法和策略，以降低对手 络侦察的影响，具有重要意义。

攻击方收集目标 络信息的过程被定义为 络侦察。 络攻击过程可以用洛克希德·马丁公司开发的 络杀伤链模型进行描述， 络侦察处于整个 络攻击过程的第1阶段，如图1所示。

图1 络杀伤链模型

络杀伤链模型充分体现了 络侦察对 络攻击的重要意义，但该模型只关注了 络外部的 络侦察。Roy等人对 络杀伤链模型进行了改进，提出了基于侦察的 络杀伤链模型，如图2所示。

图2 基于侦察的 络杀伤链模型

基于侦察的 络杀伤链模型更强调了 络侦察在外部和内部收集目标信息的重要性。外部侦察可以为对手提供目标 络部署的安全措施、运行的设备、提供的服务等信息，借助于已有的针对已知系统和漏洞的技术和工具，攻击者可以高效地完成攻击载荷准备、漏洞利用等过程。而内部侦察可以为攻击载荷在目标 络内部的横向移动提供帮助。

01　 络侦察的目标信息

图3 络侦察的目标信息

1.1　用户信息

用户信息是指 络、设备、应用的用户相关的信息，主要包括账户详细信息、浏览器历史记录和cookie等。

(1)账户详细信息：指用户和用户组的列表、登录类型、访问控制策略、权限等信息，如用户名、token信息等。

(2)用户登录凭据：指用户登录时使用的密码、证书等，攻击方通常使用键盘记录器等间谍软件来窃取。

(3)浏览器历史记录和cookie：指用户使用浏览器访问 站的记录信息。

1.2　系统信息

系统信息是软件配置、正在运行的进程、文件和目录以及安全环境等信息，这些信息可帮助对手执行下一个阶段的攻击。

(1)操作系统：指操作系统类型、版本、序列 、安装日期等信息，这些信息可以帮助攻击者发现和利用操作系统缺陷。

(2)系统配置：指主机内软硬件的设置信息，如Windows的注册表项和值，这些信息可以帮助攻击方了解运行的程序、软件配置等。

(3)系统硬件及外 设备：指中央处理器 (Central Processing Unit，CPU)、内存、硬盘、显卡、 卡、通用串行总线(Universal Serial Bus，USB)设备、蓝牙设备等的信息，这些信息可以帮助对手获得供应商信息、硬件漏洞和虚拟机的存在。

(4)安全环境：指防火墙规则、防病毒软件的存在、蜜罐或沙箱设置、虚拟化环境等，这些信息可帮助对手规避沙箱、虚拟机以及蜜罐等技术。

(5)文件和目录：指可以帮助对手提取用户账户、密码管理、软件或应用程序配置、 络配置等的信息的系统文件或目录，以及用户的个人文件、财务 告等。

1.3　 络信息

络信息指 络拓扑结构、 络协议、防火墙、入侵检测系统、设备和服务等信息，这些信息可以帮助对手了解本地 络。

(1)域名和主机名：指起始授权机构记录 (Start of Authority，SOA)、域名服务器记录(Name Server，NS)、邮件交换记录(Mail Exchanger，MX)等域名记录、子域、whois记录等信息，这些信息可帮助对手识别与特定组织关联的域名。

(2)主机地址：指外部 络(面向公共的)或内部 络(面向资源的)的可达IP地址和端口。

(3) 络拓扑：指主机、路由器、交换机、防火墙和其他 络设备组成的 络的视图，这些信息可帮助对手制定达到 络目标的路径以及横向移动的计划。

(4) 络协议和 络服务：指web、文件传输、域名、Email等服务及相关的协议，这些信息可以帮助用户通过服务和协议访问内部 络。

(5) 络设备：指 络中路由器、交换机等的设备制造商或供应商、操作系统及其版本、制造商设置、 络配置等信息，这些信息可以帮助用户利用已知漏洞进行攻击。

(6)安全措施：指 络中部署的防火墙、入侵检测系统、 络区域隔离、蜜罐等 络安全设施，这些信息可以帮助用户规避 络的安全防御措施，并防止被追踪溯源。

1.4　应用信息

应用信息是指应用的组件、版本、配置、漏洞等信息，这些信息可帮助对手发现应用的漏洞，以实施 络攻击。

(1)框架和依赖环境：指应用的各种开发框架(如Django、SpringBoot、Flask)和运行时的各种依赖环境，这些信息可以帮助对手发现应用的已知漏洞。

(2)软件配置：指主机上已安装的软件和应用程序的配置，这些信息可帮助对手发现主机上运行哪些软件产品的可利用漏洞，以及访问令牌、用户凭据和不安全的配置等信息。

(3)云服务应用程序界面(Application Program Interface，API)：指用户远程访问云资产的信息，这些信息可帮助对手获得有关虚拟机、云工具、服务和其他云资产的信息。

(4)数据库：应用程序大都使用了数据库系统，而数据库系统容易出现配置错误或人为错误，攻击方可利用这些信息实施 络攻击。

02　 络侦察方法

络侦察寻找的目标信息类型多种多样，针对不同类型的目标信息使用的 络侦察方法也不相同，根据 络侦察过程是否与目标进行紧密的信息交互， 络侦察可分为主动 络侦察和被动 络侦察。主动 络侦察需要与目标进行紧密的信息交互，因此易被目标 络发现，失败概率较高。而被动 络侦察可以不进行任何形式的信息交互，因此不易被目标 络发现，成功概率较高，但通常需要部署大量的流量采集设备，成本较高。

2.1　主动 络侦察

主动 络侦察通过向给定主机发送定制请求以产生特定响应来连续探测 络。这些响应提供了目标 络的活动主机、操作系统、开放端口和运行中服务等信息。 络扫描是最常用的主动 络侦察技术。根据其寻找的目标信息可进一步分为主机扫描、端口扫描、操作系统指纹识别和应用程序指纹识别。

2.1.1　主机扫描

主机扫描用于获得给定IP地址范围内的活动主机。主机扫描通过向目标 络发送扫描数据包以发现处于活跃状态的IP地址。扫描数据包通常基于Internet控制 文协议(Internet Control Message Protocol，ICMP)和传输控制协议(Transmission Control Protocol，TCP)构建，常用的扫描方法有ICMP Ping扫描[4]、TCP确认(Acknowledgement，ACK)Ping扫描、TCP同步(Synchronous，SYN)Ping扫描等。另外，地址解析协议(Address Resolution Protocol，ARP)扫描也可用于主机发现，其在 络中广播一个ARP数据包，并检测广播数据包的响应判断 络中的活动主机，ARP扫描是一种适用于局域 内活动主机发现的低级扫描技术。

2.1.2　端口扫描

端口扫描首先向目标 络的所有端口发送扫描数据包，然后根据响应信息判断这些端口的状态，并可进一步根据返回的响应信息分析 络特征和 络拓扑。端口扫描的数据包主要基于TCP协议和用户数据 协议(User Datagram Protocol，UDP)构建。根据扫描数据包使用的协议及标记位设置，端口扫描可分为TCP全连接扫描、SYN扫描、ACK扫描、XMAS扫描、FIN扫描、NULL扫描、TCP窗口扫描和用户数据 协议(User Datagram Protocol，UDP)扫描。

(1)TCP全连接扫描

该扫描向目标端口发送带SYN标记的TCP包尝试连接，如果目标端口打开，目标端口会返回带SYN和ACK标记的响应包，攻击者收到响应后发送带ACK标记的数据包完成3次握手。

(2)SYN扫描

该扫描同样向目标端口发送带SYN标记的TCP包，但与TCP全连接扫描不同，其不能建立完整的TCP连接，因此也叫半连接扫描。SYN扫描如果接收到带SYN或ACK标记的数据包，则目标端口打开。如果接收到带重置(Reset，RST)标记的数据包，则目标端口关闭。

(3)ACK扫描

该扫描向目标端口发送一个只有ACK标记的TCP数据包，如果目标端口打开，则返回一个带RST标记的数据包，否则不回复。

(4)XMAS扫描

该扫描向目标端口发送带无效标记的数据包，若目标端口关闭则会返回带RST标记的数据包，而打开的端口会忽略数据包，不返回任何内容。Nmap通常使用FIN、URG(紧急)和PSH(推送)3个标记来执行XMAS扫描。XMAS扫描可绕过防火墙和入侵检测系统(Intrusion Detection System，IDS)检测，且速度快。

(5)FIN扫描

该扫描向目标端口发送带FIN标记的数据包，若目标端口关闭则会返回带RST标记的数据包，而关闭的端口会忽略数据包，不返回任何内容。

(6)NULL扫描

该扫描向目标端口发送所有标记位设置为0的TCP包，根据TCP协议规定，如果目标端口打开则返回带RST标记的数据包。

(7)TCP窗口扫描

TCP窗口扫描向目标端口发送ACK扫描类似的带ACK标记的数据包，并通过检查返回的带RST标记的数据包的窗口值大小来区分打开的端口和关闭的端口。通常返回窗口值非零的RST数据包的目标端口处于打开状态，窗口值为零的RST数据包的目标端口处于关闭状态，返回未收到响应或ICMP不可达错误的目标端口，则忽略了扫描数据包。

(8)UDP扫描

UDP扫描主要用于扫描提供正在运行的服务的UDP端口。在UDP扫描中，如果端口关闭，通常会收到响应。典型的UDP端口开放服务有域名系统 (Domain Name System，DNS)、虚拟专用 络(Virtual Private Network，VPN)、简单 络管理协议(Simple Network Management Protocol，SNMP)、 络时间协议(Network Time Protocol，NTP)。UDP扫描还可用于检测操作系统和服务的版本。另外通过UDP扫描执行反向DNS解析确定目标主机的主机名。

2.1.3　操作系统指纹识别

操作系统指纹识别是检测远程目标主机操作系统的过程。操作系统指纹识别依赖于端口扫描，通过发送精心构造的扫描数据包，分析响应实现。常用的操作系统指纹识别方法包括TTL域分析、ID域分析、“Don’t Fragment”位分析、“Sequence number”域分析、“Acknowledgment number”域分析、TCP标记位和TCP窗口大小分析、TCP“options”分析等。常用的操作系统指纹识别工具包括Nmap、sinfp、Xprobe2，这些工具都同时使用多种方法来分析目标主机的操作系统。

2.1.4　应用程序指纹识别

应用程序指纹识别主要利用服务器端应用程序在接受客户端之前发送的一种前导信息，通常被称为“banner”。通过向扫描主机发送连接请求，攻击者可以获取banner，并确定活动应用程序和服务的详细信息，如软件版本，并结合其他信息进一步确定软件是否存在已知漏洞[9-10]。应用程序指纹识别鉴别的信息通常包括FIN、BOGUS flag、ISN采样、DF位、TCP初始窗口大小、ACK值、ICMP出错消息抑制、ICMP消息引用、ICMP出错消息回射完整性、服务类型(Type of Service，TOS)、重叠分片处理、TCP选项等。

2.2　被动 络侦察

被动 络侦察不产生额外的流量，而是通过收集 络中的现有流量来寻找需要的信息。目标 络的信息需要不断更新以保证获取的信息最新。由于主动 络侦察不利用任何现有的 络流量，因此它必须快速创建足够多的自定义流量来侦察目标 络，才能跟上目标 络的变化，以满足发现信息更新的需求。而被动 络侦察直接利用 络中的现有流量，因此可以快速全面发现目标 络的变化，相比主动 络侦察具有较高的全面性和时效性。

被动 络侦察的主要方法是 络流量嗅探，其首先使用 络流量嗅探工具捕获 络数据包，常用的工具包括Wireshark、Ettercap、TCPdump、Windump等，然后对捕获的数据包进行分析。如果数据包未加密，对手可以获得用户凭证信息，如以明文形式发送的用户名和密码。目前加密协议的广泛使用大大降低了攻击方通过 络流量嗅探收集信息的能力，但其仍然可以获得关于已安装的操作系统、应用程序、协议版本、源端口和目标端口、数据包和帧序列等的信息。通过逐帧分析数据包，攻击方可能能够识别服务中的错误问题和漏洞。有些协议特别容易受到嗅探，例如，Telnet可以显示击键(名称和密码)，超文本传输协议(Hyper Text Transfer Protocol，HTTP)可以显示以明文发送的数据，简单邮件传输协议(Simple Mail Transfer Protocol，SMTP)、 络信息传送协议 (Network Message Transfer Protocol，NMTP)、邮局协议(Post office Protocol，POP)、文件传输协议 (File Transfer Protocol，FTP)、消息访问协议(Internet Message Access Protocol，IMAP)可以显示以明文发送的密码或数据。

2.3　侧信道扫描

与主动侦察攻击和被动侦察攻击在目标主机信道内收集信息不同，侧信道扫描利用目标主机的侧信道信息收集信息。常用的目标主机侧信道信息有互联 协议标识(Internet Protocol Identity，IPID)、SYN-backlog等。侧信道扫描可用于测量两台目标主机的连接性、扫描目标主机的开放端口、计算 络地址转换(Network Address Translation，NAT)设备后的主机数量，甚至生成远程目标主机的指纹。

03　 络侦察防御方法

络侦察防御主要以保护目标 络的关键信息为目标。防御 络侦察通常需要先检测识别 络侦察流量，然后有针对性地对流量进行处理，处理方法包括阻断、限流、使用虚假响应等。有些 络侦察防御方法无须对 络侦察进行检测，而是通过增大目标 络信息的可观察面，使有效信息掩藏在大量虚假信息中。

3.1　 络侦察检测

检测与识别 络侦察通常是很多 络侦察防御方法的第一步，但 络侦察检测只针对主动 络侦察，因为被动 络侦察不主动发送侦察流量。常规IDS检测是最常用的 络侦察检测方法，但是存在多种类型的 络侦察不能被常规IDS检测，如表1所示。

络侦察检测方法主要包括基于特征分析的 络侦察检测和基于异常分析的 络侦察检测两类。

3.1.1　基于特征分析的 络侦察检测

基于特征分析的 络侦察检测通过提取 络侦察数据包的特征，然后使用特征匹配、机器学习或统计分析的方法对特征进行发现，以发现 络侦察。使用的特征包括协议、源IP地址、源端口地址、协议标记位、流开始时间、流持续时间等。常用的技术包括基于规则的 络侦察检测、基于机器学习/深度学习的 络侦察检测、基于统计的侦察流量检测。

基于规则的 络侦察检测方法利用侦察流量通常具有固定特征的特性来检测扫描 络侦察。如文献[17]提出了一种基于规则的快速端口扫描检测系统，该系统定义了一组规则和阈值来检测端口扫描尝试，其由一个特征选择器和决策引擎组成。该系统用于检测的特征由包中设置的标志类型、源IP、目标端口 、两个连续包之间的时间间隔和连续包的数量组成。而文献[18]等提出了基于 络中包内信息特征的端口扫描检测方法。

机器学习、深度学习等人工智能方法广泛应用于 络安全领域，提高了 络安全防御的智能化水平，其在 络侦察流量检测方面也有应用。如文献[19]使用监督学习分类器对SYN scan、FIN scan、Xmas Tree Scan、NULL scan等几类隐蔽扫描进行检测，结果表明决策树分类器具有较高的检测性能和较低的检测计算时间消耗。文献[20]提出了使用深度信念 络，结合有监督和无监督的机器学习方法来检测端口扫描攻击。而文献[21]在CICIDS2017数据集上比较了支持向量机(Support Vector Machine，SVM)和深度学习对端口扫描攻击进行分类的准确率，结果表明深度学习分类准确率明显高于SVM。

基于统计的侦察流量检测方法的基本思想是设定一个时间窗口统计各类端口扫描尝试流量的数量，当超过一定阈值时就判定为侦察流量。如文献[22]提出了一种端口扫描流量基线模型构建方法，该方法将每个端口的扫描次数映射到一组坐标上，并跟踪质心，形成基线模型。利用该模型可以比较不同时间窗或不同 络位置的扫描背景流量的形态差异，发现异常扫描流量。文献[17]改进了基于静态时间间隔的慢端口扫描攻击检测方法，利用连续时间特征对扫描攻击进行检测，可提高扫描频率随时间变化的扫描攻击的准确率。

3.1.2　基于异常的侦察流量检测

基于异常的侦察流量检测方法主要借鉴异常流量检测方法来检测侦察流量。文献[23]提出了一种基于模糊逻辑控制器的TCP端口扫描检测框架，它采用了模糊规则库和Mamdani推理方法。实验和评价表明，与Snort和相关IDS系统相比，该系统在多级端口扫描检测方面的效率较高。文献[24]还讨论了增强树突状细胞算法(Dendritic Cell Algorithm，DCA)对恶意TCP端口扫描的检测。通过使用不同的用例，积累了评估和结果，以显示DCA算法在端口扫描检测中使用的有效性。文献[25]提出了异常侦察流量检测算法，不仅可以确定端口扫描的事实，还可以识别执行扫描的攻击者的源IP地址。文献[26]提出了一种基于异常行为的Shodan和Censys扫描检测方法，该方法使用有状态TCP数据包检查来监控数据包是否异常，如果异常，则添加到可疑列表中。

3.2　欺骗防御技术

络欺骗技术是一种基于军事欺骗思想利用对手认知和决策上的弱点或偏见来干扰或误导对手 络攻击过程的主动防御技术。 络欺骗按其行为类型可分为信息模拟和伪装。信息伪装通过掩藏、混淆等手段对目标的关键信息进行隐藏，使对手难以获得目标的真实信息。信息模拟则是构建或使用虚假的信息来分散或误导对手的注意力，常用的方法有蜜罐[27]、蜜 、诱饵[28]。 络欺骗技术可以应用在系统信息、流量信息和拓扑信息方面。系统信息欺骗方面，文献[29]提出了基于聚类的连续匿名容器指纹欺骗方法，通过对容器 络地址进行跳变和容器操作系统指纹进行修改，实现容器指纹欺骗，可大大增加对手 络侦察的成本消耗。文献[30]提出了一个基于深度强化学习的侦察攻击欺骗框架，该框架融合了欺骗防御和人工智能技术，可增强云端虚拟机防御侦察攻击的能力。在流量信息欺骗方面，文献[31]基于对抗性机器学习生成伪装指纹，以对抗对手基于深度学习的指纹分析攻击。文献[32]基于生成对抗 络模型生成动态的伪装流量，以规避对抗基于流量分析的 络扫描攻击；文献[33]通过改变源应用程序的数据包长度的概率分布，来混淆 络流量分类器，可有效降低 络流量分类器的分类准确率。在拓扑欺骗方面，文献[34]和文献[35]通过生成高欺骗性、低成本和高效率的有效模糊 络拓扑来对抗对手基于断层扫描的 络拓扑侦察。而文献[36]通过直接在数据平面中拦截和修改路径跟踪探测来混淆拓扑结构，以欺骗对手基于Traceroute的拓扑侦察。文献[37]提出一个基于软件定义 络(Software Defined Network，SDN)的拓扑欺骗系统来伪装 络中的关键资源，并在 络中放置虚假的脆弱节点诱导对手扫描攻击。

3.3　移动目标防御技术

由于 络服务和配置的静态性，攻击方容易通过 络侦察构建信息优势，从而提高 络攻击的效率。为了消除这种不对称优势，一种最直接的方法就是增强 络服务和配置的复杂性、多样性和随机性，以提高系统弹性，增加攻击者的复杂性和成本。移动目标防御就是通过创建随时间推移不断变化的机制和策略，降低系统信息暴露的机会的技术。媒体存取控制(Media Access Control，MAC)地址、IP地址、端口、协议、加密算法等节点信息和 络流传输过程中的转发链路、路由节点等链路信息是 络传输中的两个关键要素，也是需要保护的重要 络属性，因此节点信息和链路信息动态变换是当前主要的移动目标防御策略。节点信息的移动目标防御方法有动态IP地址转换[38]、端口地址跳变[39]、TCP/IP协议头变换[40]等。链路信息动态变换的移动目标防御方法有基于确定性多路径选择的转发路径迁移[41]、基于路由变换的转发路径迁移[42]等。另外，地址空间随机化、指令集随机化和数据随机化等系统硬件环境随机化和应用程序异构化也可达到移动目标防御的效果。实际应用中常综合使用多种移动目标防御机制，并结合博弈论制定防御策略，使用SDN进行部署，如文献[43]提出了一种基于软件定义 络的指纹跳变方法来抵御指纹攻击，该方法将指纹攻击及其防御的相互作用建模为一种信 博弈模型，并分析了该博弈的均衡性，提出了一种最优防御策略。

3.4　 络侦察追踪溯源技术

对 络侦察进行追踪溯源，识别背后的恶意组织对 络防御与反制都具有重要意义。 络侦察追踪溯源主要针对主动 络侦察，通过分析对手发送的侦察数据包的特征信息实现，如文献[26]通过分析扫描数据包的行为可识别Shodan和Censys的扫描流量。文献[44]提出了一种基于遗传算法的 络协议版本4(Internet Protocol Version 4，IPv4)和TCP 头字段指纹识别算法，该算法可有效识别暗 中扫描攻击的指纹。 络侦察追踪溯源研究面临的主要难题是缺乏有效的数据集，文献[45]提出了一种替代方法来解决收集数据的问题，并公开了其收集的数据。

04　未来研究建议

基于以上分析，本节从 络侦察的新形式、建模、攻防博弈刻画、防御效果评价角度出发，对 络侦察及其防御的未来研究提出建议。

4.1　 络侦察的新形式

新型 络技术不断涌现， 络侦察收集目标 络信息的手段和方式也随之发生变化，因为有新形式的信息可以帮助攻击方分析目标 络的漏洞，攻击方也可以开发新的技术用于目标 络信息侦察。随着虚拟化、云、容器、移动或边缘计算等颠覆性技术的兴起，计算资源和数据更多地被托管给云服务，这为攻击者实施跨虚拟机缓存的侦察攻击提供了机会，因此研究 络侦察的新形式是十分必要的。

4.2　 络侦察建模

络侦察模型应包括对手如何确定要收集的目标信息，如何对不同类型的目标信息进行优先级排序，如何确定要实施的侦察攻击类型，以及如何对收集的有限和不确定的信息进行融合分析。 络侦察过程中攻击者如何使用隐形方式和非隐形方式，也需要基于框架和数据构建侦察攻击模型进行解释。

4.3　 络侦察攻防博弈刻画

理解 络侦察与防御的对抗关系，准确描述信息交互过程，充分利用对手的认知缺陷和偏见制定防御策略是达成 络侦察防御效果的关键。目前学术界已提出多种博弈模型用于刻画 络侦察攻防对抗关系，如贝叶斯模型、多阶段博弈模型、信 模型等。然而动态环境下， 络侦察攻防的博弈关系复杂多变，还需要更多的研究来刻画动态环境下对手的侦察活动，包括攻击方如何决定进行侦察及攻击方如何在攻击中使用侦察收集的信息等，并对防御者使用混淆、欺骗等手段对攻击者的影响进行描述，以更深刻地揭示 络侦察攻防双方的博弈关系。

4.4　 络侦察防御效果评价

络防御方可以利用欺骗和混淆隐藏目标 络的有效信息，也可以通过增加 络的复杂性、多样性和随机性增大对手收集目标 络有效信息的难度，达到降低对手 络侦察影响的效果。但这些技术和方法的防御效果还有待进一步研究，特别是针对不同类型的侦察攻击，有必要评估不同的防御方法对防御不同类型的侦察攻击的有效性，例如侧信道扫描攻击难以被检测发现，有必要采取其他针对性防御方法降低其影响。更好的 络侦察防御效果评价模型可以提高 络防御的针对性和效果，降低防御成本，因此有必要在未来加强研究。

05　结　语

引用格式:张位,刘赟,冯毓,等. 络侦察及其防御技术研究综述 [J]通信技术,2022,55(10):1247-1256.

张? 位，男，博士，工程师，主要研究方向为 络防御、互联 基础设施安全；

刘? 赟，男，硕士，工程师，主要研究方向为 络威胁检测、机器学习；

冯? 毓，男，博士，工程师，主要研究方向为 络威胁检测、异常流量分析；

毛得明，男，博士，正高级工程师，主要研究方向为数据安全、 络安全。

选自《通信技术》2022年第10期（为便于排版，已省去原文参考文献）