网络攻击者利用侦察技术,通过发现系统和人员中的漏洞来渗透网络并破坏系统,在攻击中发挥着重要作用,是成功实施攻击的关键阶段之一,如在乌克兰电网网络攻击中的系统扫描、孟加拉国银行网络抢劫中的鱼叉式网络攻击等。本文在介绍网络侦察概念、侦察目标的同时,对现有的侦察技术根据获取目标信息手段的不同进行分类评述,包括基于第三方数据源、社会工程学、系统的侦察技术,最后提出网络侦察技术未来的发展方向。
1 定义与内涵
网络侦察(Cyber Reconnaissance)是指对手为收集目标网络和系统的信息而执行的一系列行动过程,而这些信息对于成功利用漏洞和推进对手的目标是必不可少的。根据洛克希德·马丁公司提出的网络杀伤链(Cyber Kill Chain)模型,网络侦察处于整个网络攻击过程的第一阶段,即为攻击者寻找目标网络的漏洞或脆弱点、规划攻击路径,尤其是对国家关键信息基础设施这样复杂、管理良好的系统来说,往往需要通过长时间持续有组织地收集目标网络的信息,才使下一步高效的网络攻击执行成为可能,因此网络侦察对进行成功攻击来说至关重要。
2 侦察阶段
根据侦察在整个网络杀伤链模型阶段和收集信息的不同,Roy 等人对网络杀伤链模型进行了改进,提出了基于侦察的网络杀伤链模型,如图 1 所示。
图 1 基于网络侦察的网络杀伤链模型
根据网络侦察在网络杀伤链的不同阶段分为了外部侦察和内部侦察。外部侦察是指敌人进入内部网络之前的活动。对手可以从面向公众的节点、在线信息和人员那里获得关键信息,这有助于他们确定目标的轻重缓急和攻击计划。外部侦察可以为攻击者提供目标周边网络环境部署的安全措施、运行的设备、提供的服务等信息,为攻击者可以高效地完成攻击载荷准备、漏洞利用等过程提供支撑。
内部侦察是在攻击者进入目标网络后,对目标网络的安全措施、网络结构和提供服务等信息进行感知,为攻击载荷在目标网络内部的横向移动提供帮助。一旦攻击者破坏了目标网络内至少一个主机或建立了内部访问,他们就可以在已安装的后门和命令和控制(C2)服务器之间创建一个安全通道。接下来的步骤和目标取决于对手可以从受损主机获得的信息。最初,对手可以查找用户和主机级别的信息。正在运行的进程和配置公开受害者主机和其他主机使用的已安装软件和应用程序列表。他们可以使用系统命令和自定义工具来收集用户、主机、网络和应用程序级别的信息。
3 侦察目标
攻击者通过网络侦察获取的目标信息类型多种多样,因为在网络攻击的不同阶段需要目标信息类型不同,并且针对不同的网络攻击方法也会需要不同类型的目标信息。可将网络侦察的目标信息分为用户信息、系统信息、网络信息和应用信息 4 类。如图 2 所示。
图 2 网络侦察目标信息
用户信息是指网络、设备、应用的用户相关信息,主要包括账户详细信息、浏览器历史记录和 cookie 等。系统信息是软件配置、正在运行的进程、文件和目录以及安全环境等信息,这些信息可帮助对手执行下一个阶段的攻击。网络信息指网络拓扑结构、网络协议、防火墙、入侵检测系统、设备和服务等信息,这些信息可以帮助对手了解本地网络。应用信息是指应用的组件、版本、配置、漏洞等信息,这些信息可帮助对手发现应用的漏洞,以实施网络攻击。
4 网络侦察技术分类
根据获取目标信息手段的不同,可将网络侦察分为基于第三方数据源的信息收集、基于社会工程学的信息窃取、系统侦察技术三大类,如图 3 所示。即可以在初始阶段从第三方来源获得,可以通过欺骗目标人(社会工程学),或者直接从目标系统获得。
图 3 网络侦察技术分类
4.1 基于第三方数据源的信息收集
基于第三方数据源的信息收集技术是指通过网站、搜索引擎和暗网等搜集有关组织、人员和资源中提取信息。最常见的基于第三方数据源的信息收集包括:电子邮件跟踪、搜索引擎、社会媒体跟踪、域名解析、网站踩点等。
4.2 基于社会工程学的信息窃取
基于社会工程学(SE)的信息窃取技术是指以目标组织中的人员为重点,通过网络钓鱼、水坑攻击等社会工程学方法获取相应信息。社会工程是以利用欺骗手段获取信息为基础的,这些方法包括诱饵、假短信、钓鱼和鱼叉钓鱼等。根据类似的本地和远程社会工程技术的概念进行分类,本地的 SE 技术(例如,诱饵、尾随、肩窥等)需要直接亲自参与,以及远程 SE 技术(例如,网络钓鱼、电话钓鱼、邮寄诈骗、恶意软件等),可以通过网络或移动媒体远程执行。
4.3 基于系统的侦察技术
通过利用漏洞或使用标准接口从目标计算机系统(硬件或软件)收集信息。基于系统的侦察技术可分为远程信息采集技术和本地信息采集技术。对手可以通过远程网络执行扫描(例如 TCP、UDP 或 ICMP 扫描)和嗅探(通常是借助 MAC 洪泛或 ARP 欺骗)技术。另一方面,本地侦察技术包括通过读取文件内容或使用操作系统命令来探索配置,在受感染的主机内进行侦察。
4.3.1 远程信息获取技术
对手可以通过与系统的直接或间接交互,执行远程侦察技术来收集信息。执行网络扫描和嗅探,从外部网络或内部网络中发现有效的网络资源。有效的扫描技术通常使攻击者能够找到漏洞并破坏 IT 资产。然后,可以将这些信息映射到例如常见漏洞和暴露(CVE)数据库,该数据库提供有关公开已知漏洞的详细信息。嗅探技术主要用于捕获含有敏感信息的网络数据包,如用户凭据和网络中使用的协议。扫描和嗅探之间的一个重要区别是扫描技术需要与目标系统直接交互,而嗅探则采用间接交互。
(1)基于主机/端口扫描技术
一些最常见的底层(即网络或传输层)扫描技术,如表 1 。展示了用于扫描技术的公开工具的方法、目标信息、阶段和示例。扫描技术包括 ICMP、UDP、ARP 或 TCP 扫描技术。类型是指技术是主动的还是被动的,最后,我们列举可供安全研究人员使用的公共工具作为参考。
表 1 网络/传送层扫描技术和工具
ICMP 扫描:执行简单的 ICMP 扫描,以确定特定 IP 地址网络设备的活动。涵盖 Ping 的 ICMP 扫描可以发现 IP 地址范围内的活动主机,并可以基于子网列出活动节点。
ARP 扫描:ARP 扫描是一种网络发现技术,它通过在网络中广播 ARP数据包并检查哪些主机响应来工作,响应广播消息的主机是活动主机。ARP 扫描是一种在局域网中工作的底层扫描技术,通常用于获取活动主机的物理地址(MAC 地址)和逻辑地址(IPv 4/6)。
带有 SYN/ACK 标志的 TCP 扫描:有几种 TCP 扫描技术使用 SYN 或 ACK标志来扫描网络。TCP SYN 扫描是一种广泛使用的扫描技术,SYN 扫描也称为半开扫描技术,因为它没有建立完整的 TCP 连接。这是一种相对隐蔽的技术。如果接收到 SYN 或 ACK,端口将打开。如果响应是 RST(重置),则端口将关闭。对手也可以使用 ACK 标志来识别打开的端口。例如:TCP 连接扫描与目标 IP 范围内的主机建立完全的三次握手。它从客户端向目标主机发送 SYN 数据包开始。服务器以 SYN|ACK 数据包进行响应(如果端口关闭,则发送 RST 数据包)。最后,客户端发送一个 ACK 作为回报,建立完整的连接。
基于 RST 响应的 TCP 扫描:对手可以设置或取消设置几个标志(如FIN、PSH、URG)来执行秘密扫描。接收到带有 RST 的数据包意味着端口关闭;否则,它是打开的。设置标志的一个流行示例是 XMAS 扫描。反向 TCP 扫描在 TCP 数据包中设置一个标志或不设置标志,在检测打开或关闭的端口方面与 XMAS 扫描类似。
UDP 扫描:UDP 比 TCP 简单,并且不提供与 TCP 相同的各种标志修改方案。但是,UDP 扫描仍然可以用于扫描打开的 UDP 端口,这些端口提供正在运行的服务。在 UDP 扫描中,通常在端口关闭时接收响应。典型的开放服务,如 DNS、VPN、SNMP、NTP 等,可以使用 UDP端口扫描来确定。在某些情况下,也可以检测服务和操作系统的版本。
攻击者还可以执行应用层扫描技术,如 banner 抓取。表 2 介绍用于不同应用程序的扫描技术的方法、目标信息、阶段和工具。
表 2 应用层扫描技术和工具
Banner 抓取:漏洞扫描技术。有两种类型的 banner 抓取:主动和被动。主动 banne 抓取要求与远程主机建立 TCP 连接,以发送精心编制的数据包。然后,对手接收并处理响应。被动式 banne 抓取涉及被动嗅探技术,用于捕获和分析网络数据包。主动 banne 技术更容易被防守者发现。对手通常以服务端口为目标,例如 HTTP、FTP和 SMTP 服务(端口分别为 80、21 和 25)使用 banne 抓取技术,通过该技术对手可以绘制整个网络。
Fingerprinting:一种通过分析响应包以确定操作系统、应用程序版本(例如 Web 服务器)或网络协议(例如 SNMP)的方法。通常操作系统和/或应用程序应答包,会在公开分组报头中的暴露使用平台和版本信息。对手可以分析响应数据包,将其值与各种操作系统和版本的数据集进行比较,来识别具体的 OS 版本。还可以通过检查错误消息响应来获取某些信息。
(2)嗅探技术
对手可以执行嗅探来捕获和分析未加密的网络数据包收集用户凭据之类的信息,例如以明文发送的用户名和密码。网络数据包还可能包含有关已安装的操作系统、应用程序、协议版本、源端口和目标端口、分组和帧序列等信息。通过逐帧分析数据包,对手可能会发现错误的配置和服务中的漏洞。有些协议特别容易被监听;例如,Telnet 可以显示击键(名称和密码),HTTP可以显示以明文发送的数据,SMTP/NMTP/POP/FTP/IMAP 可以显示以明文发送的密码或数据。
被动嗅探或直接捕获数据包用于发现网络协议和服务以及主动主机和端口。市面上有许多包捕获和分析工具;例如 SolarWinds 网络性能监视器、ManageEngine、 NetFlowAnalyzer, Tcpdump、 WinDump 和 Wireshark。这些是面向网络管理员的可公开使用的工具,但也可能被对手使用。对手也可以使用为特定漏洞定制的工具和脚本来执行扫描,以便在更长的时间内保持未被检测到。主动嗅探涉及流量泛滥或欺骗攻击以捕获流量或将流量重定向到攻击者控制的主机。主动嗅探通常在交换网络中执行,攻击者可能需要使用这些技术来捕获网络流量。表 3 介绍用于不同嗅探技术的公开可用工具的类型、目标信息、阶段和示例。
表 3 嗅探技术和工具
4.3 基于系统的侦察技术
通过利用漏洞或使用标准接口从目标计算机系统(硬件或软件)收集信息。基于系统的侦察技术可分为远程信息采集技术和本地信息采集技术。对手可以通过远程网络执行扫描(例如 TCP、UDP 或 ICMP 扫描)和嗅探(通常是借助 MAC 洪泛或 ARP 欺骗)技术。另一方面,本地侦察技术包括通过读取文件内容或使用操作系统命令来探索配置,在受感染的主机内进行侦察。
4.3.1 远程信息获取技术
对手可以通过与系统的直接或间接交互,执行远程侦察技术来收集信息。
执行网络扫描和嗅探,从外部网络或内部网络中发现有效的网络资源。有效的扫描技术通常使攻击者能够找到漏洞并破坏 IT 资产。然后,可以将这些信息映射到例如常见漏洞和暴露(CVE)数据库,该数据库提供有关公开已知漏洞的详细信息。嗅探技术主要用于捕获含有敏感信息的网络数据包,如用户凭据和网络中使用的协议。扫描和嗅探之间的一个重要区别是扫描技术需要与目标系统直接交互,而嗅探则采用间接交互。
(1)基于主机/端口扫描技术
一些最常见的底层(即网络或传输层)扫描技术,如表 1 。展示了用于扫描技术的公开工具的方法、目标信息、阶段和示例。扫描技术包括 ICMP、UDP、ARP 或 TCP 扫描技术。类型是指技术是主动的还是被动的,最后,我们列举可供安全研究人员使用的公共工具作为参考。
表 1 网络/传送层扫描技术和工具
攻击者还可以执行应用层扫描技术,如 banner 抓取。表 2 介绍用于不同应用程序的扫描技术的方法、目标信息、阶段和工具。
表 2 应用层扫描技术和工具
(2)嗅探技术
对手可以执行嗅探来捕获和分析未加密的网络数据包收集用户凭据之类的信息,例如以明文发送的用户名和密码。网络数据包还可能包含有关已安装的操作系统、应用程序、协议版本、源端口和目标端口、分组和帧序列等信息。通过逐帧分析数据包,对手可能会发现错误的配置和服务中的漏洞。有些协议特别容易被监听;例如,Telnet 可以显示击键(名称和密码),HTTP可以显示以明文发送的数据,SMTP/NMTP/POP/FTP/IMAP 可以显示以明文发送的密码或数据。
被动嗅探或直接捕获数据包用于发现网络协议和服务以及主动主机和端口。市面上有许多包捕获和分析工具;例如 SolarWinds 网络性能监视器、ManageEngine、 NetFlowAnalyzer, Tcpdump、 WinDump 和 Wireshark。这些是面向网络管理员的可公开使用的工具,但也可能被对手使用。对手也可以使用为特定漏洞定制的工具和脚本来执行扫描,以便在更长的时间内保持未被检测到。主动嗅探涉及流量泛滥或欺骗攻击以捕获流量或将流量重定向到攻击者控制的主机。主动嗅探通常在交换网络中执行,攻击者可能需要使用这些技术来捕获网络流量。表 3 介绍用于不同嗅探技术的公开可用工具的类型、目标信息、阶段和示例。
表 3 嗅探技术和工具
Mac 洪泛攻击:涉及用大量的映射请求淹没交换机,从而使交换机在某个点溢出。最终,交换机充当集线器,开始广播所有数据包,使攻击者更容易捕获数据包。
ARP 欺骗:攻击者通常会生成大量伪造的 ARP 请求并回复数据包以淹没交换机。当充斥着伪造的 ARP 请求时,交换机被设置为“转发模式”,攻击者更容易捕获数据包。攻击者还可以尝试用伪造的条目毒害目标的 ARP 表,最终导致复杂的攻击,如拒绝服务和中间人攻击(MITM)。
MAC 复制:攻击者可以伪造活动目标的 MAC 地址。通过复制 MAC地址,攻击者可以接管某人的身份。如果使用目标 MAC 地址来授权网络访问,则该技术对于获得对网络的访问非常有用。然而,这种攻击很容易被防御者发现。
DHCP 耗竭:在此技术中,攻击者将“DHCP 发现”发送到路由器,并试图租赁所有可用的 IP 地址。DHCP 耗竭是一种使用 DHCP 请求的拒绝服务(DoS)攻击。使用此技术的主要原因是要设置一个流氓DHCP服务器,该服务器为其他加入网络的用户提供IP地址。然后,攻击者可以建立错误的 IP、网关或 DNS 服务器;用于捕获数据包。
DNS 投毒:是通过欺骗 DNS 服务器相信攻击者拥有真实的信息来执行的,这些信息允许攻击者用假条目替换有效的 IP 地址条目。例如,攻击者可以将有效的 IP 条目替换为用于社会工程或窃取信息的欺诈或钓鱼网站的 IP。攻击者可以通过以下方式执行 DNS 投毒攻击:在内部网络内,也就是局域网(LAN),或者替换存储在代理服务器中的条目。
4.3.2 本地信息采集技术
一旦对手破坏了目标组织中至少一个资产,他们就可以开始收集本地系统信息。例如,他们可以安装 rootkit、特洛伊木马或其他恶意软件,这些恶意软件可以重新连接到对手预先建立的命令和控制服务器。然后,敌人可以远程执行命令或使用额外的攻击。表 4 介绍常见本地信息采集技术的公开可用工具的类型、目标信息、阶段。
表 4 本地信息采集技术
用户和组发现:攻击者可以查找系统和域帐户信息来了解用户和组凭据,然后他们可以使用这些凭据进行权限提升。在 Windows平台上,可以使用“net user”、“net group”和“net loca lgroup”等命令来查询用户或组信息。在 Unix 系统上,“/etc/passwd”和“/etc/group”文件可用于查询用户和组信息。
进程发现:在大多数平台上,有几个内置的命令工具可以发现系统上正在运行的进程。例如,在 Windows 平台上,“tasklist”的内置命令可用于执行流程和安全系统查询。在 Unix 系统上,内置命令“ps”可用于检查正在运行的进程。
服务发现:攻击者可以使用“netstart”之类的系统命令收集有关在 Windows 平台上运行服务的信息。在 Unix 系统上,可以运行系统命令,如“service”、“chkconfig”或“netstat”,以获得面向服务的信息。
网络配置发现:在 Windows 和 Unix 系统中,攻击者可以使用命令“ipconfig” 和“ifconfig”查找基本的网络配置信息,如IP 和 MAC 地址、网络适配器或接口等。然后,他们可以查找更多详细信息,包括默认网关、主要和次要 WINS、DHCP 配置和 DNS服务器详细信息。许多 APT 组织使用“nbtstat”或“nbtscan”查询 NetBIOS 名称解析信息并查找漏洞。
文件和目录发现:在 windows 系统中,攻击者可以通过运行“dir”或“tree”命令列出文件目录项。据报道,攻击者会同时遍历系统配置文件和用户创建的文件。在 Unix 系统上,配置文件通常可以从“/etc”目录访问。“ls”、“find”、“Location”等基本命令可用于在 Unix 系统上搜索和浏览文件。
密码策略发现:攻击者还可以了解有关在系统上强制执行的密码策略的信息。这有助于规划暴力强制攻击或设计自定义密码字典。用户密码年龄、密码类型或提示等详细信息可以通过用户命令获得,例如 Unix 或 Linux 平台上的“chage-L$user”。对于Windows 平台,“Net Account”命令提供帐户密码策略。对于MacOS,可以使用用户命令“pwpolicy get AccountPolicy”。在 Linux 系 统 上 , 这 些 策 略 可 以 在 “ /etc/pam.d/common-password”文件中获得。
网络统计发现:如果攻击者稍后打算执行详细的内部扫描,他们可能使用命令行工具“netstat”、“net use”和“net session”收集网络统计数据,例如本地 TCP 和 UDP 连接、路由表、网络接口列表等。
网络共享发现:通过网络共享目录和文件提供访问也可能包含有
价值的信息。一些 APT 组织还能够对网络共享进行枚举,从而收集其他系统的潜在攻击向量。可以使用" smbclient "、"nfsstat -m "和" df -aH "命令来查看受损机器上是否有可用的网络共享。
按键记录和截屏:攻击者可以使用按键记录器收集用户的击键和
信息,如密码、习惯或财务信息。例如,用户输入的终端命令或应用程序名称可以显示系统、已使用的应用程序和服务的进一步细节。
5 网络侦察技术发展趋势
随着技术的变化,侦察的性质也会发生变化,因为新类型的信息与正在开发的提取有用信息的新技术息息相关。虽然我们主要关注当前常用的技术,但我们也要关注将影响未来网络侦察的技术发展的趋势,主要体现在以下几方面:
一、虚拟化、云、雾、移动或边缘计算以及容器化等颠覆性技术的兴起,需要研制新的适应这些新兴网络技术的侦察方法。
主要体现在以下几点,其影响之一是越来越多的机构通常不会在本地控制所有自己的计算资源和数据,而是将其外包给专业的运营云资源的供应商,这为基于社会工程的网络侦察提供了新的机会,例如基于跨 VM 缓存或基于目录的攻击等。对于那些必须跨越国界和不同监管管辖区操作或提供软件和硬件的组织来说,日益增加的复杂性使得网络侦察涵盖的目标信息更多,需要研制相应的侦察技术去获取新的目标信息以适应攻击的需要,如主被动结合的云探测技术、容器探测技术等。
二、面向人工智能系统的网络侦察方法也将成为未来研究的热门领域。
人工智能和机器学习方法的广泛应用,无论是在网络管理,还是网络防御方面都应用了大量人工智能应用,使基于人工智能的自主代理也成为了攻击者关注的一个新目标,因此面向人工智能系统的网络侦察方法也将成为未来研究的热点。目前这块内容还处于空白。
三、利用人工智能技术提升网络侦察能力。
即利用人工智能技术强大的智能计算以及情景感知、自动翻译等能力以及 ChatGPT 的推理和智能涌现能力,提升基于第三方来源数据的获取和分析能力,加强跨空间的数据关联能力,能够帮助提取出重要目标的重要信息;另外利用人工智能的 GAN 技术,通过在网络流量中添加微小的扰动来构建对抗样本,使得入侵检测系统对其错误分类,提升网络侦察技术隐蔽性也是未来值得探索的方向之一。
四、基于探测技术本身需研发更高效与全面的技术。
云网络由物理网络和虚拟网络共同组成,两者都会影响网络性能。以往的大部分研究主要集中于解决物理网络探测,而在虚拟网络探测领域的相应研究则较少。近期,据阿里云透露,阿里云对大规模虚拟网络探测领域做出了全球领先的研究探索,准备专为大规模多租户虚拟网络设计主动探测系统。另外,也有专家提出研发更高效的技术,如开发一种能够同时对工业串行设备和以太网设备中获取信息的网络扫描器。
6 思考与建议
网络安全中对抗性侦察的研究内容具有多样性与变化性的特点。可能对攻击者有用的信息种类繁多,获取这些信息的工具和具体技术也是如此。这也是一个不断变化的目标,因为相关的信息类型和工具将随着时间的推移和技术的发展而自然演变,我们的研究也应适应其变化。
一、针对网络侦察模型的改进,需要构建通用的框架和数据来模拟典型的侦察。
本文提供了对侦察活动与侦察技术的全面概述;然而,对于如何模拟不同类型攻击者的侦察过程的细节,却没有涉及。这包括他们如何决定进行何种类型的侦察,如何对不同类型的信息进行优先排序,以及如何根据有限和不确定的信息形成关于系统和防御的相关行动。对于攻击者是如何进行关键权衡的,也了解有限。虽然有很多的案例研究和例子,但我们缺乏一个通用的框架和数据来模拟典型的侦察活动。例如目前的一个案例研究和模型(该案例只指定一种扫描过程,并假定攻击者收集了完美的信息),通常相当简单,范围也有限。
二、提高可能阻碍网络攻击者获取关键信息的反制措施。
理解网络侦察与防御的对抗关系,准确描述信息交互过程,充分利用对手的认知缺陷和偏见制定防御策略是网络侦察防御的关键。目前,基于网络和主机的入侵检测系统通常监视扫描明显的对抗性侦察活动。许多策略(例如蜜罐、蜜令牌等)也使用欺骗和信息隐藏来削弱侦察的技术。移动目标防御还可以增加攻击者进行侦察的网络系统的复杂性、多样性和随机性,来增加攻击者收集目标网络有效信息的难度。动态主机地址转换、路由变更和 IP随机化等技术会降低被动侦察的成功率。其他方法包括数据库诱饵、操作系统混淆、源代码诱饵、伪造虚假流量、拓扑欺骗、代码嵌入式欺骗等,可以减轻被动和主动侦察。加强员工培训、增强安全意识可以在一定程度上缓解基于社会工程学的信息窃取。建议可以根据上述侦察技术分类的每类详细制定反制对策。防御者可以更容易获得针对性缓解措施。
三、加强网络侦察工作的实证研究。
科学研究讲究严谨,数据支撑,一般需要进行更多的实证研究。例如哪些是最常见的侦察活动,这些活动在不同类型的攻击者之间有何不同,攻击者如何决定如何进行侦察,以及如何在攻击计划中使用这些信息。通常,这些研究很难进行,因为攻击者积极地试图隐藏这些信息。因此目前明显缺乏良好的、高质量的数据和经验来研究不同类型的侦察方法在不同环境中的普遍性和有效性。在攻击者能够收集到的信息有限的情况下,关于不同防御缓解策略的有效性,也缺乏良好的衡量标准和经验证据。由此,还需要源于真实世界的更好的数据来源和实验设计,以了解攻击者如何在现实世界中收集信息。
7 结 语
网络侦察在对手网络攻击的过程中扮演者重要角色,是其收集目标网络信息和了解目标网络漏洞和缺陷的关键。本文对常见的网络侦察技术进行较详细的分类描述,对侦察技术未来可能的发展趋势进行预判,也提出了未来网络侦察技术的研究建议,有助于该领域研究者全面了解网络侦察,提高网络侦察防御的针对性,促进网络侦察防御手段的研究。
供稿:三十所信息中心
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
