佐治亞理工學院剛剛獲得了一份價值1730萬美元的合同，來尋求技術手段實現網絡攻擊溯源（Attribution，或稱溯源）。

研究人員試圖借助機器學習技術來定位網絡攻擊的來源，為此他們選取了古希臘復仇女神拉墨涅亞(Rhamnousia)來命名該項目，以展現對“正義的復仇”的決心。

馬諾斯·安多納卡基斯，佐治亞理工學院電氣和計算機工程的助理教授，表示：“每當我們想到人們正忍受著系統受攻擊、知識產權遭竊、數據被篡改之苦，就意識到一種義不容辭的責任：我們不能再讓這些攻擊者逍遙法外。”

邁克爾·法雷爾，網絡技術和信息安全實驗室的首席科學家，補充說：“如果你無法鎖定你的對手，就不可能對他形成威懾。溯源是網絡威懾的關鍵，美國政府需要摸索出一種可重復使用的正式手段。”

但是溯源是一個極具爭議、影響很廣的問題，人們對其可行性始終眾說紛紜、沒有定論。錯誤的結果會導致重大國際事件，如促成“網絡戰爭”。但準確的溯源最可能的結果是與其他網絡威脅方式、經濟或軍事制裁一樣，成為阻止其他國家的侵害行為的有力威懾。

準確溯源可能嗎？

路易斯·科倫斯，熊貓實驗室的技術主任，信誓旦旦地說：“當我們將手中僅有的信息輸入學習系統時，系統可以發現我們沒提供的信息，這些標志在每一個文件中都成千上萬的存在。”他相信機器學習將幫助我們找到攻擊者留下的“指紋”。

伊利·卡恩，Sqrrl的創始人之一、白宮的前網絡安全主管，對此表示同意。他認為溯源可以通過三種方法的任意組合來實現：攻擊性（“入侵一個C2服務器，觀察其數據傳輸和流向——在美國境內只有美國政府可以合法地這樣做”）；攻擊者失誤（“有時攻擊者的失誤會留下可追蹤的痕跡”）；和概率推斷（“研究攻擊者的代碼或第三方，尋找模式或標志來在一定的確定性上推測攻擊者”）。最后一種方法將是佐治亞理工學院所此次項目的基石。

莫雷·哈伯，BeyondTrust的技術副總裁，也對此深表贊同：“通過研究代碼樣本和攻擊模式實現溯源在統計學上切實可行。”

但是伊利亞·克羅申科，High-Tech Bridge的總裁尚存疑慮：“網絡溯源是個很棒的想法，然而我很懷疑它是否能僅用1700萬就得以實現，今年我們已經向上百個創新項目投入了數十億美元，但是我們至今仍未找到辨識網絡罪犯的方法。”

布萊恩·巴塞洛繆，卡巴斯基實驗室高級安全研究員，警告說：“溯源是個大難題，有很多因素讓我們很難自然而然地相信溯源的結果。”

通常來說，很少有網絡安全專家認為溯源是不可能的，但是很多人覺得它最終是不可靠的。值得注意的是，兩個獨立的研究人員（ESET的大衛·哈雷分野和F-Secure的肖恩·沙利文）表明，溯源是一門藝術，而非科學。

沙利文說：“網絡溯源與其說是科學，不如說是一種藝術。你往往要根據已知的行為和線索，來進行大致的推斷。這一過程毫無科學可言。由于缺乏證據，分析極易謬以千里。我可不會像相信物理規律那樣相信溯源的結論。”

同樣顯而易見的，由于溯源往往意味著懲罰，人們不得不慎重對待溯源。斯科特·富爾頓，BeyondTrust的技術員說：“雖然增加受訓機器判定常見范式的可靠性在科學上可行，但這在法律上難以作為呈堂證供。”

機器學習準確嗎？

機器學習的輸出并非是/否的形式，而是表示概率的分數。這些分數由算法和數據之間的交互得出，算法尋找數據的模式和關系，機器則通過重復過程從結果中學習。

這一流程的效率取決于算法的質量，而輸出的準確性依賴于學習所使用的數據的準確性。兩者都受人為干預和人為錯誤所影響。事實上，人們普遍認為算法本身不是完全客觀的，它帶有開發人員潛意識中的偏見。然而，更令人擔心的是，如果數據是錯誤的，輸出必將錯誤。

科倫斯說：“這就是溯源過程最關鍵的地方只一，如果用來建立模型的數據是錯的，預測自然不可靠。”

High-Tech的克羅申科警告說：“機器學習的好壞取決于設計算法和選擇數據組的人的能力。另外，專業黑帽子已經在使用機器學習和大數據創建復雜的欺騙或煙幕系統來從事犯罪活動。”

BeyondTrust的哈伯提出：“會有新的威脅源出現，這意味著未來必須建立新的相關條目”但現有的統計匹配不會對此有效。

卡巴斯基的巴塞洛繆評論說：“我認為最大的問題在于系統初始數據的來源。攻擊行為的來源非常復雜，而且在很多案例里，攻擊者都不會有統一化的名稱。A組織口中的攻擊者X可能最終被B組織稱之為攻擊者Y和Z。處理這種組織形式非常困難，除非他們默認這是同源的（如同一政府）。但如果他們采取這種方式，我們就先天限制了自己的視野，不斷圍繞這一假設打轉。

邁克·安德斯， Shadow Blade Technologies的網絡情報研究員有著一種樂觀的態度，畢竟任何“智能”都做不到100%準確。“除非猜測的結果被證實，所有的情報工作的正確可能性總會低于100%，甚至被證實后這些工作也可能是錯的！等待準確率100%的溯源不過是個用爛了的借口。缺乏完整的智慧永遠是用于這一目的。是否能在深知他們信息可能錯誤或數據不足的情況下作出判斷，是區分真正的領導人、決策者和酒囊飯袋的依據。”

誤導性的信息、方向和標志

一些專家擔心不同的攻擊源會故意誤導溯源機器。

巴塞洛繆警告說：“有很多攻擊者積極使用欺騙手段來誤導或迷惑調查者。我們理論上做得到區分各種案例中的錯誤標志，然而，有些攻擊者非常善于偽造出蛛絲馬跡來讓人追尋。近年來，這一趨勢越來越流行，我認為它只會越演越烈。”

哈利補充：“有些標志攻擊的目的就是產生錯誤溯源。同時，很多攻擊試圖偽造編程細節、時間軸等信息”

克羅申科警告：“黑帽子們可以輕易用多國家的數十個VPN來騙過FBI的機器，或利用FBI內部IP開展攻擊。這些案例在技術和政治層面上都難以調查。我們能清楚地猜到幕后攻擊者是誰，但是除非攻擊者犯下錯誤導致暴露，我們就沒有任何確切的技術證據。”

科倫斯認為良好的溯源引擎將讓虛假標志的行動更加困難，但也無法讓其根絕,“除非攻擊者知道用于溯源的具體模型。例如，國防部將獲得的所有信息，這樣他們才可以讓假標志能愚弄系統——例如說服總統X國對我們發動了攻擊。”

網絡戰爭

溯源結果被認可的可能后果之一就是推動本就必然發生的網絡戰爭。如果一次破壞性的網絡攻擊來源被鎖定在特定某一國家政府，被攻擊的政府就不得不公開還擊。

巴塞洛繆：“關鍵問題在于：雖然創造了新的技術來幫助溯源是可喜可賀的，我們卻一定不能過分依賴這種“證據”或簡單地以它為工具來分析情報。”

科倫斯則認為，雖然網絡戰爭是不可避免的，但是準確的溯源會使它減少。這就是溯源的威懾效應。“網絡戰爭是不可避免的……之所以不可避免，是因為攻擊便宜易行而溯源困難重重。如果能“解決”溯源問題，哪怕只是部分解決，也能使任何國家在攻擊前不得不三思（為避免被發現）。

Sqrrl的卡恩指出報復性反擊不會僅僅在于自發的網絡層面或戰爭層面。“如果一次網絡攻擊美國利益嚴重受損，美國政府將無所不用其極，來對敵人迎頭痛擊，其中可能包括外交譴責、具體動作和（秘密或公開的）網絡行為。”

邁克安德斯也指出，政府永遠不會只根據這一個情報來源就進行決策。“網絡戰爭是一種可能的選擇。但是，就像所有關于戰爭的決定，它永遠不會僅僅根據一件事或一個事件而產生。或者至少說，它不應該這么潦草。我們需要牢記：真正的情報工作在于從數據中提煉信息和對信息加以分析。”

“網絡溯源是情報歸納的一部分。溯源不僅僅是一個組件，但也不是下結論前最后一步。任何戰爭的決定都不會僅僅采取黑箱運行的結果，而需各種情報的全面分析來得到精確性。這就是為什么人類網絡分析師對決策過程如此重要。機器可以成為戰爭利器，但你仍然需要人類對他們加以控制。網絡情報分析的道理與此完全相同。”

企業需要期待溯源嗎？

現階段的共識是：準確自動的溯源已經在一定程度上可實現，但是其準確率不可能到100%。我們必須考慮到始終存在的錯誤輸入和弱分析的危險。在這種前提下，企業（而不是政府）是否應對溯源抱有期望？路易斯·科倫斯認為企業確實應該，雖然它們現在興致不高。

安德斯確鑿地說：“企業確實應當關心。但是政府需要介入并明確限定，在尊重“網絡主動防御”的前提下，被攻擊的商業單位的權限范圍。公開承認主動防御意味著很多，并不等同于“黑客”等傳統觀念中的主動進攻行為，而是一種嚴格意義上的網絡防御行動。這需要由司法部、美國聯邦調查局和國會共同推進。之后，就不會有那么對人對溯源達不到100%準確率而橫加指責了”

“雖然任重而道遠，找到問題的實質還是讓我們倍感輕松。溯源是通向決策的一種努力，這樣的努力顯然越多越好，它也不可能達到100%準確——這就是網絡的本質，有時候你必須習慣它。”