日本态势感知之NICTER项目

日本NICT（情报通信研究机构）在NICTER项目中建立了大规模的网络攻击观测网（暗网观测网），并从2005年开始观察网络攻击相关通信。此外，NICT于2021年4月1日成立新组织CYNEX（Cyber security Nexus) ，已将网络安全相关信息传输功能集成到其子项目之一Co-Nexus S 中。2022年2月，NICT（日本情报通信研究机构）发布了“NICTER观察报告2021”。

日本NICT（英语:National Institute of Information and Communications Technology），是隶属于日本总务省的国立研究开发法人,总部位于日本东京都小金井市，理事长为德田英幸；下设电磁波研究所、网络研究所、网络安全研究所、未来ICT研究所、量子ICT协创中心等。

图：日本NICT的logo 

日本认为需要一种机制来掌握大规模的恶意软件感染，因此，NICTER项目于2005年开始启动，持续观测暗网。NICTER（Network Incident analysis Center for Tactical Emergency Response），由NICT研究开发，是对在计算机网络上发生的各种信息安全方面的威胁、进行广泛且迅速地掌握、并导出有效应对措施的复合性系统。其功能为对通过观测网络攻击和收集恶意软件等获得的信息进行相关分析并查明原因。

NICTER大规模观测了被称为暗网的未使用IP地址。暗网是在因特网上可访问且未使用的IP地址空间。在正常的互联网使用范围内，很少见到向未使用的IP地址发送通信（数据包），但在实际观察暗网时，却能发现相当数量的数据包，其中大部分是网络攻击引起的数据包。NICTER的中心任务是通过分析在暗网观测到的通信来把握网络攻击的动向，发现新的威胁，研究相应对策。

通过观察到达暗网的数据包，NICTER捕捉各种网络攻击和网络事件，如攻击设备漏洞、服务器配置错误等。除暗网观测外，NICTER还从事DRDoS（Distributed Reflection Denial—of-Service Attack，是指利用因特网上的DNS、NTP等服务器向攻击对象发送大量的数据包，压迫攻击对象的网络带宽的DDoS攻击的一种）观测系统的研发、接收通信载荷的蜜罐的开发运营等活动。观察暗网捕获的一些威胁和事件可能对相关组织产生影响，甚至会对更广泛的互联网用户产生重大影响。当NICTER发现此类事件时，会把信息提供给安全相关组织或进行公布。

CYNEX在2月发布的报告内容包括：介绍了NICTER项目中2021年网络攻击相关通信的观测和分析结果；观测到针对IoT设备的攻击趋势仍在继续；即使在固件更新后仍继续感染恶意软件；在DRDoS攻击的观测中发现，地毯轰炸式攻击的数量翻了一番。

虽然NICTER项目在2021年观测到的网络攻击相关通信，比2020年减少了1成，但是依然有着如下倾向：针对IoT设备的特征端口号的通信、由海外组织进行大规模的调查扫描占半数以上。此外，还发现了日本国内的部分宽带路由器在应用最新版固件后也感染了恶意软件的现象。在对DRDoS攻击的观测中，地毯式轰炸对同一网络内的多个IP地址进行攻击，造成攻击件数倍增。

NICT称，将进一步利用NICTER的观察和分析结果，推动安全措施的研究和开发，以提高日本的网络安全。

图片来自日本NICT。

图：NICTER Atlas在暗网观测到的通信的可视化（注：Atlas是一个可视化引擎，它根据 IP 地址、端口号等，对到达暗网的数据包在世界地图上以动画的形式加以显示。）

图片来自日本NICT。

 CYNEX系统图。图片来自日本NICT。

CYNEX（Cyber security Nexus），是NICT于2021年4月1日成立的组织，旨在成为网络安全领域的产业界、学术界、官方的“节点”。此次CYNEX启动网络安全演习平台CYROP的公测，以期消除安全人才培养的障碍，促进日本国内私营企业和教育机构的人才培养。CYNEX由四个子项目Co-Nexus A/S/E/C组成。此次CYROP的公开试用是NICT在Co-Nexus C中启动的。

演习平台CYROP包括演习教材和演习环境在内。NICT将以前主要面向国家机构和地方公共团体开展的网络安全演习的教材和环境，向希望实施安全人才培养的私营企业和大学等教育机构开放；此外还将逐步开发产业界、学术界、政府所需的各种演习教材。这项公开试用将实施至2022年度末。通过此次试用，NICT将听取各演习单位的反馈意见，扩充演习材料，改善演习环境，并于2023年度开始CYROP的正式运营。

重点：为了吸引目标型攻击等的攻击者，高速自动构建模拟环境“并行网络”；在精巧模仿企业的“并行网络”内，可以隐形地长期分析攻击者的行为；其结果与安全相关组织共享。

背景：以目标型攻击为代表的针对政府和企业等进行的网络攻击，在初期侵入时，会使用邮件等附带的恶意软件（非法程序）。侵入后，感染的恶意软件被用作后门，攻击者手动在网络内部进行攻击活动。因此，如果仅分析目标型攻击所使用的恶意软件，就只能得到对组织初期侵入的表层信息。而且遭受目标型攻击的组织很少公开可能包括自己信息的攻击相关数据，因此实际数据集不足，使得目标型攻击对策技术的研究开发更加困难。为了进行目标型攻击对策的实践性研究开发，需要一种研究平台，可自行收集包含恶意软件感染后的攻击者行为在内的目标型攻击的实际数据集。

STARDUST。图片来自NICT。

STARDUST可以灵活且高速地（几个小时左右）构建精巧模拟政府和企业等网络的“并行网络”。在并行网络上，各种服务器（Web服务器、邮件服务器、文件服务器、DNS服务器、认证服务器、代理服务器等）及数十台～数百台PC实际运行；在服务器或PC上还会配置模拟信息资产的模拟信息，就像实际存在的组织一样。

在并行网络上的PC“模拟节点”中执行目标型攻击所使用的恶意软件样本后，攻击者会通过恶意软件设置的后门尝试从外部连接。攻击者侵入并行网络后，还会尝试进行调查、感染扩大、信息窃取等。STARDUST可以用攻击者无法察觉的方法观察这些行为，实现实时行为观测和分析。

英文为Web-based Attack Response with Practical and Deployable Research InitiatiVE，是NICT与KDDI公司等合作，面向网络媒介型攻击应对技术实用化的研究开发。

网络攻击持续多样化、巧妙化，仅浏览网站就感染恶意软件的网络媒介型攻击造成的损害也层出不穷。因为网络媒介型攻击只对浏览特定网站的用户进行攻击，被动的网络攻击观测网很难把握其实际情况，所以，NICT、KDDI综合研究所、横滨国立大学、神户大学、构造计划研究所、金泽大学等致力于“面向网络媒介型攻击对策技术实用化的研究开发”（简称WarpDrive），从2018年6月开始进行用户参与型的实践实验。功能包括在用户的Web浏览器中进行网络媒介型攻击的观测、分析；检测到攻击时阻止对恶意网站的浏览；对用户进行警告和建议；反复进行信息汇集、横向分析等。

 网络攻击相关通信：到达暗网的数据包的总称。包含了感染了恶意软件的机器在互联网上寻找下一个感染目标的扫描数据包等。

（来源：日本NICT官网等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）

原文始发于微信公众号（祺印说信安）：日本态势感知之NICTER项目