随着网络逐渐成为意识形态较量的主战场，攻防双方的技术手段在不断博弈中日渐精进，现有的反溯源手段无法避免防守方多维多技术的溯源手段，更易被防守方溯源反制。该文提出了一种基于Serverless的反溯源技术应用思路，利用Serverless的事件驱动和自动伸缩特性，使得用户在请求目标时，自动调用不同可用区域的IP地址，以此达到隐藏自身真实IP的目的。同时，由于Serverless实现应用开发与服务器分离，攻击者可直接进行攻击代码编写，也更加利于隐藏身份。通过利用Serverless中的云函数和CobaltStrike软件进行试验验证其可行性，发现其能很好地隐藏攻击源，防守方无法溯源到真实的攻击源。同时从防守方角度，详细分析流量特征，基于特征值和访问统计特征两个维度，构建攻击检测模型。通过模拟实际攻击行为和正常业务行为，验证了检测模型能够很好地发现攻击行为，并能区分攻击行为和正常业务行为，在一定程度上可以减少误报，降低对正常业务的影响，提高安全事件的处置效率，为防守方的入侵检测提供了检测思路。

• 单位
  北京航天万源科技有限公司