它在某种程度上可能很有趣，但仅限于唾手可得的成果。此外，您的多样性受到您在许多不同地方传播的能力的限制。如果您所有的探测器（蜜罐）都超过 10 个或更糟，只有 3 或 4 个不同的云，您将无法看到所有内容，并且可以“躲避”，这意味着犯罪分子可以自愿跳过您的 IP 范围以避免被发现。您还需要为每个平台组织您的部署系统，但您只会看到 IP 没有避开 GCP、AWS 或您正在使用的任何云。而且由于这些提供者不是非政府组织，您的网络规模也受到……金钱的限制。如果在 XYZ 云上运行的全自动 HP 每月花费您 20 美元，那么您的财力肯定足以运行数千个。

建立反攻

要遏制大规模网络犯罪的发展轨迹，我们需要在本质上是有限的资源上行动，否则，你无法组织一个适当的“短缺”。著名的 Conti-Leaks 以有趣的方式揭示了大型网络犯罪集团的实际痛点。显然（加密货币）洗钱、招聘、工资单，这些都是你所期望的经典行为。但有趣的是，当你在他们的内部聊天系统上阅读交易所时，你可以看到 IP、更改它们、借用、租用、清理它们、安装工具、迁移 ops 和 C2 等……成本很高。时间和金钱方面。

哈希的变化几乎是无限的，SHA1 提供了 2^160 种可能性的空间。所以收集它们是一回事，但您几乎可以肯定任何新的恶意软件变体都会有不同的签名。正如我们所说，任何体面的网络犯罪集团的大多数 CI/CD 程序都已经包括在将有效负载发送到目标之前修改一个字节。

瞄准域名，也是在对抗一个无限大的空间。您可以预订 domain1、domain2、domain3 等。从技术上讲，变化的数量没有限制。那里有智能系统，可以保护您的品牌并检查最近是否有与您相似的域名被预订。这些预防犯罪的系统对于应对即将到来的网络钓鱼企图非常有帮助。你开始积极主动地使用这种立场和工具。

无论如何，根据恶意二进制文件的哈希值或他们尝试联系的 C2 来跟踪和索引恶意二进制文件是有用的，甚至索引 IP 试图自动利用已知的 CVE，但这样做是一种相当被动的姿态。您不会通过了解敌人的位置或战术进行反击，而是通过削弱其进攻能力来进行反击，而这正是 IP 地址非常有趣的地方。该系统已有数十年历史，并且在我们之后仍将存在。

它是现在有一种资源实际上是稀缺的：IPV4。历史 IP 空间仅限于其中的 40 亿左右。将战斗带到这片土地上是有效的，因为如果资源稀缺，你实际上可以主动出击，并在你意识到一个被敌人使用时尽快销毁 IP 地址。现在，这个景观是一个不断发展的景观。VPN 提供商、Tor 和住宅代理应用程序为网络犯罪分子提供了一种借用 IP 地址的方式，更不用说他们可以利用暗网上已经受损的服务器中的一些 IP 地址了。

因此，如果某个 IP 地址在某个时刻被使用，则可能在下一个小时不再使用，如果您阻止它，就会产生误报。解决方案是创建一个众包工具来保护所有规模的企业，跨越所有类型的地点、地域、云、家庭、私人军团 DMZ 等，并基于所有类型的协议。如果网络足够大，这种 IP 轮换不是问题，因为如果网络停止报告某个 IP，您可以释放它，而报告数量增加的新 IP 则需要集成到黑名单中。网络越大，它变得越真实。

您几乎可以监视任何协议，但基于 UDP 的协议除外，必须排除这些协议，因为它很容易通过 UDP 欺骗数据包。因此，通过考虑有关禁止 IP 的基于 UDP 协议的报告，您很容易上当受骗。除此之外，每个协议都适合监控。同样，您绝对可以寻找 CVE，但更好的是寻找行为。通过这样做，您可以捕获可能不仅基于 CVE 的面向业务的攻击。一个简单的例子，除了经典的 L7 DDoS、扫描、凭证暴力破解或填充之外，还有剥头皮。剥头皮是在网站上使用机器人自动购买产品并在 eBay 上转售以获得收益的行为。这是一个业务层问题，而不是真正与安全相关的问题。开源系统 CrowdSec 正是为实现这一策略而设计的。

最后，在过去的二十年里，我们被告知，“IPV6 即将到来，做好准备”。好吧……假设我们有时间准备。但它现在真的就在这里，5G 的部署只会以指数方式加速它的使用。IPV6 以 2^128 大小的新 IP 可寻址池改变了现状。这在很多方面仍然受到限制，不仅是因为所有 V6 IP 范围尚未完全使用，而且还因为每个人都同时获得许多 IPV6 地址，而不仅仅是一个。尽管如此，我们现在谈论的还是很多。

让我们结合人工智能和众包

当数据开始从大型众包网络大量流动并且您试图缩减的资源越来越大时，AI 听起来像是一条值得探索的合乎逻辑的小巷。

网络效应本身就是一个好的开始。这里的一个例子可能是凭据填充。如果一个 IP 在您的位置使用多个登录/密码对，您会称其为凭据暴力破解。现在在网络规模上，如果你有相同的 IP 在不同的地方使用不同的登录/密码敲门，那就是凭据填充，有人试图在许多地方重用被盗的凭据以查看它们是否有效。事实上，您看到相同的动作，从许多不同的角度利用相同的凭据，可以让您额外了解行为本身的目的。

现在，老实说，您不需要 AI 来从凭据重用或凭据填充中分离出凭据暴力破解，但它在某些地方可以表现出色，特别是在与大型网络合作获取大量数据时。

另一个例子可能是使用 1024 台主机进行的大规模互联网扫描。每台主机只能扫描一个端口，这很可能不会引起注意。除非您在许多不同的地方看到相同的 IP 在相似的时间范围内扫描相同的端口。同样，在个体尺度上几乎看不到，在大尺度上很明显。

另一方面，AI 算法擅长识别如果你一次只看一个地方就看不到但在大型网络规模下显而易见的模式。

使用图形和嵌入将数据表示为适当的结构可以揭示 IP 地址、范围甚至 AS（自治系统）之间复杂程度的交互。这导致识别出为实现同一目标而齐心协力工作的机器队列。如果多个 IP 地址按扫描、利用、安装后门等多个步骤对攻击进行排序，然后使用目标服务器加入 DDoS 攻击，这些模式可能会在日志中重复出现。因此，如果群组的第一个 IP 在给定的时间戳和第二个 10 分钟后可见，依此类推，并且这种模式在许多地方重复使用相同的 IP，您可以安全地告诉所有人一次禁止这 4 个 IP 地址。

人工智能和众包信号之间的协同作用使我们能够有效地解决彼此的局限性。虽然众包信号提供了大量有关网络威胁的实时数据，但它们可能缺乏准确性和上下文，最终导致误报。另一方面，人工智能算法通常只有在吸收了大量数据后才变得有意义。作为回报，这些模型可以帮助改进和分析这些信号，消除噪音并揭示隐藏的模式。