基于蜜罐的欺騙式主動防御的發(fā)展與演進

【摘   要】 本文從傳統(tǒng)蜜罐出發(fā)，介紹了蜜罐技術的發(fā)展歷程，討論了現(xiàn)有蜜罐技術的特點及其存在的問題，進而引出由蜜罐演進而來的網(wǎng)絡欺騙防御，通過對比分析其他防御技術，研究了其特點與優(yōu)勢。

【關鍵詞】 蜜罐 主動防御 網(wǎng)絡欺騙

1 引言

互聯(lián)網(wǎng)在給人類社會帶來極大便利的同時，網(wǎng)絡安全問題也逐漸成為網(wǎng)絡空間亟須解決的核心問題。隨著“震網(wǎng)”“斯諾登”“方程式”等事件的不斷曝光，網(wǎng)絡攻擊復雜化、自動化、智能化的特點逐步顯現(xiàn)，網(wǎng)絡安全問題日益嚴峻。傳統(tǒng)的網(wǎng)絡防御技術大都是通過入侵檢測、防火墻等方法來保護網(wǎng)絡及系統(tǒng)的安全，屬于被動防御手段，使得防御方在攻防過程中基本上處于劣勢地位。

蜜罐技術就是防御方為了扭轉“易攻難守”的劣勢局面而提出的一種主動防御技術，通過吸引、誘騙攻擊者對其進行非法使用，從而對攻擊行為進行記錄，以研究攻擊者的攻擊目的、攻擊方法和攻擊工具，并通過技術和管理手段有針對性地增強目標系統(tǒng)的安全防護能力。然而，傳統(tǒng)蜜罐存在位置固定、配置靜態(tài)等不足，一旦被攻擊者識破或者沒能吸引攻擊者注意力，蜜罐就可能完全失去作用。近年來，反蜜罐技術不斷發(fā)展，使得攻擊者繞過預設陷阱進而攻擊真實資源成為可能，進一步限制了傳統(tǒng)蜜罐的效能。

網(wǎng)絡欺騙是根據(jù)蜜罐的思想演進而來的一種防御機制，通過在防御方網(wǎng)絡信息系統(tǒng)中布設體系化的騙局，干擾、誤導攻擊者對被保護網(wǎng)絡信息系統(tǒng)的感知與判斷，誘使攻擊者做出對防御方有利的決策和動作，從而達到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的。

2 蜜罐技術概述

2.1 蜜罐技術的發(fā)展歷程

蜜罐的思想最早源于Cliff Stoll的《布谷鳥的蛋》一書，該書描述了一系列有關跟蹤黑客的事件，主人公利用蜜罐技術來追蹤一起商業(yè)間諜案件。在20世紀90年代后期，蜜罐作為一個欺騙攻擊者與其進行交互的工具在網(wǎng)絡安全領域興起。1998年，Cohen提出了欺騙理論框架和模型，并開發(fā)了欺騙工具包（Deception Tool Kit，DTK），通過偽裝一些廣為人知的漏洞，吸引攻擊者的注意力。

1999年，Spitzner提出蜜網(wǎng)技術。蜜網(wǎng)是由多個蜜罐系統(tǒng)加上防火墻、入侵檢測、數(shù)據(jù)分析與自動報警、攻擊行為記錄等輔助機制組成的網(wǎng)絡防御體系，可以向攻擊者提供更加充分的交互環(huán)境，使得安全人員能夠在高度可控的蜜罐網(wǎng)絡中，監(jiān)測誘捕攻擊活動，掌握攻擊者的攻擊方法、攻擊意圖和攻擊工具。在之后的研究中，又引入了分布式蜜罐和分布式蜜網(wǎng)技術，實現(xiàn)了多點部署，顯著擴大了蜜罐的覆蓋范圍。2003年，蜜場的概念被提出，通過服務重定向技術將各個子網(wǎng)中的非法訪問轉移到一個集中的蜜罐網(wǎng)絡中加以監(jiān)控，為將蜜罐技術用于防護大規(guī)模分布式業(yè)務網(wǎng)絡提供了一條可行的路徑。

蜜罐技術最初的應用場景是輔助入侵檢測技術來發(fā)現(xiàn)網(wǎng)絡中的攻擊者和惡意代碼，在21世紀初，蠕蟲大量爆發(fā)，蜜罐技術能夠有效監(jiān)測對具有主動傳播特性的網(wǎng)絡蠕蟲。如今，蜜罐已經(jīng)擴展至許多領域，在社交網(wǎng)絡、物聯(lián)網(wǎng)、無線網(wǎng)絡、工業(yè)控制網(wǎng)絡等新興領域都發(fā)揮了重要作用。

2.2 蜜罐技術分類

根據(jù)蜜罐的用途，可以將其分為產(chǎn)品型蜜罐和研究型蜜罐。產(chǎn)品型蜜罐用于保護一個組織正在使用的系統(tǒng)，包括檢測攻擊、防止攻擊并幫助安全人員對攻擊做出正確及時的響應。比較有代表性的產(chǎn)品型蜜罐有KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品和DTK、honeyd等開源工具。研究型蜜罐用于跟蹤和記錄攻擊行為，了解攻擊者所使用的攻擊工具和攻擊方法，并將這些信息轉化為新的防御策略。產(chǎn)品型蜜罐部署起來比較容易，而且投入的人員和精力相對較少，但捕獲的攻擊信息較少；研究型蜜罐所投入的人員和精力較大，以保證進出流量和各項行為能得到有效分析。

按照交互能力的強弱，蜜罐分為低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互，通常只提供實施網(wǎng)絡探測、漏洞利用等所必需的誘餌網(wǎng)絡訪問接口，模擬少量的服務。低交互蜜罐易于部署，也不需要大量的資源進行維護，但它只是對系統(tǒng)的最基本的模擬，不足以捕獲復雜的威脅。中交互蜜罐可以提供更多的交互信息，但仍然沒有提供真實的操作系統(tǒng)。中交互蜜罐可以實現(xiàn)模擬操作系統(tǒng)的各種行為，通過具體配置使其看起來與真實的操作系統(tǒng)沒有明顯區(qū)別，可以使攻擊者獲得與真實系統(tǒng)非常接近的交互體驗。高交互蜜罐可以提供一個完整的可交互系統(tǒng)，它不是模擬某些協(xié)議或服務，而是提供真實的目標系統(tǒng)，可以更加全面地觀察攻擊者的行為過程。同時，高交互蜜罐存在被攻擊者入侵控制的可能性，一旦失控，可能會對自身安全構成威脅，所以必須對高交互蜜罐進行嚴格控制和管理。

3 蜜罐技術的特點及局限性

相比于其他傳統(tǒng)網(wǎng)絡防御技術，蜜罐技術具有以下特點：一是使用簡單，蜜罐不需要改變現(xiàn)有的網(wǎng)絡部署方式，用戶只需要將蜜罐合理放置在網(wǎng)絡中并監(jiān)測蜜罐告警信息；二是占用資源少，蜜罐僅記錄和響應嘗試與自己建立連接的行為，不會被龐大的網(wǎng)絡流量淹沒，同時，它對硬件要求較低，不需要昂貴的專用硬件設備；三是數(shù)據(jù)價值高，蜜罐只收集異常訪問行為信息，收集到的數(shù)據(jù)具有較高的研究價值，通過研究分析，可以較完整地還原攻擊者的攻擊方法、意圖和工具。

蜜罐技術雖然在研究攻擊者行為方面具有重要價值，但是由于自身存在的一些局限性，使其不足以在網(wǎng)絡攻防對抗中完全掌握主動權，主要體現(xiàn)在以下方面。

（1）現(xiàn)有蜜罐技術主要針對具有大規(guī)模影響范圍的傳統(tǒng)普遍化安全威脅，而對于具有特定目標性的高級持續(xù)性威脅，誘騙和監(jiān)測能力不足。應對高級持續(xù)性威脅必須擁有高度可定制性、全面隱蔽性和動態(tài)環(huán)境適應能力，而這些特性恰恰是常規(guī)蜜罐技術所欠缺的。

（2）蜜罐環(huán)境在逼真度和可控性方面存在難以調(diào)和的矛盾。高交互蜜罐雖然具備高度的誘騙性和偽裝性，但在可控性、可維護性等方面存在不足；低交互蜜罐雖然維護成本較低、可控性好，但逼真度不夠，難以捕獲較高級別的攻擊威脅。

總體而言，蜜罐技術相對于傳統(tǒng)防御技術具有簡單、高效等優(yōu)勢，但也存在動態(tài)性低，逼真度與可控性難以兼顧的局限。在網(wǎng)絡攻擊技術突飛猛進的背景下，傳統(tǒng)蜜罐技術已難以適應網(wǎng)絡安全防護需求。

4 網(wǎng)絡欺騙

4.1 網(wǎng)絡欺騙技術概述

網(wǎng)絡欺騙是由蜜罐演進而來的一種主動防御機制。防御者通過在己方網(wǎng)絡信息系統(tǒng)中布設騙局，干擾、誤導攻擊者對己方網(wǎng)絡信息系統(tǒng)的感知與判斷，誘使攻擊者做出對防御方有利的決策和動作，從而達到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的。

網(wǎng)絡攻防過程可以通過美國空軍上校約翰·包以德（John Boyd）提出的包以德（OODA）循環(huán)理論來描述。OODA循環(huán)由觀察（Observe）、調(diào)整（Orient）、決策（Decide）以及行動（Act）四個環(huán)節(jié)組成�；�于OODA循環(huán)理論，攻防雙方中誰能更快更好地完成“觀察—調(diào)整—決策—行動”循環(huán)過程，誰就能夠掌握攻防博弈的主動權。

網(wǎng)絡欺騙通過干擾攻擊者的OODA循環(huán)過程獲取對抗過程的主動權和優(yōu)勢。利用網(wǎng)絡欺騙技術，防御者可以在對手OODA循環(huán)的“觀察”和“調(diào)整”階段主動地提供欺騙性信息，遲滯對手的進程，從而給防御者爭取更多的時間進行決策和開展行動。

如今，網(wǎng)絡欺騙已經(jīng)遠遠超越了蜜罐的概念，正朝著網(wǎng)絡安全主動防御體系方向發(fā)展，開始與博弈論、人工智能等理論深度融合，同時網(wǎng)絡虛擬化、軟件定義網(wǎng)絡、云計算等技術逐步應用于網(wǎng)絡欺騙環(huán)境構建。對比傳統(tǒng)防御技術、傳統(tǒng)蜜罐技術和移動目標防御等主流防御技術，網(wǎng)絡欺騙具有以下特點與優(yōu)勢。

4.2 網(wǎng)絡欺騙與傳統(tǒng)防御技術

網(wǎng)絡欺騙與傳統(tǒng)防御技術的一個根本區(qū)別是，傳統(tǒng)防御技術專注于攻擊者的行為，目的是對它們進行檢測和預防；而網(wǎng)絡欺騙著眼于攻擊者的認知，目的是干擾他們的認知并誘導攻擊者采取有利于目標系統(tǒng)的決策。

網(wǎng)絡欺騙與傳統(tǒng)防御技術的另一個區(qū)別是傳統(tǒng)防御側重于信息隱藏，而網(wǎng)絡欺騙防御會采取隱藏真實信息和披露虛假信息相結合的方式來誤導攻擊者，使其在觀察階段產(chǎn)生認知偏差，從而保護關鍵目標。

4.3 網(wǎng)絡欺騙與傳統(tǒng)蜜罐技術

網(wǎng)絡欺騙不同于傳統(tǒng)的蜜罐技術。蜜罐技術的主要目的是吸引攻擊者進入偽裝的網(wǎng)絡環(huán)境，并收集攻擊者的活動信息。網(wǎng)絡欺騙的主要目的是綜合使用多種欺騙手段混淆網(wǎng)絡，使攻擊者對真實的網(wǎng)絡結構產(chǎn)生錯覺。眾所周知，網(wǎng)絡探測是網(wǎng)絡入侵行動的第一個環(huán)節(jié)，通過網(wǎng)絡探測獲取目標網(wǎng)絡系統(tǒng)的結構配置等信息，為后續(xù)攻擊動作提供依據(jù)。通過部署網(wǎng)絡欺騙環(huán)境迷惑攻擊者，使其不確定或不能準確地了解真實的網(wǎng)絡結構，從而創(chuàng)造有利于防御者的非對稱優(yōu)勢。

4.4 網(wǎng)絡欺騙與移動目標防御

移動目標防御（Moving Target Defense，MTD）是為了扭轉攻防對抗的不對稱格局而提出的主動防御技術，通過不斷改變網(wǎng)絡系統(tǒng)的屬性來動態(tài)地轉換攻擊面，從而提高攻擊者的攻擊成本和攻擊代價。在移動目標防御體系下，網(wǎng)絡空間不再一成不變，而是瞬息萬變，在動態(tài)變化中取得防御優(yōu)勢。

網(wǎng)絡欺騙與移動目標防御技術的目標一致，都希望通過增加目標網(wǎng)絡系統(tǒng)的不確定性來迷惑攻擊者，但網(wǎng)絡欺騙比移動目標防御更具攻擊性，因為它會故意向攻擊者提供虛假信息以使其形成錯誤的認知。

網(wǎng)絡欺騙的部署成本與代價通常會低于移動目標防御。網(wǎng)絡欺騙環(huán)境部署完成后，攻擊者一旦進入，其活動大概率會被遲滯，而移動目標防御則需要頻繁地觸發(fā)動態(tài)與隨機機制，改變系統(tǒng)的攻擊面。

實際上，網(wǎng)絡欺騙和移動目標防御機制可以很好地融合，彌補彼此的不足，構建出更加安全高效的網(wǎng)絡安全防御體系。例如，在網(wǎng)絡系統(tǒng)中加入蜜罐、蜜標等欺騙元素，精心構建出欺騙場景，可以顯著擴大移動目標防御系統(tǒng)攻擊面的轉換空間，提升安全防御能力。

5 結語

作為改變網(wǎng)絡安全防御被動局面的一種主動防御技術，蜜罐技術已經(jīng)成為監(jiān)測、分析網(wǎng)絡威脅的主要技術手段，演進為體系化的網(wǎng)絡主動防御架構網(wǎng)絡欺騙。本文總結了蜜罐技術的發(fā)展歷程和分類，針對蜜罐技術的特點和存在問題進行分析，并通過對比分析研究了網(wǎng)絡欺騙的原理、特點與優(yōu)勢。網(wǎng)絡欺騙并不與其他防御技術相排斥，通過與移動目標防御等防御技術結合，完全有可能創(chuàng)造出更加安全高效的主動防御體系，在網(wǎng)絡安全防御中發(fā)揮更大作用。 

 

（原載于《保密科學技術》2021年2月刊）