【摘 要】 本文從傳統(tǒng)蜜罐出發(fā),介紹了蜜罐技術(shù)的發(fā)展歷程,討論了現(xiàn)有蜜罐技術(shù)的特點及其存在的問題,進而引出由蜜罐演進而來的網(wǎng)絡(luò)欺騙防御,通過對比分析其他防御技術(shù),研究了其特點與優(yōu)勢。
【關(guān)鍵詞】 蜜罐 主動防御 網(wǎng)絡(luò)欺騙
1 引言
互聯(lián)網(wǎng)在給人類社會帶來極大便利的同時,網(wǎng)絡(luò)安全問題也逐漸成為網(wǎng)絡(luò)空間亟須解決的核心問題。隨著“震網(wǎng)”“斯諾登”“方程式”等事件的不斷曝光,網(wǎng)絡(luò)攻擊復(fù)雜化、自動化、智能化的特點逐步顯現(xiàn),網(wǎng)絡(luò)安全問題日益嚴(yán)峻。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)大都是通過入侵檢測、防火墻等方法來保護網(wǎng)絡(luò)及系統(tǒng)的安全,屬于被動防御手段,使得防御方在攻防過程中基本上處于劣勢地位。
蜜罐技術(shù)就是防御方為了扭轉(zhuǎn)“易攻難守”的劣勢局面而提出的一種主動防御技術(shù),通過吸引、誘騙攻擊者對其進行非法使用,從而對攻擊行為進行記錄,以研究攻擊者的攻擊目的、攻擊方法和攻擊工具,并通過技術(shù)和管理手段有針對性地增強目標(biāo)系統(tǒng)的安全防護能力。然而,傳統(tǒng)蜜罐存在位置固定、配置靜態(tài)等不足,一旦被攻擊者識破或者沒能吸引攻擊者注意力,蜜罐就可能完全失去作用。近年來,反蜜罐技術(shù)不斷發(fā)展,使得攻擊者繞過預(yù)設(shè)陷阱進而攻擊真實資源成為可能,進一步限制了傳統(tǒng)蜜罐的效能。
網(wǎng)絡(luò)欺騙是根據(jù)蜜罐的思想演進而來的一種防御機制,通過在防御方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)體系化的騙局,干擾、誤導(dǎo)攻擊者對被保護網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷,誘使攻擊者做出對防御方有利的決策和動作,從而達(dá)到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的。
2 蜜罐技術(shù)概述
2.1 蜜罐技術(shù)的發(fā)展歷程
蜜罐的思想最早源于Cliff Stoll的《布谷鳥的蛋》一書,該書描述了一系列有關(guān)跟蹤黑客的事件,主人公利用蜜罐技術(shù)來追蹤一起商業(yè)間諜案件。在20世紀(jì)90年代后期,蜜罐作為一個欺騙攻擊者與其進行交互的工具在網(wǎng)絡(luò)安全領(lǐng)域興起。1998年,Cohen提出了欺騙理論框架和模型,并開發(fā)了欺騙工具包(Deception Tool Kit,DTK),通過偽裝一些廣為人知的漏洞,吸引攻擊者的注意力。
1999年,Spitzner提出蜜網(wǎng)技術(shù)。蜜網(wǎng)是由多個蜜罐系統(tǒng)加上防火墻、入侵檢測、數(shù)據(jù)分析與自動報警、攻擊行為記錄等輔助機制組成的網(wǎng)絡(luò)防御體系,可以向攻擊者提供更加充分的交互環(huán)境,使得安全人員能夠在高度可控的蜜罐網(wǎng)絡(luò)中,監(jiān)測誘捕攻擊活動,掌握攻擊者的攻擊方法、攻擊意圖和攻擊工具。在之后的研究中,又引入了分布式蜜罐和分布式蜜網(wǎng)技術(shù),實現(xiàn)了多點部署,顯著擴大了蜜罐的覆蓋范圍。2003年,蜜場的概念被提出,通過服務(wù)重定向技術(shù)將各個子網(wǎng)中的非法訪問轉(zhuǎn)移到一個集中的蜜罐網(wǎng)絡(luò)中加以監(jiān)控,為將蜜罐技術(shù)用于防護大規(guī)模分布式業(yè)務(wù)網(wǎng)絡(luò)提供了一條可行的路徑。
蜜罐技術(shù)最初的應(yīng)用場景是輔助入侵檢測技術(shù)來發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊者和惡意代碼,在21世紀(jì)初,蠕蟲大量爆發(fā),蜜罐技術(shù)能夠有效監(jiān)測對具有主動傳播特性的網(wǎng)絡(luò)蠕蟲。如今,蜜罐已經(jīng)擴展至許多領(lǐng)域,在社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)、無線網(wǎng)絡(luò)、工業(yè)控制網(wǎng)絡(luò)等新興領(lǐng)域都發(fā)揮了重要作用。
2.2 蜜罐技術(shù)分類
根據(jù)蜜罐的用途,可以將其分為產(chǎn)品型蜜罐和研究型蜜罐。產(chǎn)品型蜜罐用于保護一個組織正在使用的系統(tǒng),包括檢測攻擊、防止攻擊并幫助安全人員對攻擊做出正確及時的響應(yīng)。比較有代表性的產(chǎn)品型蜜罐有KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品和DTK、honeyd等開源工具。研究型蜜罐用于跟蹤和記錄攻擊行為,了解攻擊者所使用的攻擊工具和攻擊方法,并將這些信息轉(zhuǎn)化為新的防御策略。產(chǎn)品型蜜罐部署起來比較容易,而且投入的人員和精力相對較少,但捕獲的攻擊信息較少;研究型蜜罐所投入的人員和精力較大,以保證進出流量和各項行為能得到有效分析。
按照交互能力的強弱,蜜罐分為低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互,通常只提供實施網(wǎng)絡(luò)探測、漏洞利用等所必需的誘餌網(wǎng)絡(luò)訪問接口,模擬少量的服務(wù)。低交互蜜罐易于部署,也不需要大量的資源進行維護,但它只是對系統(tǒng)的最基本的模擬,不足以捕獲復(fù)雜的威脅。中交互蜜罐可以提供更多的交互信息,但仍然沒有提供真實的操作系統(tǒng)。中交互蜜罐可以實現(xiàn)模擬操作系統(tǒng)的各種行為,通過具體配置使其看起來與真實的操作系統(tǒng)沒有明顯區(qū)別,可以使攻擊者獲得與真實系統(tǒng)非常接近的交互體驗。高交互蜜罐可以提供一個完整的可交互系統(tǒng),它不是模擬某些協(xié)議或服務(wù),而是提供真實的目標(biāo)系統(tǒng),可以更加全面地觀察攻擊者的行為過程。同時,高交互蜜罐存在被攻擊者入侵控制的可能性,一旦失控,可能會對自身安全構(gòu)成威脅,所以必須對高交互蜜罐進行嚴(yán)格控制和管理。
3 蜜罐技術(shù)的特點及局限性
相比于其他傳統(tǒng)網(wǎng)絡(luò)防御技術(shù),蜜罐技術(shù)具有以下特點:一是使用簡單,蜜罐不需要改變現(xiàn)有的網(wǎng)絡(luò)部署方式,用戶只需要將蜜罐合理放置在網(wǎng)絡(luò)中并監(jiān)測蜜罐告警信息;二是占用資源少,蜜罐僅記錄和響應(yīng)嘗試與自己建立連接的行為,不會被龐大的網(wǎng)絡(luò)流量淹沒,同時,它對硬件要求較低,不需要昂貴的專用硬件設(shè)備;三是數(shù)據(jù)價值高,蜜罐只收集異常訪問行為信息,收集到的數(shù)據(jù)具有較高的研究價值,通過研究分析,可以較完整地還原攻擊者的攻擊方法、意圖和工具。
蜜罐技術(shù)雖然在研究攻擊者行為方面具有重要價值,但是由于自身存在的一些局限性,使其不足以在網(wǎng)絡(luò)攻防對抗中完全掌握主動權(quán),主要體現(xiàn)在以下方面。
(1)現(xiàn)有蜜罐技術(shù)主要針對具有大規(guī)模影響范圍的傳統(tǒng)普遍化安全威脅,而對于具有特定目標(biāo)性的高級持續(xù)性威脅,誘騙和監(jiān)測能力不足。應(yīng)對高級持續(xù)性威脅必須擁有高度可定制性、全面隱蔽性和動態(tài)環(huán)境適應(yīng)能力,而這些特性恰恰是常規(guī)蜜罐技術(shù)所欠缺的。
(2)蜜罐環(huán)境在逼真度和可控性方面存在難以調(diào)和的矛盾。高交互蜜罐雖然具備高度的誘騙性和偽裝性,但在可控性、可維護性等方面存在不足;低交互蜜罐雖然維護成本較低、可控性好,但逼真度不夠,難以捕獲較高級別的攻擊威脅。
總體而言,蜜罐技術(shù)相對于傳統(tǒng)防御技術(shù)具有簡單、高效等優(yōu)勢,但也存在動態(tài)性低,逼真度與可控性難以兼顧的局限。在網(wǎng)絡(luò)攻擊技術(shù)突飛猛進的背景下,傳統(tǒng)蜜罐技術(shù)已難以適應(yīng)網(wǎng)絡(luò)安全防護需求。
4 網(wǎng)絡(luò)欺騙
4.1 網(wǎng)絡(luò)欺騙技術(shù)概述
網(wǎng)絡(luò)欺騙是由蜜罐演進而來的一種主動防御機制。防御者通過在己方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)騙局,干擾、誤導(dǎo)攻擊者對己方網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷,誘使攻擊者做出對防御方有利的決策和動作,從而達(dá)到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的。
網(wǎng)絡(luò)攻防過程可以通過美國空軍上校約翰·包以德(John Boyd)提出的包以德(OODA)循環(huán)理論來描述。OODA循環(huán)由觀察(Observe)、調(diào)整(Orient)、決策(Decide)以及行動(Act)四個環(huán)節(jié)組成;贠ODA循環(huán)理論,攻防雙方中誰能更快更好地完成“觀察—調(diào)整—決策—行動”循環(huán)過程,誰就能夠掌握攻防博弈的主動權(quán)。
網(wǎng)絡(luò)欺騙通過干擾攻擊者的OODA循環(huán)過程獲取對抗過程的主動權(quán)和優(yōu)勢。利用網(wǎng)絡(luò)欺騙技術(shù),防御者可以在對手OODA循環(huán)的“觀察”和“調(diào)整”階段主動地提供欺騙性信息,遲滯對手的進程,從而給防御者爭取更多的時間進行決策和開展行動。
如今,網(wǎng)絡(luò)欺騙已經(jīng)遠(yuǎn)遠(yuǎn)超越了蜜罐的概念,正朝著網(wǎng)絡(luò)安全主動防御體系方向發(fā)展,開始與博弈論、人工智能等理論深度融合,同時網(wǎng)絡(luò)虛擬化、軟件定義網(wǎng)絡(luò)、云計算等技術(shù)逐步應(yīng)用于網(wǎng)絡(luò)欺騙環(huán)境構(gòu)建。對比傳統(tǒng)防御技術(shù)、傳統(tǒng)蜜罐技術(shù)和移動目標(biāo)防御等主流防御技術(shù),網(wǎng)絡(luò)欺騙具有以下特點與優(yōu)勢。
4.2 網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)
網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)的一個根本區(qū)別是,傳統(tǒng)防御技術(shù)專注于攻擊者的行為,目的是對它們進行檢測和預(yù)防;而網(wǎng)絡(luò)欺騙著眼于攻擊者的認(rèn)知,目的是干擾他們的認(rèn)知并誘導(dǎo)攻擊者采取有利于目標(biāo)系統(tǒng)的決策。
網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)的另一個區(qū)別是傳統(tǒng)防御側(cè)重于信息隱藏,而網(wǎng)絡(luò)欺騙防御會采取隱藏真實信息和披露虛假信息相結(jié)合的方式來誤導(dǎo)攻擊者,使其在觀察階段產(chǎn)生認(rèn)知偏差,從而保護關(guān)鍵目標(biāo)。
4.3 網(wǎng)絡(luò)欺騙與傳統(tǒng)蜜罐技術(shù)
網(wǎng)絡(luò)欺騙不同于傳統(tǒng)的蜜罐技術(shù)。蜜罐技術(shù)的主要目的是吸引攻擊者進入偽裝的網(wǎng)絡(luò)環(huán)境,并收集攻擊者的活動信息。網(wǎng)絡(luò)欺騙的主要目的是綜合使用多種欺騙手段混淆網(wǎng)絡(luò),使攻擊者對真實的網(wǎng)絡(luò)結(jié)構(gòu)產(chǎn)生錯覺。眾所周知,網(wǎng)絡(luò)探測是網(wǎng)絡(luò)入侵行動的第一個環(huán)節(jié),通過網(wǎng)絡(luò)探測獲取目標(biāo)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)配置等信息,為后續(xù)攻擊動作提供依據(jù)。通過部署網(wǎng)絡(luò)欺騙環(huán)境迷惑攻擊者,使其不確定或不能準(zhǔn)確地了解真實的網(wǎng)絡(luò)結(jié)構(gòu),從而創(chuàng)造有利于防御者的非對稱優(yōu)勢。
4.4 網(wǎng)絡(luò)欺騙與移動目標(biāo)防御
移動目標(biāo)防御(Moving Target Defense,MTD)是為了扭轉(zhuǎn)攻防對抗的不對稱格局而提出的主動防御技術(shù),通過不斷改變網(wǎng)絡(luò)系統(tǒng)的屬性來動態(tài)地轉(zhuǎn)換攻擊面,從而提高攻擊者的攻擊成本和攻擊代價。在移動目標(biāo)防御體系下,網(wǎng)絡(luò)空間不再一成不變,而是瞬息萬變,在動態(tài)變化中取得防御優(yōu)勢。
網(wǎng)絡(luò)欺騙與移動目標(biāo)防御技術(shù)的目標(biāo)一致,都希望通過增加目標(biāo)網(wǎng)絡(luò)系統(tǒng)的不確定性來迷惑攻擊者,但網(wǎng)絡(luò)欺騙比移動目標(biāo)防御更具攻擊性,因為它會故意向攻擊者提供虛假信息以使其形成錯誤的認(rèn)知。
網(wǎng)絡(luò)欺騙的部署成本與代價通常會低于移動目標(biāo)防御。網(wǎng)絡(luò)欺騙環(huán)境部署完成后,攻擊者一旦進入,其活動大概率會被遲滯,而移動目標(biāo)防御則需要頻繁地觸發(fā)動態(tài)與隨機機制,改變系統(tǒng)的攻擊面。
實際上,網(wǎng)絡(luò)欺騙和移動目標(biāo)防御機制可以很好地融合,彌補彼此的不足,構(gòu)建出更加安全高效的網(wǎng)絡(luò)安全防御體系。例如,在網(wǎng)絡(luò)系統(tǒng)中加入蜜罐、蜜標(biāo)等欺騙元素,精心構(gòu)建出欺騙場景,可以顯著擴大移動目標(biāo)防御系統(tǒng)攻擊面的轉(zhuǎn)換空間,提升安全防御能力。
5 結(jié)語
作為改變網(wǎng)絡(luò)安全防御被動局面的一種主動防御技術(shù),蜜罐技術(shù)已經(jīng)成為監(jiān)測、分析網(wǎng)絡(luò)威脅的主要技術(shù)手段,演進為體系化的網(wǎng)絡(luò)主動防御架構(gòu)網(wǎng)絡(luò)欺騙。本文總結(jié)了蜜罐技術(shù)的發(fā)展歷程和分類,針對蜜罐技術(shù)的特點和存在問題進行分析,并通過對比分析研究了網(wǎng)絡(luò)欺騙的原理、特點與優(yōu)勢。網(wǎng)絡(luò)欺騙并不與其他防御技術(shù)相排斥,通過與移動目標(biāo)防御等防御技術(shù)結(jié)合,完全有可能創(chuàng)造出更加安全高效的主動防御體系,在網(wǎng)絡(luò)安全防御中發(fā)揮更大作用。
(原載于《保密科學(xué)技術(shù)》2021年2月刊)