國家保密局網(wǎng)站>>保密科技

面向Web安全防護(hù)的蜜罐技術(shù)研究

2022年02月09日    來源:國家保密科技測評中心【字體: 打印

【摘 要】 傳統(tǒng)Web安全防護(hù)技術(shù)存在誤報(bào)、漏報(bào)以及防御被動(dòng)等問題,蜜罐技術(shù)的引入可有效改善此狀況。本文針對面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)行研究,分析當(dāng)前主流的Web蜜罐技術(shù),提出蜜罐技術(shù)在Web安全防護(hù)中的應(yīng)用模型,并進(jìn)行了研究展望。

1 引言

隨著Web2.0的發(fā)展,越來越多的公司、政府、學(xué)校等組織機(jī)構(gòu)開始利用Web技術(shù)向外提供服務(wù)。根據(jù)Internet Live Stats統(tǒng)計(jì),截至2021年年初,全世界Web站點(diǎn)數(shù)量已超18億。Web技術(shù)優(yōu)秀的標(biāo)準(zhǔn)化工作以及活躍的社區(qū)使普通開發(fā)者開發(fā)Web應(yīng)用的難度降低,促使了Web技術(shù)的發(fā)展,但同時(shí)也導(dǎo)致了很多Web安全問題。據(jù)國家信息安全漏洞庫CNVVD2013年至2020年收錄的漏洞類別統(tǒng)計(jì)顯示,其中涉及Web應(yīng)用的漏洞約有17萬個(gè),占比19%。Web服務(wù)向外暴露的巨大攻擊面,使得攻擊Web應(yīng)用經(jīng)常成為網(wǎng)絡(luò)攻擊的入口點(diǎn)。

傳統(tǒng)的Web安全防護(hù)技術(shù)不足以應(yīng)對層出不窮、變化多端的Web攻擊。Web應(yīng)用防火墻(Web Application Firewall,WAF)、入侵檢測系統(tǒng)(Intrusion Detection Systems,IDS)等防御手段往往采用基于規(guī)則和基于異常的機(jī)制來檢測和阻斷Web攻擊,這種防御方式存在很明顯的缺點(diǎn)。如基于規(guī)則的防御手段采用特征碼的方式匹配已知的攻擊,這無法防御新的攻擊手段,同時(shí)也很容易被高級攻擊者繞過;而采用基于異常的機(jī)制,往往又嚴(yán)重依賴于異常檢測模型的精確程度,模型的假陽性率對于業(yè)務(wù)系統(tǒng)的用戶體驗(yàn)影響很大。

傳統(tǒng)Web安全防護(hù)技術(shù)的“力不從心”,其實(shí)可以從主動(dòng)防御的思路中總結(jié)出原因。傳統(tǒng)的Web安全防護(hù)過程中,被防御實(shí)體一直站在原地處于“被動(dòng)挨打”的境地,防御者只能通過不斷加入一層層的“屏障”阻擋攻擊者進(jìn)攻的步伐。而在主動(dòng)防御的思路中,防御者主動(dòng)出擊,誘導(dǎo)攻擊者、延緩攻擊進(jìn)程甚至是反制攻擊者。蜜罐技術(shù)就是這樣一種主動(dòng)防御技術(shù)。在蜜罐技術(shù)未應(yīng)用之前,不管加入多少傳統(tǒng)防護(hù)手段,攻擊者的認(rèn)知都是很清晰的,那就是繞過、破壞這些防護(hù)手段,然后攻陷目標(biāo);在加入了蜜罐技術(shù)之后,攻擊者的認(rèn)知被擾亂,因?yàn)楣舻哪繕?biāo)是否是真正的業(yè)務(wù)系統(tǒng)這件事變得不那么確定,很可能在歷經(jīng)千辛萬苦攻陷系統(tǒng)之后發(fā)現(xiàn)是個(gè)假目標(biāo)。蜜罐技術(shù)的加入可以有效改善傳統(tǒng)Web安全防護(hù)技術(shù)中防御被動(dòng)的狀況,顯著提升Web服務(wù)整體安全防護(hù)能力。

2 蜜罐技術(shù)概述

蜜罐技術(shù)是一種主動(dòng)防御技術(shù),通過部署沒有真實(shí)業(yè)務(wù)數(shù)據(jù)的系統(tǒng)來誘騙攻擊者實(shí)施攻擊,記錄其攻擊行為從而學(xué)習(xí)攻擊者的攻擊目的和攻擊手段,以此不斷提升真實(shí)業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。

蜜罐技術(shù)發(fā)展至今經(jīng)歷了蜜罐、蜜網(wǎng)和蜜場等階段。單就蜜罐技術(shù)而言,研究內(nèi)容從如何提升蜜罐的自適應(yīng)性到如何提升蜜罐的動(dòng)態(tài)性等,這些研究的目的都是為了提升蜜罐整體的誘騙能力。

蜜罐技術(shù)按照其交互程度可以分為低交互蜜罐、高交互蜜罐和純蜜罐,其中,純蜜罐和真實(shí)業(yè)務(wù)系統(tǒng)功能上一致,但是會(huì)在其外部加入監(jiān)測記錄功能。按照其作用點(diǎn)不同,又可以粗略分為應(yīng)用層蜜罐、網(wǎng)絡(luò)蜜罐、主機(jī)蜜罐、設(shè)備蜜罐等。本文所介紹的應(yīng)用于Web安全防護(hù)中的蜜罐技術(shù)屬于應(yīng)用層蜜罐的范疇,下面將對此詳細(xì)展開介紹。

3 Web安全防護(hù)中的蜜罐技術(shù)

在Web安全攻防對抗中,攻擊模式一般分為2種:非定向Web攻擊和定向Web攻擊。非定向Web攻擊的目的往往是利用漏洞獲取資源,攻擊者通過威脅情報(bào)或者漏洞挖掘等方式掌握了較新的漏洞利用方式,基于此編寫漏洞批量利用腳本,自動(dòng)化、無差別地對互聯(lián)網(wǎng)上的Web應(yīng)用進(jìn)行漏洞探測與利用,以此獲取更多的“肉雞”資源用于跳板機(jī)、挖礦以及組建僵尸網(wǎng)絡(luò)等目的。由于這種攻擊方式不是針對特定的個(gè)體或者組織,所以稱之為非定向Web攻擊。與之相對應(yīng),攻擊者具有很明確的目的性,針對特定個(gè)體或者組織發(fā)起的攻擊就稱為定向Web攻擊。定向Web攻擊和非定向Web攻擊在實(shí)施過程中最大的區(qū)別就是攻擊者親自參與的程度不同,在定向Web攻擊中,攻擊者往往會(huì)更多地親自參與、多次嘗試,所以定向Web攻擊的攻擊手法也往往更加高級。

應(yīng)用于Web安全防護(hù)中的蜜罐技術(shù),為應(yīng)對這兩種不同的Web攻擊模式,也呈現(xiàn)出不同的形式,下面將從部署模式、技術(shù)特點(diǎn)和應(yīng)用效能3個(gè)方面介紹在這兩種Web攻擊模式下蜜罐技術(shù)的異同。

3.1 針對非定向Web攻擊的蜜罐技術(shù)

在非定向Web攻擊中,攻擊來源往往是自動(dòng)化攻擊腳本。這些攻擊腳本沒有明確的目標(biāo)對象,批量的掃描、驗(yàn)證著互聯(lián)網(wǎng)上的Web應(yīng)用。這種攻擊模式呈現(xiàn)出非定向、低交互的特征,所以應(yīng)對這種攻擊模式的蜜罐技術(shù)在部署后往往與真實(shí)業(yè)務(wù)系統(tǒng)處于一個(gè)平行的位置,并且直接暴露于互聯(lián)網(wǎng),如圖1所示。因?yàn)檫@樣部署使得蜜罐具有和普通業(yè)務(wù)系統(tǒng)同等的地位,自然也就會(huì)成為非定向Web攻擊的目標(biāo)。而蜜罐表現(xiàn)出的特點(diǎn)往往是低交互且動(dòng)態(tài)性比較強(qiáng),低交互是因?yàn)檫@些自動(dòng)化腳本本身的交互性也不會(huì)很高,低交互足以應(yīng)對;動(dòng)態(tài)性是為了能應(yīng)對多種不同的自動(dòng)化攻擊。在這樣的應(yīng)用場景下,蜜罐具備Web攻擊預(yù)警、Payload捕獲等效能。

3.2 針對定向Web攻擊的蜜罐技術(shù)

在定向Web攻擊中,攻擊多由攻擊者親身參與。這種攻擊有明確的目標(biāo)對象,比如官網(wǎng)首頁或者某個(gè)子部門的二級域名網(wǎng)站。這種攻擊模式往往呈現(xiàn)的是定向、高交互的特征,所以應(yīng)對這種攻擊模式的蜜罐技術(shù)在空間部署后會(huì)像圖2所示,其誘導(dǎo)裝置檢測攻擊并將攻擊誘導(dǎo)至一個(gè)與真實(shí)業(yè)務(wù)系統(tǒng)高度仿真的蜜罐,誘導(dǎo)裝置和蜜罐共同保護(hù)著真實(shí)業(yè)務(wù)系統(tǒng)。這種應(yīng)用場景下的蜜罐具有高交互、高隱蔽性的特點(diǎn),高交互是為了能夠和攻擊者進(jìn)行更多的交互行為,一方面可以捕獲更多攻擊數(shù)據(jù),另一方面也是為了提高自身的隱蔽性。隱蔽性除了高交互特征提供之外,也包含了監(jiān)測機(jī)制的隱蔽性,以保證攻擊者無法察覺。在此場景下,蜜罐技術(shù)除了具備Web攻擊預(yù)警、Payload捕獲效能之外,還能延緩攻擊進(jìn)程,給予安全防護(hù)人員更多的應(yīng)急響應(yīng)時(shí)間。

介紹完兩種攻擊模式下的Web蜜罐技術(shù),接下來將主要就單蜜罐技術(shù)進(jìn)行討論,提出面向Web安全防護(hù)的蜜罐技術(shù)分層模型。

4 面向Web安全防護(hù)的蜜罐技術(shù)分層模型

在Web應(yīng)用開發(fā)領(lǐng)域有一種著名的架構(gòu)模式叫做MVC,它將Web應(yīng)用系統(tǒng)分為模型層(Model)、控制器層(Controller)和視圖層(View)。在分析研究當(dāng)前主流的Web蜜罐后發(fā)現(xiàn),應(yīng)用于Web安全領(lǐng)域的蜜罐技術(shù)也可按照這三層為界限進(jìn)行劃分。蜜罐技術(shù)本質(zhì)是誘騙和監(jiān)測,根據(jù)誘騙和監(jiān)測發(fā)生在MVC的不同階段,可將Web安全防護(hù)中的蜜罐技術(shù)分為視圖層蜜罐技術(shù)、控制層蜜罐技術(shù)和數(shù)據(jù)層蜜罐技術(shù),其模型示意圖如圖3。

接下來將從這三層逐一展開,說明每一層蜜罐技術(shù)的表現(xiàn)形式和特點(diǎn),并介紹相應(yīng)的主流Web蜜罐技術(shù)。

4.1 視圖層蜜罐技術(shù)

視圖層蜜罐技術(shù)指的是誘騙或監(jiān)測發(fā)生在視圖層及以上的技術(shù)形態(tài),主要表現(xiàn)為各類具有模擬功能的低交互Web蜜罐、記錄HTTP流量類型的純蜜罐、Web中間件類型蜜罐、反向代理類型蜜罐等。Glastopf是一款優(yōu)秀的低交互Web蜜罐,它通過各種Web漏洞類型模擬器模擬各類Web漏洞。純蜜罐通過將真實(shí)的業(yè)務(wù)系統(tǒng)脫敏,在其上層添加記錄流量的組件使其成為一個(gè)蜜罐系統(tǒng)。2015年,Araujo等人在USENIX上提出的基于LLVM的DataFlowSanitizer實(shí)現(xiàn)的是一種基于信息流的Apache Web中間件蜜罐,在檢測到攻擊時(shí)自動(dòng)將攻擊者的網(wǎng)絡(luò)連接引導(dǎo)至具備監(jiān)測能力進(jìn)程上。HFish蜜罐平臺(tái)是基于Nginx中間件開發(fā)的插件,可以實(shí)現(xiàn)將任意站點(diǎn)轉(zhuǎn)化為蜜罐。2017年,Izagirre等人提出反向代理等手段在應(yīng)用層操縱HTTP請求注入誘騙數(shù)據(jù)以檢測攻擊和阻斷攻擊,屬于反向代理類蜜罐技術(shù)。

這類蜜罐技術(shù)的監(jiān)測層次處于視圖層及以上的位置,捕獲和記錄攻擊者對于Web蜜罐的輸入數(shù)據(jù),相對來說比較簡便易行。但由于監(jiān)測的層面較高,往往捕獲到的攻擊行為數(shù)據(jù)所攜帶的語義信息更低,當(dāng)數(shù)據(jù)量較大時(shí)可能需要結(jié)合其他數(shù)據(jù)分析方式如數(shù)據(jù)挖掘等進(jìn)行輔助分析。這個(gè)層面的Web蜜罐技術(shù)的監(jiān)測工作已經(jīng)做得相對比較完善,未來的研究主要集中在誘騙策略的設(shè)計(jì)以及對大量語義數(shù)據(jù)的分析工作上。

4.2 控制器層蜜罐技術(shù)

控制器層蜜罐技術(shù)的誘騙或監(jiān)測發(fā)生在視圖層之下、數(shù)據(jù)層之上,主要包括各類高交互Web蜜罐、網(wǎng)站影子系統(tǒng)等。比如HIHAT可以將現(xiàn)有的PHP應(yīng)用轉(zhuǎn)化為一個(gè)高交互蜜罐,雖然部分PHP應(yīng)用沒有明顯劃分MVC3個(gè)層級,但轉(zhuǎn)換后的蜜罐監(jiān)測功能實(shí)際上是發(fā)生在控制器層,所以可以劃分到控制器層的蜜罐技術(shù)。2017年,ArkTeam在FreeBuf互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)(FIT2017)上發(fā)表的“網(wǎng)絡(luò)欺騙:防御者的詭計(jì)”主題演講中提到的影子服務(wù),即在真實(shí)業(yè)務(wù)系統(tǒng)旁邊安插的高度仿真的蜜罐系統(tǒng),其本質(zhì)上也是一個(gè)高交互的蜜罐,所以也可將其劃分到控制器層蜜罐技術(shù)范疇。2020年,Niakanlahiji等人提出一種根據(jù)攻擊者交互數(shù)據(jù)推測攻擊者水平,從而為攻擊者提供定制化的Web蜜罐來最大化地迷惑攻擊者的思路,這種交互數(shù)據(jù)的捕獲需要在控制器層面,進(jìn)而才能獲取更多的語義信息輸入到推測模型,所以這種也可以歸類到控制器層的蜜罐技術(shù)。

控制器層蜜罐技術(shù)捕獲到的攻擊行為數(shù)據(jù)相較于視圖層來說語義更加豐富,但相對來說監(jiān)測也更加困難。HIHAT雖然做到了自動(dòng)化地將現(xiàn)有應(yīng)用轉(zhuǎn)化為高交互蜜罐,但是其實(shí)現(xiàn)的機(jī)制不是很隱蔽,與蜜罐技術(shù)本身的誘騙功能存在沖突,在監(jiān)測隱蔽性上仍有待提升。此外,還可基于高交互特性獲取到的高語義數(shù)據(jù)來進(jìn)行進(jìn)一步的分析以提高蜜罐整體的誘騙性。

4.3 數(shù)據(jù)層蜜罐技術(shù)

數(shù)據(jù)層蜜罐技術(shù)偏向于數(shù)據(jù)層面的誘騙和監(jiān)測,主要包括數(shù)據(jù)庫蜜罐、數(shù)據(jù)蜜餌等,目前的研究工作數(shù)量相對前兩種層面的蜜罐技術(shù)較少。NoSQLpot是一個(gè)NoSQL蜜罐框架,可以模擬各類NoSQL數(shù)據(jù)庫,記錄數(shù)據(jù)庫操作行為,屬于數(shù)據(jù)層蜜罐技術(shù)。2013年,Juels等人提出的“honeywords”的誘騙手法,通過給正常的用戶設(shè)置除了正確密碼以外的密碼,當(dāng)攻擊者以honeywords登錄時(shí)就會(huì)觸發(fā)警報(bào),本質(zhì)上是一種數(shù)據(jù)庫蜜餌。

數(shù)據(jù)層蜜罐技術(shù)傾向于數(shù)據(jù)流的監(jiān)測,雖然監(jiān)測難度相對來說不是很大,但是往往需要與前兩種層面的蜜罐技術(shù)相結(jié)合才能發(fā)揮效能。例如,雖然對于涉及秘密數(shù)據(jù)的攻擊行為來說此類蜜罐技術(shù)行之有效,但是對于以控制為目的的攻擊行為就會(huì)顯得束手無策。這個(gè)層面的蜜罐技術(shù)的后續(xù)研究可集中于誘騙策略的設(shè)計(jì)上,如結(jié)合控制層蜜罐技術(shù)收集到的高語義行為數(shù)據(jù),有針對性地生成、布置蜜餌,以提高蜜罐技術(shù)整體的誘騙效能。

5 結(jié)語

本文針對面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)行了研究,從目前傳統(tǒng)Web安全防護(hù)技術(shù)存在的不足出發(fā),以主動(dòng)防御的視角分析了問題存在的根本原因,逐步引出了2種不同Web攻擊模式下的Web蜜罐技術(shù),進(jìn)而提出Web蜜罐技術(shù)分層模型。安全研究工作者可借助此模型認(rèn)識(shí)、分析現(xiàn)有的Web蜜罐技術(shù),發(fā)現(xiàn)不足與缺口,進(jìn)而提出改進(jìn)方法與新技術(shù)。Web服務(wù)暴露出的巨大攻擊面使其逐漸成為網(wǎng)絡(luò)攻擊的最佳入口點(diǎn),研究Web蜜罐技術(shù)對于在攻擊初期發(fā)現(xiàn)、捕獲、延緩網(wǎng)絡(luò)攻擊,提升系統(tǒng)整體安全防護(hù)能力具有深遠(yuǎn)的意義。面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)一步的研究工作將在于提升誘騙的智能性和監(jiān)測的隱蔽性,逐步提升蜜罐整體的誘捕能力。

 

(原載于《保密科學(xué)技術(shù)》2021年2月刊)