基于蜜罐的欺騙式主動(dòng)防御的發(fā)展與演進(jìn)

【摘   要】 本文從傳統(tǒng)蜜罐出發(fā)，介紹了蜜罐技術(shù)的發(fā)展歷程，討論了現(xiàn)有蜜罐技術(shù)的特點(diǎn)及其存在的問題，進(jìn)而引出由蜜罐演進(jìn)而來的網(wǎng)絡(luò)欺騙防御，通過對比分析其他防御技術(shù)，研究了其特點(diǎn)與優(yōu)勢。

【關(guān)鍵詞】 蜜罐 主動(dòng)防御 網(wǎng)絡(luò)欺騙

1 引言

互聯(lián)網(wǎng)在給人類社會(huì)帶來極大便利的同時(shí)，網(wǎng)絡(luò)安全問題也逐漸成為網(wǎng)絡(luò)空間亟須解決的核心問題。隨著“震網(wǎng)”“斯諾登”“方程式”等事件的不斷曝光，網(wǎng)絡(luò)攻擊復(fù)雜化、自動(dòng)化、智能化的特點(diǎn)逐步顯現(xiàn)，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)大都是通過入侵檢測、防火墻等方法來保護(hù)網(wǎng)絡(luò)及系統(tǒng)的安全，屬于被動(dòng)防御手段，使得防御方在攻防過程中基本上處于劣勢地位。

蜜罐技術(shù)就是防御方為了扭轉(zhuǎn)“易攻難守”的劣勢局面而提出的一種主動(dòng)防御技術(shù)，通過吸引、誘騙攻擊者對其進(jìn)行非法使用，從而對攻擊行為進(jìn)行記錄，以研究攻擊者的攻擊目的、攻擊方法和攻擊工具，并通過技術(shù)和管理手段有針對性地增強(qiáng)目標(biāo)系統(tǒng)的安全防護(hù)能力。然而，傳統(tǒng)蜜罐存在位置固定、配置靜態(tài)等不足，一旦被攻擊者識(shí)破或者沒能吸引攻擊者注意力，蜜罐就可能完全失去作用。近年來，反蜜罐技術(shù)不斷發(fā)展，使得攻擊者繞過預(yù)設(shè)陷阱進(jìn)而攻擊真實(shí)資源成為可能，進(jìn)一步限制了傳統(tǒng)蜜罐的效能。

網(wǎng)絡(luò)欺騙是根據(jù)蜜罐的思想演進(jìn)而來的一種防御機(jī)制，通過在防御方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)體系化的騙局，干擾、誤導(dǎo)攻擊者對被保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷，誘使攻擊者做出對防御方有利的決策和動(dòng)作，從而達(dá)到發(fā)現(xiàn)、延遲或阻斷攻擊者活動(dòng)的目的。

2 蜜罐技術(shù)概述

2.1 蜜罐技術(shù)的發(fā)展歷程

蜜罐的思想最早源于Cliff Stoll的《布谷鳥的蛋》一書，該書描述了一系列有關(guān)跟蹤黑客的事件，主人公利用蜜罐技術(shù)來追蹤一起商業(yè)間諜案件。在20世紀(jì)90年代后期，蜜罐作為一個(gè)欺騙攻擊者與其進(jìn)行交互的工具在網(wǎng)絡(luò)安全領(lǐng)域興起。1998年，Cohen提出了欺騙理論框架和模型，并開發(fā)了欺騙工具包（Deception Tool Kit，DTK），通過偽裝一些廣為人知的漏洞，吸引攻擊者的注意力。

1999年，Spitzner提出蜜網(wǎng)技術(shù)。蜜網(wǎng)是由多個(gè)蜜罐系統(tǒng)加上防火墻、入侵檢測、數(shù)據(jù)分析與自動(dòng)報(bào)警、攻擊行為記錄等輔助機(jī)制組成的網(wǎng)絡(luò)防御體系，可以向攻擊者提供更加充分的交互環(huán)境，使得安全人員能夠在高度可控的蜜罐網(wǎng)絡(luò)中，監(jiān)測誘捕攻擊活動(dòng)，掌握攻擊者的攻擊方法、攻擊意圖和攻擊工具。在之后的研究中，又引入了分布式蜜罐和分布式蜜網(wǎng)技術(shù)，實(shí)現(xiàn)了多點(diǎn)部署，顯著擴(kuò)大了蜜罐的覆蓋范圍。2003年，蜜場的概念被提出，通過服務(wù)重定向技術(shù)將各個(gè)子網(wǎng)中的非法訪問轉(zhuǎn)移到一個(gè)集中的蜜罐網(wǎng)絡(luò)中加以監(jiān)控，為將蜜罐技術(shù)用于防護(hù)大規(guī)模分布式業(yè)務(wù)網(wǎng)絡(luò)提供了一條可行的路徑。

蜜罐技術(shù)最初的應(yīng)用場景是輔助入侵檢測技術(shù)來發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊者和惡意代碼，在21世紀(jì)初，蠕蟲大量爆發(fā)，蜜罐技術(shù)能夠有效監(jiān)測對具有主動(dòng)傳播特性的網(wǎng)絡(luò)蠕蟲。如今，蜜罐已經(jīng)擴(kuò)展至許多領(lǐng)域，在社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)、無線網(wǎng)絡(luò)、工業(yè)控制網(wǎng)絡(luò)等新興領(lǐng)域都發(fā)揮了重要作用。

2.2 蜜罐技術(shù)分類

根據(jù)蜜罐的用途，可以將其分為產(chǎn)品型蜜罐和研究型蜜罐。產(chǎn)品型蜜罐用于保護(hù)一個(gè)組織正在使用的系統(tǒng)，包括檢測攻擊、防止攻擊并幫助安全人員對攻擊做出正確及時(shí)的響應(yīng)。比較有代表性的產(chǎn)品型蜜罐有KFSensor、ManTraq等一系列的商業(yè)產(chǎn)品和DTK、honeyd等開源工具。研究型蜜罐用于跟蹤和記錄攻擊行為，了解攻擊者所使用的攻擊工具和攻擊方法，并將這些信息轉(zhuǎn)化為新的防御策略。產(chǎn)品型蜜罐部署起來比較容易，而且投入的人員和精力相對較少，但捕獲的攻擊信息較少；研究型蜜罐所投入的人員和精力較大，以保證進(jìn)出流量和各項(xiàng)行為能得到有效分析。

按照交互能力的強(qiáng)弱，蜜罐分為低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互，通常只提供實(shí)施網(wǎng)絡(luò)探測、漏洞利用等所必需的誘餌網(wǎng)絡(luò)訪問接口，模擬少量的服務(wù)。低交互蜜罐易于部署，也不需要大量的資源進(jìn)行維護(hù)，但它只是對系統(tǒng)的最基本的模擬，不足以捕獲復(fù)雜的威脅。中交互蜜罐可以提供更多的交互信息，但仍然沒有提供真實(shí)的操作系統(tǒng)。中交互蜜罐可以實(shí)現(xiàn)模擬操作系統(tǒng)的各種行為，通過具體配置使其看起來與真實(shí)的操作系統(tǒng)沒有明顯區(qū)別，可以使攻擊者獲得與真實(shí)系統(tǒng)非常接近的交互體驗(yàn)。高交互蜜罐可以提供一個(gè)完整的可交互系統(tǒng)，它不是模擬某些協(xié)議或服務(wù)，而是提供真實(shí)的目標(biāo)系統(tǒng)，可以更加全面地觀察攻擊者的行為過程。同時(shí)，高交互蜜罐存在被攻擊者入侵控制的可能性，一旦失控，可能會(huì)對自身安全構(gòu)成威脅，所以必須對高交互蜜罐進(jìn)行嚴(yán)格控制和管理。

3 蜜罐技術(shù)的特點(diǎn)及局限性

相比于其他傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)，蜜罐技術(shù)具有以下特點(diǎn)：一是使用簡單，蜜罐不需要改變現(xiàn)有的網(wǎng)絡(luò)部署方式，用戶只需要將蜜罐合理放置在網(wǎng)絡(luò)中并監(jiān)測蜜罐告警信息；二是占用資源少，蜜罐僅記錄和響應(yīng)嘗試與自己建立連接的行為，不會(huì)被龐大的網(wǎng)絡(luò)流量淹沒，同時(shí)，它對硬件要求較低，不需要昂貴的專用硬件設(shè)備；三是數(shù)據(jù)價(jià)值高，蜜罐只收集異常訪問行為信息，收集到的數(shù)據(jù)具有較高的研究價(jià)值，通過研究分析，可以較完整地還原攻擊者的攻擊方法、意圖和工具。

蜜罐技術(shù)雖然在研究攻擊者行為方面具有重要價(jià)值，但是由于自身存在的一些局限性，使其不足以在網(wǎng)絡(luò)攻防對抗中完全掌握主動(dòng)權(quán)，主要體現(xiàn)在以下方面。

（1）現(xiàn)有蜜罐技術(shù)主要針對具有大規(guī)模影響范圍的傳統(tǒng)普遍化安全威脅，而對于具有特定目標(biāo)性的高級(jí)持續(xù)性威脅，誘騙和監(jiān)測能力不足。應(yīng)對高級(jí)持續(xù)性威脅必須擁有高度可定制性、全面隱蔽性和動(dòng)態(tài)環(huán)境適應(yīng)能力，而這些特性恰恰是常規(guī)蜜罐技術(shù)所欠缺的。

（2）蜜罐環(huán)境在逼真度和可控性方面存在難以調(diào)和的矛盾。高交互蜜罐雖然具備高度的誘騙性和偽裝性，但在可控性、可維護(hù)性等方面存在不足；低交互蜜罐雖然維護(hù)成本較低、可控性好，但逼真度不夠，難以捕獲較高級(jí)別的攻擊威脅。

總體而言，蜜罐技術(shù)相對于傳統(tǒng)防御技術(shù)具有簡單、高效等優(yōu)勢，但也存在動(dòng)態(tài)性低，逼真度與可控性難以兼顧的局限。在網(wǎng)絡(luò)攻擊技術(shù)突飛猛進(jìn)的背景下，傳統(tǒng)蜜罐技術(shù)已難以適應(yīng)網(wǎng)絡(luò)安全防護(hù)需求。

4 網(wǎng)絡(luò)欺騙

4.1 網(wǎng)絡(luò)欺騙技術(shù)概述

網(wǎng)絡(luò)欺騙是由蜜罐演進(jìn)而來的一種主動(dòng)防御機(jī)制。防御者通過在己方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)騙局，干擾、誤導(dǎo)攻擊者對己方網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷，誘使攻擊者做出對防御方有利的決策和動(dòng)作，從而達(dá)到發(fā)現(xiàn)、延遲或阻斷攻擊者活動(dòng)的目的。

網(wǎng)絡(luò)攻防過程可以通過美國空軍上校約翰·包以德（John Boyd）提出的包以德（OODA）循環(huán)理論來描述。OODA循環(huán)由觀察（Observe）、調(diào)整（Orient）、決策（Decide）以及行動(dòng)（Act）四個(gè)環(huán)節(jié)組成�；�于OODA循環(huán)理論，攻防雙方中誰能更快更好地完成“觀察—調(diào)整—決策—行動(dòng)”循環(huán)過程，誰就能夠掌握攻防博弈的主動(dòng)權(quán)。

網(wǎng)絡(luò)欺騙通過干擾攻擊者的OODA循環(huán)過程獲取對抗過程的主動(dòng)權(quán)和優(yōu)勢。利用網(wǎng)絡(luò)欺騙技術(shù)，防御者可以在對手OODA循環(huán)的“觀察”和“調(diào)整”階段主動(dòng)地提供欺騙性信息，遲滯對手的進(jìn)程，從而給防御者爭取更多的時(shí)間進(jìn)行決策和開展行動(dòng)。

如今，網(wǎng)絡(luò)欺騙已經(jīng)遠(yuǎn)遠(yuǎn)超越了蜜罐的概念，正朝著網(wǎng)絡(luò)安全主動(dòng)防御體系方向發(fā)展，開始與博弈論、人工智能等理論深度融合，同時(shí)網(wǎng)絡(luò)虛擬化、軟件定義網(wǎng)絡(luò)、云計(jì)算等技術(shù)逐步應(yīng)用于網(wǎng)絡(luò)欺騙環(huán)境構(gòu)建。對比傳統(tǒng)防御技術(shù)、傳統(tǒng)蜜罐技術(shù)和移動(dòng)目標(biāo)防御等主流防御技術(shù)，網(wǎng)絡(luò)欺騙具有以下特點(diǎn)與優(yōu)勢。

4.2 網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)

網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)的一個(gè)根本區(qū)別是，傳統(tǒng)防御技術(shù)專注于攻擊者的行為，目的是對它們進(jìn)行檢測和預(yù)防；而網(wǎng)絡(luò)欺騙著眼于攻擊者的認(rèn)知，目的是干擾他們的認(rèn)知并誘導(dǎo)攻擊者采取有利于目標(biāo)系統(tǒng)的決策。

網(wǎng)絡(luò)欺騙與傳統(tǒng)防御技術(shù)的另一個(gè)區(qū)別是傳統(tǒng)防御側(cè)重于信息隱藏，而網(wǎng)絡(luò)欺騙防御會(huì)采取隱藏真實(shí)信息和披露虛假信息相結(jié)合的方式來誤導(dǎo)攻擊者，使其在觀察階段產(chǎn)生認(rèn)知偏差，從而保護(hù)關(guān)鍵目標(biāo)。

4.3 網(wǎng)絡(luò)欺騙與傳統(tǒng)蜜罐技術(shù)

網(wǎng)絡(luò)欺騙不同于傳統(tǒng)的蜜罐技術(shù)。蜜罐技術(shù)的主要目的是吸引攻擊者進(jìn)入偽裝的網(wǎng)絡(luò)環(huán)境，并收集攻擊者的活動(dòng)信息。網(wǎng)絡(luò)欺騙的主要目的是綜合使用多種欺騙手段混淆網(wǎng)絡(luò)，使攻擊者對真實(shí)的網(wǎng)絡(luò)結(jié)構(gòu)產(chǎn)生錯(cuò)覺。眾所周知，網(wǎng)絡(luò)探測是網(wǎng)絡(luò)入侵行動(dòng)的第一個(gè)環(huán)節(jié)，通過網(wǎng)絡(luò)探測獲取目標(biāo)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)配置等信息，為后續(xù)攻擊動(dòng)作提供依據(jù)。通過部署網(wǎng)絡(luò)欺騙環(huán)境迷惑攻擊者，使其不確定或不能準(zhǔn)確地了解真實(shí)的網(wǎng)絡(luò)結(jié)構(gòu)，從而創(chuàng)造有利于防御者的非對稱優(yōu)勢。

4.4 網(wǎng)絡(luò)欺騙與移動(dòng)目標(biāo)防御

移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）是為了扭轉(zhuǎn)攻防對抗的不對稱格局而提出的主動(dòng)防御技術(shù)，通過不斷改變網(wǎng)絡(luò)系統(tǒng)的屬性來動(dòng)態(tài)地轉(zhuǎn)換攻擊面，從而提高攻擊者的攻擊成本和攻擊代價(jià)。在移動(dòng)目標(biāo)防御體系下，網(wǎng)絡(luò)空間不再一成不變，而是瞬息萬變，在動(dòng)態(tài)變化中取得防御優(yōu)勢。

網(wǎng)絡(luò)欺騙與移動(dòng)目標(biāo)防御技術(shù)的目標(biāo)一致，都希望通過增加目標(biāo)網(wǎng)絡(luò)系統(tǒng)的不確定性來迷惑攻擊者，但網(wǎng)絡(luò)欺騙比移動(dòng)目標(biāo)防御更具攻擊性，因?yàn)樗鼤?huì)故意向攻擊者提供虛假信息以使其形成錯(cuò)誤的認(rèn)知。

網(wǎng)絡(luò)欺騙的部署成本與代價(jià)通常會(huì)低于移動(dòng)目標(biāo)防御。網(wǎng)絡(luò)欺騙環(huán)境部署完成后，攻擊者一旦進(jìn)入，其活動(dòng)大概率會(huì)被遲滯，而移動(dòng)目標(biāo)防御則需要頻繁地觸發(fā)動(dòng)態(tài)與隨機(jī)機(jī)制，改變系統(tǒng)的攻擊面。

實(shí)際上，網(wǎng)絡(luò)欺騙和移動(dòng)目標(biāo)防御機(jī)制可以很好地融合，彌補(bǔ)彼此的不足，構(gòu)建出更加安全高效的網(wǎng)絡(luò)安全防御體系。例如，在網(wǎng)絡(luò)系統(tǒng)中加入蜜罐、蜜標(biāo)等欺騙元素，精心構(gòu)建出欺騙場景，可以顯著擴(kuò)大移動(dòng)目標(biāo)防御系統(tǒng)攻擊面的轉(zhuǎn)換空間，提升安全防御能力。

5 結(jié)語

作為改變網(wǎng)絡(luò)安全防御被動(dòng)局面的一種主動(dòng)防御技術(shù)，蜜罐技術(shù)已經(jīng)成為監(jiān)測、分析網(wǎng)絡(luò)威脅的主要技術(shù)手段，演進(jìn)為體系化的網(wǎng)絡(luò)主動(dòng)防御架構(gòu)網(wǎng)絡(luò)欺騙。本文總結(jié)了蜜罐技術(shù)的發(fā)展歷程和分類，針對蜜罐技術(shù)的特點(diǎn)和存在問題進(jìn)行分析，并通過對比分析研究了網(wǎng)絡(luò)欺騙的原理、特點(diǎn)與優(yōu)勢。網(wǎng)絡(luò)欺騙并不與其他防御技術(shù)相排斥，通過與移動(dòng)目標(biāo)防御等防御技術(shù)結(jié)合，完全有可能創(chuàng)造出更加安全高效的主動(dòng)防御體系，在網(wǎng)絡(luò)安全防御中發(fā)揮更大作用。 

 

（原載于《保密科學(xué)技術(shù)》2021年2月刊）