【摘 要】 本文從傳統蜜罐出發,介紹了蜜罐技術的發展歷程,討論了現有蜜罐技術的特點及其存在的問題,進而引出由蜜罐演進而來的網路欺騙防禦,透過對比分析其他防禦技術,研究了其特點與優勢。
【關鍵詞】 蜜罐 主動防禦 網路欺騙
1 引言
網際網路在給人類社會帶來極大便利的同時,網路安全問題也逐漸成為網路空間亟須解決的核心問題。隨著“震網”“斯諾登”“方程式”等事件的不斷曝光,網路攻擊複雜化、自動化、智慧化的特點逐步顯現,網路安全問題日益嚴峻。傳統的網路防禦技術大都是透過入侵檢測、防火牆等方法來保護網路及系統的安全,屬於被動防禦手段,使得防禦方在攻防過程中基本上處於劣勢地位。
蜜罐技術就是防禦方為了扭轉“易攻難守”的劣勢局面而提出的一種主動防禦技術,透過吸引、誘騙攻擊者對其進行非法使用,從而對攻擊行為進行記錄,以研究攻擊者的攻擊目的、攻擊方法和攻擊工具,並透過技術和管理手段有針對性地增強目標系統的安全防護能力。然而,傳統蜜罐存在位置固定、配置靜態等不足,一旦被攻擊者識破或者沒能吸引攻擊者注意力,蜜罐就可能完全失去作用。近年來,反蜜罐技術不斷髮展,使得攻擊者繞過預設陷阱進而攻擊真實資源成為可能,進一步限制了傳統蜜罐的效能。
網路欺騙是根據蜜罐的思想演進而來的一種防禦機制,透過在防禦方網路資訊系統中佈設體系化的騙局,干擾、誤導攻擊者對被保護網路資訊系統的感知與判斷,誘使攻擊者做出對防禦方有利的決策和動作,從而達到發現、延遲或阻斷攻擊者活動的目的。
2 蜜罐技術概述
2.1 蜜罐技術的發展歷程
蜜罐的思想最早源於Cliff Stoll的《布穀鳥的蛋》一書,該書描述了一系列有關跟蹤駭客的事件,主人公利用蜜罐技術來追蹤一起商業間諜案件。在20世紀90年代後期,蜜罐作為一個欺騙攻擊者與其進行互動的工具在網路安全領域興起。1998年,Cohen提出了欺騙理論框架和模型,並開發了欺騙工具包(Deception Tool Kit,DTK),透過偽裝一些廣為人知的漏洞,吸引攻擊者的注意力。
1999年,Spitzner提出蜜網技術。蜜網是由多個蜜罐系統加上防火牆、入侵檢測、資料分析與自動報警、攻擊行為記錄等輔助機制組成的網路防禦體系,可以向攻擊者提供更加充分的互動環境,使得安全人員能夠在高度可控的蜜罐網路中,監測誘捕攻擊活動,掌握攻擊者的攻擊方法、攻擊意圖和攻擊工具。在之後的研究中,又引入了分散式蜜罐和分散式蜜網技術,實現了多點部署,顯著擴大了蜜罐的覆蓋範圍。2003年,蜜場的概念被提出,透過服務重定向技術將各個子網中的非法訪問轉移到一個集中的蜜罐網路中加以監控,為將蜜罐技術用於防護大規模分散式業務網路提供了一條可行的路徑。
蜜罐技術最初的應用場景是輔助入侵檢測技術來發現網路中的攻擊者和惡意程式碼,在21世紀初,蠕蟲大量爆發,蜜罐技術能夠有效監測對具有主動傳播特性的網路蠕蟲。如今,蜜罐已經擴充套件至許多領域,在社交網路、物聯網、無線網路、工業控制網路等新興領域都發揮了重要作用。
2.2 蜜罐技術分類
根據蜜罐的用途,可以將其分為產品型蜜罐和研究型蜜罐。產品型蜜罐用於保護一個組織正在使用的系統,包括檢測攻擊、防止攻擊並幫助安全人員對攻擊做出正確及時的響應。比較有代表性的產品型蜜罐有KFSensor、ManTraq等一系列的商業產品和DTK、honeyd等開源工具。研究型蜜罐用於跟蹤和記錄攻擊行為,瞭解攻擊者所使用的攻擊工具和攻擊方法,並將這些資訊轉化為新的防禦策略。產品型蜜罐部署起來比較容易,而且投入的人員和精力相對較少,但捕獲的攻擊資訊較少;研究型蜜罐所投入的人員和精力較大,以保證進出流量和各項行為能得到有效分析。
按照互動能力的強弱,蜜罐分為低互動蜜罐、中互動蜜罐、高互動蜜罐。低互動蜜罐只能提供非常有限的互動,通常只提供實施網路探測、漏洞利用等所必需的誘餌網路訪問介面,模擬少量的服務。低互動蜜罐易於部署,也不需要大量的資源進行維護,但它只是對系統的最基本的模擬,不足以捕獲複雜的威脅。中互動蜜罐可以提供更多的互動資訊,但仍然沒有提供真實的作業系統。中互動蜜罐可以實現模擬作業系統的各種行為,透過具體配置使其看起來與真實的作業系統沒有明顯區別,可以使攻擊者獲得與真實系統非常接近的互動體驗。高互動蜜罐可以提供一個完整的可互動系統,它不是模擬某些協議或服務,而是提供真實的目標系統,可以更加全面地觀察攻擊者的行為過程。同時,高互動蜜罐存在被攻擊者入侵控制的可能性,一旦失控,可能會對自身安全構成威脅,所以必須對高互動蜜罐進行嚴格控制和管理。
3 蜜罐技術的特點及侷限性
相比於其他傳統網路防禦技術,蜜罐技術具有以下特點:一是使用簡單,蜜罐不需要改變現有的網路部署方式,使用者只需要將蜜罐合理放置在網路中並監測蜜罐告警資訊;二是佔用資源少,蜜罐僅記錄和響應嘗試與自己建立連線的行為,不會被龐大的網路流量淹沒,同時,它對硬體要求較低,不需要昂貴的專用硬體裝置;三是資料價值高,蜜罐只收集異常訪問行為資訊,收集到的資料具有較高的研究價值,透過研究分析,可以較完整地還原攻擊者的攻擊方法、意圖和工具。
蜜罐技術雖然在研究攻擊者行為方面具有重要價值,但是由於自身存在的一些侷限性,使其不足以在網路攻防對抗中完全掌握主動權,主要體現在以下方面。
(1)現有蜜罐技術主要針對具有大規模影響範圍的傳統普遍化安全威脅,而對於具有特定目標性的高階持續性威脅,誘騙和監測能力不足。應對高階持續性威脅必須擁有高度可定製性、全面隱蔽性和動態環境適應能力,而這些特性恰恰是常規蜜罐技術所欠缺的。
(2)蜜罐環境在逼真度和可控性方面存在難以調和的矛盾。高互動蜜罐雖然具備高度的誘騙性和偽裝性,但在可控性、可維護性等方面存在不足;低互動蜜罐雖然維護成本較低、可控性好,但逼真度不夠,難以捕獲較高級別的攻擊威脅。
總體而言,蜜罐技術相對於傳統防禦技術具有簡單、高效等優勢,但也存在動態性低,逼真度與可控性難以兼顧的侷限。在網路攻擊技術突飛猛進的背景下,傳統蜜罐技術已難以適應網路安全防護需求。
4 網路欺騙
4.1 網路欺騙技術概述
網路欺騙是由蜜罐演進而來的一種主動防禦機制。防禦者透過在己方網路資訊系統中佈設騙局,干擾、誤導攻擊者對己方網路資訊系統的感知與判斷,誘使攻擊者做出對防禦方有利的決策和動作,從而達到發現、延遲或阻斷攻擊者活動的目的。
網路攻防過程可以透過美國空軍上校約翰·包以德(John Boyd)提出的包以德(OODA)迴圈理論來描述。OODA迴圈由觀察(Observe)、調整(Orient)、決策(Decide)以及行動(Act)四個環節組成。基於OODA迴圈理論,攻防雙方中誰能更快更好地完成“觀察—調整—決策—行動”迴圈過程,誰就能夠掌握攻防博弈的主動權。
網路欺騙透過干擾攻擊者的OODA迴圈過程獲取對抗過程的主動權和優勢。利用網路欺騙技術,防禦者可以在對手OODA迴圈的“觀察”和“調整”階段主動地提供欺騙性資訊,遲滯對手的程序,從而給防禦者爭取更多的時間進行決策和開展行動。
如今,網路欺騙已經遠遠超越了蜜罐的概念,正朝著網路安全主動防禦體系方向發展,開始與博弈論、人工智慧等理論深度融合,同時網路虛擬化、軟體定義網路、雲計算等技術逐步應用於網路欺騙環境構建。對比傳統防禦技術、傳統蜜罐技術和移動目標防禦等主流防禦技術,網路欺騙具有以下特點與優勢。
4.2 網路欺騙與傳統防禦技術
網路欺騙與傳統防禦技術的一個根本區別是,傳統防禦技術專注於攻擊者的行為,目的是對它們進行檢測和預防;而網路欺騙著眼於攻擊者的認知,目的是干擾他們的認知並誘導攻擊者採取有利於目標系統的決策。
網路欺騙與傳統防禦技術的另一個區別是傳統防禦側重於資訊隱藏,而網路欺騙防禦會採取隱藏真實資訊和披露虛假資訊相結合的方式來誤導攻擊者,使其在觀察階段產生認知偏差,從而保護關鍵目標。
4.3 網路欺騙與傳統蜜罐技術
網路欺騙不同於傳統的蜜罐技術。蜜罐技術的主要目的是吸引攻擊者進入偽裝的網路環境,並收集攻擊者的活動資訊。網路欺騙的主要目的是綜合使用多種欺騙手段混淆網路,使攻擊者對真實的網路結構產生錯覺。眾所周知,網路探測是網路入侵行動的第一個環節,透過網路探測獲取目標網路系統的結構配置等資訊,為後續攻擊動作提供依據。透過部署網路欺騙環境迷惑攻擊者,使其不確定或不能準確地瞭解真實的網路結構,從而創造有利於防禦者的非對稱優勢。
4.4 網路欺騙與移動目標防禦
移動目標防禦(Moving Target Defense,MTD)是為了扭轉攻防對抗的不對稱格局而提出的主動防禦技術,透過不斷改變網路系統的屬性來動態地轉換攻擊面,從而提高攻擊者的攻擊成本和攻擊代價。在移動目標防禦體系下,網路空間不再一成不變,而是瞬息萬變,在動態變化中取得防禦優勢。
網路欺騙與移動目標防禦技術的目標一致,都希望透過增加目標網路系統的不確定性來迷惑攻擊者,但網路欺騙比移動目標防禦更具攻擊性,因為它會故意向攻擊者提供虛假資訊以使其形成錯誤的認知。
網路欺騙的部署成本與代價通常會低於移動目標防禦。網路欺騙環境部署完成後,攻擊者一旦進入,其活動大機率會被遲滯,而移動目標防禦則需要頻繁地觸發動態與隨機機制,改變系統的攻擊面。
實際上,網路欺騙和移動目標防禦機制可以很好地融合,彌補彼此的不足,構建出更加安全高效的網路安全防禦體系。例如,在網路系統中加入蜜罐、蜜標等欺騙元素,精心構建出欺騙場景,可以顯著擴大移動目標防禦系統攻擊面的轉換空間,提升安全防禦能力。
5 結語
作為改變網路安全防禦被動局面的一種主動防禦技術,蜜罐技術已經成為監測、分析網路威脅的主要技術手段,演進為體系化的網路主動防禦架構網路欺騙。本文總結了蜜罐技術的發展歷程和分類,針對蜜罐技術的特點和存在問題進行分析,並透過對比分析研究了網路欺騙的原理、特點與優勢。網路欺騙並不與其他防禦技術相排斥,透過與移動目標防禦等防禦技術結合,完全有可能創造出更加安全高效的主動防禦體系,在網路安全防禦中發揮更大作用。
(原載於《保密科學技術》2021年2月刊)