1 引言
互联网在给人类社会带来极大便利的同时,网络安全问题也逐渐成为网络空间亟须解决的核心问题。随着“震网”“斯诺登”“方程式”等事件的不断曝光,网络攻击复杂化、自动化、智能化的特点逐步显现,网络安全问题日益严峻。传统的网络防御技术大都是通过入侵检测、防火墙等方法来保护网络及系统的安全,属于被动防御手段,使得防御方在攻防过程中基本上处于劣势地位。
蜜罐技术就是防御方为了扭转“易攻难守”的劣势局面而提出的一种主动防御技术,通过吸引、诱骗攻击者对其进行非法使用,从而对攻击行为进行记录,以研究攻击者的攻击目的、攻击方法和攻击工具,并通过技术和管理手段有针对性地增强目标系统的安全防护能力。然而,传统蜜罐存在位置固定、配置静态等不足,一旦被攻击者识破或者没能吸引攻击者注意力,蜜罐就可能完全失去作用。近年来,反蜜罐技术不断发展,使得攻击者绕过预设陷阱进而攻击真实资源成为可能,进一步限制了传统蜜罐的效能。
网络欺骗是根据蜜罐的思想演进而来的一种防御机制,通过在防御方网络信息系统中布设体系化的骗局,干扰、误导攻击者对被保护网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
2 蜜罐技术概述
2.1 蜜罐技术的发展历程
蜜罐的思想最早源于Cliff Stoll的《布谷鸟的蛋》一书,该书描述了一系列有关跟踪黑客的事件,主人公利用蜜罐技术来追踪一起商业间谍案件。在20世纪90年代后期,蜜罐作为一个欺骗攻击者与其进行交互的工具在网络安全领域兴起。1998年,Cohen提出了欺骗理论框架和模型,并开发了欺骗工具包(Deception Tool Kit,DTK),通过伪装一些广为人知的漏洞,吸引攻击者的注意力。
1999年,Spitzner提出蜜网技术。蜜网是由多个蜜罐系统加上防火墙、入侵检测、数据分析与自动报警、攻击行为记录等辅助机制组成的网络防御体系,可以向攻击者提供更加充分的交互环境,使得安全人员能够在高度可控的蜜罐网络中,监测诱捕攻击活动,掌握攻击者的攻击方法、攻击意图和攻击工具。在之后的研究中,又引入了分布式蜜罐和分布式蜜网技术,实现了多点部署,显著扩大了蜜罐的覆盖范围。2003年,蜜场的概念被提出,通过服务重定向技术将各个子网中的非法访问转移到一个集中的蜜罐网络中加以监控,为将蜜罐技术用于防护大规模分布式业务网络提供了一条可行的路径。
蜜罐技术最初的应用场景是辅助入侵检测技术来发现网络中的攻击者和恶意代码,在21世纪初,蠕虫大量爆发,蜜罐技术能够有效监测对具有主动传播特性的网络蠕虫。如今,蜜罐已经扩展至许多领域,在社交网络、物联网、无线网络、工业控制网络等新兴领域都发挥了重要作用。
2.2 蜜罐技术分类
根据蜜罐的用途,可以将其分为产品型蜜罐和研究型蜜罐。产品型蜜罐用于保护一个组织正在使用的系统,包括检测攻击、防止攻击并帮助安全人员对攻击做出正确及时的响应。比较有代表性的产品型蜜罐有KFSensor、ManTraq等一系列的商业产品和DTK、honeyd等开源工具。研究型蜜罐用于跟踪和记录攻击行为,了解攻击者所使用的攻击工具和攻击方法,并将这些信息转化为新的防御策略。产品型蜜罐部署起来比较容易,而且投入的人员和精力相对较少,但捕获的攻击信息较少;研究型蜜罐所投入的人员和精力较大,以保证进出流量和各项行为能得到有效分析。
按照交互能力的强弱,蜜罐分为低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互,通常只提供实施网络探测、漏洞利用等所必需的诱饵网络访问接口,模拟少量的服务。低交互蜜罐易于部署,也不需要大量的资源进行维护,但它只是对系统的最基本的模拟,不足以捕获复杂的威胁。中交互蜜罐可以提供更多的交互信息,但仍然没有提供真实的操作系统。中交互蜜罐可以实现模拟操作系统的各种行为,通过具体配置使其看起来与真实的操作系统没有明显区别,可以使攻击者获得与真实系统非常接近的交互体验。高交互蜜罐可以提供一个完整的可交互系统,它不是模拟某些协议或服务,而是提供真实的目标系统,可以更加全面地观察攻击者的行为过程。同时,高交互蜜罐存在被攻击者入侵控制的可能性,一旦失控,可能会对自身安全构成威胁,所以必须对高交互蜜罐进行严格控制和管理。
3 蜜罐技术的特点及局限性
相比于其他传统网络防御技术,蜜罐技术具有以下特点:一是使用简单,蜜罐不需要改变现有的网络部署方式,用户只需要将蜜罐合理放置在网络中并监测蜜罐告警信息;二是占用资源少,蜜罐仅记录和响应尝试与自己建立连接的行为,不会被庞大的网络流量淹没,同时,它对硬件要求较低,不需要昂贵的专用硬件设备;三是数据价值高,蜜罐只收集异常访问行为信息,收集到的数据具有较高的研究价值,通过研究分析,可以较完整地还原攻击者的攻击方法、意图和工具。
蜜罐技术虽然在研究攻击者行为方面具有重要价值,但是由于自身存在的一些局限性,使其不足以在网络攻防对抗中完全掌握主动权,主要体现在以下方面。
(1)现有蜜罐技术主要针对具有大规模影响范围的传统普遍化安全威胁,而对于具有特定目标性的高级持续性威胁,诱骗和监测能力不足。应对高级持续性威胁必须拥有高度可定制性、全面隐蔽性和动态环境适应能力,而这些特性恰恰是常规蜜罐技术所欠缺的。
(2)蜜罐环境在逼真度和可控性方面存在难以调和的矛盾。高交互蜜罐虽然具备高度的诱骗性和伪装性,但在可控性、可维护性等方面存在不足;低交互蜜罐虽然维护成本较低、可控性好,但逼真度不够,难以捕获较高级别的攻击威胁。
总体而言,蜜罐技术相对于传统防御技术具有简单、高效等优势,但也存在动态性低,逼真度与可控性难以兼顾的局限。在网络攻击技术突飞猛进的背景下,传统蜜罐技术已难以适应网络安全防护需求。
4 网络欺骗
4.1 网络欺骗技术概述
网络欺骗是由蜜罐演进而来的一种主动防御机制。防御者通过在己方网络信息系统中布设骗局,干扰、误导攻击者对己方网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
网络攻防过程可以通过美国空军上校约翰·包以德(John Boyd)提出的包以德(OODA)循环理论来描述。OODA循环由观察(Observe)、调整(Orient)、决策(Decide)以及行动(Act)四个环节组成。基于OODA循环理论,攻防双方中谁能更快更好地完成“观察—调整—决策—行动”循环过程,谁就能够掌握攻防博弈的主动权。
网络欺骗通过干扰攻击者的OODA循环过程获取对抗过程的主动权和优势。利用网络欺骗技术,防御者可以在对手OODA循环的“观察”和“调整”阶段主动地提供欺骗性信息,迟滞对手的进程,从而给防御者争取更多的时间进行决策和开展行动。
如今,网络欺骗已经远远超越了蜜罐的概念,正朝着网络安全主动防御体系方向发展,开始与博弈论、人工智能等理论深度融合,同时网络虚拟化、软件定义网络、云计算等技术逐步应用于网络欺骗环境构建。对比传统防御技术、传统蜜罐技术和移动目标防御等主流防御技术,网络欺骗具有以下特点与优势。
4.2 网络欺骗与传统防御技术
网络欺骗与传统防御技术的一个根本区别是,传统防御技术专注于攻击者的行为,目的是对它们进行检测和预防;而网络欺骗着眼于攻击者的认知,目的是干扰他们的认知并诱导攻击者采取有利于目标系统的决策。
网络欺骗与传统防御技术的另一个区别是传统防御侧重于信息隐藏,而网络欺骗防御会采取隐藏真实信息和披露虚假信息相结合的方式来误导攻击者,使其在观察阶段产生认知偏差,从而保护关键目标。
4.3 网络欺骗与传统蜜罐技术
网络欺骗不同于传统的蜜罐技术。蜜罐技术的主要目的是吸引攻击者进入伪装的网络环境,并收集攻击者的活动信息。网络欺骗的主要目的是综合使用多种欺骗手段混淆网络,使攻击者对真实的网络结构产生错觉。众所周知,网络探测是网络入侵行动的第一个环节,通过网络探测获取目标网络系统的结构配置等信息,为后续攻击动作提供依据。通过部署网络欺骗环境迷惑攻击者,使其不确定或不能准确地了解真实的网络结构,从而创造有利于防御者的非对称优势。
4.4 网络欺骗与移动目标防御
移动目标防御(Moving Target Defense,MTD)是为了扭转攻防对抗的不对称格局而提出的主动防御技术,通过不断改变网络系统的属性来动态地转换攻击面,从而提高攻击者的攻击成本和攻击代价。在移动目标防御体系下,网络空间不再一成不变,而是瞬息万变,在动态变化中取得防御优势。
网络欺骗与移动目标防御技术的目标一致,都希望通过增加目标网络系统的不确定性来迷惑攻击者,但网络欺骗比移动目标防御更具攻击性,因为它会故意向攻击者提供虚假信息以使其形成错误的认知。
网络欺骗的部署成本与代价通常会低于移动目标防御。网络欺骗环境部署完成后,攻击者一旦进入,其活动大概率会被迟滞,而移动目标防御则需要频繁地触发动态与随机机制,改变系统的攻击面。
实际上,网络欺骗和移动目标防御机制可以很好地融合,弥补彼此的不足,构建出更加安全高效的网络安全防御体系。例如,在网络系统中加入蜜罐、蜜标等欺骗元素,精心构建出欺骗场景,可以显著扩大移动目标防御系统攻击面的转换空间,提升安全防御能力。
5 结语
作为改变网络安全防御被动局面的一种主动防御技术,蜜罐技术已经成为监测、分析网络威胁的主要技术手段,演进为体系化的网络主动防御架构网络欺骗。本文总结了蜜罐技术的发展历程和分类,针对蜜罐技术的特点和存在问题进行分析,并通过对比分析研究了网络欺骗的原理、特点与优势。网络欺骗并不与其他防御技术相排斥,通过与移动目标防御等防御技术结合,完全有可能创造出更加安全高效的主动防御体系,在网络安全防御中发挥更大作用。
(原载于《保密科学技术》2021年2月刊)