【摘 要】 本文从传统蜜罐出发,介绍了蜜罐技术的发展历程,讨论了现有蜜罐技术的特点及其存在的问题,进而引出由蜜罐演进而来的网络欺骗防御,通过对比分析其他防御技术,研究了其特点与优势。
【关键词】 蜜罐 主动防御 网络欺骗
1 引言
互联网在给人类社会带来极大便利的同时,网络安全问题也逐渐成为网络空间亟须解决的核心问题。随着“震网”“斯诺登”“方程式”等事件的不断曝光,网络攻击复杂化、自动化、智能化的特点逐步显现,网络安全问题日益严峻。传统的网络防御技术大都是通过入侵检测、防火墙等方法来保护网络及系统的安全,属于被动防御手段,使得防御方在攻防过程中基本上处于劣势地位。
蜜罐技术就是防御方为了扭转“易攻难守”的劣势局面而提出的一种主动防御技术,通过吸引、诱骗攻击者对其进行非法使用,从而对攻击行为进行记录,以研究攻击者的攻击目的、攻击方法和攻击工具,并通过技术和管理手段有针对性地增强目标系统的安全防护能力。然而,传统蜜罐存在位置固定、配置静态等不足,一旦被攻击者识破或者没能吸引攻击者注意力,蜜罐就可能完全失去作用。近年来,反蜜罐技术不断发展,使得攻击者绕过预设陷阱进而攻击真实资源成为可能,进一步限制了传统蜜罐的效能。
网络欺骗是根据蜜罐的思想演进而来的一种防御机制,通过在防御方网络信息系统中布设体系化的骗局,干扰、误导攻击者对被保护网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
2 蜜罐技术概述
2.1 蜜罐技术的发展历程
蜜罐的思想最早源于Cliff Stoll的《布谷鸟的蛋》一书,该书描述了一系列有关跟踪黑客的事件,主人公利用蜜罐技术来追踪一起商业间谍案件。在20世纪90年代后期,蜜罐作为一个欺骗攻击者与其进行交互的工具在网络安全领域兴起。1998年,Cohen提出了欺骗理论框架和模型,并开发了欺骗工具包(Deception Tool Kit,DTK),通过伪装一些广为人知的漏洞,吸引攻击者的注意力。
1999年,Spitzner提出蜜网技术。蜜网是由多个蜜罐系统加上防火墙、入侵检测、数据分析与自动报警、攻击行为记录等辅助机制组成的网络防御体系,可以向攻击者提供更加充分的交互环境,使得安全人员能够在高度可控的蜜罐网络中,监测诱捕攻击活动,掌握攻击者的攻击方法、攻击意图和攻击工具。在之后的研究中,又引入了分布式蜜罐和分布式蜜网技术,实现了多点部署,显著扩大了蜜罐的覆盖范围。2003年,蜜场的概念被提出,通过服务重定向技术将各个子网中的非法访问转移到一个集中的蜜罐网络中加以监控,为将蜜罐技术用于防护大规模分布式业务网络提供了一条可行的路径。
蜜罐技术最初的应用场景是辅助入侵检测技术来发现网络中的攻击者和恶意代码,在21世纪初,蠕虫大量爆发,蜜罐技术能够有效监测对具有主动传播特性的网络蠕虫。如今,蜜罐已经扩展至许多领域,在社交网络、物联网、无线网络、工业控制网络等新兴领域都发挥了重要作用。
2.2 蜜罐技术分类
根据蜜罐的用途,可以将其分为产品型蜜罐和研究型蜜罐。产品型蜜罐用于保护一个组织正在使用的系统,包括检测攻击、防止攻击并帮助安全人员对攻击做出正确及时的响应。比较有代表性的产品型蜜罐有KFSensor、ManTraq等一系列的商业产品和DTK、honeyd等开源工具。研究型蜜罐用于跟踪和记录攻击行为,了解攻击者所使用的攻击工具和攻击方法,并将这些信息转化为新的防御策略。产品型蜜罐部署起来比较容易,而且投入的人员和精力相对较少,但捕获的攻击信息较少;研究型蜜罐所投入的人员和精力较大,以保证进出流量和各项行为能得到有效分析。
按照交互能力的强弱,蜜罐分为低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互,通常只提供实施网络探测、漏洞利用等所必需的诱饵网络访问接口,模拟少量的服务。低交互蜜罐易于部署,也不需要大量的资源进行维护,但它只是对系统的最基本的模拟,不足以捕获复杂的威胁。中交互蜜罐可以提供更多的交互信息,但仍然没有提供真实的操作系统。中交互蜜罐可以实现模拟操作系统的各种行为,通过具体配置使其看起来与真实的操作系统没有明显区别,可以使攻击者获得与真实系统非常接近的交互体验。高交互蜜罐可以提供一个完整的可交互系统,它不是模拟某些协议或服务,而是提供真实的目标系统,可以更加全面地观察攻击者的行为过程。同时,高交互蜜罐存在被攻击者入侵控制的可能性,一旦失控,可能会对自身安全构成威胁,所以必须对高交互蜜罐进行严格控制和管理。
3 蜜罐技术的特点及局限性
相比于其他传统网络防御技术,蜜罐技术具有以下特点:一是使用简单,蜜罐不需要改变现有的网络部署方式,用户只需要将蜜罐合理放置在网络中并监测蜜罐告警信息;二是占用资源少,蜜罐仅记录和响应尝试与自己建立连接的行为,不会被庞大的网络流量淹没,同时,它对硬件要求较低,不需要昂贵的专用硬件设备;三是数据价值高,蜜罐只收集异常访问行为信息,收集到的数据具有较高的研究价值,通过研究分析,可以较完整地还原攻击者的攻击方法、意图和工具。