蜜罐技术虽然在研究攻击者行为方面具有重要价值,但是由于自身存在的一些局限性,使其不足以在网络攻防对抗中完全掌握主动权,主要体现在以下方面。
(1)现有蜜罐技术主要针对具有大规模影响范围的传统普遍化安全威胁,而对于具有特定目标性的高级持续性威胁,诱骗和监测能力不足。应对高级持续性威胁必须拥有高度可定制性、全面隐蔽性和动态环境适应能力,而这些特性恰恰是常规蜜罐技术所欠缺的。
(2)蜜罐环境在逼真度和可控性方面存在难以调和的矛盾。高交互蜜罐虽然具备高度的诱骗性和伪装性,但在可控性、可维护性等方面存在不足;低交互蜜罐虽然维护成本较低、可控性好,但逼真度不够,难以捕获较高级别的攻击威胁。
总体而言,蜜罐技术相对于传统防御技术具有简单、高效等优势,但也存在动态性低,逼真度与可控性难以兼顾的局限。在网络攻击技术突飞猛进的背景下,传统蜜罐技术已难以适应网络安全防护需求。
4 网络欺骗
4.1 网络欺骗技术概述
网络欺骗是由蜜罐演进而来的一种主动防御机制。防御者通过在己方网络信息系统中布设骗局,干扰、误导攻击者对己方网络信息系统的感知与判断,诱使攻击者做出对防御方有利的决策和动作,从而达到发现、延迟或阻断攻击者活动的目的。
网络攻防过程可以通过美国空军上校约翰・包以德(John Boyd)提出的包以德(OODA)循环理论来描述。OODA循环由观察(Observe)、调整(Orient)、决策(Decide)以及行动(Act)四个环节组成。基于OODA循环理论,攻防双方中谁能更快更好地完成“观察―调整―决策―行动”循环过程,谁就能够掌握攻防博弈的主动权。
网络欺骗通过干扰攻击者的OODA循环过程获取对抗过程的主动权和优势。利用网络欺骗技术,防御者可以在对手OODA循环的“观察”和“调整”阶段主动地提供欺骗性信息,迟滞对手的进程,从而给防御者争取更多的时间进行决策和开展行动。
如今,网络欺骗已经远远超越了蜜罐的概念,正朝着网络安全主动防御体系方向发展,开始与博弈论、人工智能等理论深度融合,同时网络虚拟化、软件定义网络、云计算等技术逐步应用于网络欺骗环境构建。对比传统防御技术、传统蜜罐技术和移动目标防御等主流防御技术,网络欺骗具有以下特点与优势。
4.2 网络欺骗与传统防御技术
网络欺骗与传统防御技术的一个根本区别是,传统防御技术专注于攻击者的行为,目的是对它们进行检测和预防;而网络欺骗着眼于攻击者的认知,目的是干扰他们的认知并诱导攻击者采取有利于目标系统的决策。
网络欺骗与传统防御技术的另一个区别是传统防御侧重于信息隐藏,而网络欺骗防御会采取隐藏真实信息和披露虚假信息相结合的方式来误导攻击者,使其在观察阶段产生认知偏差,从而保护关键目标。
4.3 网络欺骗与传统蜜罐技术
网络欺骗不同于传统的蜜罐技术。蜜罐技术的主要目的是吸引攻击者进入伪装的网络环境,并收集攻击者的活动信息。网络欺骗的主要目的是综合使用多种欺骗手段混淆网络,使攻击者对真实的网络结构产生错觉。众所周知,网络探测是网络入侵行动的第一个环节,通过网络探测获取目标网络系统的结构配置等信息,为后续攻击动作提供依据。通过部署网络欺骗环境迷惑攻击者,使其不确定或不能准确地了解真实的网络结构,从而创造有利于防御者的非对称优势。
4.4 网络欺骗与移动目标防御
移动目标防御(Moving Target Defense,MTD)是为了扭转攻防对抗的不对称格局而提出的主动防御技术,通过不断改变网络系统的属性来动态地转换攻击面,从而提高攻击者的攻击成本和攻击代价。在移动目标防御体系下,网络空间不再一成不变,而是瞬息万变,在动态变化中取得防御优势。
网络欺骗与移动目标防御技术的目标一致,都希望通过增加目标网络系统的不确定性来迷惑攻击者,但网络欺骗比移动目标防御更具攻击性,因为它会故意向攻击者提供虚假信息以使其形成错误的认知。
网络欺骗的部署成本与代价通常会低于移动目标防御。网络欺骗环境部署完成后,攻击者一旦进入,其活动大概率会被迟滞,而移动目标防御则需要频繁地触发动态与随机机制,改变系统的攻击面。
实际上,网络欺骗和移动目标防御机制可以很好地融合,弥补彼此的不足,构建出更加安全高效的网络安全防御体系。例如,在网络系统中加入蜜罐、蜜标等欺骗元素,精心构建出欺骗场景,可以显著扩大移动目标防御系统攻击面的转换空间,提升安全防御能力。
5 结语
作为改变网络安全防御被动局面的一种主动防御技术,蜜罐技术已经成为监测、分析网络威胁的主要技术手段,演进为体系化的网络主动防御架构网络欺骗。本文总结了蜜罐技术的发展历程和分类,针对蜜罐技术的特点和存在问题进行分析,并通过对比分析研究了网络欺骗的原理、特点与优势。网络欺骗并不与其他防御技术相排斥,通过与移动目标防御等防御技术结合,完全有可能创造出更加安全高效的主动防御体系,在网络安全防御中发挥更大作用。