网络欺骗技术在网络攻击早期预警中的应用

蜜罐通过部署诱饵目标，如模拟主机漏洞、服务及有价值的信息等，主动引诱、欺骗攻击者对其进行非法攻击或其他行为，进而对攻击者行为进行监控和记录，在防止有价值的真实资源受到破坏的同时，实现对攻击者的攻击目的、攻击方法和攻击工具的研究分析，综合利用技术和管理手段实现有针对性地增强目标系统的安全防护能力。根据应对方案，蜜罐可以分为两类:静态蜜罐和动态蜜罐。静态蜜罐由于固定的配置和响应，很容易被攻击者检测到，从而使得攻击者逃脱或绕过蜜罐直接对真实系统发起攻击，导致蜜罐失效。动态蜜罐的可变性改善了这种即破即失效的缺点，由于配置可变，动态蜜罐能够更好地欺骗人侵者，捕获更多的攻击数据。

网络欺骗便是蜜罐思想进一步演进的成果，通过在防御方网络信息系统中布设体系化的骗局，干扰、误导攻击者对被保护网络信息系统的感知与判断，诱使攻击者做出对防御方有利的决策和动作，从而达到发现、延迟或阻断攻击者活动的目的。

蜜罐工具兴起于20世纪90年代后期。1998年，Cohen提出了欺骗理论框架和模型，并开发了欺骗工具包（Deception Tool Kit，DTK），通过伪装一些广为人知的漏洞，吸引攻击者的注意力。1999年，Spitzner提出蜜网技术。蜜网是将多个蜜罐系统加以防火墙、入侵检测、自动数据分析与报警，以及攻击行为记录等辅助机制组成的网络防御体系，可以向攻击者提供更加充分的交互环境，使得安全人员能够在安全可控的网络环境下诱捕攻击活动，获取攻击者的攻击路径、攻击方法、攻击目标和攻击工具的信息。

不同于传统的蜜罐或者蜜网技术，网络欺骗的主要目的是综合使用多种欺骗手段混淆网络，使攻击者对真实的网络结构产生错觉。在网络攻击的信息收集阶段，攻击者通过网络扫描、嗅探等手段获取目标系统的网络结构、配置等信息，为后续攻击动作提供依据。网络欺骗环境可以迷惑攻击者，使其不确定或不能准确地了解真实的网络结构，从而解决由于信息不对称导致的防御者劣势，使得攻防双方处于同一水平线上。

笔者单位需要常年面对频繁的攻击以及各级单位的监测、检查和攻防演练，以下以笔者实际工作中欺骗防御技术的应用举例说明，主要是围绕蜜罐技术进行扩展，通过网络规划调整实现更加逼真的欺骗行为。

笔者单位最初主要采用传统的静态蜜罐形式，一开始采用的是开源蜜罐，在充当负载均衡的代理服务器中部署，和正常业务系统处于同一网段或者同一IP下的非常用端口。

这类蜜罐主要是记录攻击者行为，最常见的方式是在敏感业务系统的同网段或者同IP下的高危端口下进行部署，例如模拟存在常见漏洞的中间件、VPN设备、邮件系统等。由于正常业务系统使用的是其他端口，因此针对蜜罐端口或者IP地址进行任何访问行为的IP都是值得关注的，都可以怀疑有攻击的企图。

这样的部署模式在初期收到了一定效果，可以发现不少异常行为，例如进行端口扫描、自动化攻击工具等行为。通过蜜罐的早期预警可以更快地发现攻击者IP地址或者对IP地址段进行封堵，但由于这类蜜罐位置固定、配置静态、模板缺乏针对性，很容易被有经验的攻击者识破，对于APT攻击行为防护效果有限。

由于开源蜜罐功能有限，笔者单位后期试用了一些国产的商用蜜罐，将这类蜜罐在开源蜜罐的基础上进行了二次开发，以容器的形式进行快速部署，通过蜜罐部署网页挂马、VPN客户端挂马等，在攻击者访问蜜罐的过程中主动进行反制攻击行为，获取攻击者更加详细的信息。例如：在中间件蜜罐容器中部署JS脚本木马，在攻击者点击访问的过程中尝试获取浏览器中的一些信息，诸如正在登录的社交媒体账户信息等；亦或者是诱使攻击者下载按照VPN蜜罐容器中的客户端，在客户端植入远控软件，实现对攻击者设备的攻击。

在已有商业蜜罐的试用经验上，笔者单位尝试了蜜网的应用。IP地址的规划中，每个业务IP地址段之间留出一部分专门用于部署蜜罐设备。这些蜜罐设备并不是使用现场的蜜罐模板，而是真实系统的测试系统，日常工作中用于测试，只不过正常测试都是通过堡垒机实现部署，通过指定前置机进行访问，但是并没有在网络设置上进行限制。这样，一旦有设备通过其他设备、路径或者手段进行访问，那么这些设备就可以被认为是高危设备，从而实现早期预警。

密网的好处有两个：一是可以更好地迷惑攻击者，由于是参照真实业务系统进行配置，密网中的蜜罐更逼真复杂，不易被识破，能够消耗攻击者更多时间和精力，记录更详细的行为，延缓攻击者对真实业务系统的攻击；二是可以发现可能存在的、未被注意到的攻击路径，起到查漏补缺的作用，实际工作中，很多攻击路径是出人意料的，而通过密网或利用多层蜜罐的部署，可以更好地发现这些路径，为进一步的加固提供帮助。

在实际使用中，欺骗防御技术虽然取得了较为不错的成果，例如在攻防演练中实现对攻击队的反向控制、追踪和取证，但也出现了很多现实问题。

早期开源蜜罐技术需要大量实体机进行部署，为了确保真实性，其配置不能太低，但实际上仅仅是在一些特殊时期才能使用，日常长期使用，成本难以承受。采用商业蜜罐后，虽然设备需求下降了，但在后续尝试创建蜜网的过程中，创建逼真的蜜罐容器的成本与部署一个真实系统相比并不低。商业蜜罐设备一般采用容器模式降低硬件要求，同时通过配置欺骗技术，使得容器的配置看起来很高，但如果部署更加逼真的蜜罐容器，容器的实际硬件规格不足以模拟真实的业务系统，需要进行深度改造才可以。同时，目前虚拟机或者容器本身的安全性也存在疑问，存在攻击行为逃逸出虚拟机的情况。蜜罐容器的物理机还应该是专用的，是独立的资源池，在网络层面也要做好隔离，规避可能存在的风险。

针对这些问题，在实践中笔者单位利用了测试开发环境部署蜜网，将原有的专门划分的测试区域取消，在每个生产环境划分其专属的测试区域部署测试环境和蜜罐，两者混合在一个网络段内进行部署，充分利用现有测试设备资源，使得仅需要在个别时间运行的测试环境变成了常年运行状态。

蜜网的一大特色就是自动化的联动，这也是非常迷人的地方，但要在实际过程中做到却非常困难。由于采购政策的要求，笔者单位无法决定采购的网络和安全设备品牌型号，这使得设备品牌型号十分多样。虽然通过一些公共通讯协议实现联动，但实际上每个厂家实现的细节千差万别，还需要进行大量的适配工作，这使得自动化联动变得十分困难。举例说明，IPS和APT设备之间的联动，同一品牌间可以实现IPS发现存在风险的文件后自动发送至APT设备，利用APT设备沙箱进行分析，将判断结果返回IPS，IPS根据威胁程度进行处理。但不同品牌下就只能实现APT设备利用镜像流量分析高危主机，返送消息给IPS，IPS对高危设备进行断网处理。而且由于不同品牌设备对威胁的评级标准不同，有的是低危、中危、高危三级，有的是警告、低危、中危、中高危、高危五级，导致设备无法实现联动。

以上原因使得笔者单位不得不采用人工处理的方法，专人分工负责不同的设备，制定动作流程，实现攻击行为早期预警后的联动行为，而这样的方式注定只能是特殊时期使用的方式，由于人工成本的原因，难以长期坚持下去。

参考其他单位的经验，笔者单位更多是通过建设统一安全管理平台来解决这一问题。但这一方案的问题是没有现成产品，需要进行开发，而相关标准缺位，各个厂家产品之间差距巨大，开发难度大、周期长，真正实现既定目标的案例有限。较为现实的方案是一次性的升级改造，选择1～2个品牌设备进行建设，相对而言更容易实现，风险更为可控。

蜜罐虽然兴起较早，但在合规性问题上也是十分让人头痛。欺骗防御技术的核心就是欺骗，自然不可能在部署时向有关部门通报，否则极易泄露信息，使得防御失效。但各级监管机构常常会在不通知被检查方的情况下，委托第三方对一些单位进行检查检测。由于检测人员的技术水平参差不齐，常常无法识别出哪些是蜜罐，哪些是真实系统，从而出现误报行为，将蜜罐设备误以为是生产系统，认为其存在风险漏洞，而且对于蜜罐技术的使用尚缺乏一些官方的指导意见，采购部署中存在很多的不确定性，有待进一步明确。

以上就是作者结合工作中欺骗防御技术的一些实践心得，有很多想法还不是很完善，后续也在考虑结合IPv6改造，尝试进行大规模的蜜网建设和移动目标防御体系建设，提高网络欺骗防御技术在网络攻击早期预警中的自动化水平，建立攻守兼备的网络安全体系。由于笔者水平有限，经验不足，希望大家多多指正。

来源：《网络安全和信息化》杂志

点击关注我们~