基于蜜罐的欺騙式主動防御的發展與演進

【摘   要】 本文從傳統蜜罐出發，介紹了蜜罐技術的發展歷程，討論了現有蜜罐技術的特點及其存在的問題，進而引出由蜜罐演進而來的網絡欺騙防御，通過對比分析其他防御技術，研究了其特點與優勢。

【關鍵詞】 蜜罐 主動防御 網絡欺騙

1 引言

互聯網在給人類社會帶來極大便利的同時，網絡安全問題也逐漸成為網絡空間亟須解決的核心問題。隨著“震網”“斯諾登”“方程式”等事件的不斷曝光，網絡攻擊復雜化、自動化、智能化的特點逐步顯現，網絡安全問題日益嚴峻。傳統的網絡防御技術大都是通過入侵檢測、防火墻等方法來保護網絡及系統的安全，屬于被動防御手段，使得防御方在攻防過程中基本上處于劣勢地位。

蜜罐技術就是防御方為了扭轉“易攻難守”的劣勢局面而提出的一種主動防御技術，通過吸引、誘騙攻擊者對其進行非法使用，從而對攻擊行為進行記錄，以研究攻擊者的攻擊目的、攻擊方法和攻擊工具，并通過技術和管理手段有針對性地增強目標系統的安全防護能力。然而，傳統蜜罐存在位置固定、配置靜態等不足，一旦被攻擊者識破或者沒能吸引攻擊者注意力，蜜罐就可能完全失去作用。近年來，反蜜罐技術不斷發展，使得攻擊者繞過預設陷阱進而攻擊真實資源成為可能，進一步限制了傳統蜜罐的效能。

網絡欺騙是根據蜜罐的思想演進而來的一種防御機制，通過在防御方網絡信息系統中布設體系化的騙局，干擾、誤導攻擊者對被保護網絡信息系統的感知與判斷，誘使攻擊者做出對防御方有利的決策和動作，從而達到發現、延遲或阻斷攻擊者活動的目的。

2 蜜罐技術概述

2.1 蜜罐技術的發展歷程

蜜罐的思想最早源于Cliff Stoll的《布谷鳥的蛋》一書，該書描述了一系列有關跟蹤黑客的事件，主人公利用蜜罐技術來追蹤一起商業間諜案件。在20世紀90年代后期，蜜罐作為一個欺騙攻擊者與其進行交互的工具在網絡安全領域興起。1998年，Cohen提出了欺騙理論框架和模型，并開發了欺騙工具包（Deception Tool Kit，DTK），通過偽裝一些廣為人知的漏洞，吸引攻擊者的注意力。

1999年，Spitzner提出蜜網技術。蜜網是由多個蜜罐系統加上防火墻、入侵檢測、數據分析與自動報警、攻擊行為記錄等輔助機制組成的網絡防御體系，可以向攻擊者提供更加充分的交互環境，使得安全人員能夠在高度可控的蜜罐網絡中，監測誘捕攻擊活動，掌握攻擊者的攻擊方法、攻擊意圖和攻擊工具。在之后的研究中，又引入了分布式蜜罐和分布式蜜網技術，實現了多點部署，顯著擴大了蜜罐的覆蓋范圍。2003年，蜜場的概念被提出，通過服務重定向技術將各個子網中的非法訪問轉移到一個集中的蜜罐網絡中加以監控，為將蜜罐技術用于防護大規模分布式業務網絡提供了一條可行的路徑。

蜜罐技術最初的應用場景是輔助入侵檢測技術來發現網絡中的攻擊者和惡意代碼，在21世紀初，蠕蟲大量爆發，蜜罐技術能夠有效監測對具有主動傳播特性的網絡蠕蟲。如今，蜜罐已經擴展至許多領域，在社交網絡、物聯網、無線網絡、工業控制網絡等新興領域都發揮了重要作用。

2.2 蜜罐技術分類

根據蜜罐的用途，可以將其分為產品型蜜罐和研究型蜜罐。產品型蜜罐用于保護一個組織正在使用的系統，包括檢測攻擊、防止攻擊并幫助安全人員對攻擊做出正確及時的響應。比較有代表性的產品型蜜罐有KFSensor、ManTraq等一系列的商業產品和DTK、honeyd等開源工具。研究型蜜罐用于跟蹤和記錄攻擊行為，了解攻擊者所使用的攻擊工具和攻擊方法，并將這些信息轉化為新的防御策略。產品型蜜罐部署起來比較容易，而且投入的人員和精力相對較少，但捕獲的攻擊信息較少；研究型蜜罐所投入的人員和精力較大，以保證進出流量和各項行為能得到有效分析。

按照交互能力的強弱，蜜罐分為低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐只能提供非常有限的交互，通常只提供實施網絡探測、漏洞利用等所必需的誘餌網絡訪問接口，模擬少量的服務。低交互蜜罐易于部署，也不需要大量的資源進行維護，但它只是對系統的最基本的模擬，不足以捕獲復雜的威脅。中交互蜜罐可以提供更多的交互信息，但仍然沒有提供真實的操作系統。中交互蜜罐可以實現模擬操作系統的各種行為，通過具體配置使其看起來與真實的操作系統沒有明顯區別，可以使攻擊者獲得與真實系統非常接近的交互體驗。高交互蜜罐可以提供一個完整的可交互系統，它不是模擬某些協議或服務，而是提供真實的目標系統，可以更加全面地觀察攻擊者的行為過程。同時，高交互蜜罐存在被攻擊者入侵控制的可能性，一旦失控，可能會對自身安全構成威脅，所以必須對高交互蜜罐進行嚴格控制和管理。

3 蜜罐技術的特點及局限性

相比于其他傳統網絡防御技術，蜜罐技術具有以下特點：一是使用簡單，蜜罐不需要改變現有的網絡部署方式，用戶只需要將蜜罐合理放置在網絡中并監測蜜罐告警信息；二是占用資源少，蜜罐僅記錄和響應嘗試與自己建立連接的行為，不會被龐大的網絡流量淹沒，同時，它對硬件要求較低，不需要昂貴的專用硬件設備；三是數據價值高，蜜罐只收集異常訪問行為信息，收集到的數據具有較高的研究價值，通過研究分析，可以較完整地還原攻擊者的攻擊方法、意圖和工具。

蜜罐技術雖然在研究攻擊者行為方面具有重要價值，但是由于自身存在的一些局限性，使其不足以在網絡攻防對抗中完全掌握主動權，主要體現在以下方面。

（1）現有蜜罐技術主要針對具有大規模影響范圍的傳統普遍化安全威脅，而對于具有特定目標性的高級持續性威脅，誘騙和監測能力不足。應對高級持續性威脅必須擁有高度可定制性、全面隱蔽性和動態環境適應能力，而這些特性恰恰是常規蜜罐技術所欠缺的。

（2）蜜罐環境在逼真度和可控性方面存在難以調和的矛盾。高交互蜜罐雖然具備高度的誘騙性和偽裝性，但在可控性、可維護性等方面存在不足；低交互蜜罐雖然維護成本較低、可控性好，但逼真度不夠，難以捕獲較高級別的攻擊威脅。

總體而言，蜜罐技術相對于傳統防御技術具有簡單、高效等優勢，但也存在動態性低，逼真度與可控性難以兼顧的局限。在網絡攻擊技術突飛猛進的背景下，傳統蜜罐技術已難以適應網絡安全防護需求。

4 網絡欺騙

4.1 網絡欺騙技術概述

網絡欺騙是由蜜罐演進而來的一種主動防御機制。防御者通過在己方網絡信息系統中布設騙局，干擾、誤導攻擊者對己方網絡信息系統的感知與判斷，誘使攻擊者做出對防御方有利的決策和動作，從而達到發現、延遲或阻斷攻擊者活動的目的。

網絡攻防過程可以通過美國空軍上校約翰·包以德（John Boyd）提出的包以德（OODA）循環理論來描述。OODA循環由觀察（Observe）、調整（Orient）、決策（Decide）以及行動（Act）四個環節組成。基于OODA循環理論，攻防雙方中誰能更快更好地完成“觀察—調整—決策—行動”循環過程，誰就能夠掌握攻防博弈的主動權。

網絡欺騙通過干擾攻擊者的OODA循環過程獲取對抗過程的主動權和優勢。利用網絡欺騙技術，防御者可以在對手OODA循環的“觀察”和“調整”階段主動地提供欺騙性信息，遲滯對手的進程，從而給防御者爭取更多的時間進行決策和開展行動。

如今，網絡欺騙已經遠遠超越了蜜罐的概念，正朝著網絡安全主動防御體系方向發展，開始與博弈論、人工智能等理論深度融合，同時網絡虛擬化、軟件定義網絡、云計算等技術逐步應用于網絡欺騙環境構建。對比傳統防御技術、傳統蜜罐技術和移動目標防御等主流防御技術，網絡欺騙具有以下特點與優勢。

4.2 網絡欺騙與傳統防御技術

網絡欺騙與傳統防御技術的一個根本區別是，傳統防御技術專注于攻擊者的行為，目的是對它們進行檢測和預防；而網絡欺騙著眼于攻擊者的認知，目的是干擾他們的認知并誘導攻擊者采取有利于目標系統的決策。

網絡欺騙與傳統防御技術的另一個區別是傳統防御側重于信息隱藏，而網絡欺騙防御會采取隱藏真實信息和披露虛假信息相結合的方式來誤導攻擊者，使其在觀察階段產生認知偏差，從而保護關鍵目標。

4.3 網絡欺騙與傳統蜜罐技術

網絡欺騙不同于傳統的蜜罐技術。蜜罐技術的主要目的是吸引攻擊者進入偽裝的網絡環境，并收集攻擊者的活動信息。網絡欺騙的主要目的是綜合使用多種欺騙手段混淆網絡，使攻擊者對真實的網絡結構產生錯覺。眾所周知，網絡探測是網絡入侵行動的第一個環節，通過網絡探測獲取目標網絡系統的結構配置等信息，為后續攻擊動作提供依據。通過部署網絡欺騙環境迷惑攻擊者，使其不確定或不能準確地了解真實的網絡結構，從而創造有利于防御者的非對稱優勢。

4.4 網絡欺騙與移動目標防御

移動目標防御（Moving Target Defense，MTD）是為了扭轉攻防對抗的不對稱格局而提出的主動防御技術，通過不斷改變網絡系統的屬性來動態地轉換攻擊面，從而提高攻擊者的攻擊成本和攻擊代價。在移動目標防御體系下，網絡空間不再一成不變，而是瞬息萬變，在動態變化中取得防御優勢。

網絡欺騙與移動目標防御技術的目標一致，都希望通過增加目標網絡系統的不確定性來迷惑攻擊者，但網絡欺騙比移動目標防御更具攻擊性，因為它會故意向攻擊者提供虛假信息以使其形成錯誤的認知。

網絡欺騙的部署成本與代價通常會低于移動目標防御。網絡欺騙環境部署完成后，攻擊者一旦進入，其活動大概率會被遲滯，而移動目標防御則需要頻繁地觸發動態與隨機機制，改變系統的攻擊面。

實際上，網絡欺騙和移動目標防御機制可以很好地融合，彌補彼此的不足，構建出更加安全高效的網絡安全防御體系。例如，在網絡系統中加入蜜罐、蜜標等欺騙元素，精心構建出欺騙場景，可以顯著擴大移動目標防御系統攻擊面的轉換空間，提升安全防御能力。

5 結語

作為改變網絡安全防御被動局面的一種主動防御技術，蜜罐技術已經成為監測、分析網絡威脅的主要技術手段，演進為體系化的網絡主動防御架構網絡欺騙。本文總結了蜜罐技術的發展歷程和分類，針對蜜罐技術的特點和存在問題進行分析，并通過對比分析研究了網絡欺騙的原理、特點與優勢。網絡欺騙并不與其他防御技術相排斥，通過與移動目標防御等防御技術結合，完全有可能創造出更加安全高效的主動防御體系，在網絡安全防御中發揮更大作用。 

 

（原載于《保密科學技術》2021年2月刊）