面向Web安全防護的蜜罐技術研究

【摘 要】 傳統Web安全防護技術存在誤報、漏報以及防御被動等問題，蜜罐技術的引入可有效改善此狀況。本文針對面向Web安全防護的蜜罐技術進行研究，分析當前主流的Web蜜罐技術，提出蜜罐技術在Web安全防護中的應用模型，并進行了研究展望。

1 引言

隨著Web2.0的發展，越來越多的公司、政府、學校等組織機構開始利用Web技術向外提供服務。根據Internet Live Stats統計，截至2021年年初，全世界Web站點數量已超18億。Web技術優秀的標準化工作以及活躍的社區使普通開發者開發Web應用的難度降低，促使了Web技術的發展，但同時也導致了很多Web安全問題。據國家信息安全漏洞庫CNVVD2013年至2020年收錄的漏洞類別統計顯示，其中涉及Web應用的漏洞約有17萬個，占比19%。Web服務向外暴露的巨大攻擊面，使得攻擊Web應用經常成為網絡攻擊的入口點。

傳統的Web安全防護技術不足以應對層出不窮、變化多端的Web攻擊。Web應用防火墻（Web Application Firewall，WAF）、入侵檢測系統（Intrusion Detection Systems，IDS）等防御手段往往采用基于規則和基于異常的機制來檢測和阻斷Web攻擊，這種防御方式存在很明顯的缺點。如基于規則的防御手段采用特征碼的方式匹配已知的攻擊，這無法防御新的攻擊手段，同時也很容易被高級攻擊者繞過；而采用基于異常的機制，往往又嚴重依賴于異常檢測模型的精確程度，模型的假陽性率對于業務系統的用戶體驗影響很大。

傳統Web安全防護技術的“力不從心”，其實可以從主動防御的思路中總結出原因。傳統的Web安全防護過程中，被防御實體一直站在原地處于“被動挨打”的境地，防御者只能通過不斷加入一層層的“屏障”阻擋攻擊者進攻的步伐。而在主動防御的思路中，防御者主動出擊，誘導攻擊者、延緩攻擊進程甚至是反制攻擊者。蜜罐技術就是這樣一種主動防御技術。在蜜罐技術未應用之前，不管加入多少傳統防護手段，攻擊者的認知都是很清晰的，那就是繞過、破壞這些防護手段，然后攻陷目標；在加入了蜜罐技術之后，攻擊者的認知被擾亂，因為攻擊的目標是否是真正的業務系統這件事變得不那么確定，很可能在歷經千辛萬苦攻陷系統之后發現是個假目標。蜜罐技術的加入可以有效改善傳統Web安全防護技術中防御被動的狀況，顯著提升Web服務整體安全防護能力。

2 蜜罐技術概述

蜜罐技術是一種主動防御技術，通過部署沒有真實業務數據的系統來誘騙攻擊者實施攻擊，記錄其攻擊行為從而學習攻擊者的攻擊目的和攻擊手段，以此不斷提升真實業務系統的安全防護能力。

蜜罐技術發展至今經歷了蜜罐、蜜網和蜜場等階段。單就蜜罐技術而言，研究內容從如何提升蜜罐的自適應性到如何提升蜜罐的動態性等，這些研究的目的都是為了提升蜜罐整體的誘騙能力。

蜜罐技術按照其交互程度可以分為低交互蜜罐、高交互蜜罐和純蜜罐，其中，純蜜罐和真實業務系統功能上一致，但是會在其外部加入監測記錄功能。按照其作用點不同，又可以粗略分為應用層蜜罐、網絡蜜罐、主機蜜罐、設備蜜罐等。本文所介紹的應用于Web安全防護中的蜜罐技術屬于應用層蜜罐的范疇，下面將對此詳細展開介紹。

3 Web安全防護中的蜜罐技術

在Web安全攻防對抗中，攻擊模式一般分為2種：非定向Web攻擊和定向Web攻擊。非定向Web攻擊的目的往往是利用漏洞獲取資源，攻擊者通過威脅情報或者漏洞挖掘等方式掌握了較新的漏洞利用方式，基于此編寫漏洞批量利用腳本，自動化、無差別地對互聯網上的Web應用進行漏洞探測與利用，以此獲取更多的“肉雞”資源用于跳板機、挖礦以及組建僵尸網絡等目的。由于這種攻擊方式不是針對特定的個體或者組織，所以稱之為非定向Web攻擊。與之相對應，攻擊者具有很明確的目的性，針對特定個體或者組織發起的攻擊就稱為定向Web攻擊。定向Web攻擊和非定向Web攻擊在實施過程中最大的區別就是攻擊者親自參與的程度不同，在定向Web攻擊中，攻擊者往往會更多地親自參與、多次嘗試，所以定向Web攻擊的攻擊手法也往往更加高級。

應用于Web安全防護中的蜜罐技術，為應對這兩種不同的Web攻擊模式，也呈現出不同的形式，下面將從部署模式、技術特點和應用效能3個方面介紹在這兩種Web攻擊模式下蜜罐技術的異同。

3.1 針對非定向Web攻擊的蜜罐技術

在非定向Web攻擊中，攻擊來源往往是自動化攻擊腳本。這些攻擊腳本沒有明確的目標對象，批量的掃描、驗證著互聯網上的Web應用。這種攻擊模式呈現出非定向、低交互的特征，所以應對這種攻擊模式的蜜罐技術在部署后往往與真實業務系統處于一個平行的位置，并且直接暴露于互聯網，如圖1所示。因為這樣部署使得蜜罐具有和普通業務系統同等的地位，自然也就會成為非定向Web攻擊的目標。而蜜罐表現出的特點往往是低交互且動態性比較強，低交互是因為這些自動化腳本本身的交互性也不會很高，低交互足以應對；動態性是為了能應對多種不同的自動化攻擊。在這樣的應用場景下，蜜罐具備Web攻擊預警、Payload捕獲等效能。

3.2 針對定向Web攻擊的蜜罐技術

在定向Web攻擊中，攻擊多由攻擊者親身參與。這種攻擊有明確的目標對象，比如官網首頁或者某個子部門的二級域名網站。這種攻擊模式往往呈現的是定向、高交互的特征，所以應對這種攻擊模式的蜜罐技術在空間部署后會像圖2所示，其誘導裝置檢測攻擊并將攻擊誘導至一個與真實業務系統高度仿真的蜜罐，誘導裝置和蜜罐共同保護著真實業務系統。這種應用場景下的蜜罐具有高交互、高隱蔽性的特點，高交互是為了能夠和攻擊者進行更多的交互行為，一方面可以捕獲更多攻擊數據，另一方面也是為了提高自身的隱蔽性。隱蔽性除了高交互特征提供之外，也包含了監測機制的隱蔽性，以保證攻擊者無法察覺。在此場景下，蜜罐技術除了具備Web攻擊預警、Payload捕獲效能之外，還能延緩攻擊進程，給予安全防護人員更多的應急響應時間。

介紹完兩種攻擊模式下的Web蜜罐技術，接下來將主要就單蜜罐技術進行討論，提出面向Web安全防護的蜜罐技術分層模型。

4 面向Web安全防護的蜜罐技術分層模型

在Web應用開發領域有一種著名的架構模式叫做MVC，它將Web應用系統分為模型層（Model）、控制器層（Controller）和視圖層（View）。在分析研究當前主流的Web蜜罐后發現，應用于Web安全領域的蜜罐技術也可按照這三層為界限進行劃分。蜜罐技術本質是誘騙和監測，根據誘騙和監測發生在MVC的不同階段，可將Web安全防護中的蜜罐技術分為視圖層蜜罐技術、控制層蜜罐技術和數據層蜜罐技術，其模型示意圖如圖3。

接下來將從這三層逐一展開，說明每一層蜜罐技術的表現形式和特點，并介紹相應的主流Web蜜罐技術。

4.1 視圖層蜜罐技術

視圖層蜜罐技術指的是誘騙或監測發生在視圖層及以上的技術形態，主要表現為各類具有模擬功能的低交互Web蜜罐、記錄HTTP流量類型的純蜜罐、Web中間件類型蜜罐、反向代理類型蜜罐等。Glastopf是一款優秀的低交互Web蜜罐，它通過各種Web漏洞類型模擬器模擬各類Web漏洞。純蜜罐通過將真實的業務系統脫敏，在其上層添加記錄流量的組件使其成為一個蜜罐系統。2015年，Araujo等人在USENIX上提出的基于LLVM的DataFlowSanitizer實現的是一種基于信息流的Apache Web中間件蜜罐，在檢測到攻擊時自動將攻擊者的網絡連接引導至具備監測能力進程上。HFish蜜罐平臺是基于Nginx中間件開發的插件，可以實現將任意站點轉化為蜜罐。2017年，Izagirre等人提出反向代理等手段在應用層操縱HTTP請求注入誘騙數據以檢測攻擊和阻斷攻擊，屬于反向代理類蜜罐技術。

這類蜜罐技術的監測層次處于視圖層及以上的位置，捕獲和記錄攻擊者對于Web蜜罐的輸入數據，相對來說比較簡便易行。但由于監測的層面較高，往往捕獲到的攻擊行為數據所攜帶的語義信息更低，當數據量較大時可能需要結合其他數據分析方式如數據挖掘等進行輔助分析。這個層面的Web蜜罐技術的監測工作已經做得相對比較完善，未來的研究主要集中在誘騙策略的設計以及對大量語義數據的分析工作上。

4.2 控制器層蜜罐技術

控制器層蜜罐技術的誘騙或監測發生在視圖層之下、數據層之上，主要包括各類高交互Web蜜罐、網站影子系統等。比如HIHAT可以將現有的PHP應用轉化為一個高交互蜜罐，雖然部分PHP應用沒有明顯劃分MVC3個層級，但轉換后的蜜罐監測功能實際上是發生在控制器層，所以可以劃分到控制器層的蜜罐技術。2017年，ArkTeam在FreeBuf互聯網安全創新大會（FIT2017）上發表的“網絡欺騙：防御者的詭計”主題演講中提到的影子服務，即在真實業務系統旁邊安插的高度仿真的蜜罐系統，其本質上也是一個高交互的蜜罐，所以也可將其劃分到控制器層蜜罐技術范疇。2020年，Niakanlahiji等人提出一種根據攻擊者交互數據推測攻擊者水平，從而為攻擊者提供定制化的Web蜜罐來最大化地迷惑攻擊者的思路，這種交互數據的捕獲需要在控制器層面，進而才能獲取更多的語義信息輸入到推測模型，所以這種也可以歸類到控制器層的蜜罐技術。

控制器層蜜罐技術捕獲到的攻擊行為數據相較于視圖層來說語義更加豐富，但相對來說監測也更加困難。HIHAT雖然做到了自動化地將現有應用轉化為高交互蜜罐，但是其實現的機制不是很隱蔽，與蜜罐技術本身的誘騙功能存在沖突，在監測隱蔽性上仍有待提升。此外，還可基于高交互特性獲取到的高語義數據來進行進一步的分析以提高蜜罐整體的誘騙性。

4.3 數據層蜜罐技術

數據層蜜罐技術偏向于數據層面的誘騙和監測，主要包括數據庫蜜罐、數據蜜餌等，目前的研究工作數量相對前兩種層面的蜜罐技術較少。NoSQLpot是一個NoSQL蜜罐框架，可以模擬各類NoSQL數據庫，記錄數據庫操作行為，屬于數據層蜜罐技術。2013年，Juels等人提出的“honeywords”的誘騙手法，通過給正常的用戶設置除了正確密碼以外的密碼，當攻擊者以honeywords登錄時就會觸發警報，本質上是一種數據庫蜜餌。

數據層蜜罐技術傾向于數據流的監測，雖然監測難度相對來說不是很大，但是往往需要與前兩種層面的蜜罐技術相結合才能發揮效能。例如，雖然對于涉及秘密數據的攻擊行為來說此類蜜罐技術行之有效，但是對于以控制為目的的攻擊行為就會顯得束手無策。這個層面的蜜罐技術的后續研究可集中于誘騙策略的設計上，如結合控制層蜜罐技術收集到的高語義行為數據，有針對性地生成、布置蜜餌，以提高蜜罐技術整體的誘騙效能。

5 結語

本文針對面向Web安全防護的蜜罐技術進行了研究，從目前傳統Web安全防護技術存在的不足出發，以主動防御的視角分析了問題存在的根本原因，逐步引出了2種不同Web攻擊模式下的Web蜜罐技術，進而提出Web蜜罐技術分層模型。安全研究工作者可借助此模型認識、分析現有的Web蜜罐技術，發現不足與缺口，進而提出改進方法與新技術。Web服務暴露出的巨大攻擊面使其逐漸成為網絡攻擊的最佳入口點，研究Web蜜罐技術對于在攻擊初期發現、捕獲、延緩網絡攻擊，提升系統整體安全防護能力具有深遠的意義。面向Web安全防護的蜜罐技術進一步的研究工作將在于提升誘騙的智能性和監測的隱蔽性，逐步提升蜜罐整體的誘捕能力。

 

（原載于《保密科學技術》2021年2月刊）