徐 超，閆懷超，江佳希

(上海工業(yè)自動化儀表研究院有限公司，上海 200233)

0 引言

當前，國家重大活動的網(wǎng)絡安全事件并不少見，這也是確保特殊時期企業(yè)和行業(yè)應用、系統(tǒng)、網(wǎng)絡可以安全、可靠、穩(wěn)定、健康運行的重要措施。

所有類型的網(wǎng)絡安全攻防都有兩個角色，一是紅方的安全檢查，二是藍方的防御系統(tǒng)。因為藍方的防御系統(tǒng)經(jīng)常在各個方面遭受“紅色”困擾，例如安全測試、自動安全檢查和手動滲透測試。安全性經(jīng)過很長時間測試，才能驗證用戶系統(tǒng)安全策略和保護措施的有效性。

網(wǎng)絡陷阱是一種基于網(wǎng)絡誘捕技術(shù)，對虛擬系統(tǒng)和網(wǎng)絡等進行主動和欺詐性網(wǎng)絡安全檢測的技術(shù)。它利用安全檢測技術(shù)高效準確地檢測事件，具有很高的應用價值。

1 網(wǎng)絡誘捕技術(shù)的應用

1989年，網(wǎng)絡誘捕技術(shù)被首次提出。在開發(fā)過程中，在蜜罐網(wǎng)絡項目組和其他開源技術(shù)團隊的推動下，不同類型的網(wǎng)絡誘捕軟件工具都存在網(wǎng)絡安全問題。網(wǎng)絡誘捕技術(shù)也已經(jīng)從蜜罐發(fā)展到蜜網(wǎng)[1]，再到分布式蜜網(wǎng)和蜜場[2]。網(wǎng)絡誘捕技術(shù)還經(jīng)常用于攻擊分析、入侵檢測、僵尸網(wǎng)絡調(diào)查、網(wǎng)絡取證、惡意樣本捕獲和其他安全領(lǐng)域。

在2000年左右，蜜罐網(wǎng)絡項目組主要進行了理論驗證和系統(tǒng)測試。在研究和試驗結(jié)果的基礎(chǔ)上，提出了第一代蜜網(wǎng)理論，并驗證了其可行性和有效性。從2002年到2004年，蜜網(wǎng)發(fā)布了圍繞數(shù)據(jù)控制、數(shù)據(jù)收集、數(shù)據(jù)分析以及其他相關(guān)理論和技術(shù)的第二代蜜網(wǎng)模型框架。自2005年以來，蜜網(wǎng)的便捷化、數(shù)據(jù)捕獲和數(shù)據(jù)分析成為了蜜網(wǎng)項目組的研究重點。在此期間，也發(fā)布了第三代蜜網(wǎng)框架[3]。

目前，網(wǎng)絡誘捕技術(shù)研究人員已經(jīng)開發(fā)出多種類型和功能的蜜罐。值得一提的是，現(xiàn)代蜜網(wǎng)(modern honey network,MHN)項目大大簡化了蜜罐的部署，并使研究人員能夠快速部署蜜罐以捕獲攻擊數(shù)據(jù)。近年來，MHN開源項目社區(qū)不斷活躍和更新。MHN支持多種開源蜜罐軟件，并支持開源通信協(xié)議hpfeed。

從我國近年來發(fā)表的學術(shù)論文來看，國內(nèi)研究者對網(wǎng)絡誘捕技術(shù)的研究和應用還不夠廣泛[4]。從2006年開始，網(wǎng)絡誘捕技術(shù)首次被用于檢測蠕蟲[5-6]。自2008年以來，網(wǎng)絡誘捕技術(shù)已經(jīng)被應用于端口檢測[7]、入侵檢測[8]和攻擊警告[9]。此后，一些研究者將網(wǎng)絡誘捕技術(shù)應用到安全的校園網(wǎng)絡和企業(yè)網(wǎng)絡的建設中[10]。除了有線網(wǎng)絡的應用外，也出現(xiàn)了無線網(wǎng)絡誘捕技術(shù)的應用[11]。然而，關(guān)于網(wǎng)絡誘捕技術(shù)在內(nèi)網(wǎng)安全中應用的文獻很少。唯一的文獻是使用一個通用的蜜罐架構(gòu)，試圖通過在內(nèi)部網(wǎng)絡部署高交互度的蜜罐來捕獲未知攻擊、發(fā)現(xiàn)系統(tǒng)未知漏洞以及了解攻擊者的攻擊手法和所用工具[12]。

關(guān)于網(wǎng)絡誘捕技術(shù)在網(wǎng)絡安全的應用項目，直到2004年，北京大學計算學院的狩獵女神研究團隊研究成果較為突出。該項目團隊成功加入了世界知名的的蜜網(wǎng)技術(shù)研究組織蜜網(wǎng)項目組。狩獵女神蜜網(wǎng)項目多年來一直致力于蜜網(wǎng)技術(shù)和網(wǎng)絡攻擊檢測。從一開始，它就使用網(wǎng)絡誘捕技術(shù)來收集攻擊特征，建立攻擊知識庫和漏洞知識庫，然后使用網(wǎng)絡誘捕技術(shù)來攻擊和防御Internet，學習知識并將研究結(jié)果應用于僵尸網(wǎng)絡。在監(jiān)控方面，基于Mito框架研發(fā)了一種主動的網(wǎng)絡安全保護技術(shù)。清華大學安全團隊的諸葛建偉是主要研究人員之一，他一直在研究和應用網(wǎng)絡誘捕技術(shù)[13]。例如，在cncert中部署kippo蜜罐，以進行相關(guān)的攻擊檢測和數(shù)據(jù)分析。

藍隊防御系統(tǒng)方通過對網(wǎng)絡通信數(shù)據(jù)進行實時的監(jiān)視、檢測和防御，認為網(wǎng)絡誘捕技術(shù)可以廣泛應用于網(wǎng)絡安全防御過程中。這項技術(shù)可以幫助藍方實現(xiàn)以下功能。

①找出當前網(wǎng)絡是否被攻擊方損壞，以及被損壞的區(qū)域是否為授權(quán)的攻擊方。

②檢查當前的網(wǎng)絡安全策略是否健全，是否被損壞。

③找出網(wǎng)絡是否感染了蠕蟲。

④抵制網(wǎng)口掃描，干擾網(wǎng)絡信息的收集和調(diào)查。

⑤查找對重要系統(tǒng)的目標攻擊行為。

⑥保存攻擊事件并完成攻擊日志記錄，一鍵阻止攻擊，并通過技術(shù)對策和司法鑒定提供數(shù)據(jù)支持。

2 網(wǎng)絡安全與紅隊常見的滲透測試方法

從紅隊的視角出發(fā)，任何網(wǎng)絡安全事件都會通過安全校驗，發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡的漏洞和脆弱點。通過多種檢測和掃描工具，對藍色目標網(wǎng)絡進行信息收集、漏洞測試和漏洞驗證。特別是面對大型企業(yè)時，通過大規(guī)模目標檢測等快速手段發(fā)現(xiàn)系統(tǒng)存在的安全問題，主要過程如下。

①大規(guī)模目標偵查。

目標偵查過程中，需快速了解用戶的系統(tǒng)類型、設備類型、版本、開放服務類型和端口信息，并確定系統(tǒng)和網(wǎng)絡的邊界范圍。紅方將了解基本信息，例如用戶網(wǎng)絡規(guī)模。通過nmap端口掃描和服務識別工具打開服務，甚至使用zmap、masscan等大型快速檢測工具進行更有針對性的測試。

②密碼和常見漏洞測試。

紅方已掌握藍方用戶的網(wǎng)絡規(guī)模。主機系統(tǒng)類型和服務開放性。紅方使用Metasploit或手動方法進行有針對性的攻擊和漏洞測試，包括各種Web應用程序系統(tǒng)漏洞、中間件漏洞、系統(tǒng)、應用程序和組件遠程執(zhí)行代碼遺漏。它還將使用Hydra和其他工具來測試各種服務、中間件和系統(tǒng)密碼的常見弱密碼。最后通過技術(shù)手段獲取主機系統(tǒng)或組件的權(quán)限。

③權(quán)限獲取和水平移動。

紅方獲得特定目標后，將使用主機的系統(tǒng)權(quán)限和網(wǎng)絡可訪問性級別來擴展結(jié)果控制密鑰數(shù)據(jù)庫、業(yè)務系統(tǒng)和網(wǎng)絡設備。最后，它通過收集足夠的信息來證明當前缺乏系統(tǒng)安全性，從而控制核心系統(tǒng)并獲取核心數(shù)據(jù)。

3 威脅誘捕技術(shù)應對方式

威脅誘捕技術(shù)主要使用VM、Docker和軟件定義網(wǎng)絡(saftware define network,SDN)等虛擬化應用程序、主機、系統(tǒng)、網(wǎng)絡，以實現(xiàn)虛擬應用程序、主機、系統(tǒng)、網(wǎng)絡相關(guān)功能的模擬。網(wǎng)絡捕獲技術(shù)不同于一般的監(jiān)視方法，后者是一種高精度的網(wǎng)絡安全檢測技術(shù)。網(wǎng)絡捕獲還具有一些主動防御特性。除了準確檢測攻擊事件之外，它還可能誤導攻擊者，使之迷惑，并提高攻擊的有效性。目前，紅方網(wǎng)絡陷阱系統(tǒng)的滲透測試和安全測試方法主要體現(xiàn)在以下四個方面。

①網(wǎng)絡掃描行為和異常行為監(jiān)控。

通常，網(wǎng)絡捕獲系統(tǒng)將為測試人員建立一個或多個虛擬應用程序、主機、系統(tǒng)和網(wǎng)絡。當紅色團隊執(zhí)行網(wǎng)絡檢測和網(wǎng)絡掃描時，如果網(wǎng)絡可訪問，則可能會攻擊網(wǎng)絡中的某些虛擬主機系統(tǒng)。根據(jù)異常連接和連接行為的分析機制，識別掃描類型和異常行為，并在第一時間對攻擊源IP進行告警。

②網(wǎng)絡掃描保護和服務欺詐。

處理掃描情況后，紅隊類型和系統(tǒng)網(wǎng)絡陷阱類型可以提供錯誤的端口和服務打開端口掃描結(jié)果，以及服務識別工具，例如紅隊nmap、zmap、masscan。錯誤的端口打開和服務打開結(jié)果包括一定比例的完全開放的端口。這將大大增加紅場掃描儀的運行時間，并增加紅場掃描儀的時間小組驗證、分析服務和托管應用程序，最終達到隱藏真實系統(tǒng)的目的。

③牽引和重定向攻擊行為。

對于那些闖入網(wǎng)絡的人，網(wǎng)絡捕獲系統(tǒng)可以設置虛擬主機系統(tǒng)的漏洞以及不同比例、不同類型、不同服務。拖動流量并重新定向到指定的容器、系統(tǒng)和網(wǎng)絡環(huán)境，使其進入“網(wǎng)絡黑洞”以增加攻擊時間，繼續(xù)拉動并分散紅色團隊。

④攻擊分析與反擊。

通常，當掃描行為或異常連接行為發(fā)生時，網(wǎng)絡陷阱系統(tǒng)會在第一時間生成安全攻擊事件。網(wǎng)絡掃描保護、服務欺詐、重定向和其他功能可以在一定程度上延遲攻擊時間。同時，當發(fā)生安全攻擊時，網(wǎng)絡捕獲系統(tǒng)還可以將攻擊源的IP地址推送到安全保護產(chǎn)品，以進行鏈接阻止。整個過程中，保留的行為日志還可以分析網(wǎng)絡是否真的被紅方破壞，突破是否是授權(quán)的紅方，從而了解并掌握未經(jīng)授權(quán)的測試和攻擊行為。

4 與一般的網(wǎng)絡安全監(jiān)控技術(shù)的區(qū)別

①不同的數(shù)據(jù)分析方法。

網(wǎng)絡捕獲系統(tǒng)只分析了通信和行為生成的虛擬主機、系統(tǒng)和網(wǎng)絡節(jié)點,不需要分析全網(wǎng)流量,流量和用戶行為分析會由于環(huán)境差異面不一致。

②數(shù)據(jù)分析方法不同于“內(nèi)部”和“外部”。

網(wǎng)絡陷阱系統(tǒng)和數(shù)據(jù)分析不需要區(qū)分業(yè)務域和安全域，例如常見的網(wǎng)絡安全監(jiān)視產(chǎn)品。網(wǎng)絡陷阱系統(tǒng)不區(qū)分“內(nèi)部”和“外部”，沒有安全區(qū)域的概念，也沒有虛擬主機以外的任何資產(chǎn)。系統(tǒng)和網(wǎng)絡節(jié)點可以理解為潛在風險資產(chǎn)。

③異常判斷與攻擊行為不同。

系統(tǒng)和網(wǎng)絡節(jié)點生成的網(wǎng)絡捕獲系統(tǒng)滿足特定級別的特定連接頻率和網(wǎng)絡行為，這是非法的和異常的(因為在正常的連接條件下并且未連接或訪問網(wǎng)絡陷阱虛擬應用程序)系統(tǒng)。首先，用戶的業(yè)務系統(tǒng)和網(wǎng)絡環(huán)境是相對固定的。其次，非攻擊行為不會激活該行為下的異常行為。該分析方法定義了檢測規(guī)則和自定義規(guī)則，減少并消除了產(chǎn)品和網(wǎng)絡安全審核產(chǎn)品中的誤報。

5 結(jié)論

網(wǎng)絡罪犯一直在進化，變得越來越狡猾和持久，他們的目的也不僅僅是突破防線即可。他們想要謀求長期利益，在公司網(wǎng)絡中建立立足點，橫向擴展，跳轉(zhuǎn)到公司合作伙伴的網(wǎng)絡中，并按他們自己的步調(diào)發(fā)起后續(xù)攻擊。為解決這一問題，需要與單純的網(wǎng)絡防御有不同的思維和技術(shù)集。接下去的工作是運用所能收集到的各種鑒證情報分析對手的動機和戰(zhàn)術(shù)，預測攻擊可能發(fā)起的地方。