一種主動防御攻擊誘捕系統(tǒng)在網(wǎng)絡(luò)安全中的應用

宋 清

(天津工程職業(yè)技術(shù)學院，天津 300280)

隨著互聯(lián)網(wǎng)的廣泛應用和電子商務的迅速發(fā)展，“十三五”時期，我國將大力實施網(wǎng)絡(luò)強國戰(zhàn)略，要求網(wǎng)絡(luò)與信息安全有足夠的保障手段和能力，云安全、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、計算機網(wǎng)絡(luò)安全已成為日益引起世界各國政府和企業(yè)關(guān)注的重要問題。與此同時，網(wǎng)絡(luò)安全技術(shù)水平也在與病毒、黑客等的較量中得到不斷的提高。目前，國內(nèi)的政府上網(wǎng)工程、企業(yè)信息化工程以及各行業(yè)信息化建設(shè)步伐日益加快，這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。

如何確保內(nèi)網(wǎng)安全也成為當前網(wǎng)絡(luò)安全的一個重要研究領(lǐng)域。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)，如防火墻、入侵檢測、入侵防護、防病毒網(wǎng)關(guān)、漏洞掃描等，是靜態(tài)的、被動的防御手段。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)外置基于安全規(guī)則的防火墻達到安全防護，其結(jié)構(gòu)和功能基本獨立于防護目標。其實現(xiàn)精確防護建立在先驗知識之上，適用于網(wǎng)絡(luò)系統(tǒng)前期規(guī)模化部署以及增強安全性防護階段。先驗知識就是黑客攻破后，通過分析攻擊行為和攻擊流量，提煉出的攻擊特征。將先驗知識配置到防御產(chǎn)品上去從而實現(xiàn)網(wǎng)絡(luò)安全。然而面對層出不窮的新型攻擊手段，原有的被動的和靜態(tài)的基于已知規(guī)則和先驗知識的安全防護技術(shù)，已越來越無法滿足行業(yè)和企業(yè)用戶保障網(wǎng)絡(luò)安全的需要。這是由于傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)的靜態(tài)性，攻擊者可以有充足的時間對目標進行偵查和打擊；而防御者只能針對已知攻擊部署防御措施或在攻擊發(fā)生后被動地采取防御措施，這對網(wǎng)絡(luò)防御者來說十分不利。為用戶提供主動防御的網(wǎng)絡(luò)安全解決方案，已成為安全產(chǎn)品生產(chǎn)廠商占據(jù)市場并取得可持續(xù)發(fā)展的重要手段。

主動防御攻擊誘捕防滲透網(wǎng)絡(luò)安全技術(shù)通過多樣地、變化地構(gòu)建、評價和部署機制及策略來增加攻擊者的攻擊難度和代價，有效地限制脆弱性暴露及被攻擊的機會。具體來說，就是通過部署變化的地址、端口、路由、加密算法、協(xié)議等，構(gòu)建一種動態(tài)的、不確定的網(wǎng)絡(luò)來破壞攻擊者的偵查和攻擊，從而實現(xiàn)網(wǎng)絡(luò)防御。

除了增加攻擊難度，發(fā)現(xiàn)攻擊者，還有必要對攻擊者的攻擊行為和攻擊流程進行取證、還原，便于對攻擊者進行法律追討。知己知彼從而方便后續(xù)進一步有效防御。在發(fā)現(xiàn)攻擊者后，主動將攻擊者誘導至提前部署好的蜜罐網(wǎng)絡(luò)中，通過蜜罐網(wǎng)絡(luò)高保真與攻擊者交互，記錄保存攻擊流程，作為以后取證和追溯的依據(jù)。

一、主動防御攻擊誘捕系統(tǒng)構(gòu)成

主動防御攻擊誘捕系統(tǒng)分為兩個部分，主動防御部分和攻擊誘捕部分。主動防御可以通過海量的虛假和偽裝的目標，達到將真實目標隱藏甚至移動起來的效果，能以防御者可控的方式進行動態(tài)變化，從而使得攻擊者對攻擊空間不可預知。主動防御可以提前防范威脅，將潛在的威脅扼殺在搖籃里，彌補了傳統(tǒng)“特征碼查殺”技術(shù)對新病毒的滯后性特點。攻擊誘捕部分，將攻擊者流量導入到高交互蜜罐網(wǎng)中進行記錄和特征提取、取證、溯源，也可以在發(fā)現(xiàn)攻擊源時即時掐斷攻擊路徑。

二、主動防御攻擊誘捕系統(tǒng)原理

攻擊誘捕系統(tǒng)是一款基于欺騙防御技術(shù)的網(wǎng)絡(luò)攻擊誘捕系統(tǒng)，通過布置虛擬主機、誘餌、網(wǎng)絡(luò)服務或者信息，從網(wǎng)絡(luò)和主機兩個層面誘使攻擊者實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊工具與方法，推測攻擊意圖和動機，追溯攻擊來源，最終在保護真實資產(chǎn)的同時使用戶清晰地了解所面對的安全威脅。

攻擊誘捕是欺騙防御技術(shù)，作為主動防御的可行落地方案，系統(tǒng)通過配置和自動學習的方式將網(wǎng)絡(luò)拓撲中當前未使用的IP地址作為“虛主機”，未使用的端口作為“虛應用”，虛的意思是虛擬出來的，非實際存在的主機和應用，一個攻擊誘捕系統(tǒng)可以虛化出成千上萬的虛主機和虛應用。這些虛主機和虛應用作為誘餌，需要做到在攻擊者看來與真實主機和真實應用一般無二，當攻擊者碰觸到虛假目標時，就可以判定發(fā)生了安全事件。

攻擊者在進行網(wǎng)絡(luò)殺傷時，需要首先進行對目標網(wǎng)絡(luò)的掃描和探測，在真實主機同網(wǎng)段部署大量誘餌，攻擊者就無法分辨哪臺是真實主機，哪臺是虛假的，這樣就降低了真實主機被攻擊的可能性。一旦攻擊者嘗試攻擊虛擬主機，立即被引導至蜜罐環(huán)境。在攻擊者不知道真實主機IP的時候，虛假主機和虛假應用能夠很有效地捕抓到攻擊行為。在攻擊者知道真實主機IP的時候，可以對被防護主機灑餌，誘捕攻擊行為。也可以對真實流量監(jiān)控，發(fā)現(xiàn)攻擊行為。

攻擊誘捕系統(tǒng)的重點在于誘騙，讓攻擊者對網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)主機真假難辨，攻擊者除非不動，一動就大概率會暴露。已經(jīng)入侵邊界防御體系的攻擊者潛伏在網(wǎng)絡(luò)中，首先偵聽網(wǎng)絡(luò)，通過分析偵聽到的網(wǎng)絡(luò)流量嘗試找到有價值的攻擊目標；然后發(fā)起掃描和探測，進一步試探攻擊目標，嘗試找到攻擊目標的弱點和漏洞；發(fā)起后續(xù)攻擊行為進行橫向擴展。誘捕系統(tǒng)發(fā)起偽裝流量讓攻擊者偵聽，攻擊者在偵聽階段難以分辨?zhèn)窝b流量和真實主機流量，這樣真實主機就淹沒在成千上萬的虛假主機中，讓攻擊者難以偵測到明顯的攻擊目標，那么攻擊者會嘗試主動掃描和探測，一旦碰觸到任意一個虛假主機和虛假應用，就會被引導到高交互蜜罐中，誘惑攻擊者發(fā)起后續(xù)的攻擊行為，這些行為被高交互蜜罐記錄和捕獲下來，成為攻擊者攻擊的證據(jù)，攻擊者的位置和行為特征此時就已經(jīng)暴露了。

三、主動防御主要功能

主動防御的主要功能包括：能虛假出大量主機和應用；能發(fā)起偽裝流量；能響應TCP/IP網(wǎng)絡(luò)協(xié)議，如ARP，ICMP，DHCP，DNS，NDP，ICMP6等；能將攻擊流量導入高交互蜜罐網(wǎng)；能防止攻擊流量橫向逃逸至內(nèi)網(wǎng)其他主機；主機通信流量深層檢測，能夠識別異常通信流量，進行智能封堵，支持主機，端口，API接口的微隔離；每個功能都支持白名單免除，避免干擾日常的安全掃描業(yè)務，所以每個功能構(gòu)成都需要支持靈活適用的功能控制配置接口；告警及日志功能和對接外部日志服務器接口。

主動防御部分的算法(圖1)如下：

1.管理員配置內(nèi)網(wǎng)可用的私有地址范圍；

2.管理員配置內(nèi)網(wǎng)可用的虛假地址范圍和端口范圍；

3.管理員配置內(nèi)網(wǎng)需要豁免的地址范圍和端口范圍，即白名單列表；

4.系統(tǒng)啟動后進入學習階段，發(fā)現(xiàn)內(nèi)網(wǎng)在線真實主機名單；

5.在內(nèi)網(wǎng)地址范圍找出沒有在線的空閑地址，作為虛假主機，隨機發(fā)出免費ARP廣播包，和DHCP請求報文，迷惑引誘攻擊者發(fā)現(xiàn)自己；

6.如果收到目的為虛假地址的ARP請求，和DHCP響應報文，按照協(xié)議正?；貜?；

7.如果收到目的為虛假地址的ICMP請求，按照協(xié)議正常回復；

8.如果收到目的為虛假地址的端口探測報文，按照協(xié)議正?；貜?；

9.對上述虛假地址請求和探測的來源進行記錄，向管理系統(tǒng)發(fā)出入侵告警，將涉及網(wǎng)絡(luò)業(yè)務的報文轉(zhuǎn)發(fā)至攻擊捕獲部分，并記錄源地址；

10.透傳攻擊捕獲部分的響應報文；

11.對來自捕獲部分的響應報文目的地址進行檢查，如果目的地址與記錄的源地址不同，則說明攻擊者想進行跳轉(zhuǎn)，在內(nèi)網(wǎng)內(nèi)橫向擴展，丟棄該報文，防止跳轉(zhuǎn)，將攻擊者約束在主動防御誘捕系統(tǒng)內(nèi)。

圖1 主動防御數(shù)據(jù)處理流程

四、攻擊誘捕主要功能

攻擊誘捕使用高交互蜜罐系統(tǒng)，部署在主動防御系統(tǒng)之后，作為網(wǎng)絡(luò)黑洞，接收主動防御系統(tǒng)經(jīng)NAT轉(zhuǎn)換來的報文，高交互蜜罐系統(tǒng)一般按照企業(yè)重點防護的網(wǎng)絡(luò)資產(chǎn)高保真模擬部署，使用的仿真數(shù)據(jù)為真實數(shù)據(jù)經(jīng)過脫敏處理后的高度保真數(shù)據(jù)，可以做到真假難辨，可以認為攻擊誘捕系統(tǒng)就是一個高保真蜜罐網(wǎng)絡(luò)在主動防御攻擊誘捕系統(tǒng)中的定制使用。

五、主動防御攻擊誘捕系統(tǒng)在內(nèi)網(wǎng)安全中的應用

面對復雜的網(wǎng)絡(luò)安全環(huán)境，單一產(chǎn)品無法徹底解決網(wǎng)絡(luò)安全問題，攻擊誘捕系統(tǒng)可作為傳統(tǒng)安全產(chǎn)品(FW/IPS/IDS/WAF等)的一個有力補充(圖2)，共同構(gòu)筑企業(yè)網(wǎng)絡(luò)安全環(huán)境。

圖2 主動防御的網(wǎng)絡(luò)邊界示意

虛假主機發(fā)現(xiàn)攻擊行為后，將攻擊者引導至蜜罐網(wǎng)，將流量特征與傳統(tǒng)安全設(shè)備進行聯(lián)動響應，進行實時監(jiān)控和掐斷攻擊，并且將發(fā)現(xiàn)的未知威脅特征情報分享到特征庫，豐富病毒和威脅特征庫。與傳統(tǒng)安全設(shè)備的聯(lián)動響應接口一般需要用戶協(xié)調(diào)進行定制開發(fā)。

六、主動防御攻擊誘捕系統(tǒng)的部署方式

為了方便在用戶網(wǎng)絡(luò)中落地，通常要求安全設(shè)備盡量非侵入式部署，在不影響現(xiàn)網(wǎng)業(yè)務和較少干擾現(xiàn)有網(wǎng)絡(luò)管理策略的情形下部署是最能讓用戶接受的一類部署方式，所以主動防御攻擊誘捕系統(tǒng)主要是旁路部署，無損接入，即插即用，根據(jù)部署位置和配置不同，產(chǎn)生的防御效果側(cè)重點不同。

(一)公網(wǎng)邊界部署

系統(tǒng)旁路部署于企業(yè)或者機構(gòu)的互聯(lián)網(wǎng)出口路由器/交換機(最外層、網(wǎng)絡(luò)邊緣設(shè)備)，將路由器和交換機端口設(shè)置為Trunk模式與本系統(tǒng)互聯(lián)(圖3)。關(guān)鍵配置：配置有該企業(yè)代表性的公網(wǎng)IP，作為暴露面，公布在互聯(lián)網(wǎng)上?？蛻魞r值：配置有企業(yè)代表性的公網(wǎng)IP，能夠吸引攻擊方進行攻擊，當前網(wǎng)絡(luò)環(huán)境無須任何調(diào)整；攻擊環(huán)境隔離，內(nèi)網(wǎng)不受干擾；由于攻擊捕獲系統(tǒng)沒有任何真實服務，所以所有捕獲的流量均為可疑流量，不會誤報。該部署方案局限：只能捕獲直接攻擊該系統(tǒng)的攻擊者，無法監(jiān)測針對其他系統(tǒng)的攻擊。系統(tǒng)部署價值：迷惑、誘捕攻擊者、攻擊隔離、延緩攻擊進程、攻擊預測、威脅感知、零誤報、低漏報，可捕獲來自網(wǎng)絡(luò)邊界的大量攻擊行為，為網(wǎng)絡(luò)邊界的攻擊進行統(tǒng)計和行為畫像，可了解外部網(wǎng)絡(luò)安全環(huán)境的態(tài)勢，為后續(xù)完善安全防衛(wèi)機制提供針對性參考。

圖3 公網(wǎng)邊界部署

(二)內(nèi)網(wǎng)DMZ交換機部署

與公網(wǎng)邊界部署類似，DMZ區(qū)域匯聚交換機trunk方式連接(圖4)。關(guān)鍵配置：該系統(tǒng)針對真實主機網(wǎng)段做虛擬，迷惑攻擊方；將虛擬主機映射至公網(wǎng)，近乎零的漏報和誤報，0day攻擊、未知威脅檢測，是傳統(tǒng)防御體系的有效補充。

圖4 內(nèi)網(wǎng)DMZ交換機旁路部署

(三)內(nèi)網(wǎng)部署

來自外網(wǎng)的攻擊可能被FW/IPS/WAF阻斷，該系統(tǒng)部署在內(nèi)網(wǎng)可能感知不到攻擊，但是針對潛藏在內(nèi)網(wǎng)等待時機爆發(fā)的漏洞和蠕蟲病毒等未知威脅，可以將主動防御攻擊誘捕系統(tǒng)部署在任何想要保護的區(qū)域，直接旁路掛接在該區(qū)域交換機上，部署模式類似圖4。關(guān)鍵配置：管理員指定需要防護的網(wǎng)段，指定可以使用的虛假地址段，虛假端口段。部署效果：該系統(tǒng)能夠自動產(chǎn)生大量虛假地址，迷惑潛藏在內(nèi)部的攻擊者，暴露給攻擊者大量的虛假目標，一旦碰觸，立即察覺，并且可以進一步引導攻擊者進入誘捕系統(tǒng)發(fā)起攻擊。能夠有效檢測潛在未知威脅，對內(nèi)網(wǎng)東西向流量進行防護，能夠檢測蠕蟲病毒在內(nèi)網(wǎng)擴散，零誤報，低漏報。

七、實現(xiàn)

當前安全行業(yè)構(gòu)建高性能安全網(wǎng)關(guān)，網(wǎng)絡(luò)邊界安全的熱門技術(shù)架構(gòu)選型通常為VPP/DPDK套件。VPP中文譯為矢量數(shù)據(jù)包處理器，是由Cisco公司開源的一種快速、可擴展的2-4層多平臺用戶態(tài)網(wǎng)絡(luò)堆棧，可以運行在x86、ARM和Power等多種架構(gòu)上；數(shù)據(jù)平面開發(fā)套件是DPDK的中文統(tǒng)稱，大約10年前由英特爾創(chuàng)建，是一組用戶空間庫和驅(qū)動程序，可加速所有常見CPU架構(gòu)上運行的網(wǎng)絡(luò)數(shù)據(jù)包處理負載，現(xiàn)在已成為Linux基金會下的一個項目，廣泛應用在企業(yè)數(shù)據(jù)中心、公共云及電信網(wǎng)絡(luò)中。

主動防御攻擊誘捕防滲透網(wǎng)絡(luò)安全系統(tǒng)采用VPP/DPDK架構(gòu)，實現(xiàn)主動防御子系統(tǒng)的數(shù)據(jù)面和控制面功能，基于Rest API機制做管理接口，通過Web瀏覽器發(fā)生API向系統(tǒng)發(fā)送配置信息。基于Linux系統(tǒng)根據(jù)主要典型服務器應用，部署數(shù)據(jù)庫，Web server等作為攻擊捕獲系統(tǒng)，打開各個應用的詳細日志，作為攻擊者的攻擊記錄和取證回溯。分別部署在兩臺X86服務器上，主動防御子系統(tǒng)服務器Trunk模式掛接在內(nèi)網(wǎng)交換機上，攻擊捕獲系統(tǒng)服務器與主動防御子系統(tǒng)通過另一個網(wǎng)口連接，攻擊捕獲系統(tǒng)服務器隱藏在主動防御系統(tǒng)之后，配置單獨的IP地址，該地址對外不可見，主動防御系統(tǒng)對外使用虛假IP，通過NAT機制引導至攻擊捕獲IP。后端蜜罐網(wǎng)絡(luò)可以基于目前熱門的容器技術(shù)進行構(gòu)建，也可選用成熟的商用蜜罐產(chǎn)品，進行集成部署，提供仿真度更高，安全追蹤溯源更成熟的技術(shù)手段。