曹秀蓮　鐘祥睿

摘? 要：蜜罐技術(shù)是一種沒有任何產(chǎn)品價(jià)值的安全資源，它常常與網(wǎng)絡(luò)防火墻、入侵檢測(cè)等一些被動(dòng)的網(wǎng)絡(luò)防護(hù)技術(shù)結(jié)合在一起在大型分布式網(wǎng)絡(luò)中部署來提高系統(tǒng)安全性。伴隨著Web應(yīng)用技術(shù)的迅速發(fā)展，Web應(yīng)用安全問題也逐漸變得越來越突出，針對(duì)Web應(yīng)用種類繁多，蜜罐部署麻煩且利用率不高的情況，該文設(shè)計(jì)了一個(gè)在具有多個(gè)子網(wǎng)的大型局域網(wǎng)中部署多種應(yīng)用聯(lián)合呼應(yīng)的動(dòng)態(tài)混合蜜罐，形成蜜場(chǎng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并介紹其關(guān)鍵功能的實(shí)現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全? 蜜場(chǎng)? 誘騙? 動(dòng)態(tài)聯(lián)合

中圖分類號(hào)：TP309 ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2019）08（a）-0012-03

當(dāng)今世界，互聯(lián)網(wǎng)已經(jīng)進(jìn)入了“應(yīng)用為王”的時(shí)代，隨著微信、微博、社交網(wǎng)絡(luò)、移動(dòng)應(yīng)用、云計(jì)算等一系列網(wǎng)絡(luò)應(yīng)用的廣泛深入使用，作為這些網(wǎng)絡(luò)應(yīng)用載體的Web技術(shù)已經(jīng)滲透到人們的社會(huì)、生活、工作的各個(gè)方面。這些Web技術(shù)其實(shí)是一把“雙刃劍”，方便人們溝通和交流，改進(jìn)了工作方式。但也帶來了巨大的安全風(fēng)險(xiǎn)問題。針對(duì)Web技術(shù)的攻擊越來越多，種類也越來越復(fù)雜，據(jù)統(tǒng)計(jì)，目前的互聯(lián)網(wǎng)攻擊中約75%是針對(duì)Web應(yīng)用技術(shù)的。采用傳統(tǒng)被動(dòng)防護(hù)措施，如防火墻、IDS、添加補(bǔ)丁等對(duì)阻止Web攻擊顯得比較困難。

該文介紹一種面向Web應(yīng)用安全的主動(dòng)防御技術(shù)——蜜場(chǎng)技術(shù)，這是被動(dòng)防護(hù)技術(shù)的一種補(bǔ)充，它是把具有主動(dòng)防御作用的蜜罐技術(shù)和常用被動(dòng)防御技術(shù)結(jié)合，設(shè)計(jì)出一種適應(yīng)大型企業(yè)（需要建分公司子網(wǎng)）的安全網(wǎng)絡(luò)模型。

1? 蜜場(chǎng)技術(shù)的工作原理

蜜罐（Honeypot）是一種安全資源，它的價(jià)值就在于被探測(cè)、攻擊或攻陷[1]。蜜場(chǎng)（honeyfarm）是蜜罐技術(shù)的應(yīng)用，它適用于大規(guī)模分布式網(wǎng)絡(luò)，這跟它的優(yōu)點(diǎn)“邏輯上分散部署，物理上集中部署”有關(guān)。

蜜場(chǎng)的工作原理是這樣的：蜜場(chǎng)中有一個(gè)蜜場(chǎng)的中心，集中部署了多臺(tái)蜜罐，它們是一個(gè)獨(dú)立的網(wǎng)絡(luò);然后在各個(gè)企業(yè)子網(wǎng)中部署誘騙服務(wù)實(shí)現(xiàn)對(duì)子網(wǎng)進(jìn)行監(jiān)控的目的，誘騙服務(wù)是一些軟件實(shí)現(xiàn)的，它不直接響應(yīng)自己監(jiān)聽到的對(duì)端口的非法訪問或未用地址，但是通過轉(zhuǎn)發(fā)工具——重定向器把它們轉(zhuǎn)發(fā)到蜜場(chǎng)中心;蜜場(chǎng)中心根據(jù)非法訪問特征，隨之按照一定算法選擇響應(yīng)蜜罐進(jìn)行響應(yīng)，最后把響應(yīng)再回傳到其相應(yīng)的子網(wǎng)中去，并且對(duì)攻擊信息利用一些工具進(jìn)行收集和分析。

2? 面向Web應(yīng)用安全的蜜場(chǎng)的部署方案

2.1 Web應(yīng)用安全的問題所在

隨著Web應(yīng)用安全問題越來越嚴(yán)重的，開始出現(xiàn)Web蜜罐。Web蜜罐分為兩類：客戶端蜜罐和服務(wù)端蜜罐。客戶端蜜罐通過主動(dòng)訪問網(wǎng)站來檢測(cè)惡意活動(dòng)，服務(wù)端蜜罐通過暴露有漏洞的服務(wù)來吸引攻擊者[2]。該文主要講如何在服務(wù)端部署面向Web應(yīng)用安全的聯(lián)動(dòng)蜜罐形成蜜場(chǎng)。

互聯(lián)網(wǎng)上Web攻擊一般分為兩種：一種是針對(duì)某個(gè)特定目標(biāo)的惡意攻擊，一種是大范圍撒網(wǎng)的無特定目標(biāo)的惡意攻擊。對(duì)于前者，攻擊者會(huì)主動(dòng)分析特定目標(biāo)的IP地址、域名等信息，分析特定目標(biāo)可能存在的漏洞，然后采用相應(yīng)的攻擊手段。這種情況下在互聯(lián)網(wǎng)上部署的蜜罐系統(tǒng)意義不是很大。因此該文中設(shè)計(jì)的面向web應(yīng)用安全的蜜場(chǎng)系統(tǒng)并不是針對(duì)特定目標(biāo)的攻擊，而是針對(duì)無特定目標(biāo)的惡意攻擊。無特定目標(biāo)的攻擊會(huì)在互聯(lián)網(wǎng)上采用撒網(wǎng)式的方法尋找有漏洞的應(yīng)用。為了節(jié)省成本，這一類惡意攻擊通常會(huì)使用集成搜索引擎和掃描軟件的工具進(jìn)行，但是，到達(dá)蜜罐的攻擊并不可能全部是針對(duì)蜜場(chǎng)中蜜罐上已經(jīng)部署的應(yīng)用，在這種情況下某些攻擊就會(huì)失敗，蜜罐就不會(huì)捕獲到某次攻擊的信息。

針對(duì)這種情況，該文要解決兩個(gè)問題：一個(gè)就是怎樣從針對(duì)不同應(yīng)用的眾多攻擊流量進(jìn)行選擇，再轉(zhuǎn)發(fā)給相對(duì)應(yīng)蜜罐;另一個(gè)就是能從蜜場(chǎng)中部署的蜜罐發(fā)出的眾多響應(yīng)中選擇最優(yōu)響應(yīng)作為攻擊者響應(yīng)。這些都取決于蜜罐選擇算法，該文設(shè)計(jì)了一個(gè)動(dòng)態(tài)聯(lián)合算法來進(jìn)行目標(biāo)Web應(yīng)用蜜罐的選擇。

2.2 面向Web應(yīng)用安全的蜜場(chǎng)的具體部署

該文將以一個(gè)具有多個(gè)分公司的企業(yè)網(wǎng)絡(luò)為例，設(shè)計(jì)一個(gè)綜合各種防護(hù)的安全網(wǎng)絡(luò)，它既包括防火墻、入侵檢測(cè)等傳統(tǒng)被動(dòng)保護(hù)技術(shù)，又包含主動(dòng)的蜜場(chǎng)技術(shù)。其體系結(jié)構(gòu)如圖1所示。

企業(yè)的總體網(wǎng)絡(luò)被劃分為為兩部分：一個(gè)是受保護(hù)子網(wǎng)即多個(gè)分公司內(nèi)網(wǎng)，另一個(gè)是Web應(yīng)用模擬子網(wǎng)，在每個(gè)分公司的受保護(hù)子網(wǎng)中都部署了一個(gè)像誘餌一樣的服務(wù)，這些服務(wù)動(dòng)態(tài)地模擬自己所在的分公司內(nèi)網(wǎng)環(huán)境，利用多臺(tái)虛擬主機(jī)，最大程度地吸引攻擊者。而在Web應(yīng)用模擬子網(wǎng)內(nèi)，則配置了具有高交互性的物理蜜罐，它模擬了各種可能的應(yīng)用，應(yīng)對(duì)各種轉(zhuǎn)發(fā)請(qǐng)求。此外在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間設(shè)立了防火墻、位于Web應(yīng)用模擬子網(wǎng)前端的蜜墻[4]、IDS和路由器等常規(guī)控制安全設(shè)備。這些設(shè)備既完成了網(wǎng)絡(luò)連接任務(wù)，又能起到保護(hù)企業(yè)子網(wǎng)、采集入侵者信息和控制部署蜜罐帶來的風(fēng)險(xiǎn)等功能。

3? 面向Web應(yīng)用安全的蜜場(chǎng)系統(tǒng)的關(guān)鍵功能設(shè)計(jì)

在圖1中所設(shè)計(jì)的安全防護(hù)系統(tǒng)中，蜜場(chǎng)系統(tǒng)中的蜜罐模型是一種由多個(gè)具有高交互性的不同Web應(yīng)用蜜罐群。這些蜜罐上被部署了多種不同的真實(shí)的Web應(yīng)用或服務(wù)，由一個(gè)動(dòng)態(tài)聯(lián)動(dòng)管理器進(jìn)行管理，按照攻擊特征進(jìn)行動(dòng)態(tài)選擇相應(yīng)的應(yīng)用蜜罐與攻擊者交互。

該模型可以用圖2來表示，由兩個(gè)部分組成：受保護(hù)子網(wǎng)和Web應(yīng)用模擬子網(wǎng)。

受保護(hù)子網(wǎng)中部署了誘餌，它們能夠虛擬所在子網(wǎng)的不存在的IP地址主機(jī)，這是個(gè)動(dòng)態(tài)過程，為入侵者提供透明的轉(zhuǎn)發(fā)服務(wù)，把未授權(quán)的或惡意的活動(dòng)轉(zhuǎn)發(fā)到Web應(yīng)用模擬子網(wǎng)中的其中一個(gè)蜜罐中;同時(shí)又控制對(duì)外連接，對(duì)不符合轉(zhuǎn)發(fā)條件的入侵行為根據(jù)控制規(guī)則制定策略;并且對(duì)與它相關(guān)的網(wǎng)絡(luò)活動(dòng)實(shí)時(shí)記錄，獲取入侵?jǐn)?shù)據(jù);Web應(yīng)用模擬子網(wǎng)是由多個(gè)個(gè)中、高交互的蜜罐組成的蜜場(chǎng)，它接收受保護(hù)子網(wǎng)中的誘餌轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包，給入侵者提供服務(wù)，收集應(yīng)用程序和操作系統(tǒng)的事件日志，對(duì)進(jìn)程和端口調(diào)用、系統(tǒng)調(diào)用以及安全審計(jì)作記錄。