宋 清

(天津工程職業(yè)技術(shù)學(xué)院，天津 300280)

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用和電子商務(wù)的迅速發(fā)展，“十三五”時(shí)期，我國將大力實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略，要求網(wǎng)絡(luò)與信息安全有足夠的保障手段和能力，云安全、物聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)安全、計(jì)算機(jī)網(wǎng)絡(luò)安全已成為日益引起世界各國政府和企業(yè)關(guān)注的重要問題。與此同時(shí)，網(wǎng)絡(luò)安全技術(shù)水平也在與病毒、黑客等的較量中得到不斷的提高。目前，國內(nèi)的政府上網(wǎng)工程、企業(yè)信息化工程以及各行業(yè)信息化建設(shè)步伐日益加快，這就對網(wǎng)絡(luò)安全技術(shù)提出了更高的要求。

如何確保內(nèi)網(wǎng)安全也成為當(dāng)前網(wǎng)絡(luò)安全的一個(gè)重要研究領(lǐng)域。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)，如防火墻、入侵檢測、入侵防護(hù)、防病毒網(wǎng)關(guān)、漏洞掃描等，是靜態(tài)的、被動(dòng)的防御手段。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)外置基于安全規(guī)則的防火墻達(dá)到安全防護(hù)，其結(jié)構(gòu)和功能基本獨(dú)立于防護(hù)目標(biāo)。其實(shí)現(xiàn)精確防護(hù)建立在先驗(yàn)知識之上，適用于網(wǎng)絡(luò)系統(tǒng)前期規(guī)?；渴鹨约霸鰪?qiáng)安全性防護(hù)階段。先驗(yàn)知識就是黑客攻破后，通過分析攻擊行為和攻擊流量，提煉出的攻擊特征。將先驗(yàn)知識配置到防御產(chǎn)品上去從而實(shí)現(xiàn)網(wǎng)絡(luò)安全。然而面對層出不窮的新型攻擊手段，原有的被動(dòng)的和靜態(tài)的基于已知規(guī)則和先驗(yàn)知識的安全防護(hù)技術(shù)，已越來越無法滿足行業(yè)和企業(yè)用戶保障網(wǎng)絡(luò)安全的需要。這是由于傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)的靜態(tài)性，攻擊者可以有充足的時(shí)間對目標(biāo)進(jìn)行偵查和打擊；而防御者只能針對已知攻擊部署防御措施或在攻擊發(fā)生后被動(dòng)地采取防御措施，這對網(wǎng)絡(luò)防御者來說十分不利。為用戶提供主動(dòng)防御的網(wǎng)絡(luò)安全解決方案，已成為安全產(chǎn)品生產(chǎn)廠商占據(jù)市場并取得可持續(xù)發(fā)展的重要手段。

主動(dòng)防御攻擊誘捕防滲透網(wǎng)絡(luò)安全技術(shù)通過多樣地、變化地構(gòu)建、評價(jià)和部署機(jī)制及策略來增加攻擊者的攻擊難度和代價(jià)，有效地限制脆弱性暴露及被攻擊的機(jī)會。具體來說，就是通過部署變化的地址、端口、路由、加密算法、協(xié)議等，構(gòu)建一種動(dòng)態(tài)的、不確定的網(wǎng)絡(luò)來破壞攻擊者的偵查和攻擊，從而實(shí)現(xiàn)網(wǎng)絡(luò)防御。

除了增加攻擊難度，發(fā)現(xiàn)攻擊者，還有必要對攻擊者的攻擊行為和攻擊流程進(jìn)行取證、還原，便于對攻擊者進(jìn)行法律追討。知己知彼從而方便后續(xù)進(jìn)一步有效防御。在發(fā)現(xiàn)攻擊者后，主動(dòng)將攻擊者誘導(dǎo)至提前部署好的蜜罐網(wǎng)絡(luò)中，通過蜜罐網(wǎng)絡(luò)高保真與攻擊者交互，記錄保存攻擊流程，作為以后取證和追溯的依據(jù)。

一、主動(dòng)防御攻擊誘捕系統(tǒng)構(gòu)成

主動(dòng)防御攻擊誘捕系統(tǒng)分為兩個(gè)部分，主動(dòng)防御部分和攻擊誘捕部分。主動(dòng)防御可以通過海量的虛假和偽裝的目標(biāo)，達(dá)到將真實(shí)目標(biāo)隱藏甚至移動(dòng)起來的效果，能以防御者可控的方式進(jìn)行動(dòng)態(tài)變化，從而使得攻擊者對攻擊空間不可預(yù)知。主動(dòng)防御可以提前防范威脅，將潛在的威脅扼殺在搖籃里，彌補(bǔ)了傳統(tǒng)“特征碼查殺”技術(shù)對新病毒的滯后性特點(diǎn)。攻擊誘捕部分，將攻擊者流量導(dǎo)入到高交互蜜罐網(wǎng)中進(jìn)行記錄和特征提取、取證、溯源，也可以在發(fā)現(xiàn)攻擊源時(shí)即時(shí)掐斷攻擊路徑。

二、主動(dòng)防御攻擊誘捕系統(tǒng)原理

攻擊誘捕系統(tǒng)是一款基于欺騙防御技術(shù)的網(wǎng)絡(luò)攻擊誘捕系統(tǒng)，通過布置虛擬主機(jī)、誘餌、網(wǎng)絡(luò)服務(wù)或者信息，從網(wǎng)絡(luò)和主機(jī)兩個(gè)層面誘使攻擊者實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析，了解攻擊工具與方法，推測攻擊意圖和動(dòng)機(jī)，追溯攻擊來源，最終在保護(hù)真實(shí)資產(chǎn)的同時(shí)使用戶清晰地了解所面對的安全威脅。

攻擊誘捕是欺騙防御技術(shù)，作為主動(dòng)防御的可行落地方案，系統(tǒng)通過配置和自動(dòng)學(xué)習(xí)的方式將網(wǎng)絡(luò)拓?fù)渲挟?dāng)前未使用的IP地址作為“虛主機(jī)”，未使用的端口作為“虛應(yīng)用”，虛的意思是虛擬出來的，非實(shí)際存在的主機(jī)和應(yīng)用，一個(gè)攻擊誘捕系統(tǒng)可以虛化出成千上萬的虛主機(jī)和虛應(yīng)用。這些虛主機(jī)和虛應(yīng)用作為誘餌，需要做到在攻擊者看來與真實(shí)主機(jī)和真實(shí)應(yīng)用一般無二，當(dāng)攻擊者碰觸到虛假目標(biāo)時(shí)，就可以判定發(fā)生了安全事件。

攻擊者在進(jìn)行網(wǎng)絡(luò)殺傷時(shí)，需要首先進(jìn)行對目標(biāo)網(wǎng)絡(luò)的掃描和探測，在真實(shí)主機(jī)同網(wǎng)段部署大量誘餌，攻擊者就無法分辨哪臺是真實(shí)主機(jī)，哪臺是虛假的，這樣就降低了真實(shí)主機(jī)被攻擊的可能性。一旦攻擊者嘗試攻擊虛擬主機(jī)，立即被引導(dǎo)至蜜罐環(huán)境。在攻擊者不知道真實(shí)主機(jī)IP的時(shí)候，虛假主機(jī)和虛假應(yīng)用能夠很有效地捕抓到攻擊行為。在攻擊者知道真實(shí)主機(jī)IP的時(shí)候，可以對被防護(hù)主機(jī)灑餌，誘捕攻擊行為。也可以對真實(shí)流量監(jiān)控，發(fā)現(xiàn)攻擊行為。

攻擊誘捕系統(tǒng)的重點(diǎn)在于誘騙，讓攻擊者對網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)主機(jī)真假難辨，攻擊者除非不動(dòng)，一動(dòng)就大概率會暴露。已經(jīng)入侵邊界防御體系的攻擊者潛伏在網(wǎng)絡(luò)中，首先偵聽網(wǎng)絡(luò)，通過分析偵聽到的網(wǎng)絡(luò)流量嘗試找到有價(jià)值的攻擊目標(biāo)；然后發(fā)起掃描和探測，進(jìn)一步試探攻擊目標(biāo)，嘗試找到攻擊目標(biāo)的弱點(diǎn)和漏洞；發(fā)起后續(xù)攻擊行為進(jìn)行橫向擴(kuò)展。誘捕系統(tǒng)發(fā)起偽裝流量讓攻擊者偵聽，攻擊者在偵聽階段難以分辨?zhèn)窝b流量和真實(shí)主機(jī)流量，這樣真實(shí)主機(jī)就淹沒在成千上萬的虛假主機(jī)中，讓攻擊者難以偵測到明顯的攻擊目標(biāo)，那么攻擊者會嘗試主動(dòng)掃描和探測，一旦碰觸到任意一個(gè)虛假主機(jī)和虛假應(yīng)用，就會被引導(dǎo)到高交互蜜罐中，誘惑攻擊者發(fā)起后續(xù)的攻擊行為，這些行為被高交互蜜罐記錄和捕獲下來，成為攻擊者攻擊的證據(jù)，攻擊者的位置和行為特征此時(shí)就已經(jīng)暴露了。

三、主動(dòng)防御主要功能

主動(dòng)防御的主要功能包括：能虛假出大量主機(jī)和應(yīng)用；能發(fā)起偽裝流量；能響應(yīng)TCP/IP網(wǎng)絡(luò)協(xié)議，如ARP，ICMP，DHCP，DNS，NDP，ICMP6等；能將攻擊流量導(dǎo)入高交互蜜罐網(wǎng)；能防止攻擊流量橫向逃逸至內(nèi)網(wǎng)其他主機(jī)；主機(jī)通信流量深層檢測，能夠識別異常通信流量，進(jìn)行智能封堵，支持主機(jī)，端口，API接口的微隔離；每個(gè)功能都支持白名單免除，避免干擾日常的安全掃描業(yè)務(wù)，所以每個(gè)功能構(gòu)成都需要支持靈活適用的功能控制配置接口；告警及日志功能和對接外部日志服務(wù)器接口。

主動(dòng)防御部分的算法(圖1)如下：

1.管理員配置內(nèi)網(wǎng)可用的私有地址范圍；

2.管理員配置內(nèi)網(wǎng)可用的虛假地址范圍和端口范圍；

3.管理員配置內(nèi)網(wǎng)需要豁免的地址范圍和端口范圍，即白名單列表；

4.系統(tǒng)啟動(dòng)后進(jìn)入學(xué)習(xí)階段，發(fā)現(xiàn)內(nèi)網(wǎng)在線真實(shí)主機(jī)名單；

5.在內(nèi)網(wǎng)地址范圍找出沒有在線的空閑地址，作為虛假主機(jī)，隨機(jī)發(fā)出免費(fèi)ARP廣播包，和DHCP請求報(bào)文，迷惑引誘攻擊者發(fā)現(xiàn)自己；

6.如果收到目的為虛假地址的ARP請求，和DHCP響應(yīng)報(bào)文，按照協(xié)議正?；貜?fù)；

7.如果收到目的為虛假地址的ICMP請求，按照協(xié)議正常回復(fù)；

8.如果收到目的為虛假地址的端口探測報(bào)文，按照協(xié)議正?；貜?fù)；

9.對上述虛假地址請求和探測的來源進(jìn)行記錄，向管理系統(tǒng)發(fā)出入侵告警，將涉及網(wǎng)絡(luò)業(yè)務(wù)的報(bào)文轉(zhuǎn)發(fā)至攻擊捕獲部分，并記錄源地址；

10.透傳攻擊捕獲部分的響應(yīng)報(bào)文；

11.對來自捕獲部分的響應(yīng)報(bào)文目的地址進(jìn)行檢查，如果目的地址與記錄的源地址不同，則說明攻擊者想進(jìn)行跳轉(zhuǎn)，在內(nèi)網(wǎng)內(nèi)橫向擴(kuò)展，丟棄該報(bào)文，防止跳轉(zhuǎn)，將攻擊者約束在主動(dòng)防御誘捕系統(tǒng)內(nèi)。

圖1 主動(dòng)防御數(shù)據(jù)處理流程

四、攻擊誘捕主要功能

攻擊誘捕使用高交互蜜罐系統(tǒng)，部署在主動(dòng)防御系統(tǒng)之后，作為網(wǎng)絡(luò)黑洞，接收主動(dòng)防御系統(tǒng)經(jīng)NAT轉(zhuǎn)換來的報(bào)文，高交互蜜罐系統(tǒng)一般按照企業(yè)重點(diǎn)防護(hù)的網(wǎng)絡(luò)資產(chǎn)高保真模擬部署，使用的仿真數(shù)據(jù)為真實(shí)數(shù)據(jù)經(jīng)過脫敏處理后的高度保真數(shù)據(jù)，可以做到真假難辨，可以認(rèn)為攻擊誘捕系統(tǒng)就是一個(gè)高保真蜜罐網(wǎng)絡(luò)在主動(dòng)防御攻擊誘捕系統(tǒng)中的定制使用。

五、主動(dòng)防御攻擊誘捕系統(tǒng)在內(nèi)網(wǎng)安全中的應(yīng)用

面對復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，單一產(chǎn)品無法徹底解決網(wǎng)絡(luò)安全問題，攻擊誘捕系統(tǒng)可作為傳統(tǒng)安全產(chǎn)品(FW/IPS/IDS/WAF等)的一個(gè)有力補(bǔ)充(圖2)，共同構(gòu)筑企業(yè)網(wǎng)絡(luò)安全環(huán)境。

圖2 主動(dòng)防御的網(wǎng)絡(luò)邊界示意

虛假主機(jī)發(fā)現(xiàn)攻擊行為后，將攻擊者引導(dǎo)至蜜罐網(wǎng)，將流量特征與傳統(tǒng)安全設(shè)備進(jìn)行聯(lián)動(dòng)響應(yīng)，進(jìn)行實(shí)時(shí)監(jiān)控和掐斷攻擊，并且將發(fā)現(xiàn)的未知威脅特征情報(bào)分享到特征庫，豐富病毒和威脅特征庫。與傳統(tǒng)安全設(shè)備的聯(lián)動(dòng)響應(yīng)接口一般需要用戶協(xié)調(diào)進(jìn)行定制開發(fā)。

六、主動(dòng)防御攻擊誘捕系統(tǒng)的部署方式

為了方便在用戶網(wǎng)絡(luò)中落地，通常要求安全設(shè)備盡量非侵入式部署，在不影響現(xiàn)網(wǎng)業(yè)務(wù)和較少干擾現(xiàn)有網(wǎng)絡(luò)管理策略的情形下部署是最能讓用戶接受的一類部署方式，所以主動(dòng)防御攻擊誘捕系統(tǒng)主要是旁路部署，無損接入，即插即用，根據(jù)部署位置和配置不同，產(chǎn)生的防御效果側(cè)重點(diǎn)不同。

(一)公網(wǎng)邊界部署

系統(tǒng)旁路部署于企業(yè)或者機(jī)構(gòu)的互聯(lián)網(wǎng)出口路由器/交換機(jī)(最外層、網(wǎng)絡(luò)邊緣設(shè)備)，將路由器和交換機(jī)端口設(shè)置為Trunk模式與本系統(tǒng)互聯(lián)(圖3)。關(guān)鍵配置：配置有該企業(yè)代表性的公網(wǎng)IP，作為暴露面，公布在互聯(lián)網(wǎng)上?？蛻魞r(jià)值：配置有企業(yè)代表性的公網(wǎng)IP，能夠吸引攻擊方進(jìn)行攻擊，當(dāng)前網(wǎng)絡(luò)環(huán)境無須任何調(diào)整；攻擊環(huán)境隔離，內(nèi)網(wǎng)不受干擾；由于攻擊捕獲系統(tǒng)沒有任何真實(shí)服務(wù)，所以所有捕獲的流量均為可疑流量，不會誤報(bào)。該部署方案局限：只能捕獲直接攻擊該系統(tǒng)的攻擊者，無法監(jiān)測針對其他系統(tǒng)的攻擊。系統(tǒng)部署價(jià)值：迷惑、誘捕攻擊者、攻擊隔離、延緩攻擊進(jìn)程、攻擊預(yù)測、威脅感知、零誤報(bào)、低漏報(bào)，可捕獲來自網(wǎng)絡(luò)邊界的大量攻擊行為，為網(wǎng)絡(luò)邊界的攻擊進(jìn)行統(tǒng)計(jì)和行為畫像，可了解外部網(wǎng)絡(luò)安全環(huán)境的態(tài)勢，為后續(xù)完善安全防衛(wèi)機(jī)制提供針對性參考。

圖3 公網(wǎng)邊界部署

(二)內(nèi)網(wǎng)DMZ交換機(jī)部署

與公網(wǎng)邊界部署類似，DMZ區(qū)域匯聚交換機(jī)trunk方式連接(圖4)。關(guān)鍵配置：該系統(tǒng)針對真實(shí)主機(jī)網(wǎng)段做虛擬，迷惑攻擊方；將虛擬主機(jī)映射至公網(wǎng)，近乎零的漏報(bào)和誤報(bào)，0day攻擊、未知威脅檢測，是傳統(tǒng)防御體系的有效補(bǔ)充。

圖4 內(nèi)網(wǎng)DMZ交換機(jī)旁路部署

(三)內(nèi)網(wǎng)部署

來自外網(wǎng)的攻擊可能被FW/IPS/WAF阻斷，該系統(tǒng)部署在內(nèi)網(wǎng)可能感知不到攻擊，但是針對潛藏在內(nèi)網(wǎng)等待時(shí)機(jī)爆發(fā)的漏洞和蠕蟲病毒等未知威脅，可以將主動(dòng)防御攻擊誘捕系統(tǒng)部署在任何想要保護(hù)的區(qū)域，直接旁路掛接在該區(qū)域交換機(jī)上，部署模式類似圖4。關(guān)鍵配置：管理員指定需要防護(hù)的網(wǎng)段，指定可以使用的虛假地址段，虛假端口段。部署效果：該系統(tǒng)能夠自動(dòng)產(chǎn)生大量虛假地址，迷惑潛藏在內(nèi)部的攻擊者，暴露給攻擊者大量的虛假目標(biāo)，一旦碰觸，立即察覺，并且可以進(jìn)一步引導(dǎo)攻擊者進(jìn)入誘捕系統(tǒng)發(fā)起攻擊。能夠有效檢測潛在未知威脅，對內(nèi)網(wǎng)東西向流量進(jìn)行防護(hù)，能夠檢測蠕蟲病毒在內(nèi)網(wǎng)擴(kuò)散，零誤報(bào)，低漏報(bào)。

七、實(shí)現(xiàn)

當(dāng)前安全行業(yè)構(gòu)建高性能安全網(wǎng)關(guān)，網(wǎng)絡(luò)邊界安全的熱門技術(shù)架構(gòu)選型通常為VPP/DPDK套件。VPP中文譯為矢量數(shù)據(jù)包處理器，是由Cisco公司開源的一種快速、可擴(kuò)展的2-4層多平臺用戶態(tài)網(wǎng)絡(luò)堆棧，可以運(yùn)行在x86、ARM和Power等多種架構(gòu)上；數(shù)據(jù)平面開發(fā)套件是DPDK的中文統(tǒng)稱，大約10年前由英特爾創(chuàng)建，是一組用戶空間庫和驅(qū)動(dòng)程序，可加速所有常見CPU架構(gòu)上運(yùn)行的網(wǎng)絡(luò)數(shù)據(jù)包處理負(fù)載，現(xiàn)在已成為Linux基金會下的一個(gè)項(xiàng)目，廣泛應(yīng)用在企業(yè)數(shù)據(jù)中心、公共云及電信網(wǎng)絡(luò)中。

主動(dòng)防御攻擊誘捕防滲透網(wǎng)絡(luò)安全系統(tǒng)采用VPP/DPDK架構(gòu)，實(shí)現(xiàn)主動(dòng)防御子系統(tǒng)的數(shù)據(jù)面和控制面功能，基于Rest API機(jī)制做管理接口，通過Web瀏覽器發(fā)生API向系統(tǒng)發(fā)送配置信息。基于Linux系統(tǒng)根據(jù)主要典型服務(wù)器應(yīng)用，部署數(shù)據(jù)庫，Web server等作為攻擊捕獲系統(tǒng)，打開各個(gè)應(yīng)用的詳細(xì)日志，作為攻擊者的攻擊記錄和取證回溯。分別部署在兩臺X86服務(wù)器上，主動(dòng)防御子系統(tǒng)服務(wù)器Trunk模式掛接在內(nèi)網(wǎng)交換機(jī)上，攻擊捕獲系統(tǒng)服務(wù)器與主動(dòng)防御子系統(tǒng)通過另一個(gè)網(wǎng)口連接，攻擊捕獲系統(tǒng)服務(wù)器隱藏在主動(dòng)防御系統(tǒng)之后，配置單獨(dú)的IP地址，該地址對外不可見，主動(dòng)防御系統(tǒng)對外使用虛假IP，通過NAT機(jī)制引導(dǎo)至攻擊捕獲IP。后端蜜罐網(wǎng)絡(luò)可以基于目前熱門的容器技術(shù)進(jìn)行構(gòu)建，也可選用成熟的商用蜜罐產(chǎn)品，進(jìn)行集成部署，提供仿真度更高，安全追蹤溯源更成熟的技術(shù)手段。