面向Web安全防護(hù)的蜜罐技術(shù)研究

【摘 要】 傳統(tǒng)Web安全防護(hù)技術(shù)存在誤報(bào)、漏報(bào)以及防御被動(dòng)等問(wèn)題，蜜罐技術(shù)的引入可有效改善此狀況。本文針對(duì)面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)行研究，分析當(dāng)前主流的Web蜜罐技術(shù)，提出蜜罐技術(shù)在Web安全防護(hù)中的應(yīng)用模型，并進(jìn)行了研究展望。

1 引言

隨著Web2.0的發(fā)展，越來(lái)越多的公司、政府、學(xué)校等組織機(jī)構(gòu)開(kāi)始利用Web技術(shù)向外提供服務(wù)。根據(jù)Internet Live Stats統(tǒng)計(jì)，截至2021年年初，全世界Web站點(diǎn)數(shù)量已超18億。Web技術(shù)優(yōu)秀的標(biāo)準(zhǔn)化工作以及活躍的社區(qū)使普通開(kāi)發(fā)者開(kāi)發(fā)Web應(yīng)用的難度降低，促使了Web技術(shù)的發(fā)展，但同時(shí)也導(dǎo)致了很多Web安全問(wèn)題。據(jù)國(guó)家信息安全漏洞庫(kù)CNVVD2013年至2020年收錄的漏洞類(lèi)別統(tǒng)計(jì)顯示，其中涉及Web應(yīng)用的漏洞約有17萬(wàn)個(gè)，占比19%。Web服務(wù)向外暴露的巨大攻擊面，使得攻擊Web應(yīng)用經(jīng)常成為網(wǎng)絡(luò)攻擊的入口點(diǎn)。

傳統(tǒng)的Web安全防護(hù)技術(shù)不足以應(yīng)對(duì)層出不窮、變化多端的Web攻擊。Web應(yīng)用防火墻（Web Application Firewall，WAF）、入侵檢測(cè)系統(tǒng)（Intrusion Detection Systems，IDS）等防御手段往往采用基于規(guī)則和基于異常的機(jī)制來(lái)檢測(cè)和阻斷Web攻擊，這種防御方式存在很明顯的缺點(diǎn)。如基于規(guī)則的防御手段采用特征碼的方式匹配已知的攻擊，這無(wú)法防御新的攻擊手段，同時(shí)也很容易被高級(jí)攻擊者繞過(guò)；而采用基于異常的機(jī)制，往往又嚴(yán)重依賴(lài)于異常檢測(cè)模型的精確程度，模型的假陽(yáng)性率對(duì)于業(yè)務(wù)系統(tǒng)的用戶(hù)體驗(yàn)影響很大。

傳統(tǒng)Web安全防護(hù)技術(shù)的“力不從心”，其實(shí)可以從主動(dòng)防御的思路中總結(jié)出原因。傳統(tǒng)的Web安全防護(hù)過(guò)程中，被防御實(shí)體一直站在原地處于“被動(dòng)挨打”的境地，防御者只能通過(guò)不斷加入一層層的“屏障”阻擋攻擊者進(jìn)攻的步伐。而在主動(dòng)防御的思路中，防御者主動(dòng)出擊，誘導(dǎo)攻擊者、延緩攻擊進(jìn)程甚至是反制攻擊者。蜜罐技術(shù)就是這樣一種主動(dòng)防御技術(shù)。在蜜罐技術(shù)未應(yīng)用之前，不管加入多少傳統(tǒng)防護(hù)手段，攻擊者的認(rèn)知都是很清晰的，那就是繞過(guò)、破壞這些防護(hù)手段，然后攻陷目標(biāo)；在加入了蜜罐技術(shù)之后，攻擊者的認(rèn)知被擾亂，因?yàn)楣�擊的目�?biāo)是否是真正的業(yè)務(wù)系統(tǒng)這件事變得不那么確定，很可能在歷經(jīng)千辛萬(wàn)苦攻陷系統(tǒng)之后發(fā)現(xiàn)是個(gè)假目標(biāo)。蜜罐技術(shù)的加入可以有效改善傳統(tǒng)Web安全防護(hù)技術(shù)中防御被動(dòng)的狀況，顯著提升Web服務(wù)整體安全防護(hù)能力。

2 蜜罐技術(shù)概述

蜜罐技術(shù)是一種主動(dòng)防御技術(shù)，通過(guò)部署沒(méi)有真實(shí)業(yè)務(wù)數(shù)據(jù)的系統(tǒng)來(lái)誘騙攻擊者實(shí)施攻擊，記錄其攻擊行為從而學(xué)習(xí)攻擊者的攻擊目的和攻擊手段，以此不斷提升真實(shí)業(yè)務(wù)系統(tǒng)的安全防護(hù)能力。

蜜罐技術(shù)發(fā)展至今經(jīng)歷了蜜罐、蜜網(wǎng)和蜜場(chǎng)等階段。單就蜜罐技術(shù)而言，研究?jī)?nèi)容從如何提升蜜罐的自適應(yīng)性到如何提升蜜罐的動(dòng)態(tài)性等，這些研究的目的都是為了提升蜜罐整體的誘騙能力。

蜜罐技術(shù)按照其交互程度可以分為低交互蜜罐、高交互蜜罐和純蜜罐，其中，純蜜罐和真實(shí)業(yè)務(wù)系統(tǒng)功能上一致，但是會(huì)在其外部加入監(jiān)測(cè)記錄功能。按照其作用點(diǎn)不同，又可以粗略分為應(yīng)用層蜜罐、網(wǎng)絡(luò)蜜罐、主機(jī)蜜罐、設(shè)備蜜罐等。本文所介紹的應(yīng)用于Web安全防護(hù)中的蜜罐技術(shù)屬于應(yīng)用層蜜罐的范疇，下面將對(duì)此詳細(xì)展開(kāi)介紹。

3 Web安全防護(hù)中的蜜罐技術(shù)

在Web安全攻防對(duì)抗中，攻擊模式一般分為2種：非定向Web攻擊和定向Web攻擊。非定向Web攻擊的目的往往是利用漏洞獲取資源，攻擊者通過(guò)威脅情報(bào)或者漏洞挖掘等方式掌握了較新的漏洞利用方式，基于此編寫(xiě)漏洞批量利用腳本，自動(dòng)化、無(wú)差別地對(duì)互聯(lián)網(wǎng)上的Web應(yīng)用進(jìn)行漏洞探測(cè)與利用，以此獲取更多的“肉雞”資源用于跳板機(jī)、挖礦以及組建僵尸網(wǎng)絡(luò)等目的。由于這種攻擊方式不是針對(duì)特定的個(gè)體或者組織，所以稱(chēng)之為非定向Web攻擊。與之相對(duì)應(yīng)，攻擊者具有很明確的目的性，針對(duì)特定個(gè)體或者組織發(fā)起的攻擊就稱(chēng)為定向Web攻擊。定向Web攻擊和非定向Web攻擊在實(shí)施過(guò)程中最大的區(qū)別就是攻擊者親自參與的程度不同，在定向Web攻擊中，攻擊者往往會(huì)更多地親自參與、多次嘗試，所以定向Web攻擊的攻擊手法也往往更加高級(jí)。

應(yīng)用于Web安全防護(hù)中的蜜罐技術(shù)，為應(yīng)對(duì)這兩種不同的Web攻擊模式，也呈現(xiàn)出不同的形式，下面將從部署模式、技術(shù)特點(diǎn)和應(yīng)用效能3個(gè)方面介紹在這兩種Web攻擊模式下蜜罐技術(shù)的異同。

3.1 針對(duì)非定向Web攻擊的蜜罐技術(shù)

在非定向Web攻擊中，攻擊來(lái)源往往是自動(dòng)化攻擊腳本。這些攻擊腳本沒(méi)有明確的目標(biāo)對(duì)象，批量的掃描、驗(yàn)證著互聯(lián)網(wǎng)上的Web應(yīng)用。這種攻擊模式呈現(xiàn)出非定向、低交互的特征，所以應(yīng)對(duì)這種攻擊模式的蜜罐技術(shù)在部署后往往與真實(shí)業(yè)務(wù)系統(tǒng)處于一個(gè)平行的位置，并且直接暴露于互聯(lián)網(wǎng)，如圖1所示。因?yàn)檫@樣部署使得蜜罐具有和普通業(yè)務(wù)系統(tǒng)同等的地位，自然也就會(huì)成為非定向Web攻擊的目標(biāo)。而蜜罐表現(xiàn)出的特點(diǎn)往往是低交互且動(dòng)態(tài)性比較強(qiáng)，低交互是因?yàn)檫@些自動(dòng)化腳本本身的交互性也不會(huì)很高，低交互足以應(yīng)對(duì)；動(dòng)態(tài)性是為了能應(yīng)對(duì)多種不同的自動(dòng)化攻擊。在這樣的應(yīng)用場(chǎng)景下，蜜罐具備Web攻擊預(yù)警、Payload捕獲等效能。

3.2 針對(duì)定向Web攻擊的蜜罐技術(shù)

在定向Web攻擊中，攻擊多由攻擊者親身參與。這種攻擊有明確的目標(biāo)對(duì)象，比如官網(wǎng)首頁(yè)或者某個(gè)子部門(mén)的二級(jí)域名網(wǎng)站。這種攻擊模式往往呈現(xiàn)的是定向、高交互的特征，所以應(yīng)對(duì)這種攻擊模式的蜜罐技術(shù)在空間部署后會(huì)像圖2所示，其誘導(dǎo)裝置檢測(cè)攻擊并將攻擊誘導(dǎo)至一個(gè)與真實(shí)業(yè)務(wù)系統(tǒng)高度仿真的蜜罐，誘導(dǎo)裝置和蜜罐共同保護(hù)著真實(shí)業(yè)務(wù)系統(tǒng)。這種應(yīng)用場(chǎng)景下的蜜罐具有高交互、高隱蔽性的特點(diǎn)，高交互是為了能夠和攻擊者進(jìn)行更多的交互行為，一方面可以捕獲更多攻擊數(shù)據(jù)，另一方面也是為了提高自身的隱蔽性。隱蔽性除了高交互特征提供之外，也包含了監(jiān)測(cè)機(jī)制的隱蔽性，以保證攻擊者無(wú)法察覺(jué)。在此場(chǎng)景下，蜜罐技術(shù)除了具備Web攻擊預(yù)警、Payload捕獲效能之外，還能延緩攻擊進(jìn)程，給予安全防護(hù)人員更多的應(yīng)急響應(yīng)時(shí)間。

介紹完兩種攻擊模式下的Web蜜罐技術(shù)，接下來(lái)將主要就單蜜罐技術(shù)進(jìn)行討論，提出面向Web安全防護(hù)的蜜罐技術(shù)分層模型。

4 面向Web安全防護(hù)的蜜罐技術(shù)分層模型

在Web應(yīng)用開(kāi)發(fā)領(lǐng)域有一種著名的架構(gòu)模式叫做MVC，它將Web應(yīng)用系統(tǒng)分為模型層（Model）、控制器層（Controller）和視圖層（View）。在分析研究當(dāng)前主流的Web蜜罐后發(fā)現(xiàn)，應(yīng)用于Web安全領(lǐng)域的蜜罐技術(shù)也可按照這三層為界限進(jìn)行劃分。蜜罐技術(shù)本質(zhì)是誘騙和監(jiān)測(cè)，根據(jù)誘騙和監(jiān)測(cè)發(fā)生在MVC的不同階段，可將Web安全防護(hù)中的蜜罐技術(shù)分為視圖層蜜罐技術(shù)、控制層蜜罐技術(shù)和數(shù)據(jù)層蜜罐技術(shù)，其模型示意圖如圖3。

接下來(lái)將從這三層逐一展開(kāi)，說(shuō)明每一層蜜罐技術(shù)的表現(xiàn)形式和特點(diǎn)，并介紹相應(yīng)的主流Web蜜罐技術(shù)。

4.1 視圖層蜜罐技術(shù)

視圖層蜜罐技術(shù)指的是誘騙或監(jiān)測(cè)發(fā)生在視圖層及以上的技術(shù)形態(tài)，主要表現(xiàn)為各類(lèi)具有模擬功能的低交互Web蜜罐、記錄HTTP流量類(lèi)型的純蜜罐、Web中間件類(lèi)型蜜罐、反向代理類(lèi)型蜜罐等。Glastopf是一款優(yōu)秀的低交互Web蜜罐，它通過(guò)各種Web漏洞類(lèi)型模擬器模擬各類(lèi)Web漏洞。純蜜罐通過(guò)將真實(shí)的業(yè)務(wù)系統(tǒng)脫敏，在其上層添加記錄流量的組件使其成為一個(gè)蜜罐系統(tǒng)。2015年，Araujo等人在USENIX上提出的基于LLVM的DataFlowSanitizer實(shí)現(xiàn)的是一種基于信息流的Apache Web中間件蜜罐，在檢測(cè)到攻擊時(shí)自動(dòng)將攻擊者的網(wǎng)絡(luò)連接引導(dǎo)至具備監(jiān)測(cè)能力進(jìn)程上。HFish蜜罐平臺(tái)是基于Nginx中間件開(kāi)發(fā)的插件，可以實(shí)現(xiàn)將任意站點(diǎn)轉(zhuǎn)化為蜜罐。2017年，Izagirre等人提出反向代理等手段在應(yīng)用層操縱HTTP請(qǐng)求注入誘騙數(shù)據(jù)以檢測(cè)攻擊和阻斷攻擊，屬于反向代理類(lèi)蜜罐技術(shù)。

這類(lèi)蜜罐技術(shù)的監(jiān)測(cè)層次處于視圖層及以上的位置，捕獲和記錄攻擊者對(duì)于Web蜜罐的輸入數(shù)據(jù)，相對(duì)來(lái)說(shuō)比較簡(jiǎn)便易行。但由于監(jiān)測(cè)的層面較高，往往捕獲到的攻擊行為數(shù)據(jù)所攜帶的語(yǔ)義信息更低，當(dāng)數(shù)據(jù)量較大時(shí)可能需要結(jié)合其他數(shù)據(jù)分析方式如數(shù)據(jù)挖掘等進(jìn)行輔助分析。這個(gè)層面的Web蜜罐技術(shù)的監(jiān)測(cè)工作已經(jīng)做得相對(duì)比較完善，未來(lái)的研究主要集中在誘騙策略的設(shè)計(jì)以及對(duì)大量語(yǔ)義數(shù)據(jù)的分析工作上。

4.2 控制器層蜜罐技術(shù)

控制器層蜜罐技術(shù)的誘騙或監(jiān)測(cè)發(fā)生在視圖層之下、數(shù)據(jù)層之上，主要包括各類(lèi)高交互Web蜜罐、網(wǎng)站影子系統(tǒng)等。比如HIHAT可以將現(xiàn)有的PHP應(yīng)用轉(zhuǎn)化為一個(gè)高交互蜜罐，雖然部分PHP應(yīng)用沒(méi)有明顯劃分MVC3個(gè)層級(jí)，但轉(zhuǎn)換后的蜜罐監(jiān)測(cè)功能實(shí)際上是發(fā)生在控制器層，所以可以劃分到控制器層的蜜罐技術(shù)。2017年，ArkTeam在FreeBuf互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)（FIT2017）上發(fā)表的“網(wǎng)絡(luò)欺騙：防御者的詭計(jì)”主題演講中提到的影子服務(wù)，即在真實(shí)業(yè)務(wù)系統(tǒng)旁邊安插的高度仿真的蜜罐系統(tǒng)，其本質(zhì)上也是一個(gè)高交互的蜜罐，所以也可將其劃分到控制器層蜜罐技術(shù)范疇。2020年，Niakanlahiji等人提出一種根據(jù)攻擊者交互數(shù)據(jù)推測(cè)攻擊者水平，從而為攻擊者提供定制化的Web蜜罐來(lái)最大化地迷惑攻擊者的思路，這種交互數(shù)據(jù)的捕獲需要在控制器層面，進(jìn)而才能獲取更多的語(yǔ)義信息輸入到推測(cè)模型，所以這種也可以歸類(lèi)到控制器層的蜜罐技術(shù)。

控制器層蜜罐技術(shù)捕獲到的攻擊行為數(shù)據(jù)相較于視圖層來(lái)說(shuō)語(yǔ)義更加豐富，但相對(duì)來(lái)說(shuō)監(jiān)測(cè)也更加困難。HIHAT雖然做到了自動(dòng)化地將現(xiàn)有應(yīng)用轉(zhuǎn)化為高交互蜜罐，但是其實(shí)現(xiàn)的機(jī)制不是很隱蔽，與蜜罐技術(shù)本身的誘騙功能存在沖突，在監(jiān)測(cè)隱蔽性上仍有待提升。此外，還可基于高交互特性獲取到的高語(yǔ)義數(shù)據(jù)來(lái)進(jìn)行進(jìn)一步的分析以提高蜜罐整體的誘騙性。

4.3 數(shù)據(jù)層蜜罐技術(shù)

數(shù)據(jù)層蜜罐技術(shù)偏向于數(shù)據(jù)層面的誘騙和監(jiān)測(cè)，主要包括數(shù)據(jù)庫(kù)蜜罐、數(shù)據(jù)蜜餌等，目前的研究工作數(shù)量相對(duì)前兩種層面的蜜罐技術(shù)較少。NoSQLpot是一個(gè)NoSQL蜜罐框架，可以模擬各類(lèi)NoSQL數(shù)據(jù)庫(kù)，記錄數(shù)據(jù)庫(kù)操作行為，屬于數(shù)據(jù)層蜜罐技術(shù)。2013年，Juels等人提出的“honeywords”的誘騙手法，通過(guò)給正常的用戶(hù)設(shè)置除了正確密碼以外的密碼，當(dāng)攻擊者以honeywords登錄時(shí)就會(huì)觸發(fā)警報(bào)，本質(zhì)上是一種數(shù)據(jù)庫(kù)蜜餌。

數(shù)據(jù)層蜜罐技術(shù)傾向于數(shù)據(jù)流的監(jiān)測(cè)，雖然監(jiān)測(cè)難度相對(duì)來(lái)說(shuō)不是很大，但是往往需要與前兩種層面的蜜罐技術(shù)相結(jié)合才能發(fā)揮效能。例如，雖然對(duì)于涉及秘密數(shù)據(jù)的攻擊行為來(lái)說(shuō)此類(lèi)蜜罐技術(shù)行之有效，但是對(duì)于以控制為目的的攻擊行為就會(huì)顯得束手無(wú)策。這個(gè)層面的蜜罐技術(shù)的后續(xù)研究可集中于誘騙策略的設(shè)計(jì)上，如結(jié)合控制層蜜罐技術(shù)收集到的高語(yǔ)義行為數(shù)據(jù)，有針對(duì)性地生成、布置蜜餌，以提高蜜罐技術(shù)整體的誘騙效能。

5 結(jié)語(yǔ)

本文針對(duì)面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)行了研究，從目前傳統(tǒng)Web安全防護(hù)技術(shù)存在的不足出發(fā)，以主動(dòng)防御的視角分析了問(wèn)題存在的根本原因，逐步引出了2種不同Web攻擊模式下的Web蜜罐技術(shù)，進(jìn)而提出Web蜜罐技術(shù)分層模型。安全研究工作者可借助此模型認(rèn)識(shí)、分析現(xiàn)有的Web蜜罐技術(shù)，發(fā)現(xiàn)不足與缺口，進(jìn)而提出改進(jìn)方法與新技術(shù)。Web服務(wù)暴露出的巨大攻擊面使其逐漸成為網(wǎng)絡(luò)攻擊的最佳入口點(diǎn)，研究Web蜜罐技術(shù)對(duì)于在攻擊初期發(fā)現(xiàn)、捕獲、延緩網(wǎng)絡(luò)攻擊，提升系統(tǒng)整體安全防護(hù)能力具有深遠(yuǎn)的意義。面向Web安全防護(hù)的蜜罐技術(shù)進(jìn)一步的研究工作將在于提升誘騙的智能性和監(jiān)測(cè)的隱蔽性，逐步提升蜜罐整體的誘捕能力。

 

（原載于《保密科學(xué)技術(shù)》2021年2月刊）