網絡誘捕技術的分析與探索

徐 超，閆懷超，江佳希

(上海工業自動化儀表研究院有限公司，上海 200233)

0 引言

當前，國家重大活動的網絡安全事件并不少見，這也是確保特殊時期企業和行業應用、系統、網絡可以安全、可靠、穩定、健康運行的重要措施。

所有類型的網絡安全攻防都有兩個角色，一是紅方的安全檢查，二是藍方的防御系統。因為藍方的防御系統經常在各個方面遭受“紅色”困擾，例如安全測試、自動安全檢查和手動滲透測試。安全性經過很長時間測試，才能驗證用戶系統安全策略和保護措施的有效性。

網絡陷阱是一種基于網絡誘捕技術，對虛擬系統和網絡等進行主動和欺詐性網絡安全檢測的技術。它利用安全檢測技術高效準確地檢測事件，具有很高的應用價值。

1 網絡誘捕技術的應用

1989年，網絡誘捕技術被首次提出。在開發過程中，在蜜罐網絡項目組和其他開源技術團隊的推動下，不同類型的網絡誘捕軟件工具都存在網絡安全問題。網絡誘捕技術也已經從蜜罐發展到蜜網[1]，再到分布式蜜網和蜜場[2]。網絡誘捕技術還經常用于攻擊分析、入侵檢測、僵尸網絡調查、網絡取證、惡意樣本捕獲和其他安全領域。

在2000年左右，蜜罐網絡項目組主要進行了理論驗證和系統測試。在研究和試驗結果的基礎上，提出了第一代蜜網理論，并驗證了其可行性和有效性。從2002年到2004年，蜜網發布了圍繞數據控制、數據收集、數據分析以及其他相關理論和技術的第二代蜜網模型框架。自2005年以來，蜜網的便捷化、數據捕獲和數據分析成為了蜜網項目組的研究重點。在此期間，也發布了第三代蜜網框架[3]。

目前，網絡誘捕技術研究人員已經開發出多種類型和功能的蜜罐。值得一提的是，現代蜜網(modern honey network,MHN)項目大大簡化了蜜罐的部署，并使研究人員能夠快速部署蜜罐以捕獲攻擊數據。近年來，MHN開源項目社區不斷活躍和更新。MHN支持多種開源蜜罐軟件，并支持開源通信協議hpfeed。

從我國近年來發表的學術論文來看，國內研究者對網絡誘捕技術的研究和應用還不夠廣泛[4]。從2006年開始，網絡誘捕技術首次被用于檢測蠕蟲[5-6]。自2008年以來，網絡誘捕技術已經被應用于端口檢測[7]、入侵檢測[8]和攻擊警告[9]。此后，一些研究者將網絡誘捕技術應用到安全的校園網絡和企業網絡的建設中[10]。除了有線網絡的應用外，也出現了無線網絡誘捕技術的應用[11]。然而，關于網絡誘捕技術在內網安全中應用的文獻很少。唯一的文獻是使用一個通用的蜜罐架構，試圖通過在內部網絡部署高交互度的蜜罐來捕獲未知攻擊、發現系統未知漏洞以及了解攻擊者的攻擊手法和所用工具[12]。

關于網絡誘捕技術在網絡安全的應用項目，直到2004年，北京大學計算學院的狩獵女神研究團隊研究成果較為突出。該項目團隊成功加入了世界知名的的蜜網技術研究組織蜜網項目組。狩獵女神蜜網項目多年來一直致力于蜜網技術和網絡攻擊檢測。從一開始，它就使用網絡誘捕技術來收集攻擊特征，建立攻擊知識庫和漏洞知識庫，然后使用網絡誘捕技術來攻擊和防御Internet，學習知識并將研究結果應用于僵尸網絡。在監控方面，基于Mito框架研發了一種主動的網絡安全保護技術。清華大學安全團隊的諸葛建偉是主要研究人員之一，他一直在研究和應用網絡誘捕技術[13]。例如，在cncert中部署kippo蜜罐，以進行相關的攻擊檢測和數據分析。

藍隊防御系統方通過對網絡通信數據進行實時的監視、檢測和防御，認為網絡誘捕技術可以廣泛應用于網絡安全防御過程中。這項技術可以幫助藍方實現以下功能。

①找出當前網絡是否被攻擊方損壞，以及被損壞的區域是否為授權的攻擊方。

②檢查當前的網絡安全策略是否健全，是否被損壞。

③找出網絡是否感染了蠕蟲。

④抵制網口掃描，干擾網絡信息的收集和調查。

⑤查找對重要系統的目標攻擊行為。

⑥保存攻擊事件并完成攻擊日志記錄，一鍵阻止攻擊，并通過技術對策和司法鑒定提供數據支持。

2 網絡安全與紅隊常見的滲透測試方法

從紅隊的視角出發，任何網絡安全事件都會通過安全校驗，發現系統和網絡的漏洞和脆弱點。通過多種檢測和掃描工具，對藍色目標網絡進行信息收集、漏洞測試和漏洞驗證。特別是面對大型企業時，通過大規模目標檢測等快速手段發現系統存在的安全問題，主要過程如下。

①大規模目標偵查。

目標偵查過程中，需快速了解用戶的系統類型、設備類型、版本、開放服務類型和端口信息，并確定系統和網絡的邊界范圍。紅方將了解基本信息，例如用戶網絡規模。通過nmap端口掃描和服務識別工具打開服務，甚至使用zmap、masscan等大型快速檢測工具進行更有針對性的測試。

②密碼和常見漏洞測試。

紅方已掌握藍方用戶的網絡規模。主機系統類型和服務開放性。紅方使用Metasploit或手動方法進行有針對性的攻擊和漏洞測試，包括各種Web應用程序系統漏洞、中間件漏洞、系統、應用程序和組件遠程執行代碼遺漏。它還將使用Hydra和其他工具來測試各種服務、中間件和系統密碼的常見弱密碼。最后通過技術手段獲取主機系統或組件的權限。

③權限獲取和水平移動。

紅方獲得特定目標后，將使用主機的系統權限和網絡可訪問性級別來擴展結果控制密鑰數據庫、業務系統和網絡設備。最后，它通過收集足夠的信息來證明當前缺乏系統安全性，從而控制核心系統并獲取核心數據。

3 威脅誘捕技術應對方式

威脅誘捕技術主要使用VM、Docker和軟件定義網絡(saftware define network,SDN)等虛擬化應用程序、主機、系統、網絡，以實現虛擬應用程序、主機、系統、網絡相關功能的模擬。網絡捕獲技術不同于一般的監視方法，后者是一種高精度的網絡安全檢測技術。網絡捕獲還具有一些主動防御特性。除了準確檢測攻擊事件之外，它還可能誤導攻擊者，使之迷惑，并提高攻擊的有效性。目前，紅方網絡陷阱系統的滲透測試和安全測試方法主要體現在以下四個方面。

①網絡掃描行為和異常行為監控。

通常，網絡捕獲系統將為測試人員建立一個或多個虛擬應用程序、主機、系統和網絡。當紅色團隊執行網絡檢測和網絡掃描時，如果網絡可訪問，則可能會攻擊網絡中的某些虛擬主機系統。根據異常連接和連接行為的分析機制，識別掃描類型和異常行為，并在第一時間對攻擊源IP進行告警。

②網絡掃描保護和服務欺詐。

處理掃描情況后，紅隊類型和系統網絡陷阱類型可以提供錯誤的端口和服務打開端口掃描結果，以及服務識別工具，例如紅隊nmap、zmap、masscan。錯誤的端口打開和服務打開結果包括一定比例的完全開放的端口。這將大大增加紅場掃描儀的運行時間，并增加紅場掃描儀的時間小組驗證、分析服務和托管應用程序，最終達到隱藏真實系統的目的。

③牽引和重定向攻擊行為。

對于那些闖入網絡的人，網絡捕獲系統可以設置虛擬主機系統的漏洞以及不同比例、不同類型、不同服務。拖動流量并重新定向到指定的容器、系統和網絡環境，使其進入“網絡黑洞”以增加攻擊時間，繼續拉動并分散紅色團隊。

④攻擊分析與反擊。

通常，當掃描行為或異常連接行為發生時，網絡陷阱系統會在第一時間生成安全攻擊事件。網絡掃描保護、服務欺詐、重定向和其他功能可以在一定程度上延遲攻擊時間。同時，當發生安全攻擊時，網絡捕獲系統還可以將攻擊源的IP地址推送到安全保護產品，以進行鏈接阻止。整個過程中，保留的行為日志還可以分析網絡是否真的被紅方破壞，突破是否是授權的紅方，從而了解并掌握未經授權的測試和攻擊行為。

4 與一般的網絡安全監控技術的區別

①不同的數據分析方法。

網絡捕獲系統只分析了通信和行為生成的虛擬主機、系統和網絡節點,不需要分析全網流量,流量和用戶行為分析會由于環境差異面不一致。

②數據分析方法不同于“內部”和“外部”。

網絡陷阱系統和數據分析不需要區分業務域和安全域，例如常見的網絡安全監視產品。網絡陷阱系統不區分“內部”和“外部”，沒有安全區域的概念，也沒有虛擬主機以外的任何資產。系統和網絡節點可以理解為潛在風險資產。

③異常判斷與攻擊行為不同。

系統和網絡節點生成的網絡捕獲系統滿足特定級別的特定連接頻率和網絡行為，這是非法的和異常的(因為在正常的連接條件下并且未連接或訪問網絡陷阱虛擬應用程序)系統。首先，用戶的業務系統和網絡環境是相對固定的。其次，非攻擊行為不會激活該行為下的異常行為。該分析方法定義了檢測規則和自定義規則，減少并消除了產品和網絡安全審核產品中的誤報。

5 結論

網絡罪犯一直在進化，變得越來越狡猾和持久，他們的目的也不僅僅是突破防線即可。他們想要謀求長期利益，在公司網絡中建立立足點，橫向擴展，跳轉到公司合作伙伴的網絡中，并按他們自己的步調發起后續攻擊。為解決這一問題，需要與單純的網絡防御有不同的思維和技術集。接下去的工作是運用所能收集到的各種鑒證情報分析對手的動機和戰術，預測攻擊可能發起的地方。