信息化觀察網(wǎng)

本文來自微信公眾號“郵電設(shè)計技術(shù)”，作者/黃健。

介紹了基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測和技術(shù)實現(xiàn)方法，并與傳統(tǒng)方案進(jìn)行對比，結(jié)果表明，欺騙防御技術(shù)可以更有效地識別并防御惡意攻擊。提出的仿真能力、欺騙環(huán)境構(gòu)建、威脅識別分析等技術(shù)實現(xiàn)方式很好地展現(xiàn)了欺騙防御技術(shù)的主動防御能力，為網(wǎng)絡(luò)安全攻擊檢測和響應(yīng)優(yōu)化提供了新的思路和方法，對提高網(wǎng)絡(luò)安全防御能力具有重要意義。

0 1

概述

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)安全已成為世界范圍內(nèi)的一個熱點話題［1］。網(wǎng)絡(luò)安全攻擊的形式和威脅日益復(fù)雜和嚴(yán)重，傳統(tǒng)安全防御技術(shù)已經(jīng)無法滿足對新型威脅的檢測和響應(yīng)要求。攻擊者可以利用各種漏洞和技術(shù)手段，以各種形式發(fā)起攻擊，例如網(wǎng)絡(luò)釣魚、DDoS攻擊、勒索軟件攻擊、社交工程等，這些攻擊方式對于個人和組織的財產(chǎn)和安全都造成了極大的威脅［2-3］。為了有效地防御這些攻擊，安全防御技術(shù)也在不斷地發(fā)展和完善。在傳統(tǒng)的安全防御中，常見防御技術(shù)包括入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、反病毒軟件、網(wǎng)絡(luò)防火墻、網(wǎng)關(guān)等［4］。然而，隨著攻擊技術(shù)的不斷發(fā)展和演變，這些傳統(tǒng)的安全防御技術(shù)也越來越難以滿足新的安全防御需求。攻擊者可以使用各種技術(shù)繞過傳統(tǒng)的安全防御措施，例如使用新型漏洞、惡意軟件等手段［5］。

欺騙防御技術(shù)作為一種新興的安全防御技術(shù)，具有一定的創(chuàng)新性。它不同于傳統(tǒng)的防御方法，是一種主動的安全防御技術(shù)，通過欺騙攻擊者的方式，提高網(wǎng)絡(luò)安全的防御水平［6］。欺騙防御技術(shù)可以通過欺騙攻擊者或篡改攻擊者獲取的信息，從而防止攻擊者進(jìn)一步實施攻擊，其本質(zhì)是通過與攻擊者進(jìn)行信息互通，讓攻擊者認(rèn)為攻擊已經(jīng)成功實施，從而降低攻擊者的興趣和能動性，提高安全防御的效率和效果［7-8］。另外，欺騙防御技術(shù)可以在傳統(tǒng)的安全防御技術(shù)的基礎(chǔ)上，增加一層主動的防御機制，提高安全防御的能力。使用欺騙防御技術(shù)可以有效地識別和防止高級威脅和內(nèi)部攻擊，提高網(wǎng)絡(luò)安全的防御水平［9］。因此，探索基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測和技術(shù)實現(xiàn)方法，對于提高網(wǎng)絡(luò)安全防御能力、網(wǎng)絡(luò)安全響應(yīng)效率和準(zhǔn)確性具有重要意義。

0 2

基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測方法

傳統(tǒng)的網(wǎng)絡(luò)安全攻擊檢測方法，如基于規(guī)則的檢測方法、基于統(tǒng)計分析的檢測方法和基于行為分析的檢測方法等，存在諸多局限性，無法滿足網(wǎng)絡(luò)安全的全面防御需求［10］。因此，基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測方法逐漸引起了人們的重視。本章主要介紹基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測的4種主要方法，包括入侵檢測系統(tǒng)欺騙技術(shù)、蜜罐技術(shù)、虛假數(shù)據(jù)技術(shù)和欺騙攻擊者，如圖1所示。

圖1基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測方法

2.1入侵檢測系統(tǒng)欺騙技術(shù)

入侵檢測系統(tǒng)的主要思想是在入侵檢測系統(tǒng)中加入虛假信息，以達(dá)到欺騙攻擊者的目的［11］。該技術(shù)包括入侵檢測系統(tǒng)欺騙攻擊者和欺騙檢測器2種類型。入侵檢測系統(tǒng)欺騙技術(shù)的優(yōu)點在于能夠有效地欺騙攻擊者，從而降低攻擊的成功率，同時又能夠保持入侵檢測系統(tǒng)的正常運行，不影響網(wǎng)絡(luò)的正常使用。此外，該技術(shù)還可以通過收集攻擊者的信息和行為數(shù)據(jù)，提高對攻擊行為的了解和分析能力，為進(jìn)一步加強網(wǎng)絡(luò)安全防御提供有價值的數(shù)據(jù)支持。

2.2蜜罐技術(shù)

蜜罐技術(shù)的主要思想是通過在網(wǎng)絡(luò)中布置虛假系統(tǒng)或服務(wù)，吸引攻擊者攻擊蜜罐，從而收集攻擊者的信息和行為數(shù)據(jù)，以提高網(wǎng)絡(luò)安全防御的能力［12］。

蜜罐技術(shù)包括低交互蜜罐和高交互蜜罐2種類型。低交互蜜罐提供基本的服務(wù)，并通過重定向攻擊者到虛假系統(tǒng)或服務(wù)來降低攻擊成功率，但無法提供詳細(xì)的攻擊行為信息。高交互蜜罐可以模擬真實系統(tǒng)的環(huán)境和行為，記錄攻擊者的所有行為，提供有價值的數(shù)據(jù)支持，但需要投入大量的資源來維護(hù)和管理。蜜罐技術(shù)的優(yōu)點在于可以有效提高網(wǎng)絡(luò)安全防御能力并降低攻擊者的成功率，但其局限性在于需要與其他防御措施相結(jié)合才能更好地應(yīng)對不同類型的攻擊行為。

2.3虛假數(shù)據(jù)技術(shù)

虛假數(shù)據(jù)技術(shù)的主要思想是通過制造虛假數(shù)據(jù)來引誘攻擊者以識別并阻止攻擊行為。虛假數(shù)據(jù)技術(shù)可以分為主動型虛假數(shù)據(jù)技術(shù)和被動型虛假數(shù)據(jù)技術(shù)2種類型。主動型虛假數(shù)據(jù)技術(shù)是將虛假數(shù)據(jù)注入真實數(shù)據(jù)中來干擾攻擊者的攻擊行為，但會對真實數(shù)據(jù)的可靠性產(chǎn)生影響。被動型虛假數(shù)據(jù)技術(shù)是在真實數(shù)據(jù)流中添加虛假數(shù)據(jù)來誘騙攻擊者進(jìn)行攻擊，但需要更復(fù)雜的算法來識別攻擊者的行為。

虛假數(shù)據(jù)技術(shù)的優(yōu)點在于能夠干擾攻擊者的攻擊行為，降低攻擊成功率，提高網(wǎng)絡(luò)安全防御能力，但局限性在于需要投入大量的資源來維護(hù)和管理虛假數(shù)據(jù)，也需要與其他防御措施相結(jié)合才能更好地應(yīng)對不同類型的攻擊行為。虛假數(shù)據(jù)技術(shù)的發(fā)展趨勢是通過機器學(xué)習(xí)等技術(shù)來提高虛假數(shù)據(jù)技術(shù)的可靠性和智能化程度，以更好地應(yīng)對網(wǎng)絡(luò)安全攻擊。

2.4欺騙攻擊者

欺騙攻擊者是一種基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測方法，其具體方法包括虛擬化欺騙技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。虛擬化欺騙技術(shù)通過欺騙攻擊者的目標(biāo)系統(tǒng)，將其注意力轉(zhuǎn)移到虛擬環(huán)境中，以達(dá)到降低攻擊成功率的目的。網(wǎng)絡(luò)嗅探技術(shù)指通過監(jiān)控網(wǎng)絡(luò)流量和數(shù)據(jù)包，識別和攔截攻擊行為，對新型攻擊行為進(jìn)行檢測。然而，欺騙攻擊者方法也存在一些局限性和挑戰(zhàn)，需要在實踐中加以應(yīng)用和完善。

0 3

基于欺騙防御技術(shù)的實現(xiàn)方式

欺騙防御技術(shù)是防守者得以觀察攻擊者行為的網(wǎng)絡(luò)防御戰(zhàn)術(shù)，通過誘騙使攻擊者暴露自身，目前主流的基于欺騙防御技術(shù)的實現(xiàn)方式有多種，包括仿真能力、欺騙環(huán)境構(gòu)建、威脅識別、攻擊者畫像等，本章主要對以上幾種實現(xiàn)方式進(jìn)行詳細(xì)介紹。

3.1仿真能力

基于欺騙防御技術(shù)的仿真能力通常有多種類型，包含應(yīng)用服務(wù)類、漏洞類、操作系統(tǒng)類、工控類以及定制仿真。

3.1.1應(yīng)用服務(wù)仿真

a）Web類：仿真類型包括Weblogic/tomcat/thinkphp/wordpress/wiki/wildfly/wordpress/Jenkins/beescms等。

b）數(shù)據(jù)庫類：仿真類型包括MySql/phpmyadmin/DB2/Redis/PostgreSQL等。

c）通用服務(wù)類：仿真類型包括SSH/Telnet/FTP/Extmail等。

3.1.2漏洞仿真

通常系統(tǒng)會帶有高甜度的漏洞，例如Log4j2、Shiro、Struts2等，為保障高仿真度和誘捕能力，甚至可定制熱點漏洞的仿真。

3.1.3操作系統(tǒng)仿真

欺騙防御技術(shù)通常可支持Windows、Linux等常見系列操作系統(tǒng)仿真能力，可構(gòu)建辦公環(huán)境、業(yè)務(wù)環(huán)境、生產(chǎn)環(huán)境等高仿真業(yè)務(wù)環(huán)境。

3.1.4工業(yè)控制仿真

欺騙防御技術(shù)為滿足工業(yè)應(yīng)用環(huán)境，通常也具備工業(yè)控制仿真能力，可支持IEC104/IEC61850/S7/Modbus/工業(yè)OMS系統(tǒng)的高仿真能力，可進(jìn)行工控系統(tǒng)的蜜網(wǎng)布設(shè)。

3.1.5定制仿真

欺騙防御技術(shù)為滿足特殊業(yè)務(wù)應(yīng)用需求，通常內(nèi)置Web框架，通過上傳標(biāo)簽主題、標(biāo)簽頁icon、頁面logo、背景圖等信息，可快速生產(chǎn)成Web蜜網(wǎng)，具備溯源社交賬號等能力。

3.2欺騙環(huán)境構(gòu)建

欺騙防御技術(shù)可通過漏洞設(shè)計、誘餌投放、仿真系統(tǒng)設(shè)置等構(gòu)建高仿真欺騙誘捕環(huán)境，它不參與真實網(wǎng)絡(luò)業(yè)務(wù)交互，對實際業(yè)務(wù)環(huán)境無任何影響。欺騙防御技術(shù)可基于用戶網(wǎng)絡(luò)的環(huán)境，通過占用空余IP/網(wǎng)段、采用誘捕探針部署在已有的終端進(jìn)行攻擊導(dǎo)流來構(gòu)建蜜網(wǎng)，攻擊者一旦達(dá)到蜜網(wǎng)即可被吸引至仿真系統(tǒng)，由仿真系統(tǒng)完成交互，捕獲攻擊行為。誘餌投放主要以主機誘餌和互聯(lián)網(wǎng)誘餌為主，互聯(lián)網(wǎng)誘餌在公開的網(wǎng)站中設(shè)置虛假信息，在黑客收集信息階段對其造成誤導(dǎo)，使其攻擊目標(biāo)轉(zhuǎn)向蜜網(wǎng)，間接保護(hù)其他資產(chǎn)。主機誘餌需要提前投放到真實環(huán)境中，如放置SSH連接蜜網(wǎng)過程中的公鑰記錄或在主機誘餌上開放有利用價值的端口，在攻擊者做嗅探時，將攻擊者的攻擊視線轉(zhuǎn)移到蜜網(wǎng)之中。

3.3威脅識別分析

欺騙防御技術(shù)基于行為識別能力，依靠高仿真業(yè)務(wù)在網(wǎng)絡(luò)中布下層層陷阱，當(dāng)攻擊者訪問時，可對攻擊行為進(jìn)行全程記錄和報文捕獲，對0day及APT等高級攻擊與未知威脅進(jìn)行有效發(fā)現(xiàn)，捕獲攻擊過程。技術(shù)上采用驅(qū)動層監(jiān)控，早于入侵者入場，隱藏自身存在，具有先手優(yōu)勢，捕獲關(guān)鍵惡意行為。對于攻擊者的行為，從多維度的信息入手，根據(jù)攻擊數(shù)據(jù)進(jìn)行研判，識別已知攻擊行為的攻擊類型、攻擊手段、攻擊工具等，可對攻擊詳細(xì)數(shù)據(jù)和攻擊報文進(jìn)行進(jìn)一步分析，發(fā)現(xiàn)未知威脅等。

3.4攻擊者畫像

欺騙防御技術(shù)可通過記錄攻擊者的IP地址、所在區(qū)域、攻擊時間、攻擊手段等，進(jìn)一步溯源并獲取到攻擊者的設(shè)備指紋和虛擬身份。根據(jù)攻擊時間、攻擊目標(biāo)、攻擊過程、設(shè)備指紋等進(jìn)行匯聚處理、深度分析，溯源攻擊者信息，以攻擊者為單位展示攻擊過程、攻擊階段、攻擊路徑和攻擊手段。結(jié)合攻擊行為和攻擊者身份進(jìn)行攻擊者畫像，展示攻擊全過程。攻擊者畫像如圖2所示。

圖2攻擊者畫像

0 4

欺騙防御技術(shù)價值體現(xiàn)

欺騙防御技術(shù)較傳統(tǒng)安全防御技術(shù)，有著獨特的價值體現(xiàn)，尤其在面對0day漏洞這種不可預(yù)知的安全威脅時，無有效手段提前判斷形勢，傳統(tǒng)手段往往只能待事件發(fā)生后做應(yīng)急響應(yīng)，采取相應(yīng)的措施以減輕或消除對系統(tǒng)的威脅［13］。這些往往都是被動響應(yīng)，在網(wǎng)絡(luò)安全事件發(fā)生后采取相應(yīng)的措施，如隔離受感染的主機、清除惡意代碼等［14-15］。而欺騙防御技術(shù)通過強大的業(yè)務(wù)高仿真和蜜網(wǎng)組建能力，在入侵者必經(jīng)之路上構(gòu)造陷阱，混淆攻擊目標(biāo)，吸引攻擊者進(jìn)入蜜網(wǎng)，拖住攻擊者，延緩攻擊，保護(hù)真實系統(tǒng)，可提前發(fā)現(xiàn)攻擊者的行為，分析攻擊目的和意圖，制定防御方案，提前預(yù)警，為應(yīng)急響應(yīng)爭取時間。

在HW場景中，傳統(tǒng)安全防御技術(shù)，如防火墻、WAF、IPS等更偏向于防控，溯源取證能力不足。而通過多節(jié)點部署的基于欺騙防御技術(shù)的蜜罐產(chǎn)品，可全網(wǎng)覆蓋，形成一張巨大密網(wǎng)，對紅隊攻擊行為進(jìn)行誘捕。通過IP溯源、設(shè)備指紋獲取、社交信息溯源、深度溯源等多種技術(shù)方式，實現(xiàn)對攻擊者的全面溯源。通過多種溯源信息的結(jié)合，可進(jìn)行攻擊者畫像，進(jìn)一步溯源到攻擊者的真實信息，定位其地理位置、身份信息等，為藍(lán)方提供防守得分的有效依據(jù)。圖3給出了HW場景蜜罐部署示意。

圖3 HW場景蜜罐部署示意

0 5

結(jié)論與展望

本研究基于欺騙防御技術(shù)，探索了一種更有效的網(wǎng)絡(luò)安全攻擊檢測和常見技術(shù)能力的實現(xiàn)方式。通過對比傳統(tǒng)安全防御技術(shù)，突出了欺騙防御技術(shù)在面對0day威脅和HW場景中的技術(shù)優(yōu)勢。

首先，本研究詳細(xì)介紹了基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測方法，包括入侵檢測系統(tǒng)欺騙技術(shù)、蜜罐技術(shù)、虛假數(shù)據(jù)技術(shù)和欺騙攻擊者等4種方法，為網(wǎng)絡(luò)安全攻擊檢測提供了新的思路和方法；其次，介紹了幾種常見的基于欺騙防御技術(shù)的技術(shù)實現(xiàn)方式，包括仿真、欺騙環(huán)境構(gòu)建、威脅識別分析和攻擊者畫像；最后，通過對比傳統(tǒng)安全防御技術(shù)的2種應(yīng)用場景，加深讀者對欺騙防御技術(shù)的理解，進(jìn)一步體現(xiàn)出欺騙防御技術(shù)的能力優(yōu)勢。

總之，本研究為網(wǎng)絡(luò)安全攻擊檢測和響應(yīng)優(yōu)化提供了新的思路和方法，對于提高網(wǎng)絡(luò)安全防御能力具有重要意義。后續(xù)研究還需要進(jìn)一步深入探究和解決相關(guān)問題，以更好地應(yīng)對不斷變化的網(wǎng)絡(luò)安全威脅。

參考文獻(xiàn)

［1］周楊，黃媛媛.新形勢下網(wǎng)絡(luò)安全企業(yè)業(yè)態(tài)淺析［J］.信息通信技術(shù)與政策，2023，49（2）：30-34.

［2］吳育輝，楊正澤，張蓉.新形勢下地方院校網(wǎng)絡(luò)安全管理探討［J］.安順學(xué)院學(xué)報，2023，25（1）：118-122.

［3］白天毅.計算機網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用探討［J］.長江信息通信，2023，36（2）：235-237.

［4］VANIN P，NEWE T，DHIRANI L L，et al.A study of network intrusion detection systems using artificial intelligence/machine learning［J］.Applied Sciences，2022，12（22）：11752.

［5］羅婷婷.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究［J］.信息與電腦（理論版），2019，31（21）：186-187.

［6］李文博，杜鵬昊.基于下一代欺騙防御技術(shù)的網(wǎng)絡(luò)安全能力建設(shè)［J］.儀器儀表標(biāo)準(zhǔn)化與計量，2021（6）：22-25.

［7］裴辰曄.網(wǎng)絡(luò)欺騙防御技術(shù)在電廠網(wǎng)絡(luò)安全中的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2022（10）：110-111.

［8］顧煜.多層次網(wǎng)絡(luò)空間欺騙防御技術(shù)效能評估方法［D］.南京：東南大學(xué)，2021.

［9］MAZHAR T，IRFAN H M，KHAN S，et al.Analysis of cyber security attacks and its solutions for the smart grid using machine learning and blockchain methods［J］.Future Internet，2023，15（2）：83.

［10］賈召鵬.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究［D］.北京：北京郵電大學(xué)，2018.

［11］董志瑋.基于深度學(xué)習(xí)的無線通信網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計［J］.長江信息通信，2023，36（2）：119-121，124.

［12］康紅蓮.基于蜜罐的欺騙防御系統(tǒng)的設(shè)計與實現(xiàn)［D］.北京：北京郵電大學(xué)，2020.［13］賈召鵬，方濱興，劉潮歌，等.網(wǎng)絡(luò)欺騙技術(shù)綜述［J］.通信學(xué)報，2017，38（12）：128-143.

［14］王小英，劉慶杰，龐國莉.惡意代碼攻擊下多業(yè)務(wù)通信網(wǎng)絡(luò)安全響應(yīng)仿真［J］.計算機仿真，2020，37（10）：137-141.

［15］厲莉.分角色信譽模型與分級Ad hoc網(wǎng)絡(luò)安全響應(yīng)機制研究［D］.沈陽：東北大學(xué)，2013.