面向Web應(yīng)用安全的蜜場技術(shù)研究

曹秀蓮　鐘祥睿

摘? 要：蜜罐技術(shù)是一種沒有任何產(chǎn)品價值的安全資源，它常常與網(wǎng)絡(luò)防火墻、入侵檢測等一些被動的網(wǎng)絡(luò)防護(hù)技術(shù)結(jié)合在一起在大型分布式網(wǎng)絡(luò)中部署來提高系統(tǒng)安全性。伴隨著Web應(yīng)用技術(shù)的迅速發(fā)展，Web應(yīng)用安全問題也逐漸變得越來越突出，針對Web應(yīng)用種類繁多，蜜罐部署麻煩且利用率不高的情況，該文設(shè)計了一個在具有多個子網(wǎng)的大型局域網(wǎng)中部署多種應(yīng)用聯(lián)合呼應(yīng)的動態(tài)混合蜜罐，形成蜜場的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，并介紹其關(guān)鍵功能的實現(xiàn)。

關(guān)鍵詞：網(wǎng)絡(luò)安全? 蜜場? 誘騙? 動態(tài)聯(lián)合

中圖分類號：TP309 ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2019）08（a）-0012-03

當(dāng)今世界，互聯(lián)網(wǎng)已經(jīng)進(jìn)入了“應(yīng)用為王”的時代，隨著微信、微博、社交網(wǎng)絡(luò)、移動應(yīng)用、云計算等一系列網(wǎng)絡(luò)應(yīng)用的廣泛深入使用，作為這些網(wǎng)絡(luò)應(yīng)用載體的Web技術(shù)已經(jīng)滲透到人們的社會、生活、工作的各個方面。這些Web技術(shù)其實是一把“雙刃劍”，方便人們溝通和交流，改進(jìn)了工作方式。但也帶來了巨大的安全風(fēng)險問題。針對Web技術(shù)的攻擊越來越多，種類也越來越復(fù)雜，據(jù)統(tǒng)計，目前的互聯(lián)網(wǎng)攻擊中約75%是針對Web應(yīng)用技術(shù)的。采用傳統(tǒng)被動防護(hù)措施，如防火墻、IDS、添加補丁等對阻止Web攻擊顯得比較困難。

該文介紹一種面向Web應(yīng)用安全的主動防御技術(shù)——蜜場技術(shù)，這是被動防護(hù)技術(shù)的一種補充，它是把具有主動防御作用的蜜罐技術(shù)和常用被動防御技術(shù)結(jié)合，設(shè)計出一種適應(yīng)大型企業(yè)（需要建分公司子網(wǎng)）的安全網(wǎng)絡(luò)模型。

1? 蜜場技術(shù)的工作原理

蜜罐（Honeypot）是一種安全資源，它的價值就在于被探測、攻擊或攻陷[1]。蜜場（honeyfarm）是蜜罐技術(shù)的應(yīng)用，它適用于大規(guī)模分布式網(wǎng)絡(luò)，這跟它的優(yōu)點“邏輯上分散部署，物理上集中部署”有關(guān)。

蜜場的工作原理是這樣的：蜜場中有一個蜜場的中心，集中部署了多臺蜜罐，它們是一個獨立的網(wǎng)絡(luò);然后在各個企業(yè)子網(wǎng)中部署誘騙服務(wù)實現(xiàn)對子網(wǎng)進(jìn)行監(jiān)控的目的，誘騙服務(wù)是一些軟件實現(xiàn)的，它不直接響應(yīng)自己監(jiān)聽到的對端口的非法訪問或未用地址，但是通過轉(zhuǎn)發(fā)工具——重定向器把它們轉(zhuǎn)發(fā)到蜜場中心;蜜場中心根據(jù)非法訪問特征，隨之按照一定算法選擇響應(yīng)蜜罐進(jìn)行響應(yīng)，最后把響應(yīng)再回傳到其相應(yīng)的子網(wǎng)中去，并且對攻擊信息利用一些工具進(jìn)行收集和分析。

2? 面向Web應(yīng)用安全的蜜場的部署方案

2.1 Web應(yīng)用安全的問題所在

隨著Web應(yīng)用安全問題越來越嚴(yán)重的，開始出現(xiàn)Web蜜罐。Web蜜罐分為兩類：客戶端蜜罐和服務(wù)端蜜罐?？蛻舳嗣酃尥ㄟ^主動訪問網(wǎng)站來檢測惡意活動，服務(wù)端蜜罐通過暴露有漏洞的服務(wù)來吸引攻擊者[2]。該文主要講如何在服務(wù)端部署面向Web應(yīng)用安全的聯(lián)動蜜罐形成蜜場。

互聯(lián)網(wǎng)上Web攻擊一般分為兩種：一種是針對某個特定目標(biāo)的惡意攻擊，一種是大范圍撒網(wǎng)的無特定目標(biāo)的惡意攻擊。對于前者，攻擊者會主動分析特定目標(biāo)的IP地址、域名等信息，分析特定目標(biāo)可能存在的漏洞，然后采用相應(yīng)的攻擊手段。這種情況下在互聯(lián)網(wǎng)上部署的蜜罐系統(tǒng)意義不是很大。因此該文中設(shè)計的面向web應(yīng)用安全的蜜場系統(tǒng)并不是針對特定目標(biāo)的攻擊，而是針對無特定目標(biāo)的惡意攻擊。無特定目標(biāo)的攻擊會在互聯(lián)網(wǎng)上采用撒網(wǎng)式的方法尋找有漏洞的應(yīng)用。為了節(jié)省成本，這一類惡意攻擊通常會使用集成搜索引擎和掃描軟件的工具進(jìn)行，但是，到達(dá)蜜罐的攻擊并不可能全部是針對蜜場中蜜罐上已經(jīng)部署的應(yīng)用，在這種情況下某些攻擊就會失敗，蜜罐就不會捕獲到某次攻擊的信息。

針對這種情況，該文要解決兩個問題：一個就是怎樣從針對不同應(yīng)用的眾多攻擊流量進(jìn)行選擇，再轉(zhuǎn)發(fā)給相對應(yīng)蜜罐;另一個就是能從蜜場中部署的蜜罐發(fā)出的眾多響應(yīng)中選擇最優(yōu)響應(yīng)作為攻擊者響應(yīng)。這些都取決于蜜罐選擇算法，該文設(shè)計了一個動態(tài)聯(lián)合算法來進(jìn)行目標(biāo)Web應(yīng)用蜜罐的選擇。

2.2 面向Web應(yīng)用安全的蜜場的具體部署

該文將以一個具有多個分公司的企業(yè)網(wǎng)絡(luò)為例，設(shè)計一個綜合各種防護(hù)的安全網(wǎng)絡(luò)，它既包括防火墻、入侵檢測等傳統(tǒng)被動保護(hù)技術(shù)，又包含主動的蜜場技術(shù)。其體系結(jié)構(gòu)如圖1所示。

企業(yè)的總體網(wǎng)絡(luò)被劃分為為兩部分：一個是受保護(hù)子網(wǎng)即多個分公司內(nèi)網(wǎng)，另一個是Web應(yīng)用模擬子網(wǎng)，在每個分公司的受保護(hù)子網(wǎng)中都部署了一個像誘餌一樣的服務(wù)，這些服務(wù)動態(tài)地模擬自己所在的分公司內(nèi)網(wǎng)環(huán)境，利用多臺虛擬主機，最大程度地吸引攻擊者。而在Web應(yīng)用模擬子網(wǎng)內(nèi)，則配置了具有高交互性的物理蜜罐，它模擬了各種可能的應(yīng)用，應(yīng)對各種轉(zhuǎn)發(fā)請求。此外在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間設(shè)立了防火墻、位于Web應(yīng)用模擬子網(wǎng)前端的蜜墻[4]、IDS和路由器等常規(guī)控制安全設(shè)備。這些設(shè)備既完成了網(wǎng)絡(luò)連接任務(wù)，又能起到保護(hù)企業(yè)子網(wǎng)、采集入侵者信息和控制部署蜜罐帶來的風(fēng)險等功能。

3? 面向Web應(yīng)用安全的蜜場系統(tǒng)的關(guān)鍵功能設(shè)計

在圖1中所設(shè)計的安全防護(hù)系統(tǒng)中，蜜場系統(tǒng)中的蜜罐模型是一種由多個具有高交互性的不同Web應(yīng)用蜜罐群。這些蜜罐上被部署了多種不同的真實的Web應(yīng)用或服務(wù)，由一個動態(tài)聯(lián)動管理器進(jìn)行管理，按照攻擊特征進(jìn)行動態(tài)選擇相應(yīng)的應(yīng)用蜜罐與攻擊者交互。

該模型可以用圖2來表示，由兩個部分組成：受保護(hù)子網(wǎng)和Web應(yīng)用模擬子網(wǎng)。

受保護(hù)子網(wǎng)中部署了誘餌，它們能夠虛擬所在子網(wǎng)的不存在的IP地址主機，這是個動態(tài)過程，為入侵者提供透明的轉(zhuǎn)發(fā)服務(wù)，把未授權(quán)的或惡意的活動轉(zhuǎn)發(fā)到Web應(yīng)用模擬子網(wǎng)中的其中一個蜜罐中;同時又控制對外連接，對不符合轉(zhuǎn)發(fā)條件的入侵行為根據(jù)控制規(guī)則制定策略;并且對與它相關(guān)的網(wǎng)絡(luò)活動實時記錄，獲取入侵?jǐn)?shù)據(jù);Web應(yīng)用模擬子網(wǎng)是由多個個中、高交互的蜜罐組成的蜜場，它接收受保護(hù)子網(wǎng)中的誘餌轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包，給入侵者提供服務(wù)，收集應(yīng)用程序和操作系統(tǒng)的事件日志，對進(jìn)程和端口調(diào)用、系統(tǒng)調(diào)用以及安全審計作記錄。