本文來(lái)自微信公眾號(hào)“郵電設(shè)計(jì)技術(shù)”,作者/黃健。
介紹了基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)和技術(shù)實(shí)現(xiàn)方法,并與傳統(tǒng)方案進(jìn)行對(duì)比,結(jié)果表明,欺騙防御技術(shù)可以更有效地識(shí)別并防御惡意攻擊。提出的仿真能力、欺騙環(huán)境構(gòu)建、威脅識(shí)別分析等技術(shù)實(shí)現(xiàn)方式很好地展現(xiàn)了欺騙防御技術(shù)的主動(dòng)防御能力,為網(wǎng)絡(luò)安全攻擊檢測(cè)和響應(yīng)優(yōu)化提供了新的思路和方法,對(duì)提高網(wǎng)絡(luò)安全防御能力具有重要意義。
0 1
概述
隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)安全已成為世界范圍內(nèi)的一個(gè)熱點(diǎn)話題[1]。網(wǎng)絡(luò)安全攻擊的形式和威脅日益復(fù)雜和嚴(yán)重,傳統(tǒng)安全防御技術(shù)已經(jīng)無(wú)法滿足對(duì)新型威脅的檢測(cè)和響應(yīng)要求。攻擊者可以利用各種漏洞和技術(shù)手段,以各種形式發(fā)起攻擊,例如網(wǎng)絡(luò)釣魚、DDoS攻擊、勒索軟件攻擊、社交工程等,這些攻擊方式對(duì)于個(gè)人和組織的財(cái)產(chǎn)和安全都造成了極大的威脅[2-3]。為了有效地防御這些攻擊,安全防御技術(shù)也在不斷地發(fā)展和完善。在傳統(tǒng)的安全防御中,常見(jiàn)防御技術(shù)包括入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、反病毒軟件、網(wǎng)絡(luò)防火墻、網(wǎng)關(guān)等[4]。然而,隨著攻擊技術(shù)的不斷發(fā)展和演變,這些傳統(tǒng)的安全防御技術(shù)也越來(lái)越難以滿足新的安全防御需求。攻擊者可以使用各種技術(shù)繞過(guò)傳統(tǒng)的安全防御措施,例如使用新型漏洞、惡意軟件等手段[5]。
欺騙防御技術(shù)作為一種新興的安全防御技術(shù),具有一定的創(chuàng)新性。它不同于傳統(tǒng)的防御方法,是一種主動(dòng)的安全防御技術(shù),通過(guò)欺騙攻擊者的方式,提高網(wǎng)絡(luò)安全的防御水平[6]。欺騙防御技術(shù)可以通過(guò)欺騙攻擊者或篡改攻擊者獲取的信息,從而防止攻擊者進(jìn)一步實(shí)施攻擊,其本質(zhì)是通過(guò)與攻擊者進(jìn)行信息互通,讓攻擊者認(rèn)為攻擊已經(jīng)成功實(shí)施,從而降低攻擊者的興趣和能動(dòng)性,提高安全防御的效率和效果[7-8]。另外,欺騙防御技術(shù)可以在傳統(tǒng)的安全防御技術(shù)的基礎(chǔ)上,增加一層主動(dòng)的防御機(jī)制,提高安全防御的能力。使用欺騙防御技術(shù)可以有效地識(shí)別和防止高級(jí)威脅和內(nèi)部攻擊,提高網(wǎng)絡(luò)安全的防御水平[9]。因此,探索基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)和技術(shù)實(shí)現(xiàn)方法,對(duì)于提高網(wǎng)絡(luò)安全防御能力、網(wǎng)絡(luò)安全響應(yīng)效率和準(zhǔn)確性具有重要意義。
0 2
基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法
傳統(tǒng)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法,如基于規(guī)則的檢測(cè)方法、基于統(tǒng)計(jì)分析的檢測(cè)方法和基于行為分析的檢測(cè)方法等,存在諸多局限性,無(wú)法滿足網(wǎng)絡(luò)安全的全面防御需求[10]。因此,基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法逐漸引起了人們的重視。本章主要介紹基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)的4種主要方法,包括入侵檢測(cè)系統(tǒng)欺騙技術(shù)、蜜罐技術(shù)、虛假數(shù)據(jù)技術(shù)和欺騙攻擊者,如圖1所示。
圖1基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法
2.1入侵檢測(cè)系統(tǒng)欺騙技術(shù)
入侵檢測(cè)系統(tǒng)的主要思想是在入侵檢測(cè)系統(tǒng)中加入虛假信息,以達(dá)到欺騙攻擊者的目的[11]。該技術(shù)包括入侵檢測(cè)系統(tǒng)欺騙攻擊者和欺騙檢測(cè)器2種類型。入侵檢測(cè)系統(tǒng)欺騙技術(shù)的優(yōu)點(diǎn)在于能夠有效地欺騙攻擊者,從而降低攻擊的成功率,同時(shí)又能夠保持入侵檢測(cè)系統(tǒng)的正常運(yùn)行,不影響網(wǎng)絡(luò)的正常使用。此外,該技術(shù)還可以通過(guò)收集攻擊者的信息和行為數(shù)據(jù),提高對(duì)攻擊行為的了解和分析能力,為進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全防御提供有價(jià)值的數(shù)據(jù)支持。
2.2蜜罐技術(shù)
蜜罐技術(shù)的主要思想是通過(guò)在網(wǎng)絡(luò)中布置虛假系統(tǒng)或服務(wù),吸引攻擊者攻擊蜜罐,從而收集攻擊者的信息和行為數(shù)據(jù),以提高網(wǎng)絡(luò)安全防御的能力[12]。
蜜罐技術(shù)包括低交互蜜罐和高交互蜜罐2種類型。低交互蜜罐提供基本的服務(wù),并通過(guò)重定向攻擊者到虛假系統(tǒng)或服務(wù)來(lái)降低攻擊成功率,但無(wú)法提供詳細(xì)的攻擊行為信息。高交互蜜罐可以模擬真實(shí)系統(tǒng)的環(huán)境和行為,記錄攻擊者的所有行為,提供有價(jià)值的數(shù)據(jù)支持,但需要投入大量的資源來(lái)維護(hù)和管理。蜜罐技術(shù)的優(yōu)點(diǎn)在于可以有效提高網(wǎng)絡(luò)安全防御能力并降低攻擊者的成功率,但其局限性在于需要與其他防御措施相結(jié)合才能更好地應(yīng)對(duì)不同類型的攻擊行為。
2.3虛假數(shù)據(jù)技術(shù)
虛假數(shù)據(jù)技術(shù)的主要思想是通過(guò)制造虛假數(shù)據(jù)來(lái)引誘攻擊者以識(shí)別并阻止攻擊行為。虛假數(shù)據(jù)技術(shù)可以分為主動(dòng)型虛假數(shù)據(jù)技術(shù)和被動(dòng)型虛假數(shù)據(jù)技術(shù)2種類型。主動(dòng)型虛假數(shù)據(jù)技術(shù)是將虛假數(shù)據(jù)注入真實(shí)數(shù)據(jù)中來(lái)干擾攻擊者的攻擊行為,但會(huì)對(duì)真實(shí)數(shù)據(jù)的可靠性產(chǎn)生影響。被動(dòng)型虛假數(shù)據(jù)技術(shù)是在真實(shí)數(shù)據(jù)流中添加虛假數(shù)據(jù)來(lái)誘騙攻擊者進(jìn)行攻擊,但需要更復(fù)雜的算法來(lái)識(shí)別攻擊者的行為。
虛假數(shù)據(jù)技術(shù)的優(yōu)點(diǎn)在于能夠干擾攻擊者的攻擊行為,降低攻擊成功率,提高網(wǎng)絡(luò)安全防御能力,但局限性在于需要投入大量的資源來(lái)維護(hù)和管理虛假數(shù)據(jù),也需要與其他防御措施相結(jié)合才能更好地應(yīng)對(duì)不同類型的攻擊行為。虛假數(shù)據(jù)技術(shù)的發(fā)展趨勢(shì)是通過(guò)機(jī)器學(xué)習(xí)等技術(shù)來(lái)提高虛假數(shù)據(jù)技術(shù)的可靠性和智能化程度,以更好地應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊。
2.4欺騙攻擊者
欺騙攻擊者是一種基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法,其具體方法包括虛擬化欺騙技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。虛擬化欺騙技術(shù)通過(guò)欺騙攻擊者的目標(biāo)系統(tǒng),將其注意力轉(zhuǎn)移到虛擬環(huán)境中,以達(dá)到降低攻擊成功率的目的。網(wǎng)絡(luò)嗅探技術(shù)指通過(guò)監(jiān)控網(wǎng)絡(luò)流量和數(shù)據(jù)包,識(shí)別和攔截攻擊行為,對(duì)新型攻擊行為進(jìn)行檢測(cè)。然而,欺騙攻擊者方法也存在一些局限性和挑戰(zhàn),需要在實(shí)踐中加以應(yīng)用和完善。
0 3
基于欺騙防御技術(shù)的實(shí)現(xiàn)方式
欺騙防御技術(shù)是防守者得以觀察攻擊者行為的網(wǎng)絡(luò)防御戰(zhàn)術(shù),通過(guò)誘騙使攻擊者暴露自身,目前主流的基于欺騙防御技術(shù)的實(shí)現(xiàn)方式有多種,包括仿真能力、欺騙環(huán)境構(gòu)建、威脅識(shí)別、攻擊者畫像等,本章主要對(duì)以上幾種實(shí)現(xiàn)方式進(jìn)行詳細(xì)介紹。
3.1仿真能力
基于欺騙防御技術(shù)的仿真能力通常有多種類型,包含應(yīng)用服務(wù)類、漏洞類、操作系統(tǒng)類、工控類以及定制仿真。
3.1.1應(yīng)用服務(wù)仿真
a)Web類:仿真類型包括Weblogic/tomcat/thinkphp/wordpress/wiki/wildfly/wordpress/Jenkins/beescms等。
b)數(shù)據(jù)庫(kù)類:仿真類型包括MySql/phpmyadmin/DB2/Redis/PostgreSQL等。
c)通用服務(wù)類:仿真類型包括SSH/Telnet/FTP/Extmail等。
3.1.2漏洞仿真
通常系統(tǒng)會(huì)帶有高甜度的漏洞,例如Log4j2、Shiro、Struts2等,為保障高仿真度和誘捕能力,甚至可定制熱點(diǎn)漏洞的仿真。
3.1.3操作系統(tǒng)仿真
欺騙防御技術(shù)通常可支持Windows、Linux等常見(jiàn)系列操作系統(tǒng)仿真能力,可構(gòu)建辦公環(huán)境、業(yè)務(wù)環(huán)境、生產(chǎn)環(huán)境等高仿真業(yè)務(wù)環(huán)境。
3.1.4工業(yè)控制仿真
欺騙防御技術(shù)為滿足工業(yè)應(yīng)用環(huán)境,通常也具備工業(yè)控制仿真能力,可支持IEC104/IEC61850/S7/Modbus/工業(yè)OMS系統(tǒng)的高仿真能力,可進(jìn)行工控系統(tǒng)的蜜網(wǎng)布設(shè)。
3.1.5定制仿真
欺騙防御技術(shù)為滿足特殊業(yè)務(wù)應(yīng)用需求,通常內(nèi)置Web框架,通過(guò)上傳標(biāo)簽主題、標(biāo)簽頁(yè)icon、頁(yè)面logo、背景圖等信息,可快速生產(chǎn)成Web蜜網(wǎng),具備溯源社交賬號(hào)等能力。
3.2欺騙環(huán)境構(gòu)建
欺騙防御技術(shù)可通過(guò)漏洞設(shè)計(jì)、誘餌投放、仿真系統(tǒng)設(shè)置等構(gòu)建高仿真欺騙誘捕環(huán)境,它不參與真實(shí)網(wǎng)絡(luò)業(yè)務(wù)交互,對(duì)實(shí)際業(yè)務(wù)環(huán)境無(wú)任何影響。欺騙防御技術(shù)可基于用戶網(wǎng)絡(luò)的環(huán)境,通過(guò)占用空余IP/網(wǎng)段、采用誘捕探針部署在已有的終端進(jìn)行攻擊導(dǎo)流來(lái)構(gòu)建蜜網(wǎng),攻擊者一旦達(dá)到蜜網(wǎng)即可被吸引至仿真系統(tǒng),由仿真系統(tǒng)完成交互,捕獲攻擊行為。誘餌投放主要以主機(jī)誘餌和互聯(lián)網(wǎng)誘餌為主,互聯(lián)網(wǎng)誘餌在公開(kāi)的網(wǎng)站中設(shè)置虛假信息,在黑客收集信息階段對(duì)其造成誤導(dǎo),使其攻擊目標(biāo)轉(zhuǎn)向蜜網(wǎng),間接保護(hù)其他資產(chǎn)。主機(jī)誘餌需要提前投放到真實(shí)環(huán)境中,如放置SSH連接蜜網(wǎng)過(guò)程中的公鑰記錄或在主機(jī)誘餌上開(kāi)放有利用價(jià)值的端口,在攻擊者做嗅探時(shí),將攻擊者的攻擊視線轉(zhuǎn)移到蜜網(wǎng)之中。
3.3威脅識(shí)別分析
欺騙防御技術(shù)基于行為識(shí)別能力,依靠高仿真業(yè)務(wù)在網(wǎng)絡(luò)中布下層層陷阱,當(dāng)攻擊者訪問(wèn)時(shí),可對(duì)攻擊行為進(jìn)行全程記錄和報(bào)文捕獲,對(duì)0day及APT等高級(jí)攻擊與未知威脅進(jìn)行有效發(fā)現(xiàn),捕獲攻擊過(guò)程。技術(shù)上采用驅(qū)動(dòng)層監(jiān)控,早于入侵者入場(chǎng),隱藏自身存在,具有先手優(yōu)勢(shì),捕獲關(guān)鍵惡意行為。對(duì)于攻擊者的行為,從多維度的信息入手,根據(jù)攻擊數(shù)據(jù)進(jìn)行研判,識(shí)別已知攻擊行為的攻擊類型、攻擊手段、攻擊工具等,可對(duì)攻擊詳細(xì)數(shù)據(jù)和攻擊報(bào)文進(jìn)行進(jìn)一步分析,發(fā)現(xiàn)未知威脅等。
3.4攻擊者畫像
欺騙防御技術(shù)可通過(guò)記錄攻擊者的IP地址、所在區(qū)域、攻擊時(shí)間、攻擊手段等,進(jìn)一步溯源并獲取到攻擊者的設(shè)備指紋和虛擬身份。根據(jù)攻擊時(shí)間、攻擊目標(biāo)、攻擊過(guò)程、設(shè)備指紋等進(jìn)行匯聚處理、深度分析,溯源攻擊者信息,以攻擊者為單位展示攻擊過(guò)程、攻擊階段、攻擊路徑和攻擊手段。結(jié)合攻擊行為和攻擊者身份進(jìn)行攻擊者畫像,展示攻擊全過(guò)程。攻擊者畫像如圖2所示。
圖2攻擊者畫像
0 4
欺騙防御技術(shù)價(jià)值體現(xiàn)
欺騙防御技術(shù)較傳統(tǒng)安全防御技術(shù),有著獨(dú)特的價(jià)值體現(xiàn),尤其在面對(duì)0day漏洞這種不可預(yù)知的安全威脅時(shí),無(wú)有效手段提前判斷形勢(shì),傳統(tǒng)手段往往只能待事件發(fā)生后做應(yīng)急響應(yīng),采取相應(yīng)的措施以減輕或消除對(duì)系統(tǒng)的威脅[13]。這些往往都是被動(dòng)響應(yīng),在網(wǎng)絡(luò)安全事件發(fā)生后采取相應(yīng)的措施,如隔離受感染的主機(jī)、清除惡意代碼等[14-15]。而欺騙防御技術(shù)通過(guò)強(qiáng)大的業(yè)務(wù)高仿真和蜜網(wǎng)組建能力,在入侵者必經(jīng)之路上構(gòu)造陷阱,混淆攻擊目標(biāo),吸引攻擊者進(jìn)入蜜網(wǎng),拖住攻擊者,延緩攻擊,保護(hù)真實(shí)系統(tǒng),可提前發(fā)現(xiàn)攻擊者的行為,分析攻擊目的和意圖,制定防御方案,提前預(yù)警,為應(yīng)急響應(yīng)爭(zhēng)取時(shí)間。
在HW場(chǎng)景中,傳統(tǒng)安全防御技術(shù),如防火墻、WAF、IPS等更偏向于防控,溯源取證能力不足。而通過(guò)多節(jié)點(diǎn)部署的基于欺騙防御技術(shù)的蜜罐產(chǎn)品,可全網(wǎng)覆蓋,形成一張巨大密網(wǎng),對(duì)紅隊(duì)攻擊行為進(jìn)行誘捕。通過(guò)IP溯源、設(shè)備指紋獲取、社交信息溯源、深度溯源等多種技術(shù)方式,實(shí)現(xiàn)對(duì)攻擊者的全面溯源。通過(guò)多種溯源信息的結(jié)合,可進(jìn)行攻擊者畫像,進(jìn)一步溯源到攻擊者的真實(shí)信息,定位其地理位置、身份信息等,為藍(lán)方提供防守得分的有效依據(jù)。圖3給出了HW場(chǎng)景蜜罐部署示意。
圖3 HW場(chǎng)景蜜罐部署示意
0 5
結(jié)論與展望
本研究基于欺騙防御技術(shù),探索了一種更有效的網(wǎng)絡(luò)安全攻擊檢測(cè)和常見(jiàn)技術(shù)能力的實(shí)現(xiàn)方式。通過(guò)對(duì)比傳統(tǒng)安全防御技術(shù),突出了欺騙防御技術(shù)在面對(duì)0day威脅和HW場(chǎng)景中的技術(shù)優(yōu)勢(shì)。
首先,本研究詳細(xì)介紹了基于欺騙防御技術(shù)的網(wǎng)絡(luò)安全攻擊檢測(cè)方法,包括入侵檢測(cè)系統(tǒng)欺騙技術(shù)、蜜罐技術(shù)、虛假數(shù)據(jù)技術(shù)和欺騙攻擊者等4種方法,為網(wǎng)絡(luò)安全攻擊檢測(cè)提供了新的思路和方法;其次,介紹了幾種常見(jiàn)的基于欺騙防御技術(shù)的技術(shù)實(shí)現(xiàn)方式,包括仿真、欺騙環(huán)境構(gòu)建、威脅識(shí)別分析和攻擊者畫像;最后,通過(guò)對(duì)比傳統(tǒng)安全防御技術(shù)的2種應(yīng)用場(chǎng)景,加深讀者對(duì)欺騙防御技術(shù)的理解,進(jìn)一步體現(xiàn)出欺騙防御技術(shù)的能力優(yōu)勢(shì)。
總之,本研究為網(wǎng)絡(luò)安全攻擊檢測(cè)和響應(yīng)優(yōu)化提供了新的思路和方法,對(duì)于提高網(wǎng)絡(luò)安全防御能力具有重要意義。后續(xù)研究還需要進(jìn)一步深入探究和解決相關(guān)問(wèn)題,以更好地應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全威脅。
參考文獻(xiàn)
[1]周楊,黃媛媛.新形勢(shì)下網(wǎng)絡(luò)安全企業(yè)業(yè)態(tài)淺析[J].信息通信技術(shù)與政策,2023,49(2):30-34.
[2]吳育輝,楊正澤,張蓉.新形勢(shì)下地方院校網(wǎng)絡(luò)安全管理探討[J].安順學(xué)院學(xué)報(bào),2023,25(1):118-122.
[3]白天毅.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用探討[J].長(zhǎng)江信息通信,2023,36(2):235-237.
[4]VANIN P,NEWE T,DHIRANI L L,et al.A study of network intrusion detection systems using artificial intelligence/machine learning[J].Applied Sciences,2022,12(22):11752.
[5]羅婷婷.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究[J].信息與電腦(理論版),2019,31(21):186-187.
[6]李文博,杜鵬昊.基于下一代欺騙防御技術(shù)的網(wǎng)絡(luò)安全能力建設(shè)[J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量,2021(6):22-25.
[7]裴辰曄.網(wǎng)絡(luò)欺騙防御技術(shù)在電廠網(wǎng)絡(luò)安全中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2022(10):110-111.
[8]顧煜.多層次網(wǎng)絡(luò)空間欺騙防御技術(shù)效能評(píng)估方法[D].南京:東南大學(xué),2021.
[9]MAZHAR T,IRFAN H M,KHAN S,et al.Analysis of cyber security attacks and its solutions for the smart grid using machine learning and blockchain methods[J].Future Internet,2023,15(2):83.
[10]賈召鵬.面向防御的網(wǎng)絡(luò)欺騙技術(shù)研究[D].北京:北京郵電大學(xué),2018.
[11]董志瑋.基于深度學(xué)習(xí)的無(wú)線通信網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)[J].長(zhǎng)江信息通信,2023,36(2):119-121,124.
[12]康紅蓮.基于蜜罐的欺騙防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2020.[13]賈召鵬,方濱興,劉潮歌,等.網(wǎng)絡(luò)欺騙技術(shù)綜述[J].通信學(xué)報(bào),2017,38(12):128-143.
[14]王小英,劉慶杰,龐國(guó)莉.惡意代碼攻擊下多業(yè)務(wù)通信網(wǎng)絡(luò)安全響應(yīng)仿真[J].計(jì)算機(jī)仿真,2020,37(10):137-141.
[15]厲莉.分角色信譽(yù)模型與分級(jí)Ad hoc網(wǎng)絡(luò)安全響應(yīng)機(jī)制研究[D].沈陽(yáng):東北大學(xué),2013.