面向Web應用安全的蜜場技術(shù)研究

曹秀蓮　鐘祥睿

摘? 要：蜜罐技術(shù)是一種沒有任何產(chǎn)品價值的安全資源，它常常與網(wǎng)絡防火墻、入侵檢測等一些被動的網(wǎng)絡防護技術(shù)結(jié)合在一起在大型分布式網(wǎng)絡中部署來提高系統(tǒng)安全性。伴隨著Web應用技術(shù)的迅速發(fā)展，Web應用安全問題也逐漸變得越來越突出，針對Web應用種類繁多，蜜罐部署麻煩且利用率不高的情況，該文設計了一個在具有多個子網(wǎng)的大型局域網(wǎng)中部署多種應用聯(lián)合呼應的動態(tài)混合蜜罐，形成蜜場的網(wǎng)絡安全防護系統(tǒng)，并介紹其關(guān)鍵功能的實現(xiàn)。

關(guān)鍵詞：網(wǎng)絡安全? 蜜場? 誘騙? 動態(tài)聯(lián)合

中圖分類號：TP309 ? ?文獻標識碼：A 文章編號：1672-3791（2019）08（a）-0012-03

當今世界，互聯(lián)網(wǎng)已經(jīng)進入了“應用為王”的時代，隨著微信、微博、社交網(wǎng)絡、移動應用、云計算等一系列網(wǎng)絡應用的廣泛深入使用，作為這些網(wǎng)絡應用載體的Web技術(shù)已經(jīng)滲透到人們的社會、生活、工作的各個方面。這些Web技術(shù)其實是一把“雙刃劍”，方便人們溝通和交流，改進了工作方式。但也帶來了巨大的安全風險問題。針對Web技術(shù)的攻擊越來越多，種類也越來越復雜，據(jù)統(tǒng)計，目前的互聯(lián)網(wǎng)攻擊中約75%是針對Web應用技術(shù)的。采用傳統(tǒng)被動防護措施，如防火墻、IDS、添加補丁等對阻止Web攻擊顯得比較困難。

該文介紹一種面向Web應用安全的主動防御技術(shù)——蜜場技術(shù)，這是被動防護技術(shù)的一種補充，它是把具有主動防御作用的蜜罐技術(shù)和常用被動防御技術(shù)結(jié)合，設計出一種適應大型企業(yè)（需要建分公司子網(wǎng)）的安全網(wǎng)絡模型。

1? 蜜場技術(shù)的工作原理

蜜罐（Honeypot）是一種安全資源，它的價值就在于被探測、攻擊或攻陷[1]。蜜場（honeyfarm）是蜜罐技術(shù)的應用，它適用于大規(guī)模分布式網(wǎng)絡，這跟它的優(yōu)點“邏輯上分散部署，物理上集中部署”有關(guān)。

蜜場的工作原理是這樣的：蜜場中有一個蜜場的中心，集中部署了多臺蜜罐，它們是一個獨立的網(wǎng)絡;然后在各個企業(yè)子網(wǎng)中部署誘騙服務實現(xiàn)對子網(wǎng)進行監(jiān)控的目的，誘騙服務是一些軟件實現(xiàn)的，它不直接響應自己監(jiān)聽到的對端口的非法訪問或未用地址，但是通過轉(zhuǎn)發(fā)工具——重定向器把它們轉(zhuǎn)發(fā)到蜜場中心;蜜場中心根據(jù)非法訪問特征，隨之按照一定算法選擇響應蜜罐進行響應，最后把響應再回傳到其相應的子網(wǎng)中去，并且對攻擊信息利用一些工具進行收集和分析。

2? 面向Web應用安全的蜜場的部署方案

2.1 Web應用安全的問題所在

隨著Web應用安全問題越來越嚴重的，開始出現(xiàn)Web蜜罐。Web蜜罐分為兩類：客戶端蜜罐和服務端蜜罐。客戶端蜜罐通過主動訪問網(wǎng)站來檢測惡意活動，服務端蜜罐通過暴露有漏洞的服務來吸引攻擊者[2]。該文主要講如何在服務端部署面向Web應用安全的聯(lián)動蜜罐形成蜜場。

互聯(lián)網(wǎng)上Web攻擊一般分為兩種：一種是針對某個特定目標的惡意攻擊，一種是大范圍撒網(wǎng)的無特定目標的惡意攻擊。對于前者，攻擊者會主動分析特定目標的IP地址、域名等信息，分析特定目標可能存在的漏洞，然后采用相應的攻擊手段。這種情況下在互聯(lián)網(wǎng)上部署的蜜罐系統(tǒng)意義不是很大。因此該文中設計的面向web應用安全的蜜場系統(tǒng)并不是針對特定目標的攻擊，而是針對無特定目標的惡意攻擊。無特定目標的攻擊會在互聯(lián)網(wǎng)上采用撒網(wǎng)式的方法尋找有漏洞的應用。為了節(jié)省成本，這一類惡意攻擊通常會使用集成搜索引擎和掃描軟件的工具進行，但是，到達蜜罐的攻擊并不可能全部是針對蜜場中蜜罐上已經(jīng)部署的應用，在這種情況下某些攻擊就會失敗，蜜罐就不會捕獲到某次攻擊的信息。

針對這種情況，該文要解決兩個問題：一個就是怎樣從針對不同應用的眾多攻擊流量進行選擇，再轉(zhuǎn)發(fā)給相對應蜜罐;另一個就是能從蜜場中部署的蜜罐發(fā)出的眾多響應中選擇最優(yōu)響應作為攻擊者響應。這些都取決于蜜罐選擇算法，該文設計了一個動態(tài)聯(lián)合算法來進行目標Web應用蜜罐的選擇。

2.2 面向Web應用安全的蜜場的具體部署

該文將以一個具有多個分公司的企業(yè)網(wǎng)絡為例，設計一個綜合各種防護的安全網(wǎng)絡，它既包括防火墻、入侵檢測等傳統(tǒng)被動保護技術(shù)，又包含主動的蜜場技術(shù)。其體系結(jié)構(gòu)如圖1所示。

企業(yè)的總體網(wǎng)絡被劃分為為兩部分：一個是受保護子網(wǎng)即多個分公司內(nèi)網(wǎng)，另一個是Web應用模擬子網(wǎng)，在每個分公司的受保護子網(wǎng)中都部署了一個像誘餌一樣的服務，這些服務動態(tài)地模擬自己所在的分公司內(nèi)網(wǎng)環(huán)境，利用多臺虛擬主機，最大程度地吸引攻擊者。而在Web應用模擬子網(wǎng)內(nèi)，則配置了具有高交互性的物理蜜罐，它模擬了各種可能的應用，應對各種轉(zhuǎn)發(fā)請求。此外在企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間設立了防火墻、位于Web應用模擬子網(wǎng)前端的蜜墻[4]、IDS和路由器等常規(guī)控制安全設備。這些設備既完成了網(wǎng)絡連接任務，又能起到保護企業(yè)子網(wǎng)、采集入侵者信息和控制部署蜜罐帶來的風險等功能。

3? 面向Web應用安全的蜜場系統(tǒng)的關(guān)鍵功能設計

在圖1中所設計的安全防護系統(tǒng)中，蜜場系統(tǒng)中的蜜罐模型是一種由多個具有高交互性的不同Web應用蜜罐群。這些蜜罐上被部署了多種不同的真實的Web應用或服務，由一個動態(tài)聯(lián)動管理器進行管理，按照攻擊特征進行動態(tài)選擇相應的應用蜜罐與攻擊者交互。

該模型可以用圖2來表示，由兩個部分組成：受保護子網(wǎng)和Web應用模擬子網(wǎng)。

受保護子網(wǎng)中部署了誘餌，它們能夠虛擬所在子網(wǎng)的不存在的IP地址主機，這是個動態(tài)過程，為入侵者提供透明的轉(zhuǎn)發(fā)服務，把未授權(quán)的或惡意的活動轉(zhuǎn)發(fā)到Web應用模擬子網(wǎng)中的其中一個蜜罐中;同時又控制對外連接，對不符合轉(zhuǎn)發(fā)條件的入侵行為根據(jù)控制規(guī)則制定策略;并且對與它相關(guān)的網(wǎng)絡活動實時記錄，獲取入侵數(shù)據(jù);Web應用模擬子網(wǎng)是由多個個中、高交互的蜜罐組成的蜜場，它接收受保護子網(wǎng)中的誘餌轉(zhuǎn)發(fā)的網(wǎng)絡數(shù)據(jù)包，給入侵者提供服務，收集應用程序和操作系統(tǒng)的事件日志，對進程和端口調(diào)用、系統(tǒng)調(diào)用以及安全審計作記錄。