面向網絡欺騙防御的攻擊誘捕技術研究

高雅卓，劉亞群，邢長友，張國敏，王秀磊

(陸軍工程大學 指揮控制工程學院，江蘇 南京 210007)

0 引 言

隨著互聯網技術的蓬勃發展，網絡安全問題已經受到了業內的廣泛關注。傳統的防御手段如防火墻、IDS和IPS等只能被動地對攻擊者進行檢測阻斷，而攻防雙方信息的不對稱性使得這些被動防御技術很難應對如今復雜多樣的網絡攻擊手段。

為了解決這種攻防不對稱的現象，基于欺騙的網絡主動防御思想應運而生。欺騙防御的主要思想是“通過干擾攻擊者的認知以促使攻擊者采取有利于防御方的行動[1]”。典型的欺騙防御技術[2]包括特征混淆技術、指紋隱藏技術以及攻擊誘捕技術等。其中特征混淆主要是產生虛假的網絡特征來欺騙攻擊者的認知，如產生虛假網絡拓撲結構[3]、虛假通信關系[4]等。指紋隱藏技術[5]主要是避免暴露網絡實體的真實指紋信息，包括協議指紋、操作系統指紋、應用指紋等。攻擊誘捕[6]則主要通過構建虛假的網絡實體，誘使攻擊者對這些虛假網絡實體進行攻擊，從而達到暴露攻擊行為、消耗攻擊資源的目的。

在上述技術中，特征混淆和指紋隱藏都是通過更改或隱藏原本真實資源的特征，以達到預防延緩攻擊的目的。而攻擊誘捕則是偽造了一個能夠與攻擊者交互的欺騙環境，通過誘導攻擊者發起錯誤攻擊，達到檢測并分析攻擊者行為特征的目的。相對于其他技術而言，面向攻擊誘捕的欺騙防御技術更具有主動性，也更能打破攻防不對稱的局面。

面向攻擊誘捕的網絡欺騙防御思想最早可以追溯到1989年[7]，傳統的攻擊誘捕技術通常是使用模擬程序部署的低交互蜜罐或使用普通虛擬機實現的簡單高交互蜜罐，雖然具備一定的誘捕能力，但是總體而言部署功能單一、結構僵化、靈活性也較差[8]，很難適應當今復雜多變的APT攻擊和零日漏洞攻擊。為了更好地與攻擊者進行交互，一些新的攻擊誘捕機制在設計思路上通常與博弈論、機器學習等思想相結合以提供更加逼真的誘捕鏈，在實現上則利用容器、SDN等技術以平衡成本與性能的沖突，從而建立智能靈活的攻擊誘捕場景。

該文后面部分安排如下：第一節介紹了面向攻擊誘捕的網絡欺騙防御基本架構，并分析了利用傳統蜜罐技術構建攻擊誘捕環境的方法；第二節介紹了基于虛擬化的新型誘捕模型，重點從與虛擬化技術結合以及攻擊狀態遷移兩個角度進行了討論分析；第三節介紹了當前智能誘捕階段的決策機制，主要從博弈對抗和智能優化模型兩個方面進行介紹。

1 攻擊誘捕概念及典型架構分析

1.1 網絡攻擊誘捕的基本概念與架構

攻擊誘捕系統主要分為決策控制模塊和欺騙環境兩大模塊(見圖1)。決策控制模塊主要是分析當前收集到的信息，并對欺騙環境的設計進行決策；欺騙環境主要負責引誘攻擊、與攻擊者交互并監控攻擊行為信息。

圖1 攻擊誘捕系統結構

在引誘攻擊方面，主要有間接引誘和直接引誘兩種方式，直接引誘是指攻擊者直接進入誘捕系統中[9]，間接引誘是指攻擊者由于非法使用誘餌信息或出現其他攻擊行為被管理員發現后遷移至誘捕系統中[10]。

誘捕系統的欺騙交互主要體現在誘捕網絡中，誘捕網絡的設計主要包括兩個方面：一是網絡內部各個誘捕點的誘捕機制設計，單個攻擊者與誘捕網絡的交互實際上是與某個特定誘捕點的交互；二是誘捕網絡架構的場景構建，由于單個誘捕點的欺騙能力受限，大型的誘捕系統通常會將多個誘捕點組合起來形成誘捕網絡以提供更加逼真全面的誘捕。

由此根據欺騙環境的三個模塊可以將誘捕系統設計的關鍵要素分為：誘餌信息、誘捕點和誘捕網絡，根據三個模塊的自身特性，可以將其關鍵技術分別分為誘餌信息生成技術、誘捕機制設計技術和誘捕場景構建技術。在以后的誘捕系統設計中，主要都是針對這三個關鍵技術進行研究設計。

1.2 基于傳統蜜罐的攻擊誘捕機制

基于欺騙的防御思想最初僅被網絡管理員作為一種主動防御的新思路而使用[7]。直到20世紀末期，以Honeyd[11]為代表的一批低交互蜜網成為了主流，這一時期蜜網項目組提出了許多蜜網的概念，如2003年的“分布式蜜網[12]”，2004年的“蜜場[13]”等，并且都根據這些概念進行了項目的開發[14]；在這一時期，國內也有多個團隊開始對蜜罐技術進行關注，如諸葛建偉等人加入了蜜網項目組[15]，并成為其在中國的分支團隊；同時也有學者在蜜罐技術的基礎上提出了新的欺騙誘捕技術。

然而，這一時期的欺騙誘捕技術處于傳統誘捕階段，大多數為簡單的誘捕系統，對攻擊者的捕獲能力并不全面，主要停留在網絡服務和應用程序的層面，并沒有針對操作系統級別進行重點防護。

這一階段的誘捕系統大多為簡單的蜜罐系統，雖然在應用技術和機制設計上都不夠成熟，但是已經逐漸形成了攻擊誘捕機構的雛形，以后的攻擊誘捕系統基本都是按照這一時期的架構進行改進。

2 虛擬化網絡攻擊誘捕機制

隨著攻擊技術的發展，傳統誘捕機制的靈活性不足、難以快速構建高逼真的誘捕場景等問題越來越突出。隨著SDN[16]、輕量級的虛擬化技術LXC[17]以及Docker[18]等技術的發展，許多團隊開始將新型網絡和虛擬化技術與誘捕系統的設計思想相結合，提出了結合SDN的誘捕系統結構[19]、結合容器的主動防御[20]等思想，更好地平衡了交互能力高低和系統規模大小的沖突。

這一階段的欺騙誘捕技術開始進入復雜誘捕階段，主要是通過將欺騙誘捕的思想與新興技術進行結合，實現在低成本大規模部署的基礎上，提高系統交互的能力，重點轉向虛擬化的誘捕架構設計和誘捕過程中攻擊狀態的遷移機制。

2.1 虛擬化誘捕架構

在復雜誘捕階段，傳統的攻擊誘捕架構開始與新型的虛擬化技術結合，形成了基于虛擬化技術的新式誘捕架構，其中較為主流的兩種虛擬化技術分別是虛擬機技術和輕量級虛擬化技術。

2.1.1 基于虛擬機的誘捕環境生成機制

虛擬機在很長一段時間都是誘捕機制設計過程中最常用的技術。Argos[21]對Qemu進行擴展，使用動態污點分析跟蹤整個運行過程中收到的網絡數據；為了更好地提升蜜罐的真實性，Biederman等人[22]提出了一種部分克隆生產系統內部虛擬機快照的誘捕系統框架，由于基本鏡像仍然是源虛擬機的快照，所以蜜罐環境與生產環境基本一致，隱蔽性更好。

為了更好地對虛擬機進行監控，誘捕機制通常會結合虛擬機自省技術進行設計，虛擬機自省主要是一種從虛擬機外部監控虛擬機內部運行狀態的方法，Stewart等人[23]對多種誘捕機制的實現方法進行比對，發現VMI技術在應用上通用性更強，安全性更高，并且不會受到攻擊者的影響。

VMI技術在誘捕機制中應用的重點在于對虛擬機內部行為的監控功能，SPEMS[24]系統集成并改進了多個開源軟件工具，利用VMI技術在外部監視虛擬機內部程序的執行情況；Urias等[6]設計了一個能夠配置并控制虛擬機的自省程序KVMi，用于承擔虛擬機監視器的角色，能夠在不添加任何構件的情況下實時監測虛擬機狀態。

虛擬機自省技術主要應用于虛擬機中，對部署成本有一定的要求，近年來成本更低的輕量級虛擬化技術也越來越受到研究人員的關注。

2.1.2 基于輕量級虛擬化的誘捕環境生成機制

虛擬機雖然能在一定程度上平衡部署成本和交互程度的沖突，但是在一臺資源有限的服務器上能建立的虛擬機數量仍然有限，難以實現大規模的誘捕網絡部署，此外，現有的虛擬機檢測技術等使得攻擊者很容易發現自身處于一個危險的環境中而提高警惕，而Alexander[25]根據研究發現容器技術可以很好地規避這一缺陷。目前常用的容器技術主要有LXC[17]和Docker[18]。

Honeypatches[10]將使用LXC作為誘捕點，將觸碰了誘餌補丁的攻擊會話轉移到特定的誘捕點內進行攻擊誘捕；容器的自身特性使其可以作為嵌入式的誘捕點直接部署在真實系統內部，AHEAD[20]提出可以將主動防御工具封裝在Docker內部直接安裝到真實系統中，迫使攻擊者在攻擊的過程中必須篩選真實服務和虛假服務，延緩了攻擊者的攻擊時間，但是由于此架構的安全性僅通過Docker自身的隔離性保證，一旦攻擊者通過容器逃逸進入主機中時，生產系統仍然面臨較大威脅。

2.2 攻擊狀態遷移機制

在攻擊誘捕系統中除了初始的架構設計，還需要考慮在與攻擊者交互過程中的攻擊狀態遷移機制。攻擊狀態遷移指的是在攻擊誘捕過程中對攻擊流量的重定向傳輸，通常發生在誘捕系統與生產系統之間，或者誘捕系統內部不同的誘捕點之間。

2.2.1 誘捕系統與生產系統之間遷移

誘捕網絡與生產網絡之間的攻擊狀態遷移一般發生在合作部署的誘捕系統中，此類誘捕系統主要針對內部攻擊，在遷移過程中，為了保證會話狀態的連續性，往往需要將生產環境中的源服務進行同步遷移。

初始狀態下攻擊者與生產網絡進行交互，在生產網絡內部因為執行非法動作被發現后，攻擊會話將遷至誘捕網絡內部，此后攻擊者只與誘捕網絡進行交互。

此類誘捕系統較為經典的架構HADES[26]提出當攻擊者的流量在生產網絡中被發現時，就通過一系列操作將攻擊流量引至一個高逼真的誘捕環境中。

近年來，為了實現流量透明遷移，同時保證源主機的正常會話狀態，攻擊遷移通常會與SDN技術相結合，INTERCEPT+[19]通過更改虛擬機遷移代碼，使得遷移以后源虛擬機仍保持運行，這樣可以保證與源虛擬機通信的正常用戶可以繼續交互，同時使用SDN交換機隔離誘捕網絡和真實系統；此外，Sandnet[27]還將攻擊遷移的思想應用于微服務背景，使用容器代替了虛擬機，并且考慮了遷移之前生產網絡內部容器之間的通信問題，將與被懷疑容器交互的相關容器同時進行遷移，同樣用SDN技術進行流量控制。

2.2.2 誘捕系統內部遷移

誘捕系統內部的攻擊狀態遷移主要發生在不同類型的誘捕點之間，一般是在決策控制器發現攻擊的狀態發生變化后，將攻擊會話從原來的誘捕點遷移至另一類誘捕點中。

這種狀態遷移最常發生在混合蜜網中高交互蜜罐與低交互蜜罐之間，對大量的低交互蜜罐捕獲的流量進行分析，然后把需要重點分析的流量導入高交互蜜罐中，這種混合蜜網的主要目的是結合高交互蜜罐和低交互蜜罐的優點。

為了進一步降低被攻擊者發現的幾率，HoneyDOC[28-29]提出了一種與SDN技術結合的TCP重放機制，可以將攻擊者流量進行無縫遷移，遷移之后無需重新建立連接。

除了誘捕點交互程度的不同，誘捕系統還會根據攻擊者的可信性和攻擊階段為其提供不同級別的誘捕點進行交互，HoneyV[9]通過IDS判斷所有入站流量的可信級別，并根據結果將不同級別的攻擊者放入四個不同監視級別的蜜罐中進行分析；還可以根據攻擊者攻擊階段的不同進行分級，Honeyproxy[30]根據攻擊的階段不同設置了三種代理模式，有效地防止了蜜罐追蹤，但是一個代理僅能管理一個攻擊者，所以需要為每個監控的端口都部署一個代理。

3 智能誘捕決策機制

除了先進的虛擬化技術和網絡技術，強化學習的思想也對網絡安全領域產生了一定影響，目前已有團隊開始將強化學習與攻擊誘捕的思想相結合[31]，以期實現智能化的誘捕系統，此前也已經有不少學者將博弈論[32]的思想應用于攻擊誘捕技術當中，并且取得了較大的進展。

當前階段可以稱為智能誘捕階段，主要是將攻擊誘捕的思想與其他領域的思想進行交叉，通過與博弈論和機器學習等方向的結合，進一步提高系統智能交互的能力，注重具體的誘捕流程設計。

3.1 攻擊誘捕中的博弈對抗

博弈論的思想常常應用于誘捕機制的設計。Walter等人[33]在誘捕機制中引入了超博弈的思想，防御方通過改變參數，欺騙攻擊者的視圖，使得攻擊者誤認為自己擁有完全信息，以此最大化防御方優勢；王娟等人[34]提出了一種基于多階段攻擊的SDN動態蜜罐SDHG，使用不完全信息動態博弈對不同階段的攻防策略進行建模，并證明了模型的可行性，最后使用Docker容器對原型系統進行了實現，并在與其他策略的對比中體現了該方法的優越性；姜偉等人[35]對攻防博弈模型和馬爾可夫決策進行了擴展，提出了一種隨機博弈的模型，更加貼合攻防博弈的現實情況。

博弈論除了可以針對單個誘捕點內部的誘捕機制進行建模，在誘捕點的分配決策中也可以起到較大的作用。Aliou[36]利用博弈論對蜜罐的分配進行決策，減少攻擊者發現蜜罐的概率；Attiah[37]將攻防雙方進行了多層次的策略建模，雙方都根據策略的成本、潛在的攻擊收益或損害以及預測對手策略的有效性來調整自己的策略，并最終得到了混合策略納什均衡。

除了單獨使用博弈論，Ahmed等人[38]還將博弈論與攻擊圖相結合，判斷在已知當前攻擊者位置的情況下接下來多跳誘捕點的分配策略。

3.2 智能優化模型

機器學習主要是研究如何讓計算機能夠模擬人類的學習行為，從而自主提高自身性能的學科。由于機器學習思想自身的特性，其在攻擊誘捕系統中的應用場景更為廣泛。

傳統生成誘餌信息的方法大多是根據真實數據集特征生成的，這類誘餌信息中保留了部分源數據的信息，仍存在被攻擊者竊取隱私的風險。DPSYN[39]提出一種將深度學習與差分隱私相結合自動生成誘餌數據庫的方法，這種方法不僅可以根據原有數據集的特征生成相似度較高的數據，也能有效防止在誘餌數據中暴露源數據的隱私信息，更加安全。

除了生成誘餌信息，機器學習還可以與誘捕機制設計相結合，用于進行攻擊識別和智能誘捕。在攻擊檢測識別方面，Nadiya[40]提出了一種基于機器學習聚類思想的算法，用于在誘捕點中辨認攻擊者，并將結果用于后期的防御策略的配置；另一種更加常見的方法是使用強化學習的思想進行智能誘捕，這種將強化學習加入誘捕系統的思想最早來自于2011年的Heliza[41]，Pauna等人[31]使用類似的建模方法針對該思想進行了改進，之后又將Cowrie蜜罐與DQN思想[42]相結合，實現了一種自適應的智能SSH蜜罐。

除了Heliza的建模方法之外，SMDP[43]提出將馬爾可夫決策過程的方法應用于攻擊誘捕中，把連續時間過程轉化為等效的離散決策模型，并使用強化學習對該模型進行了訓練，最后得到了規避風險、成本效益和時間效益的最優策略。

4 存在的問題及進一步研究方向分析

從蜜罐的思想提出開始算起，目前欺騙誘捕技術已經發展了近30年，雖然在學術領域已經得到了較廣泛的認可，但仍然存在不少問題，下面將主要討論這些關鍵性的問題并提出一些解決方法。

4.1 利用機器學習與博弈論構建智能化誘捕場景

目前的誘捕系統大多是根據預先設定的場景建立的，在與攻擊者交互的過程中很少會根據攻擊者攻擊的變化動態地更改誘捕場景，導致誘捕場景的結構較為僵化，難以迷惑高級的攻擊者。

因此可以考慮結合攻擊鏈的概念，將誘捕技術與博弈論相結合，根據攻擊者攻擊手段的變化給出攻擊者期望的響應，構建動態博弈的誘捕場景。

4.2 結合其他防御技術增強生產流量誘捕能力

由于誘捕系統只能捕獲交互對象的數據，如果攻擊者不與誘捕系統進行接觸，誘捕系統就永遠無法檢測到攻擊的存在。

因此可以考慮將攻擊誘捕技術與其他的防御技術相結合，如Takabi[44]提出了一種將欺騙防御與MTD相結合的防御思想，可以用于緩解內部攻擊。

4.3 跨平臺一體化數據收集分析機制

目前的誘捕系統大多是復雜的大型網絡，這些網絡中往往需要使用不同類型的誘捕軟件，然而大多數軟件并沒有統一的數據收集格式，使得數據收集工作十分繁雜，另一方面，理解和利用這些收集到的原始數據對分析員的專業素養要求較高。

因此，統一數據收集格式至關重要，同時應該簡化數據分析的過程，盡量實現自動化分析，提高分析結果的可讀性。

5 結束語

欺騙誘捕技術自從1989年提出以來，在網絡安全領域應用十分廣泛。該文立足于誘捕系統欺騙環境設計的三大模塊，根據誘捕系統的發展階段對各個模塊的設計進行討論分析，主要目的在于為誘捕系統的設計者提供一個簡單的參考，并在最后給出了當前誘捕系統具有的問題和未來發展的趨勢。雖然目前誘捕系統仍然有許多難以解決的問題，但是仍符合網絡安全未來趨勢的發展。