基于欺騙式防御理念的高甜度春秋云陣蜜罐系統(tǒng)

0引言“網(wǎng)絡(luò)安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力的較量?！倍シ纼啥四芰Φ妮^量本質(zhì)上是雙方的情報(bào)式對抗，防御者必須更多、更準(zhǔn)確的獲取到攻擊者的信息才能在博弈中占得先機(jī)。攻擊者在剛進(jìn)入系統(tǒng)內(nèi)部時(shí)在信息層面上處于弱勢，必須小心翼翼的利用各種工具獲取系統(tǒng)內(nèi)部信息、探測薄弱點(diǎn)和高價(jià)值目標(biāo)。而這里可以真正體現(xiàn)蜜罐的價(jià)值，一方面在攻擊者探測中將其定位，一方面也誘騙攻擊者使其以為已經(jīng)獲得了高價(jià)值目標(biāo)，并不斷的把精力留存在蜜罐創(chuàng)造的這個(gè)虛擬空間中。蜜罐蜜網(wǎng)就像信息系統(tǒng)機(jī)體內(nèi)部設(shè)置的“淋巴系統(tǒng)”，分布于信息系統(tǒng)的各類關(guān)鍵位置，攻擊者一旦觸碰，隱秘的報(bào)警即被觸發(fā)，從而實(shí)現(xiàn)對所有攻擊的零誤報(bào)，同時(shí)其在虛擬空間的各類數(shù)字指紋、社交賬號(hào)、系統(tǒng)相關(guān)信息、使用的攻擊工具等也均被詳細(xì)的留存起來。而最棒的是，這個(gè)“淋巴系統(tǒng)”對已知還是未知、常規(guī)還是高級(jí)的攻擊一概有效。1產(chǎn)品概述春秋云陣蜜罐系統(tǒng)是在基于對欺騙防御技術(shù)的深入研究和優(yōu)化的基礎(chǔ)上研發(fā)的一款網(wǎng)絡(luò)安全產(chǎn)品。從攻擊者的視角出發(fā)，讓企業(yè)在防御的同時(shí)了解攻擊者的手段和意圖，不僅讓入侵者增大攻擊代價(jià)、徒勞無功，還對入侵者產(chǎn)生巨大的心理威懾，從欺騙、發(fā)現(xiàn)、預(yù)警、隔離、分析意圖等方面來轉(zhuǎn)換攻防角色，解決傳統(tǒng)網(wǎng)絡(luò)攻防不對稱的難題。通過在企業(yè)網(wǎng)絡(luò)內(nèi)部署高甜度春秋云陣蜜罐設(shè)備（虛擬化誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者數(shù)據(jù)等），誘使入侵者對它們實(shí)施攻擊，減少對實(shí)際系統(tǒng)造成的安全威脅。通過對攻擊行為進(jìn)行捕獲和分析，了解入侵者所使用的工具與方法，推測其攻擊意圖和動(dòng)機(jī)。入侵者無論采用任何一種戰(zhàn)術(shù)攻擊客戶網(wǎng)絡(luò)，主要目的在于獲取其核心數(shù)據(jù)或制造破壞，春秋云陣的數(shù)據(jù)可視化展示技術(shù)能夠讓用戶清晰、直觀的了解所面臨的安全威脅，簡化網(wǎng)絡(luò)安全運(yùn)維工作的復(fù)雜度，同時(shí)通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力?；谄垓_式防御理念，運(yùn)用平行仿真技術(shù)構(gòu)建的蜜罐系統(tǒng)，形成了比傳統(tǒng)檢測體系更強(qiáng)的能力。（1）“高甜度”誘騙能力貼合實(shí)際防御網(wǎng)絡(luò)，自動(dòng)化仿真業(yè)務(wù)場景，構(gòu)建多樣化的吸引攻擊者的脆弱環(huán)境和信息，引誘攻擊者不斷深入蜜罐場景，暴露其動(dòng)機(jī)和技術(shù)手段，延緩攻擊者時(shí)間，從而使防御方牢牢掌握主動(dòng)權(quán)，提升應(yīng)對突發(fā)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)速度；（2）“零誤報(bào)”發(fā)現(xiàn)能力蜜罐內(nèi)生誘捕機(jī)理，任何觸碰和進(jìn)入蜜罐的行為均被詳細(xì)定位和分析，“攻擊即報(bào)警，響應(yīng)即處置”，實(shí)現(xiàn)網(wǎng)絡(luò)入侵的零誤報(bào)；（3）“高處置”防御能力蜜罐采用欺騙式防御模式，是傳統(tǒng)邊界防御手段的有效補(bǔ)充。基于威脅數(shù)據(jù)進(jìn)行融合與挖掘，依托永信至誠安全攻防經(jīng)驗(yàn)的積淀，有針對性的提出快速、高效地處置策略。通過安全聯(lián)防設(shè)置，為傳統(tǒng)安全設(shè)施提供威脅樣本，實(shí)現(xiàn)聯(lián)合防御；（4）“溯源分析”情報(bào)能力高隱蔽性的采集進(jìn)入蜜罐攻擊者的地址、樣本、行為、黑客指紋等信息，掌握其詳細(xì)攻擊路徑、終端指紋和行為特征，實(shí)現(xiàn)全面取證，精準(zhǔn)溯源。2產(chǎn)品架構(gòu)圖1春秋云陣蜜罐系統(tǒng)架構(gòu)春秋云陣蜜罐系統(tǒng)產(chǎn)品架構(gòu)由虛擬化支撐層、業(yè)務(wù)功能層、數(shù)據(jù)采集層、數(shù)據(jù)控制層以及分析展示層組成，如圖1所示：（1）

虛擬化支撐層主要承擔(dān)各類虛擬化資源的管理工作，包括：計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、容器資源以及模板資源，并且依托于虛擬化資源調(diào)用API為蜜罐提供基礎(chǔ)支撐服務(wù)。（2）

業(yè)務(wù)功能層主要承擔(dān)蜜罐工作時(shí)參數(shù)的相關(guān)配置和維護(hù)，包括甜度設(shè)置、設(shè)備配置及狀態(tài)監(jiān)控、誘捕設(shè)備配置及狀態(tài)監(jiān)控以及內(nèi)置典型高仿真場景的配置。通過配置可以更好的定義蜜罐的狀態(tài)，使其更具欺騙性。（3）

數(shù)據(jù)采集層主要承擔(dān)入侵者探測型威脅和實(shí)質(zhì)型威脅數(shù)據(jù)的采集，能夠?qū)崟r(shí)、全面的監(jiān)測入侵者的攻擊行為，為溯源定位入侵者的位置、手段、工具以及輔助感知入侵意圖提供源數(shù)據(jù)支撐。（4）

數(shù)據(jù)控制層主要承擔(dān)蜜罐產(chǎn)品數(shù)據(jù)的持久化工作，包括：審計(jì)日志庫、攻擊威脅庫、內(nèi)置場景庫以及高甜度蜜罐庫。同時(shí)能夠通過syslog服務(wù)向第三方安全防護(hù)系統(tǒng)共享威脅行為數(shù)據(jù)和審計(jì)日志信息，支撐聯(lián)動(dòng)防御。（5）

分析展示層主要承擔(dān)對于蜜罐捕獲威脅數(shù)據(jù)的可視化分析和展示工作，包括：總體分析、罐外威脅分析、罐內(nèi)威脅分析以及蜜罐運(yùn)行狀態(tài)的監(jiān)控。通過各類分析結(jié)果，能夠直觀地展示當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，簡化用戶安全運(yùn)維工作，提供安全決策依據(jù)。3核心技術(shù)3.1

平行仿真技術(shù)基于混合虛擬化的屬性平行仿真技術(shù)，能夠依據(jù)現(xiàn)實(shí)網(wǎng)絡(luò)系統(tǒng)進(jìn)行細(xì)粒度場景仿真，高逼真模擬各類典型網(wǎng)絡(luò)業(yè)務(wù)場景，構(gòu)建高仿真蜜罐。在平行仿真的蜜罐蜜網(wǎng)環(huán)境中保留常見脆弱點(diǎn)和共性的風(fēng)險(xiǎn)漏洞，構(gòu)建高甜度蜜罐。3.2

全量誘捕技術(shù)采用內(nèi)核級(jí)攻擊行為全量誘捕與復(fù)現(xiàn)技術(shù)，構(gòu)建全場景欺騙防御體系，實(shí)現(xiàn)安全事件分析及復(fù)現(xiàn)和精準(zhǔn)溯源。在專用私有云——“春秋云”平臺(tái)的支撐下，采用基于內(nèi)核級(jí)流量進(jìn)出棧技術(shù)，從私有云和虛擬機(jī)內(nèi)核兩個(gè)維度嚴(yán)格控制流量只進(jìn)不出，確保蜜罐節(jié)點(diǎn)絕不會(huì)成為攻擊者的“跳板”系統(tǒng)。如圖2所示。圖2內(nèi)核級(jí)攻擊行為全景捕獲與復(fù)現(xiàn)技術(shù)3.3

高甜度欺騙式防御技術(shù)3.3.1

高甜誘餌投放與企業(yè)業(yè)務(wù)系統(tǒng)相關(guān)的重點(diǎn)文件和信息進(jìn)行敏感詞匯包裝后作為誘餌，從攻擊者視角投放到誘捕網(wǎng)絡(luò)內(nèi)以及互聯(lián)網(wǎng)平臺(tái)上，誘使攻擊者下載、執(zhí)行誘餌程序。散發(fā)著陣陣甜味的誘餌很可能就會(huì)被攻擊者當(dāng)做資產(chǎn)短板收集并在滲透時(shí)利用，從而大大提升蜜罐被訪問的可能性。3.3.2

透明誘捕節(jié)點(diǎn)部署誘捕節(jié)點(diǎn)是蜜罐隱藏在敵人身邊的透明觸手，支持部署在多個(gè)不同的網(wǎng)絡(luò)區(qū)域內(nèi)。當(dāng)被觸碰后，可以在攻擊者毫無察覺的情況下，瞬間將各個(gè)區(qū)域的攻擊流量全部重定向到蜜罐系統(tǒng)，同時(shí)攻擊者周圍的環(huán)境也將被悄無聲息地變?yōu)槊酃薜奶摷侪h(huán)境。3.3.3

全場景攻擊鏈路預(yù)埋基于多年來在網(wǎng)絡(luò)安全攻防一線所積累的實(shí)戰(zhàn)經(jīng)驗(yàn)和350余場網(wǎng)安賽事沉淀下來的對攻防的深刻理解，春秋云陣對攻擊者的思路與常見攻擊路徑有著充足的認(rèn)知，可以快速鎖定攻擊路徑中的關(guān)鍵點(diǎn)，制作出多條高可利用的攻擊鏈路，使攻擊者像中了魘禱術(shù)一樣，一路被引誘并深陷蜜罐迷宮。防御者因此也會(huì)在防守中拿到主動(dòng)權(quán)，并依據(jù)記錄的攻擊痕跡，輔助溯源攻擊者的身份信息。3.3.4

典型業(yè)務(wù)場景仿真依托于網(wǎng)絡(luò)靶場的全場景仿真概念和平行仿真系列技術(shù)，春秋云陣支持對財(cái)務(wù)辦公場景、DMZ區(qū)場景、研發(fā)內(nèi)網(wǎng)場景等深層級(jí)的企業(yè)典型業(yè)務(wù)區(qū)域場景進(jìn)行仿真，完整模擬出蜜罐周邊環(huán)境甚至企業(yè)原有的網(wǎng)絡(luò)架構(gòu)，形成包裹層層甜蜜、極具欺騙特質(zhì)的誘捕蜜網(wǎng)。無論攻擊者是在踩點(diǎn)還是在準(zhǔn)備跨越邊界，甚至站穩(wěn)腳跟后準(zhǔn)備在內(nèi)網(wǎng)擴(kuò)展?jié)B透，均可以被捕獲。3.3.5

高交互式自動(dòng)仿真通過春秋云陣可自動(dòng)仿真業(yè)務(wù)場景，并支持自動(dòng)部署。不止如此，春秋云陣提供智能化高交互式界面，防御者只需動(dòng)動(dòng)手指，就可基于瀏覽器遠(yuǎn)程桌面快速上傳web頁面源碼或數(shù)據(jù)庫配置文件，甚至專用的服務(wù)應(yīng)用源碼，把現(xiàn)有業(yè)務(wù)系統(tǒng)“平行”鏡像到蜜罐中去，制成高甜度蜜罐，讓攻擊者難辨真假，將欺騙防御進(jìn)行到底。4產(chǎn)品價(jià)值4.1

仿得真、捕得到春秋云陣蜜罐以平行仿真系列技術(shù)為核心，能夠依據(jù)現(xiàn)實(shí)網(wǎng)絡(luò)系統(tǒng)進(jìn)行細(xì)粒度場景仿真，模擬各類高逼真的典型網(wǎng)絡(luò)業(yè)務(wù)場景，欺騙并誘導(dǎo)攻擊者不斷深入，進(jìn)而實(shí)現(xiàn)高甜度誘捕、零誤報(bào)發(fā)現(xiàn)、高處置防御，為防御體系構(gòu)建一個(gè)全新的優(yōu)勢維度。4.2

證據(jù)足、抓得全在網(wǎng)絡(luò)空間中，任意的訪問行為都會(huì)或多或少的留存下相應(yīng)的信息線索，如何能精準(zhǔn)、有效、清晰的獲得這些平時(shí)不易察覺的數(shù)據(jù)是蜜罐價(jià)值的一大呈現(xiàn)。春秋云陣能夠從流量和蜜罐靶標(biāo)兩個(gè)層面，全面獲取和識(shí)別攻擊者各類信息。4.3

易分析、看得清春秋云陣具備非常易用的數(shù)據(jù)查詢和分析能力，可梳理出關(guān)鍵攻擊節(jié)點(diǎn)信息并完成溯源分析。5