1 弁言
随着Web2.0的发展,越来越多的公司、政府、学校等组织机构开始利用Web技能向外供应做事。根据Internet Live Stats统计,截至2021年年初,全天下Web站点数量已超18亿。Web技能精良的标准化事情以及生动的社区使普通开拓者开拓Web运用的难度降落,匆匆使了Web技能的发展,但同时也导致了很多Web安全问题。据国家信息安全漏洞库CNVVD2013年至2020年收录的漏洞种别统计显示,个中涉及Web运用的漏洞约有17万个,占比19%。Web做事向外暴露的巨大攻击面,使得攻击Web运用常常成为网络攻击的入口点。
传统的Web安全防护技能不敷以应对层出不穷、变革多真个Web攻击。Web运用防火墙(Web Application Firewall,WAF)、入侵检测系统(Intrusion Detection Systems,IDS)等防御手段每每采取基于规则和基于非常的机制来检测和阻断Web攻击,这种防御办法存在很明显的缺陷。如基于规则的防御手段采取特色码的办法匹配已知的攻击,这无法防御新的攻击手段,同时也很随意马虎被高等攻击者绕过;而采取基于非常的机制,每每又严重依赖于非常检测模型的精确程度,模型的假阳性率对付业务系统的用户体验影响很大。
传统Web安全防护技能的“力不从心”,实在可以从主动防御的思路中总结出缘故原由。传统的Web安全防护过程中,被防御实体一贯站在原地处于“被动挨打”的田地,防御者只能通过不断加入一层层的“樊篱”阻挡攻击者进攻的步伐。而在主动防御的思路中,防御者主动出击,勾引攻击者、延缓攻击进程乃至是反制攻击者。蜜罐技能便是这样一种主动防御技能。在蜜罐技能未运用之前,不管加入多少传统防护手段,攻击者的认知都是很清晰的,那便是绕过、毁坏这些防护手段,然后攻陷目标;在加入了蜜罐技能之后,攻击者的认知被扰乱,由于攻击的目标是否是真正的业务系统这件事变得不那么确定,很可能在历经千辛万苦攻陷系统之后创造是个假目标。蜜罐技能的加入可以有效改进传统Web安全防护技能中防御被动的状况,显著提升Web做事整体安全防护能力。
2 蜜罐技能概述
蜜罐技能是一种主动防御技能,通过支配没有真实业务数据的系统来诱骗攻击者履行攻击,记录其攻击行为从而学习攻击者的攻击目的和攻击手段,以此不断提升真实业务系统的安全防护能力[1,2]。
蜜罐技能发展至今经历了蜜罐、蜜网和蜜场等阶段。单就蜜罐技能而言,研究内容从如何提升蜜罐的自适应性到如何提升蜜罐的动态性等[2],这些研究的目的都是为了提升蜜罐整体的诱骗能力。
蜜罐技能按照其交互程度可以分为低交互蜜罐、高交互蜜罐和纯蜜罐[3],个中,纯蜜罐和真实业务系统功能上同等,但是会在其外部加入监测记录功能。按照其浸染点不同,又可以粗略分为运用层蜜罐、网络蜜罐、主机蜜罐、设备蜜罐等。本文所先容的运用于Web安全防护中的蜜罐技能属于运用层蜜罐的范畴,下面将对此详细展开先容。
3 Web安全防护中的蜜罐技能
在Web安全攻防对抗中,攻击模式一样平常分为2种:非定向Web攻击和定向Web攻击。非定向Web攻击的目的每每是利用漏洞获取资源,攻击者通过威胁情报或者漏洞挖掘等办法节制了较新的漏洞利用办法,基于此编写漏洞批量利用脚本,自动化、无差别地对互联网上的Web运用进行漏洞探测与利用,以此获取更多的“肉鸡”资源用于跳板机、挖矿以及组建僵尸网络等目的。由于这种攻击办法不是针对特定的个体或者组织,以是称之为非定向Web攻击。与之相对应,攻击者具有很明确的目的性,针对特定个体或者组织发起的攻击就称为定向Web攻击。定向Web攻击和非定向Web攻击在履行过程中最大的差异便是攻击者亲自参与的程度不同,在定向Web攻击中,攻击者每每会更多地亲自参与、多次考试测验,以是定向Web攻击的攻击手腕也每每更加高等。
运用于Web安全防护中的蜜罐技能,为应对这两种不同的Web攻击模式,也呈现出不同的形式,下面将从支配模式、技能特点和运用效能3个方面先容在这两种Web攻击模式下蜜罐技能的异同。
3.1 针对非定向Web攻击的蜜罐技能
在非定向Web攻击中,攻击来源每每是自动化攻击脚本。这些攻击脚本没有明确的目标工具,批量的扫描、验证着互联网上的Web运用。这种攻击模式呈现出非定向、低交互的特色,以是应对这种攻击模式的蜜罐技能在支配后每每与真实业务系统处于一个平行的位置,并且直接暴露于互联网,如图1所示。由于这样支配使得蜜罐具有和普通业务系统同等的地位,自然也就会成为非定向Web攻击的目标。而蜜罐表现出的特点每每是低交互且动态性比较强,低交互是由于这些自动化脚本本身的交互性也不会很高,低交互足以应对;动态性是为了能应对多种不同的自动化攻击。在这样的运用处景下,蜜罐具备Web攻击预警、Payload捕获等效能。
3.2 针对定向Web攻击的蜜罐技能
在定向Web攻击中,攻击多由攻击者亲自参与。这种攻击有明确的目标工具,比如官网首页或者某个子部门的二级域名网站。这种攻击模式每每呈现的是定向、高交互的特色,以是应对这种攻击模式的蜜罐技能在空间支配后会像图2所示,其勾引装置检测攻击并将攻击勾引至一个与真实业务系统高度仿真的蜜罐,勾引装置和蜜罐共同保护着真实业务系统。这种运用处景下的蜜罐具有高交互、高暗藏性的特点,高交互是为了能够和攻击者进行更多的交互行为,一方面可以捕获更多攻击数据,另一方面也是为了提高自身的暗藏性。暗藏性除了高交互特色供应之外,也包含了监测机制的暗藏性,以担保攻击者无法察觉。在此场景下,蜜罐技能除了具备Web攻击预警、Payload捕获效能之外,还能延缓攻击进程,给予安全防护职员更多的应急相应韶光。
先容完两种攻击模式下的Web蜜罐技能,接下来将紧张就单蜜罐技能进行谈论,提出面向Web安全防护的蜜罐技能分层模型。
4 面向Web安全防护的蜜罐技能分层模型
在Web运用开拓领域有一种著名的架构模式叫做MVC,它将Web运用系统分为模型层(Model)、掌握器层(Controller)和视图层(View)。在剖析研究当前主流的Web蜜罐后创造,运用于Web安全领域的蜜罐技能也可按照这三层为界线进行划分。蜜罐技能实质是诱骗和监测,根据诱骗和监测发生在MVC的不同阶段,可将Web安全防护中的蜜罐技能分为视图层蜜罐技能、掌握层蜜罐技能和数据层蜜罐技能,其模型示意图如图3。
接下来将从这三层逐一展开,解释每一层蜜罐技能的表现形式和特点,并先容相应的主流Web蜜罐技能。
4.1 视图层蜜罐技能
视图层蜜罐技能指的是诱骗或监测发生在视图层及以上的技能形态,紧张表现为各种具有仿照功能的低交互Web蜜罐、记录HTTP流量类型的纯蜜罐、Web中间件类型蜜罐、反向代理类型蜜罐等。Glastopf[4]是一款精良的低交互Web蜜罐,它通过各种Web漏洞类型仿照器仿照各种Web漏洞。纯蜜罐通过将真实的业务系统脱敏,在其上层添加记录流量的组件使其成为一个蜜罐系统。2015年,Araujo等人[5]在USENIX上提出的基于LLVM的DataFlowSanitizer实现的是一种基于信息流的Apache Web中间件蜜罐,在检测到攻击时自动将攻击者的网络连接勾引至具备监测能力进程上。HFish蜜罐平台[6]是基于Nginx中间件开拓的插件,可以实现将任意站点转化为蜜罐。2017年,Izagirre等人[7]提出反向代理等手段在运用层操纵HTTP要求注入诱骗数据以检测攻击和阻断攻击,属于反向代理类蜜罐技能。
这类蜜罐技能的监测层次处于视图层及以上的位置,捕获和记录攻击者对付Web蜜罐的输入数据,相对来说比较简便易行。但由于监测的层面较高,每每捕获到的攻击行为数据所携带的语义信息更低,当数据量较大时可能须要结合其他数据剖析办法如数据挖掘等进行赞助剖析。这个层面的Web蜜罐技能的监测事情已经做得相比拟较完善,未来的研究紧张集中在诱骗策略的设计以及对大量语义数据的剖析事情上。
4.2 掌握器层蜜罐技能
掌握器层蜜罐技能的诱骗或监测发生在视图层之下、数据层之上,紧张包括各种高交互Web蜜罐、网站影子系统等。比如HIHAT可以将现有的PHP运用转化为一个高交互蜜罐,虽然部分PHP运用没有明显划分MVC3个层级,但转换后的蜜罐监测功能实际上是发生在掌握器层,以是可以划分到掌握器层的蜜罐技能。2017年,ArkTeam在FreeBuf互联网安全创新大会(FIT2017)上揭橥的“网络欺骗:防御者的诡计”主题演讲[8]中提到的影子做事,即在真实业务系统阁下安插的高度仿真的蜜罐系统,实在质上也是一个高交互的蜜罐,以是也可将其划分到掌握器层蜜罐技能范畴。2020年,Niakanlahiji等人[9]提出一种根据攻击者交互数据推测攻击者水平,从而为攻击者供应定制化的Web蜜罐来最大化地迷惑攻击者的思路,这种交互数据的捕获须要在掌握器层面,进而才能获取更多的语义信息输入到推测模型,以是这种也可以归类到掌握器层的蜜罐技能。
掌握器层蜜罐技能捕获到的攻击行为数据相较于视图层来说语义更加丰富,但相对来说监测也更加困难。HIHAT虽然做到了自动化地将现有运用转化为高交互蜜罐,但是实在现的机制不是很暗藏,与蜜罐技能本身的诱骗功能存在冲突,在监测暗藏性上仍有待提升。此外,还可基于高交互特性获取到的高语义数据来进行进一步的剖析以提高蜜罐整体的诱骗性。
4.3 数据层蜜罐技能
数据层蜜罐技能倾向于数据层面的诱骗和监测,紧张包括数据库蜜罐、数据蜜饵等,目前的研究事情数量相对前两种层面的蜜罐技能较少。NoSQLpot[10]是一个NoSQL蜜罐框架,可以仿照各种NoSQL数据库,记录数据库操作行为,属于数据层蜜罐技能。2013年,Juels等人[11]提出的“honeywords”的诱骗手腕,通过给正常的用户设置除了精确密码以外的密码,当攻击者以honeywords登录时就会触发警报,实质上是一种数据库蜜饵。
数据层蜜罐技能方向于数据流的监测,虽然监测难度相对来说不是很大,但是每每须要与前两种层面的蜜罐技能相结合才能发挥效能。例如,虽然对付涉及秘密数据的攻击行为来说此类蜜罐技能行之有效,但是对付以掌握为目的的攻击行为就会显得束手无策。这个层面的蜜罐技能的后续研究可集中于诱骗策略的设计上,如结合掌握层蜜罐技能网络到的高语义行为数据,有针对性地天生、支配蜜饵,以提高蜜罐技能整体的诱骗效能。
5 结语
本文针对面向Web安全防护的蜜罐技能进行了研究,从目前传统Web安全防护技能存在的不敷出发,以主动防御的视角剖析了问题存在的根本缘故原由,逐步引出了2种不同Web攻击模式下的Web蜜罐技能,进而提出Web蜜罐技能分层模型。安全研究事情者可借助此模型认识、剖析现有的Web蜜罐技能,创造不敷与缺口,进而提出改进方法与新技能。Web做事暴露出的巨大攻击面使其逐渐成为网络攻击的最佳入口点,研究Web蜜罐技能对付在攻击初期创造、捕获、延缓网络攻击,提升系统整体安全防护能力具有深远的意义。面向Web安全防护的蜜罐技能进一步的研究事情将在于提升诱骗的智能性和监测的暗藏性,逐步提升蜜罐整体的诱捕能力。
(原载于《保密科学技能》2021年2月刊)
