传统Web安全防护技术存在误报、漏报以及防御被动等问题,蜜罐技术的引入可有效改善此状况。本文针对面向Web安全防护的蜜罐技术进行研究,分析当前主流的Web蜜罐技术,提出蜜罐技术在Web安全防护中的应用模型,并进行了研究展望。
1引言
随着Web2.0的发展,越来越多的公司、政府、学校等组织机构开始利用Web技术向外提供服务。根据InternetLiveStats统计,截至年年初,全世界Web站点数量已超18亿。Web技术优秀的标准化工作以及活跃的社区使普通开发者开发Web应用的难度降低,促使了Web技术的发展,但同时也导致了很多Web安全问题。据国家信息安全漏洞库CNVVD年至年收录的漏洞类别统计显示,其中涉及Web应用的漏洞约有17万个,占比19%。Web服务向外暴露的巨大攻击面,使得攻击Web应用经常成为网络攻击的入口点。
传统的Web安全防护技术不足以应对层出不穷、变化多端的Web攻击。Web应用防火墙(WebApplicationFirewall,WAF)、入侵检测系统(IntrusionDetectionSystems,IDS)等防御手段往往采用基于规则和基于异常的机制来检测和阻断Web攻击,这种防御方式存在很明显的缺点。如基于规则的防御手段采用特征码的方式匹配已知的攻击,这无法防御新的攻击手段,同时也很容易被高级攻击者绕过;而采用基于异常的机制,往往又严重依赖于异常检测模型的精确程度,模型的假阳性率对于业务系统的用户体验影响很大。
传统Web安全防护技术的“力不从心”,其实可以从主动防御的思路中总结出原因。传统的Web安全防护过程中,被防御实体一直站在原地处于“被动挨打”的境地,防御者只能通过不断加入一层层的“屏障”阻挡攻击者进攻的步伐。而在主动防御的思路中,防御者主动出击,诱导攻击者、延缓攻击进程甚至是反制攻击者。蜜罐技术就是这样一种主动防御技术。在蜜罐技术未应用之前,不管加入多少传统防护手段,攻击者的认知都是很清晰的,那就是绕过、破坏这些防护手段,然后攻陷目标;在加入了蜜罐技术之后,攻击者的认知被扰乱,因为攻击的目标是否是真正的业务系统这件事变得不那么确定,很可能在历经千辛万苦攻陷系统之后发现是个假目标。蜜罐技术的加入可以有效改善传统Web安全防护技术中防御被动的状况,显著提升Web服务整体安全防护能力。
2蜜罐技术概述
蜜罐技术是一种主动防御技术,通过部署没有真实业务数据的系统来诱骗攻击者实施攻击,记录其攻击行为从而学习攻击者的攻击目的和攻击手段,以此不断提升真实业务系统的安全防护能力[1,2]。
蜜罐技术发展至今经历了蜜罐、蜜网和蜜场等阶段。单就蜜罐技术而言,研究内容从如何提升蜜罐的自适应性到如何提升蜜罐的动态性等[2],这些研究的目的都是为了提升蜜罐整体的诱骗能力。
蜜罐技术按照其交互程度可以分为低交互蜜罐、高交互蜜罐和纯蜜罐[3],其中,纯蜜罐和真实业务系统功能上一致,但是会在其外部加入监测记录功能。按照其作用点不同,又可以粗略分为应用层蜜罐、网络蜜罐、主机蜜罐、设备蜜罐等。本文所介绍的应用于Web安全防护中的蜜罐技术属于应用层蜜罐的范畴,下面将对此详细展开介绍。
3Web安全防护中的蜜罐技术
在Web安全攻防对抗中,攻击模式一般分为2种:非定向Web攻击和定向Web攻击。非定向Web攻击的目的往往是利用漏洞获取资源,攻击者通过威胁情报或者漏洞挖掘等方式掌握了较新的漏洞利用方式,基于此编写漏洞批量利用脚本,自动化、无差别地对互联网上的Web应用进行漏洞探测与利用,以此获取更多的“肉鸡”资源用于跳板机、挖矿以及组建僵尸网络等目的。由于这种攻击方式不是针对特定的个体或者组织,所以称之为非定向Web攻击。与之相对应,攻击者具有很明确的目的性,针对特定个体或者组织发起的攻击就称为定向Web攻击。定向Web攻击和非定向Web攻击在实施过程中最大的区别就是攻击者亲自参与的程度不同,在定向Web攻击中,攻击者往往会更多地亲自参与、多次尝试,所以定向Web攻击的攻击手法也往往更加高级。
应用于Web安全防护中的蜜罐技术,为应对这两种不同的Web攻击模式,也呈现出不同的形式,下面将从部署模式、技术特点和应用效能3个方面介绍在这两种Web攻击模式下蜜罐技术的异同。
3.1针对非定向Web攻击的蜜罐技术
在非定向Web攻击中,攻击来源往往是自动化攻击脚本。这些攻击脚本没有明确的目标对象,批量的扫描、验证着互联网上的Web应用。这种攻击模式呈现出非定向、低交互的特征,所以应对这种攻击模式的蜜罐技术在部署后往往与真实业务系统处于一个平行的位置,并且直接暴露于互联网,如图1所示。因为这样部署使得蜜罐具有和普通业务系统同等的地位,自然也就会成为非定向Web攻击的目标。而蜜罐表现出的特点往往是低交互且动态性比较强,低交互是因为这些自动化脚本本身的交互性也不会很高,低交互足以应对;动态性是为了能应对多种不同的自动化攻击。在这样的应用场景下,蜜罐具备Web攻击预警、Payload捕获等效能。
3.2针对定向Web攻击的蜜罐技术
在定向Web攻击中,攻击多由攻击者亲身参与。这种攻击有明确的目标对象,比如