徐 超，闫怀超，江佳希

(上海工业自动化仪表研究院有限公司，上海 200233)

0 引言

当前，国家重大活动的网络安全事件并不少见，这也是确保特殊时期企业和行业应用、系统、网络可以安全、可靠、稳定、健康运行的重要措施。

所有类型的网络安全攻防都有两个角色，一是红方的安全检查，二是蓝方的防御系统。因为蓝方的防御系统经常在各个方面遭受“红色”困扰，例如安全测试、自动安全检查和手动渗透测试。安全性经过很长时间测试，才能验证用户系统安全策略和保护措施的有效性。

网络陷阱是一种基于网络诱捕技术，对虚拟系统和网络等进行主动和欺诈性网络安全检测的技术。它利用安全检测技术高效准确地检测事件，具有很高的应用价值。

1 网络诱捕技术的应用

1989年，网络诱捕技术被首次提出。在开发过程中，在蜜罐网络项目组和其他开源技术团队的推动下，不同类型的网络诱捕软件工具都存在网络安全问题。网络诱捕技术也已经从蜜罐发展到蜜网[1]，再到分布式蜜网和蜜场[2]。网络诱捕技术还经常用于攻击分析、入侵检测、僵尸网络调查、网络取证、恶意样本捕获和其他安全领域。

在2000年左右，蜜罐网络项目组主要进行了理论验证和系统测试。在研究和试验结果的基础上，提出了第一代蜜网理论，并验证了其可行性和有效性。从2002年到2004年，蜜网发布了围绕数据控制、数据收集、数据分析以及其他相关理论和技术的第二代蜜网模型框架。自2005年以来，蜜网的便捷化、数据捕获和数据分析成为了蜜网项目组的研究重点。在此期间，也发布了第三代蜜网框架[3]。

目前，网络诱捕技术研究人员已经开发出多种类型和功能的蜜罐。值得一提的是，现代蜜网(modern honey network,MHN)项目大大简化了蜜罐的部署，并使研究人员能够快速部署蜜罐以捕获攻击数据。近年来，MHN开源项目社区不断活跃和更新。MHN支持多种开源蜜罐软件，并支持开源通信协议hpfeed。

从我国近年来发表的学术论文来看，国内研究者对网络诱捕技术的研究和应用还不够广泛[4]。从2006年开始，网络诱捕技术首次被用于检测蠕虫[5-6]。自2008年以来，网络诱捕技术已经被应用于端口检测[7]、入侵检测[8]和攻击警告[9]。此后，一些研究者将网络诱捕技术应用到安全的校园网络和企业网络的建设中[10]。除了有线网络的应用外，也出现了无线网络诱捕技术的应用[11]。然而，关于网络诱捕技术在内网安全中应用的文献很少。唯一的文献是使用一个通用的蜜罐架构，试图通过在内部网络部署高交互度的蜜罐来捕获未知攻击、发现系统未知漏洞以及了解攻击者的攻击手法和所用工具[12]。

关于网络诱捕技术在网络安全的应用项目，直到2004年，北京大学计算学院的狩猎女神研究团队研究成果较为突出。该项目团队成功加入了世界知名的的蜜网技术研究组织蜜网项目组。狩猎女神蜜网项目多年来一直致力于蜜网技术和网络攻击检测。从一开始，它就使用网络诱捕技术来收集攻击特征，建立攻击知识库和漏洞知识库，然后使用网络诱捕技术来攻击和防御Internet，学习知识并将研究结果应用于僵尸网络。在监控方面，基于Mito框架研发了一种主动的网络安全保护技术。清华大学安全团队的诸葛建伟是主要研究人员之一，他一直在研究和应用网络诱捕技术[13]。例如，在cncert中部署kippo蜜罐，以进行相关的攻击检测和数据分析。

蓝队防御系统方通过对网络通信数据进行实时的监视、检测和防御，认为网络诱捕技术可以广泛应用于网络安全防御过程中。这项技术可以帮助蓝方实现以下功能。

①找出当前网络是否被攻击方损坏，以及被损坏的区域是否为授权的攻击方。

②检查当前的网络安全策略是否健全，是否被损坏。

③找出网络是否感染了蠕虫。

④抵制网口扫描，干扰网络信息的收集和调查。

⑤查找对重要系统的目标攻击行为。

⑥保存攻击事件并完成攻击日志记录，一键阻止攻击，并通过技术对策和司法鉴定提供数据支持。

2 网络安全与红队常见的渗透测试方法

从红队的视角出发，任何网络安全事件都会通过安全校验，发现系统和网络的漏洞和脆弱点。通过多种检测和扫描工具，对蓝色目标网络进行信息收集、漏洞测试和漏洞验证。特别是面对大型企业时，通过大规模目标检测等快速手段发现系统存在的安全问题，主要过程如下。

①大规模目标侦查。

目标侦查过程中，需快速了解用户的系统类型、设备类型、版本、开放服务类型和端口信息，并确定系统和网络的边界范围。红方将了解基本信息，例如用户网络规模。通过nmap端口扫描和服务识别工具打开服务，甚至使用zmap、masscan等大型快速检测工具进行更有针对性的测试。

②密码和常见漏洞测试。

红方已掌握蓝方用户的网络规模。主机系统类型和服务开放性。红方使用Metasploit或手动方法进行有针对性的攻击和漏洞测试，包括各种Web应用程序系统漏洞、中间件漏洞、系统、应用程序和组件远程执行代码遗漏。它还将使用Hydra和其他工具来测试各种服务、中间件和系统密码的常见弱密码。最后通过技术手段获取主机系统或组件的权限。

③权限获取和水平移动。

红方获得特定目标后，将使用主机的系统权限和网络可访问性级别来扩展结果控制密钥数据库、业务系统和网络设备。最后，它通过收集足够的信息来证明当前缺乏系统安全性，从而控制核心系统并获取核心数据。

3 威胁诱捕技术应对方式

威胁诱捕技术主要使用VM、Docker和软件定义网络(saftware define network,SDN)等虚拟化应用程序、主机、系统、网络，以实现虚拟应用程序、主机、系统、网络相关功能的模拟。网络捕获技术不同于一般的监视方法，后者是一种高精度的网络安全检测技术。网络捕获还具有一些主动防御特性。除了准确检测攻击事件之外，它还可能误导攻击者，使之迷惑，并提高攻击的有效性。目前，红方网络陷阱系统的渗透测试和安全测试方法主要体现在以下四个方面。

①网络扫描行为和异常行为监控。

通常，网络捕获系统将为测试人员建立一个或多个虚拟应用程序、主机、系统和网络。当红色团队执行网络检测和网络扫描时，如果网络可访问，则可能会攻击网络中的某些虚拟主机系统。根据异常连接和连接行为的分析机制，识别扫描类型和异常行为，并在第一时间对攻击源IP进行告警。

②网络扫描保护和服务欺诈。

处理扫描情况后，红队类型和系统网络陷阱类型可以提供错误的端口和服务打开端口扫描结果，以及服务识别工具，例如红队nmap、zmap、masscan。错误的端口打开和服务打开结果包括一定比例的完全开放的端口。这将大大增加红场扫描仪的运行时间，并增加红场扫描仪的时间小组验证、分析服务和托管应用程序，最终达到隐藏真实系统的目的。

③牵引和重定向攻击行为。

对于那些闯入网络的人，网络捕获系统可以设置虚拟主机系统的漏洞以及不同比例、不同类型、不同服务。拖动流量并重新定向到指定的容器、系统和网络环境，使其进入“网络黑洞”以增加攻击时间，继续拉动并分散红色团队。

④攻击分析与反击。

通常，当扫描行为或异常连接行为发生时，网络陷阱系统会在第一时间生成安全攻击事件。网络扫描保护、服务欺诈、重定向和其他功能可以在一定程度上延迟攻击时间。同时，当发生安全攻击时，网络捕获系统还可以将攻击源的IP地址推送到安全保护产品，以进行链接阻止。整个过程中，保留的行为日志还可以分析网络是否真的被红方破坏，突破是否是授权的红方，从而了解并掌握未经授权的测试和攻击行为。

4 与一般的网络安全监控技术的区别

①不同的数据分析方法。

网络捕获系统只分析了通信和行为生成的虚拟主机、系统和网络节点,不需要分析全网流量,流量和用户行为分析会由于环境差异面不一致。

②数据分析方法不同于“内部”和“外部”。

网络陷阱系统和数据分析不需要区分业务域和安全域，例如常见的网络安全监视产品。网络陷阱系统不区分“内部”和“外部”，没有安全区域的概念，也没有虚拟主机以外的任何资产。系统和网络节点可以理解为潜在风险资产。

③异常判断与攻击行为不同。

系统和网络节点生成的网络捕获系统满足特定级别的特定连接频率和网络行为，这是非法的和异常的(因为在正常的连接条件下并且未连接或访问网络陷阱虚拟应用程序)系统。首先，用户的业务系统和网络环境是相对固定的。其次，非攻击行为不会激活该行为下的异常行为。该分析方法定义了检测规则和自定义规则，减少并消除了产品和网络安全审核产品中的误报。

5 结论

网络罪犯一直在进化，变得越来越狡猾和持久，他们的目的也不仅仅是突破防线即可。他们想要谋求长期利益，在公司网络中建立立足点，横向扩展，跳转到公司合作伙伴的网络中，并按他们自己的步调发起后续攻击。为解决这一问题，需要与单纯的网络防御有不同的思维和技术集。接下去的工作是运用所能收集到的各种鉴证情报分析对手的动机和战术，预测攻击可能发起的地方。