面向Web应用安全的蜜场技术研究

曹秀莲　钟祥睿

摘  要：蜜罐技术是一种没有任何产品价值的安全资源，它常常与网络防火墙、入侵检测等一些被动的网络防护技术结合在一起在大型分布式网络中部署来提高系统安全性。伴随着Web应用技术的迅速发展，Web应用安全问题也逐渐变得越来越突出，针对Web应用种类繁多，蜜罐部署麻烦且利用率不高的情况，该文设计了一个在具有多个子网的大型局域网中部署多种应用联合呼应的动态混合蜜罐，形成蜜场的网络安全防护系统，并介绍其关键功能的实现。

关键词：网络安全  蜜场  诱骗  动态联合

中图分类号：TP309    文献标识码：A 文章编号：1672-3791（2019）08（a）-0012-03

当今世界，互联网已经进入了“应用为王”的时代，随着微信、微博、社交网络、移动应用、云计算等一系列网络应用的广泛深入使用，作为这些网络应用载体的Web技术已经渗透到人们的社会、生活、工作的各个方面。这些Web技术其实是一把“双刃剑”，方便人们沟通和交流，改进了工作方式。但也带来了巨大的安全风险问题。针对Web技术的攻击越来越多，种类也越来越复杂，据统计，目前的互联网攻击中约75%是针对Web应用技术的。采用传统被动防护措施，如防火墙、IDS、添加补丁等对阻止Web攻击显得比较困难。

该文介绍一种面向Web应用安全的主动防御技术——蜜场技术，这是被动防护技术的一种补充，它是把具有主动防御作用的蜜罐技术和常用被动防御技术结合，设计出一种适应大型企业（需要建分公司子网）的安全网络模型。

1  蜜场技术的工作原理

蜜罐（Honeypot）是一种安全资源，它的价值就在于被探测、攻击或攻陷[1]。蜜场（honeyfarm）是蜜罐技术的应用，它适用于大规模分布式网络，这跟它的优点“逻辑上分散部署，物理上集中部署”有关。

蜜场的工作原理是这样的：蜜场中有一个蜜场的中心，集中部署了多台蜜罐，它们是一个独立的网络;然后在各个企业子网中部署诱骗服务实现对子网进行监控的目的，诱骗服务是一些软件实现的，它不直接响应自己监听到的对端口的非法访问或未用地址，但是通过转发工具——重定向器把它们转发到蜜场中心;蜜场中心根据非法访问特征，随之按照一定算法选择响应蜜罐进行响应，最后把响应再回传到其相应的子网中去，并且对攻击信息利用一些工具进行收集和分析。

2  面向Web应用安全的蜜场的部署方案

2.1 Web应用安全的问题所在

随着Web应用安全问题越来越严重的，开始出现Web蜜罐。Web蜜罐分为两类：客户端蜜罐和服务端蜜罐。客户端蜜罐通过主动访问网站来检测恶意活动，服务端蜜罐通过暴露有漏洞的服务来吸引攻击者[2]。该文主要讲如何在服务端部署面向Web应用安全的联动蜜罐形成蜜场。

互联网上Web攻击一般分为两种：一种是针对某个特定目标的恶意攻击，一种是大范围撒网的无特定目标的恶意攻击。对于前者，攻击者会主动分析特定目标的IP地址、域名等信息，分析特定目标可能存在的漏洞，然后采用相应的攻击手段。这种情况下在互联网上部署的蜜罐系统意义不是很大。因此该文中设计的面向web应用安全的蜜场系统并不是针对特定目标的攻击，而是針对无特定目标的恶意攻击。无特定目标的攻击会在互联网上采用撒网式的方法寻找有漏洞的应用。为了节省成本，这一类恶意攻击通常会使用集成搜索引擎和扫描软件的工具进行，但是，到达蜜罐的攻击并不可能全部是针对蜜场中蜜罐上已经部署的应用，在这种情况下某些攻击就会失败，蜜罐就不会捕获到某次攻击的信息。

针对这种情况，该文要解决两个问题：一个就是怎样从针对不同应用的众多攻击流量进行选择，再转发给相对应蜜罐;另一个就是能从蜜场中部署的蜜罐发出的众多响应中选择最优响应作为攻击者响应。这些都取决于蜜罐选择算法，该文设计了一个动态联合算法来进行目标Web应用蜜罐的选择。

2.2 面向Web应用安全的蜜场的具体部署

该文将以一个具有多个分公司的企业网络为例，设计一个综合各种防护的安全网络，它既包括防火墙、入侵检测等传统被动保护技术，又包含主动的蜜场技术。其体系结构如图1所示。

企业的总体网络被划分为为两部分：一个是受保护子网即多个分公司内网，另一个是Web应用模拟子网，在每个分公司的受保护子网中都部署了一个像诱饵一样的服务，这些服务动态地模拟自己所在的分公司内网环境，利用多台虚拟主机，最大程度地吸引攻击者。而在Web应用模拟子网内，则配置了具有高交互性的物理蜜罐，它模拟了各种可能的应用，应对各种转发请求。此外在企业内网和外网之间设立了防火墙、位于Web应用模拟子网前端的蜜墙[4]、IDS和路由器等常规控制安全设备。这些设备既完成了网络连接任务，又能起到保护企业子网、采集入侵者信息和控制部署蜜罐带来的风险等功能。

3  面向Web应用安全的蜜场系统的关键功能设计

在图1中所设计的安全防护系统中，蜜场系统中的蜜罐模型是一种由多个具有高交互性的不同Web应用蜜罐群。这些蜜罐上被部署了多种不同的真实的Web应用或服务，由一个动态联动管理器进行管理，按照攻击特征进行动态选择相应的应用蜜罐与攻击者交互。

该模型可以用图2来表示，由两个部分组成：受保护子网和Web应用模拟子网。

受保护子网中部署了诱饵，它们能够虚拟所在子网的不存在的IP地址主机，这是个动态过程，为入侵者提供透明的转发服务，把未授权的或恶意的活动转发到Web应用模拟子网中的其中一个蜜罐中;同时又控制对外连接，对不符合转发条件的入侵行为根据控制规则制定策略;并且对与它相关的网络活动实时记录，获取入侵数据;Web应用模拟子网是由多个个中、高交互的蜜罐组成的蜜场，它接收受保护子网中的诱饵转发的网络数据包，给入侵者提供服务，收集应用程序和操作系统的事件日志，对进程和端口调用、系统调用以及安全审计作记录。