基于蜜罐技術(shù)的新型網(wǎng)絡(luò)犯罪主動取證研究

【關(guān)鍵詞】蜜罐技術(shù)；新型網(wǎng)絡(luò)犯罪；主動取證

全球各類新型網(wǎng)絡(luò)犯罪猖獗，新的犯罪形態(tài)已從傳統(tǒng)的接觸式轉(zhuǎn)移為虛擬化非接觸式的新型網(wǎng)絡(luò)空間犯罪。各類潛在威脅造成了企業(yè)、個人用戶隱私的泄露。在維護網(wǎng)絡(luò)安全事件的過程中，被動防御技術(shù)作為應(yīng)對網(wǎng)絡(luò)攻擊風險的主力軍具有一定的局限性。面對日趨復雜的未知網(wǎng)絡(luò)犯罪手段，主動取證可以有效應(yīng)對網(wǎng)絡(luò)犯罪偵查工作中“被動挨打”的局面，做出更有效地響應(yīng)和處理。故在網(wǎng)絡(luò)攻擊主動式防御技術(shù)背景下，通過對新型網(wǎng)絡(luò)犯罪情報特征的研判，將蜜網(wǎng)技術(shù)應(yīng)用于新型網(wǎng)絡(luò)犯罪偵查取證中可以為案件調(diào)查、偵查取證、定罪量刑提供便捷。

一、基于蜜罐技術(shù)的主動取證技術(shù)

（一）蜜罐技術(shù)的原理

蜜罐概念最早是由于CLIFFSTOLL應(yīng)用其追蹤了一起商業(yè)間諜案件而出現(xiàn)，此后應(yīng)用于網(wǎng)絡(luò)安全防護中[1]。蜜罐又稱為網(wǎng)絡(luò)誘餌，在對黑客進行信息收集階段，制作出虛假的信息，進行數(shù)據(jù)的欺騙，其內(nèi)容包括但不限于數(shù)據(jù)庫、代碼、子域名文件、敏感信息。通過模擬包含漏洞的主機系統(tǒng)，給攻擊方提供一種容易攻擊的目標，進入蜜罐系統(tǒng)的所有連接均會被視為可疑狀態(tài)。其入侵過程會實時記錄和審計攻擊者的攻擊流量、行為和數(shù)據(jù)，可用于分析攻擊者所使用的工具和方法，便于安全人員后期增強防范措施。

（二）蜜罐技術(shù)的類型

根據(jù)攻擊者與蜜罐系統(tǒng)的交互程度，分為低交互蜜罐、中交互蜜罐、高交互蜜罐三類[2]418-420。低交互蜜罐是利用程序模仿功能模擬犯罪攻擊者請求的服務(wù)，其模擬化程度較低又被稱為偽蜜罐系統(tǒng)。在Windows系統(tǒng)的虛擬機程序以及Linux的腳本功能均可以實現(xiàn)偽蜜罐系統(tǒng)的部署。中交互蜜罐能提供較高程度的交互信息，記錄和分析更復雜的攻擊手段，模仿真實操作系統(tǒng)的各種行為。高交互蜜罐負責運營有可入侵的漏洞的最真實的系統(tǒng)，能夠記錄最真實的數(shù)據(jù)，快速吸引目標并接受攻擊（例如被溢出、奪取權(quán)限），研究各類系統(tǒng)下犯罪攻擊者的行為軌跡，又稱實蜜罐系統(tǒng)。

（三）蜜罐技術(shù)的優(yōu)劣勢

優(yōu)勢：（1）主動性。當黑客或者新型網(wǎng)絡(luò)犯罪團伙使用工具進行嗅探、查找關(guān)鍵詞時很容易陷入蜜罐陷阱，自以為找到關(guān)鍵漏洞而在蜜罐中徘徊，同時也會觸發(fā)網(wǎng)站后臺的報警機制。（2）技術(shù)的可擴展性。在蜜罐相對成熟的情況下，可以將蜜罐進一步擴展為蜜網(wǎng)、蜜場以及分布式蜜罐技術(shù)。這進一步保障了防御方從各個流程多角度構(gòu)建高仿真場景，有效地牽制黑客，并且達到溯源作用。將反滲透技術(shù)加入蜜罐陷阱里可獲取攻擊者的社交媒體身份，IP等更多信息。分布式蜜罐技術(shù)充分利用閑置的服務(wù)端口，在真實的系統(tǒng)中大范圍進行布置，提升了犯罪方踩到蜜罐的命中率，使得蜜罐相對于安全弱點對整個網(wǎng)絡(luò)的防御性更高。

劣勢：（1）基于現(xiàn)有的蜜罐類型，出現(xiàn)了一些改進后的創(chuàng)新型蜜罐，但仍存在入侵可能性高、捕獲信息少、易被識別的缺陷。（2）蜜罐系統(tǒng)的不穩(wěn)定性，主要表現(xiàn)為捕獲結(jié)果存在差異，將蜜罐系統(tǒng)應(yīng)用于惡意數(shù)據(jù)捕獲、詐騙數(shù)據(jù)分析時的數(shù)據(jù)可能會出現(xiàn)前后不一致的現(xiàn)象。（3）蜜罐偵查技術(shù)和手段的發(fā)展給蜜罐系統(tǒng)的防護模式帶來了新的威脅，主要表現(xiàn)為蜜罐反偵查技術(shù)的發(fā)展減弱了蜜罐捕獲攻擊作用，因此蜜罐系統(tǒng)需要不斷更新升級，提高技術(shù)的魯棒性。

二、新型網(wǎng)絡(luò)犯罪的特點

（一）形態(tài)特征

新形態(tài)的網(wǎng)絡(luò)犯罪攻擊在表現(xiàn)形態(tài)上呈現(xiàn)高度隱蔽化、欺騙集群化的特征。在新型網(wǎng)絡(luò)犯罪態(tài)勢呈指數(shù)級增長的情況下，黑客和網(wǎng)絡(luò)犯罪分子、犯罪集團通過虛擬的網(wǎng)絡(luò)環(huán)境發(fā)起各類高度隱蔽化、未知威脅的新型網(wǎng)絡(luò)攻擊，包括了零日攻擊、APT攻擊、0day漏洞、勒索病毒、系統(tǒng)入侵等，導致新型網(wǎng)絡(luò)犯罪層出不窮。

（二）類型特征

根據(jù)互聯(lián)網(wǎng)犯罪投訴中心的數(shù)據(jù)，當前新形態(tài)的網(wǎng)絡(luò)犯罪類型從有痕的接觸式的網(wǎng)絡(luò)空間向無痕的虛擬網(wǎng)絡(luò)空間轉(zhuǎn)變。1.網(wǎng)址嫁接和網(wǎng)絡(luò)釣魚[3]57。網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接是指引誘人們透露密碼，登錄信息和信用卡號碼等個人信息的欺詐行為。這是當前我國所有記錄在案的網(wǎng)絡(luò)犯罪中犯罪率最高的一種類型，受害者人數(shù)逐年增加。通過欺詐行為引誘受害者透露個人信息。2.未付款和未交付。這是一種買賣雙方在一方先履行后另一方不履行的欺詐行為?；ヂ?lián)網(wǎng)投訴中心的數(shù)據(jù)共計記錄了10.9萬次。3.勒索[3]58。在網(wǎng)絡(luò)空間犯罪者主要使用勒索軟件、比特幣敲詐病毒（CTB-Locker）[4]來獲取訪問受害者的文件和設(shè)備的權(quán)限，并且在金融領(lǐng)域進行貨幣交換、加密貨幣、禮品卡、贖金等不法交易行為。

三、蜜罐系統(tǒng)的網(wǎng)絡(luò)犯罪分析

（一）核心技術(shù)機制

1.構(gòu)建誘騙環(huán)境

構(gòu)建誘導場景需要設(shè)計一種高交互型、高技術(shù)化、高隱蔽性的網(wǎng)絡(luò)攻擊模型。核心思想是主動化防御，構(gòu)建誘導層。思路是構(gòu)建“決策和誘導”體系，組建具有高度可擴展性的環(huán)境。首先需要監(jiān)聽收集存在攻擊的事件，根據(jù)攻擊方泄露的信息，誘導資源信息庫中的記錄進行比較后制定誘導或欺騙的策略。這里的攻擊事件包括了網(wǎng)絡(luò)數(shù)據(jù)包、主機的訪問行為、訪問日志等。其次向系統(tǒng)提供重定向的目標、蜜信、復合型的欺騙性信息，將攻擊者的連接轉(zhuǎn)向蜜網(wǎng)系統(tǒng)，與攻擊方充分交互，獲取犯罪數(shù)據(jù)。對于公安機關(guān)打擊犯罪而言，需要通過不斷延長欺騙時間來沉淀數(shù)據(jù)、分析數(shù)據(jù)、分析攻擊的目標與目的、使用的工具、造成的影響。

2.捕獲攻擊行為

捕獲是核心機制中的關(guān)鍵，只有捕獲到攻擊行為才有可能深入到犯罪分析的內(nèi)部數(shù)據(jù)。通過欺騙和誤導提高犯罪分子對網(wǎng)絡(luò)的信任度。這一階段主要捕獲網(wǎng)絡(luò)流量、操作系統(tǒng)記錄、日志等一些威脅行為，并對數(shù)據(jù)進行控制。由于MySQL的溢出注入代碼隱秘性很高，在網(wǎng)絡(luò)中沒有MySQL數(shù)據(jù)庫的情況下也會有MySQL的溢出注入痕跡。因此，即使在MySQL數(shù)據(jù)庫中捕獲到了Java反序列化漏洞、流量，并不代表捕獲成功。在蜜罐系統(tǒng)下構(gòu)建主機級別的誘騙場景，可以提高系統(tǒng)的穩(wěn)定性，避免這種“空捕獲”的情況。

3.分析威脅數(shù)據(jù)

威脅數(shù)據(jù)相當于分析層，主要任務(wù)是分析誘捕環(huán)境中收集到的信息，其主要目的是溯源攻擊、攻擊手段分析、威脅情報生成。數(shù)據(jù)分析作為蜜罐技術(shù)的基本功能，對于網(wǎng)絡(luò)案件的偵查起著重要作用。難點在于分析存在攻擊威脅的數(shù)據(jù)。系統(tǒng)將所作的欺騙和誘導事件都記錄到日志中，由分析模塊分析，調(diào)整欺騙誘導策略，最終整體化分析得到結(jié)果。

（二）系統(tǒng)的構(gòu)建

蜜網(wǎng)是一種包含多個類型蜜罐設(shè)備的網(wǎng)絡(luò)體系結(jié)構(gòu)，其結(jié)構(gòu)中主要集成了邊界過濾與控制設(shè)備、系統(tǒng)行為記錄與數(shù)據(jù)分析等模塊[2]510-520，用于應(yīng)對各類潛在的網(wǎng)絡(luò)攻擊。蜜網(wǎng)技術(shù)作為蜜罐誘捕的進一步優(yōu)化擴展，可以更為全面地獲取網(wǎng)絡(luò)安全防御中的攻擊數(shù)據(jù)。構(gòu)建靈活且動態(tài)的蜜網(wǎng)系統(tǒng)需要各個控制端與網(wǎng)絡(luò)業(yè)務(wù)的協(xié)同配合。

（三）基于蜜網(wǎng)的新型網(wǎng)絡(luò)犯罪流程

通過梳理文獻和模擬仿真，提出新型網(wǎng)絡(luò)犯罪背景下，基于蜜罐技術(shù)的網(wǎng)絡(luò)漏洞攻擊防御流程。主要包括四個階段（圖1）即攻擊吸引、仿真牽制、溯源捕獲、安全防護處理。

具體的防御取證流程如下：

1.攻擊吸引。（1）部署蜜罐。通過“以點到面”的方式，分布化的在蜜罐的基礎(chǔ)之上構(gòu)建蜜網(wǎng)及蜜場，建立起動態(tài)異構(gòu)化的分布式蜜罐模型。部署類型：在虛擬化層和業(yè)務(wù)層分別部署。虛擬化層面向網(wǎng)絡(luò)底層數(shù)據(jù)，由防御方操縱，業(yè)務(wù)層面向新型網(wǎng)絡(luò)犯罪分子。（2）威脅引流。針對存在威脅的數(shù)據(jù)，誘導犯罪攻擊者深層次地進入網(wǎng)絡(luò)。（3）誘餌設(shè)置。通過設(shè)置高甜度的誘餌，達到高捕獲率，吸引更多的新型網(wǎng)絡(luò)攻擊。在數(shù)據(jù)底層獲取線索，查獲犯罪集團的蛛絲馬跡。

2.仿真牽制。仿真牽制的目的是高度仿真，充分交互，讓攻擊者停留時間更長。在蜜網(wǎng)系統(tǒng)的更新下，仿真牽制設(shè)置要以真實系統(tǒng)部署為核心展開，即確保均在真實的網(wǎng)絡(luò)中進行虛擬漏洞利用，使網(wǎng)絡(luò)資源高度真實化。系統(tǒng)仿真首先要以增強對網(wǎng)絡(luò)犯罪分子的誘騙能力為前提，確保系統(tǒng)的高時延性、高交互性。其次是業(yè)務(wù)仿真，可視化的業(yè)務(wù)平臺是網(wǎng)絡(luò)犯罪攻擊方業(yè)務(wù)交互的第一步，直接決定著犯罪分子對網(wǎng)絡(luò)的信任度。

3.溯源捕獲。溯源網(wǎng)絡(luò)犯罪攻擊方的行為與身份是溯源捕獲的關(guān)鍵，要以蜜罐還原入侵的目的為出發(fā)點對整個網(wǎng)絡(luò)進行全回溯追蹤。溯源捕獲包含了攻擊鏈取證和黑客畫兩部分。攻擊鏈取證是與網(wǎng)絡(luò)犯罪案件的案情結(jié)合，更好地與其他證據(jù)相互印證。黑客畫像是網(wǎng)絡(luò)取證的表象化描述，這一階段要求通過主動取證收集信息，掌握犯罪方的關(guān)鍵性線索。

4.安全防護處理。安全防護處置是基于蜜罐技術(shù)缺乏安全性所產(chǎn)生的。安全防護主要包括攻擊反側(cè)、失陷處置兩個方面。為了更有效應(yīng)對當下網(wǎng)絡(luò)安全應(yīng)急與響應(yīng)的未知挑戰(zhàn)，還需聯(lián)動內(nèi)外網(wǎng)的情報分析。對于外部網(wǎng)絡(luò)而言，需要進行攻擊反側(cè)。對于內(nèi)部網(wǎng)絡(luò)而言，需要失陷處置。對于網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接等新型網(wǎng)絡(luò)犯罪攻擊而言，需內(nèi)外網(wǎng)相結(jié)合，將所獲情報進行聯(lián)動。

從拒絕服務(wù)攻擊維度出發(fā)，對不同類型的網(wǎng)絡(luò)攻擊采用不同的方法分析新型網(wǎng)絡(luò)犯罪下的攻擊模式[5]。攻擊識別方法（圖2）包括：主機負荷檢測方法、網(wǎng)絡(luò)流量標記方法、攻擊模式分析方法。一是主機負荷檢測。構(gòu)建主機級別的誘騙模型，提升系統(tǒng)的安全性，吸引犯罪方留下更多數(shù)據(jù)。防護體系包含了三大類：傳統(tǒng)的被動防護、高交互蜜罐、網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。將傳統(tǒng)被動防護和高交互蜜罐結(jié)合，暫停轉(zhuǎn)發(fā)數(shù)據(jù)包信息，來達到拒絕的目的。二是網(wǎng)絡(luò)流量標記。針對自動響應(yīng)蜜罐，可以采取重定向可疑流量的應(yīng)對措施，三是分析攻擊模式。構(gòu)建物理蜜罐主機與虛擬網(wǎng)絡(luò)服務(wù)相結(jié)合的防護體系，找到攻擊源的IP并隔離。

基于此，新型網(wǎng)絡(luò)攻擊防御方案需要結(jié)合新型網(wǎng)絡(luò)犯罪特征，并以蜜罐技術(shù)應(yīng)對各類網(wǎng)絡(luò)攻擊。采用以“發(fā)現(xiàn)攻擊方—分析網(wǎng)絡(luò)攻擊漏洞—數(shù)據(jù)分析—新型網(wǎng)絡(luò)犯罪證據(jù)獲取”的四層新型犯罪主動性防御分析思路。這種四層分析思路是表層到內(nèi)部的互通，突破了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪之間的壁壘。通過網(wǎng)絡(luò)攻擊數(shù)據(jù)，獲取網(wǎng)絡(luò)攻擊意圖，找到犯罪證據(jù)，應(yīng)對新型網(wǎng)絡(luò)犯罪。未來將人工智能技術(shù)與蜜罐相結(jié)合可以為網(wǎng)絡(luò)犯罪主動性防御帶來更多的可能性。