【關(guān)鍵詞】蜜罐技術(shù)；新型網(wǎng)絡(luò)犯罪；主動(dòng)取證

全球各類新型網(wǎng)絡(luò)犯罪猖獗，新的犯罪形態(tài)已從傳統(tǒng)的接觸式轉(zhuǎn)移為虛擬化非接觸式的新型網(wǎng)絡(luò)空間犯罪。各類潛在威脅造成了企業(yè)、個(gè)人用戶隱私的泄露。在維護(hù)網(wǎng)絡(luò)安全事件的過程中，被動(dòng)防御技術(shù)作為應(yīng)對(duì)網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)的主力軍具有一定的局限性。面對(duì)日趨復(fù)雜的未知網(wǎng)絡(luò)犯罪手段，主動(dòng)取證可以有效應(yīng)對(duì)網(wǎng)絡(luò)犯罪偵查工作中“被動(dòng)挨打”的局面，做出更有效地響應(yīng)和處理。故在網(wǎng)絡(luò)攻擊主動(dòng)式防御技術(shù)背景下，通過對(duì)新型網(wǎng)絡(luò)犯罪情報(bào)特征的研判，將蜜網(wǎng)技術(shù)應(yīng)用于新型網(wǎng)絡(luò)犯罪偵查取證中可以為案件調(diào)查、偵查取證、定罪量刑提供便捷。

一、基于蜜罐技術(shù)的主動(dòng)取證技術(shù)

（一）蜜罐技術(shù)的原理

蜜罐概念最早是由于CLIFFSTOLL應(yīng)用其追蹤了一起商業(yè)間諜案件而出現(xiàn)，此后應(yīng)用于網(wǎng)絡(luò)安全防護(hù)中[1]。蜜罐又稱為網(wǎng)絡(luò)誘餌，在對(duì)黑客進(jìn)行信息收集階段，制作出虛假的信息，進(jìn)行數(shù)據(jù)的欺騙，其內(nèi)容包括但不限于數(shù)據(jù)庫、代碼、子域名文件、敏感信息。通過模擬包含漏洞的主機(jī)系統(tǒng)，給攻擊方提供一種容易攻擊的目標(biāo)，進(jìn)入蜜罐系統(tǒng)的所有連接均會(huì)被視為可疑狀態(tài)。其入侵過程會(huì)實(shí)時(shí)記錄和審計(jì)攻擊者的攻擊流量、行為和數(shù)據(jù)，可用于分析攻擊者所使用的工具和方法，便于安全人員后期增強(qiáng)防范措施。

（二）蜜罐技術(shù)的類型

根據(jù)攻擊者與蜜罐系統(tǒng)的交互程度，分為低交互蜜罐、中交互蜜罐、高交互蜜罐三類[2]418-420。低交互蜜罐是利用程序模仿功能模擬犯罪攻擊者請(qǐng)求的服務(wù)，其模擬化程度較低又被稱為偽蜜罐系統(tǒng)。在Windows系統(tǒng)的虛擬機(jī)程序以及Linux的腳本功能均可以實(shí)現(xiàn)偽蜜罐系統(tǒng)的部署。中交互蜜罐能提供較高程度的交互信息，記錄和分析更復(fù)雜的攻擊手段，模仿真實(shí)操作系統(tǒng)的各種行為。高交互蜜罐負(fù)責(zé)運(yùn)營有可入侵的漏洞的最真實(shí)的系統(tǒng)，能夠記錄最真實(shí)的數(shù)據(jù)，快速吸引目標(biāo)并接受攻擊（例如被溢出、奪取權(quán)限），研究各類系統(tǒng)下犯罪攻擊者的行為軌跡，又稱實(shí)蜜罐系統(tǒng)。

（三）蜜罐技術(shù)的優(yōu)劣勢(shì)

優(yōu)勢(shì)：（1）主動(dòng)性。當(dāng)黑客或者新型網(wǎng)絡(luò)犯罪團(tuán)伙使用工具進(jìn)行嗅探、查找關(guān)鍵詞時(shí)很容易陷入蜜罐陷阱，自以為找到關(guān)鍵漏洞而在蜜罐中徘徊，同時(shí)也會(huì)觸發(fā)網(wǎng)站后臺(tái)的報(bào)警機(jī)制。（2）技術(shù)的可擴(kuò)展性。在蜜罐相對(duì)成熟的情況下，可以將蜜罐進(jìn)一步擴(kuò)展為蜜網(wǎng)、蜜場(chǎng)以及分布式蜜罐技術(shù)。這進(jìn)一步保障了防御方從各個(gè)流程多角度構(gòu)建高仿真場(chǎng)景，有效地牽制黑客，并且達(dá)到溯源作用。將反滲透技術(shù)加入蜜罐陷阱里可獲取攻擊者的社交媒體身份，IP等更多信息。分布式蜜罐技術(shù)充分利用閑置的服務(wù)端口，在真實(shí)的系統(tǒng)中大范圍進(jìn)行布置，提升了犯罪方踩到蜜罐的命中率，使得蜜罐相對(duì)于安全弱點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)的防御性更高。

劣勢(shì)：（1）基于現(xiàn)有的蜜罐類型，出現(xiàn)了一些改進(jìn)后的創(chuàng)新型蜜罐，但仍存在入侵可能性高、捕獲信息少、易被識(shí)別的缺陷。（2）蜜罐系統(tǒng)的不穩(wěn)定性，主要表現(xiàn)為捕獲結(jié)果存在差異，將蜜罐系統(tǒng)應(yīng)用于惡意數(shù)據(jù)捕獲、詐騙數(shù)據(jù)分析時(shí)的數(shù)據(jù)可能會(huì)出現(xiàn)前后不一致的現(xiàn)象。（3）蜜罐偵查技術(shù)和手段的發(fā)展給蜜罐系統(tǒng)的防護(hù)模式帶來了新的威脅，主要表現(xiàn)為蜜罐反偵查技術(shù)的發(fā)展減弱了蜜罐捕獲攻擊作用，因此蜜罐系統(tǒng)需要不斷更新升級(jí)，提高技術(shù)的魯棒性。

二、新型網(wǎng)絡(luò)犯罪的特點(diǎn)

（一）形態(tài)特征

新形態(tài)的網(wǎng)絡(luò)犯罪攻擊在表現(xiàn)形態(tài)上呈現(xiàn)高度隱蔽化、欺騙集群化的特征。在新型網(wǎng)絡(luò)犯罪態(tài)勢(shì)呈指數(shù)級(jí)增長(zhǎng)的情況下，黑客和網(wǎng)絡(luò)犯罪分子、犯罪集團(tuán)通過虛擬的網(wǎng)絡(luò)環(huán)境發(fā)起各類高度隱蔽化、未知威脅的新型網(wǎng)絡(luò)攻擊，包括了零日攻擊、APT攻擊、0day漏洞、勒索病毒、系統(tǒng)入侵等，導(dǎo)致新型網(wǎng)絡(luò)犯罪層出不窮。

（二）類型特征

根據(jù)互聯(lián)網(wǎng)犯罪投訴中心的數(shù)據(jù)，當(dāng)前新形態(tài)的網(wǎng)絡(luò)犯罪類型從有痕的接觸式的網(wǎng)絡(luò)空間向無痕的虛擬網(wǎng)絡(luò)空間轉(zhuǎn)變。1.網(wǎng)址嫁接和網(wǎng)絡(luò)釣魚[3]57。網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接是指引誘人們透露密碼，登錄信息和信用卡號(hào)碼等個(gè)人信息的欺詐行為。這是當(dāng)前我國所有記錄在案的網(wǎng)絡(luò)犯罪中犯罪率最高的一種類型，受害者人數(shù)逐年增加。通過欺詐行為引誘受害者透露個(gè)人信息。2.未付款和未交付。這是一種買賣雙方在一方先履行后另一方不履行的欺詐行為?；ヂ?lián)網(wǎng)投訴中心的數(shù)據(jù)共計(jì)記錄了10.9萬次。3.勒索[3]58。在網(wǎng)絡(luò)空間犯罪者主要使用勒索軟件、比特幣敲詐病毒（CTB-Locker）[4]來獲取訪問受害者的文件和設(shè)備的權(quán)限，并且在金融領(lǐng)域進(jìn)行貨幣交換、加密貨幣、禮品卡、贖金等不法交易行為。

三、蜜罐系統(tǒng)的網(wǎng)絡(luò)犯罪分析

（一）核心技術(shù)機(jī)制

1.構(gòu)建誘騙環(huán)境

構(gòu)建誘導(dǎo)場(chǎng)景需要設(shè)計(jì)一種高交互型、高技術(shù)化、高隱蔽性的網(wǎng)絡(luò)攻擊模型。核心思想是主動(dòng)化防御，構(gòu)建誘導(dǎo)層。思路是構(gòu)建“決策和誘導(dǎo)”體系，組建具有高度可擴(kuò)展性的環(huán)境。首先需要監(jiān)聽收集存在攻擊的事件，根據(jù)攻擊方泄露的信息，誘導(dǎo)資源信息庫中的記錄進(jìn)行比較后制定誘導(dǎo)或欺騙的策略。這里的攻擊事件包括了網(wǎng)絡(luò)數(shù)據(jù)包、主機(jī)的訪問行為、訪問日志等。其次向系統(tǒng)提供重定向的目標(biāo)、蜜信、復(fù)合型的欺騙性信息，將攻擊者的連接轉(zhuǎn)向蜜網(wǎng)系統(tǒng)，與攻擊方充分交互，獲取犯罪數(shù)據(jù)。對(duì)于公安機(jī)關(guān)打擊犯罪而言，需要通過不斷延長(zhǎng)欺騙時(shí)間來沉淀數(shù)據(jù)、分析數(shù)據(jù)、分析攻擊的目標(biāo)與目的、使用的工具、造成的影響。

2.捕獲攻擊行為

捕獲是核心機(jī)制中的關(guān)鍵，只有捕獲到攻擊行為才有可能深入到犯罪分析的內(nèi)部數(shù)據(jù)。通過欺騙和誤導(dǎo)提高犯罪分子對(duì)網(wǎng)絡(luò)的信任度。這一階段主要捕獲網(wǎng)絡(luò)流量、操作系統(tǒng)記錄、日志等一些威脅行為，并對(duì)數(shù)據(jù)進(jìn)行控制。由于MySQL的溢出注入代碼隱秘性很高，在網(wǎng)絡(luò)中沒有MySQL數(shù)據(jù)庫的情況下也會(huì)有MySQL的溢出注入痕跡。因此，即使在MySQL數(shù)據(jù)庫中捕獲到了Java反序列化漏洞、流量，并不代表捕獲成功。在蜜罐系統(tǒng)下構(gòu)建主機(jī)級(jí)別的誘騙場(chǎng)景，可以提高系統(tǒng)的穩(wěn)定性，避免這種“空捕獲”的情況。

3.分析威脅數(shù)據(jù)

威脅數(shù)據(jù)相當(dāng)于分析層，主要任務(wù)是分析誘捕環(huán)境中收集到的信息，其主要目的是溯源攻擊、攻擊手段分析、威脅情報(bào)生成。數(shù)據(jù)分析作為蜜罐技術(shù)的基本功能，對(duì)于網(wǎng)絡(luò)案件的偵查起著重要作用。難點(diǎn)在于分析存在攻擊威脅的數(shù)據(jù)。系統(tǒng)將所作的欺騙和誘導(dǎo)事件都記錄到日志中，由分析模塊分析，調(diào)整欺騙誘導(dǎo)策略，最終整體化分析得到結(jié)果。

（二）系統(tǒng)的構(gòu)建

蜜網(wǎng)是一種包含多個(gè)類型蜜罐設(shè)備的網(wǎng)絡(luò)體系結(jié)構(gòu)，其結(jié)構(gòu)中主要集成了邊界過濾與控制設(shè)備、系統(tǒng)行為記錄與數(shù)據(jù)分析等模塊[2]510-520，用于應(yīng)對(duì)各類潛在的網(wǎng)絡(luò)攻擊。蜜網(wǎng)技術(shù)作為蜜罐誘捕的進(jìn)一步優(yōu)化擴(kuò)展，可以更為全面地獲取網(wǎng)絡(luò)安全防御中的攻擊數(shù)據(jù)。構(gòu)建靈活且動(dòng)態(tài)的蜜網(wǎng)系統(tǒng)需要各個(gè)控制端與網(wǎng)絡(luò)業(yè)務(wù)的協(xié)同配合。

（三）基于蜜網(wǎng)的新型網(wǎng)絡(luò)犯罪流程

通過梳理文獻(xiàn)和模擬仿真，提出新型網(wǎng)絡(luò)犯罪背景下，基于蜜罐技術(shù)的網(wǎng)絡(luò)漏洞攻擊防御流程。主要包括四個(gè)階段（圖1）即攻擊吸引、仿真牽制、溯源捕獲、安全防護(hù)處理。

具體的防御取證流程如下：

1.攻擊吸引。（1）部署蜜罐。通過“以點(diǎn)到面”的方式，分布化的在蜜罐的基礎(chǔ)之上構(gòu)建蜜網(wǎng)及蜜場(chǎng)，建立起動(dòng)態(tài)異構(gòu)化的分布式蜜罐模型。部署類型：在虛擬化層和業(yè)務(wù)層分別部署。虛擬化層面向網(wǎng)絡(luò)底層數(shù)據(jù)，由防御方操縱，業(yè)務(wù)層面向新型網(wǎng)絡(luò)犯罪分子。（2）威脅引流。針對(duì)存在威脅的數(shù)據(jù)，誘導(dǎo)犯罪攻擊者深層次地進(jìn)入網(wǎng)絡(luò)。（3）誘餌設(shè)置。通過設(shè)置高甜度的誘餌，達(dá)到高捕獲率，吸引更多的新型網(wǎng)絡(luò)攻擊。在數(shù)據(jù)底層獲取線索，查獲犯罪集團(tuán)的蛛絲馬跡。

2.仿真牽制。仿真牽制的目的是高度仿真，充分交互，讓攻擊者停留時(shí)間更長(zhǎng)。在蜜網(wǎng)系統(tǒng)的更新下，仿真牽制設(shè)置要以真實(shí)系統(tǒng)部署為核心展開，即確保均在真實(shí)的網(wǎng)絡(luò)中進(jìn)行虛擬漏洞利用，使網(wǎng)絡(luò)資源高度真實(shí)化。系統(tǒng)仿真首先要以增強(qiáng)對(duì)網(wǎng)絡(luò)犯罪分子的誘騙能力為前提，確保系統(tǒng)的高時(shí)延性、高交互性。其次是業(yè)務(wù)仿真，可視化的業(yè)務(wù)平臺(tái)是網(wǎng)絡(luò)犯罪攻擊方業(yè)務(wù)交互的第一步，直接決定著犯罪分子對(duì)網(wǎng)絡(luò)的信任度。

3.溯源捕獲。溯源網(wǎng)絡(luò)犯罪攻擊方的行為與身份是溯源捕獲的關(guān)鍵，要以蜜罐還原入侵的目的為出發(fā)點(diǎn)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全回溯追蹤。溯源捕獲包含了攻擊鏈取證和黑客畫兩部分。攻擊鏈取證是與網(wǎng)絡(luò)犯罪案件的案情結(jié)合，更好地與其他證據(jù)相互印證。黑客畫像是網(wǎng)絡(luò)取證的表象化描述，這一階段要求通過主動(dòng)取證收集信息，掌握犯罪方的關(guān)鍵性線索。

4.安全防護(hù)處理。安全防護(hù)處置是基于蜜罐技術(shù)缺乏安全性所產(chǎn)生的。安全防護(hù)主要包括攻擊反側(cè)、失陷處置兩個(gè)方面。為了更有效應(yīng)對(duì)當(dāng)下網(wǎng)絡(luò)安全應(yīng)急與響應(yīng)的未知挑戰(zhàn)，還需聯(lián)動(dòng)內(nèi)外網(wǎng)的情報(bào)分析。對(duì)于外部網(wǎng)絡(luò)而言，需要進(jìn)行攻擊反側(cè)。對(duì)于內(nèi)部網(wǎng)絡(luò)而言，需要失陷處置。對(duì)于網(wǎng)絡(luò)釣魚和網(wǎng)址嫁接等新型網(wǎng)絡(luò)犯罪攻擊而言，需內(nèi)外網(wǎng)相結(jié)合，將所獲情報(bào)進(jìn)行聯(lián)動(dòng)。

從拒絕服務(wù)攻擊維度出發(fā)，對(duì)不同類型的網(wǎng)絡(luò)攻擊采用不同的方法分析新型網(wǎng)絡(luò)犯罪下的攻擊模式[5]。攻擊識(shí)別方法（圖2）包括：主機(jī)負(fù)荷檢測(cè)方法、網(wǎng)絡(luò)流量標(biāo)記方法、攻擊模式分析方法。一是主機(jī)負(fù)荷檢測(cè)。構(gòu)建主機(jī)級(jí)別的誘騙模型，提升系統(tǒng)的安全性，吸引犯罪方留下更多數(shù)據(jù)。防護(hù)體系包含了三大類：傳統(tǒng)的被動(dòng)防護(hù)、高交互蜜罐、網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。將傳統(tǒng)被動(dòng)防護(hù)和高交互蜜罐結(jié)合，暫停轉(zhuǎn)發(fā)數(shù)據(jù)包信息，來達(dá)到拒絕的目的。二是網(wǎng)絡(luò)流量標(biāo)記。針對(duì)自動(dòng)響應(yīng)蜜罐，可以采取重定向可疑流量的應(yīng)對(duì)措施，三是分析攻擊模式。構(gòu)建物理蜜罐主機(jī)與虛擬網(wǎng)絡(luò)服務(wù)相結(jié)合的防護(hù)體系，找到攻擊源的IP并隔離。

基于此，新型網(wǎng)絡(luò)攻擊防御方案需要結(jié)合新型網(wǎng)絡(luò)犯罪特征，并以蜜罐技術(shù)應(yīng)對(duì)各類網(wǎng)絡(luò)攻擊。采用以“發(fā)現(xiàn)攻擊方—分析網(wǎng)絡(luò)攻擊漏洞—數(shù)據(jù)分析—新型網(wǎng)絡(luò)犯罪證據(jù)獲取”的四層新型犯罪主動(dòng)性防御分析思路。這種四層分析思路是表層到內(nèi)部的互通，突破了網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)犯罪之間的壁壘。通過網(wǎng)絡(luò)攻擊數(shù)據(jù)，獲取網(wǎng)絡(luò)攻擊意圖，找到犯罪證據(jù)，應(yīng)對(duì)新型網(wǎng)絡(luò)犯罪。未來將人工智能技術(shù)與蜜罐相結(jié)合可以為網(wǎng)絡(luò)犯罪主動(dòng)性防御帶來更多的可能性。