转载

网络蜜罐技术探讨

*原创作者：bt0sea，本文属FreeBuf原创奖励计划，未经许可禁止转载

在FreeBuf发表的第一篇有关蜜罐文章（传送门），引起了业界不小的轰动，但是上篇文章主要是和大家探讨服务型蜜罐的技术细节和实现方法，网络蜜罐没有涉及到。那么本篇文章和大家聊聊网络蜜罐。

为什么要研究网络蜜罐？

A）服务型蜜罐伪装欺骗的毕竟是被动的，如果可以从网络层面对APT攻击行为做强制性诱导，而不是被动的等待黑客上钩，更能体现蜜罐安全价值。

B）如果向用户提供企业级安全解决方案，需要一整套闭环安全生态系统。光有服务型蜜罐有些单一，目前业界解决方案，有三个方向，模拟数据中心服务的蜜罐，基于沙箱技术的客户端的蜜罐，和网络型诱导蜜罐。第一项是基础，客户端蜜罐很多终端安全安全厂商都有很完备的解决方案，唯独网络型诱导蜜罐，目前没有一个成熟的技术解决方案，所以。。。

C）网络型蜜罐和现有的DPI网络分析设备、网络型DLP有啥区别，怎么体现其探测未知威胁的能力优于后两者？

主动防御时代结束，被动感知时代来临

为什么基于签名技术的检测在企业实际运营中作用不大，机器学习可以帮助你

恶意代码和行为检测作为抵御黑客和网络犯罪分子防御的第一道防线。它主要应用两个的技术：基于签名的技术和基于异常检查的技术。基于签名的检测是旧的技术，可以追溯到20世纪90年代，并在识别已知的威胁非常有效。每个签名是代码或动作模式的字符串对应于已知的攻击或恶意代码，网络通信和文件可以针对这种签名的数据库进行检查，以查看是否有任何已知威胁存在。它无法检测到恶意代码或不具有签名和威胁形势使得它难以保持这样的签名名单最新事件。据赛门铁克报道称，近百万新的威胁每天都释放。

那么，恶意软件如何改变呢？在其中在代码指令被写入的方式可以改变，或者同时保持其功能性的语法改变。变质恶意软件是更复杂的，因为它能够自身改变为与每个新鲜感染一个完全新的实例，而多态恶意软件用不同的加密密钥，每次加密本身。此代码突变使得独特的签名生成极其困难。

启发式技术主要是利用机器学习算法和数据挖掘的方法来识别嵌入在运行程序的恶意指标。机器学习算法有学习和当暴露在数据的适应能力。通过分析已知恶意软件的活动，一个程序可以开发寻找和检测新威胁的模式和确定未知程序就是恶意软件的可能性的能力。使用基于云的机器学习，以及先进的集群和数据挖掘技术的，也增加了速度和恶意软件分析的效率。

网络蜜罐的核心技术

诱导是蜜罐的核心价值所在，那么怎么才能把攻击者诱导进入到蜜罐网络呢？可以在网络层对进入内网流量进行全量分析，使用DNS sinkhole concept的概念去重定向botnet对外连接流量。

检测可疑和 botnet 服务器通讯的 DNS 流量，当检测到相关流量，它会更改 botnet 服务器 DNS 地址从定向到我指定的蜜罐服务器上，在沙箱的环境中，监控和分析 botnet 网络行为和特征。

其原理如下：

网络蜜罐技术探讨

能重定向最重要的是对botnet域名的判断。也就是说通过机器学习的方式挖掘出恶意DNS域名。

分析DNS可疑流量可以通过：

a) Domain Generation Algorithm

b) Fast Flex Service Networks

c) URL/IP blacklist domain database （连接外部威胁情报）

那么我们先研究一下botnet，以及防御手段。分析DNS流量来判断botnet应该是这其中的核心功能，那么具体怎么实现的呢？

Botnet类型	解析方式	防御手段
传统Botnet	IP硬编码解析	直接通过DPI检测引擎对http协议深度解析，发现异常连接。硬编码的IP容易通过在二进制码内的字串段批量regex扫描抓到。
	单一网络僵尸域名解析	监控全网DNS请求 DGA算法拦截，包括监控免费的二级域名等手段
	遍历域名列表方式解析	把每个域名解析指向的IP的历史数据按照IP做一次group by就抓住了
	轮换网络僵尸域名+轮换IP地址	通过图论或其他统计方法判别C&C服务和感染的IP。机器学习算法利用判别fast flux的僵尸网络
P2P Botnet	通过p2p协议	加密流量异常处理
TOR Botnet	通过tor 协议	加密流量异常处理

DPI网络安全设备与网络蜜罐欺骗技术技术对比

这块技术涉及到网络流量分析厂商，那么我们先分析一下这些厂商。使用传统网络流量分析技术，确定标准流量模式的基准线(例如异常的DNS流量说明可能有僵尸网络流量)，并对异常模式进行标注，代表着一个被入侵的环境。这种方法实现了实时检测，能够囊括匿名和非匿名技术，不需要端点代理。

厂商名称	技术特点
Damballa	分析技术集中在L7层，主要是针对DNS查询、HTTP请求以及BIN文件下载做严格过滤。分析payload上下问内容，联动云端大数据威胁分析服务跟踪设备ID分析网络行为 C&C连接危险动作
Fidelis	deep session inspection 加密文件传送
lancope	已经被cisco收购，技术比较先进，使用大数据分析方法但是公开资料太少，希望cisco售前工程师可以贡献一些资源出来。
Sourcefire AMP	也被cisco收购，比较牛逼的是文件轨迹追溯功能。

在这里我着重介绍一下DLP数据防泄漏解决方案，当然主要是网络数据防泄密模块。

到目前为止，市面上的DLP产品，只能解析7层明文协议（http、smtp、ftp、msn），并且把其中网络携带的附件截取下来，然后做内容检索。完成网络层发现敏感信息的过程。如果要实现阻断功能，那只能借助反垃圾邮件网关和代理服务器，分别对smtp和http协议阻断。

内容识别技术	描述
描述内容匹配	关键字和正则匹配，针对通用文档。例如：正则匹配：车牌号： ^.[a-z]{1}[a-z\|0-9]{1}[0-9]{4}$ 车架号：^[a-z\|0-9]{17}$ 关键字：绝密/机密/保密/秘密 or 商秘密/商机密/商绝密 or 仅限/内参/内部使用/不得扩散/不得外传/切勿外传/内部资料/机要文件/注意保管
结构化数据匹配	主要是针对数据库中的记录进行匹配，例如：HR表中的手机号和名字，防止外泄。
非结构化数据匹配	事先把需要抓取文件做指纹匹配按照百分比匹配，主要是针对office、pdf等。
机器学习方式匹配	使用训练方法，给你一定数量非机密文档和机密文档，通过机器学习的方法，让它预测下一个文档到底是不是机密文档。

系统架构：

网络蜜罐技术探讨

回到正题，网络蜜罐技术对比表

技术方向	重点
网络蜜罐	使用DNS天坑技术诱骗进入蜜网判断botnet连接，并且报警（使用大数据方法）对http协议深度分析，建议使用WAF分析引擎 L7 深度解包引擎
DPI	判断botnet连接，并且报警 L7 深度解包引擎
DLP	检测网络泄密数据内容识别引擎 L7 深度解包引擎