隨著攻防演習日益實戰(zhàn)化、常態(tài)化使得蜜罐從十幾年的老安全技術(shù)煥發(fā)新春，基于蜜罐演進而來的欺騙防御也因此而名聲大噪，越來越多的安全廠商已經(jīng)將資源投入到此技術(shù)領域。在最近信通院組織的蜜罐產(chǎn)品能力評測中，參與的主流廠商有36家之多。蜜罐技術(shù)火熱的背后，是蜜罐技術(shù)可有效彌補當前網(wǎng)絡安全防御方案短板的巨大推力，同時，趨于常態(tài)化的攻防演習也是最大的催化劑之一。在過去的攻防演習中，蜜罐不僅展示出面向攻擊優(yōu)秀的誘捕和溯源能力，在日常安全運維中也體現(xiàn)出了不可或缺的獨特價值，這可能才是蜜罐真正的生命力。

基于對蜜罐技術(shù)的研究，結(jié)合對開源蜜罐項目和商用欺騙防御類產(chǎn)品的調(diào)研和分析，本文將從對當前蜜罐產(chǎn)品使用的新技術(shù)介紹出發(fā)，來看未來欺騙防御的發(fā)展走向。

1. 環(huán)境仿真

傳統(tǒng)蜜罐通常提供的是“單維”的仿真，仿真特定的主機、服務、應用環(huán)境等；而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎上，可以結(jié)合用戶真實網(wǎng)絡或業(yè)務環(huán)境去定制環(huán)境仿真配置和數(shù)據(jù)。從而提供一個和用戶真實環(huán)境相近、能夠有效迷惑攻擊者的仿真誘捕環(huán)境。試想，如果一個完整的虛擬環(huán)境，部署在用戶真實網(wǎng)絡之前，不僅可以有效推遲攻擊者進攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環(huán)境仿真技術(shù)主要包括軟件仿真技術(shù)、容器仿真技術(shù)、虛擬機仿真技術(shù)等，幾類仿真技術(shù)所能提供的仿真能力和支持仿真的類型示意如下：

2. 攻擊誘導

攻擊誘導的目標就是通過技術(shù)手段在攻擊者進入網(wǎng)絡后主動引誘攻擊者進入到泥沼當中不能自拔，在有限的仿真環(huán)境下提升命中率。常見的攻擊誘導技術(shù)包括：誘餌投放、流量轉(zhuǎn)發(fā)、虛擬IP等。在典型攻防演習場景中，攻擊誘導技術(shù)可以將主動權(quán)互換，成為防守方獲取主動權(quán)的利器。

2.1. 誘餌投放

誘餌是投放在互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)里的各種留給攻擊者的虛假情報，很多情報是都極具誘惑力，誘導攻擊者快速進入被控狀態(tài)。

根據(jù)類型和用途不同，可以分為日志誘餌、證書誘餌、賬戶誘餌、郵件誘餌、項目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務應用路徑、密碼本等信息，當攻擊者獲取誘餌里的信息后，一般會順藤摸瓜，沿著誘餌里線索提供的主機、服務、應用進行深入滲透，進而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉(zhuǎn)發(fā)

通過流量轉(zhuǎn)發(fā)可以實現(xiàn)將攻擊者試圖訪問正常資產(chǎn)的攻擊流量主動轉(zhuǎn)發(fā)到仿真環(huán)境里。常見的流量轉(zhuǎn)發(fā)實現(xiàn)技術(shù)包括網(wǎng)絡轉(zhuǎn)發(fā)和主機轉(zhuǎn)發(fā)。

1、主機轉(zhuǎn)發(fā)：一般需要在主機上部署探針軟件，探針用于監(jiān)測客戶未使用的網(wǎng)絡端口來虛擬真實服務，通過探針將試圖訪問這些端口的異常連接請求轉(zhuǎn)發(fā)到仿真環(huán)境里；

2、網(wǎng)絡轉(zhuǎn)發(fā)：根據(jù)威脅線索通過動態(tài)調(diào)整網(wǎng)關設備策略等方式來將異常流量直接導入到仿真環(huán)境里。

流量轉(zhuǎn)發(fā)工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個主機綁定多個IP地址，通過在仿真環(huán)境里將IP資源綁定到蜜罐誘捕環(huán)境上來批量生成虛擬資產(chǎn)，提高蜜罐的覆蓋率，虛擬主機，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3. 溯源反制

傳統(tǒng)的基于IP的溯源方法對攻擊者的身份信息獲取十分有限，很難及時對攻擊者進行有效溯源和反制。蜜罐系統(tǒng)則給了防守方以反制攻擊者的機會，通過蜜罐里預設的反制手段，主動獲取攻擊者主機或者網(wǎng)絡的信息，來更準確的定位攻擊者的身份，實現(xiàn)更精準的溯源。在典型攻防演習場景中，防守方只需要獲得虛擬身份即可，directadmin安裝，一個優(yōu)秀的蜜罐系統(tǒng)完成這個任務可謂手到擒來。

常用的溯源反制技術(shù)包括：WEB反制、掃描反制、密標文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網(wǎng)站或WEB應用頁面時，會下載頁面數(shù)據(jù)、腳本文件在用戶本地解析執(zhí)行、渲染展示。利用這個特性，將反制腳本嵌入到正常的網(wǎng)站或WEB應用頁面里，攻擊者訪問時也會將反制腳本自動下載到攻擊者本地運行來獲取溯源信息。WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：