隨著攻防演習日益實戰化、常態化使得蜜罐從十幾年的老安全技術煥發新春，基于蜜罐演進而來的欺騙防御也因此而名聲大噪，越來越多的安全廠商已經將資源投入到此技術領域。

在最近信通院組織的蜜罐產品能力評測中，參與的主流廠商有36家之多。蜜罐技術火熱的背后，是蜜罐技術可有效彌補當前網絡安全防御方案短板的巨大推力，同時，趨于常態化的攻防演習也是最大的催化劑之一。

在過去的攻防演習中，蜜罐不僅展示出面向攻擊優秀的誘捕和溯源能力，在日常安全運維中也體現出了不可或缺的獨特價值，這可能才是蜜罐真正的生命力。

基于對蜜罐技術的研究，結合對開源蜜罐項目和商用欺騙防御類產品的調研和分析，本文將從對當前蜜罐產品使用的新技術介紹出發，來看未來欺騙防御的發展走向。

1. 環境仿真

傳統蜜罐通常提供的是“單維”的仿真，仿真特定的主機、服務、應用環境等;而最新的蜜罐則需要的是“多維”的仿真能力，在之前的基礎上，可以結合用戶真實網絡或業務環境去定制環境仿真配置和數據。從而提供一個和用戶真實環境相近、能夠有效迷惑攻擊者的仿真誘捕環境。

試想，如果一個完整的虛擬環境，部署在用戶真實網絡之前，不僅可以有效推遲攻擊者進攻的步伐，還可以獲得攻擊者的攻擊方式和行為邏輯等信息。

環境仿真技術主要包括軟件仿真技術、容器仿真技術、虛擬機仿真技術等，幾類仿真技術所能提供的仿真能力和支持仿真的類型示意如下：

幾類仿真技術簡要對比如下：

2. 攻擊誘導

攻擊誘導的目標就是通過技術手段在攻擊者進入網絡后主動引誘攻擊者進入到泥沼當中不能自拔，在有限的仿真環境下提升命中率。常見的攻擊誘導技術包括：誘餌投放、流量轉發、虛擬IP等。在典型攻防演習場景中，攻擊誘導技術可以將主動權互換，成為防守方獲取主動權的利器。

2.1. 誘餌投放

誘餌是投放在互聯網或企業內網里的各種留給攻擊者的虛假情報，很多情報是都極具誘惑力，誘導攻擊者快速進入被控狀態。

根據類型和用途不同，可以分為日志誘餌、證書誘餌、賬戶誘餌、郵件誘餌、項目代碼誘餌等。誘餌包括IP地址、用戶賬戶、服務應用路徑、密碼本等信息，當攻擊者獲取誘餌里的信息后，一般會順藤摸瓜，沿著誘餌里線索提供的主機、服務、應用進行深入滲透，進而將攻擊者引誘到陷阱之中。誘餌投放工作示意圖如下：

2.2. 流量轉發

通過流量轉發可以實現將攻擊者試圖訪問正常資產的攻擊流量主動轉發到仿真環境里。常見的流量轉發實現技術包括網絡轉發和主機轉發。

• 主機轉發：一般需要在主機上部署探針軟件，探針用于監測客戶未使用的網絡端口來虛擬真實服務，通過探針將試圖訪問這些端口的異常連接請求轉發到仿真環境里;
• 網絡轉發：根據威脅線索通過動態調整網關設備策略等方式來將異常流量直接導入到仿真環境里。

流量轉發工作示意圖如下所示：

2.3. 虛擬IP

虛擬IP，顧名思義就是給單個主機綁定多個IP地址，通過在仿真環境里將IP資源綁定到蜜罐誘捕環境上來批量生成虛擬資產，提高蜜罐的覆蓋率，增加攻擊者攻擊蜜罐的概率。

虛擬IP工作示意圖如下所示：

3. 溯源反制

傳統的基于IP的溯源方法對攻擊者的身份信息獲取十分有限，很難及時對攻擊者進行有效溯源和反制。蜜罐系統則給了防守方以反制攻擊者的機會，通過蜜罐里預設的反制手段，主動獲取攻擊者主機或者網絡的信息，來更準確的定位攻擊者的身份，實現更精準的溯源。在典型攻防演習場景中，防守方只需要獲得虛擬身份即可，一個優秀的蜜罐系統完成這個任務可謂手到擒來。

常用的溯源反制技術包括：WEB反制、掃描反制、密標文件反制等方式。

3.1. WEB反制

攻擊者在瀏覽網站或WEB應用頁面時，會下載頁面數據、腳本文件在用戶本地解析執行、渲染展示。利用這個特性，將反制腳本嵌入到正常的網站或WEB應用頁面里，攻擊者訪問時也會將反制腳本自動下載到攻擊者本地運行來獲取溯源信息。

WEB反制是較常用的反制手段，可獲取的典型溯源信息包括：

• 獲取攻擊者主機操作系統和瀏覽器的特性信息，包括攻擊者主機的操作系統類型、操作系統時區、屏幕分辨率、瀏覽器指紋、瀏覽器類型、瀏覽器版本等信息;
• 通過應用的JSONP漏洞獲取攻擊者主機上曾經使用過的社交賬號、攻擊者手機號等個人信息;
• 對攻擊者本地端口進行掃描，獲取攻擊者本機開放端口等數據;

WEB反制工作示意圖如下所示：

3.2. 掃描反制

攻擊者在實施攻擊時大多數情況都會使用掃描器或攻擊工具，利用掃描對象、掃描器或攻擊工具的漏洞可以在攻擊者進行掃描或嘗試攻擊的同時，反向來獲取攻擊者的身份信息。

通過在仿真環境里預設一些針對特定服務、掃描工具的反制模塊，當攻擊者采用這類工具實施掃描或攻擊時會觸發對應反制模塊，實現讀取攻擊者設備指紋和身份信息來實現反制。當前部分欺騙防御產品里已使用了掃描反制技術，較常用的掃描反制手段包括MySQL反制、SQLMap反制、AWVS反制等。

掃描反制工作示意圖如下所示：

3.3. 蜜標反制

蜜標文件多采用攻擊者感興趣的文件類型或文件名稱，通過代碼捆綁等技術向該文件中嵌入特定數據和代碼，通過構造場景引誘攻擊者去訪問、下載蜜標文件，當攻擊者下載并在本地打開蜜標文件時，就會觸發內嵌代碼，記錄并回傳攻擊主機和攻擊者特征信息來實現溯源和反制。

蜜標反制工作示意圖如下所示：

采用蜜標文件來反制對防守方安全能力要求較高，需結合用戶業務環境特點來制作蜜標文件，同時將蜜標文件部署在攻擊者較容易訪問的位置才能取得更好的效果。

4. 未來欺騙防御發展預測

攻防演習已向常態化與實戰化邁進，攻防演習雖不提蜜罐，但處處是蜜罐，但此蜜罐非彼蜜罐，筆者更傾向于稱其為“欺騙防御”或“仿真誘捕”技術，傳統的利用高交互蜜罐一招溯源攻擊者的歷史一去不復返，而復雜的可以和真實計算環境融合的新一代欺騙防御技術和產品需求會越來越旺盛。全球知名的IT研究與顧問咨詢公司Gartner評價“欺騙防御”技術是對現有安全防護體系產生深遠影響的安全技術。在Gartner 2020年安全運營技術成熟度曲線報告中，分析師將“欺騙平臺”這項技術放在了“期望膨脹期”，并將目前的成熟度定義為“青春期”，預計該技術會在5至10年后達到成熟并被廣泛使用。

基于最新蜜罐技術演進分析，結合當前欺騙防御行業發展態勢，筆者認為未來幾年欺騙防御市場和產品發展將有以下幾個趨勢。

4.1. 欺騙防御技術應用會更廣泛

欺騙防御作為主動防御的范疇，在多個領域都能發揮他獨特的價值。應用到威脅監測方面利用它誤報低的優點，可以作為常態化運維監測工具使用，也可以將其作為一個引擎或者模塊集成到其他安全產品里，賦能其他產品提供威脅誘捕的能力;應用到溯源領域，利用多種反制手段，可以提供對攻擊的精確溯源;同時，欺騙防御可以產出高質量的本地威脅情報，這些情報數據可以和本地比如WAF、FW進行聯動或者集成來提高全網主動防御能力。正是由于欺騙防御在多個領域均有著重要作用，因此未來欺騙防御技術勢必應用也會更加廣泛。

4.2. 集合網絡測繪技術的計算環境仿真

誘捕環境能否有效迷惑攻擊者，關鍵還得看誘捕環境是否能仿得足夠真，較簡單的仿真環境，較容易被攻擊者識破，很難有效拖延攻擊者的攻擊行為。為了有效提升誘捕環境的仿真度，通過集合網絡測繪技術來對用戶網絡進行測繪，基于測繪的結果來仿真出跟用戶真實網絡近似的誘捕網絡，同時，基于測繪的結果自動去優化攻擊誘導策略來提高成功誘捕攻擊的概率，打造一個貼近用戶真實網絡，可以有效迷惑攻擊者、主動誘導攻擊行為的誘捕網絡環境，將能有效助力威脅誘捕能力的提升。

4.3. 仿真模板行業化、業務化

將仿真基礎能力和仿真業務能力松耦合，產品提供仿真基礎能力支撐，采用模板來管理和維護行業化、業務化的仿真業務能力;通過系統自動學習，或者提供直觀、簡便的接口支持用戶自定義等方式來生成仿真模板，支持通過模板實現仿真業務能力的共享。這樣可以大大提高欺騙防御產品部署時業務適配的靈活性和效率，有助于提升產品和行業業務的貼合度，有利于加速欺騙防御產品的應用和推廣。

4.4. 溯源仍然是未來重點之一

傳統的溯源手段對攻擊者的身份信息獲取十分有限，面臨定位不準、取證調查難等諸多困難。采用欺騙防御可以提供更加精準的溯源手段，能夠更準確的定位攻擊者的身份，為防守方提供更精準的溯源能力。因此，溯源能力仍然是欺騙防御類產品的未來重點方向之一。隨著攻防對抗的演進，所采取的溯源反制手段也需同步迭代，同時反制手段需結合用戶業務環境特點去定制化才能取得更好的效果，因此，投入成本相對較高，主要應用在大中型企事業機構和對溯源有強需求的場景里使用。