网络攻击陷阱技术与应用

攻击陷阱技术也叫诱骗技术，它是一种主动防御的方法，关键词主动防御，一个是蜜罐技术，另一个是陷阱网络，这两种都属于攻击陷阱，也属于诱骗，它是主动防御的方法

攻击陷阱是我在这设置一个系统，让你专门来攻击，达到消耗攻击者拥有的资源目的，加重攻击者的攻击量，迷惑攻击者，甚至可以事先掌握攻击的一些行为，跟踪攻击者，从而有效的制止攻击的一些破坏行为，形成威慑攻击者力量。

我能消耗你的资源，迷惑你，同时我能掌握你的攻击行为，分析你的攻击行为，然后做相应的防御，知己知彼，方能百战百胜，就是我要知道你怎么攻击我，你用的是什么原理，通过什么方式，那我才能够更好的去做防御，网络攻击诱骗的技术主要有两种，第一个是蜜罐主机，第二个是陷阱网络，其实两个都差不太多

蜜罐主机技术

蜜罐主机技术，包含空系统、镜像系统、虚拟系统

空系统，它是标准的机器，运行着完整的、真实的操作系统和相应的应用程序，但是它不提供服务，不提供网络服务

镜像系统，它是把真机的内容完全的复制一份，欺骗我们的攻击者有完整的应用服务。镜像系统相当于是服务器的一个镜像，server的镜像里面有完整的服务，网页、邮件，文件服务器

虚拟系统，在一台真实的物理机上面运行仿真软件，典型的vmware，virtual books等等，这些虚拟机，虚拟出多个系统来

这是一个密罐主机，一台服务器或者一台高性能的电脑

运行虚拟机，虚拟出很多个系统，linux、还有WINDOWS，在系统上都可以跑应用，跑服务，这就是蜜罐主机

陷阱网络技术

蜜罐网络技术，蜜罐网络或叫陷阱网络。陷阱网络由多个密罐主机，还有路由器、防火墙、入侵检测、审计系统共同组成，为攻击者制造一个攻击环境，供防御者研究攻击者的一些行为，以便于我们更好的去防范

陷阱网络要实现蜜罐系统，数据控制系统，数据捕获系统，数据记录分析，数据管理等等，这一系列的功能

三代陷阱网络

陷阱网络分成三代

第一代陷阱网络，它是一个完整的网络架构，包含防火墙、路由器、日志、密罐主机等等一系列的硬件设备，相当于构成了一张物理网络

物理网络就是一系列的设备，通过我们的交换机、路由器、防火墙，把它连接起来

第二代陷阱网络，它实现数据控制系统、数据捕获系统的一个集成，防火墙相当于也集成到了控制系统里面来。其实陷阱网络就包含两个东西，第一个就是密罐，第二个就是探测器，相当于一个控制系统。你一系列的攻击行为、记录分析等等都在里面

第一个可以监测非授权的一些活动，其实前面一个也能监控，第二个隐蔽性会更强，它有一个专用的控制平台，第三个可以积极的响应，限制非法的一些活动，比如修改代码字节，使攻击失效。

第三代叫虚拟陷阱网络，把所有的功能集成到一个物理的设备之上，这个设备很多厂商叫蜜罐，或者叫类似的入侵分析系统、入侵观测等等

一台物理主机，上面生成n个虚拟机，这n个虚拟机可以干所有的事情，可以实现我们前面讲的蜜罐的所有功能

陷阱网络比蜜罐要多一点，功能更丰富一些，其本质上也就是蜜罐

第三代，主要是虚拟的陷阱网络。包括上面的虚拟系统，里面都可以跑虚拟的防火墙，虚拟的入侵检测等等，这些都能虚拟出来

网络攻击陷阱技术应用

它主要是用在三个层面，第一个恶意代码的监测，可以做代码的分析，异常的监测，包括网络当中的一些隐蔽通信，从而发现高级的恶意代码、APT攻击，增强抗攻击的能力，可以防止我们网络当中不对称的响应，因为传统的一些网络防攻击的思路都是被动的，你攻击我的话，我给你阻断。

这个是防守者主动出击，主动来捉你，可以实现网络的态势感知，利用网络攻击陷阱和大数据分析，来获取网络威胁者的一些情报，掌握工具的方法、行为特征、工具来源，从而有效的进行网络态势感知

入侵容忍及系统生存技术

入侵容忍按照我们字面上的理解就是你被入侵了，被破坏了，但是我有一定的容忍度，我的数据可以恢复，我的系统不会马上瘫痪

入侵容忍是确保网络信息系统具有容忍入侵可恢复能力，保护业务持续运营的能力

1.0的安全，是把入侵者挡在系统之外，比如说出口放一个防火墙，把入侵挡在防火墙之外。2.0的理念是检测网络的威胁，阻止网络安全威胁，实现网络的安全隔离，比如说IPS，它能够在内部做一些检测和阻断的动作

3.0是容忍入侵，对网络安全威胁进行响应，使受害者系统具有可恢复性。就是你即使被破坏了，也不会马上瘫痪，而且你破坏的一些数据，是可以恢复的

国外研究人员提出了生存性的3R方法，该方法是将系统分成不可攻破的安全和可恢复的部分。比如说像linux的内核，这个一般是不可攻破的，linux底层是挺安全的，它可恢复的部分，比如数据，即使数据被破坏了。我三天就能把数据全部恢复，因为近期有做备份

3R的策略，叫抵抗、识别和恢复，比如说安全的可信根，可信计算里面的可信根，然后底层的一些最基础的安全服务，是不可攻破的

我们要实时的去做检测，发现有异常之后，组件能及时的主动的去恢复，从而使攻击者不能形成一个完整的供应链

举个例子，我们操作系统启动，有BIOS，然后再加载OS，再加载上面的应用程序，我检测到某一时刻，我的操作系统被修改了，那我及时的恢复，恢复了之后，其实你上面的一些应用程序想利用我的漏洞就利用不了了。主动恢复，门限密码，相当于做多层的一个安全防护

比如像银行的一些金库，它可能需要三个人提供钥匙才能把这个金库打开，去做多重防护，不是一个人能够决定的

我们做系统设计的时候，不能总考虑大众的，比如说我的网页，我就用阿帕奇。这个是有风险的，百分之九十的网页，如果都用阿帕奇，阿帕奇出一个漏洞，那么所有的网站都会受影响，我们要保证多样性设计，比如说网页，我去用一个非常小众的一个程序去搭，比如说数据库，我就不用oracle，也不用mysql，用一个非常小众的，去搭建数据库，这样就能保持它的多样性

就常规的这种数据库，有安全漏洞，有威胁之后可能影响不到非常规比较小众化的一些应用。这是入侵容忍以及系统生存的一些技术

入侵容忍及系统生存技术应用

弹性CA，CA就是颁证书的，颁证书的如果只有一台服务器，那这台服务器挂了，颁不了了，这时候可以搞多台CA服务器

多台CA服务器就是容忍一台服务器或者多台设备，遭受入侵，挂了之后，我的pki系统，就是颁CA证书的系统，依旧能够正常的运行。

这里面主要方法就是门限密码技术，就是由多个服务器共同去负责

区块链技术，它是一个去中心化的，一个分布式的数据库具有较强的入侵容忍能力。

比如说你的钱都放到支付宝，它后台是有一个服务器，有它的平台，如果有一天支付宝破产了，你的钱就真没了，这就是一个中心化

但是现在不是有个东西叫比特币，比特币就是一个去中心化的，它在全世界都有很多人挖矿，即使中国全部的矿机不运行了，还有美国，还有日本，还有哈萨克斯坦。还有全世界的国家，只要还有地方有矿机在运行，你上面的比特币就丢不了，所以这就是去中心化

去中心化它具有较强的入侵容忍能力，包括我们国家的金融也在探索使用区块链的技术

隐私保护技术

隐私可以分成三类身份，隐私属性，社交关系的隐私以及位置轨迹隐私。身份隐私主要是指用户的数据可以识别出用户，通过用户的数据可以分辨出用户的真实身份，比如通过你的照片，通过你的身份证号码，可以找出你的真实身份，这叫身份隐私属性

隐私就是描述用户的一些属性特性，比如说年龄，性别，薪资待遇，购物历史，这些都是你的属性隐私，社交隐私

位置隐私是用户当前的位置或者他的行为轨迹。这几类都是用户的隐私。我们国家是颁布了一个数据法，保护用户的隐私，包括我们的网络安全法。网络安全法里面也提到了针对用户的隐私，是要去保护的，随便泄露用户隐私，是犯法的

在中国这个社会，至少目前隐私保护才刚刚开始，反正你的电话号码是被无数个中介卖过无数次了，特别是你去看房，后面会接到各种各样的装修，卖家具的电话

网络安全法是明确规定，要保护用户的隐私。但是实现的过程还是一步一步走，不可能，一口吃成一个大胖子，还是需要一个过程的，无论是在中国这个社会，像隐私、版权保护，说实话都做的不好，但是我们相信随着时代的一个发展，这些会逐步的完善起来

隐私保护，它里面涉及到一些技术，首先看一下它目标，是通过对隐私数据进行安全的修改，使得修改后的数据可以公开，而不会遭受隐私的攻击。同时修改后的数据要极大程度的保证它的使用价值，就是不会泄露隐私，但是它也有使用价值

隐私保护的技术主要有两种，第一种叫k-匿名方法，匿名的方法还有一种叫差分隐私方法。可以匿名的方法，主要是对我们数据中的所有元组进行泛化的一个处理，使得它不与任何人一一的去对应

下面举个例子，比如说原始数据，它有邮编、出生年月，还有性别，疾病，这个可能它就对应着某一个人，但是我们把它泛化一下，它就可以对应很多。比如说，你的邮编我不会给你写那么详细，用星号，然后你的出生年月我也不给你写详细的日期。给你写一个粗略的，这样的话就实现了一个匿名的处理

第二个是差分隐私的方法。对我们保护的数据集添加噪声，添加噪声构成新的数据，这个数据集使得攻击者无法通过已知的内容推出原始的数据和新数据的差异，从而保护隐私。

针对隐私保护的常用技术有抑制、泛化、置换、扰动、裁剪，抑制是通过将数据制空的方法，限制数据的发布，把我们的数据制空

泛化是通过降低数据的一个精准度，通过泛化能达到匿名的效果

置换，就是改变属性的属组，把一些字段给你换掉。剪裁，将敏感信息，分开发布。比如说，有些信息，前半段可能没啥用，然而后半段有用，但是你如果没有前半段的话，他就表示不出它的实用效果。举个例子，比如说比特币密钥，前半段就是比特币的密钥，后面是一串数字，这两个分开是不是就能起到一个隐私保护的作用

扰动，在数据发布时加入噪声，比如说增删变化，使得真实的和经过修改的，没有办法去很好的区分出来，对攻击者造成干扰，这叫扰动

隐私保护技术除了用于个人信息保护之外，还可以用于网络信息的一些重要敏感数据的保护。比如说路由器的配置文件、密码文件，操作系统的一些密码文件等等，我们都通过哈希函数来处理，通过哈希函数处理来存储我们的密码，以防止数据的泄密

网络安全的前沿技术发展动向

第一个是网络威胁情报的服务，网络威胁情报现在做成了一个服务。有些是免费的，还有一些付费的服务，威胁的情报包括一些安全的漏洞，攻击的原IP，恶意的一些邮箱域名、工具等等

国内外的安全厂商和安全机构都存在不同程度的提供这些安全情报服务。一般情况是免费的，但是如果你买了，比如说安全厂商的一些硬件产品，它还会给你提供一部分免费的，就是一部分付费的，它也免费提供给你，相当于服务更周到一些

它对外公布的，有些时候是一部分，但是从目前国内的安全圈来看，像安全服务基本上厂商会把安全的情报大部分都公开

第二个发展趋势，叫同态加密技术，同态加密是指一种加密函数，加密后对密文进行相应的运算，跟明文直接进行运算，它的结果是等价的。应用场景，是委托不信任的第三方对我们的数据进行处理而不泄露

比如说你想把数据交给外包方，让他去处理，可以用同态加密技术把数据先加密之后给他。我把密文给你，你对密文的处理跟我对密文的处理结果是等价的，你去处理密文就行了，我不用把密文给你。所以我的信息是不被泄露的

第二个将敏感的信息存储在服务器里，避免从本地主机端发生泄密，还保证了数据的利用价值和搜索。典型的就是密码哈希，即使被泄露了也没关系，还原不了，去认证，去核对是没问题的，使用价值是不受影响的。但是不会发生泄密，这相当于一种同态加密技术

同态加密技术，还有一个前沿的应用叫DNS安全保障，因为现在互联网应用非常广泛，但是互联网最常用的一个业务是网页，网页大家去访问肯定不是直接输IP地址，输的是一个域名，你要把域名转换成IP地址，就需要DNS

DNS常见的一些威胁，例如域名信息被修改，域名解析的配置错误，域名劫持，还有域名软件本身的安全漏洞，域名DNS服务，如果是在linux上，是运行的软件，如果是WINDOWS上，也有DNS的一个组件，这个组件程序本身也可能有漏洞

提供DNS托管服务，其实现在大部分的DNS服务器都是托管或者是直接买的这种服务，很少有单位在内部自己建，因为自己建的话比较麻烦，你还要搞备案等等，特别难，过程特别繁琐，所以买托管服务是比较多的

第二个是灾备服务，你可以一组一备。流量管理服务，抵抗大规模ddos和dns劫持的安全服务。这一系列的服务是可以直接买的，你只要把你的DNS托管出去，或者是直接买个DNS服务，服务商直接到DNS服务商去注册域名。这些服务直接通过服务的形式去买，就不用买一些硬件设备

针对DNS严重的协议安全漏洞，任何协议都可能有漏洞，比如TCP的三次握手也有一系列的攻击和漏洞，相同的DNS也有一系列漏洞，而IETF提出了DNS安全拓展协议，为DNS解析提供数据的原身份认证、数据的完整性认证

等保2.0里边的云计算，大数据，物联网，移动互联网，还有工控安全，这些才是真正的前沿趋势