网络威胁包括任何可能通过未经授权的访问对信息系统造成潜在损害的事件。针对工业、政府和个人网络中关键资产的新型网络威胁数量每年都在增加。此外,这些威胁会释放出具有改进的恶意特征的不同变体,使其更加复杂且难以检测。例如,2016 年首次发现了 Mirai 僵尸网络的存在。Mirai 是由攻击者控制的一群僵尸程序,它们可以对物联网(IoT)网络中的设备发起分布式拒绝服务(DDoS)攻击。攻击者并没有满足于 Mirai 的当前版本,他们设计了不同的变体,如 Persirai(Kolias 等人,2017;Wang,2022),以便在不被检测的情况下更好地执行恶意活动。安全报告显示,在 Mirai 出现后,僵尸网络的数量增加了一倍(Javadpour 等人,2022a,b)。
鉴于网络威胁对计算机网络影响的严重性,网络防御者试图设计工具来检测和分析未知威胁,并预防危险的威胁。尽管设计了不同的安全机制来检测和预防攻击,如威胁监测系统、防火墙、IPSec 和入侵检测系统(IDSs),但它们在(1)检测零日和未知威胁以及(2)深入分析攻击者行为方面都不够高效。然而,蜜罐是一种欺骗性工具,能够帮助网络防御者实现上述两个目标(Valero 等人,2020;Javadpour
等人,2023a;Sangaiah 等人,2023a,b;Javadpour 等人,2017;Hedayati 和
Mostafavi,2021)。
蜜罐使攻击者不知所措并浪费他们的资源,给攻击者造成不确定性,阻碍他们实现其恶名昭著的目标。它们使用欺骗技术领先于攻击者。“蜜罐” 这个后缀定义了各种吸引攻击者注意力的欺骗技术。蜜罐是吸引攻击者的陷阱,通过欺骗他们来监控其活动,并提供有吸引力的信息和服务。从攻击者的角度来看,蜜罐拥有有价值的信息并提供真实的服务。然而,蜜罐的信息和服务是虚假的,旨在提取攻击者的行为模式。
蜜罐使用的欺骗策略对网络有以下优点。首先,攻击者对其窃取数据价值的确定性降低。由于攻击者在困惑时会变得更加活跃,我们可以捕获更多关于其行为的信息。其次,攻击者浪费了时间和其他资源,这些资源被保留在关键网络部分之外。此外,攻击者对被欺骗的危险感会阻止他们发起网络攻击(Toor 和 Bhandari,2017;Javadpour 等人,2023b)。
蜜罐具有三个主要功能,即检测、预防和研究。对于检测功能,蜜罐在检测网络攻击方面相对于其他安全工具的优势在于其低误报率。由于合法用户不会与蜜罐交互,其误报率几乎为零。这种优势帮助蜜罐比其他工具更好地检测零日攻击。关于预防功能,蜜罐的三个方面如下:(1)减缓攻击者的速度,(2)即使网络上没有部署安全机制,也能给攻击者造成一种危险感,(3)浪费攻击者的资源。蜜罐在网络安全研究中起着至关重要的作用,它通过收集关于攻击者活动和反应的全面数据来实现这一点。这些丰富的信息对于研究人员仔细研究和分析攻击者行为模式至关重要。这些模式为攻击者不断演变的策略和战术提供了宝贵的见解,从而形成一种更明智、更具战略性的方法来加强网络安全防御。这种更深入的理解不仅为开发更强大的安全工具提供了信息,还有助于主动识别和缓解新兴威胁,有助于构建一个更具弹性和主动性的网络安全环境(Almeshekah 和 Spafford,2016)。
网络中有不同类型的蜜罐部署方法,例如Minefield(Doubleday et al.,2016)、Shield(fan et al.,2015)和Honeyfield(Van et al.,2017a)。一般来说,具有一个或多个蜜罐的欺骗性网络,尽管部署类型不同,但称为蜜网(Han et al.,2016)。
互联网、内部正常主机和单个蜜罐可以通过路由器相互连接。蜜罐可以提供虚假服务,例如Web和数据库相关服务。到蜜罐的流量可以首先通过Honeywall,例如Roo(Ganesarathinam et al.,2020),它可以由IDS支持,例如Snort(Koziol,2003)。IPtable还可以限制蜜罐和真实系统之间的通信Gautam et al.(2015)。
这篇论文被引用为Ferguson-Walter等人(2021),旨在应对不断上升的全球网络攻击威胁和对先进网络安全措施的迫切需求。该研究分析了一项涉及130名专业红队队员的实验数据,这些队员参加了一项受控网络渗透测试。目的是评估包括网络和心理方面的防御性欺骗如何影响攻击者。通过比较攻击者在各种实验条件下的进展,该研究调查了诱饵系统在网络防御中的有效性。研究结果表明,与没有欺骗的控制条件相比,当采用诱饵和明确承认欺骗的组合时,对网络攻击行为的影响最大。本文介绍了过去15年对蜜罐及其欺骗技术进行的研究工作。该领域存在多项调查;其中包括最近的Fraunholz等人(2018年)、Razali等人(2018年)、Zobal等人(2019年)、Seungjin等人(2020年)和Lackner(2021年)进行的研究。然而,这些研究人员并没有提到蜜罐的欺骗技术。此外,现有文献中明显缺乏对欺骗方法的比较分析。本文通过对蜜罐研究及其相关欺骗技术进行全面回顾来解决这些差距。调查包括比较分析和模拟结果,以提供有价值的见解。重要的是要澄清,本文侧重于与蜜罐相关的挑战及其欺骗技术,而不是深入研究反蜜罐技术的描述或检查,这与对手用来检测蜜罐存在的方法有关。此类考虑不在本文的范围内。
