一、背景概述针对网站的Web攻击是互联网安全的主要威胁。为了隐藏自己的身份,避免被追踪,黑客经常使用各种手段来隐藏自己的身份,例如:使用(动态)代理、虚拟专用网络等。攻击者的这些方法很好地隐藏了自己的信息,增加了安保人员难以溯源。虽然针对Web攻击的防御技术和溯源技术也在不断发展,例如:IDS、WAF、基于日志/流量的溯源等,但这些技术往往处于被动防御状态,或者溯源信息不充分,并且难以应对复杂多变的攻击手段。问题一:攻击流量隐藏在大量合法流量中,难以被发现和识别。IDS和WAF虽然强大,但仍然存在误报或误报的可能,也存在因自身漏洞或规则不完善而被绕过的可能。问题2:即使识别出攻击后,基于IP黑名单机制也能阻断攻击源头,但如果攻击者切换出口IP,如何在发起新的攻击前有效识别攻击行为仍是未知数适用于IDS和WAF等安全产品。有功能。问题三:如果攻击者在攻击过程中使用(动态)代理、虚拟专用网等手段,传统的基于Web日志和网络流量的追踪技术无法有效定位攻击者的身份或位置。二、本文研究目的图1研究目标是弥补传统安全防御技术的不足,为网络犯罪溯源提供证据。通过不同网站之间的协作或信息共享机制,有效识别网络攻击,定位攻击者的身份或位置,感知潜在的试探性攻击。三、相关技术1、浏览器指纹技术图2浏览器指纹技术概述浏览器在与网站服务器进行交互时,会向网站暴露很多不同的信息,例如浏览器型号、浏览器版本、操作系统等信息。正如一个人的指纹可以用来识别不同的人一样,当浏览器暴露的信息熵足够高时,网站可以利用这些信息来识别、跟踪和定位用户。图3浏览器指纹技术能力应用该技术进行攻击溯源。即使黑客使用(动态)代理、虚拟专用网络等,收集指纹信息的“溯源脚本”也可以反向到达客户端浏览器并被触发执行,从而获取与黑客更相关的信息。其中,可收集的信息不仅包括客户端的系统字体、系统语言、浏览器插件、时区偏移、Canvas、内外网IP等设备信息,还包括攻击者的键盘记录器、访问过的网站、甚至特定的行为信息,例如网站帐户(具有JSONP漏洞)。(“溯源脚本”是基于JavaScript代码实现的)二、网络欺骗技术图4网络欺骗技术概述网络欺骗是针对网络攻击的一种防御方法(或策略),目的是使攻击者相信目标系统具有有价值的、可利用的安全弱点(虚假的或不重要的),从而将攻击者引向这些错误的资源,以达到检测攻击、阻断攻击、记录攻击行为的目的。其中,蜜罐是一种常见的网络欺骗技术。除了蜜罐技术外,还有蜜饵、蜜网、虚拟网络拓扑等多种欺骗技术实现方式。图5网络欺骗技术通常,攻击者在试图攻击网站之前,都会有一些固有的方法来收集目标网站的信息,例如:子域爆破、高危端口扫描、敏感目录扫描、Web漏洞扫描等。.针对不同的攻击方式,可以采用不同的欺骗手段来迷惑攻击者,例如:针对子域名爆破行为,部署虚假网站,绑定子域名;4.应用场景1.应用场景-专用欺骗环境图6专用欺骗环境架构部署专用网络欺骗环境,如:注册子域名,故意绑定虚假web业务系统;部署虚假网站登录、注册页面(用于抓取攻击者的手机号、邮箱等信息);部署有漏洞的Weblogic并对外开放等。同时,所有“欺骗性信息或服务”均不对外发布,只能通过一定的技术手段访问,普通用户通常不会执行此操作手术。2.应用场景-常规网站防护图7网站后台防护架构在真实业务系统的管理员登录页面部署一个“溯源脚本”,不仅可以收集攻击者的指纹信息,还可以在攻击者使用同一台设备进行攻击时多个针对业务系统管理员登录页面进行攻击时,还可以通过浏览器指纹关联攻击事件。(注:管理员设备的指纹信息已被粉饰)图8网站整体防护结构此外,还可以在网站首页部署一个“溯源脚本”,收集所有用户的指纹信息,与行为客户端指纹共享)以感知潜在的启发式攻击。这种应用场景的优势在于,在分析网站和发现漏洞的过程中,攻击者可以从大量的正常流量中识别出来。3.应用场景-注入WebShell图9追踪Webshel??l当发现网站被攻击者入侵并留下WebShell后门时,除了做好网络和机器隔离外,可以暂时不清除木马文件,而是在其中插入“溯源脚本”,等待攻击者再次访问,从而获取与攻击者关联性强的指纹信息,为溯源取证提供依据。五、优缺点1、本方案的优点:(1)无误报。所构建的欺骗环境不会发布到互联网上,普通用户是看不到的,只能通过一定的手段才能发现。对这些虚假资源的任何访问都被视为潜在攻击,因此不存在误报。因此,相比传统的IDS、WAF等安全防护产品,基于网络欺骗技术,可以从大量合法流量中识别出攻击流量,不会误报。(2)提高漏报率即使黑客在攻击过程中使用了大量的代理服务器,出口IP地址也是不断变化的。基于浏览器指纹识别技术,可以及时发现同一设备发起的试探性攻击行为,进而阻断攻击。(备注:在实际使用中需要考虑浏览器指纹的碰撞率。)因此,与基于IP黑名单的防御机制相比,基于设备指纹的黑名单机制可以更快地检测、跟踪和预防攻击(即使攻击者使用大量代理服务器),从而减少误报的发生。(3)增强的溯源性与仅依靠服务器获取信息的溯源性相比,基于浏览器指纹技术,可以收集到与攻击者更相关的客户端信息,甚至是其社交平台的账号(需要一定的先决条件),以增强溯源和取证能力。2、该方案的不足:(1)指纹碰撞和指纹关联问题首先,不同客户端之间采集的指纹信息可能存在指纹碰撞,即不同设备的指纹被认为是同一个设备。同时,由于切换网络环境、更新浏览器、切换浏览器等原因,存在同一设备指纹信息不一致的情况。因此,如何采集更多有区别的客户端特征属性以降低碰撞率,以及如何实现跨浏览器、跨设备的指纹跟踪是实际应用中需要考虑的问题。
