摘 要：針對(duì)當(dāng)前網(wǎng)絡(luò)技術(shù)的快速發(fā)展和安全問題的日益突出，在主動(dòng)防御系統(tǒng)流行的當(dāng)下，本文介紹了網(wǎng)絡(luò)安全中的蜜罐技術(shù)，結(jié)合企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的特點(diǎn)，給出蜜罐系統(tǒng)在企業(yè)網(wǎng)絡(luò)安全中配置和部署，闡述了蜜罐系統(tǒng)關(guān)鍵技術(shù)的實(shí)現(xiàn)和應(yīng)用。

關(guān)鍵詞：蜜罐技術(shù)；企業(yè)網(wǎng)絡(luò)安全；部署；重定向；日志

1 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的規(guī)模在不斷擴(kuò)大，各行各業(yè)都得益于網(wǎng)絡(luò)應(yīng)用，但同時(shí)也面臨著日益嚴(yán)重的網(wǎng)絡(luò)安全問題?，F(xiàn)代網(wǎng)絡(luò)安全的威脅主要有病毒、蠕蟲以及特洛伊木馬等等，除此之外，我們還可能遭受到不同類型的網(wǎng)絡(luò)攻擊，蜜罐技術(shù)引入了主動(dòng)防御的思想，利用各種監(jiān)控和分析技術(shù)檢測(cè)和研究黑客們正在或有可能使用的攻擊方法，幫助人們了解黑客攻擊的過程、技術(shù)和思想，并能及時(shí)發(fā)現(xiàn)已知或未知的系統(tǒng)漏洞及網(wǎng)絡(luò)安全隱患，進(jìn)而保護(hù)企業(yè)網(wǎng)絡(luò)資源，它已經(jīng)成為一種新的網(wǎng)絡(luò)安全解決方案[1]。

2 蜜罐技術(shù)

2.1 蜜罐

“蜜網(wǎng)項(xiàng)目組”的創(chuàng)始人Lance Spitzner對(duì)蜜罐的定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷[2]。這個(gè)定義表明所有流入、流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷，蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。蜜罐可以僅僅是一個(gè)對(duì)其他系統(tǒng)和應(yīng)用的仿真，也可以創(chuàng)建一個(gè)監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個(gè)標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)[3]。

2.2 蜜網(wǎng)

蜜網(wǎng)技術(shù)則是在蜜罐技術(shù)基礎(chǔ)上逐步發(fā)展過來的。在蜜網(wǎng)體系架構(gòu)中，可以部署一個(gè)或多個(gè)蜜罐，同時(shí)保證網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對(duì)攻擊信息的采集和分析。蜜網(wǎng)技術(shù)將蜜罐技術(shù)用于直接防護(hù)大型的目標(biāo)網(wǎng)絡(luò)，即在安全操作中心部署蜜罐，在各個(gè)內(nèi)部子網(wǎng)或關(guān)鍵主機(jī)上設(shè)置一系列的重定向器，若檢測(cè)到目前的網(wǎng)絡(luò)數(shù)據(jù)流或系統(tǒng)活動(dòng)是攻擊者所發(fā)起時(shí)，則將蜜網(wǎng)中的某臺(tái)蜜罐動(dòng)態(tài)配置成與目標(biāo)機(jī)相似的環(huán)境，并通過重定向器將攻擊者流量重定向到這臺(tái)蜜罐上，并由蜜網(wǎng)中部署的一系列數(shù)據(jù)捕獲和數(shù)據(jù)分析工具對(duì)攻擊行為進(jìn)行收集、分析和記錄[4]。

3 企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)

企業(yè)網(wǎng)絡(luò)面臨的主要問題及威脅可以從技術(shù)和管理兩個(gè)角度來看。系統(tǒng)技術(shù)層面主要包括網(wǎng)絡(luò)系統(tǒng)自身的脆弱性、操作系統(tǒng)的不安全性和數(shù)據(jù)庫與應(yīng)用程序的脆弱性；在建設(shè)及管理層面主要問題是：主觀安全意識(shí)薄弱、安全建設(shè)缺乏整體規(guī)劃和一致性、缺乏安全管理機(jī)制和策略配置失當(dāng)。往往由于管理不當(dāng)和疏忽帶來的危險(xiǎn)最大。我們要做的就是利用蜜罐技術(shù)的主動(dòng)防御特點(diǎn)來彌補(bǔ)企業(yè)網(wǎng)絡(luò)安全的某些漏洞。

網(wǎng)絡(luò)安全體系架構(gòu)是信息安全體系架構(gòu)的一個(gè)子集，同時(shí)，網(wǎng)絡(luò)安全體系架構(gòu)有其自身的特點(diǎn)。在企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)中最重要的環(huán)節(jié)包括身份認(rèn)證、授權(quán)管理、證書管理和資源管理?？蛻舳丝梢允褂枚嘀卣J(rèn)證，只要確保合法用戶在使用對(duì)應(yīng)合法主機(jī)和已注冊(cè)的IP地址。統(tǒng)一認(rèn)證和授權(quán)服務(wù)器管理用戶訪問權(quán)限，使用戶從Internet或從內(nèi)網(wǎng)訪問企業(yè)網(wǎng)絡(luò)資源都必須先認(rèn)證身份的合法性，獲得相應(yīng)的讀取權(quán)限，以達(dá)到限制用戶訪問范圍或進(jìn)行其他業(yè)務(wù)操作的目的；證書服務(wù)器則負(fù)責(zé)管理企業(yè)內(nèi)所有用戶的證書生成和頒發(fā)，相當(dāng)于權(quán)威證書頒發(fā)中心；資源管理服務(wù)器負(fù)責(zé)監(jiān)控和管理服務(wù)器資源和其他網(wǎng)絡(luò)資源。其體系結(jié)構(gòu)圖如圖1所示：

4 蜜罐技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

4.1 蜜罐的配置和部署

蜜罐的配置模型主要包括數(shù)據(jù)捕獲模塊、數(shù)據(jù)控制模塊、蜜罐群、日志模塊和響應(yīng)模塊。其中，數(shù)據(jù)捕獲模塊捕獲系統(tǒng)的一切數(shù)據(jù)；數(shù)據(jù)控制模塊作為系統(tǒng)的控制中心，監(jiān)控一切可疑行為，并協(xié)調(diào)各部分工作；日志模塊專門負(fù)責(zé)對(duì)系統(tǒng)產(chǎn)生的日志進(jìn)行統(tǒng)計(jì)分析，以獲取攻擊者的動(dòng)機(jī)、方法和工具等信息；響應(yīng)模塊則對(duì)可疑行為進(jìn)行自動(dòng)的響應(yīng)[6]。其關(guān)系結(jié)構(gòu)如圖2所示：

企業(yè)網(wǎng)絡(luò)防御系統(tǒng)一般結(jié)合虛擬技術(shù)搭建蜜網(wǎng)?？梢杂袃深?，一類是把它的各個(gè)組成部分都安裝在單一的一臺(tái)機(jī)器上。另一類是并不局限與一臺(tái)機(jī)器，而是把它的組成部分分開在多臺(tái)機(jī)器上部署。我們蜜罐的部署位置可以參照?qǐng)D3所示：

蜜罐B部署在防火墻的DMZ區(qū)，隱藏于各類服務(wù)器中，當(dāng)有攻擊者掃描攻擊的時(shí)候，可以檢測(cè)到攻擊。蜜罐B偽裝成各種服務(wù)器，不易被攻擊者察覺，只要有進(jìn)出的流量，便可認(rèn)為是攻擊。這是我們主要的部署位置。

如果要檢測(cè)內(nèi)部入侵，參照蜜罐C部署在內(nèi)部網(wǎng)絡(luò)，可以滿足需要，這也是一種常見的部署方式。

如果目標(biāo)是檢測(cè)和響應(yīng)突破安全防線后的攻擊行為，阻止攻擊行為的蔓延蜜罐，可參照D部署在網(wǎng)絡(luò)防火墻之后。

4.2 關(guān)鍵技術(shù)實(shí)現(xiàn)

4.2.1 重定向技術(shù)

重定向程序能夠?qū)?duì)服務(wù)器組的訪問按照定義的策略決定是否重定向到帶蜜站點(diǎn)。如我們可以通過IDS監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)安全策略對(duì)服務(wù)器訪問數(shù)據(jù)進(jìn)行監(jiān)控，識(shí)別針對(duì)服務(wù)器以及網(wǎng)絡(luò)的攻擊行為，主動(dòng)將攻擊者引誘到已部署好的相應(yīng)蜜罐。被動(dòng)指紋識(shí)別技術(shù)和虛擬蜜罐技術(shù)[7]二者結(jié)合起來可以實(shí)現(xiàn)動(dòng)態(tài)選擇蜜罐的功能。重定向可以在兩種模式下進(jìn)行，一種是代理模式，另外一種是直接響應(yīng)模式。兩者區(qū)別是，代理模式下從外部看不到帶蜜服務(wù)器，只能看到服務(wù)器組內(nèi)主機(jī)的IP地址。直接響應(yīng)該模式下，重定向程序?qū)⑼獠窟B接請(qǐng)求轉(zhuǎn)發(fā)到帶蜜服務(wù)器，由帶蜜服務(wù)器直接與外部建立一個(gè)連接，其顯示的IP地址是帶蜜服務(wù)器的真實(shí)IP地址。

4.2.2 日志審計(jì)分析

捕獲黑客行為信息只是完成了工作的第一步，對(duì)于這些捕獲到的黑客行為信息我們還要保證它們?cè)诰W(wǎng)絡(luò)上的安全傳輸。我們把蜜罐主機(jī)、服務(wù)器組和日志查看審計(jì)的主機(jī)設(shè)置在不同的系統(tǒng)內(nèi)，這種連接方式可以保證一定的安全性。即使黑客攻陷了服務(wù)器組或者蜜罐主機(jī)，它并不能夠立即破壞網(wǎng)絡(luò)蜜罐以前記錄的信息，因?yàn)檫@些信息已經(jīng)被及時(shí)傳送到日志審計(jì)分析主機(jī)。日志審計(jì)分析程序能對(duì)黑客行為進(jìn)行分析提取出有價(jià)值的信息。如通過審計(jì)能夠提取黑客源地址，通過分析能夠按照黑客訪問“帶蜜”文件的安全級(jí)別確定黑客的動(dòng)機(jī)等等。

4.2.3 系統(tǒng)設(shè)置和管理

一方面管理員必須對(duì)蜜罐主機(jī)上WEB站點(diǎn)和FTP站點(diǎn)進(jìn)行配置管理，使得該站點(diǎn)符合“蜜罐”的特殊要求。另一方面為保證蜜罐系統(tǒng)本身的安全，我們要更改服務(wù)默認(rèn)主目錄，設(shè)定對(duì)主目錄的訪問權(quán)限等；設(shè)置IP地址過濾，既保證當(dāng)確認(rèn)有攻擊行為時(shí)可以記錄攻擊源地址，只允許來自這個(gè)源地址的連接訪問蜜罐主機(jī)，又避免了傷及無辜，還也避免系統(tǒng)搜集到過多的無用數(shù)據(jù)；設(shè)置當(dāng)前連接查看對(duì)攻擊進(jìn)程進(jìn)行動(dòng)態(tài)監(jiān)控，當(dāng)發(fā)現(xiàn)連接異常的時(shí)候，可以主動(dòng)斷開該連接。通過系統(tǒng)管理工具的這些配置，構(gòu)建一個(gè)比較合理高效的蜜罐主機(jī)。

5 結(jié)語

本文從企業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的特點(diǎn)和重要組成從發(fā)，介紹了蜜罐技術(shù)在企業(yè)網(wǎng)絡(luò)安全應(yīng)用中的優(yōu)勢(shì)、配置模型和部署，闡述了其核心技術(shù)的實(shí)現(xiàn)。可以說，蜜罐技術(shù)的引入，不僅可以追蹤和記錄黑客行為，也可以欺騙黑客進(jìn)入一個(gè)受控環(huán)境中，消耗黑客大量的時(shí)間和資源，間接阻止或減緩黑客對(duì)真正系統(tǒng)的攻擊，是一種較理想的主動(dòng)防御策略。

[參考文獻(xiàn)]

[1]沈煜.面向蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)防御系統(tǒng)研究[J].信息安全與技術(shù)，2011.4.

[2]Lance Spitzner.The Honeynet Project：Trapping the Hackers [J].IEEE Security privacy，2003，l（2）：15～23.

[3]K.Duraiswamy，G.Palanivel.Intrusion Detection System in UDP Protocol [C].International Journal of Computer Science and Network Security.Vol.10，No.3 Mar 2010：1～5.

[4]諸葛建偉，吳智發(fā)，張芳芳，等.利用蜜網(wǎng)技術(shù)深入剖析互聯(lián)網(wǎng)安全威脅 [J].中國(guó)計(jì)算機(jī)大會(huì)（CNCC’2005），2005.10.

[5]馮度，孫星明，劉智勇.網(wǎng)絡(luò)安全中的蜜網(wǎng)技術(shù)應(yīng)用研究[J].科學(xué)技術(shù)與工程，2008.8（11）：2858～2860.

[6]蔣賢維.淺析引導(dǎo)型蜜罐群在網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2011.10.

[7]楊謙，謝志強(qiáng).虛擬安全[M].科學(xué)出版社，2010.8.