摘要：虛擬蜜網(wǎng)的三大核心技術(shù)數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析介紹及對(duì)蜜網(wǎng)發(fā)展的展望。

關(guān)鍵詞：數(shù)據(jù)控制；數(shù)據(jù)捕獲；數(shù)據(jù)分析

一、蜜網(wǎng)的介紹

當(dāng)前網(wǎng)絡(luò)技術(shù)突飛猛進(jìn)，隨著虛擬技術(shù)的發(fā)展，蜜網(wǎng)技術(shù)也得到了長足的發(fā)展。蜜網(wǎng)簡單的說就是由若干個(gè)蜜罐組成的網(wǎng)絡(luò)，蜜網(wǎng)的概念由蜜網(wǎng)項(xiàng)目組（Honeynet Project）提出，前身是1999年Lance Spitzer等人發(fā)起制作的蜜網(wǎng)技術(shù)郵件列表。

蜜網(wǎng)是從蜜罐技術(shù)基礎(chǔ)上發(fā)展起來的，蜜罐技術(shù)側(cè)重于使用單個(gè)系統(tǒng)進(jìn)行引誘攻擊，蜜網(wǎng)側(cè)重于在整個(gè)內(nèi)部網(wǎng)絡(luò)形成一個(gè)誘捕框架，在內(nèi)部網(wǎng)絡(luò)各個(gè)子網(wǎng)設(shè)置虛擬蜜罐，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的高度監(jiān)控。另外，蜜網(wǎng)架構(gòu)注重整合資源，將真實(shí)的系統(tǒng)、蜜罐系統(tǒng)、各種服務(wù)、防火墻及入侵檢測等資源有機(jī)結(jié)合在一起，具有多層次的數(shù)據(jù)控制機(jī)制，全面的數(shù)據(jù)捕獲機(jī)制，并能夠輔助研究人員對(duì)捕獲的數(shù)據(jù)進(jìn)行深入分析。因此蜜網(wǎng)也可以理解為一個(gè)集防火墻、入侵檢測、數(shù)據(jù)分析軟件、各類蜜罐等于一體的綜合體。

二、蜜網(wǎng)的三大核心技術(shù)

整個(gè)蜜網(wǎng)體系主要由蜜網(wǎng)網(wǎng)關(guān)、虛擬蜜罐、物理蜜罐和監(jiān)控機(jī)組成。蜜網(wǎng)體系結(jié)構(gòu)解決了三大核心功能：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析[1]。主要涉及到的軟件是Iptables、Snort_inline、Sebek等。

2.1 數(shù)據(jù)控制

當(dāng)攻擊者攻陷蜜罐后，一般不會(huì)滿足于在所攻陷的主機(jī)上進(jìn)行操作，往往會(huì)以此主機(jī)為跳板對(duì)其他網(wǎng)絡(luò)進(jìn)行攻擊。數(shù)據(jù)控制的目的就是阻止攻擊者的這種行為，但如果完全禁止，攻擊者可能會(huì)意識(shí)到進(jìn)入防御者的圈套，從而得不到攻擊者真實(shí)的操作意圖。蜜罐的作用是引誘攻擊者攻擊，記錄攻擊者行為，一旦蜜罐被攻陷，就可能成為攻擊者攻擊整個(gè)網(wǎng)絡(luò)的跳板。因此既要通過蜜罐來引誘攻擊，分析攻擊者的行為，又要防止蜜罐被攻擊者作為跳板來攻擊整個(gè)網(wǎng)絡(luò)這樣的情況發(fā)生。數(shù)據(jù)控制就是通過設(shè)置策略限制攻擊者的活動(dòng)進(jìn)行網(wǎng)絡(luò)防護(hù)。如果攻擊者進(jìn)入蜜網(wǎng)，既要給攻擊者一定的活動(dòng)自由，也要對(duì)攻擊者的活動(dòng)進(jìn)行限制，不能讓攻擊者危害蜜網(wǎng)之外的系統(tǒng)，更不能讓攻擊者發(fā)現(xiàn)數(shù)據(jù)控制的活動(dòng)。一般通過兩種方式來進(jìn)行數(shù)據(jù)控制。

（1） 對(duì)外連接數(shù)限制

Netfilter/iptables是Linux平臺(tái)下的免費(fèi)包過濾防火墻，其中netfilter稱為內(nèi)核空間，iptables稱為用戶空間。通過添加、修改和刪除規(guī)則進(jìn)行配置防火墻。

通過防火墻iptables設(shè)置規(guī)則，嚴(yán)格控制單位時(shí)間內(nèi)向外連接數(shù)量。在rc.firewall腳本中設(shè)定對(duì)外連接數(shù)。在無人值守的情況下，可以設(shè)置向外連接數(shù)量的上限，超出這個(gè)上限的連接由防火墻進(jìn)行阻塞，并生成警告通知管理員。一般向外連接數(shù)設(shè)置在五個(gè)到十個(gè)之間。在全天候值守的前提下，也可以不設(shè)定上限，由專人觀察。

（2） 攻擊包抑制：網(wǎng)絡(luò)信息防御系統(tǒng)Snort_inline[2]

Snort_inline是通過對(duì)snort修改而產(chǎn)生的，由iptables獲取數(shù)據(jù)包并對(duì)數(shù)據(jù)包進(jìn)行檢測。如果檢測出從蜜網(wǎng)向外發(fā)出的數(shù)據(jù)包中含有異常特征，則丟棄此數(shù)據(jù)包并對(duì)管理員發(fā)出報(bào)警信息。在Snort_inline中由queue選項(xiàng)來決定對(duì)數(shù)據(jù)包的丟棄、修改或回拒。由于是通過iptables進(jìn)行檢測，檢測過程依賴于iptables的規(guī)則庫。

第三代蜜網(wǎng)對(duì)數(shù)據(jù)控制又增加了內(nèi)容。在防火墻規(guī)則上添加了黑名單、白名單、防護(hù)名單等功能。

2.2 數(shù)據(jù)捕獲

數(shù)據(jù)捕獲是蜜網(wǎng)的重要功能，只有捕獲了攻擊者的入侵?jǐn)?shù)據(jù)，才能對(duì)其進(jìn)行分析整理，才能對(duì)防火墻和入侵檢測等系統(tǒng)進(jìn)行規(guī)則調(diào)整。捕獲的數(shù)據(jù)需要傳輸?shù)搅硗獾闹鳈C(jī)上，保證所捕獲數(shù)據(jù)的安全性。

蜜網(wǎng)通過三重捕獲手段對(duì)數(shù)據(jù)進(jìn)行捕獲：一是防火墻日志；二是網(wǎng)絡(luò)流；三是系統(tǒng)活動(dòng)。

第一重捕獲手段是防火墻，防火墻記錄數(shù)據(jù)包的一些簡單信息。防火墻記錄多種數(shù)據(jù)包類型：TCP、UDP、ICMP及其他數(shù)據(jù)包。記錄的內(nèi)容主要有：包協(xié)議類型、源地址、目的地址、源端口、目的端口、進(jìn)出的網(wǎng)絡(luò)接口、包長度、數(shù)據(jù)包通過時(shí)間等。但是防火墻日志記錄的內(nèi)容不夠全面，主要是防火墻對(duì)數(shù)據(jù)包的內(nèi)容不進(jìn)行記錄，因此對(duì)攻擊行為不能做全面分析。

第二層捕獲手段是網(wǎng)絡(luò)入侵檢測系統(tǒng)snort[3]。

Snort是一個(gè)輕量級(jí)的入侵檢測系統(tǒng)，Snort有三種工作模式，分別為：嗅探器、數(shù)據(jù)包記錄器和網(wǎng)絡(luò)入侵檢測系統(tǒng)。

Snort以嗅探器模式來完成對(duì)數(shù)據(jù)的捕獲。通過tcpdump實(shí)現(xiàn)嗅探功能。

第三重捕獲手段是Sebek。

Sebek開發(fā)于Linux上，現(xiàn)在WIN，SOLARIS，OPENBSD也有相應(yīng)的sebek版本。目前sebek已經(jīng)升級(jí)到qebek版本。

2.3 數(shù)據(jù)分析

當(dāng)混合蜜網(wǎng)捕獲到攻擊者數(shù)據(jù)包信息后，如何對(duì)所捕獲的數(shù)據(jù)進(jìn)行分析，如何從大量的數(shù)據(jù)中得到有用的數(shù)據(jù)也是非常重要的。

第三代蜜網(wǎng)的數(shù)據(jù)分析采用多層次機(jī)制，包括自動(dòng)報(bào)警和輔助分析兩種機(jī)制。

自動(dòng)報(bào)警功能是通過Swatch工具實(shí)現(xiàn)，Swatch是一個(gè)用于實(shí)時(shí)監(jiān)視日志的PERL程序，通過觸發(fā)器監(jiān)視日志記錄，當(dāng)日志內(nèi)容與觸發(fā)器條件匹配時(shí)，swatch會(huì)通過Email等方式向管理員告警。

第三代蜜網(wǎng)提供了強(qiáng)大的數(shù)據(jù)分析功能，由Walleye軟件展現(xiàn)。Walleye提供了基于web的可視化網(wǎng)絡(luò)圖，從而使得管理員能夠清晰了解蜜網(wǎng)中所發(fā)生的任何攻擊事件。

三、蜜網(wǎng)的發(fā)展方向

蜜網(wǎng)作為一種網(wǎng)絡(luò)安全的主動(dòng)防御方式，目前已經(jīng)向蜜場、蜜標(biāo)、集中式蜜網(wǎng)技術(shù)等方面發(fā)展。隨著網(wǎng)絡(luò)發(fā)展的日新月異，隨著人們對(duì)網(wǎng)絡(luò)完全防護(hù)越來越重視，蜜網(wǎng)將得到更進(jìn)一步的發(fā)展。（作者單位：南京特殊教育職業(yè)技術(shù)學(xué)院）

參考文獻(xiàn)：

[1]ROBERT MCGREW.Experiences With Honeypot Systems：Development，Deployment and Analysis[J].IEEE Transactions on Software Engineering，2006：1-9

[2]BRIAN CASWELL.Snort2.0 入侵檢測[M].宋勁松等，譯.北京：國防工業(yè)出版社，2004：112-120

[3]The snort homepage[EB/OL]. http：//www.snort.org， 2012-12-15.