程靜

基于動態(tài)蜜罐技術(shù)的虛擬網(wǎng)絡(luò)設(shè)計

程靜

（霍山縣委黨校信息化辦公室，安徽六安237200）

通過利用蜜罐技術(shù)和網(wǎng)絡(luò)掃描技術(shù)完成動態(tài)網(wǎng)絡(luò)蜜罐的設(shè)計,以設(shè)計一個動態(tài)自適應(yīng)虛擬網(wǎng)絡(luò)系統(tǒng)為目標來實現(xiàn)對真實網(wǎng)絡(luò)環(huán)境的虛擬模擬與動態(tài)信息收集，從而配置一個與實際網(wǎng)絡(luò)拓撲結(jié)構(gòu)十分類似的虛擬網(wǎng)絡(luò)，用以誘騙攻擊、轉(zhuǎn)移攻擊，對于消解黑客攻擊帶來的威脅、掌握黑客攻擊特性與新型攻擊方式很有幫助.

蜜罐技術(shù)；網(wǎng)絡(luò)掃描技術(shù)；動態(tài)蜜罐網(wǎng)絡(luò)；虛擬網(wǎng)絡(luò)

信息技術(shù)和網(wǎng)絡(luò)計算機的快速發(fā)展為國家經(jīng)濟發(fā)展和社會民生帶來了眾多便利，其積極的作用使得網(wǎng)絡(luò)應(yīng)用延伸到了人們生活與工作的各個方面，面對這種龐大的應(yīng)用需求，加強網(wǎng)絡(luò)安全建設(shè)工作勢在必行.目前由于對互聯(lián)網(wǎng)的發(fā)展與應(yīng)用缺乏一勞永逸的管理手段，所以網(wǎng)絡(luò)應(yīng)用中安全問題較多，安全管理形勢十分嚴峻，網(wǎng)絡(luò)上運行的每一臺電腦都有可能是被攻擊的對象，造成個人信息泄露、經(jīng)濟損失甚至是危害國家安全.目前網(wǎng)絡(luò)應(yīng)用領(lǐng)域的安全防護措施多數(shù)是被動模式，應(yīng)對眾多黑客復(fù)雜多變的網(wǎng)絡(luò)攻擊顯得十分吃力，尤其是在面對新型攻擊時，更是顯得力不從心，所以，積極引進高端網(wǎng)絡(luò)安全技術(shù)十分必要.動態(tài)蜜罐技術(shù)是當(dāng)前應(yīng)用較為廣泛的一種安全模式，對于指導(dǎo)當(dāng)前網(wǎng)絡(luò)安全建設(shè)研究、實踐有積極意義.本文以目前網(wǎng)絡(luò)安全管理中應(yīng)用效果較好的基于網(wǎng)絡(luò)掃描技術(shù)的動態(tài)蜜罐技術(shù)的設(shè)計、實現(xiàn)略作研究.

1 蜜罐技術(shù)與網(wǎng)絡(luò)掃描技術(shù)

1.1蜜罐定義與分類

蜜罐技術(shù)是新近發(fā)展起來的應(yīng)用全新安全理論“誘騙”的網(wǎng)絡(luò)安全技術(shù).雖然目前關(guān)于蜜罐技術(shù)的準確定義存在不少分歧與爭論，但是從其功能和特性出發(fā)，可以總結(jié)為蜜罐是通過嚴密監(jiān)控網(wǎng)絡(luò)誘騙系統(tǒng)來模擬或者再現(xiàn)網(wǎng)絡(luò)服務(wù)功能吸引黑客攻擊，并對這些攻擊行為與過程的特性進行分析，在此過程中對信息進行搜集、整合并對新攻擊進行預(yù)警，可以有效延緩受到的黑客攻擊或達到轉(zhuǎn)移攻擊目標的效果.從其應(yīng)用價值和實踐情況來看，蜜罐技術(shù)在篩選系統(tǒng)漏洞、編寫新IDS特征庫與分析分布式拒絕服務(wù)攻擊方面的價值最大［1］.

蜜罐根據(jù)交互程度可以分為低、高交互蜜罐兩種，低交互缺乏提供真實操作的系統(tǒng)環(huán)境，主要通過腳本或者自身的小程序來模擬網(wǎng)絡(luò)服務(wù)吸引攻擊，具有低風(fēng)險、部署便利、結(jié)構(gòu)簡單等特點，但是在應(yīng)用效果方面不如高交互；高交互蜜罐與低交互正相反，它是基于真實的系統(tǒng)環(huán)境進行搭建，模擬給攻擊黑客的是真實的網(wǎng)絡(luò)服務(wù)，可以在分析黑客攻擊的過程中對其運行動作進行全解析與學(xué)習(xí)，從而收集大量有效信息來延緩攻擊或轉(zhuǎn)移攻擊對象，預(yù)警下一波攻擊等，其學(xué)習(xí)能力十分強大，即使是對自己不了解的新型攻擊方式也能夠獲取有效信息，不過應(yīng)用風(fēng)險較高，黑客可能會通過開放的系統(tǒng)去攻擊其他系統(tǒng).低交互蜜罐因為自身特性所提供的眾多操作、服務(wù)都是虛擬性質(zhì)的，因此，也被成為虛擬蜜罐，高交互正好相反，因為是基于真實的應(yīng)用系統(tǒng)且需要應(yīng)用到多個獨立IP完成攻擊吸引，所被稱為物理蜜罐.在實際應(yīng)用中，高交互因為真實模擬性質(zhì)所以應(yīng)用成本也非常高，虛擬蜜罐因為虛擬模擬在資源消耗、成本花費方面較低，維護和控制工作也簡單，所以非常適合前期進行實踐研究［2］.

本文的基于網(wǎng)絡(luò)掃描技術(shù)的動態(tài)蜜罐網(wǎng)絡(luò)設(shè)計就是采用虛擬蜜罐構(gòu)建欺騙性動態(tài)虛擬網(wǎng)絡(luò).低交互虛擬蜜罐框架的搭建主要采用源代碼開放的“Honeyd”，Honeyd是尼爾·普羅沃斯所創(chuàng)建一種虛擬蜜罐框架，可以在目前在常用的Windows、UNIX系統(tǒng)上模擬運行400多種網(wǎng)絡(luò)服務(wù)和上千臺不同的計算機運行，通過在IP地址設(shè)置方面的虛擬模擬配合同樣模擬的網(wǎng)絡(luò)服務(wù)來完成誘騙［3］.這種框架支持IP協(xié)議并按照配置對眾多虛擬網(wǎng)絡(luò)服務(wù)請求做出回應(yīng)，其虛擬化的引擎操作能夠更好的適應(yīng)操作系統(tǒng)的個性化.這種虛擬框架的模擬并非是簡單的模擬操作系統(tǒng)，而是以模擬網(wǎng)絡(luò)堆棧，將交互限制在網(wǎng)絡(luò)層，避免了攻擊黑客進入系統(tǒng)的風(fēng)險.

1.2網(wǎng)絡(luò)掃描技術(shù)

動態(tài)蜜罐技術(shù)要模擬與真實狀態(tài)十分相近的虛擬網(wǎng)絡(luò)就必須全面了解真實網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、節(jié)點設(shè)置、所提供的網(wǎng)絡(luò)服務(wù)、操作系統(tǒng)平臺情況與開放端口情況等，以這些真實存在的信息為基礎(chǔ)對蜜罐配置數(shù)量、IP綁定、主機類型、操作平臺、開放端口等進行虛擬模擬，并且隨著網(wǎng)絡(luò)環(huán)境的變化進行自動調(diào)整更新［4］.為解決這些問題可選擇網(wǎng)絡(luò)掃描技術(shù)，目前網(wǎng)絡(luò)掃描技術(shù)的應(yīng)用主要以3種為主，分別是主機掃描、端口掃描、操作系統(tǒng)識別.本研究中主機掃描技術(shù)主要以Ping掃描、TCP-connect掃描為主；端口掃描技術(shù)主要以多端口TCP-SYN掃描、TCP-FIN掃描、TCP-XMAS掃描、TCP-Null掃描、UDP-掃描等為主；操作系統(tǒng)識別以主動式協(xié)議棧指紋分析技術(shù)為主，包括Windows Size探測、DF標志位監(jiān)控、ISN采樣、ICMP消息抑制和檢查等，常見操作系統(tǒng)指紋統(tǒng)計表見表1.

表1 常見操作系統(tǒng)指紋統(tǒng)計

2 動態(tài)蜜罐網(wǎng)絡(luò)的設(shè)計與實現(xiàn)

2.1動態(tài)蜜罐網(wǎng)絡(luò)的設(shè)計

本研究應(yīng)用網(wǎng)絡(luò)掃描技術(shù)和蜜罐技術(shù)進行混合網(wǎng)絡(luò)設(shè)計，以設(shè)計一個動態(tài)自適應(yīng)虛擬網(wǎng)絡(luò)系統(tǒng)為目標來實現(xiàn)對真實網(wǎng)絡(luò)環(huán)境的虛擬模擬與動態(tài)信息收集，從而配置一個與實際網(wǎng)絡(luò)拓撲結(jié)構(gòu)十分類似的虛擬網(wǎng)絡(luò)，在受到黑客攻擊時能通過模擬網(wǎng)絡(luò)服務(wù)和虛擬網(wǎng)絡(luò)環(huán)境吸引黑客攻擊，延緩攻擊結(jié)構(gòu)或者轉(zhuǎn)移攻擊對象，消耗攻擊資源，并完成對攻擊行為模式信息的收集，以便對攻擊信息進行解讀，從而更好的掌握黑客攻擊的特性輔助網(wǎng)絡(luò)安全建設(shè)與管理.根據(jù)設(shè)計思路，本研究設(shè)計的邏輯結(jié)構(gòu)如圖1所示.

在這個虛擬網(wǎng)絡(luò)系統(tǒng)邏輯結(jié)構(gòu)中，不同模塊承擔(dān)著不同的功能，通過協(xié)同合作完成運行.控制中心負責(zé)結(jié)構(gòu)中不同模塊之間的管理與協(xié)調(diào)工作，系統(tǒng)控制中心界面見圖2.掃描模塊是獲得真實網(wǎng)絡(luò)運行信息的主要途徑，為虛擬模擬網(wǎng)絡(luò)環(huán)境的完善與運行提供參考與幫助；數(shù)據(jù)庫只要存儲3方信息，分別是管理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的操作系統(tǒng)信息、端口情況與IP地址；Snort入侵檢測系統(tǒng)對整個網(wǎng)絡(luò)的數(shù)據(jù)流進行監(jiān)控和記錄，是重要的信息庫，對于發(fā)現(xiàn)系統(tǒng)漏洞、總結(jié)黑客攻擊特征等有著極為重要的價值；對入侵信息進行記錄；策略分析管理模塊對掃描策略和虛擬蜜罐配置策略進行管理存放，比如蜜罐配置數(shù)量與密度、掃描時間間隔等，作為開放模塊，這一模塊可以根據(jù)用戶實際適應(yīng)需求隨時進行更新和修改；蜜罐管理模塊通過對虛擬網(wǎng)絡(luò)配置策略、掃描信息來完成蜜罐配置從而啟動動態(tài)虛擬網(wǎng)絡(luò)，實現(xiàn)動態(tài)蜜罐網(wǎng)絡(luò)的管理.在設(shè)計的這個動態(tài)蜜罐網(wǎng)絡(luò)結(jié)構(gòu)中，工作流程如下：現(xiàn)掃描物理網(wǎng)絡(luò)，收集拓撲信息；人然后根據(jù)收集信息以虛擬配置策略來啟動虛擬網(wǎng)絡(luò)；根據(jù)不定時/定時掃描完成虛擬網(wǎng)絡(luò)的更新；Snort檢測完成動態(tài)虛擬網(wǎng)絡(luò)的實時修正與更新［5］.

圖1 虛擬網(wǎng)絡(luò)系統(tǒng)邏輯結(jié)構(gòu)

圖2 系統(tǒng)控制中心界面

2.2動態(tài)蜜罐網(wǎng)絡(luò)的實現(xiàn)與檢測

動態(tài)蜜罐網(wǎng)絡(luò)的實現(xiàn)需要做好蜜罐部署，其部署主要是通過利用混合蜜罐的空閑IP地址將其合理分布到現(xiàn)有的操作系統(tǒng)之中，降低虛擬網(wǎng)絡(luò)受到攻擊時真正主機遭受攻擊的概率，這個分布問題并不難解決，最簡單的是在虛擬機加入之后還保持操作系統(tǒng)分布.本研究用一個測試來驗證，假設(shè)實際物理主機綜述為NP，以Npoi表示特定系統(tǒng)環(huán)境下的主機數(shù)，將來需要布置虛擬機的IP總數(shù)為NFIP，閑置的其他用途的IP地址為NUIP，那么所需蜜罐數(shù)量為：

從黑客攻擊的角度來看，系統(tǒng)會增加運行的蜜罐數(shù)量中主機數(shù)量.虛擬網(wǎng)絡(luò)系統(tǒng)在不斷的更新過程中完成這個計算過程，并根據(jù)需求變化情況完成對蜜罐數(shù)量的加減，所以有可能蜜罐會視需求被增添或者刪除.考慮到各個主機的情況，蜜罐分配的端口很多采用平均設(shè)置方式，被部署在同樣的操作系統(tǒng)內(nèi)，這樣可部署的物理蜜罐數(shù)量通常小于蜜罐數(shù)量，但是對于既定操作系統(tǒng)而言，物理蜜罐數(shù)量布置由它們自身的預(yù)計負荷所決定的.

重定向技術(shù)是在黑客攻擊者不知情的情況下將其誘騙至蜜罐之中，通過在操作系統(tǒng)附近布置蜜罐來對各種行為進行定義、篩選并采取誘騙行為消解攻擊風(fēng)險，服務(wù)器對可疑行為重定向到蜜罐，對攻擊者行為誘騙與迷惑，降低真實主機遭受攻擊的概率［6］.重定向過程中從數(shù)據(jù)庫中檢索重定向地址，每個蜜罐都設(shè)有最大合理連接數(shù)目對最大數(shù)目進行限定，其通過端口和物理蜜罐完成限定連接.大量的重定向連接與蜜罐數(shù)量相關(guān)，其連接數(shù)目為Ncoi，也可以作為系統(tǒng)接受的響應(yīng)時間和入侵占用最長時間，重定向過程的連接數(shù)目為：

（2）式能夠計算出單一物理蜜罐所能夠重定向的最大連接數(shù)目.考慮到入侵會話的系統(tǒng)容量，物理蜜罐的數(shù)量部署也會出現(xiàn)相應(yīng)變化，入侵者的數(shù)量也是重要考量因素，那么根據(jù)最大連接數(shù)目計算情況可以得到物理蜜罐數(shù)量的估算公式：

根據(jù)這一估算公式，物理蜜罐數(shù)量的確定就比較簡單.根據(jù)實際應(yīng)用情況，這種動態(tài)虛擬環(huán)境所提供的仿真模擬腳本本質(zhì)上與其提供的仿真級別關(guān)系較大，有時候在高流量情況下，蜜罐服務(wù)器會滿負荷運行，所以為了解決這個問題，通常采取備份蜜罐服務(wù)器和拒絕分流通信等手段解決問題.

針對設(shè)計的動態(tài)蜜罐網(wǎng)絡(luò)通常要進行拓撲測試，此次設(shè)計在本院校園網(wǎng)的212.109.188.0～212.109.188.24網(wǎng)段內(nèi)做拓撲測試，網(wǎng)段內(nèi)13臺主機，根據(jù)掃描結(jié)構(gòu)，最終系統(tǒng)構(gòu)建了7個蜜罐組成的動態(tài)虛擬網(wǎng)絡(luò)，其掃描后得到的網(wǎng)絡(luò)拓撲結(jié)構(gòu)見圖3.

圖3 虛擬網(wǎng)絡(luò)拓撲圖

針對拓撲測試結(jié)構(gòu)，本研究模擬了黑客網(wǎng)絡(luò)入侵攻擊的典型形式，安全漏洞測試儀選擇Nessus，測試結(jié)果顯示攻擊被誘騙至蜜罐網(wǎng)關(guān)和虛擬機與IP地址，并且系統(tǒng)生成預(yù)警警報，攻擊被延緩和轉(zhuǎn)移，證實其能夠有效運行.在Nessus啟動后預(yù)警警報被匯總，除去端口之外，有攻擊診斷和攻擊地址匯總，這些都可以被網(wǎng)絡(luò)管理員用于制作流量的綜述視圖，從而決定是否用來獲得物理蜜罐日志以便得到可疑的交互信息的相信內(nèi)容.

測試結(jié)果表明這個動態(tài)蜜罐虛擬網(wǎng)絡(luò)的構(gòu)建和應(yīng)用是成功的，實現(xiàn)了和物理網(wǎng)絡(luò)的無縫連接.不過，由于本設(shè)計以低交互蜜罐與網(wǎng)絡(luò)掃描技術(shù)為主，所以主動掃描時內(nèi)部流向消耗大十分明顯，這也是本設(shè)計的一個缺點，不過以本設(shè)計為基礎(chǔ)，今后可通過應(yīng)用高交互蜜罐、被動掃描技術(shù)等消減缺點帶來的負面影響，更好的完成虛擬網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)置.這種應(yīng)用低交互蜜罐的虛擬網(wǎng)絡(luò)欺騙性不高，誘騙作用有限，對于高級黑客的入侵攻擊無明顯作用，所以，通過應(yīng)用高低交互蜜罐、消解風(fēng)險的形式來加強網(wǎng)絡(luò)安全控制為未來一段時期內(nèi)的重要研究課題［7］，且如何增強系統(tǒng)自身的自動學(xué)習(xí)功能也是需要進一步加強研究的重要課題對象.

3 結(jié)語

動態(tài)蜜罐技術(shù)是當(dāng)前應(yīng)用較為廣泛的一種安全模式，對于指導(dǎo)當(dāng)前網(wǎng)絡(luò)安全建設(shè)研究、實踐有積極意義.蜜罐技術(shù)應(yīng)用于網(wǎng)絡(luò)安全防護有著積極意義，它通過與網(wǎng)絡(luò)掃描技術(shù)的結(jié)合能夠完成虛擬網(wǎng)絡(luò)環(huán)境構(gòu)建，從而通過動態(tài)蜜罐網(wǎng)絡(luò)的架構(gòu)對黑客入侵行為進行誘騙、轉(zhuǎn)移，降低系統(tǒng)主機遭受攻擊的風(fēng)險，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域加強應(yīng)用研究的重要方向，對于下階段進一步研究動態(tài)蜜罐技術(shù)的廣泛應(yīng)用有積極意義.

參考文獻：

［1］金淦,張晶.蜜罐技術(shù)系統(tǒng)在局域網(wǎng)安全中研究與設(shè)計［J］.信息與電腦：理論版,2010(3)：84，86.

［2］潘立武.基于IDS和DM的Honeypot系統(tǒng)的設(shè)計［J］.北京聯(lián)合大學(xué)學(xué)報：自然科學(xué)版,2010，24(1)：42-45.

［3］徐蘭云,程京,邱飚.蜜罐系統(tǒng)中日志服務(wù)器的安全性研究及實現(xiàn)［J］.湖南城市學(xué)院學(xué)報：自然科學(xué)版，2012，17(4)：67-70.

［4］禹謝華.基于蜜罐技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)協(xié)作模型的研究與實現(xiàn)［J］.佳木斯大學(xué)學(xué)報：自然科學(xué)版,2012，27(6)：860-863.

［5］馮度,孫星明,劉智勇.網(wǎng)絡(luò)安全中的蜜網(wǎng)技術(shù)應(yīng)用研究［J］.科學(xué)技術(shù)與工程,2011，8(11)：2858-2863.

［6］杜彥輝.利用蜜罐技術(shù)實現(xiàn)對互聯(lián)網(wǎng)非法活動進行監(jiān)控［J］.中國人民公安大學(xué)學(xué)報：自然科學(xué)版,2013(4)：78-80.

［7］隋京,黃曉峰.蜜罐技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用分析［J］.信息網(wǎng)絡(luò)安全,2010(12)：30-32.

On the virtual network design based on dynamic honeypot technique

CHENG Jing
（Informatization office,The Huoshan County School Information,Liuan 237200,Anhui,China）

The paper proposed a way to use the honeypot technology and network scanning methods to achieve a dynamic network honeypot model,aimed to dynamically self-adapting to the virtual network system to imitate a model of the real network environment and gather the changing information.Such virtual network is quite similar to a real topology which is helpful to dodge against the threats and attacking from the hackers by way of diverting their attacks and learning their new way of attacking.

the honeypottechnology;network scanning technology;the dynamic honeypotnetwork;virtualnetwork

TP393.08

A

1007-5348（2014）04-0024-05

（責(zé)任編輯：邵曉軍）

2013-10-26

程靜（1981-），女，安徽霍山人，安徽省中共霍山縣委黨校信息化辦公室講師，主要從事計算機應(yīng)用方面的教學(xué)和研究.