◆朱建忠

(福建廣播電視大學(xué)電子信息與計(jì)算機(jī)系 福建 350013)

網(wǎng)絡(luò)安全中的蜜網(wǎng)技術(shù)研究及應(yīng)用

◆朱建忠

(福建廣播電視大學(xué)電子信息與計(jì)算機(jī)系 福建 350013)

蜜網(wǎng)技術(shù)作為網(wǎng)絡(luò)安全領(lǐng)域新的研究熱點(diǎn),近年來(lái)得到了廣泛的關(guān)注和快速的發(fā)展。蜜罐與蜜網(wǎng)技術(shù)通過(guò)精心布置的誘騙環(huán)境來(lái)吸引網(wǎng)絡(luò)攻擊者的入侵，進(jìn)而了解攻擊思路、攻擊工具和攻擊目的等行為信息。本文比較系統(tǒng)地闡述了蜜罐與蜜網(wǎng)的概念，研究密網(wǎng)所涉及的關(guān)鍵技術(shù)，探討了密網(wǎng)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，最后對(duì)密網(wǎng)技術(shù)的發(fā)展趨勢(shì)進(jìn)行了展望。

網(wǎng)絡(luò)安全；蜜罐；密網(wǎng)

0 引言

當(dāng)前通過(guò)互聯(lián)網(wǎng)對(duì)信息資源所進(jìn)行的攻擊日益嚴(yán)重，現(xiàn)有以防火墻(firewall)和入侵檢測(cè)系統(tǒng)(IDS)為核心的防御技術(shù)采用被動(dòng)的安全策略，通常滯后于各種各樣的攻擊，難以針對(duì)未知的網(wǎng)絡(luò)安全問(wèn)題做出有效響應(yīng)。為此，基于主動(dòng)防御理念的蜜罐(Honeypot)和密網(wǎng)（Honeynet）技術(shù)受到了廣泛的關(guān)注，近年來(lái)更是得到快速發(fā)展[1-2]。

本文闡述了蜜罐和密網(wǎng)的概念，重點(diǎn)探討了蜜網(wǎng)所涉及的關(guān)鍵技術(shù)及在網(wǎng)絡(luò)安全中的應(yīng)用，并對(duì)密網(wǎng)技術(shù)的未來(lái)發(fā)展趨勢(shì)進(jìn)行了展望。

1 蜜罐與密網(wǎng)概念

1.1 密罐概念

蜜罐是一種在互聯(lián)網(wǎng)上專門為吸引并誘騙那些試圖非法闖入計(jì)算機(jī)系統(tǒng)的人(如電腦黑客)而設(shè)計(jì)的包含漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。由于蜜罐并沒(méi)有向外界提供真正有價(jià)值的服務(wù)，因此所有對(duì)蜜罐嘗試都被視為可疑的?！懊劬W(wǎng)項(xiàng)目組”（The Honeynet Project）的創(chuàng)始人Lance Spitzner給出了對(duì)蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷[2]。這就意味著所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷，這樣攻擊者入侵后，你就可以知道他是如何得逞的，隨時(shí)了解針對(duì)網(wǎng)絡(luò)發(fā)動(dòng)的最新攻擊，進(jìn)而了解入侵者的攻擊目的、攻擊方法和攻擊工具，特別是對(duì)各種未知攻擊行為的學(xué)習(xí)。雖然蜜罐不會(huì)直接提高網(wǎng)絡(luò)安全，但可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。因此蜜罐就是誘捕攻擊者的一個(gè)陷阱。

1.2 密網(wǎng)概念

蜜網(wǎng)是在蜜罐技術(shù)上逐漸發(fā)展起來(lái)的一種高交互性的蜜罐，在一臺(tái)或多臺(tái)蜜罐主機(jī)基礎(chǔ)上，結(jié)合防火墻、路由器、入侵檢測(cè)等組成的網(wǎng)絡(luò)系統(tǒng)。這一網(wǎng)絡(luò)系統(tǒng)是隱藏在防火墻后面的，所有進(jìn)出的資料都會(huì)受到監(jiān)控、捕獲及控制。與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個(gè)架構(gòu)中，可以包含一個(gè)或多個(gè)蜜罐，同時(shí)保證網(wǎng)絡(luò)的高度可控性，以及提供多種工具以方便對(duì)攻擊信息的采集和分析。另外，蜜網(wǎng)架構(gòu)注重整合資源，將真實(shí)的系統(tǒng)、蜜罐系統(tǒng)、各種服務(wù)、防火墻及入侵檢測(cè)等資源有機(jī)結(jié)合在一起，具有多層次的數(shù)據(jù)控制機(jī)制，全面的數(shù)據(jù)捕獲機(jī)制，并能夠輔助研究人員對(duì)捕獲的數(shù)據(jù)進(jìn)行深入分析。因此，蜜網(wǎng)也可理解為一個(gè)集防火墻、入侵檢測(cè)、數(shù)據(jù)分析軟件、各類蜜罐等于一體的綜合體。

2 密網(wǎng)核心技術(shù)

整個(gè)蜜網(wǎng)體系主要由蜜網(wǎng)網(wǎng)關(guān)、虛擬蜜罐、物理蜜罐和監(jiān)控機(jī)等組成。蜜網(wǎng)體系結(jié)構(gòu)解決了三大核心功能：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析[3]。蜜罐與蜜網(wǎng)的研究主要涉及的關(guān)鍵技術(shù)有：網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制、數(shù)據(jù)分析等[4-5]。

2.1 網(wǎng)絡(luò)欺騙

由于蜜罐與密網(wǎng)的價(jià)值是在其被探測(cè)、攻擊或者攻陷的時(shí)候才得到體現(xiàn)。網(wǎng)絡(luò)欺騙技術(shù)是使蜜網(wǎng)系統(tǒng)在網(wǎng)絡(luò)上與真實(shí)的主機(jī)系統(tǒng)難以區(qū)分。所以沒(méi)有網(wǎng)絡(luò)欺騙功能的蜜罐是沒(méi)有價(jià)值的, 網(wǎng)絡(luò)欺騙技術(shù)因此也是密網(wǎng)技術(shù)體系中最為關(guān)鍵的核心技術(shù)和難題。網(wǎng)絡(luò)欺騙技術(shù)的強(qiáng)與弱從一個(gè)側(cè)面也反映了蜜罐本身的價(jià)值。目前蜜罐主要的網(wǎng)絡(luò)欺騙技術(shù)有如下幾種: 模擬服務(wù)端口、模擬系統(tǒng)漏洞和應(yīng)用服務(wù)、IP 空間欺騙、流量仿真、網(wǎng)絡(luò)動(dòng)態(tài)配置、組織信息欺騙、網(wǎng)絡(luò)服務(wù)等。

2.2 數(shù)據(jù)捕獲

數(shù)據(jù)捕獲就是在網(wǎng)絡(luò)入侵者無(wú)察覺(jué)的情況下，完整地記錄所有進(jìn)入蜜網(wǎng)系統(tǒng)的連接行為及其活動(dòng)。蜜網(wǎng)系統(tǒng)通常采用三種層次捕獲數(shù)據(jù)，分別是防火墻、IDS 和蜜罐主機(jī)。防火墻位于蜜網(wǎng)系統(tǒng)的前面，數(shù)據(jù)捕獲是蜜網(wǎng)的重要功能，只有捕獲了攻擊者的入侵?jǐn)?shù)據(jù)，才能對(duì)其進(jìn)行分析整理，才能對(duì)防火墻和入侵檢測(cè)等系統(tǒng)進(jìn)行規(guī)則調(diào)整。蜜網(wǎng)的主動(dòng)防御功能能否得以充分的體現(xiàn)關(guān)鍵在于捕獲的數(shù)據(jù)是否真實(shí)、是否詳實(shí)、是否豐富，所以要從不同方面、不同角度去進(jìn)行數(shù)據(jù)的搜集，同時(shí)還要考慮數(shù)據(jù)的真實(shí)性。

2.3 數(shù)據(jù)控制

數(shù)據(jù)控制就是通過(guò)設(shè)置策略限制攻擊者的活動(dòng)進(jìn)行網(wǎng)絡(luò)防護(hù)。如果攻擊者進(jìn)入蜜網(wǎng)，既要給攻擊者一定的活動(dòng)自由，也要對(duì)攻擊者的活動(dòng)進(jìn)行限制，不能讓攻擊者危害蜜網(wǎng)之外的系統(tǒng)，更不能讓攻擊者發(fā)現(xiàn)數(shù)據(jù)控制的活動(dòng)。限制攻擊者的方法可以采取限制其從蜜罐向外的連接數(shù)量和在蜜網(wǎng)中的活動(dòng)能力。為了防止因單個(gè)機(jī)制被攻破而導(dǎo)致系統(tǒng)淪陷，通常采用多層次的數(shù)據(jù)控制機(jī)制。

2.4 數(shù)據(jù)分析

數(shù)據(jù)分析就是把蜜網(wǎng)系統(tǒng)所捕獲到的數(shù)據(jù)記錄進(jìn)行分析處理，提取入侵規(guī)則，從中分析是否有新的入侵特征。數(shù)據(jù)分析包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。分析的主要目的有兩個(gè)：一個(gè)是分析攻擊者在蜜網(wǎng)系統(tǒng)中的活動(dòng)、掃描擊鍵行為、非法訪問(wèn)系統(tǒng)所使用工具、攻擊目的何在以及提取攻擊特征；另一個(gè)是對(duì)攻擊者的行為建立數(shù)據(jù)統(tǒng)計(jì)模型，看其是否具有攻擊特征，若有則發(fā)出預(yù)警，保護(hù)其它正常網(wǎng)絡(luò)，避免受到相同攻擊。

3 蜜網(wǎng)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

隨著互聯(lián)網(wǎng)的飛速發(fā)展和經(jīng)濟(jì)利益的誘惑，越來(lái)越多的網(wǎng)絡(luò)攻擊將給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的危險(xiǎn)。因此如何保證網(wǎng)絡(luò)安全是重中之重的事情，本文針對(duì)目前危及網(wǎng)絡(luò)安全較為嚴(yán)重的幾種威脅，利用蜜網(wǎng)技術(shù)進(jìn)行防御的可行性進(jìn)行了探討[6]。

3.1 抗蠕蟲(chóng)病毒

蠕蟲(chóng)的一般傳播過(guò)程為掃描、感染、復(fù)制三個(gè)步驟。經(jīng)過(guò)大量掃描，當(dāng)探測(cè)到存在漏洞的主機(jī)時(shí)，蠕蟲(chóng)主體就會(huì)遷移到目標(biāo)主機(jī)。然后在被感染的主機(jī)上生成多個(gè)副本，實(shí)現(xiàn)對(duì)計(jì)算機(jī)監(jiān)控和破壞。利用蜜網(wǎng)技術(shù)，可以在蠕蟲(chóng)感染的階段檢測(cè)非法入侵行為，對(duì)于已知的蠕蟲(chóng)病毒，可以通過(guò)設(shè)置防火墻和IDS規(guī)則，直接重定向到蜜網(wǎng)的蜜罐中，拖延蠕蟲(chóng)的攻擊時(shí)間；對(duì)于全新的蠕蟲(chóng)病毒，可以采取辦法延緩其掃描速度，在網(wǎng)絡(luò)層用特定的、偽造數(shù)據(jù)包來(lái)延遲應(yīng)答，同時(shí)利用軟件工具對(duì)日志進(jìn)行分析，以便確定相應(yīng)的對(duì)抗措施。

3.2 捕獲網(wǎng)絡(luò)釣魚(yú)

網(wǎng)絡(luò)釣魚(yú)是通過(guò)大量發(fā)送聲稱來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚(yú)攻擊將收信人引誘到一個(gè)通過(guò)精心設(shè)計(jì)與目標(biāo)組織的網(wǎng)站非常相似的釣魚(yú)網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個(gè)人敏感信息，通常這個(gè)攻擊過(guò)程不會(huì)讓受害者警覺(jué)。目前的反網(wǎng)絡(luò)釣魚(yú)工作組等機(jī)構(gòu)寄希望于發(fā)覺(jué)網(wǎng)絡(luò)釣魚(yú)攻擊的用戶向他們報(bào)告，通過(guò)報(bào)告再進(jìn)行分析。這種途徑只能在網(wǎng)絡(luò)釣魚(yú)攻擊發(fā)生后從受害者的角度去觀察，并不能清晰地了解網(wǎng)絡(luò)釣魚(yú)攻擊的全過(guò)程。而蜜網(wǎng)技術(shù)則提供了捕獲整個(gè)過(guò)程中攻擊者發(fā)起攻擊行為的能力，在蜜網(wǎng)中的蜜罐都是初始安裝的沒(méi)有打漏洞補(bǔ)丁的系統(tǒng)，一旦部署的蜜網(wǎng)被網(wǎng)絡(luò)釣魚(yú)者以進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，安全分析人員就能及時(shí)在蜜網(wǎng)捕獲的豐富日志數(shù)據(jù)的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的整個(gè)生命周期建立起一個(gè)完整的理解，并深入剖析各個(gè)步驟釣魚(yú)者所使用的技術(shù)手段和工具。

3.3 捕獲僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)是近年來(lái)興起得危害互聯(lián)網(wǎng)的重大威脅之一，它的危害體現(xiàn)在發(fā)動(dòng)分布式拒絕服務(wù)攻擊、發(fā)送垃圾郵件以及竊取僵尸主機(jī)內(nèi)的敏感信息等。因此，我們可以考慮利用在網(wǎng)絡(luò)中部署惡意軟件收集器，對(duì)收集到的惡意軟件樣本采用蜜網(wǎng)技術(shù)對(duì)其進(jìn)行分析，確認(rèn)是否僵尸程序，并對(duì)僵尸程序所要連接的僵尸網(wǎng)絡(luò)控制信道的信息進(jìn)行提取，最后通過(guò)客戶端蜜罐技術(shù)，偽裝成被控制的僵尸工具，進(jìn)入僵尸網(wǎng)絡(luò)進(jìn)行觀察和跟蹤。

4 蜜網(wǎng)的發(fā)展趨勢(shì)

面對(duì)越來(lái)越多的網(wǎng)絡(luò)攻擊，密網(wǎng)技術(shù)也需要不斷更新與發(fā)展。

4.1 提高蜜網(wǎng)的可移植性

目前的操作系統(tǒng)種類繁多，大部分蜜網(wǎng)只能在特定的操作系統(tǒng)下工作。因此，能夠跨平臺(tái)工作的蜜網(wǎng)成為關(guān)注的焦點(diǎn)。如果蜜網(wǎng)可以在任何操作系統(tǒng)下生效，蜜網(wǎng)的適用范圍就會(huì)變得更廣。

4.2 提高蜜網(wǎng)的交互性

在降低風(fēng)險(xiǎn)的情況下，盡可能提高蜜網(wǎng)與入侵者之間的交互程度。蜜網(wǎng)如果僅僅支持簡(jiǎn)單的交互行為，就可能被入侵者很快發(fā)現(xiàn)并迅速全身而退。所以蜜網(wǎng)要盡量提高與入侵者之間的交互程度，以便更好地了解入侵者的行為。

4.3 提高蜜網(wǎng)的信息控制和記錄功能

當(dāng)前的蜜網(wǎng)技術(shù)在記錄攻擊者攻陷一臺(tái)機(jī)器之后的情況方面還做得很不夠。由于出現(xiàn)了越來(lái)越多大規(guī)模分布式的攻擊，了解攻擊者在攻陷一臺(tái)機(jī)器之后的所作所為，成為蜜網(wǎng)的重要工作。

4.4 降低蜜網(wǎng)的風(fēng)險(xiǎn)

引入密網(wǎng)后，想要獲得更多有價(jià)值的信息和數(shù)據(jù)，又要系統(tǒng)保持足夠的安全，這的確很難。交互的程度越高，模擬得越像，自己陷入危險(xiǎn)的可能性也就越大。

5 結(jié)論

本文介紹了蜜罐及蜜網(wǎng)的概念，重點(diǎn)探究了網(wǎng)絡(luò)欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制、數(shù)據(jù)分析等密網(wǎng)所涉及的關(guān)鍵技術(shù)，探討了密網(wǎng)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，并展望了未來(lái)的發(fā)展趨勢(shì)。蜜網(wǎng)技術(shù)作為一種應(yīng)用欺騙思想的主動(dòng)防御技術(shù)，是現(xiàn)有安全機(jī)制的有力補(bǔ)充。隨著技術(shù)的進(jìn)一步發(fā)展，蜜網(wǎng)技術(shù)定能在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮更大的作用。

[1]ROBERT MCGREW.Experiences With Honeypot Systems：Development，Deployment and Analysis[J].IEEE Transactions on Software Engineering，2006.

[2]The Honeynet Project. http: www.honeynet.org, 2007

[3]程杰仁,殷建平,劉運(yùn),鐘經(jīng)偉.蜜罐及密網(wǎng)技術(shù)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展，2008.

[4]羅來(lái)俊.基于蜜網(wǎng)技術(shù)的主動(dòng)式網(wǎng)絡(luò)安全系統(tǒng)研究 [J].電腦知識(shí)與技術(shù)，2011.

[5]諸葛建偉等.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào)2013.

[6]賀文娟,賈丙靜.蜜網(wǎng)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].東莞理工學(xué)院學(xué)報(bào)，2013.