摘 要 在數(shù)字化校園建設(shè)步伐不斷加快的今天，校園網(wǎng)絡(luò)用戶規(guī)模也在持續(xù)增加，網(wǎng)絡(luò)安全已經(jīng)成為校園網(wǎng)絡(luò)運行的核心要素。隨著網(wǎng)絡(luò)運行復(fù)雜性的增加，校園網(wǎng)絡(luò)安全受到嚴重威脅，傳統(tǒng)防火墻技術(shù)只能被動進行風險防范，而采取先進的蜜罐技術(shù)則能夠?qū)崿F(xiàn)校園網(wǎng)絡(luò)安全的主動防范格局。本文首先分析了蜜罐技術(shù)的特點和應(yīng)用優(yōu)勢，對其部署位置及數(shù)量進行分析，并結(jié)合校園網(wǎng)絡(luò)蜜罐技術(shù)的應(yīng)用實踐進一步分析其主動防御功能的實現(xiàn)路徑。

【關(guān)鍵詞】校園網(wǎng)安全 蜜罐技術(shù) 入侵檢測系統(tǒng)

在網(wǎng)絡(luò)技術(shù)不斷升級的背景下，校園網(wǎng)絡(luò)中信息設(shè)備應(yīng)用數(shù)量持續(xù)增加，而校園網(wǎng)絡(luò)被干擾和入侵的風險也在同步增加。當前校園網(wǎng)絡(luò)中的主要安全保障措施有防火墻技術(shù)、防病毒軟件、入侵檢測、數(shù)據(jù)加密等，這些防范措施較為被動，只有在網(wǎng)絡(luò)受到威脅之后才能采取防范措施，處理相對滯后。而蜜罐技術(shù)的應(yīng)用則側(cè)重于提前部署防范措施，屬于主動式風險防御系統(tǒng)，通過對網(wǎng)絡(luò)攻擊手段、攻擊工具等因素進行分析，從而制定主動防范網(wǎng)絡(luò)威脅的有效措施，構(gòu)建校園網(wǎng)絡(luò)的實時風險監(jiān)控體系，提高風險防范的主動性和有效性。

1 蜜罐技術(shù)特點及應(yīng)用優(yōu)勢

1.1 蜜罐技術(shù)特點

蜜罐技術(shù)是一種新型網(wǎng)絡(luò)安全防御模式，和以往網(wǎng)絡(luò)安全部署有著很大不同。蜜罐技術(shù)通過欺騙、誘導等技術(shù)手段，能夠“請君入甕”，誘導攻擊者實施攻擊行為，并從其行為過程中捕獲相關(guān)數(shù)據(jù)，從而使網(wǎng)絡(luò)管理者對攻擊者的具體信息進行了解，破解其攻擊路徑，找出被攻擊系統(tǒng)中存在的漏洞。應(yīng)用蜜罐技術(shù)能夠形成軟件與硬件相結(jié)合共同作用的防范技術(shù)體系，不會參與網(wǎng)絡(luò)應(yīng)用中的實際業(yè)務(wù)，而且也不會接觸正常網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容。正是因為蜜罐不具備真正的網(wǎng)絡(luò)服務(wù)價值，一旦出現(xiàn)蜜罐攻擊行為就會引起管理管理員的重視，以此蜜罐內(nèi)部數(shù)據(jù)流通都會被進行全盤監(jiān)測和掃描，并針對其行為進行具體分析。從這一特點來看，蜜罐具有誘餌性，能夠反向記錄攻擊者的攻擊行為和相關(guān)數(shù)據(jù)，并及時反饋到系統(tǒng)安全管理中心，以便于管理人員及時采取行動，進行主動防御。

1.2 蜜罐技術(shù)的應(yīng)用優(yōu)勢

蜜罐技術(shù)主要具備四大優(yōu)勢：

1.2.1 前瞻性

與傳統(tǒng)網(wǎng)絡(luò)安全管理中被動的風險防范體系不同，蜜罐具有主動捕獲網(wǎng)絡(luò)攻擊的能力，同時還能同步記錄攻擊信息，使管理者掌握其攻擊工具，并以此制定更有針對性的防范措施。這一風險防范模式具有前瞻性，能夠在對抗網(wǎng)絡(luò)攻擊中占據(jù)主動。

1.2.2 準確性

一旦攻擊者對校園服務(wù)器實施掃描，就會被引入蜜罐系統(tǒng)中，所以在蜜罐系統(tǒng)中，所有數(shù)據(jù)均來自攻擊者，正常網(wǎng)絡(luò)訪問不會被蜜罐所捕捉，因此其準確率較之一般防御系統(tǒng)更高。

1.2.3 適用性

蜜罐系統(tǒng)會主動引誘攻擊者采取行動，并對其攻擊行為進行詳細記錄，尤其對反向偵查技術(shù)更為適用。因此，能夠針對不同形式的攻擊保持完整的數(shù)據(jù)記錄，其數(shù)據(jù)更具適應(yīng)性。

1.2.4 簡單性

蜜罐系統(tǒng)部署較為簡單，設(shè)立獨立區(qū)域?qū)粽哌M行誘導，從而獲得其攻擊數(shù)據(jù)。無論是虛擬蜜罐和真實蜜罐，其配置和部署都具有較高的便捷性和可行性，而且無需繁瑣的技術(shù)維護，能夠有效節(jié)約人力物力。

2 校園網(wǎng)絡(luò)蜜罐部署方案

2.1 蜜罐類型

以蜜罐部署與攻擊者交互程度進行分析，可以將蜜罐劃分三種類型，即低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐不具備系統(tǒng)功能，以端口監(jiān)聽完成虛擬服務(wù)，在信息捕獲方面數(shù)量較少，維護較為簡單，其局限性在于無法獲得較為復(fù)雜的協(xié)議傳輸數(shù)據(jù)，其風險程度較低。中交互蜜罐不具備系統(tǒng)功能，在信息捕獲方面數(shù)量較多，配置維護較為復(fù)雜，其局限性在于可能受到網(wǎng)絡(luò)破壞和攻擊，其風險程度居中。高交互蜜罐具有操作系統(tǒng)，攻擊者與操作系統(tǒng)及真實的服務(wù)進行交互，能夠捕獲更多的系統(tǒng)信息，配置維護相對復(fù)雜，其局限性在于系統(tǒng)被攻陷后，會成為攻擊者攻擊正常系統(tǒng)的跳板，風險程度較高。

由此可見，攻擊者與蜜罐之間的交互作用越強，其信息捕獲數(shù)量也就越多，同時風險程度也會有所提升。蜜罐具有真實的網(wǎng)絡(luò)部署環(huán)境，因此構(gòu)架較為復(fù)雜，所面臨的風險也會增加。不同防御程度的蜜罐其防御價值各有不同，在應(yīng)用實踐中則需要根據(jù)網(wǎng)絡(luò)安全需求進行蜜罐部署，判斷其交互程度，制定更安全高效的蜜罐防范體系。

2.2 蜜罐的布署位置

蜜罐位置需要結(jié)合校園網(wǎng)絡(luò)規(guī)模、安全需要等確定部署決策。蜜罐與服務(wù)器鏈接，一旦發(fā)現(xiàn)高危入侵行為，系統(tǒng)能夠在第一時間做出相應(yīng)，并主動鎖定攻擊，針對攻擊數(shù)據(jù)針對其入侵工具和動機進行分析，從而制定更有效的安全防范措施。同時蜜罐還能對攻擊者行為進行監(jiān)測記錄，保留攻擊證據(jù)。

2.3 蜜罐的部署數(shù)量

蜜罐系統(tǒng)的最終防范成效與其布置數(shù)量、服務(wù)器臺數(shù)等有直接關(guān)系，兩者需要確定科學的配置比例，這一比例值也叫作“防御期望值”。蜜罐部署數(shù)量越高，其期望值就越大，而且在蜜罐數(shù)量不斷增加的環(huán)境下，其期望值增速會呈現(xiàn)遞減趨勢。

2.4 基于蜜罐技術(shù)的校園網(wǎng)拓撲結(jié)構(gòu)

基于校園網(wǎng)絡(luò)原有安全防御體系，將蜜罐技術(shù)融合與服務(wù)器日志、防火墻、入侵檢測等過程中，能夠構(gòu)建起校園安全的主動防御體系，并形成更為完善的蜜罐技術(shù)安全方案。蜜罐系統(tǒng)需要具備對攻擊信息的及時影響能力，能夠主動引誘攻擊者開展攻擊并捕獲其活動數(shù)據(jù)，在更短時間內(nèi)制定出防范對策。蜜罐系統(tǒng)內(nèi)的各個主機為虛擬機，各自具有獨立的操作系統(tǒng)，能夠很好的隱藏在校園網(wǎng)絡(luò)內(nèi)，起到保護網(wǎng)絡(luò)系統(tǒng)安全的作用。蜜罐主機利用Sebek軟件對攻擊者的行為進行記錄，并將數(shù)據(jù)傳遞與日志服務(wù)器。IDS系統(tǒng)能夠針對蜜網(wǎng)數(shù)據(jù)包實施檢測，并對其數(shù)據(jù)進行分析。日志服務(wù)器會記錄防火墻數(shù)據(jù)、入侵日志數(shù)據(jù)以及蜜罐數(shù)據(jù)，并通過防火墻對校園網(wǎng)絡(luò)的外部攻擊進行防范。

2.5 蜜罐系統(tǒng)的工作原理endprint

蜜罐與校園網(wǎng)其它服務(wù)器建立起橋接關(guān)系，通過數(shù)據(jù)鏈路進行銜接。蜜罐主機無需配備IP地址，不會造成TTL消耗，因此其隱蔽性更好。校園網(wǎng)絡(luò)網(wǎng)關(guān)會將應(yīng)用服務(wù)器與蜜罐進行隔離，如果有攻擊行為出現(xiàn)，蜜罐會對其進行實施攔截，從而保護服務(wù)器不受干擾。一般情況下，如果是正常數(shù)據(jù)訪問，則數(shù)據(jù)會同時進入校園網(wǎng)絡(luò)和蜜網(wǎng)內(nèi)，此類數(shù)據(jù)具有安全性，不會對校園網(wǎng)絡(luò)造成破壞。而黑客發(fā)起攻擊時，蜜罐會形成誘導作用，蜜罐中會顯示異常數(shù)據(jù)，這些數(shù)據(jù)被捕獲并進行分析，管理員能力找出數(shù)據(jù)規(guī)律，并將其提取指入侵檢測庫內(nèi)進行檢測。一旦同規(guī)則入侵二次出現(xiàn)，入侵檢測就會主動封鎖數(shù)據(jù)入口，實現(xiàn)主動防御。

3 校園網(wǎng)絡(luò)蜜罐技術(shù)的實施路徑

3.1 蜜罐部署

蜜罐部署將與虛擬主機、控制機進行連接，在虛擬主機上分別部署Windows和Linux蜜罐。同時利用物理計算機設(shè)置Windows蜜罐。

3.2 數(shù)據(jù)控制

數(shù)據(jù)控制以系統(tǒng)內(nèi)流經(jīng)數(shù)據(jù)為主。實施數(shù)據(jù)控制的首要條件在于發(fā)揮蜜罐的誘導作用，能夠使攻擊者在沒有防備的情況下進入蜜罐。這就需要開放蜜罐數(shù)據(jù)限制，但是為了保證攻擊者不會對校園正常網(wǎng)絡(luò)進行攻擊，強化蜜罐安全性能，管理者需要對虛擬蜜罐設(shè)計數(shù)據(jù)流動檢測，尤其的外出鏈接、數(shù)據(jù)流量等要做到實時監(jiān)測。同時，還需要進一步增強對虛擬蜜罐中數(shù)據(jù)的處理能力，以避免數(shù)據(jù)包在黑客攻擊下廣泛傳播。

蜜罐部署作用的發(fā)揮，首先需要把流經(jīng)地址內(nèi)的所有數(shù)據(jù)傳輸至蜜罐主機內(nèi)，在蜜網(wǎng)中蜜罐設(shè)置較為隱秘，因此入侵者無法判斷實施攻擊的系統(tǒng)哪個是校園網(wǎng)絡(luò)系統(tǒng)、哪個是蜜罐陷阱。在防火墻作用下，所有數(shù)據(jù)訪問必須經(jīng)由校園路由器，都需要經(jīng)過eth0，并將數(shù)據(jù)傳輸至蜜罐主機中。因此，校園網(wǎng)絡(luò)信息過濾系統(tǒng)（Iptables）模塊需要進行相應(yīng)配置，從而保證實現(xiàn)良好的數(shù)據(jù)導向作用。還可以在虛擬蜜罐部署中對蜜罐流量進行嚴格檢測，以分鐘為單位對ICMP協(xié)議、TCP協(xié)議、UDP協(xié)議進行檢測，控制其每分鐘數(shù)據(jù)包保持20個左右。檢測防火墻是否將蜜罐數(shù)據(jù)發(fā)送至入侵檢測系統(tǒng)，同時還需要將攻擊數(shù)據(jù)格式轉(zhuǎn)化為Replace。

3.3 數(shù)據(jù)捕獲

蜜罐技術(shù)作為顯著的功能在于捕獲相關(guān)入侵數(shù)據(jù)。如果不具備數(shù)據(jù)捕獲功能，那么蜜網(wǎng)將難以發(fā)揮其實質(zhì)性作用。蜜罐數(shù)據(jù)捕獲主要有三個途徑：

（1）通過蜜網(wǎng)日志提?。?/p>

（2）通過入侵檢測系統(tǒng)數(shù)據(jù)獲得；

（3）Sebek工具獲得相關(guān)數(shù)據(jù)。

在蜜網(wǎng)數(shù)據(jù)進行收集整理，經(jīng)過專業(yè)處理后能夠?qū)⑵浔Ａ粼谛@網(wǎng)絡(luò)安全數(shù)據(jù)庫，作為后續(xù)安全管理、網(wǎng)絡(luò)風險防范的數(shù)據(jù)參考。以下將詳細分析數(shù)據(jù)捕獲路徑：

3.3.1 蜜網(wǎng)日志

蜜網(wǎng)日志中囊括了多個蜜罐部署，并且通過rc·honeywall腳本得以實現(xiàn)。蜜網(wǎng)日志能夠?qū)Ω髅酃拗械膭討B(tài)數(shù)據(jù)進行系統(tǒng)捕獲，此外，還能針對數(shù)據(jù)進入、外流情況做出實時記錄，在這一模式下，網(wǎng)絡(luò)管理者能夠從多個層面對異常數(shù)據(jù)進行分析，并能夠?qū)ふ移浠顒右?guī)律。

3.3.2 入侵檢測數(shù)據(jù)

入侵檢測系統(tǒng)不但能夠?qū)π@內(nèi)網(wǎng)不同接口的數(shù)據(jù)進行檢測，同時還能獲得網(wǎng)絡(luò)中的流通數(shù)據(jù)，而且對于CDP數(shù)據(jù)的流通也能進行及時捕獲。此外，該系統(tǒng)還能夠以記錄器方式對數(shù)據(jù)包進行存儲，根據(jù)數(shù)據(jù)1P對其進行集中分類，并將其存儲于log-directors內(nèi)。同時，入侵檢測還能實現(xiàn)本地網(wǎng)絡(luò)的-h定制，記錄本地網(wǎng)相關(guān)數(shù)據(jù)，以便在部署蜜罐過程中設(shè)置相應(yīng)腳本，其后啟動入侵檢測，最后實現(xiàn)網(wǎng)址編輯、修訂，形成完成的日志記錄。

3.3.3 Sebek系統(tǒng)數(shù)據(jù)捕獲

Sebek能夠?qū)崿F(xiàn)對加密數(shù)據(jù)的捕獲，該系統(tǒng)有客戶端與服務(wù)器兩部分構(gòu)成，其中在虛擬蜜罐中裝置有客戶端，如果蜜罐受到黑客攻擊，Sebek就能夠?qū)粜袨檫M行實時捕獲，并將其傳輸?shù)叫@網(wǎng)絡(luò)中，通過網(wǎng)關(guān)進行收集記錄。

3.4 數(shù)據(jù)分析

蜜網(wǎng)所捕獲到的異常數(shù)據(jù)需要進行及時分析處理，必須保證其時效性才有價值。通過蜜罐部署實現(xiàn)校園網(wǎng)絡(luò)異常數(shù)據(jù)分析，進而實現(xiàn)自動報警作用。通過Swatch工具不但能夠?qū)P列表進行透視，同時還具備入侵文件檢測透視功能。在系統(tǒng)受到黑客攻擊之后能夠自動啟動報警功能。如果蜜罐裝置在受到外部攻擊后提示外部風險防范信息，則Swatch工具能夠及時向系統(tǒng)管理員發(fā)送信息，從而引導管理員提起關(guān)注。

3.5 蜜罐滲透攻擊

Metasploit工具具有良好的系統(tǒng)風險監(jiān)測性能，在linux配置中版本過舊，其信息服務(wù)系統(tǒng)（samba）很難檢測來自系統(tǒng)邊緣區(qū)域，因此黑客會將這一區(qū)域鎖定為操控去，對其進行遠程控制。在校園網(wǎng)絡(luò)中主要系統(tǒng)檢測工具為Metasploit，通過漏洞攻擊、數(shù)據(jù)痕跡等進行檢測，主要步驟如下：首先需要將在宿主主機內(nèi)配置Metasploit工具；其次，針對Metasploit方案對攻擊數(shù)據(jù)進行測試，操作流程為：打開主機防火墻裝置，實現(xiàn)和4444端口的有效連接；接下來在蜜罐網(wǎng)絡(luò)中啟動samba服國內(nèi)，保證MSFConsole狀態(tài)穩(wěn)定，輸入攻擊命令后，能夠得到反向shell。最后針對攻擊數(shù)據(jù)進行分析，根據(jù)蜜罐數(shù)據(jù)做系統(tǒng)分析，等待攻擊漏洞完成后，通過檢測工具（Walleye）對蜜罐數(shù)據(jù)進行梳理，并將分析結(jié)果反饋與系統(tǒng)安全管理體系內(nèi)。

4 結(jié)語

實踐證明，在校園網(wǎng)絡(luò)安全管理中部署蜜罐網(wǎng)絡(luò)具有極高的可行性。蜜罐能夠形成攻擊陷阱，引誘攻擊者主動進入蜜罐，從而獲得其攻擊數(shù)據(jù)并找出攻擊規(guī)律。通過系統(tǒng)日志數(shù)據(jù)分析，能夠?qū)粽叩膶嵤┓椒ā⒐粢鈭D有所了解。將蜜罐與日志服務(wù)器、入侵檢測以及校園防火墻等系統(tǒng)進行連接，能夠構(gòu)建起校園網(wǎng)絡(luò)主動式安全防御體系。總之，采取蜜罐技術(shù)具有前瞻性、安全性、準確性、便捷性等特點，而且部署簡單、維護方便，通過主動防御增強校園網(wǎng)絡(luò)安全系數(shù)。

參考文獻

[1]茅一磊.蜜罐技術(shù)及其新應(yīng)用[J].電信網(wǎng)技術(shù)，2017（06）.

[2]石樂義，姜藍藍，劉昕，賈春福.擬態(tài)式蜜罐誘騙特性的博弈理論分析[J].電子與信息學報，2014（05）.

[3]石樂義，姜藍藍，賈春福，王曉蕊.蜜罐誘騙防御機理的博弈理論分析[J].電子與信息學報，2015（06）.

[4]程曉偉，楊百龍.基于蜜罐特征的蜜罐識別技術(shù)[J].現(xiàn)代電子技術(shù)，2015（15）.

[5]李莉，孫華，張振宇.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].新疆大學學報（自然科學版），2014（04）.

作者簡介

江峰（1984-），男，江西省萍鄉(xiāng)市人。大學本科學歷。現(xiàn)萍鄉(xiāng)學院教師、助教。研究方向為計算機網(wǎng)絡(luò)。

作者單位

萍鄉(xiāng)學院 江西省萍鄉(xiāng)市 337000endprint