黃旭鵬，鐘平

（1.韓山師范學(xué)院計算機與信息工程學(xué)院，潮州 521041;2.韓山師范學(xué)院網(wǎng)絡(luò)與教育技術(shù)中心，潮州 521041）

0 引言

校園網(wǎng)擔(dān)負著學(xué)校教學(xué)、科研、管理和服務(wù)等重任，與此同時也面臨著來自不同層面的安全威脅問題，如操作系統(tǒng)漏洞、惡意攻擊、病毒攻擊等威脅時刻存在。

根據(jù)前期調(diào)研結(jié)果顯示，我校校區(qū)多、網(wǎng)絡(luò)覆蓋面積廣、網(wǎng)絡(luò)使用群體大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，目前部署有防火墻、入侵檢測系統(tǒng)、用戶行為審計系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，防火墻等傳統(tǒng)安全技術(shù)均屬于被動防御技術(shù)。蜜罐技術(shù)是基于主動安全策略的安全防護技術(shù)，在現(xiàn)有的校園網(wǎng)安全防護體系中加入蜜罐技術(shù)并利用它對網(wǎng)絡(luò)攻擊者所進行的各種非法入侵活動進行提前預(yù)警和事后響應(yīng)，可以起到主動防御的作用；此外，通過對非法入侵者的入侵數(shù)據(jù)分析，可以幫助網(wǎng)絡(luò)安全管理人員修復(fù)一些未知的系統(tǒng)漏洞以及追蹤定位攻擊者的位置，提高抵御網(wǎng)絡(luò)入侵的能力。這對校園網(wǎng)安全可起到重要的保障作用，具有較好的應(yīng)用價值。

1 蜜罐技術(shù)簡介

1.1 蜜罐技術(shù)

蜜罐是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)，是網(wǎng)絡(luò)安全人員經(jīng)過精心設(shè)計而部署下的誘捕攻擊者的陷阱。蜜罐技術(shù)本質(zhì)上是一種對攻擊方進行欺騙的技術(shù)，通過布置一些作為誘餌的主機、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力[1]。

“蜜網(wǎng)項目組”創(chuàng)始人Lance Spitzner提出“蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷”，這一定義在業(yè)界得到普遍的認可。

1.2 蜜罐的價值

（1）蜜罐的優(yōu)勢

監(jiān)控、監(jiān)測和分析攻擊活動是蜜罐的核心價值所在。作為新型的主動防御技術(shù)，蜜罐在網(wǎng)絡(luò)安全應(yīng)用中有其優(yōu)勢：

①數(shù)據(jù)低污染，監(jiān)測準(zhǔn)確率高。蜜罐通過仿真而并非對外提供具有實質(zhì)性的系統(tǒng)服務(wù)，它只針對試圖進行非法攻擊的行為產(chǎn)生記錄，刨除了正常網(wǎng)絡(luò)用戶的數(shù)據(jù)流，是一個低數(shù)據(jù)污染的系統(tǒng)，安全監(jiān)測的準(zhǔn)確率高且漏報率小。

②部署成本較低，易于實現(xiàn)。搭建真實蜜罐環(huán)境或使用虛擬蜜罐環(huán)境，在部署和實現(xiàn)上都比較簡單，配置靈活且易于管理和維護，所耗資源極少。許多蜜罐軟件都是以開源的方式公開在互聯(lián)網(wǎng)供免費下載。

③使用簡單，適用性強。蜜罐系統(tǒng)對攻擊行為的監(jiān)測并非局限于某種特定的攻擊技術(shù)或攻擊行為，具有較好的適應(yīng)能力，不需要維護特征數(shù)據(jù)庫，也無需通過復(fù)雜算法來實現(xiàn)，能捕獲新的攻擊技術(shù)和方法供安全人員進行分析。

（2）蜜罐的缺陷

蜜罐作為整個安全防御體系的一部分，也有其自身一些缺陷：

①模擬的局限性。蜜罐設(shè)計或模擬出存在漏洞主機，與真實主機系統(tǒng)相比還是存在差別，技術(shù)較高的攻擊者利用反蜜罐技術(shù)能識別出蜜罐的存在。

②數(shù)據(jù)收集范圍有限。蜜罐僅記錄與其產(chǎn)生交互的數(shù)據(jù)流，一旦攻擊者發(fā)現(xiàn)并繞過蜜罐對其他網(wǎng)絡(luò)設(shè)備實施攻擊，蜜罐也將無法發(fā)捕捉到攻擊者的信息。

③面臨一定風(fēng)險。為盡可能多的收集到入侵者的信息，包括攻擊所用的工具、實施攻擊的思路和方法等，安全管理人員主動將蜜罐暴露在網(wǎng)絡(luò)中，提供仿真服務(wù)誘導(dǎo)入侵者對其進行攻擊。但如果蜜罐被識破，安裝蜜罐系統(tǒng)的主機系統(tǒng)存在被入侵者攻陷的風(fēng)險，有可能成為攻擊者對蜜罐主機所在網(wǎng)絡(luò)實施攻擊的跳板。

1.3 蜜罐的分類

可從不同的角度對蜜罐系統(tǒng)進行分類，按照部署目的可分為產(chǎn)品型蜜罐和研究型蜜罐；按照蜜罐與攻擊者的交互程度劃分可分為低交互蜜罐、中交互蜜罐、高交互蜜罐；按照蜜罐運行環(huán)境及實現(xiàn)方式可分為虛擬機蜜罐和物理蜜罐。

1.4 虛擬蜜罐技術(shù)

隨著VMware、VBOX等虛擬化技術(shù)的發(fā)展，越來越多的服務(wù)器使用虛擬系統(tǒng)提供服務(wù)，虛擬蜜罐便是基于虛擬化技術(shù)實現(xiàn)的蜜罐系統(tǒng)[2]。在攻擊者的視角中，在虛擬系統(tǒng)中的蜜罐與真實物理蜜罐并無差別，兩者本質(zhì)上是一致的。相比較而言，物理蜜罐的部署需要投入大量的硬件設(shè)備且每臺設(shè)備都需要單獨進行配置。虛擬蜜罐可以根據(jù)需要在一臺主機上部署多個虛擬蜜罐主機，而且在虛擬技術(shù)的支持下，即使蜜罐系統(tǒng)被入侵者攻破了也能利用快照技術(shù)快速將其還原到初始狀態(tài)，大大地降低部署和維護的成本。

2 校園網(wǎng)部署虛擬蜜罐方案研究

2.1 方案設(shè)計目標(biāo)

方案要結(jié)合防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具，引入虛擬蜜罐系統(tǒng)，設(shè)計并構(gòu)造一個具有主動防御功能的校園網(wǎng)絡(luò)安全防護系統(tǒng)，主要目標(biāo)如下：

①蜜罐系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)安全防護產(chǎn)品進行聯(lián)動，防御來自校園網(wǎng)外部的攻擊，對網(wǎng)絡(luò)攻擊行為進行取證，使網(wǎng)絡(luò)安全管理人員做到及時響應(yīng)。

②通過對蜜罐采集到的信息，對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)進行檢測、監(jiān)控，精準(zhǔn)定位攻擊源并采取相應(yīng)的安全措施，以防御來自校園內(nèi)部的網(wǎng)絡(luò)攻擊。

③在重要服務(wù)器群中部署虛擬蜜罐系統(tǒng)，起到迷惑、干擾和拖延非法入侵行為的作用。

④捕獲并收集各類非法攻擊行為的數(shù)據(jù)，為網(wǎng)絡(luò)管理員發(fā)現(xiàn)及修補安全漏洞提供參考。

2.2 校園網(wǎng)部署虛擬蜜罐關(guān)鍵問題

（1）蜜罐類型的選擇

蜜罐根據(jù)交互程度、實現(xiàn)方式等因素的不同而有相應(yīng)的軟件，需根據(jù)安全需求情況來確定蜜罐的選擇。表1對不同交互程度的蜜罐進行了比較。

表1 不同交互程度蜜罐對比[3]

在虛擬蜜罐的使用上，我們選取Honeyd[4]、Dionaea[5]、Kippo[6]、Glastopf NG[7]和 PAMPot[8]等經(jīng)典蜜罐工具，根據(jù)各自特點和功能部署在相應(yīng)網(wǎng)絡(luò)節(jié)點上，盡可能覆蓋關(guān)鍵網(wǎng)絡(luò)位置。

（2）蜜罐部署位置的選擇

圖1 韓山師范學(xué)院校園網(wǎng)絡(luò)拓撲

以我校校園網(wǎng)為例，網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。為盡可能多地捕獲入侵行為的數(shù)據(jù)，需考慮根據(jù)不同蜜罐各自的特性，將其部署在網(wǎng)絡(luò)中合適的位置，以達到最佳效果。根據(jù)我校的網(wǎng)絡(luò)實際情況，可從下圖中的A、B、C和D是個點來考慮部署相應(yīng)的蜜罐系統(tǒng)。

圖2 虛擬蜜罐部署位置分析

根據(jù)不同位置部署相應(yīng)蜜罐系統(tǒng)，其優(yōu)缺點如下表所示。

（3）蜜罐部署數(shù)量（密度）的確定

蜜罐部署數(shù)量是一個重要因素，對于單點位置部署而言，蜜罐系統(tǒng)的防御效果取決于蜜罐的數(shù)量和網(wǎng)絡(luò)中需保護的真實主機（服務(wù)器）數(shù)量的比例，稱作成功預(yù)防率[9]（或防御期望值）。在文獻[9]中提到，單點蜜罐部署上隨著蜜罐數(shù)量的增多，網(wǎng)絡(luò)成功預(yù)防率雖有提高，但提高的效率越來越低，蜜罐數(shù)目和被保護主機數(shù)目之間存在一個合適的比例。理論上，當(dāng)部署蜜罐數(shù)量為被保護主機數(shù)量的2倍時為最佳，但這有待通過實踐進一步驗證。

在現(xiàn)實網(wǎng)絡(luò)環(huán)境中部署虛擬蜜罐，限于IP資源有限，盡可能采取接近最佳理論值的數(shù)量來進行配置，根據(jù)實際情況進行動態(tài)調(diào)整。

2.3 虛擬蜜罐部署實施

綜合前文所述，結(jié)合我校校園網(wǎng)的實際，考慮虛擬蜜罐部署的引入風(fēng)險等因素，分別在圖2中的B、C和D三個點部署一定數(shù)量的不同交互度的虛擬蜜罐，與防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具配合適用，構(gòu)建出一個具有主動防御功能的校園網(wǎng)絡(luò)安全防護系統(tǒng)。

3 實驗測試結(jié)果及應(yīng)用場景

3.1 實驗測試

以部署于D點的Honeyd蜜罐的一段日志記錄為例，IP地址為210.38.**9.0/24網(wǎng)段部署了重要服務(wù)器，利用空余IP地址資源，部署數(shù)量相當(dāng)于真實服務(wù)器數(shù)量2倍的虛擬蜜罐，通過虛擬蜜罐配置模板可輕松創(chuàng)

表2 蜜罐部署位置優(yōu)缺點對比

建出虛擬蜜罐主機。可簡單的通過如下綁定IP的命令既可實現(xiàn)：

表3 校園網(wǎng)部署虛擬蜜罐情況

假定入侵者繞過防火墻及IDS的監(jiān)測對上述網(wǎng)段進行入侵前的掃描，掃描及虛擬蜜罐工作情況如圖3、4所示。

通過上述實驗過程及結(jié)果，可以清晰的看到虛擬蜜罐將入侵者與之產(chǎn)生的交互行為進行了詳盡的記錄，日志信息中出現(xiàn)了同一IP對多個虛擬蜜罐不同端口都進行了掃描，日志信息對網(wǎng)絡(luò)安全人員而言是極具分析價值的。

圖3 Nmap攻擊掃描信息片段

圖4 虛擬蜜罐捕捉到數(shù)據(jù)片段

3.2 應(yīng)用場景

引入虛擬蜜罐系統(tǒng)部署在校園網(wǎng)中，可應(yīng)對如下安全情形：

（1）蠕蟲病毒的檢測與防范：一旦校園網(wǎng)發(fā)生蠕蟲病毒的傳播，可利用低交互虛擬蜜罐負責(zé)誘騙和重定向攻擊流，高交互物理蜜罐實現(xiàn)蠕蟲捕獲與分析，還可配合入侵檢測系統(tǒng)等工具的使用對蠕蟲病毒源頭進行精準(zhǔn)定位并采取隔離或斷網(wǎng)等措施。

（2）惡意掃描防范：根據(jù)蜜罐捕獲的IP及MAC地址等信息，配合防火墻規(guī)則的建立及使用，對發(fā)起惡意掃描的攻擊源采取防火墻過濾等措施；特別是對于來自校園網(wǎng)內(nèi)部的的攻擊也可精準(zhǔn)定位到攻擊者所在，加以警告或做相應(yīng)處理。

（3）防御非法入侵：利用低交互虛擬蜜罐，配置多個仿真服務(wù)及開放端口的主機，干擾迷惑入侵者對被保護服務(wù)器主機的攻擊；利用高交互蜜罐對入侵者的行為進行取證，截獲惡意代碼及攻擊者所使用的工具；從安全研究的角度，可對攻擊者實施攻擊的思路和技術(shù)方法進行深入研究，反向?qū)π@網(wǎng)存在的漏洞進行修補。

（4）DDoS攻擊防范：基于蜜罐技術(shù)的DDoS攻擊的防御機制可通過重定向器重定向入侵者對真實服務(wù)器的攻擊到蜜罐系統(tǒng)中，并由蜜罐記錄攻擊行為數(shù)據(jù)，為后續(xù)制定防御措施提供重要資料。

4 結(jié)語

本文結(jié)合不同類型蜜罐技術(shù)特征，綜合考慮蜜罐部署的位置、數(shù)量等因素，嘗試在校園網(wǎng)部署虛擬蜜罐系統(tǒng)，使校園網(wǎng)具備主動防御的能力。在后續(xù)工作中將對部署方案實施的效果，從蜜罐數(shù)據(jù)控制、數(shù)據(jù)捕獲及數(shù)據(jù)分析等方面深入研究，進一步優(yōu)化蜜罐的部署，使之更好地與傳統(tǒng)安全設(shè)備進行聯(lián)動，抵御各類網(wǎng)絡(luò)威脅。

參考文獻：

[1]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術(shù)研究與應(yīng)用進展[J].軟件學(xué)報，2013，24（4）：826.

[2]張龍生.虛擬蜜網(wǎng)關(guān)機技術(shù)研究與實現(xiàn)[D].北京郵電大學(xué)，2014，12.

[3]馬莉波.惡意移動代碼傳播與監(jiān)測模型研究[D].清華大學(xué)，2009，4.

[4]Honeyd.http://www.honeyd.org/

[5]Nepenthes Development Team.Dionaea.2011.http://dionaea.carnivore.it/

[6]Kippo—SSH Honeypot.2011.http://code.google.com/p/kippo/

[7]Rist L,Vetsch S,Koβin M,Mauer M.Know your Tools:Glastopf—A Dynamic,Low-interaction Web Application Honeypot.2011.http://honeynet.org/papers/KYT_glastopf

[8][0]Pickett N.SPAMPot.py—Spam honeypot SMTP server.2011.http://woozle.org/～neale/src/python/spampot.py

[9]馬莉波,段海新,李星.蜜罐部署分析[J].大連理工大學(xué)學(xué)報，2005.10,45.