游杰 湯輝 李書鋒 江西省計(jì)算技術(shù)研究所(江西省計(jì)算中心) 南昌市 330002

0 引言

在新一代信息技術(shù)快速發(fā)展的時代，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)發(fā)展的命脈，信息系統(tǒng)越自動化越信息化越智能化，安全問題就會非常大。現(xiàn)如今高級持續(xù)性威脅不斷被發(fā)現(xiàn)、關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件顯著增加、信息泄露事件頻發(fā)等安全問題愈演愈烈，而網(wǎng)絡(luò)安全防御技術(shù)并不能及時抵御網(wǎng)絡(luò)安全威脅的變化，網(wǎng)絡(luò)安全問題已成為影響信息化快速發(fā)展的重要因素，急需具備宏觀數(shù)據(jù)匯聚、融合分析、威脅態(tài)勢感知的蜜網(wǎng)防護(hù)系統(tǒng)來提高網(wǎng)絡(luò)安全保護(hù)等級。

1 蜜罐技術(shù)現(xiàn)狀

蜜罐（Honeypot）好比是情報(bào)收集系統(tǒng)，主要用來迷惑入侵者、保護(hù)服務(wù)器，抵御入侵者、加固服務(wù)器，誘捕網(wǎng)絡(luò)罪犯等。蜜罐技術(shù)是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊者實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析，能讓防御方了解他們所面對的安全威脅，并通過管理和技術(shù)手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力[1]。根據(jù)攻擊者與應(yīng)用程序或服務(wù)的交互能力要求，可以選擇低交互蜜罐或高交互蜜罐，低交互蜜罐只能讓攻擊者極其有限的交互服務(wù)，易于部署，但不夠有效，高交互蜜罐不是簡單地模擬某些協(xié)議或服務(wù)，而是提供真實(shí)的服務(wù)系統(tǒng)，可以輕松的發(fā)現(xiàn)威脅并跟蹤其行為，但其最大的缺點(diǎn)是部署復(fù)雜，同時需保持對其長期監(jiān)控，以降低系統(tǒng)風(fēng)險[2]。

2 蜜網(wǎng)防護(hù)系統(tǒng)的關(guān)鍵技術(shù)

2.1 偽裝誘捕技術(shù)

通過操作系統(tǒng)偽裝、數(shù)據(jù)和文件的偽裝、應(yīng)用程序運(yùn)行和服務(wù)的偽裝、目錄系統(tǒng)偽裝和信息偽裝技術(shù)等，實(shí)現(xiàn)蜜罐系統(tǒng)的偽裝誘捕，作為一個包含漏洞的蜜罐系統(tǒng)，并不是提供真正有價值的服務(wù)，所以所有對蜜罐的嘗試訪問都是十分可疑的。防御方可以通過蜜罐偽裝誘捕攻擊者，從而保護(hù)服務(wù)器。偽裝誘捕必須通過是分層捕獲數(shù)據(jù),不能只靠一個層面來獲取信息,從多個層面來收集信息，不會讓黑客發(fā)覺他的所有行為都被記錄了，同時實(shí)現(xiàn)本地存儲信息數(shù)據(jù)的安全，不易被黑客發(fā)現(xiàn)。

2.2 統(tǒng)計(jì)和分析技術(shù)

通過對誘捕的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析，對一些早期警告與預(yù)報(bào)內(nèi)容進(jìn)行測試分析，建立預(yù)警模型，實(shí)現(xiàn)對系統(tǒng)攻擊的前期預(yù)警，為蜜網(wǎng)防護(hù)系統(tǒng)搜集更多有價值的數(shù)據(jù)，同時使用統(tǒng)計(jì)學(xué)分析能夠精確地判斷出短時期內(nèi)對蜜網(wǎng)防護(hù)系統(tǒng)可能發(fā)生的攻擊情況[3]。

圖1 蜜網(wǎng)防護(hù)系統(tǒng)結(jié)構(gòu)圖

3 蜜網(wǎng)防護(hù)系統(tǒng)的部署

蜜網(wǎng)防護(hù)系統(tǒng)通過Honeypot節(jié)點(diǎn)行為感知內(nèi)網(wǎng)攻擊事件、情報(bào)協(xié)同增強(qiáng)失陷主機(jī)監(jiān)測，獲取到內(nèi)網(wǎng)攻擊、網(wǎng)絡(luò)控制等威脅事件、樣本文件、通信數(shù)據(jù)包，并且上報(bào)態(tài)勢平臺。態(tài)勢平臺作為調(diào)度中心調(diào)度沙箱分析平臺對采集到的樣本文件進(jìn)行深度分析，通過行為日志與通信數(shù)據(jù)包進(jìn)行關(guān)聯(lián)分析，并從中提取威脅情報(bào)。提取到威脅情報(bào)后，蜜罐安全管理控制中心將威脅情報(bào)下發(fā)各個采集監(jiān)控節(jié)點(diǎn)，從而組成一個情報(bào)生產(chǎn)、情報(bào)協(xié)同的動態(tài)網(wǎng)絡(luò)監(jiān)測的蜜網(wǎng)防護(hù)系統(tǒng)[4]。

4 蜜網(wǎng)防護(hù)系統(tǒng)的實(shí)現(xiàn)

圖2 蜜網(wǎng)防護(hù)系統(tǒng)效果展示圖

蜜網(wǎng)防護(hù)系統(tǒng)通過安全事件的“敵我戰(zhàn)”三情視角打造攻擊者視圖、受攻擊者視圖、事件視圖和威脅視圖的安全事件多維視圖分析模式。攻擊者視圖以“敵情”信息為基礎(chǔ)，關(guān)聯(lián)威脅情報(bào)和威脅事件信息，暴光攻擊者的詳細(xì)信息，揭露攻擊者對內(nèi)網(wǎng)環(huán)境攻擊造成的影響。受攻擊者視圖關(guān)聯(lián)基于“我情”的內(nèi)網(wǎng)資產(chǎn)數(shù)據(jù)，通過分析威脅行為，評估受害資產(chǎn)的狀態(tài)，展現(xiàn)內(nèi)網(wǎng)資產(chǎn)安全的態(tài)勢。事件視圖和威脅視圖主要關(guān)注“戰(zhàn)情”信息，包括攻擊的行為、手法、類型、階段和資產(chǎn)狀態(tài)等相關(guān)信息，同時分析揭示攻擊的組織、家族、利用的漏洞、連接的C&C等相關(guān)信息。深度分析安全事件，全方位呈現(xiàn)安全事件發(fā)生的全生命周期過程。該系統(tǒng)以2D平面地圖、3D立體地圖以及資產(chǎn)拓?fù)鋱D的方式提供宏觀態(tài)勢、微觀態(tài)勢以及綜合態(tài)勢的可視化展示。支持對事件本身、內(nèi)網(wǎng)資產(chǎn)、威脅情報(bào)等相關(guān)數(shù)據(jù)的多維度、多層次統(tǒng)計(jì)展現(xiàn)。該系統(tǒng)根據(jù)數(shù)據(jù)對象類型提供統(tǒng)一接入接口，支持接入流量監(jiān)控、行為捕獲、文件捕獲等多種數(shù)據(jù)采集節(jié)點(diǎn)和檢測引擎。平臺提供全面安全的受控設(shè)備管控措施，實(shí)時監(jiān)控受控設(shè)備的健康狀態(tài)，及時處理不健康的受控設(shè)備。采用指令下發(fā)策略，支持對受控設(shè)備進(jìn)行業(yè)務(wù)暫停、服務(wù)重啟、刪除連接等操作，實(shí)現(xiàn)平臺對受控節(jié)點(diǎn)的全面安全管理控制。

該系統(tǒng)實(shí)現(xiàn)了對高低交互式蜜罐的遠(yuǎn)程監(jiān)控、遠(yuǎn)程配置、管理、警報(bào)查詢顯示等功能,模擬了Unix、Windows等操作系統(tǒng)及FTP、Telnet等網(wǎng)絡(luò)基本服務(wù),可與入侵檢測系統(tǒng)、防火墻聯(lián)動,實(shí)現(xiàn)對入侵行為的誘捕和監(jiān)控記錄。[5]該系統(tǒng)同時提供用戶自定義的報(bào)表統(tǒng)計(jì)功能，通過以安全事件為中心，關(guān)聯(lián)資產(chǎn)信息、攻擊者信息和威脅情報(bào)信息，打造包含事件、攻擊者、攻擊行為、攻擊類型、攻擊武器、武器平臺、組織、地域、受攻擊者、資產(chǎn)狀態(tài)以及漏洞、家族等一體的綜合統(tǒng)計(jì)報(bào)表。支持對統(tǒng)計(jì)的內(nèi)容模塊進(jìn)行定制，同時支持對統(tǒng)計(jì)報(bào)表進(jìn)行導(dǎo)出，支持導(dǎo)出為PDF和Excel格式。

5 結(jié)束語

蜜網(wǎng)防護(hù)系統(tǒng)是主動防御型網(wǎng)絡(luò)安全系統(tǒng),在入侵檢測系統(tǒng)、防火墻等安全措施的配合下,可提高系統(tǒng)安全防護(hù)等級，對已知和未知的新型攻擊手段都能有效防護(hù)和主動預(yù)防。蜜網(wǎng)防護(hù)系統(tǒng)能將黑客的攻擊行為引誘至一個可監(jiān)控的范圍,消耗其資源,了解其使用的網(wǎng)絡(luò)攻擊方法和技術(shù),監(jiān)控記錄其犯罪行為,市場應(yīng)用推廣前景巨大。