基于動態(tài)蜜罐技術的虛擬網絡設計

程靜

基于動態(tài)蜜罐技術的虛擬網絡設計

程靜

（霍山縣委黨校信息化辦公室，安徽六安237200）

通過利用蜜罐技術和網絡掃描技術完成動態(tài)網絡蜜罐的設計,以設計一個動態(tài)自適應虛擬網絡系統(tǒng)為目標來實現(xiàn)對真實網絡環(huán)境的虛擬模擬與動態(tài)信息收集，從而配置一個與實際網絡拓撲結構十分類似的虛擬網絡，用以誘騙攻擊、轉移攻擊，對于消解黑客攻擊帶來的威脅、掌握黑客攻擊特性與新型攻擊方式很有幫助.

蜜罐技術；網絡掃描技術；動態(tài)蜜罐網絡；虛擬網絡

信息技術和網絡計算機的快速發(fā)展為國家經濟發(fā)展和社會民生帶來了眾多便利，其積極的作用使得網絡應用延伸到了人們生活與工作的各個方面，面對這種龐大的應用需求，加強網絡安全建設工作勢在必行.目前由于對互聯(lián)網的發(fā)展與應用缺乏一勞永逸的管理手段，所以網絡應用中安全問題較多，安全管理形勢十分嚴峻，網絡上運行的每一臺電腦都有可能是被攻擊的對象，造成個人信息泄露、經濟損失甚至是危害國家安全.目前網絡應用領域的安全防護措施多數(shù)是被動模式，應對眾多黑客復雜多變的網絡攻擊顯得十分吃力，尤其是在面對新型攻擊時，更是顯得力不從心，所以，積極引進高端網絡安全技術十分必要.動態(tài)蜜罐技術是當前應用較為廣泛的一種安全模式，對于指導當前網絡安全建設研究、實踐有積極意義.本文以目前網絡安全管理中應用效果較好的基于網絡掃描技術的動態(tài)蜜罐技術的設計、實現(xiàn)略作研究.

1 蜜罐技術與網絡掃描技術

1.1蜜罐定義與分類

蜜罐技術是新近發(fā)展起來的應用全新安全理論“誘騙”的網絡安全技術.雖然目前關于蜜罐技術的準確定義存在不少分歧與爭論，但是從其功能和特性出發(fā)，可以總結為蜜罐是通過嚴密監(jiān)控網絡誘騙系統(tǒng)來模擬或者再現(xiàn)網絡服務功能吸引黑客攻擊，并對這些攻擊行為與過程的特性進行分析，在此過程中對信息進行搜集、整合并對新攻擊進行預警，可以有效延緩受到的黑客攻擊或達到轉移攻擊目標的效果.從其應用價值和實踐情況來看，蜜罐技術在篩選系統(tǒng)漏洞、編寫新IDS特征庫與分析分布式拒絕服務攻擊方面的價值最大［1］.

蜜罐根據(jù)交互程度可以分為低、高交互蜜罐兩種，低交互缺乏提供真實操作的系統(tǒng)環(huán)境，主要通過腳本或者自身的小程序來模擬網絡服務吸引攻擊，具有低風險、部署便利、結構簡單等特點，但是在應用效果方面不如高交互；高交互蜜罐與低交互正相反，它是基于真實的系統(tǒng)環(huán)境進行搭建，模擬給攻擊黑客的是真實的網絡服務，可以在分析黑客攻擊的過程中對其運行動作進行全解析與學習，從而收集大量有效信息來延緩攻擊或轉移攻擊對象，預警下一波攻擊等，其學習能力十分強大，即使是對自己不了解的新型攻擊方式也能夠獲取有效信息，不過應用風險較高，黑客可能會通過開放的系統(tǒng)去攻擊其他系統(tǒng).低交互蜜罐因為自身特性所提供的眾多操作、服務都是虛擬性質的，因此，也被成為虛擬蜜罐，高交互正好相反，因為是基于真實的應用系統(tǒng)且需要應用到多個獨立IP完成攻擊吸引，所被稱為物理蜜罐.在實際應用中，高交互因為真實模擬性質所以應用成本也非常高，虛擬蜜罐因為虛擬模擬在資源消耗、成本花費方面較低，維護和控制工作也簡單，所以非常適合前期進行實踐研究［2］.

本文的基于網絡掃描技術的動態(tài)蜜罐網絡設計就是采用虛擬蜜罐構建欺騙性動態(tài)虛擬網絡.低交互虛擬蜜罐框架的搭建主要采用源代碼開放的“Honeyd”，Honeyd是尼爾·普羅沃斯所創(chuàng)建一種虛擬蜜罐框架，可以在目前在常用的Windows、UNIX系統(tǒng)上模擬運行400多種網絡服務和上千臺不同的計算機運行，通過在IP地址設置方面的虛擬模擬配合同樣模擬的網絡服務來完成誘騙［3］.這種框架支持IP協(xié)議并按照配置對眾多虛擬網絡服務請求做出回應，其虛擬化的引擎操作能夠更好的適應操作系統(tǒng)的個性化.這種虛擬框架的模擬并非是簡單的模擬操作系統(tǒng)，而是以模擬網絡堆棧，將交互限制在網絡層，避免了攻擊黑客進入系統(tǒng)的風險.

1.2網絡掃描技術

動態(tài)蜜罐技術要模擬與真實狀態(tài)十分相近的虛擬網絡就必須全面了解真實網絡的拓撲結構、節(jié)點設置、所提供的網絡服務、操作系統(tǒng)平臺情況與開放端口情況等，以這些真實存在的信息為基礎對蜜罐配置數(shù)量、IP綁定、主機類型、操作平臺、開放端口等進行虛擬模擬，并且隨著網絡環(huán)境的變化進行自動調整更新［4］.為解決這些問題可選擇網絡掃描技術，目前網絡掃描技術的應用主要以3種為主，分別是主機掃描、端口掃描、操作系統(tǒng)識別.本研究中主機掃描技術主要以Ping掃描、TCP-connect掃描為主；端口掃描技術主要以多端口TCP-SYN掃描、TCP-FIN掃描、TCP-XMAS掃描、TCP-Null掃描、UDP-掃描等為主；操作系統(tǒng)識別以主動式協(xié)議棧指紋分析技術為主，包括Windows Size探測、DF標志位監(jiān)控、ISN采樣、ICMP消息抑制和檢查等，常見操作系統(tǒng)指紋統(tǒng)計表見表1.

表1 常見操作系統(tǒng)指紋統(tǒng)計

2 動態(tài)蜜罐網絡的設計與實現(xiàn)

2.1動態(tài)蜜罐網絡的設計

本研究應用網絡掃描技術和蜜罐技術進行混合網絡設計，以設計一個動態(tài)自適應虛擬網絡系統(tǒng)為目標來實現(xiàn)對真實網絡環(huán)境的虛擬模擬與動態(tài)信息收集，從而配置一個與實際網絡拓撲結構十分類似的虛擬網絡，在受到黑客攻擊時能通過模擬網絡服務和虛擬網絡環(huán)境吸引黑客攻擊，延緩攻擊結構或者轉移攻擊對象，消耗攻擊資源，并完成對攻擊行為模式信息的收集，以便對攻擊信息進行解讀，從而更好的掌握黑客攻擊的特性輔助網絡安全建設與管理.根據(jù)設計思路，本研究設計的邏輯結構如圖1所示.

在這個虛擬網絡系統(tǒng)邏輯結構中，不同模塊承擔著不同的功能，通過協(xié)同合作完成運行.控制中心負責結構中不同模塊之間的管理與協(xié)調工作，系統(tǒng)控制中心界面見圖2.掃描模塊是獲得真實網絡運行信息的主要途徑，為虛擬模擬網絡環(huán)境的完善與運行提供參考與幫助；數(shù)據(jù)庫只要存儲3方信息，分別是管理網絡與虛擬網絡的操作系統(tǒng)信息、端口情況與IP地址；Snort入侵檢測系統(tǒng)對整個網絡的數(shù)據(jù)流進行監(jiān)控和記錄，是重要的信息庫，對于發(fā)現(xiàn)系統(tǒng)漏洞、總結黑客攻擊特征等有著極為重要的價值；對入侵信息進行記錄；策略分析管理模塊對掃描策略和虛擬蜜罐配置策略進行管理存放，比如蜜罐配置數(shù)量與密度、掃描時間間隔等，作為開放模塊，這一模塊可以根據(jù)用戶實際適應需求隨時進行更新和修改；蜜罐管理模塊通過對虛擬網絡配置策略、掃描信息來完成蜜罐配置從而啟動動態(tài)虛擬網絡，實現(xiàn)動態(tài)蜜罐網絡的管理.在設計的這個動態(tài)蜜罐網絡結構中，工作流程如下：現(xiàn)掃描物理網絡，收集拓撲信息；人然后根據(jù)收集信息以虛擬配置策略來啟動虛擬網絡；根據(jù)不定時/定時掃描完成虛擬網絡的更新；Snort檢測完成動態(tài)虛擬網絡的實時修正與更新［5］.

圖1 虛擬網絡系統(tǒng)邏輯結構

圖2 系統(tǒng)控制中心界面

2.2動態(tài)蜜罐網絡的實現(xiàn)與檢測

動態(tài)蜜罐網絡的實現(xiàn)需要做好蜜罐部署，其部署主要是通過利用混合蜜罐的空閑IP地址將其合理分布到現(xiàn)有的操作系統(tǒng)之中，降低虛擬網絡受到攻擊時真正主機遭受攻擊的概率，這個分布問題并不難解決，最簡單的是在虛擬機加入之后還保持操作系統(tǒng)分布.本研究用一個測試來驗證，假設實際物理主機綜述為NP，以Npoi表示特定系統(tǒng)環(huán)境下的主機數(shù)，將來需要布置虛擬機的IP總數(shù)為NFIP，閑置的其他用途的IP地址為NUIP，那么所需蜜罐數(shù)量為：

從黑客攻擊的角度來看，系統(tǒng)會增加運行的蜜罐數(shù)量中主機數(shù)量.虛擬網絡系統(tǒng)在不斷的更新過程中完成這個計算過程，并根據(jù)需求變化情況完成對蜜罐數(shù)量的加減，所以有可能蜜罐會視需求被增添或者刪除.考慮到各個主機的情況，蜜罐分配的端口很多采用平均設置方式，被部署在同樣的操作系統(tǒng)內，這樣可部署的物理蜜罐數(shù)量通常小于蜜罐數(shù)量，但是對于既定操作系統(tǒng)而言，物理蜜罐數(shù)量布置由它們自身的預計負荷所決定的.

重定向技術是在黑客攻擊者不知情的情況下將其誘騙至蜜罐之中，通過在操作系統(tǒng)附近布置蜜罐來對各種行為進行定義、篩選并采取誘騙行為消解攻擊風險，服務器對可疑行為重定向到蜜罐，對攻擊者行為誘騙與迷惑，降低真實主機遭受攻擊的概率［6］.重定向過程中從數(shù)據(jù)庫中檢索重定向地址，每個蜜罐都設有最大合理連接數(shù)目對最大數(shù)目進行限定，其通過端口和物理蜜罐完成限定連接.大量的重定向連接與蜜罐數(shù)量相關，其連接數(shù)目為Ncoi，也可以作為系統(tǒng)接受的響應時間和入侵占用最長時間，重定向過程的連接數(shù)目為：

（2）式能夠計算出單一物理蜜罐所能夠重定向的最大連接數(shù)目.考慮到入侵會話的系統(tǒng)容量，物理蜜罐的數(shù)量部署也會出現(xiàn)相應變化，入侵者的數(shù)量也是重要考量因素，那么根據(jù)最大連接數(shù)目計算情況可以得到物理蜜罐數(shù)量的估算公式：

根據(jù)這一估算公式，物理蜜罐數(shù)量的確定就比較簡單.根據(jù)實際應用情況，這種動態(tài)虛擬環(huán)境所提供的仿真模擬腳本本質上與其提供的仿真級別關系較大，有時候在高流量情況下，蜜罐服務器會滿負荷運行，所以為了解決這個問題，通常采取備份蜜罐服務器和拒絕分流通信等手段解決問題.

針對設計的動態(tài)蜜罐網絡通常要進行拓撲測試，此次設計在本院校園網的212.109.188.0～212.109.188.24網段內做拓撲測試，網段內13臺主機，根據(jù)掃描結構，最終系統(tǒng)構建了7個蜜罐組成的動態(tài)虛擬網絡，其掃描后得到的網絡拓撲結構見圖3.

圖3 虛擬網絡拓撲圖

針對拓撲測試結構，本研究模擬了黑客網絡入侵攻擊的典型形式，安全漏洞測試儀選擇Nessus，測試結果顯示攻擊被誘騙至蜜罐網關和虛擬機與IP地址，并且系統(tǒng)生成預警警報，攻擊被延緩和轉移，證實其能夠有效運行.在Nessus啟動后預警警報被匯總，除去端口之外，有攻擊診斷和攻擊地址匯總，這些都可以被網絡管理員用于制作流量的綜述視圖，從而決定是否用來獲得物理蜜罐日志以便得到可疑的交互信息的相信內容.

測試結果表明這個動態(tài)蜜罐虛擬網絡的構建和應用是成功的，實現(xiàn)了和物理網絡的無縫連接.不過，由于本設計以低交互蜜罐與網絡掃描技術為主，所以主動掃描時內部流向消耗大十分明顯，這也是本設計的一個缺點，不過以本設計為基礎，今后可通過應用高交互蜜罐、被動掃描技術等消減缺點帶來的負面影響，更好的完成虛擬網絡結構的設置.這種應用低交互蜜罐的虛擬網絡欺騙性不高，誘騙作用有限，對于高級黑客的入侵攻擊無明顯作用，所以，通過應用高低交互蜜罐、消解風險的形式來加強網絡安全控制為未來一段時期內的重要研究課題［7］，且如何增強系統(tǒng)自身的自動學習功能也是需要進一步加強研究的重要課題對象.

3 結語

動態(tài)蜜罐技術是當前應用較為廣泛的一種安全模式，對于指導當前網絡安全建設研究、實踐有積極意義.蜜罐技術應用于網絡安全防護有著積極意義，它通過與網絡掃描技術的結合能夠完成虛擬網絡環(huán)境構建，從而通過動態(tài)蜜罐網絡的架構對黑客入侵行為進行誘騙、轉移，降低系統(tǒng)主機遭受攻擊的風險，是當前網絡安全領域加強應用研究的重要方向，對于下階段進一步研究動態(tài)蜜罐技術的廣泛應用有積極意義.

參考文獻：

［1］金淦,張晶.蜜罐技術系統(tǒng)在局域網安全中研究與設計［J］.信息與電腦：理論版,2010(3)：84，86.

［2］潘立武.基于IDS和DM的Honeypot系統(tǒng)的設計［J］.北京聯(lián)合大學學報：自然科學版,2010，24(1)：42-45.

［3］徐蘭云,程京,邱飚.蜜罐系統(tǒng)中日志服務器的安全性研究及實現(xiàn)［J］.湖南城市學院學報：自然科學版，2012，17(4)：67-70.

［4］禹謝華.基于蜜罐技術的網絡入侵檢測系統(tǒng)協(xié)作模型的研究與實現(xiàn)［J］.佳木斯大學學報：自然科學版,2012，27(6)：860-863.

［5］馮度,孫星明,劉智勇.網絡安全中的蜜網技術應用研究［J］.科學技術與工程,2011，8(11)：2858-2863.

［6］杜彥輝.利用蜜罐技術實現(xiàn)對互聯(lián)網非法活動進行監(jiān)控［J］.中國人民公安大學學報：自然科學版,2013(4)：78-80.

［7］隋京,黃曉峰.蜜罐技術及其在網絡安全中的應用分析［J］.信息網絡安全,2010(12)：30-32.

On the virtual network design based on dynamic honeypot technique

CHENG Jing
（Informatization office,The Huoshan County School Information,Liuan 237200,Anhui,China）

The paper proposed a way to use the honeypot technology and network scanning methods to achieve a dynamic network honeypot model,aimed to dynamically self-adapting to the virtual network system to imitate a model of the real network environment and gather the changing information.Such virtual network is quite similar to a real topology which is helpful to dodge against the threats and attacking from the hackers by way of diverting their attacks and learning their new way of attacking.

the honeypottechnology;network scanning technology;the dynamic honeypotnetwork;virtualnetwork

TP393.08

A

1007-5348（2014）04-0024-05

（責任編輯：邵曉軍）

2013-10-26

程靜（1981-），女，安徽霍山人，安徽省中共霍山縣委黨校信息化辦公室講師，主要從事計算機應用方面的教學和研究.