網(wǎng)絡安全中的蜜網(wǎng)技術研究及應用

◆朱建忠

(福建廣播電視大學電子信息與計算機系 福建 350013)

網(wǎng)絡安全中的蜜網(wǎng)技術研究及應用

◆朱建忠

(福建廣播電視大學電子信息與計算機系 福建 350013)

蜜網(wǎng)技術作為網(wǎng)絡安全領域新的研究熱點,近年來得到了廣泛的關注和快速的發(fā)展。蜜罐與蜜網(wǎng)技術通過精心布置的誘騙環(huán)境來吸引網(wǎng)絡攻擊者的入侵，進而了解攻擊思路、攻擊工具和攻擊目的等行為信息。本文比較系統(tǒng)地闡述了蜜罐與蜜網(wǎng)的概念，研究密網(wǎng)所涉及的關鍵技術，探討了密網(wǎng)技術在網(wǎng)絡安全中的應用，最后對密網(wǎng)技術的發(fā)展趨勢進行了展望。

網(wǎng)絡安全；蜜罐；密網(wǎng)

0 引言

當前通過互聯(lián)網(wǎng)對信息資源所進行的攻擊日益嚴重，現(xiàn)有以防火墻(firewall)和入侵檢測系統(tǒng)(IDS)為核心的防御技術采用被動的安全策略，通常滯后于各種各樣的攻擊，難以針對未知的網(wǎng)絡安全問題做出有效響應。為此，基于主動防御理念的蜜罐(Honeypot)和密網(wǎng)（Honeynet）技術受到了廣泛的關注，近年來更是得到快速發(fā)展[1-2]。

本文闡述了蜜罐和密網(wǎng)的概念，重點探討了蜜網(wǎng)所涉及的關鍵技術及在網(wǎng)絡安全中的應用，并對密網(wǎng)技術的未來發(fā)展趨勢進行了展望。

1 蜜罐與密網(wǎng)概念

1.1 密罐概念

蜜罐是一種在互聯(lián)網(wǎng)上專門為吸引并誘騙那些試圖非法闖入計算機系統(tǒng)的人(如電腦黑客)而設計的包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務，因此所有對蜜罐嘗試都被視為可疑的?！懊劬W(wǎng)項目組”（The Honeynet Project）的創(chuàng)始人Lance Spitzner給出了對蜜罐的權威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷[2]。這就意味著所有流入/流出蜜罐的網(wǎng)絡流量都可能預示了掃描、攻擊和攻陷，這樣攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對網(wǎng)絡發(fā)動的最新攻擊，進而了解入侵者的攻擊目的、攻擊方法和攻擊工具，特別是對各種未知攻擊行為的學習。雖然蜜罐不會直接提高網(wǎng)絡安全，但可以延緩攻擊和轉(zhuǎn)移攻擊目標。因此蜜罐就是誘捕攻擊者的一個陷阱。

1.2 密網(wǎng)概念

蜜網(wǎng)是在蜜罐技術上逐漸發(fā)展起來的一種高交互性的蜜罐，在一臺或多臺蜜罐主機基礎上，結合防火墻、路由器、入侵檢測等組成的網(wǎng)絡系統(tǒng)。這一網(wǎng)絡系統(tǒng)是隱藏在防火墻后面的，所有進出的資料都會受到監(jiān)控、捕獲及控制。與傳統(tǒng)蜜罐技術的差異在于，蜜網(wǎng)構成了一個黑客誘捕網(wǎng)絡體系架構，在這個架構中，可以包含一個或多個蜜罐，同時保證網(wǎng)絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。另外，蜜網(wǎng)架構注重整合資源，將真實的系統(tǒng)、蜜罐系統(tǒng)、各種服務、防火墻及入侵檢測等資源有機結合在一起，具有多層次的數(shù)據(jù)控制機制，全面的數(shù)據(jù)捕獲機制，并能夠輔助研究人員對捕獲的數(shù)據(jù)進行深入分析。因此，蜜網(wǎng)也可理解為一個集防火墻、入侵檢測、數(shù)據(jù)分析軟件、各類蜜罐等于一體的綜合體。

2 密網(wǎng)核心技術

整個蜜網(wǎng)體系主要由蜜網(wǎng)網(wǎng)關、虛擬蜜罐、物理蜜罐和監(jiān)控機等組成。蜜網(wǎng)體系結構解決了三大核心功能：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析[3]。蜜罐與蜜網(wǎng)的研究主要涉及的關鍵技術有：網(wǎng)絡欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制、數(shù)據(jù)分析等[4-5]。

2.1 網(wǎng)絡欺騙

由于蜜罐與密網(wǎng)的價值是在其被探測、攻擊或者攻陷的時候才得到體現(xiàn)。網(wǎng)絡欺騙技術是使蜜網(wǎng)系統(tǒng)在網(wǎng)絡上與真實的主機系統(tǒng)難以區(qū)分。所以沒有網(wǎng)絡欺騙功能的蜜罐是沒有價值的, 網(wǎng)絡欺騙技術因此也是密網(wǎng)技術體系中最為關鍵的核心技術和難題。網(wǎng)絡欺騙技術的強與弱從一個側(cè)面也反映了蜜罐本身的價值。目前蜜罐主要的網(wǎng)絡欺騙技術有如下幾種: 模擬服務端口、模擬系統(tǒng)漏洞和應用服務、IP 空間欺騙、流量仿真、網(wǎng)絡動態(tài)配置、組織信息欺騙、網(wǎng)絡服務等。

2.2 數(shù)據(jù)捕獲

數(shù)據(jù)捕獲就是在網(wǎng)絡入侵者無察覺的情況下，完整地記錄所有進入蜜網(wǎng)系統(tǒng)的連接行為及其活動。蜜網(wǎng)系統(tǒng)通常采用三種層次捕獲數(shù)據(jù)，分別是防火墻、IDS 和蜜罐主機。防火墻位于蜜網(wǎng)系統(tǒng)的前面，數(shù)據(jù)捕獲是蜜網(wǎng)的重要功能，只有捕獲了攻擊者的入侵數(shù)據(jù)，才能對其進行分析整理，才能對防火墻和入侵檢測等系統(tǒng)進行規(guī)則調(diào)整。蜜網(wǎng)的主動防御功能能否得以充分的體現(xiàn)關鍵在于捕獲的數(shù)據(jù)是否真實、是否詳實、是否豐富，所以要從不同方面、不同角度去進行數(shù)據(jù)的搜集，同時還要考慮數(shù)據(jù)的真實性。

2.3 數(shù)據(jù)控制

數(shù)據(jù)控制就是通過設置策略限制攻擊者的活動進行網(wǎng)絡防護。如果攻擊者進入蜜網(wǎng)，既要給攻擊者一定的活動自由，也要對攻擊者的活動進行限制，不能讓攻擊者危害蜜網(wǎng)之外的系統(tǒng)，更不能讓攻擊者發(fā)現(xiàn)數(shù)據(jù)控制的活動。限制攻擊者的方法可以采取限制其從蜜罐向外的連接數(shù)量和在蜜網(wǎng)中的活動能力。為了防止因單個機制被攻破而導致系統(tǒng)淪陷，通常采用多層次的數(shù)據(jù)控制機制。

2.4 數(shù)據(jù)分析

數(shù)據(jù)分析就是把蜜網(wǎng)系統(tǒng)所捕獲到的數(shù)據(jù)記錄進行分析處理，提取入侵規(guī)則，從中分析是否有新的入侵特征。數(shù)據(jù)分析包括網(wǎng)絡協(xié)議分析、網(wǎng)絡行為分析和攻擊特征分析等。分析的主要目的有兩個：一個是分析攻擊者在蜜網(wǎng)系統(tǒng)中的活動、掃描擊鍵行為、非法訪問系統(tǒng)所使用工具、攻擊目的何在以及提取攻擊特征；另一個是對攻擊者的行為建立數(shù)據(jù)統(tǒng)計模型，看其是否具有攻擊特征，若有則發(fā)出預警，保護其它正常網(wǎng)絡，避免受到相同攻擊。

3 蜜網(wǎng)技術在網(wǎng)絡安全中的應用

隨著互聯(lián)網(wǎng)的飛速發(fā)展和經(jīng)濟利益的誘惑，越來越多的網(wǎng)絡攻擊將給網(wǎng)絡帶來嚴重的危險。因此如何保證網(wǎng)絡安全是重中之重的事情，本文針對目前危及網(wǎng)絡安全較為嚴重的幾種威脅，利用蜜網(wǎng)技術進行防御的可行性進行了探討[6]。

3.1 抗蠕蟲病毒

蠕蟲的一般傳播過程為掃描、感染、復制三個步驟。經(jīng)過大量掃描，當探測到存在漏洞的主機時，蠕蟲主體就會遷移到目標主機。然后在被感染的主機上生成多個副本，實現(xiàn)對計算機監(jiān)控和破壞。利用蜜網(wǎng)技術，可以在蠕蟲感染的階段檢測非法入侵行為，對于已知的蠕蟲病毒，可以通過設置防火墻和IDS規(guī)則，直接重定向到蜜網(wǎng)的蜜罐中，拖延蠕蟲的攻擊時間；對于全新的蠕蟲病毒，可以采取辦法延緩其掃描速度，在網(wǎng)絡層用特定的、偽造數(shù)據(jù)包來延遲應答，同時利用軟件工具對日志進行分析，以便確定相應的對抗措施。

3.2 捕獲網(wǎng)絡釣魚

網(wǎng)絡釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。最典型的網(wǎng)絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網(wǎng)站非常相似的釣魚網(wǎng)站上，并獲取收信人在此網(wǎng)站上輸入的個人敏感信息，通常這個攻擊過程不會讓受害者警覺。目前的反網(wǎng)絡釣魚工作組等機構寄希望于發(fā)覺網(wǎng)絡釣魚攻擊的用戶向他們報告，通過報告再進行分析。這種途徑只能在網(wǎng)絡釣魚攻擊發(fā)生后從受害者的角度去觀察，并不能清晰地了解網(wǎng)絡釣魚攻擊的全過程。而蜜網(wǎng)技術則提供了捕獲整個過程中攻擊者發(fā)起攻擊行為的能力，在蜜網(wǎng)中的蜜罐都是初始安裝的沒有打漏洞補丁的系統(tǒng)，一旦部署的蜜網(wǎng)被網(wǎng)絡釣魚者以進行網(wǎng)絡釣魚攻擊，安全分析人員就能及時在蜜網(wǎng)捕獲的豐富日志數(shù)據(jù)的基礎上，對網(wǎng)絡釣魚攻擊的整個生命周期建立起一個完整的理解，并深入剖析各個步驟釣魚者所使用的技術手段和工具。

3.3 捕獲僵尸網(wǎng)絡

僵尸網(wǎng)絡是近年來興起得危害互聯(lián)網(wǎng)的重大威脅之一，它的危害體現(xiàn)在發(fā)動分布式拒絕服務攻擊、發(fā)送垃圾郵件以及竊取僵尸主機內(nèi)的敏感信息等。因此，我們可以考慮利用在網(wǎng)絡中部署惡意軟件收集器，對收集到的惡意軟件樣本采用蜜網(wǎng)技術對其進行分析，確認是否僵尸程序，并對僵尸程序所要連接的僵尸網(wǎng)絡控制信道的信息進行提取，最后通過客戶端蜜罐技術，偽裝成被控制的僵尸工具，進入僵尸網(wǎng)絡進行觀察和跟蹤。

4 蜜網(wǎng)的發(fā)展趨勢

面對越來越多的網(wǎng)絡攻擊，密網(wǎng)技術也需要不斷更新與發(fā)展。

4.1 提高蜜網(wǎng)的可移植性

目前的操作系統(tǒng)種類繁多，大部分蜜網(wǎng)只能在特定的操作系統(tǒng)下工作。因此，能夠跨平臺工作的蜜網(wǎng)成為關注的焦點。如果蜜網(wǎng)可以在任何操作系統(tǒng)下生效，蜜網(wǎng)的適用范圍就會變得更廣。

4.2 提高蜜網(wǎng)的交互性

在降低風險的情況下，盡可能提高蜜網(wǎng)與入侵者之間的交互程度。蜜網(wǎng)如果僅僅支持簡單的交互行為，就可能被入侵者很快發(fā)現(xiàn)并迅速全身而退。所以蜜網(wǎng)要盡量提高與入侵者之間的交互程度，以便更好地了解入侵者的行為。

4.3 提高蜜網(wǎng)的信息控制和記錄功能

當前的蜜網(wǎng)技術在記錄攻擊者攻陷一臺機器之后的情況方面還做得很不夠。由于出現(xiàn)了越來越多大規(guī)模分布式的攻擊，了解攻擊者在攻陷一臺機器之后的所作所為，成為蜜網(wǎng)的重要工作。

4.4 降低蜜網(wǎng)的風險

引入密網(wǎng)后，想要獲得更多有價值的信息和數(shù)據(jù)，又要系統(tǒng)保持足夠的安全，這的確很難。交互的程度越高，模擬得越像，自己陷入危險的可能性也就越大。

5 結論

本文介紹了蜜罐及蜜網(wǎng)的概念，重點探究了網(wǎng)絡欺騙、數(shù)據(jù)捕獲、數(shù)據(jù)控制、數(shù)據(jù)分析等密網(wǎng)所涉及的關鍵技術，探討了密網(wǎng)技術在網(wǎng)絡安全中的應用，并展望了未來的發(fā)展趨勢。蜜網(wǎng)技術作為一種應用欺騙思想的主動防御技術，是現(xiàn)有安全機制的有力補充。隨著技術的進一步發(fā)展，蜜網(wǎng)技術定能在網(wǎng)絡安全領域發(fā)揮更大的作用。

[1]ROBERT MCGREW.Experiences With Honeypot Systems：Development，Deployment and Analysis[J].IEEE Transactions on Software Engineering，2006.

[2]The Honeynet Project. http: www.honeynet.org, 2007

[3]程杰仁,殷建平,劉運,鐘經(jīng)偉.蜜罐及密網(wǎng)技術研究進展[J].計算機研究與發(fā)展，2008.

[4]羅來俊.基于蜜網(wǎng)技術的主動式網(wǎng)絡安全系統(tǒng)研究 [J].電腦知識與技術，2011.

[5]諸葛建偉等.蜜罐技術研究與應用進展[J].軟件學報2013.

[6]賀文娟,賈丙靜.蜜網(wǎng)技術在網(wǎng)絡安全中的應用[J].東莞理工學院學報，2013.