基于蜜罐的主動防御應(yīng)用研究

楊德全，劉衛(wèi)民，俞宙

?

基于蜜罐的主動防御應(yīng)用研究

楊德全，劉衛(wèi)民，俞宙

（北京理工大學(xué)網(wǎng)絡(luò)信息技術(shù)中心, 北京 100081）

隨著金融信息化的蓬勃發(fā)展，針對金融系統(tǒng)的網(wǎng)絡(luò)攻擊事件也大量增長。主動防御對提高專用網(wǎng)絡(luò)的防御水平有著重要的作用。如何快速有效的部署和應(yīng)用蜜罐捕獲攻擊行為，分析攻擊意圖，提高攻擊門檻是保障專網(wǎng)安全的關(guān)鍵所在。本文從主動防御的角度出發(fā)，分析了蜜罐的主動防御優(yōu)勢，設(shè)計了將主動防御和被動防御整合的防御生態(tài)鏈，并在專網(wǎng)內(nèi)建立了蜜罐實驗環(huán)境，結(jié)果表明，主動防御技術(shù)可以有效提高攻擊者的攻擊門檻，從而提高整體網(wǎng)絡(luò)的安全等級。

網(wǎng)絡(luò)安全；蜜罐；主動防御；防御生態(tài)鏈

1 引言

金融信息安全技術(shù)是現(xiàn)代化建設(shè)的重點問題。沒有網(wǎng)絡(luò)安全就沒有國家安全，網(wǎng)絡(luò)安全是金融安全的一個重要支撐力量。金融網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)自誕生以來就有網(wǎng)絡(luò)安全和病毒的雙重威脅，包括特洛伊木馬、惡意代碼、蠕蟲病毒、勒索病毒、數(shù)據(jù)泄露、分布式拒絕服務(wù)攻擊（DDoS, distributed denral of service）、0day漏洞、APT攻擊等方面。隨著網(wǎng)絡(luò)信息技術(shù)和金融業(yè)務(wù)系統(tǒng)的深層次融合，安全威脅也面臨著日新月異的挑戰(zhàn)，如何有效防御攻擊，構(gòu)建完整的主動防御生態(tài)鏈，提高金融信息安全的安全狀況是目前的亟需研究的課題。

2 主動防御生態(tài)鏈構(gòu)成

2.1 主動防御

現(xiàn)有的防御設(shè)備包括防火墻、入侵檢測系統(tǒng)（IDS，intrusion detect system）、入侵保護系統(tǒng)（IPS，intrusion protection system）、流量控制設(shè)備等均處于被動防御狀態(tài)。攻防雙方處于不對等的狀態(tài)，防守方在明處，攻擊方在暗處。被保護的信息系統(tǒng)長期處于敵暗我明狀態(tài)，不利于開展網(wǎng)絡(luò)安全防范工作，不能夠有效檢測新類型攻擊。

主動防御在網(wǎng)絡(luò)傳輸?shù)钠邔永碚搶蛹壞Ｐ椭芯蓪嵤軌蛟诰W(wǎng)絡(luò)層和應(yīng)用層的層面收集疑似攻擊行為數(shù)據(jù)。主動防御偏重于發(fā)現(xiàn)未知威脅，依托攻擊行為對信息系統(tǒng)進行有針對性的滲透測試，發(fā)現(xiàn)漏洞后及時修補，并調(diào)整主動防御產(chǎn)品的規(guī)則和策略，從而可動態(tài)提高整體信息系統(tǒng)的安全基線，主動防御生態(tài)鏈閉環(huán)流程如圖1所示。

圖1 主動防御生態(tài)鏈閉環(huán)流程

2.2 蜜罐系統(tǒng)

蜜罐（honeypot）是一種安全資源，它的使命就是成為未經(jīng)授權(quán)訪問或攻擊的目標，以此獲取攻擊者的攻擊行為和攻擊策略。蜜罐是一種主動防御技術(shù)手段[1]，該技術(shù)在網(wǎng)絡(luò)攻防整個態(tài)勢中將防御由被動化為主動[2]。

蜜罐通過部署沒有實際業(yè)務(wù)的安全資源，誘使攻擊者進入內(nèi)部破壞，防御方即可對攻擊行為進行分析和研究判斷，獲取攻擊策略和攻擊動機，構(gòu)成完整的防御生態(tài)鏈從而在實際的生產(chǎn)系統(tǒng)提高對應(yīng)的攻擊防范水平。此外，采用蜜罐獲取的數(shù)據(jù)可以協(xié)助金融信息犯罪進行電子取證。

蜜罐在主動防御方面的部分特點如下。

1)蜜罐能夠迷惑攻擊方，使其攻擊行為和軌跡暴露，入侵過程的全部數(shù)據(jù)均可被捕獲，這也是支撐金融網(wǎng)絡(luò)犯罪取證的一個有效手段。

2)正常的使用者一般不會進入到蜜罐系統(tǒng)，故其誤報率很低，能夠?qū)ν獠亢蛢?nèi)部的攻擊行為進行報警和關(guān)聯(lián)分析。蜜罐并不作為系統(tǒng)提供業(yè)務(wù)功能，因此只要有與之相關(guān)的通信即可能是攻擊行為。

3)低交互類型的蜜罐后期維護的成本較低。而高交互仿業(yè)務(wù)型的蜜罐可以協(xié)助安全研究人員研究攻擊者的攻擊軌跡和特性。

4)同時在業(yè)務(wù)端口部署若干蜜罐系統(tǒng)可以增加攻擊者的成本，提高攻擊復(fù)雜度以及不確定性，消耗攻擊者資源。

當然蜜罐也有自身的缺點，比如若蜜罐系統(tǒng)被攻破后，作為跳板機，攻擊者更容易入侵業(yè)務(wù)系統(tǒng)。

2.3 研究進展

蜜罐屬于高級主動防御技術(shù)，當攻擊者進入高交互行為的蜜罐系統(tǒng)，其對文件的修改、刪除、傳輸?shù)刃袨榫鶗挥涗洸⑸蟼髦梁笈_的取證機，從而固化證據(jù)。文獻[3]研究了網(wǎng)絡(luò)取證方法和工具，并對蜜罐在網(wǎng)絡(luò)取證中的價值進行了分析。文獻[4]通過低交互蜜罐收集包括被攻擊目標和攻擊方的地址等信息，用來發(fā)現(xiàn)新的僵尸網(wǎng)絡(luò)，實驗表明，部分僵尸網(wǎng)絡(luò)存活時間長達700天。文獻[5]在蜜罐部署后的4個月時間內(nèi)收集到來自130個國家的大約10 000名不同的攻擊者，大約有60 000個TCP不同的連接已經(jīng)登錄。

文獻[6]提出了利用虛擬化技術(shù)和蜜罐系統(tǒng)動態(tài)采集攻擊信息，并通過實驗驗證方法的有效性。文獻[7]采用Spampot搭建了一個基于分布式的交互蜜罐的垃圾郵件捕獲系統(tǒng)，捕獲了大量的攻擊行為和垃圾郵件樣本以及發(fā)送垃圾郵件的僵尸網(wǎng)絡(luò)。文獻[8]通過“灰盒”預(yù)測統(tǒng)計蜜罐網(wǎng)絡(luò)中的參數(shù)特性，捕獲網(wǎng)絡(luò)攻擊行為，并為防御者提供足夠的預(yù)警時間來調(diào)整他們的防御配置或資源分配。文獻[9]在智能電網(wǎng)業(yè)務(wù)系統(tǒng)中引入了蜜罐作為誘餌系統(tǒng)檢測和收集攻擊信息，并制定了一個防御的最佳策略。文獻[10]在物聯(lián)網(wǎng)中部署蜜罐，采用貝葉斯的理論提出用攻防兩方的博弈模型來解決防御攻擊的思路，降低攻擊者的成功率。文獻[11]開發(fā)了基于蜜罐的監(jiān)控系統(tǒng)用于監(jiān)測URL重定向行為，提出了針對惡意URL重定向的實際對策，防范Web攻擊。文獻[12]采用蜜罐方法檢測和隔離MANET網(wǎng)絡(luò)中Black Hole攻擊，應(yīng)用該方法可以降低網(wǎng)絡(luò)開銷、平衡路由負載和降低分組丟失率。文獻[13]利用虛擬漫游蜜罐和多層安全架構(gòu)收集網(wǎng)絡(luò)中不同級別的入侵者信息，在不產(chǎn)生任何流量開銷的情況下對分布式拒絕服務(wù)（DDoS）進行多級防御。文獻[14]提出了一種基于蜜罐檢測和數(shù)據(jù)挖掘技術(shù)的入侵檢測機制，預(yù)測和阻斷攻擊發(fā)生前的可疑行為。文獻[15]基于虛擬機架設(shè)了虛擬蜜罐網(wǎng)絡(luò)，輕量級的蜜罐系統(tǒng)可對動態(tài)資源靈活分配，利于數(shù)據(jù)控制、數(shù)據(jù)采集、數(shù)據(jù)顯示和分析。文獻[16]搭建另一個Web服務(wù)的蜜罐，采用自動化技術(shù)分析蜜罐收集的數(shù)據(jù)，自動捕獲攻擊并能夠檢測拒絕服務(wù)和新的攻擊。文獻[17]設(shè)計了一種混合蜜罐，部署在Webserver上，用以提高入侵欺騙系統(tǒng)的暴露程度，提升攻擊次數(shù)，增加發(fā)現(xiàn)新威脅的可能性。

3 系統(tǒng)設(shè)計和實現(xiàn)

3.1 主動防御平臺架構(gòu)

業(yè)界認為攻擊的要素包括：攻擊方、攻擊載體、攻擊過程。其中攻擊過程包括8個步驟：踩點、掃描、查點、獲取訪問權(quán)、權(quán)限提升、竊取、清理現(xiàn)場、創(chuàng)建后門。針對金融系統(tǒng)的攻擊往往具有結(jié)構(gòu)化的，采用的技術(shù)多、隱秘性強的特點，而受保護的金融系統(tǒng)的防御規(guī)則應(yīng)隨著攻擊形勢的變化而做出相應(yīng)的調(diào)整。在金融系統(tǒng)內(nèi)網(wǎng)搭建蜜罐系統(tǒng)能夠顯著地增加攻擊者的攻擊時間，同時防御方可以跟蹤入侵者的行為，在入侵真實的業(yè)務(wù)服務(wù)器之前修補存在的安全漏洞。對進入系統(tǒng)中的操作和行為進行記錄和分析是蜜罐的主要目標。蜜罐部署如圖2所示。

圖2 蜜罐部署網(wǎng)絡(luò)

圖3 多蜜罐運行實例

3.2 蜜罐云環(huán)境部署

實驗環(huán)境搭建在服務(wù)器區(qū)中，所在的網(wǎng)絡(luò)安全域?qū)儆诤诵臉I(yè)務(wù)區(qū)域。實驗采用T-Pot平臺部署，該平臺采用docker容器技術(shù)，融合多個蜜罐平臺，包括的運行實例如圖3所示。

T-pot平臺提供的蜜罐實例按照交互程度的不同分為3類，高交互式蜜罐、中交互式蜜罐和低交互式蜜罐。交互性反映了攻擊者和蜜罐系統(tǒng)之間的交互程度。蜜罐的交互級別越高，提供給攻擊者的陷阱越多，蜜罐獲取的攻擊信息越多。實驗蜜罐環(huán)境采用VMware虛擬云主機的方式部署。按官方指導(dǎo)手冊，虛擬機的硬件配置如下：CPU雙核，內(nèi)存8 G，硬盤100 G。網(wǎng)絡(luò)和業(yè)務(wù)服務(wù)器同處于核心聯(lián)動防御區(qū)域，便于捕獲攻擊行為。本次實驗主要開啟的蜜罐包括：基于kippo更改的中交互ssh蜜罐Cowrie和開放Internet常見服務(wù)的默認端口的Dionaea。蜜罐平臺具有的部分漏洞分布如表1所示。

表1 蜜罐模擬部分漏洞

3.3 捕獲數(shù)據(jù)和攻擊行為分析

在核心服務(wù)器區(qū)域同時開啟2個類型的蜜罐用以捕獲不同層級的攻擊數(shù)據(jù)，Cowrie用于收集暴力破解的信息，Dionaea用于收集對模擬開放Internet常見服務(wù)的攻擊信息。

3.3.1 Cowrie

Cowrie是ssh交互類型的蜜罐, 能夠捕獲暴力攻擊賬號密碼等記錄，并通過欺騙環(huán)境記錄入侵者的操作行為, 包括輸入命令、上傳或下載惡意文件。實驗部署捕獲攻擊者使用的用戶名和攻擊者嘗試使用的密碼如圖4和圖5所示（彩圖見插頁2）。入侵者進入系統(tǒng)的部分執(zhí)行命令如表2所示，入侵者的IP地址如表3所示。考慮到IP地址等數(shù)據(jù)較為敏感，本文對此做了去敏感化操作。

圖4 捕獲攻擊者使用的用戶名

圖5 攻擊者嘗試使用的密碼

表2 入侵者進入系統(tǒng)的部分執(zhí)行命令

表3 入侵者的IP地址

應(yīng)對此類攻擊，防御方可以改變密碼策略，將密碼強度設(shè)置為13位以上包括字母、數(shù)字、特殊字符，并定期更改，提升安全基線。若捕獲到入侵者的上傳文件，可將該文件放置在沙箱中檢測，分析文件的屬性是否為惡意代碼等。對關(guān)聯(lián)的防火墻設(shè)備配置白名單，以及最小開放服務(wù)等策略，動態(tài)提升安全防范能力。

3.3.2 Dionaea

Dionaea是模擬開放Internet常見服務(wù)的默認端口。包括網(wǎng)站服務(wù)http 80、微軟數(shù)據(jù)庫服務(wù)mssql 1433、文件傳輸服務(wù)ftp 21、數(shù)據(jù)庫服務(wù)mysql 3306、基于分布式文件存儲的開源數(shù)據(jù)庫系統(tǒng)mongodb 27017等。當有入侵者嘗試連接時，模擬正常服務(wù)給予交互操作，并記錄分析網(wǎng)絡(luò)數(shù)據(jù)流。Dionaea系統(tǒng)流量分析得到的服務(wù)流量和端口分布如圖6所示（彩圖見插頁2）。攻擊者使用的用戶名、嘗試使用的密碼如圖7所示（彩圖見插頁2）。攻擊者的源IP如表4所示，其中次數(shù)較多的IP地址是漏洞掃描設(shè)備，其他的IP地址為真實的入侵者。

表4 攻擊者的源IP地址

應(yīng)對此類攻擊，防御方對攻擊IP進行排查，查看該IP地址是否有中木馬的狀況或者口令泄露導(dǎo)致的惡意代碼執(zhí)行等問題。對入侵行為日志進行分析，在防火墻將設(shè)置黑名單機制，確保業(yè)務(wù)的正常運行。針對不同業(yè)務(wù)的攻擊信息對防守方發(fā)出提示，及時升級各個系統(tǒng)的應(yīng)用系統(tǒng)并按需求進行補丁管理。依據(jù)每個子系統(tǒng)在整體系統(tǒng)中重要性的不同，設(shè)置相應(yīng)的權(quán)重系數(shù)，可以估算出整個系統(tǒng)的安全健康指數(shù)，使主動防御生態(tài)鏈的防御更加具有針對性。

圖6 Dionaea系統(tǒng)流量分析到的端口分布和服務(wù)流量

圖7 攻擊者使用的用戶名、嘗試使用的密碼

統(tǒng)計結(jié)果表明，實驗環(huán)境上線部署后平均每周可收到6 000例攻擊事件。在蜜罐環(huán)境中，防御者可以在入侵者不知情的情況下有條不紊地收集、分析和整理全部數(shù)字證據(jù)。分析基于蜜罐的日志文件能夠幫助防御方確定攻擊來源和攻擊意圖，對收集到的攻擊信息加工梳理可指導(dǎo)防御設(shè)備策略的配置。防御方可協(xié)同蜜罐系統(tǒng)實施聯(lián)動工作，在網(wǎng)絡(luò)邊界區(qū)域、核心路由器以及防火墻上設(shè)置嚴格的訪問控制策略，組成主動防御生態(tài)鏈，提高網(wǎng)絡(luò)安全防范等級。

4 結(jié)束語

在基于蜜罐系統(tǒng)的主動防御體系的幫助下可隨著攻擊者的攻擊手段變化而動態(tài)調(diào)整安全策略從而提高整體網(wǎng)絡(luò)的安全。下一步的工作展望分為2個方向：1) 進行分布式的主動防御設(shè)施部署，期望發(fā)現(xiàn)規(guī)模化的APT（高級持續(xù)攻擊）入侵行為；2) 部署與真實業(yè)務(wù)系統(tǒng)功能高度近似的高交互仿業(yè)務(wù)性的主動防御設(shè)施，發(fā)現(xiàn)高水平的入侵者，保障各類信息系統(tǒng)安全，擴大主動防御生態(tài)鏈的保護范圍。并可采用COBIT的評估方法，拓展定制控制風(fēng)險基線。將信息系統(tǒng)關(guān)聯(lián)的數(shù)據(jù)、應(yīng)用系統(tǒng)、設(shè)備、人員等方面納入主動防御生態(tài)鏈管理當中。

[1] 石樂義，姜藍藍，賈春福，等. 蜜罐誘騙防御機理的博弈理論分析[J]. 電子與信息學(xué)報. 2012, 34(6): 1420-1424.

SHI L Y,JIANG L L，JIA C F，et al. A game theoretic analysis for the honeypot deceptive mechanism[J]. Journal of Electronics & Information Technology. 2012, 34(6): 1420-1424.

[2] 諸葛建偉，唐勇，韓心慧，等. 蜜罐技術(shù)研究與應(yīng)用進展[J]. 軟件學(xué)報. 2013, 24(4): 825-842.

ZHUGE J W, TANG Y, HAN X H, et al. Honeypot technology research and application[J]. Journal of Software, 2013, 24(4): 825-842.

[3] NASIR Q, AL-MOUSA Z A. Honeypots aiding network forensics: challenges and notions[J]. Journal of Communications, 2013, 8(11): 53-84.

[4] PHAM V H, DACIER M. Honeypot trace forensics: The observation viewpoint matters[J]. Future Generation Computer Systems-The International Journal Of Escience, 2011, 27(5): 539-546.

[5] MARCHESE M, SURLINELLI R, ZAPPATORE S. Monitoring unauthorized internet accesses through a 'honeypot' system[J]. International Journal Of Communication Systems,2011, 24(1): 75-93.

[6] YANG H S. A study on attack information collection using virtualization technology[J]. Multimedia Tools and Applications,2015, 74(20): 8791-8799.

[7] 郭軍權(quán), 諸葛建偉, 孫東紅, 等. Spampot:基于分布式蜜罐的垃圾郵件捕獲系統(tǒng)[J]. 計算機研究與發(fā)展, 2014, 51(5): 1071-1080.

GUO J Q, ZHUGE J W, SUN D H,et al. Spampot: A spam capture systems based on distributed honeypot[J]. Journal of Computer Research and Development, 2014, 51(5): 1071-1080.

[8] ZHAN Z X, XU M C, XU S H. Characterizing honeypot-captured cyber attacks: statistical framework and case study[J].Transactions on Information Forensics and Security, 2013, 8(11): 1775-1789.

[9] WANG K, DU M, MAHARJAN S, et al. Strategic honeypot game model for distributed denial of service attacks in the smart grid[J]. Transactions on Smart Grid, 2017, 8(5): 2474-2482.

[10] LA Q D, QUEK T, LEE J, et al. Deceptive attack and defense game in honeypot-enabled networks for the internet of things[J]. Internet of Things Journal, 2016, 3(6): 1025-1035.

[11] AKIYAMA M, YAGI T, YADA T, et al. Analyzing the ecosystem of malicious URL redirection through longitudinal observation from honeypots[J]. Computers & Security,2017, 69: 155-173.

[12] BABU M R, USHA G. A novel honeypot based detection and isolation approach (NHBADI) to detect and isolate black hole attacks in manet[J]. Wireless Personal Communications,2016, 90(2SI): 831-845.

[13] SELVARAJ R, KUTHADI V M, MARWALA T. Ant-based distributed denial of service detection technique using roaming virtual honeypots[J]. IET Communications, 2016, 10(8): 929-935.

[14] JIANG C B, LIU I H, CHUNG Y N, et al. Novel intrusion prediction mechanism based on honeypot log similarity[J]. International Journal Of Network Management. 2016, 26(3): 156-175.

[15] ZHANG W Z, HE H, KIM T H. Xen-based virtual honeypot system for smart device[J]. Multimedia Tools and Applications, 2015, 74(19): 8541-8558.

[16] GHOURABI A, ABBES T, BOUHOULA A. Characterization of attacks collected from the deployment of Web service honeypot[J]. Security And Communication Networks,2014, 7(2): 338-351.

[17] KIM H G, KIM D, CHO S J, et al. Efficient detection of malicious web pages using high-interaction client honeypots[J]. Journal of Information Science and Engineering, 2012, 28(5): 911-924.

Research on active defense application based on honeypot

YANG Dequan, LIU Weimin, YU Zhou

Network Information Technology Center, Beijing Institute of Technology, Beijing 100081, China

With the rapid development of financial information technology, cyber security events on the financial system have also increased greatly. Active defense plays an important role in improving the defense level of defined private network. How to quickly and effectively deploy and apply honeypot to capture and attack behavior, analyze the attack intention and raise the threshold of attack is the key to ensure the security of the defined private network. From the perspective of active defense, the advantage of honeypot active defense was analyzed, an active defense and defense filling passive defense integration was designed, and a honeypot within private network experimental environment was set up, the results show that the active defense technology can effectively improve the threshold of the attacker's attack, so as to improve the security level of the whole network.

cyber security, honeypot, active defense, defensive ecological chain

TP393

A

10.11959/j.issn.2096-109x.2018006

楊德全（1980-），男，山西應(yīng)縣人，博士，北京理工大學(xué)助理研究員，主要研究方向為網(wǎng)絡(luò)應(yīng)用安全、安全審計。

劉衛(wèi)民（1976-），男，山西太原人，北京理工大學(xué)工程師，主要研究方向為計算機網(wǎng)絡(luò)和無線網(wǎng)絡(luò)。

俞宙（1969-），男，浙江蘭溪人，北京理工大學(xué)副研究員，主要研究方向為網(wǎng)絡(luò)與信息安全。

2017-12-05；

2018-01-04

楊德全，yanddequan@bit.edu.cn

國家重點研究計劃基金資助項目（No.2017YFF0207400）

The National Key Research and Development Program of China (No.2017YFF0207400)