校園網部署虛擬蜜罐的關鍵點研究

黃旭鵬，鐘平

（1.韓山師范學院計算機與信息工程學院，潮州 521041;2.韓山師范學院網絡與教育技術中心，潮州 521041）

0 引言

校園網擔負著學校教學、科研、管理和服務等重任，與此同時也面臨著來自不同層面的安全威脅問題，如操作系統漏洞、惡意攻擊、病毒攻擊等威脅時刻存在。

根據前期調研結果顯示，我校校區多、網絡覆蓋面積廣、網絡使用群體大、網絡結構復雜，目前部署有防火墻、入侵檢測系統、用戶行為審計系統等傳統網絡安全設備，防火墻等傳統安全技術均屬于被動防御技術。蜜罐技術是基于主動安全策略的安全防護技術，在現有的校園網安全防護體系中加入蜜罐技術并利用它對網絡攻擊者所進行的各種非法入侵活動進行提前預警和事后響應，可以起到主動防御的作用；此外，通過對非法入侵者的入侵數據分析，可以幫助網絡安全管理人員修復一些未知的系統漏洞以及追蹤定位攻擊者的位置，提高抵御網絡入侵的能力。這對校園網安全可起到重要的保障作用，具有較好的應用價值。

1 蜜罐技術簡介

1.1 蜜罐技術

蜜罐是一種在互聯網上運行的計算機系統，是網絡安全人員經過精心設計而部署下的誘捕攻擊者的陷阱。蜜罐技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力[1]。

“蜜網項目組”創始人Lance Spitzner提出“蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷”，這一定義在業界得到普遍的認可。

1.2 蜜罐的價值

（1）蜜罐的優勢

監控、監測和分析攻擊活動是蜜罐的核心價值所在。作為新型的主動防御技術，蜜罐在網絡安全應用中有其優勢：

①數據低污染，監測準確率高。蜜罐通過仿真而并非對外提供具有實質性的系統服務，它只針對試圖進行非法攻擊的行為產生記錄，刨除了正常網絡用戶的數據流，是一個低數據污染的系統，安全監測的準確率高且漏報率小。

②部署成本較低，易于實現。搭建真實蜜罐環境或使用虛擬蜜罐環境，在部署和實現上都比較簡單，配置靈活且易于管理和維護，所耗資源極少。許多蜜罐軟件都是以開源的方式公開在互聯網供免費下載。

③使用簡單，適用性強。蜜罐系統對攻擊行為的監測并非局限于某種特定的攻擊技術或攻擊行為，具有較好的適應能力，不需要維護特征數據庫，也無需通過復雜算法來實現，能捕獲新的攻擊技術和方法供安全人員進行分析。

（2）蜜罐的缺陷

蜜罐作為整個安全防御體系的一部分，也有其自身一些缺陷：

①模擬的局限性。蜜罐設計或模擬出存在漏洞主機，與真實主機系統相比還是存在差別，技術較高的攻擊者利用反蜜罐技術能識別出蜜罐的存在。

②數據收集范圍有限。蜜罐僅記錄與其產生交互的數據流，一旦攻擊者發現并繞過蜜罐對其他網絡設備實施攻擊，蜜罐也將無法發捕捉到攻擊者的信息。

③面臨一定風險。為盡可能多的收集到入侵者的信息，包括攻擊所用的工具、實施攻擊的思路和方法等，安全管理人員主動將蜜罐暴露在網絡中，提供仿真服務誘導入侵者對其進行攻擊。但如果蜜罐被識破，安裝蜜罐系統的主機系統存在被入侵者攻陷的風險，有可能成為攻擊者對蜜罐主機所在網絡實施攻擊的跳板。

1.3 蜜罐的分類

可從不同的角度對蜜罐系統進行分類，按照部署目的可分為產品型蜜罐和研究型蜜罐；按照蜜罐與攻擊者的交互程度劃分可分為低交互蜜罐、中交互蜜罐、高交互蜜罐；按照蜜罐運行環境及實現方式可分為虛擬機蜜罐和物理蜜罐。

1.4 虛擬蜜罐技術

隨著VMware、VBOX等虛擬化技術的發展，越來越多的服務器使用虛擬系統提供服務，虛擬蜜罐便是基于虛擬化技術實現的蜜罐系統[2]。在攻擊者的視角中，在虛擬系統中的蜜罐與真實物理蜜罐并無差別，兩者本質上是一致的。相比較而言，物理蜜罐的部署需要投入大量的硬件設備且每臺設備都需要單獨進行配置。虛擬蜜罐可以根據需要在一臺主機上部署多個虛擬蜜罐主機，而且在虛擬技術的支持下，即使蜜罐系統被入侵者攻破了也能利用快照技術快速將其還原到初始狀態，大大地降低部署和維護的成本。

2 校園網部署虛擬蜜罐方案研究

2.1 方案設計目標

方案要結合防火墻、入侵檢測系統等傳統的網絡安全工具，引入虛擬蜜罐系統，設計并構造一個具有主動防御功能的校園網絡安全防護系統，主要目標如下：

①蜜罐系統與現有網絡安全防護產品進行聯動，防御來自校園網外部的攻擊，對網絡攻擊行為進行取證，使網絡安全管理人員做到及時響應。

②通過對蜜罐采集到的信息，對校園網內部網絡進行檢測、監控，精準定位攻擊源并采取相應的安全措施，以防御來自校園內部的網絡攻擊。

③在重要服務器群中部署虛擬蜜罐系統，起到迷惑、干擾和拖延非法入侵行為的作用。

④捕獲并收集各類非法攻擊行為的數據，為網絡管理員發現及修補安全漏洞提供參考。

2.2 校園網部署虛擬蜜罐關鍵問題

（1）蜜罐類型的選擇

蜜罐根據交互程度、實現方式等因素的不同而有相應的軟件，需根據安全需求情況來確定蜜罐的選擇。表1對不同交互程度的蜜罐進行了比較。

表1 不同交互程度蜜罐對比[3]

在虛擬蜜罐的使用上，我們選取Honeyd[4]、Dionaea[5]、Kippo[6]、Glastopf NG[7]和 PAMPot[8]等經典蜜罐工具，根據各自特點和功能部署在相應網絡節點上，盡可能覆蓋關鍵網絡位置。

（2）蜜罐部署位置的選擇

圖1 韓山師范學院校園網絡拓撲

以我校校園網為例，網絡拓撲結構如圖1所示。為盡可能多地捕獲入侵行為的數據，需考慮根據不同蜜罐各自的特性，將其部署在網絡中合適的位置，以達到最佳效果。根據我校的網絡實際情況，可從下圖中的A、B、C和D是個點來考慮部署相應的蜜罐系統。

圖2 虛擬蜜罐部署位置分析

根據不同位置部署相應蜜罐系統，其優缺點如下表所示。

（3）蜜罐部署數量（密度）的確定

蜜罐部署數量是一個重要因素，對于單點位置部署而言，蜜罐系統的防御效果取決于蜜罐的數量和網絡中需保護的真實主機（服務器）數量的比例，稱作成功預防率[9]（或防御期望值）。在文獻[9]中提到，單點蜜罐部署上隨著蜜罐數量的增多，網絡成功預防率雖有提高，但提高的效率越來越低，蜜罐數目和被保護主機數目之間存在一個合適的比例。理論上，當部署蜜罐數量為被保護主機數量的2倍時為最佳，但這有待通過實踐進一步驗證。

在現實網絡環境中部署虛擬蜜罐，限于IP資源有限，盡可能采取接近最佳理論值的數量來進行配置，根據實際情況進行動態調整。

2.3 虛擬蜜罐部署實施

綜合前文所述，結合我校校園網的實際，考慮虛擬蜜罐部署的引入風險等因素，分別在圖2中的B、C和D三個點部署一定數量的不同交互度的虛擬蜜罐，與防火墻、入侵檢測系統等傳統的網絡安全工具配合適用，構建出一個具有主動防御功能的校園網絡安全防護系統。

3 實驗測試結果及應用場景

3.1 實驗測試

以部署于D點的Honeyd蜜罐的一段日志記錄為例，IP地址為210.38.**9.0/24網段部署了重要服務器，利用空余IP地址資源，部署數量相當于真實服務器數量2倍的虛擬蜜罐，通過虛擬蜜罐配置模板可輕松創

表2 蜜罐部署位置優缺點對比

建出虛擬蜜罐主機。可簡單的通過如下綁定IP的命令既可實現：

表3 校園網部署虛擬蜜罐情況

假定入侵者繞過防火墻及IDS的監測對上述網段進行入侵前的掃描，掃描及虛擬蜜罐工作情況如圖3、4所示。

通過上述實驗過程及結果，可以清晰的看到虛擬蜜罐將入侵者與之產生的交互行為進行了詳盡的記錄，日志信息中出現了同一IP對多個虛擬蜜罐不同端口都進行了掃描，日志信息對網絡安全人員而言是極具分析價值的。

圖3 Nmap攻擊掃描信息片段

圖4 虛擬蜜罐捕捉到數據片段

3.2 應用場景

引入虛擬蜜罐系統部署在校園網中，可應對如下安全情形：

（1）蠕蟲病毒的檢測與防范：一旦校園網發生蠕蟲病毒的傳播，可利用低交互虛擬蜜罐負責誘騙和重定向攻擊流，高交互物理蜜罐實現蠕蟲捕獲與分析，還可配合入侵檢測系統等工具的使用對蠕蟲病毒源頭進行精準定位并采取隔離或斷網等措施。

（2）惡意掃描防范：根據蜜罐捕獲的IP及MAC地址等信息，配合防火墻規則的建立及使用，對發起惡意掃描的攻擊源采取防火墻過濾等措施；特別是對于來自校園網內部的的攻擊也可精準定位到攻擊者所在，加以警告或做相應處理。

（3）防御非法入侵：利用低交互虛擬蜜罐，配置多個仿真服務及開放端口的主機，干擾迷惑入侵者對被保護服務器主機的攻擊；利用高交互蜜罐對入侵者的行為進行取證，截獲惡意代碼及攻擊者所使用的工具；從安全研究的角度，可對攻擊者實施攻擊的思路和技術方法進行深入研究，反向對校園網存在的漏洞進行修補。

（4）DDoS攻擊防范：基于蜜罐技術的DDoS攻擊的防御機制可通過重定向器重定向入侵者對真實服務器的攻擊到蜜罐系統中，并由蜜罐記錄攻擊行為數據，為后續制定防御措施提供重要資料。

4 結語

本文結合不同類型蜜罐技術特征，綜合考慮蜜罐部署的位置、數量等因素，嘗試在校園網部署虛擬蜜罐系統，使校園網具備主動防御的能力。在后續工作中將對部署方案實施的效果，從蜜罐數據控制、數據捕獲及數據分析等方面深入研究，進一步優化蜜罐的部署，使之更好地與傳統安全設備進行聯動，抵御各類網絡威脅。

參考文獻：

[1]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術研究與應用進展[J].軟件學報，2013，24（4）：826.

[2]張龍生.虛擬蜜網關機技術研究與實現[D].北京郵電大學，2014，12.

[3]馬莉波.惡意移動代碼傳播與監測模型研究[D].清華大學，2009，4.

[4]Honeyd.http://www.honeyd.org/

[5]Nepenthes Development Team.Dionaea.2011.http://dionaea.carnivore.it/

[6]Kippo—SSH Honeypot.2011.http://code.google.com/p/kippo/

[7]Rist L,Vetsch S,Koβin M,Mauer M.Know your Tools:Glastopf—A Dynamic,Low-interaction Web Application Honeypot.2011.http://honeynet.org/papers/KYT_glastopf

[8][0]Pickett N.SPAMPot.py—Spam honeypot SMTP server.2011.http://woozle.org/～neale/src/python/spampot.py

[9]馬莉波,段海新,李星.蜜罐部署分析[J].大連理工大學學報，2005.10,45.