蜜罐技術(shù)在信息安全防御中的應(yīng)用與研究

◆何堅(jiān)安

（中國(guó)移動(dòng)通信集團(tuán)廣東有限公司 廣東 510623）

1 引言

隨著5G移動(dòng)通信、光纖通信等技術(shù)的快速發(fā)展，人們已經(jīng)進(jìn)入到高速信息時(shí)代，可以提供數(shù)以百兆的帶寬資源，實(shí)現(xiàn)4K高清晰視頻傳輸，帶寬速度和實(shí)時(shí)性得到了極大的提升，具有重要的作用。但是，信息系統(tǒng)也面臨著海量的安全攻擊，比如病毒或木馬等，比較著名的攻擊威脅包括勒索病毒、特洛伊木馬、蠕蟲(chóng)病毒、惡意代碼等，給信息系統(tǒng)運(yùn)行帶來(lái)了嚴(yán)重的干擾[1]。目前，信息系統(tǒng)安全防御也采用了一些先進(jìn)技術(shù)，包括防火墻、殺毒軟件和包過(guò)濾。

（1）防火墻

防火墻是一個(gè)啟發(fā)式的信息系統(tǒng)安全防御軟件，其可以根據(jù)信息系統(tǒng)安全防御需求，基于IP地址、MAC地址等設(shè)置網(wǎng)絡(luò)過(guò)濾規(guī)則，如果IP地址及MAC地址安全，此時(shí)可以通過(guò)信息系統(tǒng)所在網(wǎng)絡(luò)關(guān)口訪問(wèn)服務(wù)器；如果不安全則無(wú)法通過(guò)。防火墻經(jīng)過(guò)多年的應(yīng)用，可以根據(jù)部署位置和保護(hù)對(duì)象的設(shè)置不同的防火墻，包括數(shù)據(jù)庫(kù)防火墻、Web服務(wù)器防火墻等，較好地保護(hù)信息系統(tǒng)所在網(wǎng)絡(luò)不受到損壞，同時(shí)部署代價(jià)也非常低，可以進(jìn)一步提高信息系統(tǒng)防御性能。

（2）殺毒軟件

殺毒軟件是一套應(yīng)用程序，其可以采集信息系統(tǒng)網(wǎng)絡(luò)日志信息、設(shè)備運(yùn)行狀態(tài)信息以及各類型應(yīng)用信息，針對(duì)這些信息進(jìn)行挖掘和分析，從而獲取信息系統(tǒng)中潛藏的病毒或木馬，然后就可以將其清除出信息系統(tǒng)。殺毒軟件經(jīng)過(guò)多年的發(fā)展，已經(jīng)誕生了很多，比如卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，這些殺毒軟件市場(chǎng)份額大，實(shí)時(shí)更新病毒庫(kù)和殺毒規(guī)則，可以更好地保護(hù)計(jì)算機(jī)信息系統(tǒng)不受到任何損害。但是，殺毒軟件也是一個(gè)被動(dòng)式殺毒工具，無(wú)法采取積極主動(dòng)的模式為用戶提供查殺方法，很容易給用戶帶來(lái)?yè)p失。

（3）包過(guò)濾。隨著信息系統(tǒng)流量的增多，防火墻和殺毒軟件的過(guò)濾性能逐漸降低，因此網(wǎng)絡(luò)安全專家經(jīng)過(guò)研究，提出了一種軟硬件結(jié)合在一起的防御技術(shù)，也即深度包過(guò)濾，其同樣采用枚舉和迭代的規(guī)則，檢查數(shù)據(jù)包的包頭信息，這個(gè)穿透式檢查不放過(guò)數(shù)據(jù)包的任何一部分，因此可以分析每一個(gè)協(xié)議字段的內(nèi)容，從而提高信息系統(tǒng)殺毒性能，深度包過(guò)濾基于硬件進(jìn)行設(shè)計(jì)，因此可以提高數(shù)據(jù)包檢查的效率，滿足大流量網(wǎng)絡(luò)應(yīng)用需求。

雖然信息系統(tǒng)采用了很多的安全防御措施，但是安全攻擊的技術(shù)正不斷發(fā)展，目前信息系統(tǒng)安全依然存在一些問(wèn)題，比如作業(yè)人員無(wú)法實(shí)時(shí)掌握系統(tǒng)運(yùn)行狀態(tài)，不能夠有效分析控制器數(shù)值，導(dǎo)致信息系統(tǒng)不能安全地運(yùn)行。

2 蜜罐技術(shù)原理及應(yīng)用現(xiàn)狀

信息系統(tǒng)安全攻擊非常嚴(yán)重，主要原因就是攻擊者與防御者之間是不對(duì)稱的，攻擊者采用的技術(shù)也越來(lái)越先進(jìn)，防御者總是被動(dòng)地應(yīng)付。因此，信息系統(tǒng)安全防御也可以采用主動(dòng)模式，蜜罐技術(shù)就是這樣，其可以為攻擊者提供一個(gè)誘餌或陷阱，引誘攻擊者來(lái)攻擊，同時(shí)記錄攻擊行為，以便在分析后獲取信息系統(tǒng)的漏洞，掌握攻擊者的所有意圖，及時(shí)地對(duì)真實(shí)服務(wù)器進(jìn)行防御部署[2]。蜜罐就是網(wǎng)絡(luò)安全管理人員精心設(shè)計(jì)的黑匣子，看似漏洞百出卻盡在掌握之中，目的就是采集攻擊者的入侵?jǐn)?shù)據(jù)，在分析和獲取有價(jià)值的數(shù)據(jù)后進(jìn)行解讀，獲取下一步的攻擊防御意圖[3]。蜜罐系統(tǒng)的關(guān)鍵功能包括四個(gè)，分別是偽裝模塊、信息采集模塊、風(fēng)險(xiǎn)控制模塊和數(shù)據(jù)分析模塊[4]。

（1）偽裝模塊

偽裝模塊可以構(gòu)建一個(gè)模擬網(wǎng)絡(luò)運(yùn)行環(huán)境，偽裝成真的信息系統(tǒng)，這樣就可以引誘黑客攻擊。偽裝模塊為了能夠仿真，通?？截愐恍┱鎸?shí)的機(jī)密數(shù)據(jù)到蜜罐服務(wù)器，同時(shí)針對(duì)這些信息進(jìn)行加密，這些數(shù)據(jù)已經(jīng)采用了多種防御措施，因此黑客無(wú)法獲取真正的機(jī)密數(shù)據(jù)。

（2）信息采集模塊

蜜罐最為關(guān)鍵的應(yīng)用就是記錄和分析攻擊信息，盡可能地采集詳細(xì)的攻擊數(shù)據(jù)，記錄黑客、病毒或木馬完整的攻擊過(guò)程，尤其是當(dāng)攻擊源主機(jī)與蜜罐服務(wù)器進(jìn)行信息交互時(shí)，可以使用先進(jìn)的Sniffer抓包軟件，記錄每一個(gè)進(jìn)出蜜罐的數(shù)據(jù)包。

（3）風(fēng)險(xiǎn)控制模塊

蜜罐可以針對(duì)黑客攻擊的風(fēng)險(xiǎn)進(jìn)行過(guò)濾和控制，以避免黑客發(fā)覺(jué)采用了蜜罐技術(shù)而轉(zhuǎn)移攻擊目標(biāo)。

（4）數(shù)據(jù)分析和識(shí)別模塊

蜜罐在采集到所有數(shù)據(jù)之后，可以及時(shí)地針對(duì)這些數(shù)據(jù)進(jìn)行分析和識(shí)別，此時(shí)就可以采用BP神經(jīng)網(wǎng)絡(luò)、K-means算法、支持“向量機(jī)”等技術(shù)，發(fā)現(xiàn)黑客攻擊行為特征，識(shí)別潛在的風(fēng)險(xiǎn)和危害，及時(shí)啟動(dòng)殺毒軟件清除攻擊數(shù)據(jù)。

3 蜜罐技術(shù)在信息安全防御中的應(yīng)用機(jī)制設(shè)計(jì)

圖1基于蜜罐的信息安全防御機(jī)制

基于蜜罐技術(shù)構(gòu)建一個(gè)信息安全防御機(jī)制，可以實(shí)現(xiàn)通信網(wǎng)絡(luò)安全防御和流量監(jiān)控機(jī)制，保證信息系統(tǒng)的安全，如圖1所示。

蜜罐技術(shù)在信息安全防御中可以部署于多個(gè)方面，本文根據(jù)實(shí)踐認(rèn)證和檢驗(yàn)，構(gòu)建了三個(gè)安全防御機(jī)制，分別是流量監(jiān)控機(jī)制和通信網(wǎng)絡(luò)安全防御機(jī)制等。

（1）流量監(jiān)控機(jī)制

信息系統(tǒng)通信傳輸?shù)膬?nèi)容是流量，因此，為了掌握系統(tǒng)運(yùn)行的實(shí)時(shí)狀況，可以引入蜜罐技術(shù)構(gòu)建一個(gè)流量監(jiān)控機(jī)制。在實(shí)施流量監(jiān)控之后，就可以利用蜜罐動(dòng)態(tài)地增強(qiáng)網(wǎng)絡(luò)防御能力，這也是預(yù)判信息系統(tǒng)被攻擊的一種主要方式。在管理網(wǎng)絡(luò)的過(guò)程中，蜜罐可以采用邏輯集中控制器實(shí)施流量管制，在網(wǎng)絡(luò)終端設(shè)備和信息系統(tǒng)服務(wù)器之間添加安全裝置，這樣就可以利用蜜罐安全策略訪問(wèn)系統(tǒng)。目前，流量控制引入蜜罐技術(shù)，可以及時(shí)地利用數(shù)據(jù)分析與識(shí)別功能，分析數(shù)據(jù)流中是否存在安全威脅，及時(shí)地發(fā)現(xiàn)異常特征，將這些特征添加到病毒基因庫(kù)中，并且將結(jié)果發(fā)送給殺毒軟件。如圖2所示。

圖2流量監(jiān)控機(jī)制

（2）通信網(wǎng)絡(luò)安全防御機(jī)制

通信網(wǎng)絡(luò)安全防御技術(shù)引入蜜罐技術(shù)，其可以及時(shí)地將安全攻擊的重點(diǎn)轉(zhuǎn)移，保證數(shù)據(jù)的完整性和保密性，這也是網(wǎng)絡(luò)安全防御的重點(diǎn)。信息系統(tǒng)安全防御可以引入一個(gè)蜜罐控制器，該蜜罐控制器利用最簡(jiǎn)單的方式進(jìn)行文字交換，簡(jiǎn)化通信安全防御策略，還可以利用可編程技術(shù)提高對(duì)通信安全防御的控制能力。蜜罐安全防御技術(shù)引入脫殼技術(shù)和啟發(fā)式殺毒軟件，提高網(wǎng)絡(luò)安全防御的積極性和主動(dòng)性。

4 結(jié)束語(yǔ)

新時(shí)期信息系統(tǒng)面臨著較多的網(wǎng)絡(luò)威脅，比如接口處存在非法訪問(wèn)、應(yīng)用層存在身份造假、控制層存在DDoS攻擊、數(shù)據(jù)層存在泄漏和篡改等，這些都會(huì)導(dǎo)致互聯(lián)網(wǎng)無(wú)法正常運(yùn)行。信息系統(tǒng)安全防御是一項(xiàng)非常復(fù)雜的工作，其面臨的安全攻擊也是動(dòng)態(tài)的和多發(fā)的，對(duì)此可以利用新型蜜罐技術(shù)，構(gòu)建蜜罐防御機(jī)制，包括通信安全防御機(jī)制、流量控制機(jī)制、安全控制機(jī)制等，及時(shí)地發(fā)現(xiàn)系統(tǒng)存在的漏洞，提高網(wǎng)絡(luò)安全防御的主動(dòng)性、實(shí)時(shí)性和有效性。