一種擬態蜜罐系統的設計與研究

◆王涵 卜佑軍 江逸茗 陳博 陳韻 胡先君

一種擬態蜜罐系統的設計與研究

◆王涵1卜佑軍2江逸茗2陳博2陳韻1胡先君1

（1.網絡通信與安全紫金山實驗室 江蘇 211100；2.中國人民解放軍戰略支援部隊信息工程大學 河南 450002）

互聯網一直以來受到各種各樣的網絡安全威脅，網絡攻擊方式層出不窮、手段多變且攻擊目標各異，特別是高級持續性攻擊隱蔽性很強。在攻防過程中，即使一個微小的設計疏忽都可能產生嚴重的漏洞，攻擊者利用這些漏洞攻擊系統可能產生嚴重的危害。而防御者則需要將系統或者節點的防御做到萬無一失，才能保證系統的安全。同時防御者對于可以來自網絡中的攻擊者一無所知，而系統或者節點則通過網絡完全暴露在攻擊者面前。在這樣的攻防博弈環境中，攻擊者占據著絕對優勢的主動地位，而防御者只能處于被動地位。為打破攻防之間的不平衡態勢，本文主要設計了一種將主動防御中的蜜罐與擬態防御技術相融合，實現攻擊目標可誘捕，攻擊路徑可追溯，攻擊數據可分析的新型擬態蜜罐威脅感知平臺。

擬態蜜罐；擬態防御；異構冗余；攻擊誘導

當前，網絡安全的漏洞是誘發網絡安全事件的主要原因[1]，現有的“外掛式”為主的安全防御技術體系（如入侵檢測[2]、入侵隔離[3]等），難以應對基于未知漏洞后門的網絡威脅。我國在網絡強國戰略中提出“打破以補丁式的安全技術研發的慣性思維，加強擬態安全[4]等虛擬化異構安全體系、可信計算體系、內生安全計算機體系結構等技術體系架構創新，促進技術研發由外掛式向內生性轉變”，同時指出“加快高新技術產品化、服務化、市場化，促進先進技術和最佳實踐的推廣應用，發展壯大安全產業體系”。

蜜罐作為一種主動防御手段，通過在網絡中部署感知節點，模擬真實系統誘騙和分析攻擊者行為，實時感知周邊網絡環境，同時將感知節點日志實時存儲、可視化分析來實現對網絡環境中的威脅情況感知。然而，國內外研究現狀表明，現有蜜罐都是通過構建網絡服務綁定到端口，模擬成網絡服務的攻擊目標，誘騙攻擊方對其進行攻擊掃描，但這種機制交互性低、可擴展性差、安全性存在隱患。例如，如果攻擊者識別了該蜜罐，并且成功進入，利用相關逃逸0day對蜜罐展開攻擊，那么蜜罐將會被當成跳板對業務系統展開攻擊，危害巨大。

擬態防御是另一種主動防御方法，借鑒融合了移動目標防御與可靠性領域“非相似余度構造”的防御機理，主張構建多個隔離且異構空間并行工作，通過對各空間多路結果的相互驗證，感知攻擊行為和受感染目標，從而有針對性地應對處理。本文主要研究將主動防御中的蜜罐與擬態防御技術相互融合，實現攻擊目標可誘捕，攻擊路徑可追溯，攻擊數據可分析的新型網絡攻擊誘導系統。

1 擬態蜜罐系統設計

1.1 系統架構

構建傳統蜜罐與擬態防御技術相融合的攻擊誘導系統需要實現的核心功能為：攻擊流量管理、擬態構造蜜罐、攻擊威脅感知、攻擊行為管理、攻擊溯源取證。總體設計思路是借鑒融合了移動目標防御與可靠性領域“非相似余度構造”的防御機理，主張構建多個隔離且異構蜜罐并行工作，通過對各蜜罐多路結果的相互驗證，感知攻擊行為和受感染目標，從而有針對性地應對安全威脅。功能模塊架構如圖1所示、擬態蜜罐架構如圖2所示。

圖1 擬態蜜罐功能模塊圖

圖2 擬態蜜罐構造圖

攻擊流量管理：入侵者威脅數據的采集，能夠實時、全面的監測入侵者的攻擊行為，為溯源定位入侵者的位置、手段、工具以及輔助感知入侵意圖提供源數據支撐，是后期關聯分析、特征提取的基礎。

擬態構造蜜罐：將防御蜜罐部署在當前網絡環境中，實現攻擊全鏈路欺騙防御，對攻擊者的戰術、技術和過程進行檢測、防御和響應，從攻擊者的視角進行主動誘捕，運用擬態防御思想，對蜜罐本身進行擬態防護，防止蜜罐逃逸攻擊。

攻擊威脅感知：高仿真蜜罐吸引攻擊者，在攻擊者偵查階段就有效感知入侵行為，引誘、迷惑攻擊者，總體威脅分析展示、各類威脅分析展示以及系統運行狀態的監控，有效快速識別威脅，為安全決策提供依據。

攻擊行為管理：記錄攻擊行為，對攻擊行為回放，分析攻擊路徑，還原攻擊鏈，預測攻擊者的意圖，評估攻擊者下一步將采取的技術手段，同時通過syslog服務向第三方共享威脅行為數據和審計日志信息，將日志、攻擊等數據通過機器學習提取特征，向其他防御系統提供預警，用于支撐聯動防御。

攻擊溯源取證：定位攻擊者指紋信息，如IP地址、MAC地址、操作系統版本、設備型號等，追蹤攻擊者。

1.2 網絡架構

構建傳統蜜罐與擬態防御技術相融合的攻擊誘導系統主要通過網絡內部署低、高交互蜜罐系統，誘使入侵者對其實施攻擊，減少對實際系統造成的安全威脅；通過對攻擊行為進行捕獲和分析，了解入侵者使用的工具與方法，推測其攻擊意圖和動機；通過數據可視化展示技術清晰、直觀的展示所面臨的安全威脅，同時通過捕獲數據的分析，與其他防御系統聯動增強實際系統的安全防護能力。

對于外部的攻擊流量首先通過入侵防御系統，進行可疑流量分析，阻擋可疑流量。通過入侵防御系統的流量進入內網，蜜罐因具有高甜度，可以吸引攻擊者的流量，攻擊流量進入蜜罐后對其活動進行跟蹤記錄，并對其進行特征行為分析，并將提取的特征反饋給入侵防御系統，用于阻擋同類攻擊再次出現，具體網絡架構如圖3所示：

圖3 擬態蜜罐網絡架構圖

2 擬態蜜罐關鍵子系統設計

2.1 擬態蜜罐子系統

擬態蜜罐平臺中的蜜罐部分主要實現的是高交互蜜罐，基于KVM虛擬化技術，將實體硬件進行虛擬化后實現的[5]。將資源轉化為虛擬機并進行蜜罐封裝后，還要進行網絡配置管理，并按照擬態蜜罐的技術要求，實現動態控制調度。為實現以上功能，該子系統需具備鏡像管理模塊、蜜罐管理模塊、虛擬網絡管理模塊、中間人模塊、輸出輸入裁決模塊5個主要功能模塊。

2.1.1鏡像管理模塊

鏡像管理模塊是基于KVM虛擬機鏡像技術實現而成，主要由異構蜜罐鏡像、導入導出、實例化三個主要功能構成。

（1）異構蜜罐鏡像

擬態蜜罐技術的實現，首先需要制作上層應用相同而底層基礎架構不同的異構蜜罐。本次設計考慮上層構建相同的Web應用，而底層采用不同的操作系統、中間件，進而實現異構。

異構蜜罐的搭建環境如下（表1）：

表1 搭建環境

編號CMS運行時Web中間件數據庫操作系統 ACatfish v4.8.54PHP v5.4.16IIS v8.0MySQL v5.7.31Windows Server 2012 x64 BApache v2.4.6CentOS 7.8.2003 x64 CNginx v1.19.1Ubuntu 20.04 x64

當異構蜜罐環境搭建好后，對其進行鏡像化，轉換成KVM技術中的qcow2鏡像格式，便于復用。

以上環境中，對外統一的Web應用為CMS系統（Catfish v4.8.54版本，運行時庫PHP v5.4.16）。對在蜜罐中的具體環境（操作系統、數據庫、Web中間件）進行異構處理。

（2）導入導出

實現鏡像的導入導出功能，用于蜜罐基礎環境的修改以及多個擬態蜜罐系統間蜜罐環境的復用。

（3）實例化

制作蜜罐鏡像的過程本質上屬于開發階段的工作，在系統配置、運行的階段，需要將提前制作好的鏡像進行實例化，也就是變成多個虛擬高交互蜜罐主機，并通過虛擬網絡管理模塊進行組網。而實例化的過程，就是將系統資源（CPU、內存、硬盤、網卡等）通過KVM轉化成虛擬機。

通過實例化功能，可以將預先制作好的鏡像轉化為高交互蜜罐。

2.1.2蜜罐管理模塊

（1）刪除

實現停止蜜罐，并刪除，釋放其所占用資源。

（2）啟動、掛起、停止

支持將掛起、停止狀態的蜜罐恢復到活躍狀態；

支持將活躍狀態的蜜罐暫停，掛起，掛起后的蜜罐不可訪問；

支持將活躍狀態蜜罐關機停止。

（3）快照

對蜜罐當前的狀態進行拍攝快照保存，并且可以將蜜罐重置到已保存的某個快照狀態。

（4）回滾

對蜜罐已保存的某個歷史快照，進行回滾操作，可以重置到歷史狀態。

（5）定時訪問

蜜罐創建好后，如果長時間沒有訪問信息，攻擊者登錄后會更容易被懷疑。該模塊提供對Web界面提供訪問或對操作系統提供訪問流量。

（6）蜜罐設置

對創建好的蜜罐，可以修改其設置，例如啟停其上應用及其對應端口。

2.1.3虛擬網絡管理模塊

蜜罐系統的內部虛擬網絡管理如圖4所示，具體詳細介紹如下：

（1）物理網卡en192，與客戶的交換機或路由設備相連。

①如果客戶需要使用vlan功能，需要將與物理網線相連接的端口設置為trunk屬性，并允許所有分配的vlan透過。對于非vlan1的默認網段由客戶交換機配置打上PVID。

②如果客戶不需要開啟vlan功能，即不要配置A中的任何參數，即插即用。

③支持bond配置，當宿主機存在多網卡設備時，可以充分利用物理資源，提升帶寬及可靠性。

圖4 內部虛擬網絡架構圖

（2）Openvswitch對接融合所有通用蜜罐的虛擬網卡和宿主機的物理網卡，確保通用蜜罐能夠被外部訪問。

（3）通用蜜罐群中每一個蜜罐節點底層都是一臺虛擬機。虛擬機對應虛擬網卡接入到openvswitch中實現蜜罐網絡的連通性。

①每一臺虛擬機的網卡從宿主機上看都是一個tun/tap設備，一端通過驅動接入到虛擬機中即為“物理網卡”。在虛擬機中的一端即為虛擬網卡并接入到ovs中。虛擬機（蜜罐）即能夠被外部訪問。

②所有的蜜罐與外部交互的流量從蜜罐內的“物理網卡”到宿主機的虛擬機網卡，再通過ovs發送到物理網卡ens192上轉發出去。ovs將中轉所有蜜罐的流量，可以通過flow規則進行蜜罐的流量控制，防止蜜罐被攻陷后被用來進行橫向擴展，有效保護客戶真實資產。

（4）虛擬網橋，為擬態蜜罐群中的蜜罐節點提供內部網絡連通，確保宿主機與每一個擬態蜜罐的網絡能夠通過內部網絡通信。

（5）擬態蜜罐節點，擬態蜜罐節點之間能夠通過網橋相互通信也能夠與網橋所在宿主機通信，但是擬態蜜罐不會直接被外部所訪問。

2.1.4中間人程序模塊

中間人程序的實現要求以圖5為例，詳細描述如下：

（1）網絡拓撲中主要資源列表：

①虛擬交換機（openvswitch），ip地址為192.168.1.123；

②虛擬網橋（bridge），ip地址為10.0.1.1；

③中間人分發程序，監聽截獲引擎設備192.168.1.123上的80端口流量，并對流量進行復制并分發至擬態蜜罐群中的設備。

圖5 中間人程序架構圖

（2）擬態蜜罐群：

①web擬態蜜罐A：IIS程序，Windows server操作系統，ip為10.0.1.100；

②web擬態蜜罐B：Apache程序，CentOS 7.8操作系統，ip為10.0.1.101；

③web擬態蜜罐C：Nginx程序，Ubuntu 20.08操作系統，ip為10.0.1.102。

（3）通用蜜罐群：

根據客戶的需求可以任意部署一些欺騙蜜罐，此類蜜罐暫不具備擬態功能。

（4）工作模式：

中間人程序接收到外部的流量，將流量通過虛擬網橋分別下發至擬態蜜罐群中的所有節點。并對蜜罐內部的重要狀態信息進行采集并發送至裁決器。經裁決器分析判斷后，蜜罐的響應結果將在未失陷的蜜罐中隨機挑選，并返回給攻擊者。

當擬態蜜罐A被攻陷時（由裁決器進行分析研判），中間人程序將會切換為將擬態蜜罐B（也可能是C，切換動作取決于裁決器能夠分析出不會被攻陷的蜜罐，將其結果進行切換回饋）的相應信息發送返回給攻擊者，擬態蜜罐A會被快速回滾至初始狀態并重新參加對攻擊者請求的響應。以此類推，當擬態蜜罐B被攻陷時，中間人程序會只將將擬態蜜罐C的響應信息返回給客戶，并對擬態蜜罐B進行快速回滾至初始狀態。回滾后的擬態蜜罐仍回接收到中間人的分發的報文，參加對攻擊者請求的執行。

這里有一個極限情況，即三個蜜罐均被裁決器認定為被攻陷，此時操作將為三個蜜罐均進行回滾操作，上下文信息將被重置。

回滾動作由輸出裁決模塊發起，由蜜罐管理模塊執行。中間人程序進對攻擊者輸入指令進行分發，對反饋結果進行切換。

2.1.5輸出裁決模塊

對上層應用相同底層架構不同的異構蜜罐，進行實時數據采集，并對其進行分析，確定是否有可能導致蜜罐失陷的動作發生。比對中的異構蜜罐至少為3個，比對內容主要為行為記錄、告警數據。分析比對后，進行判斷結果，隨機將未失陷蜜罐的反饋結果發送給中間人程序，并告知虛擬化管理子系統中的蜜罐管理模塊進行擬態蜜罐是否需要回滾。

2.2 數據采集子系統

數據采集系統主要依靠蜜罐內部安裝的采集監控程序或在蜜罐內部搭載的應用程序中埋點，實現對蜜罐的訪問、命令執行、文件變動、應用變動等情況進行數據采集。另外，系統對蜜罐的所有訪問流量也都實現流量分包存儲，通過流量采集模塊實現訪問流量的封裝存儲，并且將原始流量數據轉發給流量分析引擎對其威脅行為進行專項分析。數據采集子系統工作機制如圖6所示。

2.2.1內置采集監控程序

在蜜罐中內置隱藏采集監控程序，對蜜罐中系統運行狀態、系統日志、服務運氣情況、文件變動、命令執行情況等信息進行采集。

2.2.2應用埋點

高交互蜜罐中需要對外開放高交互的Web應用、數據庫等軟件環境。為了獲取最準確的應用內部運行信息，需要對其中開源的軟件環境進行代碼修改以及重新編譯，將應用信息對接至內置采集服務中。

2.2.3流量采集程序

流量采集程序將所有訪問蜜罐的原始流量采集留存下來，封裝成PCAP格式的流量包，可用于回放、分析。并且，所有的原始流量，可以轉發給數據分析子系統中的流量分析模塊，進行惡意行為的分析。

圖6 數據采集子系統工作機制示意圖

2.3 數據預處理子系統

數據預處理子系統是將數據采集子系統中采集的數據，進行初步處理的板塊，數據預處理子系統處理過程示意流程如圖7所示。

圖7 數據預處理子系統處理過程示意圖

3 結語

本文針對傳統蜜罐系統面臨的未知漏洞、后門等網絡安全威脅，設計了一種基于動態異構冗余架構的擬態蜜罐系統，從系統架構層面使其具有了擬態特性。基于該設計方案，原型系統擬實現如下研究目標：（1）入侵探測型威脅和實質型威脅數據的采集，并能夠實時、全面的監測入侵者的攻擊行為，為溯源定位入侵者的位置、手段、工具以及輔助感知入侵意圖提供源數據支撐。（2）對網絡威脅感知數據的控制，主要包括：審計日志庫、攻擊威脅庫、內置場景庫以及高甜度蜜罐庫，并能夠通過syslog服務向第三方安全防護系統共享威脅行為數據和審計日志信息，支撐聯動防御。（3）對新型蜜罐系統分析展示，主要包括：總體威脅分析、實質型威脅分析、探測型威脅分析以及系統運行狀態的監控，提供安全決策依據。

[1]SUBRAHMANIAN VS，OVEKGONN M，DUMITRAS T，et al. The global cyber-vulnerablity report[J]. Springer Int’1 Publishing，2015（10）：33-64.

[2]CHUNG C J，KHATKAR P，XING T，et al.NICE：networkd intrusion detection and countermeasure selection in virtual network systems [J]. IEEE Transaction on Dependableand Secure Computing，2013，10（4）：198-211.

[3]XU H，CHEN X，ZHOU J，et al. Research on basic problems of cognitive network intrusion prevention[C]//Proceedings of 9th International Conference on Computational Intelligence and Security.Piscataway：IEEE Press，2013：514-517.

[4]WU J X. Research on cyberspace mimic defense[J].Journal of Information Security，2016，1（4）：1-10.

[5]崔澤永，趙會群.基于KVM的虛擬化研究及應用[J]. 計算機技術與發展，2011（06）.

國家重點研發計劃項目（2017YFB0803201，2017YFB0803204，2016YFB0801200）；國家自然科學基金項目（61572519，61802429，61521003）；上海市科學技術委員會科研計劃項目16DZ1120503；中國博士后基金項目44595