蜜網防護系統的研究與實現

游杰 湯輝 李書鋒 江西省計算技術研究所(江西省計算中心) 南昌市 330002

0 引言

在新一代信息技術快速發展的時代，網絡安全已經成為企業發展的命脈，信息系統越自動化越信息化越智能化，安全問題就會非常大。現如今高級持續性威脅不斷被發現、關鍵信息基礎設施的攻擊事件顯著增加、信息泄露事件頻發等安全問題愈演愈烈，而網絡安全防御技術并不能及時抵御網絡安全威脅的變化，網絡安全問題已成為影響信息化快速發展的重要因素，急需具備宏觀數據匯聚、融合分析、威脅態勢感知的蜜網防護系統來提高網絡安全保護等級。

1 蜜罐技術現狀

蜜罐（Honeypot）好比是情報收集系統，主要用來迷惑入侵者、保護服務器，抵御入侵者、加固服務器，誘捕網絡罪犯等。蜜罐技術是一種對攻擊方進行欺騙的技術，通過布置作為誘餌的主機、網絡服務或者信息，誘使攻擊者實施攻擊，從而可以對攻擊行為進行捕獲和分析，能讓防御方了解他們所面對的安全威脅，并通過管理和技術手段來增強實際系統的安全防護能力[1]。根據攻擊者與應用程序或服務的交互能力要求，可以選擇低交互蜜罐或高交互蜜罐，低交互蜜罐只能讓攻擊者極其有限的交互服務，易于部署，但不夠有效，高交互蜜罐不是簡單地模擬某些協議或服務，而是提供真實的服務系統，可以輕松的發現威脅并跟蹤其行為，但其最大的缺點是部署復雜，同時需保持對其長期監控，以降低系統風險[2]。

2 蜜網防護系統的關鍵技術

2.1 偽裝誘捕技術

通過操作系統偽裝、數據和文件的偽裝、應用程序運行和服務的偽裝、目錄系統偽裝和信息偽裝技術等，實現蜜罐系統的偽裝誘捕，作為一個包含漏洞的蜜罐系統，并不是提供真正有價值的服務，所以所有對蜜罐的嘗試訪問都是十分可疑的。防御方可以通過蜜罐偽裝誘捕攻擊者，從而保護服務器。偽裝誘捕必須通過是分層捕獲數據,不能只靠一個層面來獲取信息,從多個層面來收集信息，不會讓黑客發覺他的所有行為都被記錄了，同時實現本地存儲信息數據的安全，不易被黑客發現。

2.2 統計和分析技術

通過對誘捕的數據進行統計和分析，對一些早期警告與預報內容進行測試分析，建立預警模型，實現對系統攻擊的前期預警，為蜜網防護系統搜集更多有價值的數據，同時使用統計學分析能夠精確地判斷出短時期內對蜜網防護系統可能發生的攻擊情況[3]。

圖1 蜜網防護系統結構圖

3 蜜網防護系統的部署

蜜網防護系統通過Honeypot節點行為感知內網攻擊事件、情報協同增強失陷主機監測，獲取到內網攻擊、網絡控制等威脅事件、樣本文件、通信數據包，并且上報態勢平臺。態勢平臺作為調度中心調度沙箱分析平臺對采集到的樣本文件進行深度分析，通過行為日志與通信數據包進行關聯分析，并從中提取威脅情報。提取到威脅情報后，蜜罐安全管理控制中心將威脅情報下發各個采集監控節點，從而組成一個情報生產、情報協同的動態網絡監測的蜜網防護系統[4]。

4 蜜網防護系統的實現

圖2 蜜網防護系統效果展示圖

蜜網防護系統通過安全事件的“敵我戰”三情視角打造攻擊者視圖、受攻擊者視圖、事件視圖和威脅視圖的安全事件多維視圖分析模式。攻擊者視圖以“敵情”信息為基礎，關聯威脅情報和威脅事件信息，暴光攻擊者的詳細信息，揭露攻擊者對內網環境攻擊造成的影響。受攻擊者視圖關聯基于“我情”的內網資產數據，通過分析威脅行為，評估受害資產的狀態，展現內網資產安全的態勢。事件視圖和威脅視圖主要關注“戰情”信息，包括攻擊的行為、手法、類型、階段和資產狀態等相關信息，同時分析揭示攻擊的組織、家族、利用的漏洞、連接的C&C等相關信息。深度分析安全事件，全方位呈現安全事件發生的全生命周期過程。該系統以2D平面地圖、3D立體地圖以及資產拓撲圖的方式提供宏觀態勢、微觀態勢以及綜合態勢的可視化展示。支持對事件本身、內網資產、威脅情報等相關數據的多維度、多層次統計展現。該系統根據數據對象類型提供統一接入接口，支持接入流量監控、行為捕獲、文件捕獲等多種數據采集節點和檢測引擎。平臺提供全面安全的受控設備管控措施，實時監控受控設備的健康狀態，及時處理不健康的受控設備。采用指令下發策略，支持對受控設備進行業務暫停、服務重啟、刪除連接等操作，實現平臺對受控節點的全面安全管理控制。

該系統實現了對高低交互式蜜罐的遠程監控、遠程配置、管理、警報查詢顯示等功能,模擬了Unix、Windows等操作系統及FTP、Telnet等網絡基本服務,可與入侵檢測系統、防火墻聯動,實現對入侵行為的誘捕和監控記錄。[5]該系統同時提供用戶自定義的報表統計功能，通過以安全事件為中心，關聯資產信息、攻擊者信息和威脅情報信息，打造包含事件、攻擊者、攻擊行為、攻擊類型、攻擊武器、武器平臺、組織、地域、受攻擊者、資產狀態以及漏洞、家族等一體的綜合統計報表。支持對統計的內容模塊進行定制，同時支持對統計報表進行導出，支持導出為PDF和Excel格式。

5 結束語

蜜網防護系統是主動防御型網絡安全系統,在入侵檢測系統、防火墻等安全措施的配合下,可提高系統安全防護等級，對已知和未知的新型攻擊手段都能有效防護和主動預防。蜜網防護系統能將黑客的攻擊行為引誘至一個可監控的范圍,消耗其資源,了解其使用的網絡攻擊方法和技術,監控記錄其犯罪行為,市場應用推廣前景巨大。