唐洪玉

（北京神州綠盟信息安全科技股份有限公司，北京 100089）

隨著網絡攻擊技術的發(fā)展，特別是分布式拒絕服務攻擊、跳板（Step-stone）攻擊及互聯(lián)網蠕蟲的盛行，互聯(lián)網上的每一臺主機都已經成為攻擊的目標；而且，特別值得注意的一個趨勢是多種攻擊腳本和工具的融合，如大量的內核后門工具包（Rotkit）、能夠集成多種攻擊腳本并提供易用接口的攻擊框架的出現(xiàn)，使得攻擊“無處不在”，簡單易行。

同時，電信運營商網絡的建設規(guī)模在不斷擴大，其所面臨的安全威脅也在急劇增加，安全風險不斷被放大。然而，當網絡系統(tǒng)被攻擊后，對于對手是誰、他們使用了哪些工具、以何種方式抵達攻擊目標等，運營商對這些都一無所知。

面對日益復雜的入侵事件，運營商目前所廣泛采用的傳統(tǒng)的被動防御手段已很難滿足當前的需求，因此必須采用一種新的技術手段，增強安全防御工作的積極性和主動性，而這種技術的首選就是蜜網。

1 蜜網技術簡介

1.1 蜜網的基本概念

蜜罐（Honeypot），簡單來說，是一項技術、一種安全資源，它的價值就在于被探測、攻擊和破壞。蜜網（Honeynet），是在蜜罐技術上逐步發(fā)展起來的一個新的概念，它實際上是一種研究型的、高交互型的蜜罐技術，其主要目的是收集黑客的攻擊信息。與傳統(tǒng)蜜罐技術的差異在于，蜜網構成了一個黑客誘捕網絡體系架構，在這個體系中包括一個或多個蜜罐；多層次的數據控制機制；全面的數據捕獲機制和深入的數據分析機制。

1.2 蜜網體系框架

如圖1所示，一個典型蜜網體系框架由蜜罐主機、蜜網網關和日志服務器/監(jiān)控管理平臺等3部分構成。其中，蜜網是與內部業(yè)務網絡并行的網絡，由多個蜜罐主機組成；所有進出蜜網的流量都需要經過蜜網網關；日志服務器（監(jiān)控管理平臺）對蜜罐主機及蜜網網絡產生的日志數據進行收集，提供后續(xù)分析。

圖1 典型蜜網體系框架圖

一般來說，蜜網具有三大核心功能：數據控制、數據捕獲和數據分析。其中，數據控制功能，主要是將黑客攻擊控制在蜜網內，而不會擴散至其它的網絡和系統(tǒng)，從而可以減輕或杜絕蜜網作為攻擊跳板的風險；數據捕獲功能，使得蜜網可以將攻擊的所有行為數據全部記錄下來；而數據分析功能，則是幫助蜜網使用人員對捕獲的數據進行匯總、整理、分析和展現(xiàn)。

1.2.1 數據控制功能

數據控制功能，可以由蜜網網關完成。一般而言，蜜網網關對流入蜜網的數據分組不做限制，使得黑客能攻入蜜網；但對蜜網對外發(fā)起的跳板攻擊進行嚴格控制，采用的控制方法包括攻擊分組抑制和對外連接數限制等方法。

蜜網網關本身就具有IPS的功能，限制對外攻擊，同時可以做類似防火墻的訪問控制；而且，蜜網被攻擊并獲得攻擊數據后，會很快自動將蜜罐復原，恢復初始態(tài)。通過這些措施，從根本上杜絕了黑客想利用蜜罐做跳板的可能性。

1.2.2 數據捕獲功能

數據捕獲功能，由蜜網網關和蜜罐主機上的行為監(jiān)視模塊共同完成。

蜜網網關內置網絡攻擊檢測模塊，對流入蜜網的數據分組基于規(guī)則進行告警，產生告警日志，同時捕獲原始流量數據分組，生成netflow流數據。在各蜜罐主機，自我隱藏的行為監(jiān)視模塊，對蜜罐主機的各種變化情況（如進程變化、網絡連接變化、文件變化、注冊表變化……）進行記錄，生成日志，并且捕獲樣本文件，以隱藏協(xié)議棧傳輸的方式傳到蜜網網關，再傳到日志服務器（監(jiān)控管理平臺）。

1.2.3 數據分析功能

蜜網系統(tǒng)，可以從大量的網絡數據中提取出攻擊行為的特征和模型，通過數據融合和關聯(lián)分析，進行全面完善的數據分析，從而可以使蜜網用戶非常容易的了解和掌握攻擊者所用的技術、動機、新工具和新方法。

1.3 蜜網的優(yōu)勢

蜜網技術，在捕獲和了解安全威脅方面，具有以下優(yōu)勢。

（1） 捕獲到的流量都是惡意的。根據定義，蜜罐不具備常規(guī)用途，里面沒有任何的業(yè)務流量，所以任何出入蜜罐的流量都可以被視為是惡意的。同時，這種特性，也使得蜜網捕獲到的網絡流量相對較少；

（2） 誤報率極低。在蜜網中，并不依賴于任何區(qū)分正常流量和異常流量的檢測算法，從而使得其誤報率非常低；

（3） 具備對未知攻擊的發(fā)現(xiàn)能力。蜜網具備完善的數據捕獲能力，通過對捕獲到的行為數據進行進一步分析，可以發(fā)現(xiàn)新的攻擊行為，同時可以提取其攻擊特征；

（4） 強大的數據分析能力。蜜網具有完善的數據分析能力，可以從大量的網絡數據中提取出攻擊行為的特征和模型，通過數據融合和關聯(lián)分析，進行全面完善的數據分析，從而可以使蜜網用戶非常容易的了解和掌握安全威脅的情況。

2 蜜網在電信運營商的應用探討

2.1 行業(yè)應用探討

蜜網技術在運營商網絡安全方面的應用，會給運營商帶來保障網絡與信息安全的新能力，主要表現(xiàn)在以下幾個方面。

2.1.1 定位識別攻擊者，為安全運維提供有利支撐

利用蜜網技術，可以有效的監(jiān)測和定位攻擊者，特別是位于內網的攻擊者。根據攻擊者對內容的興趣方向、采取的操作，分析其身份目的，通過跟蹤功能對入侵者進行有效的追蹤，并配合入侵取證功能對黑客入侵行為進行法律取證并有力的打擊。

同時，對攻擊進行有效定位和識別后，將相關數據提供給安全運維系統(tǒng)，使運維人員可以更好的應對網絡攻擊，提高安全運維的響應速度和質量。

2.1.2 網絡安全狀況監(jiān)控，了解安全威脅狀況

蜜網的應用和部署，可以捕獲到各種攻擊，如惡意代碼（病毒、僵尸、蠕蟲）、自動化攻擊工具攻擊、掃描探索式攻擊、未知攻擊等。同時，借助蜜網強大的數據分析能力，將有助于運營商安全運維人員對當前網絡狀況的跟蹤分析，及時了解系統(tǒng)可能面臨的安全威脅。

2.1.3 進行攻防演練培訓，提高培訓質量

網絡安全攻防演練培訓，是提高運營商安全運維人員實戰(zhàn)能力的重要途徑。利用蜜網技術搭建攻防演練平臺，通過虛擬蜜網技術可以模擬各種網絡服務及系統(tǒng)漏洞；通過數據控制能夠確保攻防演練的行為可控，保證演練平臺的安全性；數據捕獲技術能夠檢測并審計攻防演練的所有行為數據；而數據分析技術則幫助教師和學員從捕獲的數據中分析出攻擊方的具體活動、使用工具及其意圖，增強實戰(zhàn)技能。

2.1.4 進行安全測試，提高系統(tǒng)安全能力

利用蜜網技術，搭建業(yè)務應用軟件的網絡化安全性能測試平臺，對該業(yè)務應用系統(tǒng)進行模擬和實戰(zhàn)攻擊，將可以有效的降低應用系統(tǒng)軟件存在的技術漏洞等安全隱患，為應用系統(tǒng)的安全性的測評提供數據支持。

2.1.5 監(jiān)測定位僵尸主機，及時發(fā)現(xiàn)潛在威脅

通過部署蜜網，搜集惡意軟件，對其樣本進行分析，確認是否僵尸程序，并對僵尸程序所要連接的僵尸網絡控制信道的信息進行提取，最后通過客戶端蜜罐技術，偽裝成被控制的僵尸工具，進入僵尸網絡進行觀察和跟蹤，進而發(fā)現(xiàn)整個僵尸網絡的構成，進行Botnet主機的定位。

2.2 應用案例分析

圖2 運營商全國蜜網部署圖

圖3 Yoyoddos捕獲情況

如圖2所示，在運營商的IP網上，進行全國蜜網的分級部署：集團部署全國蜜網管理中心，各省公司部署管理分中心和蜜網網關、蜜罐系統(tǒng)。這樣，對全國捕獲到的攻擊統(tǒng)一進行分析和處理，從而獲得整體的安全威脅狀況。同時，每個省的管理分中心可以對本省的蜜網系統(tǒng)進行管理和數據的分析。

接下來，本文將通過一個發(fā)現(xiàn)、分析、封堵Botnet的例子，來對蜜網在運營商安全運維工作中的具體應用進行分析和闡述。

2.2.1 Yoyoddos的發(fā)現(xiàn)和捕獲

如圖3所示，通過蜜網系統(tǒng)，捕獲到Yoyoddos.exe，經過蜜網內置的多種掃描引擎確認，發(fā)現(xiàn)是惡意的后門軟件。從圖3中，還可以看出，對于Yoyoddos的捕獲已經多達409次，且在多省被捕獲。

2.2.2 Yoyoddos的特征及攻擊行為分析

如圖4所示，蜜網系統(tǒng)可以捕獲并顯示被感染主機的進程和文件的變化，這可以幫助我們對Yoyoddos的感染過程和行為進行了解和分析。同時，利用蜜網系統(tǒng)，也可以對其攻擊場景進行還原。

通過分析，發(fā)現(xiàn)當一臺主機被這種木馬感染后，會生成 %SystemRoot%system32yoyoddos.exe文件，并生成注冊表鍵HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesyoyoddos,將Yoyoddos.exe注冊為Windows自啟動服務。Yoyoddos服務運行后會連接遠端服務器，加入Yoyoddos僵尸網絡，聽取并執(zhí)行攻擊命令。

對Yoyoddos進一步的跟蹤分析，得出如圖5所示的信息，從中可以發(fā)現(xiàn)Yoyoddos僵尸網絡的一些攻擊行為，比如TCP FLOOD、UDP FLOOD等。

圖4 被感染主機進程和文件變化狀況

在圖5中，可以看出，僵尸主機會和遠端控制服務器“qq***.***.org”（123.*.*.102） 取 得 聯(lián) 系， 進行通信，聽取指令。同時，可以看出，該僵尸網絡曾先后對“222.*.*.160”、“222.*.*.161”進行了 TCP FLOOD攻擊，并分發(fā)了新樣本“http://123.*.*.*:8080/dos.exe”。

2.2.3 Yoyoddos的封堵

從上述分析可以得出，該感染主機的遠程控制端是“qq***.***.org”（123.*.*.102），并接受指令對外進行了DDoS攻擊。那么，如何對該Yoyoddos僵尸網絡進行封堵和治理呢？

圖5 Yoyoddos行為分析

首先，在IP網相應的網絡設備、DNS服務器、安全設備上對遠程控制端的IP地址和域名進行封堵和禁止訪問；同時，通過監(jiān)聽網絡內和該控制端發(fā)生的通信，進一步定位網內的其它Yoyoddos主機，給予全面的打擊和遏制，使這種Yoyoddos在該運營商的IP網中不再泛濫。

3 總結

蜜網技術的出現(xiàn)，使得我們可以變被動防御為主動進攻，使其具有主動交互性。通過蜜網在運營商的應用和部署，可以使運營商主動了解人侵者的思路、工具、目的和機制，發(fā)現(xiàn)潛在的安全威脅，并且針對這些威脅及時找出相應的防御策略，以此來提高系統(tǒng)的安全性?？梢?，蜜網的應用，對保障運營商的網絡安全有著非常重要的意義。