張 羽，吳 瑞

(1．國(guó)家信息中心，中國(guó) 北京 100045;2．北京郵電大學(xué)，中國(guó) 北京 100876)

虛擬蜜網(wǎng)在保密取證中的應(yīng)用研究

張 羽1，吳 瑞2

(1．國(guó)家信息中心，中國(guó) 北京 100045;2．北京郵電大學(xué)，中國(guó) 北京 100876)

針對(duì)保密法對(duì)網(wǎng)絡(luò)保密檢查與取證工作提出的新要求，提出虛擬蜜網(wǎng)取證的概念，通過(guò)研究蜜網(wǎng)取證的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)手段，形成可指導(dǎo)實(shí)踐的虛擬蜜網(wǎng)取證技術(shù)解決方案，為保密檢查與取證工作提供技術(shù)支撐。

虛擬蜜網(wǎng);保密檢查;Honeywall

保密法的修訂對(duì)傳統(tǒng)保密檢查與取證工作提出了新的要求，網(wǎng)絡(luò)漏洞檢查與取證作為保密檢查工作的重要組成部分，也需要不斷改進(jìn)技術(shù)手段來(lái)應(yīng)對(duì)當(dāng)前國(guó)內(nèi)外復(fù)雜的信息安全形勢(shì)。傳統(tǒng)網(wǎng)絡(luò)漏洞掃描只是對(duì)指定網(wǎng)段內(nèi)的主機(jī)進(jìn)行安全評(píng)估，通過(guò)讀取各種日志文件進(jìn)行綜合評(píng)判，不僅風(fēng)險(xiǎn)分析不夠全面，也難以固定完整有效的證據(jù)信息。

針對(duì)以上安全需求，本文結(jié)合蜜罐、蜜網(wǎng)以及虛擬化等相關(guān)領(lǐng)域知識(shí)，提出了虛擬蜜網(wǎng)取證的概念。虛擬蜜網(wǎng)取證是對(duì)上述技術(shù)手段的綜合運(yùn)用，結(jié)合計(jì)算機(jī)取證的基本要求，以動(dòng)態(tài)取證模式為參考，重點(diǎn)分析數(shù)據(jù)控制、數(shù)據(jù)捕獲以及證據(jù)識(shí)別分析、固化保存等環(huán)節(jié)面臨的關(guān)鍵技術(shù)問(wèn)題，最終形成可指導(dǎo)實(shí)踐的虛擬蜜網(wǎng)取證技術(shù)解決方案。

一、虛擬蜜網(wǎng)概述

(一)蜜罐、蜜網(wǎng)理論

蜜罐(Honeypot)、蜜網(wǎng)(Honeynet)本質(zhì)上都是一種網(wǎng)絡(luò)安全工具，但不同于一般的防火墻、IDS等被動(dòng)式檢測(cè)工具，蜜罐、蜜網(wǎng)更強(qiáng)調(diào)對(duì)未知攻擊的主動(dòng)防御。蜜罐、蜜網(wǎng)核心價(jià)值在于對(duì)網(wǎng)絡(luò)惡意行為進(jìn)行監(jiān)視、檢測(cè)和分析，收集并固定行為特征信息，為網(wǎng)絡(luò)空間提供一種預(yù)期性保護(hù)［1］。

蜜罐技術(shù)核心是一種對(duì)攻擊者進(jìn)行欺騙的技術(shù)。通過(guò)部署監(jiān)測(cè)主機(jī)、開啟網(wǎng)絡(luò)服務(wù)并放置誘餌信息，誘使攻擊者對(duì)蜜罐實(shí)施攻擊。一方面可以減少攻擊者對(duì)實(shí)際業(yè)務(wù)系統(tǒng)造成的安全威脅，另一方面通過(guò)對(duì)攻擊行為的監(jiān)控和分析，捕獲攻擊行為特征信息，可以深入了解攻擊手段、方法以及攻擊目標(biāo)，從而為后期的攻擊溯源、責(zé)任認(rèn)定提供依據(jù)。

蜜網(wǎng)是一種高階的蜜罐應(yīng)用方式，其原型是為基礎(chǔ)研究設(shè)計(jì)使用的高交互型蜜罐網(wǎng)絡(luò)。蜜網(wǎng)通過(guò)將多臺(tái)高度受控的蜜罐主機(jī)組成網(wǎng)絡(luò)，并對(duì)網(wǎng)絡(luò)空間進(jìn)行監(jiān)控，可以比分析單一蜜罐主機(jī)更有效地了解攻擊者的攻擊行為。蜜網(wǎng)構(gòu)建的誘捕網(wǎng)絡(luò)體系架構(gòu)可以在保證網(wǎng)絡(luò)受控的情況下完成必要的隱秘取證，相比一般蜜罐具有更好的使用價(jià)值。

蜜網(wǎng)的研究發(fā)展經(jīng)歷過(guò)三個(gè)階段:第一階段為上世紀(jì)末，“蜜網(wǎng)項(xiàng)目組”(The Honeynet Project)首先提出了蜜網(wǎng)的概念，并搭建了第一個(gè)高交互蜜罐網(wǎng)絡(luò)，即 GenI第一代蜜網(wǎng)。本世紀(jì)初，“蜜網(wǎng)項(xiàng)目組”設(shè)計(jì)改進(jìn)了GenII第二代蜜網(wǎng)架構(gòu)，開發(fā)部署了蜜網(wǎng)控制的關(guān)鍵工具，使蜜網(wǎng)技術(shù)正式轉(zhuǎn)化為應(yīng)用。近些年隨著相關(guān)技術(shù)不斷進(jìn)步，蜜網(wǎng)的易用性及可部署性都得到了不斷提高，數(shù)據(jù)捕獲及分析方式趨于標(biāo)準(zhǔn)化，由此形成了 GenIII第三代蜜網(wǎng)。GenII與GenIII蜜網(wǎng)架構(gòu)基本相同，只是部分關(guān)鍵技術(shù)有所區(qū)別。

目前，蜜網(wǎng)部署大多仍沿用第二代蜜網(wǎng)架構(gòu)(見(jiàn)圖1)，以Honeywall作為整個(gè)蜜網(wǎng)的核心，使用數(shù)據(jù)旁路的方式實(shí)時(shí)監(jiān)測(cè)受控網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)數(shù)據(jù)包信息以及主機(jī)狀態(tài)信息。Honeywall是一個(gè)鏈路層橋接設(shè)備，包含三個(gè)網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，eth2作為一個(gè)隱秘通道連接到監(jiān)控網(wǎng)絡(luò)。其中，eht0與eth1均沒(méi)有自己的IP地址，只有eth2具有自己的端口IP。Honeywall遵循二層網(wǎng)絡(luò)協(xié)議工作，不會(huì)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行 TTL(Time To Live)遞減和網(wǎng)絡(luò)路由，也不會(huì)提供本身的 MAC地址，因此可以有效消除蜜網(wǎng)“指紋”，實(shí)現(xiàn)對(duì)攻擊者的完全透明。Honeywall是蜜網(wǎng)與其他網(wǎng)絡(luò)的唯一連接點(diǎn)，所有流入流出蜜網(wǎng)的數(shù)據(jù)信息都必須接受Honeywall的控制和審計(jì)。正是利用這一特性，才可以實(shí)施對(duì)蜜網(wǎng)網(wǎng)絡(luò)空間的監(jiān)測(cè)取證。

圖1 GenII蜜網(wǎng)架構(gòu)

蜜網(wǎng)正常運(yùn)轉(zhuǎn)需要三個(gè)核心模塊支持，分別為數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)集中和分析模塊［2］。數(shù)據(jù)控制模塊是為了保證被攻陷的蜜網(wǎng)不會(huì)被惡意利用從而威脅其他信息系統(tǒng)，這要求必須在不被入侵者察覺(jué)的情況下對(duì)出入蜜網(wǎng)的數(shù)據(jù)進(jìn)行限制。數(shù)據(jù)控制通常交由Honeywall來(lái)實(shí)施，具體實(shí)現(xiàn)技術(shù)包括對(duì)外連接數(shù)限制(Connection Limiting)和攻擊包抑制(Drop Disable)。

數(shù)據(jù)捕獲模塊負(fù)責(zé)秘密收集、檢測(cè)和審計(jì)所有網(wǎng)絡(luò)空間數(shù)據(jù)，尋找潛在的威脅數(shù)據(jù)信息。數(shù)據(jù)捕獲模塊的實(shí)現(xiàn)有多種解決方案，從取證完整性角度考慮，應(yīng)全面收集網(wǎng)絡(luò)、主機(jī)空間內(nèi)的各種數(shù)據(jù)信息，并進(jìn)行關(guān)聯(lián)分析，以確定攻擊行為特征。網(wǎng)絡(luò)數(shù)據(jù)收集可綜合部署在Honeywall當(dāng)中，但需要分層建設(shè)，使用多種技術(shù)手段收集鏈路層、網(wǎng)絡(luò)層等常見(jiàn)通訊協(xié)議數(shù)據(jù)信息。主機(jī)空間數(shù)據(jù)收集通常使用客戶端駐留的方式，對(duì)前端系統(tǒng)中的內(nèi)存狀態(tài)、端口服務(wù)以及磁盤數(shù)據(jù)信息進(jìn)行實(shí)時(shí)監(jiān)控。從隱秘性角度考慮，數(shù)據(jù)捕獲模塊應(yīng)盡可能減少對(duì)系統(tǒng)、服務(wù)或軟件的修改，避免留下蜜網(wǎng)“指紋”特征。

數(shù)據(jù)集中和分析模塊主要適用于分布式蜜網(wǎng)架構(gòu)，解決多源監(jiān)控?cái)?shù)據(jù)的匯總和同步問(wèn)題，以取證為目的的蜜網(wǎng)架構(gòu)中可暫不考慮，在此不展開闡述。

(二)虛擬化蜜網(wǎng)

隨著蜜網(wǎng)技術(shù)不斷推廣應(yīng)用，其部署困難、維護(hù)成本高的缺點(diǎn)暴露無(wú)疑，嚴(yán)重影響其使用價(jià)值。而虛擬化(Virtualization)技術(shù)的飛速進(jìn)步給了蜜網(wǎng)一個(gè)新的發(fā)展契機(jī)。虛擬化的本質(zhì)是通過(guò)特定技術(shù)手段將下層資源透明的映射至上層虛擬機(jī)，以實(shí)現(xiàn)應(yīng)用的平臺(tái)無(wú)關(guān)性以及物理資源的多重復(fù)用。現(xiàn)有計(jì)算機(jī)系統(tǒng)體系架構(gòu)下虛擬化的運(yùn)用非常廣泛，本文只是借助虛擬化技術(shù)在單個(gè)硬件系統(tǒng)上部署運(yùn)行多個(gè)彼此獨(dú)立的蜜罐系統(tǒng)，并進(jìn)行系統(tǒng)資源的調(diào)配和監(jiān)控。

虛擬蜜網(wǎng)使用VMM(Virtual Machine Monitor)進(jìn)行虛擬平臺(tái)管理，為每一個(gè)蜜罐提供獨(dú)立可用的VM(Virtual Machine)系統(tǒng)環(huán)境，在保證系統(tǒng)復(fù)雜度的同時(shí)可以降低失效蜜罐對(duì)整個(gè)蜜網(wǎng)產(chǎn)生的威脅。這種管理架構(gòu)通過(guò)VMM協(xié)助實(shí)施蜜網(wǎng)的數(shù)據(jù)控制和數(shù)據(jù)捕獲，大幅降低了蜜網(wǎng)的部署和管理難度，有效解決了經(jīng)典蜜網(wǎng)架構(gòu)中的諸多問(wèn)題，使蜜網(wǎng)應(yīng)用得到迅速普及。

虛擬化技術(shù)的引入也會(huì)帶來(lái)一些新的問(wèn)題。受限于現(xiàn)有x86體系結(jié)構(gòu)中的硬件特征，全虛擬化(Full Virtualization)的實(shí)現(xiàn)非常復(fù)雜，難以消除所有的“指紋”信息，有可能導(dǎo)致蜜網(wǎng)系統(tǒng)的暴露［4］。此外，虛擬化軟件的引入帶來(lái)了新的系統(tǒng)風(fēng)險(xiǎn)，軟件實(shí)現(xiàn)中的未知漏洞有可能被惡意利用進(jìn)而導(dǎo)致整個(gè)蜜網(wǎng)系統(tǒng)失效。但是，隨著虛擬化技術(shù)的不斷進(jìn)步，上述問(wèn)題并不會(huì)影響虛擬蜜網(wǎng)應(yīng)用的成熟發(fā)展。

二、虛擬蜜網(wǎng)取證的應(yīng)用部署

(一)虛擬蜜網(wǎng)取證應(yīng)用分析

傳統(tǒng)保密檢查與取證活動(dòng)多是一種事后取證，具有周期性和階段性特點(diǎn)，屬于標(biāo)準(zhǔn)的靜態(tài)取證。本文提出的虛擬蜜網(wǎng)取證則參考動(dòng)態(tài)取證模式，通過(guò)對(duì)蜜網(wǎng)空間的實(shí)時(shí)監(jiān)控分析，將威脅行為證據(jù)信息進(jìn)行固化保存，從而保證證據(jù)信息的原始性和完整性。

虛擬蜜網(wǎng)取證過(guò)程中，虛擬蜜網(wǎng)本身只是一種前端信息采集工具，負(fù)責(zé)收集、匯總蜜網(wǎng)空間中所有的網(wǎng)絡(luò)以及主機(jī)狀態(tài)、數(shù)據(jù)信息，并將這些信息通過(guò)隱秘通道發(fā)送至Honeywall進(jìn)行統(tǒng)一的數(shù)據(jù)管理。取證功能模塊在Honeywall數(shù)據(jù)基礎(chǔ)上進(jìn)行數(shù)據(jù)清洗和關(guān)聯(lián)分析，依照相應(yīng)的取證策略對(duì)關(guān)鍵行為特征信息進(jìn)行固化保全，經(jīng)簽名后存儲(chǔ)至標(biāo)準(zhǔn)證據(jù)庫(kù)。

虛擬蜜網(wǎng)取證要優(yōu)先考慮證據(jù)信息的證明力和證據(jù)能力，也就是證據(jù)的價(jià)值和可用性。虛擬蜜網(wǎng)提供的數(shù)據(jù)控制機(jī)制和數(shù)據(jù)捕獲機(jī)制很好地保證了捕獲信息的原始性和完整性，確保了證據(jù)能力有效。同時(shí)，虛擬蜜網(wǎng)作為一種信息安全工具，可以將大量網(wǎng)絡(luò)行為數(shù)據(jù)信息進(jìn)行匯總，通過(guò)關(guān)聯(lián)分析進(jìn)而得到完整的威脅行為特征信息，具有很強(qiáng)的證明力。

實(shí)施虛擬蜜網(wǎng)取證應(yīng)當(dāng)以知識(shí)庫(kù)為核心，在知識(shí)庫(kù)基礎(chǔ)上區(qū)分證據(jù)發(fā)現(xiàn)層、證據(jù)保全層、證據(jù)分析層以及證據(jù)呈現(xiàn)層，并根據(jù)每層技術(shù)特點(diǎn)分別建設(shè)。知識(shí)庫(kù)主要包含系統(tǒng)的基本配置數(shù)據(jù)信息、取證策略以及標(biāo)準(zhǔn)證據(jù)格式。證據(jù)發(fā)現(xiàn)層用于發(fā)現(xiàn)和提取網(wǎng)絡(luò)及終端的原始證據(jù)信息，系統(tǒng)建設(shè)中，這部分工作主要交由Honeywall來(lái)實(shí)施，同時(shí)也需要取證策略知識(shí)庫(kù)的支持。證據(jù)保全層主要是解決證據(jù)的完整性驗(yàn)證問(wèn)題，即通過(guò)數(shù)字簽名的形式來(lái)確保捕獲信息的真實(shí)性和完整性，使留存的證據(jù)信息具備基礎(chǔ)的法律效力。證據(jù)保全層需根據(jù)標(biāo)準(zhǔn)證據(jù)格式建立標(biāo)準(zhǔn)證據(jù)庫(kù)，一般應(yīng)單獨(dú)部署在取證服務(wù)器中。證據(jù)分析層主要是為重構(gòu)行為過(guò)程，定位出真實(shí)的行為主體。在復(fù)雜的網(wǎng)絡(luò)事件中，行為過(guò)程往往會(huì)經(jīng)過(guò)多個(gè)中間節(jié)點(diǎn)的跳轉(zhuǎn)，因此，證據(jù)分析層需要將來(lái)源于主機(jī)和網(wǎng)絡(luò)的兩部分證據(jù)以一定邏輯條件進(jìn)行關(guān)聯(lián)分析，進(jìn)而還原行為過(guò)程，形成完整證據(jù)鏈。證據(jù)分析層應(yīng)作為單獨(dú)的取證功能模塊獨(dú)立部署。證據(jù)呈現(xiàn)層在證據(jù)分析層基礎(chǔ)上將分析結(jié)論以直觀方式進(jìn)行展示，并結(jié)合系統(tǒng)基本信息提供決策支持服務(wù)。

虛擬蜜網(wǎng)取證具有實(shí)時(shí)高效的特點(diǎn)，可以在威脅行為發(fā)生同時(shí)對(duì)關(guān)鍵行為特征信息進(jìn)行固化保存，確保捕獲證據(jù)信息的真實(shí)性。同時(shí)，虛擬蜜網(wǎng)取證捕獲證據(jù)信息十分完整，可通過(guò)關(guān)聯(lián)分析重現(xiàn)整個(gè)行為過(guò)程。相比傳統(tǒng)保密檢查與取證手段，虛擬蜜網(wǎng)取證可以將離散的行為信息進(jìn)行主動(dòng)串聯(lián)，形成一條完整的證據(jù)鏈，為攻擊溯源、責(zé)任認(rèn)定提供明確依據(jù)。

(二)部署實(shí)施方案

根據(jù)以上分析結(jié)論，本文構(gòu)建了一個(gè)面向應(yīng)用的虛擬蜜網(wǎng)取證部署實(shí)施方案，對(duì)實(shí)施環(huán)節(jié)中所應(yīng)滿足的技術(shù)要求提出了相應(yīng)的解決辦法，具體內(nèi)容如下:

在系統(tǒng)架構(gòu)層面，為滿足計(jì)算機(jī)取證的基本要求，需要對(duì)相關(guān)數(shù)據(jù)信息進(jìn)行全面捕獲和分析，因此采用研究型蜜罐網(wǎng)絡(luò)，以信息獲取作為首要目標(biāo)［3］。同時(shí)，為保證捕獲證據(jù)信息的原始性和真實(shí)性，需要將虛擬蜜網(wǎng)部署在實(shí)際業(yè)務(wù)網(wǎng)絡(luò)當(dāng)中，從而在關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)截獲可能的違規(guī)泄密信息。此外，從易用性角度出發(fā)，在實(shí)際部署中建議采用混雜型虛擬蜜網(wǎng)(Hybrid Virtual Honeynet)結(jié)構(gòu)，將蜜罐系統(tǒng)同網(wǎng)關(guān)系統(tǒng)進(jìn)行隔離，以提高蜜網(wǎng)系統(tǒng)靈活性，消除單點(diǎn)故障。綜合以上需求，構(gòu)建虛擬蜜網(wǎng)取證網(wǎng)絡(luò)結(jié)構(gòu)圖如下:

圖2 虛擬蜜網(wǎng)取證網(wǎng)絡(luò)結(jié)構(gòu)圖

如圖2所示，本方案將虛擬蜜網(wǎng)取證系統(tǒng)接入外網(wǎng)邊界的路由器，并通過(guò)防火墻、交換機(jī)以及IDS等防護(hù)設(shè)備與業(yè)務(wù)內(nèi)網(wǎng)進(jìn)行隔離，在保證內(nèi)網(wǎng)安全的同時(shí)也為外網(wǎng)入侵者提供了虛假目標(biāo)，為隱秘取證創(chuàng)造了前提。虛擬蜜網(wǎng)構(gòu)建使用混雜型虛擬蜜網(wǎng)結(jié)構(gòu)，將Honeywall獨(dú)立為一臺(tái)監(jiān)控取證服務(wù)器，承擔(dān)所有的證據(jù)識(shí)別分析與固化保存任務(wù)。所有的蜜罐系統(tǒng)均以虛擬機(jī)的形式部署在宿主機(jī)操作系統(tǒng)中，由VMM進(jìn)行統(tǒng)一管理。蜜罐使用獨(dú)立的VM，采用Bridge方式組成虛擬網(wǎng)絡(luò)。通過(guò)vmnet0組建的虛擬蜜網(wǎng)，每一個(gè)虛擬蜜罐都具有對(duì)外可見(jiàn)的獨(dú)立IP，可進(jìn)行所有的網(wǎng)絡(luò)交互行為，保證了虛擬蜜網(wǎng)取證數(shù)據(jù)的真實(shí)性。

技術(shù)實(shí)現(xiàn)方面，虛擬平臺(tái)的搭建可借助虛擬機(jī)軟件，一方面簡(jiǎn)化VM的配置管理工作，另一方面也易于組建虛擬網(wǎng)絡(luò)，常見(jiàn)的虛擬機(jī)軟件有VMware等。Honeywall的部署可使用蜜網(wǎng)項(xiàng)目組提供的Honeynet Roo，Roo提供了完善的數(shù)據(jù)控制和數(shù)據(jù)捕獲功能模塊，其中數(shù)據(jù)控制模塊用于限制入侵者對(duì)虛擬蜜網(wǎng)的濫用，從而保證取證信息的安全性。數(shù)據(jù)捕獲模塊用于證據(jù)信息的采集和匯總，通過(guò)將受控網(wǎng)絡(luò)中的各種狀態(tài)、數(shù)據(jù)信息進(jìn)行匯總，并通過(guò)eth2隱秘端口發(fā)送至監(jiān)控取證服務(wù)器，可以保證取證信息的機(jī)密性和完整性。

Honeywall中的數(shù)據(jù)控制模塊通常采用對(duì)外連接數(shù)限制和攻擊包抑制等技術(shù)手段，對(duì)外連接數(shù)限制主要針對(duì)網(wǎng)絡(luò)探測(cè)(Probe)和拒絕服務(wù)攻擊(DoS)，攻擊包抑制則針對(duì)使用少量連接即能奏效的已知攻擊(如權(quán)限提升攻擊等)。數(shù)據(jù)捕獲模塊需區(qū)分網(wǎng)絡(luò)與主機(jī)數(shù)據(jù)進(jìn)行分別抓取，網(wǎng)絡(luò)數(shù)據(jù)采集可通過(guò)防火墻、sniffer等工具進(jìn)行分層捕獲，主機(jī)數(shù)據(jù)采集可使用Roo提供的Sebek客戶端進(jìn)行實(shí)時(shí)捕獲。

上述網(wǎng)絡(luò)架構(gòu)中，監(jiān)控取證服務(wù)器是整個(gè)系統(tǒng)的核心。一方面是由于其承擔(dān)了虛擬蜜網(wǎng)中的Honeywall功能，另一方面其負(fù)責(zé)對(duì)所有蜜網(wǎng)數(shù)據(jù)信息的實(shí)時(shí)監(jiān)控和分析，并依據(jù)取證策略庫(kù)的指導(dǎo)對(duì)威脅行為進(jìn)行固化保存，形成標(biāo)準(zhǔn)證據(jù)庫(kù)。

取證策略庫(kù)源于對(duì)標(biāo)準(zhǔn)行為的規(guī)則化描述，從保密檢查角度出發(fā)，主要是參照保密法、行業(yè)法規(guī)以及內(nèi)部保密制度，制訂網(wǎng)絡(luò)行為的白名單和黑名單，確定涉密關(guān)鍵詞，進(jìn)而對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)行為信息進(jìn)行識(shí)別匹配，確定威脅特征［5］。標(biāo)準(zhǔn)證據(jù)庫(kù)是將取證策略庫(kù)中匹配的關(guān)鍵行為特征信息進(jìn)行固化保全，經(jīng)簽名保護(hù)后以標(biāo)準(zhǔn)證據(jù)格式進(jìn)行存儲(chǔ)。

在標(biāo)準(zhǔn)證據(jù)庫(kù)基礎(chǔ)上，可進(jìn)行深入的數(shù)據(jù)挖掘和關(guān)聯(lián)分析，進(jìn)而完整重現(xiàn)整個(gè)威脅行為過(guò)程，形成完整證據(jù)鏈。同時(shí)，根據(jù)用戶需求，可自定義證據(jù)呈現(xiàn)方式，為責(zé)任認(rèn)定和整體決策提供支持。

本文通過(guò)對(duì)蜜罐、蜜網(wǎng)以及虛擬化技術(shù)的概述性分析，提出了虛擬蜜網(wǎng)取證的概念。虛擬蜜網(wǎng)取證以上述技術(shù)手段為基礎(chǔ)，結(jié)合計(jì)算機(jī)取證的相關(guān)要求，構(gòu)建了可部署實(shí)施的虛擬蜜網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)，重點(diǎn)分析了數(shù)據(jù)控制、數(shù)據(jù)捕獲以及監(jiān)控取證環(huán)節(jié)的技術(shù)實(shí)現(xiàn)，為證據(jù)信息的識(shí)別分析與固化保存提供支撐。虛擬蜜網(wǎng)取證主要適用于保密檢查中的網(wǎng)絡(luò)漏洞檢測(cè)，不僅可以有效防止因網(wǎng)絡(luò)漏洞引起的信息泄密，也為后續(xù)的責(zé)任認(rèn)定以及整改維護(hù)提供明確依據(jù)。虛擬蜜網(wǎng)取證是一項(xiàng)系統(tǒng)工程，本文僅探討了實(shí)施蜜網(wǎng)取證所必需的關(guān)鍵技術(shù)手段，對(duì)應(yīng)的證據(jù)法理分析有待進(jìn)一步補(bǔ)充研究。

［1］(美)Lance Spitzner．Honeypot:追蹤黑客［M］．北京:清華大學(xué)出版社，2004:76．

［2］曹愛(ài)娟，劉寶旭等．網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述［J］．計(jì)算機(jī)工程，2004，(9):1 ～3．

［3］李冬冬，馮雁．一種研究型虛擬蜜罐網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)［J］．通信技術(shù)，2007，(12):288 ～293．

［4］Derek Bem，Ewa Huebner．Computer Forensic Analysis in a Virtual Environment［J］．International Journal of Digital Evidence，2007，Volume 6:Issue 2．

［5］胡曉荷．計(jì)算機(jī)取證:保密檢查的重要手段［J］．信息安全與通信保密，2010，(8):18 ～19．

Research on Virtual Honeynet Application in Security Forensic

ZHANG Yu1，WU Rui2

(1．State Information Center，Beijing China 100045;2．Beijing University of Posts and Telecommunications，Beijing China 100876)

In order to adapt to the new situation aroused by the PRC Guarding State Secrets Law，we have proposed the virtual honeynet forensic concept．Through the study on network architecture and key technology in honeynet forensic，we created a settlement program to indicate the virtual honeynet forensic practice，which will give practical technology support on the secret inspection and forensic．

Virtual Honeynet;Security Inspection;Honeywall

DF713

A

1008－2433(2012)01－0092－03

2011－10－15

張 羽(1983— )，男，河南許昌人，國(guó)家信息中心網(wǎng)絡(luò)安全部工程師，物證技術(shù)學(xué)博士;吳 瑞(1975— )，男，安徽合肥人，北京郵電大學(xué)博士后研究人員。