游杰 湯輝 李書(shū)鋒 江西省計(jì)算技術(shù)研究所(江西省計(jì)算中心) 南昌市 330002

0 引言

在新一代信息技術(shù)快速發(fā)展的時(shí)代，網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)發(fā)展的命脈，信息系統(tǒng)越自動(dòng)化越信息化越智能化，安全問(wèn)題就會(huì)非常大?，F(xiàn)如今高級(jí)持續(xù)性威脅不斷被發(fā)現(xiàn)、關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件顯著增加、信息泄露事件頻發(fā)等安全問(wèn)題愈演愈烈，而網(wǎng)絡(luò)安全防御技術(shù)并不能及時(shí)抵御網(wǎng)絡(luò)安全威脅的變化，網(wǎng)絡(luò)安全問(wèn)題已成為影響信息化快速發(fā)展的重要因素，急需具備宏觀數(shù)據(jù)匯聚、融合分析、威脅態(tài)勢(shì)感知的蜜網(wǎng)防護(hù)系統(tǒng)來(lái)提高網(wǎng)絡(luò)安全保護(hù)等級(jí)。

1 蜜罐技術(shù)現(xiàn)狀

蜜罐（Honeypot）好比是情報(bào)收集系統(tǒng)，主要用來(lái)迷惑入侵者、保護(hù)服務(wù)器，抵御入侵者、加固服務(wù)器，誘捕網(wǎng)絡(luò)罪犯等。蜜罐技術(shù)是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊者實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，能讓防御方了解他們所面對(duì)的安全威脅，并通過(guò)管理和技術(shù)手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力[1]。根據(jù)攻擊者與應(yīng)用程序或服務(wù)的交互能力要求，可以選擇低交互蜜罐或高交互蜜罐，低交互蜜罐只能讓攻擊者極其有限的交互服務(wù)，易于部署，但不夠有效，高交互蜜罐不是簡(jiǎn)單地模擬某些協(xié)議或服務(wù)，而是提供真實(shí)的服務(wù)系統(tǒng)，可以輕松的發(fā)現(xiàn)威脅并跟蹤其行為，但其最大的缺點(diǎn)是部署復(fù)雜，同時(shí)需保持對(duì)其長(zhǎng)期監(jiān)控，以降低系統(tǒng)風(fēng)險(xiǎn)[2]。

2 蜜網(wǎng)防護(hù)系統(tǒng)的關(guān)鍵技術(shù)

2.1 偽裝誘捕技術(shù)

通過(guò)操作系統(tǒng)偽裝、數(shù)據(jù)和文件的偽裝、應(yīng)用程序運(yùn)行和服務(wù)的偽裝、目錄系統(tǒng)偽裝和信息偽裝技術(shù)等，實(shí)現(xiàn)蜜罐系統(tǒng)的偽裝誘捕，作為一個(gè)包含漏洞的蜜罐系統(tǒng)，并不是提供真正有價(jià)值的服務(wù)，所以所有對(duì)蜜罐的嘗試訪問(wèn)都是十分可疑的。防御方可以通過(guò)蜜罐偽裝誘捕攻擊者，從而保護(hù)服務(wù)器。偽裝誘捕必須通過(guò)是分層捕獲數(shù)據(jù),不能只靠一個(gè)層面來(lái)獲取信息,從多個(gè)層面來(lái)收集信息，不會(huì)讓黑客發(fā)覺(jué)他的所有行為都被記錄了，同時(shí)實(shí)現(xiàn)本地存儲(chǔ)信息數(shù)據(jù)的安全，不易被黑客發(fā)現(xiàn)。

2.2 統(tǒng)計(jì)和分析技術(shù)

通過(guò)對(duì)誘捕的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和分析，對(duì)一些早期警告與預(yù)報(bào)內(nèi)容進(jìn)行測(cè)試分析，建立預(yù)警模型，實(shí)現(xiàn)對(duì)系統(tǒng)攻擊的前期預(yù)警，為蜜網(wǎng)防護(hù)系統(tǒng)搜集更多有價(jià)值的數(shù)據(jù)，同時(shí)使用統(tǒng)計(jì)學(xué)分析能夠精確地判斷出短時(shí)期內(nèi)對(duì)蜜網(wǎng)防護(hù)系統(tǒng)可能發(fā)生的攻擊情況[3]。

圖1 蜜網(wǎng)防護(hù)系統(tǒng)結(jié)構(gòu)圖

3 蜜網(wǎng)防護(hù)系統(tǒng)的部署

蜜網(wǎng)防護(hù)系統(tǒng)通過(guò)Honeypot節(jié)點(diǎn)行為感知內(nèi)網(wǎng)攻擊事件、情報(bào)協(xié)同增強(qiáng)失陷主機(jī)監(jiān)測(cè)，獲取到內(nèi)網(wǎng)攻擊、網(wǎng)絡(luò)控制等威脅事件、樣本文件、通信數(shù)據(jù)包，并且上報(bào)態(tài)勢(shì)平臺(tái)。態(tài)勢(shì)平臺(tái)作為調(diào)度中心調(diào)度沙箱分析平臺(tái)對(duì)采集到的樣本文件進(jìn)行深度分析，通過(guò)行為日志與通信數(shù)據(jù)包進(jìn)行關(guān)聯(lián)分析，并從中提取威脅情報(bào)。提取到威脅情報(bào)后，蜜罐安全管理控制中心將威脅情報(bào)下發(fā)各個(gè)采集監(jiān)控節(jié)點(diǎn)，從而組成一個(gè)情報(bào)生產(chǎn)、情報(bào)協(xié)同的動(dòng)態(tài)網(wǎng)絡(luò)監(jiān)測(cè)的蜜網(wǎng)防護(hù)系統(tǒng)[4]。

4 蜜網(wǎng)防護(hù)系統(tǒng)的實(shí)現(xiàn)

圖2 蜜網(wǎng)防護(hù)系統(tǒng)效果展示圖

蜜網(wǎng)防護(hù)系統(tǒng)通過(guò)安全事件的“敵我戰(zhàn)”三情視角打造攻擊者視圖、受攻擊者視圖、事件視圖和威脅視圖的安全事件多維視圖分析模式。攻擊者視圖以“敵情”信息為基礎(chǔ)，關(guān)聯(lián)威脅情報(bào)和威脅事件信息，暴光攻擊者的詳細(xì)信息，揭露攻擊者對(duì)內(nèi)網(wǎng)環(huán)境攻擊造成的影響。受攻擊者視圖關(guān)聯(lián)基于“我情”的內(nèi)網(wǎng)資產(chǎn)數(shù)據(jù)，通過(guò)分析威脅行為，評(píng)估受害資產(chǎn)的狀態(tài)，展現(xiàn)內(nèi)網(wǎng)資產(chǎn)安全的態(tài)勢(shì)。事件視圖和威脅視圖主要關(guān)注“戰(zhàn)情”信息，包括攻擊的行為、手法、類(lèi)型、階段和資產(chǎn)狀態(tài)等相關(guān)信息，同時(shí)分析揭示攻擊的組織、家族、利用的漏洞、連接的C&C等相關(guān)信息。深度分析安全事件，全方位呈現(xiàn)安全事件發(fā)生的全生命周期過(guò)程。該系統(tǒng)以2D平面地圖、3D立體地圖以及資產(chǎn)拓?fù)鋱D的方式提供宏觀態(tài)勢(shì)、微觀態(tài)勢(shì)以及綜合態(tài)勢(shì)的可視化展示。支持對(duì)事件本身、內(nèi)網(wǎng)資產(chǎn)、威脅情報(bào)等相關(guān)數(shù)據(jù)的多維度、多層次統(tǒng)計(jì)展現(xiàn)。該系統(tǒng)根據(jù)數(shù)據(jù)對(duì)象類(lèi)型提供統(tǒng)一接入接口，支持接入流量監(jiān)控、行為捕獲、文件捕獲等多種數(shù)據(jù)采集節(jié)點(diǎn)和檢測(cè)引擎。平臺(tái)提供全面安全的受控設(shè)備管控措施，實(shí)時(shí)監(jiān)控受控設(shè)備的健康狀態(tài)，及時(shí)處理不健康的受控設(shè)備。采用指令下發(fā)策略，支持對(duì)受控設(shè)備進(jìn)行業(yè)務(wù)暫停、服務(wù)重啟、刪除連接等操作，實(shí)現(xiàn)平臺(tái)對(duì)受控節(jié)點(diǎn)的全面安全管理控制。

該系統(tǒng)實(shí)現(xiàn)了對(duì)高低交互式蜜罐的遠(yuǎn)程監(jiān)控、遠(yuǎn)程配置、管理、警報(bào)查詢顯示等功能,模擬了Unix、Windows等操作系統(tǒng)及FTP、Telnet等網(wǎng)絡(luò)基本服務(wù),可與入侵檢測(cè)系統(tǒng)、防火墻聯(lián)動(dòng),實(shí)現(xiàn)對(duì)入侵行為的誘捕和監(jiān)控記錄。[5]該系統(tǒng)同時(shí)提供用戶自定義的報(bào)表統(tǒng)計(jì)功能，通過(guò)以安全事件為中心，關(guān)聯(lián)資產(chǎn)信息、攻擊者信息和威脅情報(bào)信息，打造包含事件、攻擊者、攻擊行為、攻擊類(lèi)型、攻擊武器、武器平臺(tái)、組織、地域、受攻擊者、資產(chǎn)狀態(tài)以及漏洞、家族等一體的綜合統(tǒng)計(jì)報(bào)表。支持對(duì)統(tǒng)計(jì)的內(nèi)容模塊進(jìn)行定制，同時(shí)支持對(duì)統(tǒng)計(jì)報(bào)表進(jìn)行導(dǎo)出，支持導(dǎo)出為PDF和Excel格式。

5 結(jié)束語(yǔ)

蜜網(wǎng)防護(hù)系統(tǒng)是主動(dòng)防御型網(wǎng)絡(luò)安全系統(tǒng),在入侵檢測(cè)系統(tǒng)、防火墻等安全措施的配合下,可提高系統(tǒng)安全防護(hù)等級(jí)，對(duì)已知和未知的新型攻擊手段都能有效防護(hù)和主動(dòng)預(yù)防。蜜網(wǎng)防護(hù)系統(tǒng)能將黑客的攻擊行為引誘至一個(gè)可監(jiān)控的范圍,消耗其資源,了解其使用的網(wǎng)絡(luò)攻擊方法和技術(shù),監(jiān)控記錄其犯罪行為,市場(chǎng)應(yīng)用推廣前景巨大。