基于動(dòng)態(tài)蜜罐技術(shù)的虛擬網(wǎng)絡(luò)設(shè)計(jì)

程靜

基于動(dòng)態(tài)蜜罐技術(shù)的虛擬網(wǎng)絡(luò)設(shè)計(jì)

程靜

（霍山縣委黨校信息化辦公室，安徽六安237200）

通過利用蜜罐技術(shù)和網(wǎng)絡(luò)掃描技術(shù)完成動(dòng)態(tài)網(wǎng)絡(luò)蜜罐的設(shè)計(jì),以設(shè)計(jì)一個(gè)動(dòng)態(tài)自適應(yīng)虛擬網(wǎng)絡(luò)系統(tǒng)為目標(biāo)來實(shí)現(xiàn)對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的虛擬模擬與動(dòng)態(tài)信息收集，從而配置一個(gè)與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)十分類似的虛擬網(wǎng)絡(luò)，用以誘騙攻擊、轉(zhuǎn)移攻擊，對(duì)于消解黑客攻擊帶來的威脅、掌握黑客攻擊特性與新型攻擊方式很有幫助.

蜜罐技術(shù)；網(wǎng)絡(luò)掃描技術(shù)；動(dòng)態(tài)蜜罐網(wǎng)絡(luò)；虛擬網(wǎng)絡(luò)

信息技術(shù)和網(wǎng)絡(luò)計(jì)算機(jī)的快速發(fā)展為國家經(jīng)濟(jì)發(fā)展和社會(huì)民生帶來了眾多便利，其積極的作用使得網(wǎng)絡(luò)應(yīng)用延伸到了人們生活與工作的各個(gè)方面，面對(duì)這種龐大的應(yīng)用需求，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)工作勢(shì)在必行.目前由于對(duì)互聯(lián)網(wǎng)的發(fā)展與應(yīng)用缺乏一勞永逸的管理手段，所以網(wǎng)絡(luò)應(yīng)用中安全問題較多，安全管理形勢(shì)十分嚴(yán)峻，網(wǎng)絡(luò)上運(yùn)行的每一臺(tái)電腦都有可能是被攻擊的對(duì)象，造成個(gè)人信息泄露、經(jīng)濟(jì)損失甚至是危害國家安全.目前網(wǎng)絡(luò)應(yīng)用領(lǐng)域的安全防護(hù)措施多數(shù)是被動(dòng)模式，應(yīng)對(duì)眾多黑客復(fù)雜多變的網(wǎng)絡(luò)攻擊顯得十分吃力，尤其是在面對(duì)新型攻擊時(shí)，更是顯得力不從心，所以，積極引進(jìn)高端網(wǎng)絡(luò)安全技術(shù)十分必要.動(dòng)態(tài)蜜罐技術(shù)是當(dāng)前應(yīng)用較為廣泛的一種安全模式，對(duì)于指導(dǎo)當(dāng)前網(wǎng)絡(luò)安全建設(shè)研究、實(shí)踐有積極意義.本文以目前網(wǎng)絡(luò)安全管理中應(yīng)用效果較好的基于網(wǎng)絡(luò)掃描技術(shù)的動(dòng)態(tài)蜜罐技術(shù)的設(shè)計(jì)、實(shí)現(xiàn)略作研究.

1 蜜罐技術(shù)與網(wǎng)絡(luò)掃描技術(shù)

1.1蜜罐定義與分類

蜜罐技術(shù)是新近發(fā)展起來的應(yīng)用全新安全理論“誘騙”的網(wǎng)絡(luò)安全技術(shù).雖然目前關(guān)于蜜罐技術(shù)的準(zhǔn)確定義存在不少分歧與爭論，但是從其功能和特性出發(fā)，可以總結(jié)為蜜罐是通過嚴(yán)密監(jiān)控網(wǎng)絡(luò)誘騙系統(tǒng)來模擬或者再現(xiàn)網(wǎng)絡(luò)服務(wù)功能吸引黑客攻擊，并對(duì)這些攻擊行為與過程的特性進(jìn)行分析，在此過程中對(duì)信息進(jìn)行搜集、整合并對(duì)新攻擊進(jìn)行預(yù)警，可以有效延緩受到的黑客攻擊或達(dá)到轉(zhuǎn)移攻擊目標(biāo)的效果.從其應(yīng)用價(jià)值和實(shí)踐情況來看，蜜罐技術(shù)在篩選系統(tǒng)漏洞、編寫新IDS特征庫與分析分布式拒絕服務(wù)攻擊方面的價(jià)值最大［1］.

蜜罐根據(jù)交互程度可以分為低、高交互蜜罐兩種，低交互缺乏提供真實(shí)操作的系統(tǒng)環(huán)境，主要通過腳本或者自身的小程序來模擬網(wǎng)絡(luò)服務(wù)吸引攻擊，具有低風(fēng)險(xiǎn)、部署便利、結(jié)構(gòu)簡單等特點(diǎn)，但是在應(yīng)用效果方面不如高交互；高交互蜜罐與低交互正相反，它是基于真實(shí)的系統(tǒng)環(huán)境進(jìn)行搭建，模擬給攻擊黑客的是真實(shí)的網(wǎng)絡(luò)服務(wù)，可以在分析黑客攻擊的過程中對(duì)其運(yùn)行動(dòng)作進(jìn)行全解析與學(xué)習(xí)，從而收集大量有效信息來延緩攻擊或轉(zhuǎn)移攻擊對(duì)象，預(yù)警下一波攻擊等，其學(xué)習(xí)能力十分強(qiáng)大，即使是對(duì)自己不了解的新型攻擊方式也能夠獲取有效信息，不過應(yīng)用風(fēng)險(xiǎn)較高，黑客可能會(huì)通過開放的系統(tǒng)去攻擊其他系統(tǒng).低交互蜜罐因?yàn)樽陨硖匦运峁┑谋姸嗖僮?、服?wù)都是虛擬性質(zhì)的，因此，也被成為虛擬蜜罐，高交互正好相反，因?yàn)槭腔谡鎸?shí)的應(yīng)用系統(tǒng)且需要應(yīng)用到多個(gè)獨(dú)立IP完成攻擊吸引，所被稱為物理蜜罐.在實(shí)際應(yīng)用中，高交互因?yàn)檎鎸?shí)模擬性質(zhì)所以應(yīng)用成本也非常高，虛擬蜜罐因?yàn)樘摂M模擬在資源消耗、成本花費(fèi)方面較低，維護(hù)和控制工作也簡單，所以非常適合前期進(jìn)行實(shí)踐研究［2］.

本文的基于網(wǎng)絡(luò)掃描技術(shù)的動(dòng)態(tài)蜜罐網(wǎng)絡(luò)設(shè)計(jì)就是采用虛擬蜜罐構(gòu)建欺騙性動(dòng)態(tài)虛擬網(wǎng)絡(luò).低交互虛擬蜜罐框架的搭建主要采用源代碼開放的“Honeyd”，Honeyd是尼爾·普羅沃斯所創(chuàng)建一種虛擬蜜罐框架，可以在目前在常用的Windows、UNIX系統(tǒng)上模擬運(yùn)行400多種網(wǎng)絡(luò)服務(wù)和上千臺(tái)不同的計(jì)算機(jī)運(yùn)行，通過在IP地址設(shè)置方面的虛擬模擬配合同樣模擬的網(wǎng)絡(luò)服務(wù)來完成誘騙［3］.這種框架支持IP協(xié)議并按照配置對(duì)眾多虛擬網(wǎng)絡(luò)服務(wù)請(qǐng)求做出回應(yīng)，其虛擬化的引擎操作能夠更好的適應(yīng)操作系統(tǒng)的個(gè)性化.這種虛擬框架的模擬并非是簡單的模擬操作系統(tǒng)，而是以模擬網(wǎng)絡(luò)堆棧，將交互限制在網(wǎng)絡(luò)層，避免了攻擊黑客進(jìn)入系統(tǒng)的風(fēng)險(xiǎn).

1.2網(wǎng)絡(luò)掃描技術(shù)

動(dòng)態(tài)蜜罐技術(shù)要模擬與真實(shí)狀態(tài)十分相近的虛擬網(wǎng)絡(luò)就必須全面了解真實(shí)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、節(jié)點(diǎn)設(shè)置、所提供的網(wǎng)絡(luò)服務(wù)、操作系統(tǒng)平臺(tái)情況與開放端口情況等，以這些真實(shí)存在的信息為基礎(chǔ)對(duì)蜜罐配置數(shù)量、IP綁定、主機(jī)類型、操作平臺(tái)、開放端口等進(jìn)行虛擬模擬，并且隨著網(wǎng)絡(luò)環(huán)境的變化進(jìn)行自動(dòng)調(diào)整更新［4］.為解決這些問題可選擇網(wǎng)絡(luò)掃描技術(shù)，目前網(wǎng)絡(luò)掃描技術(shù)的應(yīng)用主要以3種為主，分別是主機(jī)掃描、端口掃描、操作系統(tǒng)識(shí)別.本研究中主機(jī)掃描技術(shù)主要以Ping掃描、TCP-connect掃描為主；端口掃描技術(shù)主要以多端口TCP-SYN掃描、TCP-FIN掃描、TCP-XMAS掃描、TCP-Null掃描、UDP-掃描等為主；操作系統(tǒng)識(shí)別以主動(dòng)式協(xié)議棧指紋分析技術(shù)為主，包括Windows Size探測(cè)、DF標(biāo)志位監(jiān)控、ISN采樣、ICMP消息抑制和檢查等，常見操作系統(tǒng)指紋統(tǒng)計(jì)表見表1.

表1 常見操作系統(tǒng)指紋統(tǒng)計(jì)

2 動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)

2.1動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的設(shè)計(jì)

本研究應(yīng)用網(wǎng)絡(luò)掃描技術(shù)和蜜罐技術(shù)進(jìn)行混合網(wǎng)絡(luò)設(shè)計(jì)，以設(shè)計(jì)一個(gè)動(dòng)態(tài)自適應(yīng)虛擬網(wǎng)絡(luò)系統(tǒng)為目標(biāo)來實(shí)現(xiàn)對(duì)真實(shí)網(wǎng)絡(luò)環(huán)境的虛擬模擬與動(dòng)態(tài)信息收集，從而配置一個(gè)與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)十分類似的虛擬網(wǎng)絡(luò)，在受到黑客攻擊時(shí)能通過模擬網(wǎng)絡(luò)服務(wù)和虛擬網(wǎng)絡(luò)環(huán)境吸引黑客攻擊，延緩攻擊結(jié)構(gòu)或者轉(zhuǎn)移攻擊對(duì)象，消耗攻擊資源，并完成對(duì)攻擊行為模式信息的收集，以便對(duì)攻擊信息進(jìn)行解讀，從而更好的掌握黑客攻擊的特性輔助網(wǎng)絡(luò)安全建設(shè)與管理.根據(jù)設(shè)計(jì)思路，本研究設(shè)計(jì)的邏輯結(jié)構(gòu)如圖1所示.

在這個(gè)虛擬網(wǎng)絡(luò)系統(tǒng)邏輯結(jié)構(gòu)中，不同模塊承擔(dān)著不同的功能，通過協(xié)同合作完成運(yùn)行.控制中心負(fù)責(zé)結(jié)構(gòu)中不同模塊之間的管理與協(xié)調(diào)工作，系統(tǒng)控制中心界面見圖2.掃描模塊是獲得真實(shí)網(wǎng)絡(luò)運(yùn)行信息的主要途徑，為虛擬模擬網(wǎng)絡(luò)環(huán)境的完善與運(yùn)行提供參考與幫助；數(shù)據(jù)庫只要存儲(chǔ)3方信息，分別是管理網(wǎng)絡(luò)與虛擬網(wǎng)絡(luò)的操作系統(tǒng)信息、端口情況與IP地址；Snort入侵檢測(cè)系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行監(jiān)控和記錄，是重要的信息庫，對(duì)于發(fā)現(xiàn)系統(tǒng)漏洞、總結(jié)黑客攻擊特征等有著極為重要的價(jià)值；對(duì)入侵信息進(jìn)行記錄；策略分析管理模塊對(duì)掃描策略和虛擬蜜罐配置策略進(jìn)行管理存放，比如蜜罐配置數(shù)量與密度、掃描時(shí)間間隔等，作為開放模塊，這一模塊可以根據(jù)用戶實(shí)際適應(yīng)需求隨時(shí)進(jìn)行更新和修改；蜜罐管理模塊通過對(duì)虛擬網(wǎng)絡(luò)配置策略、掃描信息來完成蜜罐配置從而啟動(dòng)動(dòng)態(tài)虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的管理.在設(shè)計(jì)的這個(gè)動(dòng)態(tài)蜜罐網(wǎng)絡(luò)結(jié)構(gòu)中，工作流程如下：現(xiàn)掃描物理網(wǎng)絡(luò)，收集拓?fù)湫畔?；人然后根?jù)收集信息以虛擬配置策略來啟動(dòng)虛擬網(wǎng)絡(luò)；根據(jù)不定時(shí)/定時(shí)掃描完成虛擬網(wǎng)絡(luò)的更新；Snort檢測(cè)完成動(dòng)態(tài)虛擬網(wǎng)絡(luò)的實(shí)時(shí)修正與更新［5］.

圖1 虛擬網(wǎng)絡(luò)系統(tǒng)邏輯結(jié)構(gòu)

圖2 系統(tǒng)控制中心界面

2.2動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的實(shí)現(xiàn)與檢測(cè)

動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的實(shí)現(xiàn)需要做好蜜罐部署，其部署主要是通過利用混合蜜罐的空閑IP地址將其合理分布到現(xiàn)有的操作系統(tǒng)之中，降低虛擬網(wǎng)絡(luò)受到攻擊時(shí)真正主機(jī)遭受攻擊的概率，這個(gè)分布問題并不難解決，最簡單的是在虛擬機(jī)加入之后還保持操作系統(tǒng)分布.本研究用一個(gè)測(cè)試來驗(yàn)證，假設(shè)實(shí)際物理主機(jī)綜述為NP，以Npoi表示特定系統(tǒng)環(huán)境下的主機(jī)數(shù)，將來需要布置虛擬機(jī)的IP總數(shù)為NFIP，閑置的其他用途的IP地址為NUIP，那么所需蜜罐數(shù)量為：

從黑客攻擊的角度來看，系統(tǒng)會(huì)增加運(yùn)行的蜜罐數(shù)量中主機(jī)數(shù)量.虛擬網(wǎng)絡(luò)系統(tǒng)在不斷的更新過程中完成這個(gè)計(jì)算過程，并根據(jù)需求變化情況完成對(duì)蜜罐數(shù)量的加減，所以有可能蜜罐會(huì)視需求被增添或者刪除.考慮到各個(gè)主機(jī)的情況，蜜罐分配的端口很多采用平均設(shè)置方式，被部署在同樣的操作系統(tǒng)內(nèi)，這樣可部署的物理蜜罐數(shù)量通常小于蜜罐數(shù)量，但是對(duì)于既定操作系統(tǒng)而言，物理蜜罐數(shù)量布置由它們自身的預(yù)計(jì)負(fù)荷所決定的.

重定向技術(shù)是在黑客攻擊者不知情的情況下將其誘騙至蜜罐之中，通過在操作系統(tǒng)附近布置蜜罐來對(duì)各種行為進(jìn)行定義、篩選并采取誘騙行為消解攻擊風(fēng)險(xiǎn)，服務(wù)器對(duì)可疑行為重定向到蜜罐，對(duì)攻擊者行為誘騙與迷惑，降低真實(shí)主機(jī)遭受攻擊的概率［6］.重定向過程中從數(shù)據(jù)庫中檢索重定向地址，每個(gè)蜜罐都設(shè)有最大合理連接數(shù)目對(duì)最大數(shù)目進(jìn)行限定，其通過端口和物理蜜罐完成限定連接.大量的重定向連接與蜜罐數(shù)量相關(guān)，其連接數(shù)目為Ncoi，也可以作為系統(tǒng)接受的響應(yīng)時(shí)間和入侵占用最長時(shí)間，重定向過程的連接數(shù)目為：

（2）式能夠計(jì)算出單一物理蜜罐所能夠重定向的最大連接數(shù)目.考慮到入侵會(huì)話的系統(tǒng)容量，物理蜜罐的數(shù)量部署也會(huì)出現(xiàn)相應(yīng)變化，入侵者的數(shù)量也是重要考量因素，那么根據(jù)最大連接數(shù)目計(jì)算情況可以得到物理蜜罐數(shù)量的估算公式：

根據(jù)這一估算公式，物理蜜罐數(shù)量的確定就比較簡單.根據(jù)實(shí)際應(yīng)用情況，這種動(dòng)態(tài)虛擬環(huán)境所提供的仿真模擬腳本本質(zhì)上與其提供的仿真級(jí)別關(guān)系較大，有時(shí)候在高流量情況下，蜜罐服務(wù)器會(huì)滿負(fù)荷運(yùn)行，所以為了解決這個(gè)問題，通常采取備份蜜罐服務(wù)器和拒絕分流通信等手段解決問題.

針對(duì)設(shè)計(jì)的動(dòng)態(tài)蜜罐網(wǎng)絡(luò)通常要進(jìn)行拓?fù)錅y(cè)試，此次設(shè)計(jì)在本院校園網(wǎng)的212.109.188.0～212.109.188.24網(wǎng)段內(nèi)做拓?fù)錅y(cè)試，網(wǎng)段內(nèi)13臺(tái)主機(jī)，根據(jù)掃描結(jié)構(gòu)，最終系統(tǒng)構(gòu)建了7個(gè)蜜罐組成的動(dòng)態(tài)虛擬網(wǎng)絡(luò)，其掃描后得到的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖3.

圖3 虛擬網(wǎng)絡(luò)拓?fù)鋱D

針對(duì)拓?fù)錅y(cè)試結(jié)構(gòu)，本研究模擬了黑客網(wǎng)絡(luò)入侵攻擊的典型形式，安全漏洞測(cè)試儀選擇Nessus，測(cè)試結(jié)果顯示攻擊被誘騙至蜜罐網(wǎng)關(guān)和虛擬機(jī)與IP地址，并且系統(tǒng)生成預(yù)警警報(bào)，攻擊被延緩和轉(zhuǎn)移，證實(shí)其能夠有效運(yùn)行.在Nessus啟動(dòng)后預(yù)警警報(bào)被匯總，除去端口之外，有攻擊診斷和攻擊地址匯總，這些都可以被網(wǎng)絡(luò)管理員用于制作流量的綜述視圖，從而決定是否用來獲得物理蜜罐日志以便得到可疑的交互信息的相信內(nèi)容.

測(cè)試結(jié)果表明這個(gè)動(dòng)態(tài)蜜罐虛擬網(wǎng)絡(luò)的構(gòu)建和應(yīng)用是成功的，實(shí)現(xiàn)了和物理網(wǎng)絡(luò)的無縫連接.不過，由于本設(shè)計(jì)以低交互蜜罐與網(wǎng)絡(luò)掃描技術(shù)為主，所以主動(dòng)掃描時(shí)內(nèi)部流向消耗大十分明顯，這也是本設(shè)計(jì)的一個(gè)缺點(diǎn)，不過以本設(shè)計(jì)為基礎(chǔ)，今后可通過應(yīng)用高交互蜜罐、被動(dòng)掃描技術(shù)等消減缺點(diǎn)帶來的負(fù)面影響，更好的完成虛擬網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)置.這種應(yīng)用低交互蜜罐的虛擬網(wǎng)絡(luò)欺騙性不高，誘騙作用有限，對(duì)于高級(jí)黑客的入侵攻擊無明顯作用，所以，通過應(yīng)用高低交互蜜罐、消解風(fēng)險(xiǎn)的形式來加強(qiáng)網(wǎng)絡(luò)安全控制為未來一段時(shí)期內(nèi)的重要研究課題［7］，且如何增強(qiáng)系統(tǒng)自身的自動(dòng)學(xué)習(xí)功能也是需要進(jìn)一步加強(qiáng)研究的重要課題對(duì)象.

3 結(jié)語

動(dòng)態(tài)蜜罐技術(shù)是當(dāng)前應(yīng)用較為廣泛的一種安全模式，對(duì)于指導(dǎo)當(dāng)前網(wǎng)絡(luò)安全建設(shè)研究、實(shí)踐有積極意義.蜜罐技術(shù)應(yīng)用于網(wǎng)絡(luò)安全防護(hù)有著積極意義，它通過與網(wǎng)絡(luò)掃描技術(shù)的結(jié)合能夠完成虛擬網(wǎng)絡(luò)環(huán)境構(gòu)建，從而通過動(dòng)態(tài)蜜罐網(wǎng)絡(luò)的架構(gòu)對(duì)黑客入侵行為進(jìn)行誘騙、轉(zhuǎn)移，降低系統(tǒng)主機(jī)遭受攻擊的風(fēng)險(xiǎn)，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域加強(qiáng)應(yīng)用研究的重要方向，對(duì)于下階段進(jìn)一步研究動(dòng)態(tài)蜜罐技術(shù)的廣泛應(yīng)用有積極意義.

參考文獻(xiàn)：

［1］金淦,張晶.蜜罐技術(shù)系統(tǒng)在局域網(wǎng)安全中研究與設(shè)計(jì)［J］.信息與電腦：理論版,2010(3)：84，86.

［2］潘立武.基于IDS和DM的Honeypot系統(tǒng)的設(shè)計(jì)［J］.北京聯(lián)合大學(xué)學(xué)報(bào)：自然科學(xué)版,2010，24(1)：42-45.

［3］徐蘭云,程京,邱飚.蜜罐系統(tǒng)中日志服務(wù)器的安全性研究及實(shí)現(xiàn)［J］.湖南城市學(xué)院學(xué)報(bào)：自然科學(xué)版，2012，17(4)：67-70.

［4］禹謝華.基于蜜罐技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)協(xié)作模型的研究與實(shí)現(xiàn)［J］.佳木斯大學(xué)學(xué)報(bào)：自然科學(xué)版,2012，27(6)：860-863.

［5］馮度,孫星明,劉智勇.網(wǎng)絡(luò)安全中的蜜網(wǎng)技術(shù)應(yīng)用研究［J］.科學(xué)技術(shù)與工程,2011，8(11)：2858-2863.

［6］杜彥輝.利用蜜罐技術(shù)實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)非法活動(dòng)進(jìn)行監(jiān)控［J］.中國人民公安大學(xué)學(xué)報(bào)：自然科學(xué)版,2013(4)：78-80.

［7］隋京,黃曉峰.蜜罐技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用分析［J］.信息網(wǎng)絡(luò)安全,2010(12)：30-32.

On the virtual network design based on dynamic honeypot technique

CHENG Jing
（Informatization office,The Huoshan County School Information,Liuan 237200,Anhui,China）

The paper proposed a way to use the honeypot technology and network scanning methods to achieve a dynamic network honeypot model,aimed to dynamically self-adapting to the virtual network system to imitate a model of the real network environment and gather the changing information.Such virtual network is quite similar to a real topology which is helpful to dodge against the threats and attacking from the hackers by way of diverting their attacks and learning their new way of attacking.

the honeypottechnology;network scanning technology;the dynamic honeypotnetwork;virtualnetwork

TP393.08

A

1007-5348（2014）04-0024-05

（責(zé)任編輯：邵曉軍）

2013-10-26

程靜（1981-），女，安徽霍山人，安徽省中共霍山縣委黨校信息化辦公室講師，主要從事計(jì)算機(jī)應(yīng)用方面的教學(xué)和研究.