分布式蜜罐系統(tǒng)的研究與設(shè)計(jì)

賀文娟

現(xiàn)今，隨著網(wǎng)絡(luò)覆蓋范圍的進(jìn)一步擴(kuò)大，網(wǎng)絡(luò)給人們的生活帶來各種便利的同時(shí)，也面臨著越來越復(fù)雜多樣的網(wǎng)絡(luò)威脅.傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)比如防火墻，入侵檢測都屬于被動(dòng)防御的方式，對(duì)于已知的安全威脅有著很好的報(bào)警和防御措施.對(duì)于未知的安全威脅如何檢測、如何防御，也是網(wǎng)絡(luò)安全研究的一個(gè)重要方向.

蜜罐技術(shù)采用主動(dòng)防御的方式，在監(jiān)測網(wǎng)絡(luò)入侵、保護(hù)網(wǎng)絡(luò)客體、信息學(xué)習(xí)反饋、提高完善反擊入侵能力等網(wǎng)絡(luò)安全方面有極大的優(yōu)勢(shì)［1］.分布式蜜罐系統(tǒng)是將多個(gè)蜜罐和蜜網(wǎng)通過網(wǎng)絡(luò)互聯(lián)按照分布式體系進(jìn)行部署的網(wǎng)絡(luò)，數(shù)據(jù)采集和數(shù)據(jù)管理是分布式蜜罐系統(tǒng)的兩個(gè)重要組成部分.和普通的單一蜜罐相比，分布式蜜罐系統(tǒng)對(duì)于分布式網(wǎng)絡(luò)來說，在捕獲網(wǎng)絡(luò)威脅方面起到了更有效的作用，能捕捉到大范圍內(nèi)的攻擊者的活動(dòng)，獲得大量的相關(guān)數(shù)據(jù)進(jìn)行安全分析，為保障網(wǎng)絡(luò)安全起到重要的作用.

1 分布式蜜罐系統(tǒng)技術(shù)需求

1.1 分布式蜜罐的部署

蜜罐技術(shù)是一種基于誘騙的新的安全技術(shù)［2-3］，通過在蜜罐上設(shè)置一些網(wǎng)絡(luò)誘惑使得攻擊者主動(dòng)攻擊蜜罐，從而起到保護(hù)正常工作網(wǎng)絡(luò)的作用.

蜜罐具有只能捕捉到針對(duì)自身的攻擊行為的這樣的一個(gè)特點(diǎn)，所以蜜罐捕捉到的數(shù)據(jù)很難反映出一個(gè)網(wǎng)絡(luò)的全貌;并且現(xiàn)在的網(wǎng)絡(luò)往往都具有復(fù)雜的結(jié)構(gòu)，存在多種介入網(wǎng)絡(luò)的方式，在網(wǎng)絡(luò)內(nèi)部部署單一的蜜罐很容易就被跳過去.單一的蜜罐和蜜網(wǎng)在數(shù)據(jù)處理方面是集中處理，對(duì)控制器的要求很高，控制器會(huì)造成單點(diǎn)失效的后果，系統(tǒng)的可擴(kuò)展性比較差.單一的蜜罐也無法很好檢測并響應(yīng)復(fù)雜的網(wǎng)絡(luò)攻擊.因此，本文提出面向網(wǎng)絡(luò)部署分布式蜜罐系統(tǒng)，為網(wǎng)絡(luò)安全提供主動(dòng)防御，并分析網(wǎng)絡(luò)威脅，制定網(wǎng)絡(luò)安全策略，提供重要的數(shù)據(jù).

采用分布式模型部署網(wǎng)絡(luò)中的蜜罐.分布式模型主要分為系統(tǒng)部署、分析判決、警報(bào)反饋3個(gè)組成部分［4］，如圖1所示.

采用三層分布式部署該系統(tǒng)中的蜜罐，如圖2所示.

第一層次:管理控制中心，它的主要作用是負(fù)責(zé)整個(gè)分布式系統(tǒng)的管理，收集各個(gè)蜜罐捕獲的數(shù)據(jù)信息，將這些數(shù)據(jù)記錄在日志中，留待日后進(jìn)行數(shù)據(jù)分析，同時(shí)具有報(bào)警處理的功能.

圖1 分布式模型

圖2 分布式部署蜜罐

第二層次:節(jié)點(diǎn)控制中心，作用是管理下一層次的虛擬蜜罐收集的各種數(shù)據(jù)信息，可以對(duì)這些數(shù)據(jù)進(jìn)行簡單處理，然后匯至上一層次的管理控制中心.

第三層次:虛擬蜜罐主機(jī)，由上一層次的蜜罐主機(jī)采用虛擬軟件虛擬出的帶有漏洞的多臺(tái)虛擬蜜罐或者是網(wǎng)絡(luò)服務(wù).它們的作用就是利用自身存在的漏洞吸引攻擊者的攻擊，捕獲攻擊者的攻擊活動(dòng)，將數(shù)據(jù)傳遞給上一層次的節(jié)點(diǎn)控制中心.

采用分布式部署蜜罐系統(tǒng)，在繼續(xù)發(fā)揮蜜罐自身優(yōu)勢(shì)的同時(shí)，可以擴(kuò)大數(shù)據(jù)信息的收集面，并且，假如其中一個(gè)節(jié)點(diǎn)控制中心遭到攻擊者的識(shí)破，也不會(huì)使得整個(gè)蜜罐系統(tǒng)暴露在攻擊者的面前，其他蜜罐仍然可以正常工作，從而增強(qiáng)了整個(gè)系統(tǒng)的安全性.

1.2 數(shù)據(jù)采集

在網(wǎng)絡(luò)中部署分布式蜜罐系統(tǒng)，蜜罐的個(gè)數(shù)是由網(wǎng)絡(luò)的規(guī)模所決定的，網(wǎng)絡(luò)越大越復(fù)雜，所部屬的蜜罐就越多越分散.如何構(gòu)建一個(gè)有效的分布式蜜罐系統(tǒng)，除了要考慮到蜜罐部署的位置，也需要考慮到如何進(jìn)行數(shù)據(jù)的采集，將采集到的數(shù)據(jù)如何匯總進(jìn)行處理分析也是分布式蜜罐系統(tǒng)中需要解決的重要內(nèi)容.在這里，將數(shù)據(jù)的采集分為采集的內(nèi)容和采集的方式兩個(gè)方面來進(jìn)行討論.

(1)采集的內(nèi)容

在分布式蜜罐系統(tǒng)環(huán)境中，蜜罐部署的數(shù)量越多，那么蜜罐捕獲的數(shù)據(jù)量就越大，這些數(shù)據(jù)都需要通過網(wǎng)絡(luò)上傳至遠(yuǎn)程的管理控制中心，因此網(wǎng)絡(luò)流量是作者采集數(shù)據(jù)時(shí)需要考慮到的一個(gè)問題.一般情況下，有兩種方法采集蜜罐捕獲的數(shù)據(jù)信息，第一種方法是各個(gè)節(jié)點(diǎn)控制中心先對(duì)其下面的蜜罐捕獲到的數(shù)據(jù)進(jìn)行匯總分析處理，再將結(jié)果匯總上傳至上一次的管理控制中心.第二種方法是將原始數(shù)據(jù)直接匯總上傳至管理控制中心，這種方法比較容易實(shí)現(xiàn)實(shí)體的集中和復(fù)雜IP段的分布部署.因?yàn)槊酃薇旧頉]有正常的網(wǎng)絡(luò)流量，進(jìn)出蜜罐的任何鏈接都是可疑的，蜜罐捕獲到的數(shù)據(jù)都是有價(jià)值的，并且數(shù)據(jù)量也比較小.可以結(jié)合上述兩種方法的優(yōu)點(diǎn)，采用兩級(jí)數(shù)據(jù)管理方式，分別在節(jié)點(diǎn)控制中心和管理控制中心設(shè)置數(shù)據(jù)庫，數(shù)據(jù)可以先保存在節(jié)點(diǎn)控制中心，節(jié)點(diǎn)控制中心可以保存原始數(shù)據(jù)，也可以對(duì)數(shù)據(jù)進(jìn)行分析處理，存放處理后的各種數(shù)據(jù)，需要時(shí)將數(shù)據(jù)匯總上傳至管理控制中心.

(2)采集的方式

當(dāng)蜜罐捕獲到數(shù)據(jù)之后，采取什么樣的方式上傳至上一級(jí)的控制中心，既要保證數(shù)據(jù)的完整性，更要保證數(shù)據(jù)信息的真實(shí)性、保密性，這也是數(shù)據(jù)采集過程中需要考慮的又一問題.只有保證采集到的數(shù)據(jù)真實(shí)、完整，那么蜜罐才是可用的.通過對(duì)傳輸?shù)男诺肋M(jìn)行加密來確保數(shù)據(jù)在傳輸過程中的完整、真實(shí).對(duì)于蜜罐部署在不同類型的網(wǎng)絡(luò)中所收集到的數(shù)據(jù)共享和聚合問題，應(yīng)當(dāng)在發(fā)送數(shù)據(jù)時(shí)采用標(biāo)準(zhǔn)化的格式，對(duì)蜜罐和蜜網(wǎng)分別命名，這樣有利于管理維護(hù)每個(gè)蜜網(wǎng).

1.3 數(shù)據(jù)分析

在分布式蜜罐系統(tǒng)中如何對(duì)分布在不同蜜罐上的數(shù)據(jù)進(jìn)行集中管理分析也是一個(gè)很重要的問題.在網(wǎng)絡(luò)上部署的蜜罐數(shù)量越多，蜜罐捕獲到的數(shù)據(jù)就越多，將這些分散的數(shù)據(jù)進(jìn)行分析處理，首先必須要有一個(gè)自動(dòng)前段處理的分揀機(jī)制，就是對(duì)這些數(shù)據(jù)按照一定的規(guī)則進(jìn)行過濾和分類.然后，在利用一些其他技術(shù)，比如數(shù)據(jù)挖掘、統(tǒng)計(jì)分析、可視化(比如carniwwwhore)等手段進(jìn)行特征分析、攻擊趨勢(shì)分析.

北京大學(xué)的蜜網(wǎng)研究項(xiàng)目Artemis(狩獵女神)開發(fā)的Athena，是一款攻擊關(guān)聯(lián)分析工具，它的作用是結(jié)合經(jīng)典規(guī)劃圖和目標(biāo)規(guī)劃圖，提出擴(kuò)展目標(biāo)規(guī)劃圖模型，實(shí)現(xiàn)攻擊規(guī)劃識(shí)別算法及規(guī)劃圖模型，對(duì)多種類型的數(shù)據(jù)輸出高層攻擊場景圖.同時(shí)，蜜網(wǎng)項(xiàng)目組提出的UDAF是一個(gè)數(shù)據(jù)分析框架，可以支持不同格式的攻擊數(shù)據(jù)的捕獲，過濾數(shù)據(jù)，融合數(shù)據(jù)，以及數(shù)據(jù)的輸出及可視化分析.總之，從分布式蜜罐系統(tǒng)捕獲的大量數(shù)據(jù)中提取出攻擊行為的特征和模型是比較困難的.

1.4 自動(dòng)報(bào)警

蜜罐系統(tǒng)一旦被攻破，攻擊者就會(huì)將其作為跳板攻擊其他正常工作的第三方網(wǎng)絡(luò)，因此蜜罐系統(tǒng)除了有良好的數(shù)據(jù)控制功能，還必須要有及時(shí)的報(bào)警功能.尤其在分布式蜜罐系統(tǒng)中，當(dāng)一個(gè)蜜罐被攻擊者識(shí)破，就意味著其他子網(wǎng)的蜜罐也面臨著隨時(shí)被攻陷的可能性.這就需要及時(shí)將蜜罐被識(shí)破的信息上報(bào)給網(wǎng)絡(luò)管理員.

Switch是一種守護(hù)程序，可以做為報(bào)警軟件使用在蜜罐系統(tǒng)當(dāng)中，除了能夠監(jiān)視目標(biāo)系統(tǒng)中的各種日志，還可以設(shè)定好模式匹配原則，分析系統(tǒng)的運(yùn)行狀態(tài).當(dāng)做好模式匹配之后，當(dāng)有不符合的行為發(fā)生，就可以及時(shí)進(jìn)行報(bào)警.報(bào)警的方式可以采用發(fā)郵件，系統(tǒng)喇叭或者自定義一個(gè)小程序.除此之外，Switch還可以主動(dòng)掃描日志，并修復(fù)特定的日志.不過，在分布式蜜罐系統(tǒng)中，Switch安裝在各個(gè)節(jié)點(diǎn)控制中心，而網(wǎng)絡(luò)管理員是在上一次進(jìn)行信息收集的整合，因此必須將報(bào)警信息盡快上傳在集中控制中心.

2 分布式蜜罐系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)

根據(jù)蜜罐的部署分析，該分布式蜜罐體系結(jié)構(gòu)由管理控制中心、多級(jí)節(jié)點(diǎn)控制中心、虛擬蜜罐主機(jī)等3個(gè)部分組成.系統(tǒng)結(jié)構(gòu)示意圖如圖3所示.

管理控制中心負(fù)責(zé)收集并分析各個(gè)蜜罐捕獲的數(shù)據(jù)信息，并且具有管理數(shù)據(jù)、站點(diǎn)的功能和相應(yīng)的數(shù)據(jù)庫.節(jié)點(diǎn)控制中心起到網(wǎng)關(guān)的作用，對(duì)本網(wǎng)段的所有蜜罐進(jìn)行配置和管理，收集蜜罐捕獲的各種數(shù)據(jù)信息，并將數(shù)據(jù)匯總上傳至管理控制中心，還有及時(shí)報(bào)警的功能.

圖3 系統(tǒng)結(jié)構(gòu)示意圖

3 結(jié)語

隨著蜜罐技術(shù)的發(fā)展，蜜罐已經(jīng)成為一個(gè)非常重要的網(wǎng)絡(luò)安全工具.分布式蜜罐系統(tǒng)主要是針對(duì)大型的分布式網(wǎng)絡(luò)，本文分析在分布式蜜罐系統(tǒng)中蜜罐的部署機(jī)制以及蜜罐系統(tǒng)數(shù)據(jù)采集分析和報(bào)警機(jī)制.該系統(tǒng)能捕獲到未知的攻擊行為，能夠及時(shí)發(fā)現(xiàn)最新的網(wǎng)絡(luò)攻擊方式，將其和傳統(tǒng)的網(wǎng)絡(luò)安全工具結(jié)合起來，能夠起到很好的保護(hù)防御功能.

［1］夏春和，吳震，趙勇，等.入侵誘騙模型的研究與建立［J］.計(jì)算機(jī)應(yīng)用研究，2002(4)：76-79.

［2］馮登國.網(wǎng)絡(luò)安全原理與技術(shù)［M］.北京：科學(xué)出版社，2003：1-20.

［3］楊義先，鈕心忻.網(wǎng)絡(luò)安全原理與技術(shù)［M］.北京：人民郵電出版社，2003：13-36.

［4］吳雙.分布式蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用［J］.信息與電腦，2010(5)：102.