基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型研究

王宏群,張宇國

(安徽警官職業(yè)學(xué)院 信息管理系,合肥 230031)

引言

隨著互聯(lián)網(wǎng)不斷普及,越來越多的單位和個人計算機(jī)都連接上互聯(lián)網(wǎng),隨之網(wǎng)絡(luò)安全問題也日益嚴(yán)重,互聯(lián)網(wǎng)上的每臺主機(jī)都有可能受到攻擊.近年來不斷發(fā)生黑客入侵企業(yè)網(wǎng)絡(luò)的事件,如何保障企業(yè)網(wǎng)絡(luò)安全,構(gòu)筑一個安全可靠的企業(yè)網(wǎng)絡(luò)成了當(dāng)前迫切需要解決的問題.

目前,網(wǎng)絡(luò)的攻擊形式呈現(xiàn)出了多樣化、新型化的趨勢[1].而傳統(tǒng)的防御技術(shù)如Firewall、VPN、IDS等都是基于已知的事實(shí)和攻擊的被動模式,對于新型化、多樣化地攻擊則顯得力不從心[2].本文提出了建立一個基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型,利用設(shè)置特有的蜜罐主機(jī)故意誘引網(wǎng)絡(luò)攻擊者攻擊和入侵,然后對其行為進(jìn)行監(jiān)視和記錄,掌握他們的方法和目的后,找到有效的防御技術(shù),從而能主動加固網(wǎng)絡(luò)來提升網(wǎng)絡(luò)安全防護(hù)能力.

1 蜜罐與蜜網(wǎng)結(jié)構(gòu)

1.1 蜜罐與蜜網(wǎng)概念

“蜜網(wǎng)項(xiàng)目組”的創(chuàng)始人給蜜罐的定義是:蜜罐是一種安全資源,其價值在于被探測、攻擊或攻陷[3].蜜罐通常運(yùn)行一些仿真軟件,故意偽裝成有安全漏洞的網(wǎng)絡(luò)系統(tǒng),誘使黑客對其進(jìn)行攻擊[4],在攻擊者不知道的情況下,對其行為進(jìn)行監(jiān)視并記錄.通過對這些記錄數(shù)據(jù)的研究和分析,掌握到了攻擊者采用的攻擊方法、目的等信息.蜜網(wǎng)通常包含一個或多個蜜罐主機(jī),可以使用物理機(jī)或虛擬機(jī)來架設(shè),是一個可控的復(fù)雜蜜罐網(wǎng)絡(luò)系統(tǒng)[5].

1.2 蜜網(wǎng)結(jié)構(gòu)

一個具有高度控制的蜜網(wǎng)必須具有如圖 1所示的核心組件和輔助組件[6].核心組件是蜜罐技術(shù)達(dá)成對攻擊方進(jìn)行誘騙與監(jiān)測的關(guān)鍵部分,主要包含:欺騙環(huán)境構(gòu)建、數(shù)據(jù)捕獲、數(shù)據(jù)分析;輔助組件是對核心組件的補(bǔ)充,主要包含:數(shù)據(jù)控制、配置與管理、反蜜罐技術(shù)對抗.

圖 1 蜜網(wǎng)的組成結(jié)構(gòu)

(1)欺騙環(huán)境構(gòu)建:運(yùn)行一些仿真軟件,模擬出一個具有欺騙性但又比較真實(shí)的網(wǎng)絡(luò)資源,誘使攻擊方對其進(jìn)行掃描、攻擊.

(2)數(shù)據(jù)捕獲:對潛在的攻擊行為進(jìn)行監(jiān)控和記錄,盡量更多地獲取攻擊行為數(shù)據(jù),并將捕獲的數(shù)據(jù)存放到一個獨(dú)立、安全的系統(tǒng)中.

(3)數(shù)據(jù)分析:對捕獲的攻擊行為數(shù)據(jù)進(jìn)行分析,追溯出攻擊的方法、目的和來源.

(4)數(shù)據(jù)控制:對攻擊蜜網(wǎng)的行為進(jìn)行控制,確保蜜網(wǎng)系統(tǒng)不被入侵者惡意利用.

(5)配置與管理:方便管理員對蜜網(wǎng)系統(tǒng)進(jìn)行管理與維護(hù).

(6)反蜜罐技術(shù)對抗:提升蜜網(wǎng)的仿真和欺騙效果,防止被反蜜罐技術(shù)識別.

2 基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型設(shè)計

根據(jù)對蜜罐技術(shù)的分析及企業(yè)網(wǎng)絡(luò)的特點(diǎn),構(gòu)建出具有主動防御能力的的基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型,如圖2所示.

圖2 基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型

2.1 企業(yè)網(wǎng)絡(luò)安全模型主要部件

(1)防火墻

防火墻執(zhí)行嚴(yán)進(jìn)寬出,實(shí)現(xiàn)主動安全防護(hù).根據(jù) IP地址和端口號進(jìn)行檢測,將已是黑名單里的數(shù)據(jù)流主動攔截,將未知異常數(shù)據(jù)流重定向到蜜網(wǎng)系統(tǒng)中.

(2)蜜網(wǎng)網(wǎng)關(guān)

蜜網(wǎng)網(wǎng)關(guān)是蜜網(wǎng)系統(tǒng)最重要的部件,具有數(shù)據(jù)控制和數(shù)據(jù)捕獲功能.蜜網(wǎng)網(wǎng)關(guān)有4個網(wǎng)絡(luò)接口,端口1連接外網(wǎng),引導(dǎo)正常的連接至該口;端口2連接日志服務(wù)器;端口3連接IDS;端口4和蜜罐主機(jī)相連,用于接收潛在攻擊的網(wǎng)絡(luò)連接;蜜網(wǎng)網(wǎng)關(guān)是蜜網(wǎng)最前端設(shè)備,兼有Firewall功能.蜜網(wǎng)網(wǎng)關(guān)可以通過運(yùn)行一些仿真軟件來模擬出更逼真的網(wǎng)絡(luò)環(huán)境.

(3)蜜罐主機(jī)

蜜罐主機(jī)可以根據(jù)真實(shí)業(yè)務(wù)在物理機(jī)或虛擬機(jī)上部署相應(yīng)的網(wǎng)絡(luò)服務(wù),為了營造出逼真的效果,蜜罐主機(jī)上可采用剔除機(jī)密數(shù)據(jù)后的真實(shí)業(yè)務(wù)數(shù)據(jù).

此外,蜜罐主機(jī)還可以運(yùn)行一些網(wǎng)絡(luò)仿真軟件來提高蜜網(wǎng)的誘騙效果[7].

(4)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)負(fù)責(zé)對網(wǎng)絡(luò)連接進(jìn)行即時監(jiān)視和判斷,一旦發(fā)現(xiàn)異常情況,立即發(fā)出警報,與蜜網(wǎng)網(wǎng)關(guān)進(jìn)行聯(lián)動[8].可以使用 Snort 軟件來部署IDS.

(5)日志服務(wù)器

日志服務(wù)器主要記錄 Firewall、IDS等安全設(shè)備日志和蜜罐主機(jī)系統(tǒng)日志[9],以便管理員進(jìn)行分析與研究.

2.2 企業(yè)網(wǎng)絡(luò)安全模型模塊設(shè)計

整個系統(tǒng)由七個模塊構(gòu)成,如圖3所示.

(1)管理控制模塊:主要實(shí)現(xiàn)對整個蜜網(wǎng)系統(tǒng)進(jìn)行管理和控制,并對收集來的數(shù)據(jù)進(jìn)行分析并預(yù)警.能夠?qū)M(jìn)出蜜網(wǎng)的數(shù)據(jù)流進(jìn)行控制,而又不讓入侵者察覺.

(2)端口重定向模塊:運(yùn)用防火墻的重定向技術(shù),在入侵者不知道的情況下,將它的數(shù)據(jù)流重定向到蜜網(wǎng)系統(tǒng)中.

(3)防御和監(jiān)聽模塊:利用 Firewall對網(wǎng)絡(luò)的連接進(jìn)行控制,同時創(chuàng)建一個線程啟動監(jiān)聽服務(wù)程序,用來回復(fù)入侵者的入侵指令,為入侵者營造出逼真的環(huán)境,達(dá)到誘騙目的.

(4)數(shù)據(jù)捕獲模塊:主要使用Sebek工具記錄攻擊者在蜜罐主機(jī)上的行為,及時捕獲入侵者和蜜罐服務(wù)器之間通信的數(shù)據(jù)包,以便今后的分析和研究.

(5)異常檢測和報警模塊:設(shè)定一個閾值,與收集來的數(shù)據(jù)進(jìn)行比對,如超出閾值,則判定為異常,發(fā)出警報并啟用已制定的相應(yīng)解決機(jī)制,同時發(fā)送報警信息給管理員,對網(wǎng)絡(luò)即時采取保護(hù)措施.

(6)數(shù)據(jù)處理和分析模塊:使用 hflow工具,統(tǒng)計捕獲的網(wǎng)絡(luò)入侵行為數(shù)據(jù),然后將這些數(shù)據(jù)拼接起來獲得入侵者的行動記錄,通過這些入侵行為記錄來分析研究出它們的攻擊方法和目的.

(7)遠(yuǎn)程日志模塊:將蜜罐主機(jī)、Firewall、IDS產(chǎn)生的日志信息以及捕獲的數(shù)據(jù)傳送到一個遠(yuǎn)程的、獨(dú)立的服務(wù)器上,以便進(jìn)行分析研究.

圖3 企業(yè)網(wǎng)絡(luò)安全模型模塊設(shè)計

3 模型應(yīng)用

3.1 重定向機(jī)制實(shí)現(xiàn)

實(shí)現(xiàn)原理如下:啟動重定向程序后,首先讀取配置文件(黑名單可以設(shè)置),得到必須禁止進(jìn)入內(nèi)網(wǎng)并需要永久轉(zhuǎn)移到蜜網(wǎng)上的攻擊者信息,然后與獲取的 IP地址進(jìn)行比對,如果發(fā)現(xiàn)是已知攻擊,則進(jìn)行重定向轉(zhuǎn)移并將其源地址記入黑名單.與其他特征檢測和異常檢測結(jié)合起來,將所有未知的具有潛在威脅的數(shù)據(jù)流重定向到蜜網(wǎng),同時記入重定向日志.使用端口重定向程序 fpipe可以實(shí)現(xiàn)端口重定向轉(zhuǎn)移,如fpipe ?l 80 ?s 100 ?r 8080 218.22.26.100;將連接本機(jī)80端口的主機(jī)通過100端口連接到虛擬蜜罐服務(wù)器,端口為8080.

3.2 數(shù)據(jù)捕獲機(jī)制實(shí)現(xiàn)

蜜網(wǎng)系統(tǒng)中的數(shù)據(jù)捕獲分為三層來實(shí)現(xiàn),分別是Firewall,IDS和蜜罐主機(jī)[10].Firewall日志是蜜網(wǎng)系統(tǒng)收集的第一層數(shù)據(jù),主要記錄進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的連接.第二層數(shù)據(jù)由IDS來完成,監(jiān)視整個蜜網(wǎng)的流量,抓取蜜網(wǎng)系統(tǒng)內(nèi)所有的數(shù)據(jù)包.最后一層是蜜罐主機(jī)日志,主要是記錄攻擊者在蜜罐主機(jī)上行為數(shù)據(jù).數(shù)據(jù)捕獲就是記錄入侵者在蜜網(wǎng)內(nèi)部的所有行為數(shù)據(jù),這些捕獲的數(shù)據(jù)可以通過專用通道存放到安全、獨(dú)立的數(shù)據(jù)庫服務(wù)器上,以便用于研究和分析入侵者的方法和目的.數(shù)據(jù)捕獲的難點(diǎn)就是要讓入侵者不知道自己在被監(jiān)控的情況下,捕獲盡可能多的數(shù)據(jù).我們采用三個層次的捕獲機(jī)制,目的就是盡可能多的捕獲入侵者的行為數(shù)據(jù),以便將其行為步驟拼接起來.

數(shù)據(jù)捕獲機(jī)制實(shí)現(xiàn)流程如圖4所示.連接者的數(shù)據(jù)包首先經(jīng)過防火墻(Iptables),防火墻對連接進(jìn)行記錄,并根據(jù)已定義的規(guī)則和特征進(jìn)行匹配,如發(fā)現(xiàn)潛在威脅,則在入侵者不知道的情況下,重定向轉(zhuǎn)移到蜜網(wǎng)系統(tǒng),蜜網(wǎng)網(wǎng)關(guān)防火墻對其進(jìn)行記錄.IDS會對所有進(jìn)入蜜網(wǎng)的數(shù)據(jù)流量進(jìn)行監(jiān)控記錄,IDS可以使用 snort進(jìn)行部署實(shí)現(xiàn).蜜網(wǎng)系統(tǒng)中每個蜜罐主機(jī)除了自有的日志功能外,還可以在主機(jī)上安裝Sebek客戶端,記錄主機(jī)上的活動,同時將捕獲來的日志數(shù)據(jù)存放到部署在蜜網(wǎng)網(wǎng)關(guān)防火墻上的Sebek服務(wù)器里.

圖4 數(shù)據(jù)捕獲機(jī)制

3.3 模擬攻擊測試

蜜網(wǎng)項(xiàng)目組開發(fā)了一套快速和簡單的蜜網(wǎng)部署工具.本文利用這套工具,完成了蜜網(wǎng)網(wǎng)關(guān)配置,并使用 VMware構(gòu)建了多個虛擬蜜罐主機(jī),在企業(yè)網(wǎng)內(nèi)部署了一個簡單的蜜網(wǎng).經(jīng)過模擬攻擊測試,通過監(jiān)控服務(wù)器上的數(shù)據(jù)記錄可以得到攻擊方的 IP地址及行為.如圖 5所示,通過日志可以查出攻擊者的 IP地址是192.168.228.234.足以證實(shí)蜜網(wǎng)在誘騙入侵者方面起到較好的主動防御作用,一定程度上保障了企業(yè)網(wǎng)絡(luò)的安全.

圖 5 模擬攻擊測試

4 結(jié)束語

通過對蜜罐技術(shù)的研究,將其與傳統(tǒng)的網(wǎng)絡(luò)安全防御系統(tǒng)結(jié)合起來,提出了基于蜜罐技術(shù)的企業(yè)網(wǎng)絡(luò)安全模型,通過防御與監(jiān)聽、端口重定向、異常檢測和蜜網(wǎng)系統(tǒng)構(gòu)造出一個主動防御系統(tǒng),彌補(bǔ)了傳統(tǒng)的基于Firewall、VPN以及IDS等被動防御系統(tǒng)的不足,提高了對網(wǎng)絡(luò)攻擊行為的掌握和控制能力,從而使企業(yè)網(wǎng)絡(luò)的安全性得到增強(qiáng).在企業(yè)網(wǎng)絡(luò)安全問題日益嚴(yán)重的今天有著廣闊的使用空間.

[1] 袁 凌.計算機(jī)網(wǎng)絡(luò)安全防護(hù)體系研究[J].硅谷,2013(15):65

[2] 李 莉,孫 華,張振宇.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].新疆大學(xué)學(xué)報(自然科學(xué)版),2011(4):478

[3] 許建偉.高交互蜜網(wǎng)系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D].北京:北京郵電大學(xué)計算機(jī)學(xué)院碩士研究生學(xué)位論文,2009,4～5

[4] 鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2006,61～93

[5] Honeynet Project.Know Your Enemy:Honeynet [EB/OL].[2012-11-12] http://project.honeynet.org/papers/honeynet/index.html.

[6] 諸葛建偉,唐 勇,韓心慧,等.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報,2013,24(4):825～842

[7] 趙 軍.高偽裝高交互蜜罐技術(shù)的研究與實(shí)現(xiàn)[J].計算機(jī)工程,2010,36(15):156～158

[8] 翟光群,陳向東,胡貴江.蜜罐與入侵檢測技術(shù)聯(lián)動系統(tǒng)的研究與設(shè)計[J].計算機(jī)工程與設(shè)計,2009,30(21):4845～4847

[9] 夏春和,吳 震,趙 勇.入侵誘騙模型的研究與建立[J].計算機(jī)應(yīng)用研究,2002(4):76～79

[10] 易秀雙,馬世偉,王衛(wèi)東.虛擬蜜網(wǎng)核心功能剖析與實(shí)例部署[J].計算機(jī)科學(xué),2012(3):101～103