分布式蜜罐系统的研究与设计

贺文娟

现今，随着网络覆盖范围的进一步扩大，网络给人们的生活带来各种便利的同时，也面临着越来越复杂多样的网络威胁.传统的网络安全技术比如防火墙，入侵检测都属于被动防御的方式，对于已知的安全威胁有着很好的报警和防御措施.对于未知的安全威胁如何检测、如何防御，也是网络安全研究的一个重要方向.

蜜罐技术采用主动防御的方式，在监测网络入侵、保护网络客体、信息学习反馈、提高完善反击入侵能力等网络安全方面有极大的优势［1］.分布式蜜罐系统是将多个蜜罐和蜜网通过网络互联按照分布式体系进行部署的网络，数据采集和数据管理是分布式蜜罐系统的两个重要组成部分.和普通的单一蜜罐相比，分布式蜜罐系统对于分布式网络来说，在捕获网络威胁方面起到了更有效的作用，能捕捉到大范围内的攻击者的活动，获得大量的相关数据进行安全分析，为保障网络安全起到重要的作用.

1 分布式蜜罐系统技术需求

1.1 分布式蜜罐的部署

蜜罐技术是一种基于诱骗的新的安全技术［2-3］，通过在蜜罐上设置一些网络诱惑使得攻击者主动攻击蜜罐，从而起到保护正常工作网络的作用.

蜜罐具有只能捕捉到针对自身的攻击行为的这样的一个特点，所以蜜罐捕捉到的数据很难反映出一个网络的全貌;并且现在的网络往往都具有复杂的结构，存在多种介入网络的方式，在网络内部部署单一的蜜罐很容易就被跳过去.单一的蜜罐和蜜网在数据处理方面是集中处理，对控制器的要求很高，控制器会造成单点失效的后果，系统的可扩展性比较差.单一的蜜罐也无法很好检测并响应复杂的网络攻击.因此，本文提出面向网络部署分布式蜜罐系统，为网络安全提供主动防御，并分析网络威胁，制定网络安全策略，提供重要的数据.

采用分布式模型部署网络中的蜜罐.分布式模型主要分为系统部署、分析判决、警报反馈3个组成部分［4］，如图1所示.

采用三层分布式部署该系统中的蜜罐，如图2所示.

第一层次:管理控制中心，它的主要作用是负责整个分布式系统的管理，收集各个蜜罐捕获的数据信息，将这些数据记录在日志中，留待日后进行数据分析，同时具有报警处理的功能.

图1 分布式模型

图2 分布式部署蜜罐

第二层次:节点控制中心，作用是管理下一层次的虚拟蜜罐收集的各种数据信息，可以对这些数据进行简单处理，然后汇至上一层次的管理控制中心.

第三层次:虚拟蜜罐主机，由上一层次的蜜罐主机采用虚拟软件虚拟出的带有漏洞的多台虚拟蜜罐或者是网络服务.它们的作用就是利用自身存在的漏洞吸引攻击者的攻击，捕获攻击者的攻击活动，将数据传递给上一层次的节点控制中心.

采用分布式部署蜜罐系统，在继续发挥蜜罐自身优势的同时，可以扩大数据信息的收集面，并且，假如其中一个节点控制中心遭到攻击者的识破，也不会使得整个蜜罐系统暴露在攻击者的面前，其他蜜罐仍然可以正常工作，从而增强了整个系统的安全性.

1.2 数据采集

在网络中部署分布式蜜罐系统，蜜罐的个数是由网络的规模所决定的，网络越大越复杂，所部属的蜜罐就越多越分散.如何构建一个有效的分布式蜜罐系统，除了要考虑到蜜罐部署的位置，也需要考虑到如何进行数据的采集，将采集到的数据如何汇总进行处理分析也是分布式蜜罐系统中需要解决的重要内容.在这里，将数据的采集分为采集的内容和采集的方式两个方面来进行讨论.

(1)采集的内容

在分布式蜜罐系统环境中，蜜罐部署的数量越多，那么蜜罐捕获的数据量就越大，这些数据都需要通过网络上传至远程的管理控制中心，因此网络流量是作者采集数据时需要考虑到的一个问题.一般情况下，有两种方法采集蜜罐捕获的数据信息，第一种方法是各个节点控制中心先对其下面的蜜罐捕获到的数据进行汇总分析处理，再将结果汇总上传至上一次的管理控制中心.第二种方法是将原始数据直接汇总上传至管理控制中心，这种方法比较容易实现实体的集中和复杂IP段的分布部署.因为蜜罐本身没有正常的网络流量，进出蜜罐的任何链接都是可疑的，蜜罐捕获到的数据都是有价值的，并且数据量也比较小.可以结合上述两种方法的优点，采用两级数据管理方式，分别在节点控制中心和管理控制中心设置数据库，数据可以先保存在节点控制中心，节点控制中心可以保存原始数据，也可以对数据进行分析处理，存放处理后的各种数据，需要时将数据汇总上传至管理控制中心.

(2)采集的方式

当蜜罐捕获到数据之后，采取什么样的方式上传至上一级的控制中心，既要保证数据的完整性，更要保证数据信息的真实性、保密性，这也是数据采集过程中需要考虑的又一问题.只有保证采集到的数据真实、完整，那么蜜罐才是可用的.通过对传输的信道进行加密来确保数据在传输过程中的完整、真实.对于蜜罐部署在不同类型的网络中所收集到的数据共享和聚合问题，应当在发送数据时采用标准化的格式，对蜜罐和蜜网分别命名，这样有利于管理维护每个蜜网.

1.3 数据分析

在分布式蜜罐系统中如何对分布在不同蜜罐上的数据进行集中管理分析也是一个很重要的问题.在网络上部署的蜜罐数量越多，蜜罐捕获到的数据就越多，将这些分散的数据进行分析处理，首先必须要有一个自动前段处理的分拣机制，就是对这些数据按照一定的规则进行过滤和分类.然后，在利用一些其他技术，比如数据挖掘、统计分析、可视化(比如carniwwwhore)等手段进行特征分析、攻击趋势分析.

北京大学的蜜网研究项目Artemis(狩猎女神)开发的Athena，是一款攻击关联分析工具，它的作用是结合经典规划图和目标规划图，提出扩展目标规划图模型，实现攻击规划识别算法及规划图模型，对多种类型的数据输出高层攻击场景图.同时，蜜网项目组提出的UDAF是一个数据分析框架，可以支持不同格式的攻击数据的捕获，过滤数据，融合数据，以及数据的输出及可视化分析.总之，从分布式蜜罐系统捕获的大量数据中提取出攻击行为的特征和模型是比较困难的.

1.4 自动报警

蜜罐系统一旦被攻破，攻击者就会将其作为跳板攻击其他正常工作的第三方网络，因此蜜罐系统除了有良好的数据控制功能，还必须要有及时的报警功能.尤其在分布式蜜罐系统中，当一个蜜罐被攻击者识破，就意味着其他子网的蜜罐也面临着随时被攻陷的可能性.这就需要及时将蜜罐被识破的信息上报给网络管理员.

Switch是一种守护程序，可以做为报警软件使用在蜜罐系统当中，除了能够监视目标系统中的各种日志，还可以设定好模式匹配原则，分析系统的运行状态.当做好模式匹配之后，当有不符合的行为发生，就可以及时进行报警.报警的方式可以采用发邮件，系统喇叭或者自定义一个小程序.除此之外，Switch还可以主动扫描日志，并修复特定的日志.不过，在分布式蜜罐系统中，Switch安装在各个节点控制中心，而网络管理员是在上一次进行信息收集的整合，因此必须将报警信息尽快上传在集中控制中心.

2 分布式蜜罐系统体系结构设计

根据蜜罐的部署分析，该分布式蜜罐体系结构由管理控制中心、多级节点控制中心、虚拟蜜罐主机等3个部分组成.系统结构示意图如图3所示.

管理控制中心负责收集并分析各个蜜罐捕获的数据信息，并且具有管理数据、站点的功能和相应的数据库.节点控制中心起到网关的作用，对本网段的所有蜜罐进行配置和管理，收集蜜罐捕获的各种数据信息，并将数据汇总上传至管理控制中心，还有及时报警的功能.

图3 系统结构示意图

3 结语

随着蜜罐技术的发展，蜜罐已经成为一个非常重要的网络安全工具.分布式蜜罐系统主要是针对大型的分布式网络，本文分析在分布式蜜罐系统中蜜罐的部署机制以及蜜罐系统数据采集分析和报警机制.该系统能捕获到未知的攻击行为，能够及时发现最新的网络攻击方式，将其和传统的网络安全工具结合起来，能够起到很好的保护防御功能.

［1］夏春和，吴震，赵勇，等.入侵诱骗模型的研究与建立［J］.计算机应用研究，2002(4)：76-79.

［2］冯登国.网络安全原理与技术［M］.北京：科学出版社，2003：1-20.

［3］杨义先，钮心忻.网络安全原理与技术［M］.北京：人民邮电出版社，2003：13-36.

［4］吴双.分布式蜜罐技术在网络安全中的应用［J］.信息与电脑，2010(5)：102.