基于诱捕技术的网络安全预警监管平台研究

汤雯

摘   要：近年来，随着信息技术飞速发展，网络攻击、信息泄露等事件层出不穷，说明当前网络信息系统安全防护不够，对网络安全事件的预警和防御手段欠缺。针对此现状，文章在梳理当前网络安全监测预警现状的基础上，提出了基于诱捕技术网络安全预警监管平台设计框架，这在一定程度上可以有效地发现未知特征的网络安全威胁，较好地解决对网络安全威胁有效、及时、准确预警的问题。

关键词：诱捕技术;安全监测;预警

中图分类号：TP393 .08          文献标识码：A

Abstract： In recent years， with the rapid development of information technology， network attacks， information leakage and other events in endlessly， This demonstrates that the current network information system is not sufficiently protected， and the early warning and defense means of the network security incident are not sufficient. This paper combs the present situation of network security early- warning， and puts forward the framework of the network security early- warning and control platform based on the trapper technology， which can effectively discover the network security threats of the unknown features. And the problem of timely and accurate early- warning is solved.

Key words： trap technology; safety monitoring; early-warning

1 引言

隨着互联网、物联网不断普及，基于网络的新业务层出不穷，这些网络信息系统在给人们带来便利的同时，网络本身的开放性和漏洞使得网络信息系统面临木马、病毒、黑客攻击等安全威胁。近年来，网络威胁也越来越呈现出智能化、规模化、组织化的特点，恶意病毒的种类不断增多，出现的速度不断加快，入侵攻击越来越难以察觉和检测，传统安全防护措施已无法满足当前网络安全的需要。因此，需要增加积极主动的防御技术，对网络进行监测，以便对网络安全事件进行及时的预警和响应，从而保障网络安全。针对此类问题，本文提出了一种基于主动诱捕技术的网络安全预警监管平台框架，一定程度上可以有效地发现未知特征的网络安全威胁，较好地解决对网络安全威胁有效、及时、准确预警的问题。

2 网络信息系统安全监测预警现状与需求

2.1技术后门和系统漏洞，加大系统内部安全风险

一方面，网络信息系统中的计算和存储等硬件设备以及操作系统、数据库等系统软件，还存在着使用国外产品的情况，导致网络系统可能存在技术后门的风险。另一方面，漏洞在网络系统构建中是客观存在的，如果漏洞没有被及时发现，或系统补丁不能得到及时更新，则系统漏洞很容易被攻击者利用[2]。维基解密披露的美国中央情报局网络武器库泄露事件显示，美国中央情报局已研制出多款针对软硬件的漏洞利用工具。此外，传统的“打补丁”“堵漏洞”的网络安全防护，只能防住已知的威胁，对特征未知的新型攻击基本上是无能为力[2]。

2.2 传统被动式安全防御，难以满足新形式下网络安全需求

目前，针对网络安全攻击的力度不断加强，通过对近年重大网络攻击案件进行分析发现，以APT为代表的高级攻击潜伏期长、危害大，且已经向组织化、智能化、武器化发展，利用先进的技术手段对特定目标进行长期、持续、有计划的攻击，较难被发现。传统的信息安全技术主要通过设置防火墙或者实时侦测系统（IDS入侵检测系统），对网络出口或关键网络节点进行监测，防火墙一旦被穿透，就无法提供进一步防护。因此，在网络尚未受到严重损害前，及时发现并处置高级可持续攻击及威胁因素，是当前网络安全防护由被动转为主动的关键，也是当前网络安全防护技术亟待突破的方向。

2.3 网络安全监测集成度不高，网络威胁感知、预警能力薄弱

目前，针对主机安全的入侵防范，主要靠防火墙或者网络中部署的入侵防范产品来弥补;针对主机安全的资源控制主要通过监控软件来监控主机运行状况;针对应用安全的资源控制主要靠服务器网关等应用类的监控软件产品进行监测;针对网络的安全管理，主要通过网络监控软件进行监测。可见，目前大多通过针对网络、主机等单一种类或多种设备综合进行网络监控，集成度不高，很多时候还需要依赖人工及时发现报警信息并定期进行统计分析，不利于大规模网络平台的多级联动监测、智能感知、智能预警。因此，需要引入诱捕网络安全技术，结合当前安全监测预警机制，设计出更加完善、理想的安全监测预警平台系统，从而加强信息系统的安全监测预警与应急处置能力。

3 网络诱捕技术与诱捕服务器设计

3.1 诱捕技术

有史以来，军事家们为了获取战争的胜利，都曾使用过欺骗术。在网络社会的今天，同样也可以用此技巧来保护网络资源免受攻击者的破坏。诱捕技术，简单地说就是基于蜜罐、虚拟系统、虚拟网络等在应用网络中布置欺骗系统，防御者通过欺骗系统向攻击者提供攻击者希望得到敏感但错误的信息，迫使对方浪费时间，做无益进攻，以减弱攻击力量，最终实现系统中重要主机或设备被隐藏保护起来的目的。良好的诱捕机制在使网络不被入侵的同时，借助其具备的监控机制、回报机制，以便网络安全管理人员收集攻击数据等信息，及时进行网络安全事件处理、管制与预警。

在网络安全领域第一个设计的网络欺骗系统被称为蜜罐。蜜罐（Honeypot）是指[3]“一种安全资源，它的价值就是被探测、被攻击或攻陷”，这就意味着设计者期望目标是无论如何部署，最终让蜜罐被探测到、被攻击和被侵入。在网络部署使用蜜罐主要有两方面的优点[4]：一方面是消耗攻击者时间，攻击者可能耗费大量时间尝试刺探及研究诱捕系统，从而为防御者赢得时间分析攻击特征，研究防御对策;另一方面是有蜜罐的存在，可降低真实系统受到随机攻击或刺探的可能性。蜜罐按照交互等级划分为高交互蜜罐和低交互蜜罐[5]。交互度反应了攻击者在蜜罐上进行攻击活动的自由度。高交互蜜罐部署困难，且被攻击后容易被攻击者利用去攻击其他系统，应用有限。低交互蜜罐一般仅模拟操作系统和网络服务，部署较容易且风险较小，但攻击者在低交互蜜罐中能够进行的攻击活动有限，因此通过此能够收集的信息也比较有限，同时由于低交互蜜罐通常是模拟的虚拟蜜罐，有时存在容易被攻击者所识别的指纹（Fingerprinting）信息。

3.2 网络诱捕器设计

诱捕器应能提供一个攻击者看来像真实系统的环境，其中存放了一些敏感数据并提供响应的服务，但攻击者无法辨别其真伪。工作者设计的是基于核心芯片的网络诱捕器。整个网络诱捕器分两个大的子系统，即CPU控制管理子系统和核心芯片网络流处理子系统。这种软硬件分离的设计方式，既保证了硬件对网络流的实时、高效处理，又保留了软件对硬件的灵活配置，能够适应各种应用场景。核心芯片处理子系统和CPU子系统之间的接口通过PCI-E总线连接，网络诱捕器体系架构如图1所示。

芯片架构的网络诱捕器可同时在几百个子网部署伪装网络，虚构主机的数量可达到百万级，有效地掩盖了用户真实网络，极大地提升了捕获入侵行为的概率。为进一步达到迷惑入侵者，引诱入侵者攻击等目的，网络诱捕器还会定期或不定期地改变虚构主机的MAC地址、IP地址和端口号，呈现给攻击者一个动态变形的伪装网络。

在核心芯片处理子系统中，配置阻挡应用仿真系统主动向外发起连接的防火墙策略，防止应用仿真系统被攻击者攻陷，然后作为跳板攻击其他主机的行为。同时，配置禁止用户子网内主机对攻击行为分析模块访问的策略，防止攻击者对攻击行为分析模块的攻击。

4 基于诱捕技术的安全预警监管平台设计

4.1网络预警监管平台系统架构设计

4.1.1网络预警监管平台网络拓扑结构

预警监管平台采用对管辖的系统和单位进行分级管理的架构体系，通过各单位对网络进行安全智能检测，实时将网络安全威胁情况数据上传、汇聚到监管平台。因此，预警监管平台的网络拓扑图，主要由两部分组成，分别为网络攻击信息采集探针和网络安全预警监管平台，如图2所示。

网络攻击信息采集探针即网络诱捕器，部署在多个网络监控节点，负责采集攻击预警数据，网络攻击信息采集探针发现的攻击在本地汇总后，由各节点直接上传到预警监管平台，从而在平台上集中展示各被监管单位的网络安全态势。

网络预警监管平台部署在监管中心，主要负责接收各网络攻击信息采集探针上传的数据，并对数据进行处理，根据处理结果，对网络被攻击设备进行监管的定性（按攻击数据的分析结果）和定位，进行快速响应处置解决，达到对整个网络信息系统的监管。

4.1.2 网络预警监管平台系统框架

网络预警监管平台总体系统框架，自下而上分為四层，分别是数据采集层、传输安全层、数据库处理层和数据展现层，如图3所示。

（1）数据采集层。通过网络攻击预警探针即基于芯片架构的网络诱捕器负责对安全类设备、主机类设备、关键业务系统的攻击数据进行收集汇总。网络攻击采集探针，采用网络动态变形技术，运用虚构主机、伪装等手段，对入侵者进行诱导并加以捕获，实现对已经侵入到内网的异常访问、入侵或攻击行为进行定位、取证和数据收集、上传。

（2）威胁数据中心层。主要完成日志数据和镜像数据接收与存储，对数据进行预处理，包含日志范化、日志去重、日志归并、建立搜索引等工作，给上层分析提供数据支持。

（3）智能分析层。主要完成对网络诱捕器采集到威胁数据进行分析，是系统的关键。智能数据分析主要是对掌握的结构化及非结构化元数据进行清洗、关联、建模和对位分析等步骤，对数据进行深度分析，形成行为特征，并对分析结果进行统计，形成统计报表等。例如，对威胁数据的日志分析、行为分析，以判断入侵者攻击行为和攻击深度，确定攻击的危险等级;对镜像攻击流的网络流量数据进行清洗、分类并进行协议还原，在此基础上对还原文本文件，包括Office、PDF、WPS、RAR等进行检查，发现其是否存储受保护文件;对发现的可以木马样本文件进行静态和动态的自动化分析，形成样本分析报告，判断其威胁程度。

（4）安全管理层。主要完成整套系统的可视化展现，包括态势呈现，根据数据分析结果，对受攻击的IP地址、目标端口号、攻击时间等进行多维度展示，较好地呈现全区域各个单位实时的网络安全状况;安全监测，根据报表分析结果，多维度展示当前及未来网络安全威胁特征、特点及发展趋势，从而掌握全区域各个单位网络安全趋势，有针对性地做好网络安全防护;预警告警，根据日志分析结果，展示网络安全威胁级别，根据威胁安全级别的不同，对相应用户单位或节点进行短信、邮件等方式进行告警，以便相应单位及时做好应急响应准备;同时完成性能监测关联、威胁情报管理、安全运维管理、系统支撑管理等工作。

4.2 网络预警监管平台主要功能

（1）攻击告警。告警呈现功能将分支系统条线单位、地理位置、攻击次数、攻击源、攻击时间等告警信息，通过统一的告警平台进行集中展现，在预警监管平台可以通过页面全面了解告警信息。告警发生后，系统可通过短信、邮件等方式通知系统运维管理人员。告警通知功能可有效地缓解管理人员高强度的值班压力，有效保证7×24小时及时响应。

（2）数据上传。网络攻击信息采集探针每天在规定时间导出数据，并进行加密压缩处理，通过刻录光盘或其他形式将数据传递到预警监管平台，对数据按分支系统条线进行导入。预警监管平台统计每日分支系统条线单位数据上传情况，实时展现上传单位数和未上传单位数，对未按时上传数据的单位将进行告警。

（3）威胁分类。根据威胁范围和威胁后果的严重程度，平台将网络安全威胁分为四个等级，分别为极度、高度、中度和低度，并设置了威胁响应不同的时间范围。

（4）统计分析。预警监管平台采用分层结构设计，分为全网威胁预警、系统条线威胁预警和单位威胁预警。全网威胁预警是指平台上总的威胁预警情况，可通过数据分析和趋势展现，实现对整个信息系统网络安全情况的总体把控。系统条线预警是指某个系统的威胁预警情况，便于管理者了解每个系统条线内的安全状况。单位预警是指某一个具体单位的威胁预警情况。

（5）响应监管。根据被监管单位网络攻击行为数据生成的定性分析报告，提出解决方案和建议，制定响应流程。对被监管单位的威胁响应情况进行跟踪，针对未及时响应的单位进行告警。

5 网络预警监管平台系统特点分析

5.1 部署方式灵活，自身安全性较高，适合大范围使用

相比较于传统蜜罐产品在网络中只能作为一个单点进行部署，该系统中基于芯片的网络诱捕器以信息采集探针方式呈现，在不改变用户原有的网络结构情况下，可以采用旁路部署，只需要在网络主动防护检测系统上配置伪装和诱捕策略，即可以在用户的多个网段部署大量的伪装主机陷阱。

传统蜜罐产品部署在网络中如果要调整位置，配置复杂。而本文采用的网络主动防护检测系统可以同时连接多个子网网段，如果需要调整布设在不同网段的虛构主机的地址和开放端口策略，只需要修改配置策略即可完成。

网络诱捕器采用专用芯片架构技术，自身无IP地址，入侵者无法访问。网络主动防护检测系统利用类似防火墙的访问控制、会话建立和会话状态检查机制，单向阻断了应用仿真模块主动向外发起连接的请求，从而避免了应用仿真模块被入侵者攻陷后作为跳板机再攻击网内其他主机的情况。

5.2 对未知特征攻击具有较好防御，有效弥补当前网络防御不足

目前，IDS和主机病毒过滤技术都依赖特征实现对某类病毒或木马的查杀，对未知特征攻击束手无策。该系统采用的网络诱捕技术，是一种针对网络行为特征的分析方法，无需特征库，只要发现有针对虚构主机IP地址的扫描、嗅探行为就可以判别是恶意攻击，是一种针对网络行为特征的分析方法，有效弥补传统防护技术的不足。系统是针对入侵主机的病毒、木马等攻击行为无差别扫描，只要入侵者扫描到虚构主机的IP地址就会被发现并上报，一定程度上减少了误报和漏报的问题，弥补了IDS设备存在大量误报和漏报率问题。

6 结束语

本文以网络信息系统主动安全防御需求为切入点，分析了当前网络安全监测现状与需求，介绍了诱捕技术的概念及典型诱捕技术的优缺点，设计了基于芯片的网络诱捕器，提出了基于诱捕技术，具备防护、预警、攻击源定位、数据分析以及提供响应措施等功能的网络安全预警监管平台系统框架，为各相关方加强网络安全主动防御提供了支撑。当然，随着应用系统业务数据的不断增加及业务种类的不断发展，网络安全预警平在数据分析建模的可靠性、数据统计分析的全面性等方面还有待进一步的完善。

参考文献

[1] 《中华人民共和国网络安全法》[EB/OL].http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

[2] 李满意，郝君婷.强化网络安全监测预警 维护国家信息安全保密[J].保密科学技术，2017（12）：4-8+1.

[3] 曹爱娟，刘宝旭，许榕生.网络陷阱与诱捕防御技术综述[J].计算机工程，2004（09）：1-3.

[4] 银伟，雷琪，韩笑，徐军，金志文，银霞.蜜罐技术研究进展[J].网络安全技术与应用，2018（01）：20-26.

[5] 石乐义，李阳，马猛飞.蜜罐技术研究新进展[J].电子与信息学报，2019，41（02）：498-508.