依托蜜罐技术构建校园网主动式防御系统的实现路径

摘 要 在数字化校园建设步伐不断加快的今天，校园网络用户规模也在持续增加，网络安全已经成为校园网络运行的核心要素。随着网络运行复杂性的增加，校园网络安全受到严重威胁，傳统防火墙技术只能被动进行风险防范，而采取先进的蜜罐技术则能够实现校园网络安全的主动防范格局。本文首先分析了蜜罐技术的特点和应用优势，对其部署位置及数量进行分析，并结合校园网络蜜罐技术的应用实践进一步分析其主动防御功能的实现路径。

【关键词】校园网安全 蜜罐技术 入侵检测系统

在网络技术不断升级的背景下，校园网络中信息设备应用数量持续增加，而校园网络被干扰和入侵的风险也在同步增加。当前校园网络中的主要安全保障措施有防火墙技术、防病毒软件、入侵检测、数据加密等，这些防范措施较为被动，只有在网络受到威胁之后才能采取防范措施，处理相对滞后。而蜜罐技术的应用则侧重于提前部署防范措施，属于主动式风险防御系统，通过对网络攻击手段、攻击工具等因素进行分析，从而制定主动防范网络威胁的有效措施，构建校园网络的实时风险监控体系，提高风险防范的主动性和有效性。

1 蜜罐技术特点及应用优势

1.1 蜜罐技术特点

蜜罐技术是一种新型网络安全防御模式，和以往网络安全部署有着很大不同。蜜罐技术通过欺骗、诱导等技术手段，能够“请君入瓮”，诱导攻击者实施攻击行为，并从其行为过程中捕获相关数据，从而使网络管理者对攻击者的具体信息进行了解，破解其攻击路径，找出被攻击系统中存在的漏洞。应用蜜罐技术能够形成软件与硬件相结合共同作用的防范技术体系，不会参与网络应用中的实际业务，而且也不会接触正常网络业务内容。正是因为蜜罐不具备真正的网络服务价值，一旦出现蜜罐攻击行为就会引起管理管理员的重视，以此蜜罐内部数据流通都会被进行全盘监测和扫描，并针对其行为进行具体分析。从这一特点来看，蜜罐具有诱饵性，能够反向记录攻击者的攻击行为和相关数据，并及时反馈到系统安全管理中心，以便于管理人员及时采取行动，进行主动防御。

1.2 蜜罐技术的应用优势

蜜罐技术主要具备四大优势：

1.2.1 前瞻性

与传统网络安全管理中被动的风险防范体系不同，蜜罐具有主动捕获网络攻击的能力，同时还能同步记录攻击信息，使管理者掌握其攻击工具，并以此制定更有针对性的防范措施。这一风险防范模式具有前瞻性，能够在对抗网络攻击中占据主动。

1.2.2 准确性

一旦攻击者对校园服务器实施扫描，就会被引入蜜罐系统中，所以在蜜罐系统中，所有数据均来自攻击者，正常网络访问不会被蜜罐所捕捉，因此其准确率较之一般防御系统更高。

1.2.3 适用性

蜜罐系统会主动引诱攻击者采取行动，并对其攻击行为进行详细记录，尤其对反向侦查技术更为适用。因此，能够针对不同形式的攻击保持完整的数据记录，其数据更具适应性。

1.2.4 简单性

蜜罐系统部署较为简单，设立独立区域对攻击者进行诱导，从而获得其攻击数据。无论是虚拟蜜罐和真实蜜罐，其配置和部署都具有较高的便捷性和可行性，而且无需繁琐的技术维护，能够有效节约人力物力。

2 校园网络蜜罐部署方案

2.1 蜜罐类型

以蜜罐部署与攻击者交互程度进行分析，可以将蜜罐划分三种类型，即低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐不具备系统功能，以端口监听完成虚拟服务，在信息捕获方面数量较少，维护较为简单，其局限性在于无法获得较为复杂的协议传输数据，其风险程度较低。中交互蜜罐不具备系统功能，在信息捕获方面数量较多，配置维护较为复杂，其局限性在于可能受到网络破坏和攻击，其风险程度居中。高交互蜜罐具有操作系统，攻击者与操作系统及真实的服务进行交互，能够捕获更多的系统信息，配置维护相对复杂，其局限性在于系统被攻陷后，会成为攻击者攻击正常系统的跳板，风险程度较高。

由此可见，攻击者与蜜罐之间的交互作用越强，其信息捕获数量也就越多，同时风险程度也会有所提升。蜜罐具有真实的网络部署环境，因此构架较为复杂，所面临的风险也会增加。不同防御程度的蜜罐其防御价值各有不同，在应用实践中则需要根据网络安全需求进行蜜罐部署，判断其交互程度，制定更安全高效的蜜罐防范体系。

2.2 蜜罐的布署位置

蜜罐位置需要结合校园网络规模、安全需要等确定部署决策。蜜罐与服务器链接，一旦发现高危入侵行为，系统能够在第一时间做出相应，并主动锁定攻击，针对攻击数据针对其入侵工具和动机进行分析，从而制定更有效的安全防范措施。同时蜜罐还能对攻击者行为进行监测记录，保留攻击证据。

2.3 蜜罐的部署数量

蜜罐系统的最终防范成效与其布置数量、服务器台数等有直接关系，两者需要确定科学的配置比例，这一比例值也叫作“防御期望值”。蜜罐部署数量越高，其期望值就越大，而且在蜜罐数量不断增加的环境下，其期望值增速会呈现递减趋势。

2.4 基于蜜罐技术的校园网拓扑结构

基于校园网络原有安全防御体系，将蜜罐技术融合与服务器日志、防火墙、入侵检测等过程中，能够构建起校园安全的主动防御体系，并形成更为完善的蜜罐技术安全方案。蜜罐系统需要具备对攻击信息的及时影响能力，能够主动引诱攻击者开展攻击并捕获其活动数据，在更短时间内制定出防范对策。蜜罐系统内的各个主机为虚拟机，各自具有独立的操作系统，能够很好的隐藏在校园网络内，起到保护网络系统安全的作用。蜜罐主机利用Sebek软件对攻击者的行为进行记录，并将数据传递与日志服务器。IDS系统能够针对蜜网数据包实施检测，并对其数据进行分析。日志服务器会记录防火墙数据、入侵日志数据以及蜜罐数据，并通过防火墙对校园网络的外部攻击进行防范。

2.5 蜜罐系统的工作原理endprint

蜜罐与校园网其它服务器建立起桥接关系，通过数据链路进行衔接。蜜罐主机无需配备IP地址，不会造成TTL消耗，因此其隐蔽性更好。校园网络网关会将应用服务器与蜜罐进行隔离，如果有攻击行为出现，蜜罐会对其進行实施拦截，从而保护服务器不受干扰。一般情况下，如果是正常数据访问，则数据会同时进入校园网络和蜜网内，此类数据具有安全性，不会对校园网络造成破坏。而黑客发起攻击时，蜜罐会形成诱导作用，蜜罐中会显示异常数据，这些数据被捕获并进行分析，管理员能力找出数据规律，并将其提取指入侵检测库内进行检测。一旦同规则入侵二次出现，入侵检测就会主动封锁数据入口，实现主动防御。

3 校园网络蜜罐技术的实施路径

3.1 蜜罐部署

蜜罐部署将与虚拟主机、控制机进行连接，在虚拟主机上分别部署Windows和Linux蜜罐。同时利用物理计算机设置Windows蜜罐。

3.2 数据控制

数据控制以系统内流经数据为主。实施数据控制的首要条件在于发挥蜜罐的诱导作用，能够使攻击者在没有防备的情况下进入蜜罐。这就需要开放蜜罐数据限制，但是为了保证攻击者不会对校园正常网络进行攻击，强化蜜罐安全性能，管理者需要对虚拟蜜罐设计数据流动检测，尤其的外出链接、数据流量等要做到实时监测。同时，还需要进一步增强对虚拟蜜罐中数据的处理能力，以避免数据包在黑客攻击下广泛传播。

蜜罐部署作用的发挥，首先需要把流经地址内的所有数据传输至蜜罐主机内，在蜜网中蜜罐设置较为隐秘，因此入侵者无法判断实施攻击的系统哪个是校园网络系统、哪个是蜜罐陷阱。在防火墙作用下，所有数据访问必须经由校园路由器，都需要经过eth0，并将数据传输至蜜罐主机中。因此，校园网络信息过滤系统（Iptables）模块需要进行相应配置，从而保证实现良好的数据导向作用。还可以在虚拟蜜罐部署中对蜜罐流量进行严格检测，以分钟为单位对ICMP协议、TCP协议、UDP协议进行检测，控制其每分钟数据包保持20个左右。检测防火墙是否将蜜罐数据发送至入侵检测系统，同时还需要将攻击数据格式转化为Replace。

3.3 数据捕获

蜜罐技术作为显著的功能在于捕获相关入侵数据。如果不具备数据捕获功能，那么蜜网将难以发挥其实质性作用。蜜罐数据捕获主要有三个途径：

（1）通过蜜网日志提取；

（2）通过入侵检测系统数据获得；

（3）Sebek工具获得相关数据。

在蜜网数据进行收集整理，经过专业处理后能够将其保留在校园网络安全数据库，作为后续安全管理、网络风险防范的数据参考。以下将详细分析数据捕获路径：

3.3.1 蜜网日志

蜜网日志中囊括了多个蜜罐部署，并且通过rc·honeywall脚本得以实现。蜜网日志能够对各蜜罐中的动态数据进行系统捕获，此外，还能针对数据进入、外流情况做出实时记录，在这一模式下，网络管理者能够从多个层面对异常数据进行分析，并能够寻找其活动规律。

3.3.2 入侵检测数据

入侵检测系统不但能够对校园内网不同接口的数据进行检测，同时还能获得网络中的流通数据，而且对于CDP数据的流通也能进行及时捕获。此外，该系统还能够以记录器方式对数据包进行存储，根据数据1P对其进行集中分类，并将其存储于log-directors内。同时，入侵检测还能实现本地网络的-h定制，记录本地网相关数据，以便在部署蜜罐过程中设置相应脚本，其后启动入侵检测，最后实现网址编辑、修订，形成完成的日志记录。

3.3.3 Sebek系统数据捕获

Sebek能够实现对加密数据的捕获，该系统有客户端与服务器两部分构成，其中在虚拟蜜罐中装置有客户端，如果蜜罐受到黑客攻击，Sebek就能够对攻击行为进行实时捕获，并将其传输到校园网络中，通过网关进行收集记录。

3.4 数据分析

蜜网所捕获到的异常数据需要进行及时分析处理，必须保证其时效性才有价值。通过蜜罐部署实现校园网络异常数据分析，进而实现自动报警作用。通过Swatch工具不但能够对IP列表进行透视，同时还具备入侵文件检测透视功能。在系统受到黑客攻击之后能够自动启动报警功能。如果蜜罐装置在受到外部攻击后提示外部风险防范信息，则Swatch工具能够及时向系统管理员发送信息，从而引导管理员提起关注。

3.5 蜜罐渗透攻击

Metasploit工具具有良好的系统风险监测性能，在linux配置中版本过旧，其信息服务系统（samba）很难检测来自系统边缘区域，因此黑客会将这一区域锁定为操控去，对其进行远程控制。在校园网络中主要系统检测工具为Metasploit，通过漏洞攻击、数据痕迹等进行检测，主要步骤如下：首先需要将在宿主主机内配置Metasploit工具；其次，针对Metasploit方案对攻击数据进行测试，操作流程为：打开主机防火墙装置，实现和4444端口的有效连接；接下来在蜜罐网络中启动samba服国内，保证MSFConsole状态稳定，输入攻击命令后，能够得到反向shell。最后针对攻击数据进行分析，根据蜜罐数据做系统分析，等待攻击漏洞完成后，通过检测工具（Walleye）对蜜罐数据进行梳理，并将分析结果反馈与系统安全管理体系内。

4 结语

实践证明，在校园网络安全管理中部署蜜罐网络具有极高的可行性。蜜罐能够形成攻击陷阱，引诱攻击者主动进入蜜罐，从而获得其攻击数据并找出攻击规律。通过系统日志数据分析，能够对攻击者的实施方法、攻击意图有所了解。将蜜罐与日志服务器、入侵检测以及校园防火墙等系统进行连接，能够构建起校园网络主动式安全防御体系。总之，采取蜜罐技术具有前瞻性、安全性、准确性、便捷性等特点，而且部署简单、维护方便，通过主动防御增强校园网络安全系数。

参考文献

[1]茅一磊.蜜罐技术及其新应用[J].电信网技术，2017（06）.

[2]石乐义，姜蓝蓝，刘昕，贾春福.拟态式蜜罐诱骗特性的博弈理论分析[J].电子与信息学报，2014（05）.

[3]石乐义，姜蓝蓝，贾春福，王晓蕊.蜜罐诱骗防御机理的博弈理论分析[J].电子与信息学报，2015（06）.

[4]程晓伟，杨百龙.基于蜜罐特征的蜜罐识别技术[J].现代电子技术，2015（15）.

[5]李莉，孙华，张振宇.蜜罐技术在校园网络安全中的应用研究[J].新疆大学学报（自然科学版），2014（04）.

作者简介

江峰（1984-），男，江西省萍乡市人。大学本科学历。现萍乡学院教师、助教。研究方向为计算机网络。

作者单位

萍乡学院 江西省萍乡市 337000endprint