蜜网防护系统的研究与实现

游杰 汤辉 李书锋 江西省计算技术研究所(江西省计算中心) 南昌市 330002

0 引言

在新一代信息技术快速发展的时代，网络安全已经成为企业发展的命脉，信息系统越自动化越信息化越智能化，安全问题就会非常大。现如今高级持续性威胁不断被发现、关键信息基础设施的攻击事件显著增加、信息泄露事件频发等安全问题愈演愈烈，而网络安全防御技术并不能及时抵御网络安全威胁的变化，网络安全问题已成为影响信息化快速发展的重要因素，急需具备宏观数据汇聚、融合分析、威胁态势感知的蜜网防护系统来提高网络安全保护等级。

1 蜜罐技术现状

蜜罐（Honeypot）好比是情报收集系统，主要用来迷惑入侵者、保护服务器，抵御入侵者、加固服务器，诱捕网络罪犯等。蜜罐技术是一种对攻击方进行欺骗的技术，通过布置作为诱饵的主机、网络服务或者信息，诱使攻击者实施攻击，从而可以对攻击行为进行捕获和分析，能让防御方了解他们所面对的安全威胁，并通过管理和技术手段来增强实际系统的安全防护能力[1]。根据攻击者与应用程序或服务的交互能力要求，可以选择低交互蜜罐或高交互蜜罐，低交互蜜罐只能让攻击者极其有限的交互服务，易于部署，但不够有效，高交互蜜罐不是简单地模拟某些协议或服务，而是提供真实的服务系统，可以轻松的发现威胁并跟踪其行为，但其最大的缺点是部署复杂，同时需保持对其长期监控，以降低系统风险[2]。

2 蜜网防护系统的关键技术

2.1 伪装诱捕技术

通过操作系统伪装、数据和文件的伪装、应用程序运行和服务的伪装、目录系统伪装和信息伪装技术等，实现蜜罐系统的伪装诱捕，作为一个包含漏洞的蜜罐系统，并不是提供真正有价值的服务，所以所有对蜜罐的尝试访问都是十分可疑的。防御方可以通过蜜罐伪装诱捕攻击者，从而保护服务器。伪装诱捕必须通过是分层捕获数据,不能只靠一个层面来获取信息,从多个层面来收集信息，不会让黑客发觉他的所有行为都被记录了，同时实现本地存储信息数据的安全，不易被黑客发现。

2.2 统计和分析技术

通过对诱捕的数据进行统计和分析，对一些早期警告与预报内容进行测试分析，建立预警模型，实现对系统攻击的前期预警，为蜜网防护系统搜集更多有价值的数据，同时使用统计学分析能够精确地判断出短时期内对蜜网防护系统可能发生的攻击情况[3]。

图1 蜜网防护系统结构图

3 蜜网防护系统的部署

蜜网防护系统通过Honeypot节点行为感知内网攻击事件、情报协同增强失陷主机监测，获取到内网攻击、网络控制等威胁事件、样本文件、通信数据包，并且上报态势平台。态势平台作为调度中心调度沙箱分析平台对采集到的样本文件进行深度分析，通过行为日志与通信数据包进行关联分析，并从中提取威胁情报。提取到威胁情报后，蜜罐安全管理控制中心将威胁情报下发各个采集监控节点，从而组成一个情报生产、情报协同的动态网络监测的蜜网防护系统[4]。

4 蜜网防护系统的实现

图2 蜜网防护系统效果展示图

蜜网防护系统通过安全事件的“敌我战”三情视角打造攻击者视图、受攻击者视图、事件视图和威胁视图的安全事件多维视图分析模式。攻击者视图以“敌情”信息为基础，关联威胁情报和威胁事件信息，暴光攻击者的详细信息，揭露攻击者对内网环境攻击造成的影响。受攻击者视图关联基于“我情”的内网资产数据，通过分析威胁行为，评估受害资产的状态，展现内网资产安全的态势。事件视图和威胁视图主要关注“战情”信息，包括攻击的行为、手法、类型、阶段和资产状态等相关信息，同时分析揭示攻击的组织、家族、利用的漏洞、连接的C&C等相关信息。深度分析安全事件，全方位呈现安全事件发生的全生命周期过程。该系统以2D平面地图、3D立体地图以及资产拓扑图的方式提供宏观态势、微观态势以及综合态势的可视化展示。支持对事件本身、内网资产、威胁情报等相关数据的多维度、多层次统计展现。该系统根据数据对象类型提供统一接入接口，支持接入流量监控、行为捕获、文件捕获等多种数据采集节点和检测引擎。平台提供全面安全的受控设备管控措施，实时监控受控设备的健康状态，及时处理不健康的受控设备。采用指令下发策略，支持对受控设备进行业务暂停、服务重启、删除连接等操作，实现平台对受控节点的全面安全管理控制。

该系统实现了对高低交互式蜜罐的远程监控、远程配置、管理、警报查询显示等功能,模拟了Unix、Windows等操作系统及FTP、Telnet等网络基本服务,可与入侵检测系统、防火墙联动,实现对入侵行为的诱捕和监控记录。[5]该系统同时提供用户自定义的报表统计功能，通过以安全事件为中心，关联资产信息、攻击者信息和威胁情报信息，打造包含事件、攻击者、攻击行为、攻击类型、攻击武器、武器平台、组织、地域、受攻击者、资产状态以及漏洞、家族等一体的综合统计报表。支持对统计的内容模块进行定制，同时支持对统计报表进行导出，支持导出为PDF和Excel格式。

5 结束语

蜜网防护系统是主动防御型网络安全系统,在入侵检测系统、防火墙等安全措施的配合下,可提高系统安全防护等级，对已知和未知的新型攻击手段都能有效防护和主动预防。蜜网防护系统能将黑客的攻击行为引诱至一个可监控的范围,消耗其资源,了解其使用的网络攻击方法和技术,监控记录其犯罪行为,市场应用推广前景巨大。