分布式蜜罐技術分析及系統設計研究

鄭艷君

（湖北工程學院 計算機與信息科學學院，孝感 432100 ）

0 引言

蜜罐是一種主動防御工具，在網絡安全問題的預防、檢測和響應階段都發揮著它的作用。隨著網絡中入侵攻擊越來越多，蜜罐正逐漸成為企業信息安全的新防御手段。對于一般的企業應用，企業網是一個單一的網絡，目前市場上已有不少的免費的或商業化的蜜罐工具可供使用；而對于一些在全國多個省份設立分支機構的企業，因其本身企業內部網是較復雜的分布式網絡，簡單的在各個分支結構獨立的設置多個蜜罐是無法很好的發揮其作用的。因此，本文針對這類分布式的企業內部網設計了一種分布式的蜜罐系統，針對不同系統建立不同平臺的蜜罐，并使之形成一個交互的體系，全面反饋網絡情況，更好發揮蜜罐的主動防御功能[1,2]。分布式蜜罐不同于蜜網，它強調的是區域的分布式，即地理位置的分布式，而蜜網技術則是在一個點所作的體系架構，蜜網可以作為分布式蜜罐的節點。

1 分布式蜜罐系統設計目標

通過研究蜜罐技術的基本原理，并根據分布式企業內部網的特點及所受的安全威脅，設計并實現一個分布式蜜罐系統，在使用分布式蜜罐系統時候，蜜罐的核心要求就是企業可以對于Internet及企業網內部的攻擊者的相關行為和數據進行鋪貨，保護真實目標系統，并及時產生安全預警；對于內部攻擊者，可以追蹤攻擊源，為攻擊行為審計取證；同時為網絡安全管理人員提供相應數據，使其可以及時調整安全策略，制定相應措施，為企業創建一個安全的網絡環境。

2 分布式蜜罐系統技術分析

構建分布式蜜罐系統除了運用常規蜜罐的技術：網絡誘騙、數據控制、數據捕獲和數據分析之外，還需要考慮的關鍵技術問題主要是由其分布式體系所決定的。

2.1 復雜條件下分布式蜜罐系統的部署

隨著Internet技術的發展，現在的企業網絡規模在不斷擴大，設備物理分布變得十分復雜。同時攻擊者的入侵行為也逐漸復雜化、隱蔽化，并常常通過多個主機實施大面積的分布式攻擊。在這樣的新情況下，簡單的在各個業務子網獨立的設置多個蜜罐，或為企業網部署單個的蜜網存在很大不足，具體如下：

l）捕獲到的數據難以直接反映全局的信息狀況。

2）因為蜜罐技術視野狹窄，只能看見針對自身的攻擊行為，而無法捕獲針對其他系統的攻擊行為；而復雜網絡環境下，存在多種接入方式，蜜罐很容易被繞過。

3）集中式數據處理對控制器要求很高，控制器可能成為瓶頸和單一失效點；并且系統擴展性、靈活性較差。

4）對于復雜的、有可能的協同攻擊，無法很好的檢測和響應。

因此，針對不同的企業網絡的不同規模，我們提出面向企業網的分布式蜜罐系統，作為企業主動防御的一個重要工具，并為企業制定安全策略、調整安全措施提供重要依據。

我們沒有就此滿足，在鑄管領域繼續加大科技創新力度，不斷開發特殊涂層管、壓力等級管、排污管以及特殊用途的鑄管新產品、新技術，自主開發成功高效離心機等裝備。

較大型的企業網絡通常具有多級、分布和樹形的特點。因此，我們的分布式蜜罐系統在宏觀上應該具有與實際網絡一致的體系結構，即多級分布式體系結構。

2.2 分布式蜜罐捕獲數據的匯總

蜜罐的捕獲能力來自于其數量和分布范圍，分布式的蜜罐系統在其檢測面積、捕獲信息量等方面是單點配置的蜜罐無法比擬的。然而，分布式的環境和捕獲信息量的大幅增加對捕獲信息的傳輸匯總提出了一定的要求。

對數據的匯總我們主要考慮兩個方面的問題，一是采集數據的內容，二是數據采集的方式。對此我們分別作如下說明：

1）數據采集的內容

在分布式的環境下，蜜罐數量相應較多，蜜罐數量的增加帶來上報信息數量的增加，并且上報的信息數據要通過網絡傳輸到遠程的管理中心，因此我們采集信息數據時就需要考慮網絡流量的問題。一般來說，有兩種基本的方法來采集數據，一是各分布式站點對數據進行處理，集中匯總的只是結果集；二是基于前端設備包轉發，將原始數據匯集到管理中心，這樣可以很容易實現復雜IP段的分布部署和實體的集中。因為蜜罐所捕獲的數據是高度保真的小數據集，數據量并不是特別大，因此我們采用兩種方法，結合兩者的優點，數據庫采用本地和集中管理中心兩級數據庫，根據設定的策略，數據首先在本地存儲，需要時發送到集中管理中心集中存儲。分布式控制中心能夠對數據進行一定的處理分析，本地數據庫可存放融合后的各類數據，也存放網絡原始數據包，供集中管理中心查詢。

2）數據采集的方式

分布式站點獲取的數據匯總的另一個關鍵的方面，在通過安全的方式收集前提要求下，確保信息的相關真實性、保密性和完整性在采集信息時能夠進行保存。便是要確保信息是以通過安全的方式收集的，數據采集的重點還在于所采集信息的真實性、完整性和較高保密性。我們可以通過一些加密措施(如使用IPSec隧道)來保障傳送的數據安全。

格式的標準化在發送數據時應該被采用，以實現不同的分布式站點或網絡系統采集到的數據能夠實現共享和聚合；應該明確蜜罐和蜜網的命名，對于管理與維護每個蜜網類型提供一定幫助。

2.3 大規模數據分析

分布式蜜罐造成龐大的上報數量，相應也增加了數據分析處理的壓力。首先必須形成一個具有較強的自動前段處理能力的分揀機制，對數據進行預處理，一般是按一定規則對數據進行過濾和分類。而后，利用其余相關技術，包括統計分析、可視化以及數據挖掘等方面的內容進行攻擊特征研究，進行攻擊趨勢分析。

目前，對數據分析技術的進一步研究已經取得了一定的成果，其中狩獵女神項目組開發了攻擊關聯分析工具Athena，它是在AI領域中經典規劃圖和目標規劃圖模型基礎上，提出擴展目標規劃圖模型，實現攻擊規劃識別算法規劃圖模型，實現攻擊規劃識別算法，對輸入的IDS報警信息、Argus網絡連接數據等多源數據輸出高層攻擊場景圖。蜜網項目組也提出了同一數據分析框架UDAF，支持不同格式的數據獲取，數據過濾，數據融合，數據輸出以及數據可視化分析。

2.4 迅速的自動報警

前面提到過，蜜罐像其他系統一樣，也是可以被攻破的，一旦它被攻陷，就有可能被利用作為攻擊、滲透其他系統的跳板。

值得注意，可以攻破蜜罐，當蜜罐被攻陷以后，這樣就成為攻擊其他系統的跳板。為了防止攻擊者在攻陷蜜罐主機后將其作為跳板攻擊業務網絡或第三方網絡，蜜罐系統必需具有數據控制的功能，在一個網絡環境中，網絡管理員是否及時能知道蜜罐是否被攻陷無疑是很重要的，攻擊行為也多為分布式的協同攻擊，一個地方子網中的蜜罐被攻陷，通常意味著其他子網也會受到攻擊，更需要及時迅速的報警。

在一般的蜜罐系統中常常使用的報警軟件為Swatch軟件，作為一種守護程序，它能夠自動監視目標系統的各種日志文件，包括Snort-inline還有IPTables生成的日志文件。通過Swatch預先設定好的模式匹配原則，這樣可以對于系統的運行狀態獲取進行分析。當這匹配模式形成后，就往往能夠通過郵件、系統喇叭等方面或其他定義好的程序等進行告警。此外，它還能夠像Syslogd守護程序那樣主動的掃描日志文件并對特定的日志消息采取修復行動。

在分布式蜜罐系統中，Swatch通常安裝配置在各分布站點的站點管理服務器上，與網絡安全管理員所使用的集中管理平臺不在同一個地域，因此，需要我們將單個業務子網的報警信息與集中管理平臺相聯系和整合，以使報警信息盡快到達集中控制中心，其他子網提供預警。

3 系統分布式體系結構設計

根據系統設計目標，我們所設計的面向企業網的分布式蜜罐系統采用多級分布式體系結構，系統結構如圖1所示。

圖1 系統結構示意圖

整個系統主要由三個部分組成：集中管理控制中心、各級節點控制中心和蜜罐。集中管理控制中心負責整個分布式系統的管理和數據分析，各個節點控制中心負責業務子網中各個節點的控制。

集中管理控制中心是整個分布式蜜罐系統的管理中心，負責收集和分析整個蜜罐系統捕獲的各種數據，同時集成了用戶管理、分布站點管理、數據管理、報警處理等管理功能和數據庫。

各級節點控制中心可以是一臺充當網關的主機，在同一網段內至少設置一個，也可根據情況設置多個不同級別的節點控制中心。節點控制中心對網段內的蜜罐進行配置和管理。節點控制中心可以存放它所管理的蜜罐的各種日志信息，并對各種捕獲信息進行初步分析，及時產生報警；節點控制中心和集中管理控制中心相聯系，是集中管理控制中心各種數據的來源。通常節點控制中心和蜜罐之間有網關進行隔離，所有進出蜜罐的通信都必須經過網關。

在面向企業網的分布式蜜罐系統中，我們的主要目的是了解內部網所遭受到的攻擊，檢測防御中的失誤，并采取相應的措施或及時發出預警，因此并不總是需要高交互蜜罐，而應選擇最低安全風險的蜜罐。所以各分布站點的蜜罐部署可以采用一個或多個低交互式的蜜罐。蜜罐的部署模式通常采用防護罩式，部署在防火墻之后，這樣不僅可以檢測來自外網的攻擊，收集到已經通過防火墻的有害數據，也可以探查內部攻擊者。

此外，在低交互的蜜罐選擇上，我們也要考慮到企業資源的充分利用。我們可以在一臺主機上安裝任何操作系統，作為一個真實的蜜罐主機，但是這樣在同一時刻，就只能有一個操作系統在一臺機器上運行，沒能更好的利用商業資源；并且，一旦蜜罐系統遭受攻擊，重新安裝真實蜜罐系統也會耗費一定的時間。因此，在面向企業網的分布式蜜罐系統中，我們都采用虛擬蜜罐或虛擬機蜜罐，這樣可以在盡可能小的投入下建立蜜罐系統，并且維護較方便，也可以迸一步實現蜜罐的自動化配置。

4 結束語

目前，一般企業在企業網絡中運用的絕大多數安全技術是被設計用來阻止未授權的可疑行為獲取資源，并且安全工具僅僅是作為一種被動的保護措施被布置，所以它們對網絡的保護有一定的局限。而蜜罐技術作為一種動態防御機制，是企業現有安全措施的一種非常有益的補充，它對安全管理人員及時了解企業網絡安全狀況，調整安全策略，制定相應應對措施非常有效。雖然目前已經有不少蜜罐工具，但只適用于網絡簡單的小型企業，對具有分布式網絡的大型企業來說，設計部署分布式蜜罐系統是必要的。

[1]王東來.入侵誘騙系統應用技術研究[J].制造業自動化,2010,32(12).

[2]史偉奇,程杰仁,唐湘滟.分布式陷阱網絡系統的關鍵技術研究與實現[J].計算機工程與設計,2008,29(21).

[3]肖軍弼,劉廣祎.分布式蜜罐系統的設計與實現[J].計算機工程與設計,2007,28(19).