虛擬蜜網(wǎng)在保密取證中的應用研究

張 羽，吳 瑞

(1．國家信息中心，中國 北京 100045;2．北京郵電大學，中國 北京 100876)

虛擬蜜網(wǎng)在保密取證中的應用研究

張 羽1，吳 瑞2

(1．國家信息中心，中國 北京 100045;2．北京郵電大學，中國 北京 100876)

針對保密法對網(wǎng)絡保密檢查與取證工作提出的新要求，提出虛擬蜜網(wǎng)取證的概念，通過研究蜜網(wǎng)取證的基礎網(wǎng)絡架構及關鍵技術手段，形成可指導實踐的虛擬蜜網(wǎng)取證技術解決方案，為保密檢查與取證工作提供技術支撐。

虛擬蜜網(wǎng);保密檢查;Honeywall

保密法的修訂對傳統(tǒng)保密檢查與取證工作提出了新的要求，網(wǎng)絡漏洞檢查與取證作為保密檢查工作的重要組成部分，也需要不斷改進技術手段來應對當前國內外復雜的信息安全形勢。傳統(tǒng)網(wǎng)絡漏洞掃描只是對指定網(wǎng)段內的主機進行安全評估，通過讀取各種日志文件進行綜合評判，不僅風險分析不夠全面，也難以固定完整有效的證據(jù)信息。

針對以上安全需求，本文結合蜜罐、蜜網(wǎng)以及虛擬化等相關領域知識，提出了虛擬蜜網(wǎng)取證的概念。虛擬蜜網(wǎng)取證是對上述技術手段的綜合運用，結合計算機取證的基本要求，以動態(tài)取證模式為參考，重點分析數(shù)據(jù)控制、數(shù)據(jù)捕獲以及證據(jù)識別分析、固化保存等環(huán)節(jié)面臨的關鍵技術問題，最終形成可指導實踐的虛擬蜜網(wǎng)取證技術解決方案。

一、虛擬蜜網(wǎng)概述

(一)蜜罐、蜜網(wǎng)理論

蜜罐(Honeypot)、蜜網(wǎng)(Honeynet)本質上都是一種網(wǎng)絡安全工具，但不同于一般的防火墻、IDS等被動式檢測工具，蜜罐、蜜網(wǎng)更強調對未知攻擊的主動防御。蜜罐、蜜網(wǎng)核心價值在于對網(wǎng)絡惡意行為進行監(jiān)視、檢測和分析，收集并固定行為特征信息，為網(wǎng)絡空間提供一種預期性保護［1］。

蜜罐技術核心是一種對攻擊者進行欺騙的技術。通過部署監(jiān)測主機、開啟網(wǎng)絡服務并放置誘餌信息，誘使攻擊者對蜜罐實施攻擊。一方面可以減少攻擊者對實際業(yè)務系統(tǒng)造成的安全威脅，另一方面通過對攻擊行為的監(jiān)控和分析，捕獲攻擊行為特征信息，可以深入了解攻擊手段、方法以及攻擊目標，從而為后期的攻擊溯源、責任認定提供依據(jù)。

蜜網(wǎng)是一種高階的蜜罐應用方式，其原型是為基礎研究設計使用的高交互型蜜罐網(wǎng)絡。蜜網(wǎng)通過將多臺高度受控的蜜罐主機組成網(wǎng)絡，并對網(wǎng)絡空間進行監(jiān)控，可以比分析單一蜜罐主機更有效地了解攻擊者的攻擊行為。蜜網(wǎng)構建的誘捕網(wǎng)絡體系架構可以在保證網(wǎng)絡受控的情況下完成必要的隱秘取證，相比一般蜜罐具有更好的使用價值。

蜜網(wǎng)的研究發(fā)展經(jīng)歷過三個階段:第一階段為上世紀末，“蜜網(wǎng)項目組”(The Honeynet Project)首先提出了蜜網(wǎng)的概念，并搭建了第一個高交互蜜罐網(wǎng)絡，即 GenI第一代蜜網(wǎng)。本世紀初，“蜜網(wǎng)項目組”設計改進了GenII第二代蜜網(wǎng)架構，開發(fā)部署了蜜網(wǎng)控制的關鍵工具，使蜜網(wǎng)技術正式轉化為應用。近些年隨著相關技術不斷進步，蜜網(wǎng)的易用性及可部署性都得到了不斷提高，數(shù)據(jù)捕獲及分析方式趨于標準化，由此形成了 GenIII第三代蜜網(wǎng)。GenII與GenIII蜜網(wǎng)架構基本相同，只是部分關鍵技術有所區(qū)別。

目前，蜜網(wǎng)部署大多仍沿用第二代蜜網(wǎng)架構(見圖1)，以Honeywall作為整個蜜網(wǎng)的核心，使用數(shù)據(jù)旁路的方式實時監(jiān)測受控網(wǎng)絡中的所有網(wǎng)絡數(shù)據(jù)包信息以及主機狀態(tài)信息。Honeywall是一個鏈路層橋接設備，包含三個網(wǎng)絡接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，eth2作為一個隱秘通道連接到監(jiān)控網(wǎng)絡。其中，eht0與eth1均沒有自己的IP地址，只有eth2具有自己的端口IP。Honeywall遵循二層網(wǎng)絡協(xié)議工作，不會對網(wǎng)絡數(shù)據(jù)包進行 TTL(Time To Live)遞減和網(wǎng)絡路由，也不會提供本身的 MAC地址，因此可以有效消除蜜網(wǎng)“指紋”，實現(xiàn)對攻擊者的完全透明。Honeywall是蜜網(wǎng)與其他網(wǎng)絡的唯一連接點，所有流入流出蜜網(wǎng)的數(shù)據(jù)信息都必須接受Honeywall的控制和審計。正是利用這一特性，才可以實施對蜜網(wǎng)網(wǎng)絡空間的監(jiān)測取證。

圖1 GenII蜜網(wǎng)架構

蜜網(wǎng)正常運轉需要三個核心模塊支持，分別為數(shù)據(jù)控制模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)集中和分析模塊［2］。數(shù)據(jù)控制模塊是為了保證被攻陷的蜜網(wǎng)不會被惡意利用從而威脅其他信息系統(tǒng)，這要求必須在不被入侵者察覺的情況下對出入蜜網(wǎng)的數(shù)據(jù)進行限制。數(shù)據(jù)控制通常交由Honeywall來實施，具體實現(xiàn)技術包括對外連接數(shù)限制(Connection Limiting)和攻擊包抑制(Drop Disable)。

數(shù)據(jù)捕獲模塊負責秘密收集、檢測和審計所有網(wǎng)絡空間數(shù)據(jù)，尋找潛在的威脅數(shù)據(jù)信息。數(shù)據(jù)捕獲模塊的實現(xiàn)有多種解決方案，從取證完整性角度考慮，應全面收集網(wǎng)絡、主機空間內的各種數(shù)據(jù)信息，并進行關聯(lián)分析，以確定攻擊行為特征。網(wǎng)絡數(shù)據(jù)收集可綜合部署在Honeywall當中，但需要分層建設，使用多種技術手段收集鏈路層、網(wǎng)絡層等常見通訊協(xié)議數(shù)據(jù)信息。主機空間數(shù)據(jù)收集通常使用客戶端駐留的方式，對前端系統(tǒng)中的內存狀態(tài)、端口服務以及磁盤數(shù)據(jù)信息進行實時監(jiān)控。從隱秘性角度考慮，數(shù)據(jù)捕獲模塊應盡可能減少對系統(tǒng)、服務或軟件的修改，避免留下蜜網(wǎng)“指紋”特征。

數(shù)據(jù)集中和分析模塊主要適用于分布式蜜網(wǎng)架構，解決多源監(jiān)控數(shù)據(jù)的匯總和同步問題，以取證為目的的蜜網(wǎng)架構中可暫不考慮，在此不展開闡述。

(二)虛擬化蜜網(wǎng)

隨著蜜網(wǎng)技術不斷推廣應用，其部署困難、維護成本高的缺點暴露無疑，嚴重影響其使用價值。而虛擬化(Virtualization)技術的飛速進步給了蜜網(wǎng)一個新的發(fā)展契機。虛擬化的本質是通過特定技術手段將下層資源透明的映射至上層虛擬機，以實現(xiàn)應用的平臺無關性以及物理資源的多重復用。現(xiàn)有計算機系統(tǒng)體系架構下虛擬化的運用非常廣泛，本文只是借助虛擬化技術在單個硬件系統(tǒng)上部署運行多個彼此獨立的蜜罐系統(tǒng)，并進行系統(tǒng)資源的調配和監(jiān)控。

虛擬蜜網(wǎng)使用VMM(Virtual Machine Monitor)進行虛擬平臺管理，為每一個蜜罐提供獨立可用的VM(Virtual Machine)系統(tǒng)環(huán)境，在保證系統(tǒng)復雜度的同時可以降低失效蜜罐對整個蜜網(wǎng)產(chǎn)生的威脅。這種管理架構通過VMM協(xié)助實施蜜網(wǎng)的數(shù)據(jù)控制和數(shù)據(jù)捕獲，大幅降低了蜜網(wǎng)的部署和管理難度，有效解決了經(jīng)典蜜網(wǎng)架構中的諸多問題，使蜜網(wǎng)應用得到迅速普及。

虛擬化技術的引入也會帶來一些新的問題。受限于現(xiàn)有x86體系結構中的硬件特征，全虛擬化(Full Virtualization)的實現(xiàn)非常復雜，難以消除所有的“指紋”信息，有可能導致蜜網(wǎng)系統(tǒng)的暴露［4］。此外，虛擬化軟件的引入帶來了新的系統(tǒng)風險，軟件實現(xiàn)中的未知漏洞有可能被惡意利用進而導致整個蜜網(wǎng)系統(tǒng)失效。但是，隨著虛擬化技術的不斷進步，上述問題并不會影響虛擬蜜網(wǎng)應用的成熟發(fā)展。

二、虛擬蜜網(wǎng)取證的應用部署

(一)虛擬蜜網(wǎng)取證應用分析

傳統(tǒng)保密檢查與取證活動多是一種事后取證，具有周期性和階段性特點，屬于標準的靜態(tài)取證。本文提出的虛擬蜜網(wǎng)取證則參考動態(tài)取證模式，通過對蜜網(wǎng)空間的實時監(jiān)控分析，將威脅行為證據(jù)信息進行固化保存，從而保證證據(jù)信息的原始性和完整性。

虛擬蜜網(wǎng)取證過程中，虛擬蜜網(wǎng)本身只是一種前端信息采集工具，負責收集、匯總蜜網(wǎng)空間中所有的網(wǎng)絡以及主機狀態(tài)、數(shù)據(jù)信息，并將這些信息通過隱秘通道發(fā)送至Honeywall進行統(tǒng)一的數(shù)據(jù)管理。取證功能模塊在Honeywall數(shù)據(jù)基礎上進行數(shù)據(jù)清洗和關聯(lián)分析，依照相應的取證策略對關鍵行為特征信息進行固化保全，經(jīng)簽名后存儲至標準證據(jù)庫。

虛擬蜜網(wǎng)取證要優(yōu)先考慮證據(jù)信息的證明力和證據(jù)能力，也就是證據(jù)的價值和可用性。虛擬蜜網(wǎng)提供的數(shù)據(jù)控制機制和數(shù)據(jù)捕獲機制很好地保證了捕獲信息的原始性和完整性，確保了證據(jù)能力有效。同時，虛擬蜜網(wǎng)作為一種信息安全工具，可以將大量網(wǎng)絡行為數(shù)據(jù)信息進行匯總，通過關聯(lián)分析進而得到完整的威脅行為特征信息，具有很強的證明力。

實施虛擬蜜網(wǎng)取證應當以知識庫為核心，在知識庫基礎上區(qū)分證據(jù)發(fā)現(xiàn)層、證據(jù)保全層、證據(jù)分析層以及證據(jù)呈現(xiàn)層，并根據(jù)每層技術特點分別建設。知識庫主要包含系統(tǒng)的基本配置數(shù)據(jù)信息、取證策略以及標準證據(jù)格式。證據(jù)發(fā)現(xiàn)層用于發(fā)現(xiàn)和提取網(wǎng)絡及終端的原始證據(jù)信息，系統(tǒng)建設中，這部分工作主要交由Honeywall來實施，同時也需要取證策略知識庫的支持。證據(jù)保全層主要是解決證據(jù)的完整性驗證問題，即通過數(shù)字簽名的形式來確保捕獲信息的真實性和完整性，使留存的證據(jù)信息具備基礎的法律效力。證據(jù)保全層需根據(jù)標準證據(jù)格式建立標準證據(jù)庫，一般應單獨部署在取證服務器中。證據(jù)分析層主要是為重構行為過程，定位出真實的行為主體。在復雜的網(wǎng)絡事件中，行為過程往往會經(jīng)過多個中間節(jié)點的跳轉，因此，證據(jù)分析層需要將來源于主機和網(wǎng)絡的兩部分證據(jù)以一定邏輯條件進行關聯(lián)分析，進而還原行為過程，形成完整證據(jù)鏈。證據(jù)分析層應作為單獨的取證功能模塊獨立部署。證據(jù)呈現(xiàn)層在證據(jù)分析層基礎上將分析結論以直觀方式進行展示，并結合系統(tǒng)基本信息提供決策支持服務。

虛擬蜜網(wǎng)取證具有實時高效的特點，可以在威脅行為發(fā)生同時對關鍵行為特征信息進行固化保存，確保捕獲證據(jù)信息的真實性。同時，虛擬蜜網(wǎng)取證捕獲證據(jù)信息十分完整，可通過關聯(lián)分析重現(xiàn)整個行為過程。相比傳統(tǒng)保密檢查與取證手段，虛擬蜜網(wǎng)取證可以將離散的行為信息進行主動串聯(lián)，形成一條完整的證據(jù)鏈，為攻擊溯源、責任認定提供明確依據(jù)。

(二)部署實施方案

根據(jù)以上分析結論，本文構建了一個面向應用的虛擬蜜網(wǎng)取證部署實施方案，對實施環(huán)節(jié)中所應滿足的技術要求提出了相應的解決辦法，具體內容如下:

在系統(tǒng)架構層面，為滿足計算機取證的基本要求，需要對相關數(shù)據(jù)信息進行全面捕獲和分析，因此采用研究型蜜罐網(wǎng)絡，以信息獲取作為首要目標［3］。同時，為保證捕獲證據(jù)信息的原始性和真實性，需要將虛擬蜜網(wǎng)部署在實際業(yè)務網(wǎng)絡當中，從而在關鍵的網(wǎng)絡節(jié)點截獲可能的違規(guī)泄密信息。此外，從易用性角度出發(fā)，在實際部署中建議采用混雜型虛擬蜜網(wǎng)(Hybrid Virtual Honeynet)結構，將蜜罐系統(tǒng)同網(wǎng)關系統(tǒng)進行隔離，以提高蜜網(wǎng)系統(tǒng)靈活性，消除單點故障。綜合以上需求，構建虛擬蜜網(wǎng)取證網(wǎng)絡結構圖如下:

圖2 虛擬蜜網(wǎng)取證網(wǎng)絡結構圖

如圖2所示，本方案將虛擬蜜網(wǎng)取證系統(tǒng)接入外網(wǎng)邊界的路由器，并通過防火墻、交換機以及IDS等防護設備與業(yè)務內網(wǎng)進行隔離，在保證內網(wǎng)安全的同時也為外網(wǎng)入侵者提供了虛假目標，為隱秘取證創(chuàng)造了前提。虛擬蜜網(wǎng)構建使用混雜型虛擬蜜網(wǎng)結構，將Honeywall獨立為一臺監(jiān)控取證服務器，承擔所有的證據(jù)識別分析與固化保存任務。所有的蜜罐系統(tǒng)均以虛擬機的形式部署在宿主機操作系統(tǒng)中，由VMM進行統(tǒng)一管理。蜜罐使用獨立的VM，采用Bridge方式組成虛擬網(wǎng)絡。通過vmnet0組建的虛擬蜜網(wǎng)，每一個虛擬蜜罐都具有對外可見的獨立IP，可進行所有的網(wǎng)絡交互行為，保證了虛擬蜜網(wǎng)取證數(shù)據(jù)的真實性。

技術實現(xiàn)方面，虛擬平臺的搭建可借助虛擬機軟件，一方面簡化VM的配置管理工作，另一方面也易于組建虛擬網(wǎng)絡，常見的虛擬機軟件有VMware等。Honeywall的部署可使用蜜網(wǎng)項目組提供的Honeynet Roo，Roo提供了完善的數(shù)據(jù)控制和數(shù)據(jù)捕獲功能模塊，其中數(shù)據(jù)控制模塊用于限制入侵者對虛擬蜜網(wǎng)的濫用，從而保證取證信息的安全性。數(shù)據(jù)捕獲模塊用于證據(jù)信息的采集和匯總，通過將受控網(wǎng)絡中的各種狀態(tài)、數(shù)據(jù)信息進行匯總，并通過eth2隱秘端口發(fā)送至監(jiān)控取證服務器，可以保證取證信息的機密性和完整性。

Honeywall中的數(shù)據(jù)控制模塊通常采用對外連接數(shù)限制和攻擊包抑制等技術手段，對外連接數(shù)限制主要針對網(wǎng)絡探測(Probe)和拒絕服務攻擊(DoS)，攻擊包抑制則針對使用少量連接即能奏效的已知攻擊(如權限提升攻擊等)。數(shù)據(jù)捕獲模塊需區(qū)分網(wǎng)絡與主機數(shù)據(jù)進行分別抓取，網(wǎng)絡數(shù)據(jù)采集可通過防火墻、sniffer等工具進行分層捕獲，主機數(shù)據(jù)采集可使用Roo提供的Sebek客戶端進行實時捕獲。

上述網(wǎng)絡架構中，監(jiān)控取證服務器是整個系統(tǒng)的核心。一方面是由于其承擔了虛擬蜜網(wǎng)中的Honeywall功能，另一方面其負責對所有蜜網(wǎng)數(shù)據(jù)信息的實時監(jiān)控和分析，并依據(jù)取證策略庫的指導對威脅行為進行固化保存，形成標準證據(jù)庫。

取證策略庫源于對標準行為的規(guī)則化描述，從保密檢查角度出發(fā)，主要是參照保密法、行業(yè)法規(guī)以及內部保密制度，制訂網(wǎng)絡行為的白名單和黑名單，確定涉密關鍵詞，進而對網(wǎng)絡中的數(shù)據(jù)行為信息進行識別匹配，確定威脅特征［5］。標準證據(jù)庫是將取證策略庫中匹配的關鍵行為特征信息進行固化保全，經(jīng)簽名保護后以標準證據(jù)格式進行存儲。

在標準證據(jù)庫基礎上，可進行深入的數(shù)據(jù)挖掘和關聯(lián)分析，進而完整重現(xiàn)整個威脅行為過程，形成完整證據(jù)鏈。同時，根據(jù)用戶需求，可自定義證據(jù)呈現(xiàn)方式，為責任認定和整體決策提供支持。

本文通過對蜜罐、蜜網(wǎng)以及虛擬化技術的概述性分析，提出了虛擬蜜網(wǎng)取證的概念。虛擬蜜網(wǎng)取證以上述技術手段為基礎，結合計算機取證的相關要求，構建了可部署實施的虛擬蜜網(wǎng)基礎網(wǎng)絡架構，重點分析了數(shù)據(jù)控制、數(shù)據(jù)捕獲以及監(jiān)控取證環(huán)節(jié)的技術實現(xiàn)，為證據(jù)信息的識別分析與固化保存提供支撐。虛擬蜜網(wǎng)取證主要適用于保密檢查中的網(wǎng)絡漏洞檢測，不僅可以有效防止因網(wǎng)絡漏洞引起的信息泄密，也為后續(xù)的責任認定以及整改維護提供明確依據(jù)。虛擬蜜網(wǎng)取證是一項系統(tǒng)工程，本文僅探討了實施蜜網(wǎng)取證所必需的關鍵技術手段，對應的證據(jù)法理分析有待進一步補充研究。

［1］(美)Lance Spitzner．Honeypot:追蹤黑客［M］．北京:清華大學出版社，2004:76．

［2］曹愛娟，劉寶旭等．網(wǎng)絡陷阱與誘捕防御技術綜述［J］．計算機工程，2004，(9):1 ～3．

［3］李冬冬，馮雁．一種研究型虛擬蜜罐網(wǎng)絡的設計與實現(xiàn)［J］．通信技術，2007，(12):288 ～293．

［4］Derek Bem，Ewa Huebner．Computer Forensic Analysis in a Virtual Environment［J］．International Journal of Digital Evidence，2007，Volume 6:Issue 2．

［5］胡曉荷．計算機取證:保密檢查的重要手段［J］．信息安全與通信保密，2010，(8):18 ～19．

Research on Virtual Honeynet Application in Security Forensic

ZHANG Yu1，WU Rui2

(1．State Information Center，Beijing China 100045;2．Beijing University of Posts and Telecommunications，Beijing China 100876)

In order to adapt to the new situation aroused by the PRC Guarding State Secrets Law，we have proposed the virtual honeynet forensic concept．Through the study on network architecture and key technology in honeynet forensic，we created a settlement program to indicate the virtual honeynet forensic practice，which will give practical technology support on the secret inspection and forensic．

Virtual Honeynet;Security Inspection;Honeywall

DF713

A

1008－2433(2012)01－0092－03

2011－10－15

張 羽(1983— )，男，河南許昌人，國家信息中心網(wǎng)絡安全部工程師，物證技術學博士;吳 瑞(1975— )，男，安徽合肥人，北京郵電大學博士后研究人員。