蜜罐技術在企業網絡安全中的應用研究

摘 要：針對當前網絡技術的快速發展和安全問題的日益突出，在主動防御系統流行的當下，本文介紹了網絡安全中的蜜罐技術，結合企業網絡安全體系結構的特點，給出蜜罐系統在企業網絡安全中配置和部署，闡述了蜜罐系統關鍵技術的實現和應用。

關鍵詞：蜜罐技術；企業網絡安全；部署；重定向；日志

1 引言

隨著網絡技術的飛速發展，計算機網絡的規模在不斷擴大，各行各業都得益于網絡應用，但同時也面臨著日益嚴重的網絡安全問題。現代網絡安全的威脅主要有病毒、蠕蟲以及特洛伊木馬等等，除此之外，我們還可能遭受到不同類型的網絡攻擊，蜜罐技術引入了主動防御的思想，利用各種監控和分析技術檢測和研究黑客們正在或有可能使用的攻擊方法，幫助人們了解黑客攻擊的過程、技術和思想，并能及時發現已知或未知的系統漏洞及網絡安全隱患，進而保護企業網絡資源，它已經成為一種新的網絡安全解決方案[1]。

2 蜜罐技術

2.1 蜜罐

“蜜網項目組”的創始人Lance Spitzner對蜜罐的定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷[2]。這個定義表明所有流入、流出蜜罐的網絡流量都可能預示了掃描、攻擊和攻陷，蜜罐的核心價值就在于對這些攻擊活動進行監視、檢測和分析。蜜罐可以僅僅是一個對其他系統和應用的仿真，也可以創建一個監禁環境將攻擊者困在其中，還可以是一個標準的產品系統[3]。

2.2 蜜網

蜜網技術則是在蜜罐技術基礎上逐步發展過來的。在蜜網體系架構中，可以部署一個或多個蜜罐，同時保證網絡的高度可控性，以及提供多種工具以方便對攻擊信息的采集和分析。蜜網技術將蜜罐技術用于直接防護大型的目標網絡，即在安全操作中心部署蜜罐，在各個內部子網或關鍵主機上設置一系列的重定向器，若檢測到目前的網絡數據流或系統活動是攻擊者所發起時，則將蜜網中的某臺蜜罐動態配置成與目標機相似的環境，并通過重定向器將攻擊者流量重定向到這臺蜜罐上，并由蜜網中部署的一系列數據捕獲和數據分析工具對攻擊行為進行收集、分析和記錄[4]。

3 企業網絡安全體系結構

企業網絡面臨的主要問題及威脅可以從技術和管理兩個角度來看。系統技術層面主要包括網絡系統自身的脆弱性、操作系統的不安全性和數據庫與應用程序的脆弱性；在建設及管理層面主要問題是：主觀安全意識薄弱、安全建設缺乏整體規劃和一致性、缺乏安全管理機制和策略配置失當。往往由于管理不當和疏忽帶來的危險最大。我們要做的就是利用蜜罐技術的主動防御特點來彌補企業網絡安全的某些漏洞。

網絡安全體系架構是信息安全體系架構的一個子集，同時，網絡安全體系架構有其自身的特點。在企業網絡安全體系結構中最重要的環節包括身份認證、授權管理、證書管理和資源管理?？蛻舳丝梢允褂枚嘀卣J證，只要確保合法用戶在使用對應合法主機和已注冊的IP地址。統一認證和授權服務器管理用戶訪問權限，使用戶從Internet或從內網訪問企業網絡資源都必須先認證身份的合法性，獲得相應的讀取權限，以達到限制用戶訪問范圍或進行其他業務操作的目的；證書服務器則負責管理企業內所有用戶的證書生成和頒發，相當于權威證書頒發中心；資源管理服務器負責監控和管理服務器資源和其他網絡資源。其體系結構圖如圖1所示：

4 蜜罐技術在企業網絡安全中的應用

4.1 蜜罐的配置和部署

蜜罐的配置模型主要包括數據捕獲模塊、數據控制模塊、蜜罐群、日志模塊和響應模塊。其中，數據捕獲模塊捕獲系統的一切數據；數據控制模塊作為系統的控制中心，監控一切可疑行為，并協調各部分工作；日志模塊專門負責對系統產生的日志進行統計分析，以獲取攻擊者的動機、方法和工具等信息；響應模塊則對可疑行為進行自動的響應[6]。其關系結構如圖2所示：

企業網絡防御系統一般結合虛擬技術搭建蜜網。可以有兩類，一類是把它的各個組成部分都安裝在單一的一臺機器上。另一類是并不局限與一臺機器，而是把它的組成部分分開在多臺機器上部署。我們蜜罐的部署位置可以參照圖3所示：

蜜罐B部署在防火墻的DMZ區，隱藏于各類服務器中，當有攻擊者掃描攻擊的時候，可以檢測到攻擊。蜜罐B偽裝成各種服務器，不易被攻擊者察覺，只要有進出的流量，便可認為是攻擊。這是我們主要的部署位置。

如果要檢測內部入侵，參照蜜罐C部署在內部網絡，可以滿足需要，這也是一種常見的部署方式。

如果目標是檢測和響應突破安全防線后的攻擊行為，阻止攻擊行為的蔓延蜜罐，可參照D部署在網絡防火墻之后。

4.2 關鍵技術實現

4.2.1 重定向技術

重定向程序能夠將對服務器組的訪問按照定義的策略決定是否重定向到帶蜜站點。如我們可以通過IDS監聽網絡數據流，并根據安全策略對服務器訪問數據進行監控，識別針對服務器以及網絡的攻擊行為，主動將攻擊者引誘到已部署好的相應蜜罐。被動指紋識別技術和虛擬蜜罐技術[7]二者結合起來可以實現動態選擇蜜罐的功能。重定向可以在兩種模式下進行，一種是代理模式，另外一種是直接響應模式。兩者區別是，代理模式下從外部看不到帶蜜服務器，只能看到服務器組內主機的IP地址。直接響應該模式下，重定向程序將外部連接請求轉發到帶蜜服務器，由帶蜜服務器直接與外部建立一個連接，其顯示的IP地址是帶蜜服務器的真實IP地址。

4.2.2 日志審計分析

捕獲黑客行為信息只是完成了工作的第一步，對于這些捕獲到的黑客行為信息我們還要保證它們在網絡上的安全傳輸。我們把蜜罐主機、服務器組和日志查看審計的主機設置在不同的系統內，這種連接方式可以保證一定的安全性。即使黑客攻陷了服務器組或者蜜罐主機，它并不能夠立即破壞網絡蜜罐以前記錄的信息，因為這些信息已經被及時傳送到日志審計分析主機。日志審計分析程序能對黑客行為進行分析提取出有價值的信息。如通過審計能夠提取黑客源地址，通過分析能夠按照黑客訪問“帶蜜”文件的安全級別確定黑客的動機等等。

4.2.3 系統設置和管理

一方面管理員必須對蜜罐主機上WEB站點和FTP站點進行配置管理，使得該站點符合“蜜罐”的特殊要求。另一方面為保證蜜罐系統本身的安全，我們要更改服務默認主目錄，設定對主目錄的訪問權限等；設置IP地址過濾，既保證當確認有攻擊行為時可以記錄攻擊源地址，只允許來自這個源地址的連接訪問蜜罐主機，又避免了傷及無辜，還也避免系統搜集到過多的無用數據；設置當前連接查看對攻擊進程進行動態監控，當發現連接異常的時候，可以主動斷開該連接。通過系統管理工具的這些配置，構建一個比較合理高效的蜜罐主機。

5 結語

本文從企業網絡安全體系結構的特點和重要組成從發，介紹了蜜罐技術在企業網絡安全應用中的優勢、配置模型和部署，闡述了其核心技術的實現?？梢哉f，蜜罐技術的引入，不僅可以追蹤和記錄黑客行為，也可以欺騙黑客進入一個受控環境中，消耗黑客大量的時間和資源，間接阻止或減緩黑客對真正系統的攻擊，是一種較理想的主動防御策略。

[參考文獻]

[1]沈煜.面向蜜罐技術的企業網絡防御系統研究[J].信息安全與技術，2011.4.

[2]Lance Spitzner.The Honeynet Project：Trapping the Hackers [J].IEEE Security privacy，2003，l（2）：15～23.

[3]K.Duraiswamy，G.Palanivel.Intrusion Detection System in UDP Protocol [C].International Journal of Computer Science and Network Security.Vol.10，No.3 Mar 2010：1～5.

[4]諸葛建偉，吳智發，張芳芳，等.利用蜜網技術深入剖析互聯網安全威脅 [J].中國計算機大會（CNCC’2005），2005.10.

[5]馮度，孫星明，劉智勇.網絡安全中的蜜網技術應用研究[J].科學技術與工程，2008.8（11）：2858～2860.

[6]蔣賢維.淺析引導型蜜罐群在網絡安全中的應用[J].計算機與網絡，2011.10.

[7]楊謙，謝志強.虛擬安全[M].科學出版社，2010.8.