依托蜜罐技術構建校園網主動式防御系統的實現路徑

摘 要 在數字化校園建設步伐不斷加快的今天，校園網絡用戶規模也在持續增加，網絡安全已經成為校園網絡運行的核心要素。隨著網絡運行復雜性的增加，校園網絡安全受到嚴重威脅，傳統防火墻技術只能被動進行風險防范，而采取先進的蜜罐技術則能夠實現校園網絡安全的主動防范格局。本文首先分析了蜜罐技術的特點和應用優勢，對其部署位置及數量進行分析，并結合校園網絡蜜罐技術的應用實踐進一步分析其主動防御功能的實現路徑。

【關鍵詞】校園網安全 蜜罐技術 入侵檢測系統

在網絡技術不斷升級的背景下，校園網絡中信息設備應用數量持續增加，而校園網絡被干擾和入侵的風險也在同步增加。當前校園網絡中的主要安全保障措施有防火墻技術、防病毒軟件、入侵檢測、數據加密等，這些防范措施較為被動，只有在網絡受到威脅之后才能采取防范措施，處理相對滯后。而蜜罐技術的應用則側重于提前部署防范措施，屬于主動式風險防御系統，通過對網絡攻擊手段、攻擊工具等因素進行分析，從而制定主動防范網絡威脅的有效措施，構建校園網絡的實時風險監控體系，提高風險防范的主動性和有效性。

1 蜜罐技術特點及應用優勢

1.1 蜜罐技術特點

蜜罐技術是一種新型網絡安全防御模式，和以往網絡安全部署有著很大不同。蜜罐技術通過欺騙、誘導等技術手段，能夠“請君入甕”，誘導攻擊者實施攻擊行為，并從其行為過程中捕獲相關數據，從而使網絡管理者對攻擊者的具體信息進行了解，破解其攻擊路徑，找出被攻擊系統中存在的漏洞。應用蜜罐技術能夠形成軟件與硬件相結合共同作用的防范技術體系，不會參與網絡應用中的實際業務，而且也不會接觸正常網絡業務內容。正是因為蜜罐不具備真正的網絡服務價值，一旦出現蜜罐攻擊行為就會引起管理管理員的重視，以此蜜罐內部數據流通都會被進行全盤監測和掃描，并針對其行為進行具體分析。從這一特點來看，蜜罐具有誘餌性，能夠反向記錄攻擊者的攻擊行為和相關數據，并及時反饋到系統安全管理中心，以便于管理人員及時采取行動，進行主動防御。

1.2 蜜罐技術的應用優勢

蜜罐技術主要具備四大優勢：

1.2.1 前瞻性

與傳統網絡安全管理中被動的風險防范體系不同，蜜罐具有主動捕獲網絡攻擊的能力，同時還能同步記錄攻擊信息，使管理者掌握其攻擊工具，并以此制定更有針對性的防范措施。這一風險防范模式具有前瞻性，能夠在對抗網絡攻擊中占據主動。

1.2.2 準確性

一旦攻擊者對校園服務器實施掃描，就會被引入蜜罐系統中，所以在蜜罐系統中，所有數據均來自攻擊者，正常網絡訪問不會被蜜罐所捕捉，因此其準確率較之一般防御系統更高。

1.2.3 適用性

蜜罐系統會主動引誘攻擊者采取行動，并對其攻擊行為進行詳細記錄，尤其對反向偵查技術更為適用。因此，能夠針對不同形式的攻擊保持完整的數據記錄，其數據更具適應性。

1.2.4 簡單性

蜜罐系統部署較為簡單，設立獨立區域對攻擊者進行誘導，從而獲得其攻擊數據。無論是虛擬蜜罐和真實蜜罐，其配置和部署都具有較高的便捷性和可行性，而且無需繁瑣的技術維護，能夠有效節約人力物力。

2 校園網絡蜜罐部署方案

2.1 蜜罐類型

以蜜罐部署與攻擊者交互程度進行分析，可以將蜜罐劃分三種類型，即低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐不具備系統功能，以端口監聽完成虛擬服務，在信息捕獲方面數量較少，維護較為簡單，其局限性在于無法獲得較為復雜的協議傳輸數據，其風險程度較低。中交互蜜罐不具備系統功能，在信息捕獲方面數量較多，配置維護較為復雜，其局限性在于可能受到網絡破壞和攻擊，其風險程度居中。高交互蜜罐具有操作系統，攻擊者與操作系統及真實的服務進行交互，能夠捕獲更多的系統信息，配置維護相對復雜，其局限性在于系統被攻陷后，會成為攻擊者攻擊正常系統的跳板，風險程度較高。

由此可見，攻擊者與蜜罐之間的交互作用越強，其信息捕獲數量也就越多，同時風險程度也會有所提升。蜜罐具有真實的網絡部署環境，因此構架較為復雜，所面臨的風險也會增加。不同防御程度的蜜罐其防御價值各有不同，在應用實踐中則需要根據網絡安全需求進行蜜罐部署，判斷其交互程度，制定更安全高效的蜜罐防范體系。

2.2 蜜罐的布署位置

蜜罐位置需要結合校園網絡規模、安全需要等確定部署決策。蜜罐與服務器鏈接，一旦發現高危入侵行為，系統能夠在第一時間做出相應，并主動鎖定攻擊，針對攻擊數據針對其入侵工具和動機進行分析，從而制定更有效的安全防范措施。同時蜜罐還能對攻擊者行為進行監測記錄，保留攻擊證據。

2.3 蜜罐的部署數量

蜜罐系統的最終防范成效與其布置數量、服務器臺數等有直接關系，兩者需要確定科學的配置比例，這一比例值也叫作“防御期望值”。蜜罐部署數量越高，其期望值就越大，而且在蜜罐數量不斷增加的環境下，其期望值增速會呈現遞減趨勢。

2.4 基于蜜罐技術的校園網拓撲結構

基于校園網絡原有安全防御體系，將蜜罐技術融合與服務器日志、防火墻、入侵檢測等過程中，能夠構建起校園安全的主動防御體系，并形成更為完善的蜜罐技術安全方案。蜜罐系統需要具備對攻擊信息的及時影響能力，能夠主動引誘攻擊者開展攻擊并捕獲其活動數據，在更短時間內制定出防范對策。蜜罐系統內的各個主機為虛擬機，各自具有獨立的操作系統，能夠很好的隱藏在校園網絡內，起到保護網絡系統安全的作用。蜜罐主機利用Sebek軟件對攻擊者的行為進行記錄，并將數據傳遞與日志服務器。IDS系統能夠針對蜜網數據包實施檢測，并對其數據進行分析。日志服務器會記錄防火墻數據、入侵日志數據以及蜜罐數據，并通過防火墻對校園網絡的外部攻擊進行防范。

2.5 蜜罐系統的工作原理endprint

蜜罐與校園網其它服務器建立起橋接關系，通過數據鏈路進行銜接。蜜罐主機無需配備IP地址，不會造成TTL消耗，因此其隱蔽性更好。校園網絡網關會將應用服務器與蜜罐進行隔離，如果有攻擊行為出現，蜜罐會對其進行實施攔截，從而保護服務器不受干擾。一般情況下，如果是正常數據訪問，則數據會同時進入校園網絡和蜜網內，此類數據具有安全性，不會對校園網絡造成破壞。而黑客發起攻擊時，蜜罐會形成誘導作用，蜜罐中會顯示異常數據，這些數據被捕獲并進行分析，管理員能力找出數據規律，并將其提取指入侵檢測庫內進行檢測。一旦同規則入侵二次出現，入侵檢測就會主動封鎖數據入口，實現主動防御。

3 校園網絡蜜罐技術的實施路徑

3.1 蜜罐部署

蜜罐部署將與虛擬主機、控制機進行連接，在虛擬主機上分別部署Windows和Linux蜜罐。同時利用物理計算機設置Windows蜜罐。

3.2 數據控制

數據控制以系統內流經數據為主。實施數據控制的首要條件在于發揮蜜罐的誘導作用，能夠使攻擊者在沒有防備的情況下進入蜜罐。這就需要開放蜜罐數據限制，但是為了保證攻擊者不會對校園正常網絡進行攻擊，強化蜜罐安全性能，管理者需要對虛擬蜜罐設計數據流動檢測，尤其的外出鏈接、數據流量等要做到實時監測。同時，還需要進一步增強對虛擬蜜罐中數據的處理能力，以避免數據包在黑客攻擊下廣泛傳播。

蜜罐部署作用的發揮，首先需要把流經地址內的所有數據傳輸至蜜罐主機內，在蜜網中蜜罐設置較為隱秘，因此入侵者無法判斷實施攻擊的系統哪個是校園網絡系統、哪個是蜜罐陷阱。在防火墻作用下，所有數據訪問必須經由校園路由器，都需要經過eth0，并將數據傳輸至蜜罐主機中。因此，校園網絡信息過濾系統（Iptables）模塊需要進行相應配置，從而保證實現良好的數據導向作用。還可以在虛擬蜜罐部署中對蜜罐流量進行嚴格檢測，以分鐘為單位對ICMP協議、TCP協議、UDP協議進行檢測，控制其每分鐘數據包保持20個左右。檢測防火墻是否將蜜罐數據發送至入侵檢測系統，同時還需要將攻擊數據格式轉化為Replace。

3.3 數據捕獲

蜜罐技術作為顯著的功能在于捕獲相關入侵數據。如果不具備數據捕獲功能，那么蜜網將難以發揮其實質性作用。蜜罐數據捕獲主要有三個途徑：

（1）通過蜜網日志提取；

（2）通過入侵檢測系統數據獲得；

（3）Sebek工具獲得相關數據。

在蜜網數據進行收集整理，經過專業處理后能夠將其保留在校園網絡安全數據庫，作為后續安全管理、網絡風險防范的數據參考。以下將詳細分析數據捕獲路徑：

3.3.1 蜜網日志

蜜網日志中囊括了多個蜜罐部署，并且通過rc·honeywall腳本得以實現。蜜網日志能夠對各蜜罐中的動態數據進行系統捕獲，此外，還能針對數據進入、外流情況做出實時記錄，在這一模式下，網絡管理者能夠從多個層面對異常數據進行分析，并能夠尋找其活動規律。

3.3.2 入侵檢測數據

入侵檢測系統不但能夠對校園內網不同接口的數據進行檢測，同時還能獲得網絡中的流通數據，而且對于CDP數據的流通也能進行及時捕獲。此外，該系統還能夠以記錄器方式對數據包進行存儲，根據數據1P對其進行集中分類，并將其存儲于log-directors內。同時，入侵檢測還能實現本地網絡的-h定制，記錄本地網相關數據，以便在部署蜜罐過程中設置相應腳本，其后啟動入侵檢測，最后實現網址編輯、修訂，形成完成的日志記錄。

3.3.3 Sebek系統數據捕獲

Sebek能夠實現對加密數據的捕獲，該系統有客戶端與服務器兩部分構成，其中在虛擬蜜罐中裝置有客戶端，如果蜜罐受到黑客攻擊，Sebek就能夠對攻擊行為進行實時捕獲，并將其傳輸到校園網絡中，通過網關進行收集記錄。

3.4 數據分析

蜜網所捕獲到的異常數據需要進行及時分析處理，必須保證其時效性才有價值。通過蜜罐部署實現校園網絡異常數據分析，進而實現自動報警作用。通過Swatch工具不但能夠對IP列表進行透視，同時還具備入侵文件檢測透視功能。在系統受到黑客攻擊之后能夠自動啟動報警功能。如果蜜罐裝置在受到外部攻擊后提示外部風險防范信息，則Swatch工具能夠及時向系統管理員發送信息，從而引導管理員提起關注。

3.5 蜜罐滲透攻擊

Metasploit工具具有良好的系統風險監測性能，在linux配置中版本過舊，其信息服務系統（samba）很難檢測來自系統邊緣區域，因此黑客會將這一區域鎖定為操控去，對其進行遠程控制。在校園網絡中主要系統檢測工具為Metasploit，通過漏洞攻擊、數據痕跡等進行檢測，主要步驟如下：首先需要將在宿主主機內配置Metasploit工具；其次，針對Metasploit方案對攻擊數據進行測試，操作流程為：打開主機防火墻裝置，實現和4444端口的有效連接；接下來在蜜罐網絡中啟動samba服國內，保證MSFConsole狀態穩定，輸入攻擊命令后，能夠得到反向shell。最后針對攻擊數據進行分析，根據蜜罐數據做系統分析，等待攻擊漏洞完成后，通過檢測工具（Walleye）對蜜罐數據進行梳理，并將分析結果反饋與系統安全管理體系內。

4 結語

實踐證明，在校園網絡安全管理中部署蜜罐網絡具有極高的可行性。蜜罐能夠形成攻擊陷阱，引誘攻擊者主動進入蜜罐，從而獲得其攻擊數據并找出攻擊規律。通過系統日志數據分析，能夠對攻擊者的實施方法、攻擊意圖有所了解。將蜜罐與日志服務器、入侵檢測以及校園防火墻等系統進行連接，能夠構建起校園網絡主動式安全防御體系。總之，采取蜜罐技術具有前瞻性、安全性、準確性、便捷性等特點，而且部署簡單、維護方便，通過主動防御增強校園網絡安全系數。

參考文獻

[1]茅一磊.蜜罐技術及其新應用[J].電信網技術，2017（06）.

[2]石樂義，姜藍藍，劉昕，賈春福.擬態式蜜罐誘騙特性的博弈理論分析[J].電子與信息學報，2014（05）.

[3]石樂義，姜藍藍，賈春福，王曉蕊.蜜罐誘騙防御機理的博弈理論分析[J].電子與信息學報，2015（06）.

[4]程曉偉，楊百龍.基于蜜罐特征的蜜罐識別技術[J].現代電子技術，2015（15）.

[5]李莉，孫華，張振宇.蜜罐技術在校園網絡安全中的應用研究[J].新疆大學學報（自然科學版），2014（04）.

作者簡介

江峰（1984-），男，江西省萍鄉市人。大學本科學歷。現萍鄉學院教師、助教。研究方向為計算機網絡。

作者單位

萍鄉學院 江西省萍鄉市 337000endprint