蜜罐技術在信息安全防御中的應用與研究

◆何堅安

（中國移動通信集團廣東有限公司 廣東 510623）

1 引言

隨著5G移動通信、光纖通信等技術的快速發(fā)展，人們已經(jīng)進入到高速信息時代，可以提供數(shù)以百兆的帶寬資源，實現(xiàn)4K高清晰視頻傳輸，帶寬速度和實時性得到了極大的提升，具有重要的作用。但是，信息系統(tǒng)也面臨著海量的安全攻擊，比如病毒或木馬等，比較著名的攻擊威脅包括勒索病毒、特洛伊木馬、蠕蟲病毒、惡意代碼等，給信息系統(tǒng)運行帶來了嚴重的干擾[1]。目前，信息系統(tǒng)安全防御也采用了一些先進技術，包括防火墻、殺毒軟件和包過濾。

（1）防火墻

防火墻是一個啟發(fā)式的信息系統(tǒng)安全防御軟件，其可以根據(jù)信息系統(tǒng)安全防御需求，基于IP地址、MAC地址等設置網(wǎng)絡過濾規(guī)則，如果IP地址及MAC地址安全，此時可以通過信息系統(tǒng)所在網(wǎng)絡關口訪問服務器；如果不安全則無法通過。防火墻經(jīng)過多年的應用，可以根據(jù)部署位置和保護對象的設置不同的防火墻，包括數(shù)據(jù)庫防火墻、Web服務器防火墻等，較好地保護信息系統(tǒng)所在網(wǎng)絡不受到損壞，同時部署代價也非常低，可以進一步提高信息系統(tǒng)防御性能。

（2）殺毒軟件

殺毒軟件是一套應用程序，其可以采集信息系統(tǒng)網(wǎng)絡日志信息、設備運行狀態(tài)信息以及各類型應用信息，針對這些信息進行挖掘和分析，從而獲取信息系統(tǒng)中潛藏的病毒或木馬，然后就可以將其清除出信息系統(tǒng)。殺毒軟件經(jīng)過多年的發(fā)展，已經(jīng)誕生了很多，比如卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，這些殺毒軟件市場份額大，實時更新病毒庫和殺毒規(guī)則，可以更好地保護計算機信息系統(tǒng)不受到任何損害。但是，殺毒軟件也是一個被動式殺毒工具，無法采取積極主動的模式為用戶提供查殺方法，很容易給用戶帶來損失。

（3）包過濾。隨著信息系統(tǒng)流量的增多，防火墻和殺毒軟件的過濾性能逐漸降低，因此網(wǎng)絡安全專家經(jīng)過研究，提出了一種軟硬件結合在一起的防御技術，也即深度包過濾，其同樣采用枚舉和迭代的規(guī)則，檢查數(shù)據(jù)包的包頭信息，這個穿透式檢查不放過數(shù)據(jù)包的任何一部分，因此可以分析每一個協(xié)議字段的內容，從而提高信息系統(tǒng)殺毒性能，深度包過濾基于硬件進行設計，因此可以提高數(shù)據(jù)包檢查的效率，滿足大流量網(wǎng)絡應用需求。

雖然信息系統(tǒng)采用了很多的安全防御措施，但是安全攻擊的技術正不斷發(fā)展，目前信息系統(tǒng)安全依然存在一些問題，比如作業(yè)人員無法實時掌握系統(tǒng)運行狀態(tài)，不能夠有效分析控制器數(shù)值，導致信息系統(tǒng)不能安全地運行。

2 蜜罐技術原理及應用現(xiàn)狀

信息系統(tǒng)安全攻擊非常嚴重，主要原因就是攻擊者與防御者之間是不對稱的，攻擊者采用的技術也越來越先進，防御者總是被動地應付。因此，信息系統(tǒng)安全防御也可以采用主動模式，蜜罐技術就是這樣，其可以為攻擊者提供一個誘餌或陷阱，引誘攻擊者來攻擊，同時記錄攻擊行為，以便在分析后獲取信息系統(tǒng)的漏洞，掌握攻擊者的所有意圖，及時地對真實服務器進行防御部署[2]。蜜罐就是網(wǎng)絡安全管理人員精心設計的黑匣子，看似漏洞百出卻盡在掌握之中，目的就是采集攻擊者的入侵數(shù)據(jù)，在分析和獲取有價值的數(shù)據(jù)后進行解讀，獲取下一步的攻擊防御意圖[3]。蜜罐系統(tǒng)的關鍵功能包括四個，分別是偽裝模塊、信息采集模塊、風險控制模塊和數(shù)據(jù)分析模塊[4]。

（1）偽裝模塊

偽裝模塊可以構建一個模擬網(wǎng)絡運行環(huán)境，偽裝成真的信息系統(tǒng)，這樣就可以引誘黑客攻擊。偽裝模塊為了能夠仿真，通常拷貝一些真實的機密數(shù)據(jù)到蜜罐服務器，同時針對這些信息進行加密，這些數(shù)據(jù)已經(jīng)采用了多種防御措施，因此黑客無法獲取真正的機密數(shù)據(jù)。

（2）信息采集模塊

蜜罐最為關鍵的應用就是記錄和分析攻擊信息，盡可能地采集詳細的攻擊數(shù)據(jù)，記錄黑客、病毒或木馬完整的攻擊過程，尤其是當攻擊源主機與蜜罐服務器進行信息交互時，可以使用先進的Sniffer抓包軟件，記錄每一個進出蜜罐的數(shù)據(jù)包。

（3）風險控制模塊

蜜罐可以針對黑客攻擊的風險進行過濾和控制，以避免黑客發(fā)覺采用了蜜罐技術而轉移攻擊目標。

（4）數(shù)據(jù)分析和識別模塊

蜜罐在采集到所有數(shù)據(jù)之后，可以及時地針對這些數(shù)據(jù)進行分析和識別，此時就可以采用BP神經(jīng)網(wǎng)絡、K-means算法、支持“向量機”等技術，發(fā)現(xiàn)黑客攻擊行為特征，識別潛在的風險和危害，及時啟動殺毒軟件清除攻擊數(shù)據(jù)。

3 蜜罐技術在信息安全防御中的應用機制設計

圖1基于蜜罐的信息安全防御機制

基于蜜罐技術構建一個信息安全防御機制，可以實現(xiàn)通信網(wǎng)絡安全防御和流量監(jiān)控機制，保證信息系統(tǒng)的安全，如圖1所示。

蜜罐技術在信息安全防御中可以部署于多個方面，本文根據(jù)實踐認證和檢驗，構建了三個安全防御機制，分別是流量監(jiān)控機制和通信網(wǎng)絡安全防御機制等。

（1）流量監(jiān)控機制

信息系統(tǒng)通信傳輸?shù)膬热菔橇髁浚虼耍瑸榱苏莆障到y(tǒng)運行的實時狀況，可以引入蜜罐技術構建一個流量監(jiān)控機制。在實施流量監(jiān)控之后，就可以利用蜜罐動態(tài)地增強網(wǎng)絡防御能力，這也是預判信息系統(tǒng)被攻擊的一種主要方式。在管理網(wǎng)絡的過程中，蜜罐可以采用邏輯集中控制器實施流量管制，在網(wǎng)絡終端設備和信息系統(tǒng)服務器之間添加安全裝置，這樣就可以利用蜜罐安全策略訪問系統(tǒng)。目前，流量控制引入蜜罐技術，可以及時地利用數(shù)據(jù)分析與識別功能，分析數(shù)據(jù)流中是否存在安全威脅，及時地發(fā)現(xiàn)異常特征，將這些特征添加到病毒基因庫中，并且將結果發(fā)送給殺毒軟件。如圖2所示。

圖2流量監(jiān)控機制

（2）通信網(wǎng)絡安全防御機制

通信網(wǎng)絡安全防御技術引入蜜罐技術，其可以及時地將安全攻擊的重點轉移，保證數(shù)據(jù)的完整性和保密性，這也是網(wǎng)絡安全防御的重點。信息系統(tǒng)安全防御可以引入一個蜜罐控制器，該蜜罐控制器利用最簡單的方式進行文字交換，簡化通信安全防御策略，還可以利用可編程技術提高對通信安全防御的控制能力。蜜罐安全防御技術引入脫殼技術和啟發(fā)式殺毒軟件，提高網(wǎng)絡安全防御的積極性和主動性。

4 結束語

新時期信息系統(tǒng)面臨著較多的網(wǎng)絡威脅，比如接口處存在非法訪問、應用層存在身份造假、控制層存在DDoS攻擊、數(shù)據(jù)層存在泄漏和篡改等，這些都會導致互聯(lián)網(wǎng)無法正常運行。信息系統(tǒng)安全防御是一項非常復雜的工作，其面臨的安全攻擊也是動態(tài)的和多發(fā)的，對此可以利用新型蜜罐技術，構建蜜罐防御機制，包括通信安全防御機制、流量控制機制、安全控制機制等，及時地發(fā)現(xiàn)系統(tǒng)存在的漏洞，提高網(wǎng)絡安全防御的主動性、實時性和有效性。