鄭艷君

（湖北工程學院 計算機與信息科學學院，孝感 432100 ）

0 引言

蜜罐是一種主動防御工具，在網(wǎng)絡安全問題的預防、檢測和響應階段都發(fā)揮著它的作用。隨著網(wǎng)絡中入侵攻擊越來越多，蜜罐正逐漸成為企業(yè)信息安全的新防御手段。對于一般的企業(yè)應用，企業(yè)網(wǎng)是一個單一的網(wǎng)絡，目前市場上已有不少的免費的或商業(yè)化的蜜罐工具可供使用；而對于一些在全國多個省份設立分支機構的企業(yè)，因其本身企業(yè)內(nèi)部網(wǎng)是較復雜的分布式網(wǎng)絡，簡單的在各個分支結構獨立的設置多個蜜罐是無法很好的發(fā)揮其作用的。因此，本文針對這類分布式的企業(yè)內(nèi)部網(wǎng)設計了一種分布式的蜜罐系統(tǒng)，針對不同系統(tǒng)建立不同平臺的蜜罐，并使之形成一個交互的體系，全面反饋網(wǎng)絡情況，更好發(fā)揮蜜罐的主動防御功能[1,2]。分布式蜜罐不同于蜜網(wǎng)，它強調(diào)的是區(qū)域的分布式，即地理位置的分布式，而蜜網(wǎng)技術則是在一個點所作的體系架構，蜜網(wǎng)可以作為分布式蜜罐的節(jié)點。

1 分布式蜜罐系統(tǒng)設計目標

通過研究蜜罐技術的基本原理，并根據(jù)分布式企業(yè)內(nèi)部網(wǎng)的特點及所受的安全威脅，設計并實現(xiàn)一個分布式蜜罐系統(tǒng)，在使用分布式蜜罐系統(tǒng)時候，蜜罐的核心要求就是企業(yè)可以對于Internet及企業(yè)網(wǎng)內(nèi)部的攻擊者的相關行為和數(shù)據(jù)進行鋪貨，保護真實目標系統(tǒng)，并及時產(chǎn)生安全預警；對于內(nèi)部攻擊者，可以追蹤攻擊源，為攻擊行為審計取證；同時為網(wǎng)絡安全管理人員提供相應數(shù)據(jù)，使其可以及時調(diào)整安全策略，制定相應措施，為企業(yè)創(chuàng)建一個安全的網(wǎng)絡環(huán)境。

2 分布式蜜罐系統(tǒng)技術分析

構建分布式蜜罐系統(tǒng)除了運用常規(guī)蜜罐的技術：網(wǎng)絡誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析之外，還需要考慮的關鍵技術問題主要是由其分布式體系所決定的。

2.1 復雜條件下分布式蜜罐系統(tǒng)的部署

隨著Internet技術的發(fā)展，現(xiàn)在的企業(yè)網(wǎng)絡規(guī)模在不斷擴大，設備物理分布變得十分復雜。同時攻擊者的入侵行為也逐漸復雜化、隱蔽化，并常常通過多個主機實施大面積的分布式攻擊。在這樣的新情況下，簡單的在各個業(yè)務子網(wǎng)獨立的設置多個蜜罐，或為企業(yè)網(wǎng)部署單個的蜜網(wǎng)存在很大不足，具體如下：

l）捕獲到的數(shù)據(jù)難以直接反映全局的信息狀況。

2）因為蜜罐技術視野狹窄，只能看見針對自身的攻擊行為，而無法捕獲針對其他系統(tǒng)的攻擊行為；而復雜網(wǎng)絡環(huán)境下，存在多種接入方式，蜜罐很容易被繞過。

3）集中式數(shù)據(jù)處理對控制器要求很高，控制器可能成為瓶頸和單一失效點；并且系統(tǒng)擴展性、靈活性較差。

4）對于復雜的、有可能的協(xié)同攻擊，無法很好的檢測和響應。

因此，針對不同的企業(yè)網(wǎng)絡的不同規(guī)模，我們提出面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)，作為企業(yè)主動防御的一個重要工具，并為企業(yè)制定安全策略、調(diào)整安全措施提供重要依據(jù)。

我們沒有就此滿足，在鑄管領域繼續(xù)加大科技創(chuàng)新力度，不斷開發(fā)特殊涂層管、壓力等級管、排污管以及特殊用途的鑄管新產(chǎn)品、新技術，自主開發(fā)成功高效離心機等裝備。

較大型的企業(yè)網(wǎng)絡通常具有多級、分布和樹形的特點。因此，我們的分布式蜜罐系統(tǒng)在宏觀上應該具有與實際網(wǎng)絡一致的體系結構，即多級分布式體系結構。

2.2 分布式蜜罐捕獲數(shù)據(jù)的匯總

蜜罐的捕獲能力來自于其數(shù)量和分布范圍，分布式的蜜罐系統(tǒng)在其檢測面積、捕獲信息量等方面是單點配置的蜜罐無法比擬的。然而，分布式的環(huán)境和捕獲信息量的大幅增加對捕獲信息的傳輸匯總提出了一定的要求。

對數(shù)據(jù)的匯總我們主要考慮兩個方面的問題，一是采集數(shù)據(jù)的內(nèi)容，二是數(shù)據(jù)采集的方式。對此我們分別作如下說明：

1）數(shù)據(jù)采集的內(nèi)容

在分布式的環(huán)境下，蜜罐數(shù)量相應較多，蜜罐數(shù)量的增加帶來上報信息數(shù)量的增加，并且上報的信息數(shù)據(jù)要通過網(wǎng)絡傳輸?shù)竭h程的管理中心，因此我們采集信息數(shù)據(jù)時就需要考慮網(wǎng)絡流量的問題。一般來說，有兩種基本的方法來采集數(shù)據(jù)，一是各分布式站點對數(shù)據(jù)進行處理，集中匯總的只是結果集；二是基于前端設備包轉(zhuǎn)發(fā)，將原始數(shù)據(jù)匯集到管理中心，這樣可以很容易實現(xiàn)復雜IP段的分布部署和實體的集中。因為蜜罐所捕獲的數(shù)據(jù)是高度保真的小數(shù)據(jù)集，數(shù)據(jù)量并不是特別大，因此我們采用兩種方法，結合兩者的優(yōu)點，數(shù)據(jù)庫采用本地和集中管理中心兩級數(shù)據(jù)庫，根據(jù)設定的策略，數(shù)據(jù)首先在本地存儲，需要時發(fā)送到集中管理中心集中存儲。分布式控制中心能夠?qū)?shù)據(jù)進行一定的處理分析，本地數(shù)據(jù)庫可存放融合后的各類數(shù)據(jù)，也存放網(wǎng)絡原始數(shù)據(jù)包，供集中管理中心查詢。

2）數(shù)據(jù)采集的方式

分布式站點獲取的數(shù)據(jù)匯總的另一個關鍵的方面，在通過安全的方式收集前提要求下，確保信息的相關真實性、保密性和完整性在采集信息時能夠進行保存。便是要確保信息是以通過安全的方式收集的，數(shù)據(jù)采集的重點還在于所采集信息的真實性、完整性和較高保密性。我們可以通過一些加密措施(如使用IPSec隧道)來保障傳送的數(shù)據(jù)安全。

格式的標準化在發(fā)送數(shù)據(jù)時應該被采用，以實現(xiàn)不同的分布式站點或網(wǎng)絡系統(tǒng)采集到的數(shù)據(jù)能夠?qū)崿F(xiàn)共享和聚合；應該明確蜜罐和蜜網(wǎng)的命名，對于管理與維護每個蜜網(wǎng)類型提供一定幫助。

2.3 大規(guī)模數(shù)據(jù)分析

分布式蜜罐造成龐大的上報數(shù)量，相應也增加了數(shù)據(jù)分析處理的壓力。首先必須形成一個具有較強的自動前段處理能力的分揀機制，對數(shù)據(jù)進行預處理，一般是按一定規(guī)則對數(shù)據(jù)進行過濾和分類。而后，利用其余相關技術，包括統(tǒng)計分析、可視化以及數(shù)據(jù)挖掘等方面的內(nèi)容進行攻擊特征研究，進行攻擊趨勢分析。

目前，對數(shù)據(jù)分析技術的進一步研究已經(jīng)取得了一定的成果，其中狩獵女神項目組開發(fā)了攻擊關聯(lián)分析工具Athena，它是在AI領域中經(jīng)典規(guī)劃圖和目標規(guī)劃圖模型基礎上，提出擴展目標規(guī)劃圖模型，實現(xiàn)攻擊規(guī)劃識別算法規(guī)劃圖模型，實現(xiàn)攻擊規(guī)劃識別算法，對輸入的IDS報警信息、Argus網(wǎng)絡連接數(shù)據(jù)等多源數(shù)據(jù)輸出高層攻擊場景圖。蜜網(wǎng)項目組也提出了同一數(shù)據(jù)分析框架UDAF，支持不同格式的數(shù)據(jù)獲取，數(shù)據(jù)過濾，數(shù)據(jù)融合，數(shù)據(jù)輸出以及數(shù)據(jù)可視化分析。

2.4 迅速的自動報警

前面提到過，蜜罐像其他系統(tǒng)一樣，也是可以被攻破的，一旦它被攻陷，就有可能被利用作為攻擊、滲透其他系統(tǒng)的跳板。

值得注意，可以攻破蜜罐，當蜜罐被攻陷以后，這樣就成為攻擊其他系統(tǒng)的跳板。為了防止攻擊者在攻陷蜜罐主機后將其作為跳板攻擊業(yè)務網(wǎng)絡或第三方網(wǎng)絡，蜜罐系統(tǒng)必需具有數(shù)據(jù)控制的功能，在一個網(wǎng)絡環(huán)境中，網(wǎng)絡管理員是否及時能知道蜜罐是否被攻陷無疑是很重要的，攻擊行為也多為分布式的協(xié)同攻擊，一個地方子網(wǎng)中的蜜罐被攻陷，通常意味著其他子網(wǎng)也會受到攻擊，更需要及時迅速的報警。

在一般的蜜罐系統(tǒng)中常常使用的報警軟件為Swatch軟件，作為一種守護程序，它能夠自動監(jiān)視目標系統(tǒng)的各種日志文件，包括Snort-inline還有IPTables生成的日志文件。通過Swatch預先設定好的模式匹配原則，這樣可以對于系統(tǒng)的運行狀態(tài)獲取進行分析。當這匹配模式形成后，就往往能夠通過郵件、系統(tǒng)喇叭等方面或其他定義好的程序等進行告警。此外，它還能夠像Syslogd守護程序那樣主動的掃描日志文件并對特定的日志消息采取修復行動。

在分布式蜜罐系統(tǒng)中，Swatch通常安裝配置在各分布站點的站點管理服務器上，與網(wǎng)絡安全管理員所使用的集中管理平臺不在同一個地域，因此，需要我們將單個業(yè)務子網(wǎng)的報警信息與集中管理平臺相聯(lián)系和整合，以使報警信息盡快到達集中控制中心，其他子網(wǎng)提供預警。

3 系統(tǒng)分布式體系結構設計

根據(jù)系統(tǒng)設計目標，我們所設計的面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)采用多級分布式體系結構，系統(tǒng)結構如圖1所示。

圖1 系統(tǒng)結構示意圖

整個系統(tǒng)主要由三個部分組成：集中管理控制中心、各級節(jié)點控制中心和蜜罐。集中管理控制中心負責整個分布式系統(tǒng)的管理和數(shù)據(jù)分析，各個節(jié)點控制中心負責業(yè)務子網(wǎng)中各個節(jié)點的控制。

集中管理控制中心是整個分布式蜜罐系統(tǒng)的管理中心，負責收集和分析整個蜜罐系統(tǒng)捕獲的各種數(shù)據(jù)，同時集成了用戶管理、分布站點管理、數(shù)據(jù)管理、報警處理等管理功能和數(shù)據(jù)庫。

各級節(jié)點控制中心可以是一臺充當網(wǎng)關的主機，在同一網(wǎng)段內(nèi)至少設置一個，也可根據(jù)情況設置多個不同級別的節(jié)點控制中心。節(jié)點控制中心對網(wǎng)段內(nèi)的蜜罐進行配置和管理。節(jié)點控制中心可以存放它所管理的蜜罐的各種日志信息，并對各種捕獲信息進行初步分析，及時產(chǎn)生報警；節(jié)點控制中心和集中管理控制中心相聯(lián)系，是集中管理控制中心各種數(shù)據(jù)的來源。通常節(jié)點控制中心和蜜罐之間有網(wǎng)關進行隔離，所有進出蜜罐的通信都必須經(jīng)過網(wǎng)關。

在面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)中，我們的主要目的是了解內(nèi)部網(wǎng)所遭受到的攻擊，檢測防御中的失誤，并采取相應的措施或及時發(fā)出預警，因此并不總是需要高交互蜜罐，而應選擇最低安全風險的蜜罐。所以各分布站點的蜜罐部署可以采用一個或多個低交互式的蜜罐。蜜罐的部署模式通常采用防護罩式，部署在防火墻之后，這樣不僅可以檢測來自外網(wǎng)的攻擊，收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，也可以探查內(nèi)部攻擊者。

此外，在低交互的蜜罐選擇上，我們也要考慮到企業(yè)資源的充分利用。我們可以在一臺主機上安裝任何操作系統(tǒng)，作為一個真實的蜜罐主機，但是這樣在同一時刻，就只能有一個操作系統(tǒng)在一臺機器上運行，沒能更好的利用商業(yè)資源；并且，一旦蜜罐系統(tǒng)遭受攻擊，重新安裝真實蜜罐系統(tǒng)也會耗費一定的時間。因此，在面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)中，我們都采用虛擬蜜罐或虛擬機蜜罐，這樣可以在盡可能小的投入下建立蜜罐系統(tǒng)，并且維護較方便，也可以迸一步實現(xiàn)蜜罐的自動化配置。

4 結束語

目前，一般企業(yè)在企業(yè)網(wǎng)絡中運用的絕大多數(shù)安全技術是被設計用來阻止未授權的可疑行為獲取資源，并且安全工具僅僅是作為一種被動的保護措施被布置，所以它們對網(wǎng)絡的保護有一定的局限。而蜜罐技術作為一種動態(tài)防御機制，是企業(yè)現(xiàn)有安全措施的一種非常有益的補充，它對安全管理人員及時了解企業(yè)網(wǎng)絡安全狀況，調(diào)整安全策略，制定相應應對措施非常有效。雖然目前已經(jīng)有不少蜜罐工具，但只適用于網(wǎng)絡簡單的小型企業(yè)，對具有分布式網(wǎng)絡的大型企業(yè)來說，設計部署分布式蜜罐系統(tǒng)是必要的。

[1]王東來.入侵誘騙系統(tǒng)應用技術研究[J].制造業(yè)自動化,2010,32(12).

[2]史偉奇,程杰仁,唐湘滟.分布式陷阱網(wǎng)絡系統(tǒng)的關鍵技術研究與實現(xiàn)[J].計算機工程與設計,2008,29(21).

[3]肖軍弼,劉廣祎.分布式蜜罐系統(tǒng)的設計與實現(xiàn)[J].計算機工程與設計,2007,28(19).