校園網(wǎng)部署虛擬蜜罐的關(guān)鍵點(diǎn)研究

黃旭鵬，鐘平

（1.韓山師范學(xué)院計(jì)算機(jī)與信息工程學(xué)院，潮州 521041;2.韓山師范學(xué)院網(wǎng)絡(luò)與教育技術(shù)中心，潮州 521041）

0 引言

校園網(wǎng)擔(dān)負(fù)著學(xué)校教學(xué)、科研、管理和服務(wù)等重任，與此同時(shí)也面臨著來(lái)自不同層面的安全威脅問(wèn)題，如操作系統(tǒng)漏洞、惡意攻擊、病毒攻擊等威脅時(shí)刻存在。

根據(jù)前期調(diào)研結(jié)果顯示，我校校區(qū)多、網(wǎng)絡(luò)覆蓋面積廣、網(wǎng)絡(luò)使用群體大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，目前部署有防火墻、入侵檢測(cè)系統(tǒng)、用戶行為審計(jì)系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備，防火墻等傳統(tǒng)安全技術(shù)均屬于被動(dòng)防御技術(shù)。蜜罐技術(shù)是基于主動(dòng)安全策略的安全防護(hù)技術(shù)，在現(xiàn)有的校園網(wǎng)安全防護(hù)體系中加入蜜罐技術(shù)并利用它對(duì)網(wǎng)絡(luò)攻擊者所進(jìn)行的各種非法入侵活動(dòng)進(jìn)行提前預(yù)警和事后響應(yīng)，可以起到主動(dòng)防御的作用；此外，通過(guò)對(duì)非法入侵者的入侵?jǐn)?shù)據(jù)分析，可以幫助網(wǎng)絡(luò)安全管理人員修復(fù)一些未知的系統(tǒng)漏洞以及追蹤定位攻擊者的位置，提高抵御網(wǎng)絡(luò)入侵的能力。這對(duì)校園網(wǎng)安全可起到重要的保障作用，具有較好的應(yīng)用價(jià)值。

1 蜜罐技術(shù)簡(jiǎn)介

1.1 蜜罐技術(shù)

蜜罐是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，是網(wǎng)絡(luò)安全人員經(jīng)過(guò)精心設(shè)計(jì)而部署下的誘捕攻擊者的陷阱。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力[1]。

“蜜網(wǎng)項(xiàng)目組”創(chuàng)始人Lance Spitzner提出“蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷”，這一定義在業(yè)界得到普遍的認(rèn)可。

1.2 蜜罐的價(jià)值

（1）蜜罐的優(yōu)勢(shì)

監(jiān)控、監(jiān)測(cè)和分析攻擊活動(dòng)是蜜罐的核心價(jià)值所在。作為新型的主動(dòng)防御技術(shù)，蜜罐在網(wǎng)絡(luò)安全應(yīng)用中有其優(yōu)勢(shì)：

①數(shù)據(jù)低污染，監(jiān)測(cè)準(zhǔn)確率高。蜜罐通過(guò)仿真而并非對(duì)外提供具有實(shí)質(zhì)性的系統(tǒng)服務(wù)，它只針對(duì)試圖進(jìn)行非法攻擊的行為產(chǎn)生記錄，刨除了正常網(wǎng)絡(luò)用戶的數(shù)據(jù)流，是一個(gè)低數(shù)據(jù)污染的系統(tǒng)，安全監(jiān)測(cè)的準(zhǔn)確率高且漏報(bào)率小。

②部署成本較低，易于實(shí)現(xiàn)。搭建真實(shí)蜜罐環(huán)境或使用虛擬蜜罐環(huán)境，在部署和實(shí)現(xiàn)上都比較簡(jiǎn)單，配置靈活且易于管理和維護(hù)，所耗資源極少。許多蜜罐軟件都是以開(kāi)源的方式公開(kāi)在互聯(lián)網(wǎng)供免費(fèi)下載。

③使用簡(jiǎn)單，適用性強(qiáng)。蜜罐系統(tǒng)對(duì)攻擊行為的監(jiān)測(cè)并非局限于某種特定的攻擊技術(shù)或攻擊行為，具有較好的適應(yīng)能力，不需要維護(hù)特征數(shù)據(jù)庫(kù)，也無(wú)需通過(guò)復(fù)雜算法來(lái)實(shí)現(xiàn)，能捕獲新的攻擊技術(shù)和方法供安全人員進(jìn)行分析。

（2）蜜罐的缺陷

蜜罐作為整個(gè)安全防御體系的一部分，也有其自身一些缺陷：

①模擬的局限性。蜜罐設(shè)計(jì)或模擬出存在漏洞主機(jī)，與真實(shí)主機(jī)系統(tǒng)相比還是存在差別，技術(shù)較高的攻擊者利用反蜜罐技術(shù)能識(shí)別出蜜罐的存在。

②數(shù)據(jù)收集范圍有限。蜜罐僅記錄與其產(chǎn)生交互的數(shù)據(jù)流，一旦攻擊者發(fā)現(xiàn)并繞過(guò)蜜罐對(duì)其他網(wǎng)絡(luò)設(shè)備實(shí)施攻擊，蜜罐也將無(wú)法發(fā)捕捉到攻擊者的信息。

③面臨一定風(fēng)險(xiǎn)。為盡可能多的收集到入侵者的信息，包括攻擊所用的工具、實(shí)施攻擊的思路和方法等，安全管理人員主動(dòng)將蜜罐暴露在網(wǎng)絡(luò)中，提供仿真服務(wù)誘導(dǎo)入侵者對(duì)其進(jìn)行攻擊。但如果蜜罐被識(shí)破，安裝蜜罐系統(tǒng)的主機(jī)系統(tǒng)存在被入侵者攻陷的風(fēng)險(xiǎn)，有可能成為攻擊者對(duì)蜜罐主機(jī)所在網(wǎng)絡(luò)實(shí)施攻擊的跳板。

1.3 蜜罐的分類

可從不同的角度對(duì)蜜罐系統(tǒng)進(jìn)行分類，按照部署目的可分為產(chǎn)品型蜜罐和研究型蜜罐；按照蜜罐與攻擊者的交互程度劃分可分為低交互蜜罐、中交互蜜罐、高交互蜜罐；按照蜜罐運(yùn)行環(huán)境及實(shí)現(xiàn)方式可分為虛擬機(jī)蜜罐和物理蜜罐。

1.4 虛擬蜜罐技術(shù)

隨著VMware、VBOX等虛擬化技術(shù)的發(fā)展，越來(lái)越多的服務(wù)器使用虛擬系統(tǒng)提供服務(wù)，虛擬蜜罐便是基于虛擬化技術(shù)實(shí)現(xiàn)的蜜罐系統(tǒng)[2]。在攻擊者的視角中，在虛擬系統(tǒng)中的蜜罐與真實(shí)物理蜜罐并無(wú)差別，兩者本質(zhì)上是一致的。相比較而言，物理蜜罐的部署需要投入大量的硬件設(shè)備且每臺(tái)設(shè)備都需要單獨(dú)進(jìn)行配置。虛擬蜜罐可以根據(jù)需要在一臺(tái)主機(jī)上部署多個(gè)虛擬蜜罐主機(jī)，而且在虛擬技術(shù)的支持下，即使蜜罐系統(tǒng)被入侵者攻破了也能利用快照技術(shù)快速將其還原到初始狀態(tài)，大大地降低部署和維護(hù)的成本。

2 校園網(wǎng)部署虛擬蜜罐方案研究

2.1 方案設(shè)計(jì)目標(biāo)

方案要結(jié)合防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具，引入虛擬蜜罐系統(tǒng)，設(shè)計(jì)并構(gòu)造一個(gè)具有主動(dòng)防御功能的校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，主要目標(biāo)如下：

①蜜罐系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)安全防護(hù)產(chǎn)品進(jìn)行聯(lián)動(dòng)，防御來(lái)自校園網(wǎng)外部的攻擊，對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行取證，使網(wǎng)絡(luò)安全管理人員做到及時(shí)響應(yīng)。

②通過(guò)對(duì)蜜罐采集到的信息，對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢測(cè)、監(jiān)控，精準(zhǔn)定位攻擊源并采取相應(yīng)的安全措施，以防御來(lái)自校園內(nèi)部的網(wǎng)絡(luò)攻擊。

③在重要服務(wù)器群中部署虛擬蜜罐系統(tǒng)，起到迷惑、干擾和拖延非法入侵行為的作用。

④捕獲并收集各類非法攻擊行為的數(shù)據(jù)，為網(wǎng)絡(luò)管理員發(fā)現(xiàn)及修補(bǔ)安全漏洞提供參考。

2.2 校園網(wǎng)部署虛擬蜜罐關(guān)鍵問(wèn)題

（1）蜜罐類型的選擇

蜜罐根據(jù)交互程度、實(shí)現(xiàn)方式等因素的不同而有相應(yīng)的軟件，需根據(jù)安全需求情況來(lái)確定蜜罐的選擇。表1對(duì)不同交互程度的蜜罐進(jìn)行了比較。

表1 不同交互程度蜜罐對(duì)比[3]

在虛擬蜜罐的使用上，我們選取Honeyd[4]、Dionaea[5]、Kippo[6]、Glastopf NG[7]和 PAMPot[8]等經(jīng)典蜜罐工具，根據(jù)各自特點(diǎn)和功能部署在相應(yīng)網(wǎng)絡(luò)節(jié)點(diǎn)上，盡可能覆蓋關(guān)鍵網(wǎng)絡(luò)位置。

（2）蜜罐部署位置的選擇

圖1 韓山師范學(xué)院校園網(wǎng)絡(luò)拓?fù)?/p>

以我校校園網(wǎng)為例，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。為盡可能多地捕獲入侵行為的數(shù)據(jù)，需考慮根據(jù)不同蜜罐各自的特性，將其部署在網(wǎng)絡(luò)中合適的位置，以達(dá)到最佳效果。根據(jù)我校的網(wǎng)絡(luò)實(shí)際情況，可從下圖中的A、B、C和D是個(gè)點(diǎn)來(lái)考慮部署相應(yīng)的蜜罐系統(tǒng)。

圖2 虛擬蜜罐部署位置分析

根據(jù)不同位置部署相應(yīng)蜜罐系統(tǒng)，其優(yōu)缺點(diǎn)如下表所示。

（3）蜜罐部署數(shù)量（密度）的確定

蜜罐部署數(shù)量是一個(gè)重要因素，對(duì)于單點(diǎn)位置部署而言，蜜罐系統(tǒng)的防御效果取決于蜜罐的數(shù)量和網(wǎng)絡(luò)中需保護(hù)的真實(shí)主機(jī)（服務(wù)器）數(shù)量的比例，稱作成功預(yù)防率[9]（或防御期望值）。在文獻(xiàn)[9]中提到，單點(diǎn)蜜罐部署上隨著蜜罐數(shù)量的增多，網(wǎng)絡(luò)成功預(yù)防率雖有提高，但提高的效率越來(lái)越低，蜜罐數(shù)目和被保護(hù)主機(jī)數(shù)目之間存在一個(gè)合適的比例。理論上，當(dāng)部署蜜罐數(shù)量為被保護(hù)主機(jī)數(shù)量的2倍時(shí)為最佳，但這有待通過(guò)實(shí)踐進(jìn)一步驗(yàn)證。

在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中部署虛擬蜜罐，限于IP資源有限，盡可能采取接近最佳理論值的數(shù)量來(lái)進(jìn)行配置，根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整。

2.3 虛擬蜜罐部署實(shí)施

綜合前文所述，結(jié)合我校校園網(wǎng)的實(shí)際，考慮虛擬蜜罐部署的引入風(fēng)險(xiǎn)等因素，分別在圖2中的B、C和D三個(gè)點(diǎn)部署一定數(shù)量的不同交互度的虛擬蜜罐，與防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具配合適用，構(gòu)建出一個(gè)具有主動(dòng)防御功能的校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

3 實(shí)驗(yàn)測(cè)試結(jié)果及應(yīng)用場(chǎng)景

3.1 實(shí)驗(yàn)測(cè)試

以部署于D點(diǎn)的Honeyd蜜罐的一段日志記錄為例，IP地址為210.38.**9.0/24網(wǎng)段部署了重要服務(wù)器，利用空余IP地址資源，部署數(shù)量相當(dāng)于真實(shí)服務(wù)器數(shù)量2倍的虛擬蜜罐，通過(guò)虛擬蜜罐配置模板可輕松創(chuàng)

表2 蜜罐部署位置優(yōu)缺點(diǎn)對(duì)比

建出虛擬蜜罐主機(jī)?？珊?jiǎn)單的通過(guò)如下綁定IP的命令既可實(shí)現(xiàn)：

表3 校園網(wǎng)部署虛擬蜜罐情況

假定入侵者繞過(guò)防火墻及IDS的監(jiān)測(cè)對(duì)上述網(wǎng)段進(jìn)行入侵前的掃描，掃描及虛擬蜜罐工作情況如圖3、4所示。

通過(guò)上述實(shí)驗(yàn)過(guò)程及結(jié)果，可以清晰的看到虛擬蜜罐將入侵者與之產(chǎn)生的交互行為進(jìn)行了詳盡的記錄，日志信息中出現(xiàn)了同一IP對(duì)多個(gè)虛擬蜜罐不同端口都進(jìn)行了掃描，日志信息對(duì)網(wǎng)絡(luò)安全人員而言是極具分析價(jià)值的。

圖3 Nmap攻擊掃描信息片段

圖4 虛擬蜜罐捕捉到數(shù)據(jù)片段

3.2 應(yīng)用場(chǎng)景

引入虛擬蜜罐系統(tǒng)部署在校園網(wǎng)中，可應(yīng)對(duì)如下安全情形：

（1）蠕蟲(chóng)病毒的檢測(cè)與防范：一旦校園網(wǎng)發(fā)生蠕蟲(chóng)病毒的傳播，可利用低交互虛擬蜜罐負(fù)責(zé)誘騙和重定向攻擊流，高交互物理蜜罐實(shí)現(xiàn)蠕蟲(chóng)捕獲與分析，還可配合入侵檢測(cè)系統(tǒng)等工具的使用對(duì)蠕蟲(chóng)病毒源頭進(jìn)行精準(zhǔn)定位并采取隔離或斷網(wǎng)等措施。

（2）惡意掃描防范：根據(jù)蜜罐捕獲的IP及MAC地址等信息，配合防火墻規(guī)則的建立及使用，對(duì)發(fā)起惡意掃描的攻擊源采取防火墻過(guò)濾等措施；特別是對(duì)于來(lái)自校園網(wǎng)內(nèi)部的的攻擊也可精準(zhǔn)定位到攻擊者所在，加以警告或做相應(yīng)處理。

（3）防御非法入侵：利用低交互虛擬蜜罐，配置多個(gè)仿真服務(wù)及開(kāi)放端口的主機(jī)，干擾迷惑入侵者對(duì)被保護(hù)服務(wù)器主機(jī)的攻擊；利用高交互蜜罐對(duì)入侵者的行為進(jìn)行取證，截獲惡意代碼及攻擊者所使用的工具；從安全研究的角度，可對(duì)攻擊者實(shí)施攻擊的思路和技術(shù)方法進(jìn)行深入研究，反向?qū)π@網(wǎng)存在的漏洞進(jìn)行修補(bǔ)。

（4）DDoS攻擊防范：基于蜜罐技術(shù)的DDoS攻擊的防御機(jī)制可通過(guò)重定向器重定向入侵者對(duì)真實(shí)服務(wù)器的攻擊到蜜罐系統(tǒng)中，并由蜜罐記錄攻擊行為數(shù)據(jù)，為后續(xù)制定防御措施提供重要資料。

4 結(jié)語(yǔ)

本文結(jié)合不同類型蜜罐技術(shù)特征，綜合考慮蜜罐部署的位置、數(shù)量等因素，嘗試在校園網(wǎng)部署虛擬蜜罐系統(tǒng)，使校園網(wǎng)具備主動(dòng)防御的能力。在后續(xù)工作中將對(duì)部署方案實(shí)施的效果，從蜜罐數(shù)據(jù)控制、數(shù)據(jù)捕獲及數(shù)據(jù)分析等方面深入研究，進(jìn)一步優(yōu)化蜜罐的部署，使之更好地與傳統(tǒng)安全設(shè)備進(jìn)行聯(lián)動(dòng)，抵御各類網(wǎng)絡(luò)威脅。

參考文獻(xiàn)：

[1]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào)，2013，24（4）：826.

[2]張龍生.虛擬蜜網(wǎng)關(guān)機(jī)技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2014，12.

[3]馬莉波.惡意移動(dòng)代碼傳播與監(jiān)測(cè)模型研究[D].清華大學(xué)，2009，4.

[4]Honeyd.http://www.honeyd.org/

[5]Nepenthes Development Team.Dionaea.2011.http://dionaea.carnivore.it/

[6]Kippo—SSH Honeypot.2011.http://code.google.com/p/kippo/

[7]Rist L,Vetsch S,Koβin M,Mauer M.Know your Tools:Glastopf—A Dynamic,Low-interaction Web Application Honeypot.2011.http://honeynet.org/papers/KYT_glastopf

[8][0]Pickett N.SPAMPot.py—Spam honeypot SMTP server.2011.http://woozle.org/～neale/src/python/spampot.py

[9]馬莉波,段海新,李星.蜜罐部署分析[J].大連理工大學(xué)學(xué)報(bào)，2005.10,45.