時永進(jìn)，鄭 偉，朱 戈，崔玉君

（1.吉林大學(xué)計算機科學(xué)與技術(shù)學(xué)院，吉林長春 130012；2.61467部隊，吉林長春 071300；3.61251部隊，河北秦皇島 066102）

0 引言

蜜網(wǎng)技術(shù)又稱為誘捕網(wǎng)絡(luò)，蜜罐技術(shù)的研究和發(fā)展為蜜網(wǎng)技術(shù)奠定了一定的理論和實踐基礎(chǔ)。蜜網(wǎng)實際屬于一種研究型的高交互蜜罐技術(shù)，它與傳統(tǒng)蜜罐有兩個非常大的不同點：一方面，它是一種包含一個或多個蜜罐系統(tǒng)的黑客誘捕網(wǎng)絡(luò)，我們通過分析所有那些控制和捕獲的進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)就能知道黑客們使用了何種網(wǎng)絡(luò)工具、運用了何種攻擊策略甚至他們想要攻擊這個網(wǎng)絡(luò)出于何種動機；另一方面，所有放置在蜜網(wǎng)中的系統(tǒng)都基于真實的應(yīng)用軟件和系統(tǒng)，系統(tǒng)中并沒有故意出現(xiàn)漏洞。

1 蜜網(wǎng)技術(shù)的工作方式

蜜網(wǎng)的工作方式包括數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析。

數(shù)據(jù)控制是一種對越權(quán)使用資源的防御措施，它能夠確定信息包被發(fā)送到何地進(jìn)而防止未授權(quán)行為對網(wǎng)絡(luò)資源進(jìn)行非法訪問，如此便能確保黑客不能利用蜜網(wǎng)危害第三方的網(wǎng)絡(luò)安全。在與入侵者斗智斗勇期間，許多風(fēng)險也伴隨其中，為了避免這些問題的發(fā)生，我們需要保證系統(tǒng)在被入侵時不會被當(dāng)成跳板來攻擊第三方的主機或系統(tǒng)。為了不引起入侵者的懷疑，當(dāng)他們進(jìn)來后，我們必須給他們能從網(wǎng)絡(luò)上下載工具包、打開 IRC等網(wǎng)絡(luò)連接的權(quán)利。因為如果不給他們這些權(quán)利，他們會懷疑該系統(tǒng)然后抹掉鍵擊的數(shù)據(jù)記錄而離開。在這里，我們一般利用路由器來控制系統(tǒng)向外發(fā)出的連接地址，利用防火墻來控制系統(tǒng)向外發(fā)出的連接數(shù)目，利用入侵檢測系統(tǒng)發(fā)現(xiàn)和阻止系統(tǒng)與外界網(wǎng)絡(luò)之間的可疑連接。

數(shù)據(jù)捕獲技術(shù)是蜜網(wǎng)中的核心部分，它能夠搜索和分析者入侵時所有入侵行為和數(shù)據(jù)信息，然后盡可能地對其進(jìn)行捕獲，隨后才能進(jìn)一步分析他們使用的工具、策略及動機。數(shù)據(jù)捕獲是在數(shù)據(jù)控制之后，它才是蜜網(wǎng)的最終目的。這個過程中，我們要記錄入侵者的所有的入侵信息和入侵手段，如果入侵者入侵系統(tǒng)時利用了一些工具，我們還要對這些工具的通信信息進(jìn)行捕獲，所以這個過程是很復(fù)雜的。通常情況下，為了在不被入侵者察覺的狀態(tài)下對更多的數(shù)據(jù)信息進(jìn)行捕獲，我們可能需要對系統(tǒng)進(jìn)行一些小小的修改。除此之外，我們還要注意一個問題，即不能把所捕獲到的數(shù)據(jù)信息放在蜜罐的主機上，因為這些數(shù)據(jù)不僅可能會被丟失或被銷毀，還可能會另攻擊者們懷疑該系統(tǒng)是一個陷阱系統(tǒng)。因此要把這些捕獲的數(shù)據(jù)放在安全的遠(yuǎn)程主機上，并盡最大努力來保護(hù)這些數(shù)據(jù)安全性和完整性。

第三代蜜網(wǎng)體系為了能夠減少網(wǎng)絡(luò)安全人員的工作量并且方便他們能更好地分析所捕獲到的攻擊數(shù)據(jù)提供了兩種機制，即自動報警和輔助分析機制。Swatch監(jiān)視工具通過Email等方式將入侵檢測系統(tǒng)和防火墻產(chǎn)生的報警日志通知管理員從而提供自動報警機制。Walleye是蜜網(wǎng)提供的強大GUI數(shù)據(jù)分析工具，它被安裝在蜜網(wǎng)網(wǎng)關(guān)上，提供一個基于網(wǎng)頁基礎(chǔ)上的蜜網(wǎng)數(shù)據(jù)分析接口，不僅橫跨多個數(shù)據(jù)源，還使用了Mysql數(shù)據(jù)庫。Mysql數(shù)據(jù)庫由五種數(shù)據(jù)被收集和置入：Sebek的捕獲結(jié)果、POF的系統(tǒng)識別結(jié)果、NIPS的輸出結(jié)果、Argus的分析結(jié)果、IDS的報警信息。人們只要在管理的主機瀏覽器上輸入HoneyWall管理接口的IP地址，就能遠(yuǎn)程連接到HoneyWall上的Walleye interface。如此，網(wǎng)絡(luò)安全人員就能查看IDS事件，還能進(jìn)一步利用關(guān)系模型自動識別上下文中的事件。

2 第一代蜜網(wǎng)

由蜜網(wǎng)項目組提出的第一代蜜網(wǎng)模型如下圖1所示，這個蜜網(wǎng)被防火墻分隔成了三個部分，和互聯(lián)網(wǎng)連接的外部網(wǎng)絡(luò)，主機和系統(tǒng)的管理控制平臺以及由蜜罐構(gòu)成的陷阱部分，外部網(wǎng)絡(luò)除了包括互聯(lián)網(wǎng)還包括內(nèi)部工作網(wǎng)絡(luò)，陷阱部分里我們部署的蜜罐可以是一個也可以是多個。下面我們主要來具體介紹一下管理控制平臺。

圖1 第一代蜜網(wǎng)結(jié)構(gòu)模型

管理控制平臺可由一臺或多臺機器組成，它含有防火墻、路由器、入侵檢測器和日志服務(wù)器四個部分，能在較高的安全度內(nèi)控制和收集數(shù)據(jù)。所有進(jìn)出的入侵?jǐn)?shù)據(jù)包都得通過最前端的防火墻，該防火墻能夠追蹤和控制所有從蜜罐向外發(fā)出的每一個連接數(shù)據(jù)。當(dāng)系統(tǒng)向外發(fā)送的連接數(shù)超過一定的數(shù)量值時，防火墻就會起到數(shù)據(jù)控制的作用阻擋那些外發(fā)數(shù)據(jù)包，黑客便不能利用我們所部署的蜜罐向其它主機和系統(tǒng)發(fā)起攻擊。在蜜罐與防火墻之間設(shè)置的路由器能使防火墻看起來更真實，這樣，我們部署的蜜網(wǎng)也就跟著看起來更真實了。而且路由器的存在也能對防火墻起到很好的補充作用，因為它僅允許往外發(fā)送源地址是蜜罐IP的數(shù)據(jù)包，進(jìn)而也能限制一些訪問行為。

3 第二代蜜網(wǎng)

第二代蜜網(wǎng)技術(shù)是在第一代蜜網(wǎng)的基礎(chǔ)上提出來的，在第一代蜜網(wǎng)中用來數(shù)據(jù)控制的機器和用來數(shù)據(jù)捕獲的機器不是同一個，而且我們在模型中安放了路由器，數(shù)據(jù)包被路由器丟棄之前被允許通過蜜網(wǎng)的數(shù)量也會相對減少一些，我們部署的整個網(wǎng)絡(luò)不是隱蔽的，所以入侵者也非?？赡苋ト肭志W(wǎng)絡(luò)?；谏鲜鲇懻?，“蜜網(wǎng)項目組”開發(fā)出了比較完善的第二代蜜網(wǎng)結(jié)構(gòu)模型，如下圖2所示為第二代蜜網(wǎng)架構(gòu)圖。

圖2 第二代蜜網(wǎng)架構(gòu)圖

第二代蜜網(wǎng)架構(gòu)圖中被稱為HoneyWall的蜜網(wǎng)網(wǎng)關(guān)是最關(guān)鍵的部件，該蜜網(wǎng)網(wǎng)關(guān)能把外部網(wǎng)絡(luò)和內(nèi)部蜜罐網(wǎng)絡(luò)隔離開來。HoneyWall包括三個網(wǎng)絡(luò)接口，eth0接入外網(wǎng)，eth1連接蜜網(wǎng)，而eth2則連接到一個監(jiān)控網(wǎng)絡(luò)，網(wǎng)絡(luò)管理者通過eth2接口來管理Honeywall，然后把重要的數(shù)據(jù)利用該接口發(fā)送到另外一臺主機系統(tǒng)上，如果這個蜜網(wǎng)網(wǎng)關(guān)被入侵者攻陷了，管理者收集到的寶貴信息也不至于被入侵者破壞或因系統(tǒng)原因而消失。HoneyWall是一個工作在鏈路層的黑客看不見的橋接設(shè)備，因為它不會提供本身的MAC地址，數(shù)據(jù)包被路由器丟棄之前被允許通過蜜網(wǎng)的數(shù)量也不會減少。目前，互聯(lián)網(wǎng)有很多安全威脅，例如垃圾郵件、黑客攻擊、惡意軟件傳播、僵尸網(wǎng)絡(luò)等。由此可見，蜜網(wǎng)技術(shù)能提供一個高度可控的安全環(huán)境對網(wǎng)上的這些威脅進(jìn)行了解、捕獲和分析，為網(wǎng)絡(luò)安全提供長遠(yuǎn)的保障。

4 集中式虛擬蜜網(wǎng)

中國北京大學(xué)計算機研究所信息安全工程研究中心在兩千零四年成立了“狩獵女神”項目組，該項目組于2005年2月22日加入了世界蜜網(wǎng)研究聯(lián)盟[17]。同一年，該項目組設(shè)計了第三代蜜網(wǎng)拓?fù)浣Y(jié)構(gòu)和虛擬蜜網(wǎng)拓?fù)浣Y(jié)構(gòu)，分別實現(xiàn)了“使用虛擬機作為一部分蜜罐”和“完全通過虛擬機構(gòu)造蜜網(wǎng)”的功能。該設(shè)計改進(jìn)的主要亮點是利用VMware Workstation創(chuàng)建的虛擬機來作為高交互蜜罐，這種改進(jìn)不僅降低了部署蜜罐的成本還提高了蜜罐被攻擊后的可恢復(fù)性。和第二代蜜網(wǎng)拓?fù)浣Y(jié)構(gòu)相比，該蜜網(wǎng)網(wǎng)關(guān)不是橋接在工作網(wǎng)絡(luò)上而是直接連接到路由器，經(jīng)過蜜網(wǎng)數(shù)據(jù)包的TTL還是會相對減少一些；同時，因為該結(jié)構(gòu)的蜜網(wǎng)網(wǎng)關(guān)所連接的蜜網(wǎng)必須處于同一網(wǎng)段，所以它也被稱為集中式虛擬蜜網(wǎng)。下圖3所示即為第三代蜜網(wǎng)拓?fù)浜吞摂M蜜網(wǎng)拓?fù)浣Y(jié)構(gòu)圖。

圖3 第三代蜜網(wǎng)拓?fù)浜吞摂M蜜網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

5 結(jié)束語

隨著計算機技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)普及越來越高，未來的網(wǎng)絡(luò)犯罪率將不可避免的增大，因此蜜網(wǎng)技術(shù)的應(yīng)用前景相當(dāng)樂觀。本文通過介紹三代蜜網(wǎng)技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，為讀者解讀了蜜網(wǎng)技術(shù)的構(gòu)造組成以及功能特征。

[1]藺旭東等.網(wǎng)絡(luò)安全中的蜜罐技術(shù)和蜜網(wǎng)技術(shù)[J].中國環(huán)境管理干部學(xué)院院報.2007（3）：106-108.

[2]陳晨.蜜網(wǎng)系統(tǒng)告警日志分析技術(shù)研究[D].北京，北京郵電大學(xué)，2012.

[3]賀文娟.蜜罐技術(shù)分析與蜜網(wǎng)設(shè)計[D].合肥：安徽大學(xué)，2011.

[4]周政杰，徐志強，吳惠源.蜜罐技術(shù)及其在取證中的應(yīng)用[J]. 保密科學(xué)技術(shù) .2011（12）：60-64.