文/劉躍

供稿：姜開達(dá)

CERNET分布式蜜網(wǎng)系統(tǒng)實時態(tài)勢監(jiān)控圖

蜜網(wǎng)技術(shù)就是這長期的攻防博弈中，逐漸發(fā)展出的一項安全防御與態(tài)勢監(jiān)控技術(shù)。從技術(shù)本質(zhì)上來說，是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過部署一些誘餌主機(jī)，在主機(jī)上部署一些模擬漏洞的網(wǎng)絡(luò)服務(wù)，來誘使攻擊者對其進(jìn)行攻擊，通過對攻擊行為的捕獲與分析，從而了解攻擊者所采用的攻擊方法與意圖動機(jī)，及時掌控當(dāng)前面臨的安全威脅。

發(fā)展?fàn)顩r

蜜網(wǎng)系統(tǒng)主要由The Honeynet Project安全研究開源組織，帶領(lǐng)并推動發(fā)展。其通過對最新的攻擊數(shù)據(jù)和惡意代碼的搜集與分析，研究并開發(fā)針對不同目標(biāo)的安全工具，從而達(dá)到數(shù)據(jù)采集、安全態(tài)勢監(jiān)控、攻擊行為分析的目標(biāo)，保護(hù)并提升網(wǎng)絡(luò)環(huán)境的安全性。

在清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室（NISL-lab）中，諸葛建偉老師（The Honeynet Project成員，中國項目負(fù)責(zé)人）帶領(lǐng)的團(tuán)隊，在蜜網(wǎng)項目的研究與發(fā)展中，同樣起到了巨大的推動作用，著名蜜網(wǎng)系統(tǒng)SpamPot、6Guard均出自該團(tuán)隊之手。

該實驗室在國家安全管理中心、教育部、華為組織資助下，全國多所高校部署了40多個蜜罐節(jié)點，建立了分布式蜜網(wǎng)系統(tǒng)，形成全國范圍內(nèi)的安全態(tài)勢感知系統(tǒng)。

該系統(tǒng)在支持IPv4的同時，提供了對IPv6環(huán)境的兼容，在國際環(huán)境下的蜜網(wǎng)中部署與使用，走在了大多數(shù)團(tuán)隊的前列。

該分布式蜜網(wǎng)系統(tǒng)的主要設(shè)計架構(gòu)如下：

包括惡意代碼旁路檢測模塊，蜜罐模塊與惡意代碼分析模塊，其中惡意代碼檢測模塊是用于實時監(jiān)測網(wǎng)絡(luò)環(huán)境中病毒疫情的安全設(shè)備，以旁路方式接入網(wǎng)絡(luò)，通過包和流兩級檢測技術(shù)，檢測并保存明文協(xié)議傳輸?shù)膼阂獯a。蜜罐模塊具備實時監(jiān)控、網(wǎng)絡(luò)數(shù)據(jù)捕獲、樣本采集等功能。而惡意代碼分析模塊則匯總檢測到的惡意代碼樣本資源，并進(jìn)行存儲與初步分析顯示。

蜜罐模板綜合使用了Dionaea、Kippo、Glastopf、Spampot、6Guard等多個蜜罐子系統(tǒng)，形成了對網(wǎng)絡(luò)惡意行為、SSH攻擊行為、WEB惡意攻擊行為、垃圾郵件攻擊行為以及IPv6網(wǎng)絡(luò)攻擊行為的全范圍的態(tài)勢與行為監(jiān)控。

通過測算平均最鄰近指數(shù)(ANN)分析判定隴川縣農(nóng)村居民點分布類型。測算結(jié)果指數(shù)顯示平均觀測距離為163.677 m、預(yù)期平均距離為372.747 m、平均最臨近指數(shù)為0.439，取值小于1。并且校驗z值得分為-72.92，則隨機(jī)產(chǎn)生此分布模式的可能性小于1%，以此判斷隴川縣農(nóng)村居民點空間分布類型為聚集模式。

其數(shù)據(jù)處理流程為：首先通過分布式部署的蜜罐節(jié)點綁定一個或者IPv4或者IPv6地址，從而接收發(fā)往這一監(jiān)測地址段的非預(yù)期網(wǎng)絡(luò)流量通過Darknet將流量匯集；之后交由蜜罐探針提供網(wǎng)絡(luò)流量的交互響應(yīng)，并從中檢測出惡意代碼感染與攻擊行為，提取到惡意代碼樣本與網(wǎng)絡(luò)流并提交至蜜罐節(jié)點惡意代碼本地樣本庫中；同時由惡意代碼樣本實時上傳子模塊，將蜜罐的惡意代碼捕獲記錄與新樣本文件匯總給集中樣本采集子模塊，提交至整個子系統(tǒng)的惡意代碼樣本庫中。

從我們捕獲的數(shù)據(jù)流量來看，攻擊行為來自全球各地，目前已捕獲的攻擊行為達(dá)到每秒上百條，已獲取惡意代碼數(shù)量達(dá)萬余次，共近千個不同的惡意代碼。

相關(guān)成果

1. 建立了CERNET內(nèi)部全國范圍的分布式蜜網(wǎng)系統(tǒng)，具有全國全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)攻擊態(tài)勢監(jiān)控的能力。

2. 研發(fā)了數(shù)個蜜罐系統(tǒng)，并得到了廣泛的部署與應(yīng)用。包括Spampot垃圾郵件檢測蜜罐、6Guard IPv6網(wǎng)絡(luò)攻擊行為檢測蜜罐，同時也彌補(bǔ)了蜜罐子系統(tǒng)的空缺，為蜜網(wǎng)項目的發(fā)展作出了突出貢獻(xiàn)。

3. 在IPv6蜜網(wǎng)系統(tǒng)研究上快人一步，在北京、南京、東北等多所高校與機(jī)構(gòu)，部署了IPv6分布式蜜網(wǎng)系統(tǒng)，提供了IPv6環(huán)境下的網(wǎng)絡(luò)攻擊行為監(jiān)控與分析的能力。

木馬僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)

2014年9月，國家互聯(lián)網(wǎng)應(yīng)急中心對木馬、僵尸程序活動狀況的抽樣監(jiān)測顯示，中國大陸地區(qū)1,042,303個IP地址對應(yīng)的主機(jī)被木馬或僵尸程序秘密控制，被篡改的網(wǎng)站達(dá)11,152個。而對僵尸網(wǎng)絡(luò)進(jìn)行監(jiān)測的目的是了解跟蹤木馬僵尸網(wǎng)絡(luò)變化發(fā)展趨勢，對控制服務(wù)器或動態(tài)域名進(jìn)行屏蔽，掌握控制網(wǎng)絡(luò)內(nèi)的感染情況，并針對性地采取措施，最終保護(hù)終端用戶的安全和利益。

上海交通大學(xué)木馬僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)開發(fā)主要涉及到以下幾方面的工作:

Linux平臺下的高速包捕獲和高性能DPI引擎

使用了零拷貝技術(shù)解決高速網(wǎng)絡(luò)的流量捕獲，多處優(yōu)化了Linux操作系統(tǒng)，優(yōu)化了開源的Snort 2.9版本并利用其作為DPI檢測引擎，通過控制多檢測進(jìn)程并行工作充分利用了多核CPU資源和內(nèi)存，通過日志文件到數(shù)據(jù)庫的轉(zhuǎn)儲解決了突發(fā)峰值的數(shù)據(jù)庫插入瓶頸，最大化提升了x86平臺整體網(wǎng)絡(luò)流量處理性能。

分布式系統(tǒng)集成

讓數(shù)百個或更多的DPI識別引擎同時運(yùn)行，并且保證特征規(guī)則庫的同步下發(fā)更新，保障每個引擎報出的安全事件可以被迅速送到匯聚節(jié)點記錄入庫，使用自動化監(jiān)控進(jìn)程去處理各種異常并快速恢復(fù)，并不是一件簡單的事情。要讓這套復(fù)雜的系統(tǒng)正常運(yùn)轉(zhuǎn)起來，需要在很多細(xì)節(jié)方面進(jìn)行相應(yīng)的開發(fā)和集成工作。包括批量網(wǎng)絡(luò)安裝操作系統(tǒng)的套件Cobbler研究，批量部署應(yīng)用和日常管理的工具下fabric使用，應(yīng)用于服務(wù)器狀態(tài)分布式監(jiān)控的Ganglia系統(tǒng)搭建，應(yīng)用于滿足數(shù)億條原始安全事件存儲的數(shù)據(jù)庫設(shè)計和優(yōu)化，都是分布式系統(tǒng)必須要解決的問題。

有害行為特征庫的搜集、整理和提取驗證工作

這是系統(tǒng)開發(fā)過程中耗時最久，投入資源最多，并且還在不斷持續(xù)進(jìn)行的一項工作。經(jīng)過了多年積累和這次項目進(jìn)一步研究，我們已經(jīng)在僵尸網(wǎng)絡(luò)、網(wǎng)站后門、網(wǎng)頁篡改等有害行為的樣本搜集、分析整理、特征提取、后期驗證反饋等方面形成了一整套完整的流程和體系。系統(tǒng)研究了大量流行木馬、各類僵尸網(wǎng)絡(luò)的傳播模型，初步了解了其傳播和控制規(guī)律，并從中出抽取了大量的流量特征碼和其特殊的應(yīng)用行為。

后期歸并聚類、關(guān)聯(lián)分析和驗證工作

這部分工作在降低誤報率，增加預(yù)報準(zhǔn)確率，從海量的原始安全事件長期記錄中挖掘出真正有威脅的有害行為，對攻擊者和受害主機(jī)進(jìn)行追蹤定位和行為分析有著特別重要的意義。基于數(shù)據(jù)挖掘的有害行為識別方法比較新，目前缺少一套成熟的體系，還在進(jìn)一步進(jìn)行研究完善。在開發(fā)中研究了基于高可用性分布式文件系統(tǒng)HDFS存儲、對網(wǎng)絡(luò)流量和日志友好的編程接口，如Hive/Impala的使用、適合處理非關(guān)系型數(shù)據(jù)的NoSQL數(shù)據(jù)庫、用戶友好易用的行為數(shù)據(jù)可視化頁面等。