基于蜜罐技术的企业网络安全模型研究
2014-08-21王宏群张宇国
王宏群,张宇国
(安徽警官职业学院 信息管理系,合肥 230031)
引言
随着互联网不断普及,越来越多的单位和个人计算机都连接上互联网,随之网络安全问题也日益严重,互联网上的每台主机都有可能受到攻击.近年来不断发生黑客入侵企业网络的事件,如何保障企业网络安全,构筑一个安全可靠的企业网络成了当前迫切需要解决的问题.
目前,网络的攻击形式呈现出了多样化、新型化的趋势[1].而传统的防御技术如Firewall、VPN、IDS等都是基于已知的事实和攻击的被动模式,对于新型化、多样化地攻击则显得力不从心[2].本文提出了建立一个基于蜜罐技术的企业网络安全模型,利用设置特有的蜜罐主机故意诱引网络攻击者攻击和入侵,然后对其行为进行监视和记录,掌握他们的方法和目的后,找到有效的防御技术,从而能主动加固网络来提升网络安全防护能力.
1 蜜罐与蜜网结构
1.1 蜜罐与蜜网概念
“蜜网项目组”的创始人给蜜罐的定义是:蜜罐是一种安全资源,其价值在于被探测、攻击或攻陷[3].蜜罐通常运行一些仿真软件,故意伪装成有安全漏洞的网络系统,诱使黑客对其进行攻击[4],在攻击者不知道的情况下,对其行为进行监视并记录.通过对这些记录数据的研究和分析,掌握到了攻击者采用的攻击方法、目的等信息.蜜网通常包含一个或多个蜜罐主机,可以使用物理机或虚拟机来架设,是一个可控的复杂蜜罐网络系统[5].
1.2 蜜网结构
一个具有高度控制的蜜网必须具有如图 1所示的核心组件和辅助组件[6].核心组件是蜜罐技术达成对攻击方进行诱骗与监测的关键部分,主要包含:欺骗环境构建、数据捕获、数据分析;辅助组件是对核心组件的补充,主要包含:数据控制、配置与管理、反蜜罐技术对抗.
图 1 蜜网的组成结构
(1)欺骗环境构建:运行一些仿真软件,模拟出一个具有欺骗性但又比较真实的网络资源,诱使攻击方对其进行扫描、攻击.
(2)数据捕获:对潜在的攻击行为进行监控和记录,尽量更多地获取攻击行为数据,并将捕获的数据存放到一个独立、安全的系统中.
(3)数据分析:对捕获的攻击行为数据进行分析,追溯出攻击的方法、目的和来源.
(4)数据控制:对攻击蜜网的行为进行控制,确保蜜网系统不被入侵者恶意利用.
(5)配置与管理:方便管理员对蜜网系统进行管理与维护.
(6)反蜜罐技术对抗:提升蜜网的仿真和欺骗效果,防止被反蜜罐技术识别.
2 基于蜜罐技术的企业网络安全模型设计
根据对蜜罐技术的分析及企业网络的特点,构建出具有主动防御能力的的基于蜜罐技术的企业网络安全模型,如图2所示.
图2 基于蜜罐技术的企业网络安全模型
2.1 企业网络安全模型主要部件
(1)防火墙
防火墙执行严进宽出,实现主动安全防护.根据 IP地址和端口号进行检测,将已是黑名单里的数据流主动拦截,将未知异常数据流重定向到蜜网系统中.
(2)蜜网网关
蜜网网关是蜜网系统最重要的部件,具有数据控制和数据捕获功能.蜜网网关有4个网络接口,端口1连接外网,引导正常的连接至该口;端口2连接日志服务器;端口3连接IDS;端口4和蜜罐主机相连,用于接收潜在攻击的网络连接;蜜网网关是蜜网最前端设备,兼有Firewall功能.蜜网网关可以通过运行一些仿真软件来模拟出更逼真的网络环境.
(3)蜜罐主机
蜜罐主机可以根据真实业务在物理机或虚拟机上部署相应的网络服务,为了营造出逼真的效果,蜜罐主机上可采用剔除机密数据后的真实业务数据.
此外,蜜罐主机还可以运行一些网络仿真软件来提高蜜网的诱骗效果[7].
(4)入侵检测系统
入侵检测系统(IDS)负责对网络连接进行即时监视和判断,一旦发现异常情况,立即发出警报,与蜜网网关进行联动[8].可以使用 Snort 软件来部署IDS.
(5)日志服务器
日志服务器主要记录 Firewall、IDS等安全设备日志和蜜罐主机系统日志[9],以便管理员进行分析与研究.
2.2 企业网络安全模型模块设计
整个系统由七个模块构成,如图3所示.
(1)管理控制模块:主要实现对整个蜜网系统进行管理和控制,并对收集来的数据进行分析并预警.能够对进出蜜网的数据流进行控制,而又不让入侵者察觉.
(2)端口重定向模块:运用防火墙的重定向技术,在入侵者不知道的情况下,将它的数据流重定向到蜜网系统中.
(3)防御和监听模块:利用 Firewall对网络的连接进行控制,同时创建一个线程启动监听服务程序,用来回复入侵者的入侵指令,为入侵者营造出逼真的环境,达到诱骗目的.
(4)数据捕获模块:主要使用Sebek工具记录攻击者在蜜罐主机上的行为,及时捕获入侵者和蜜罐服务器之间通信的数据包,以便今后的分析和研究.
(5)异常检测和报警模块:设定一个阈值,与收集来的数据进行比对,如超出阈值,则判定为异常,发出警报并启用已制定的相应解决机制,同时发送报警信息给管理员,对网络即时采取保护措施.
(6)数据处理和分析模块:使用 hflow工具,统计捕获的网络入侵行为数据,然后将这些数据拼接起来获得入侵者的行动记录,通过这些入侵行为记录来分析研究出它们的攻击方法和目的.
(7)远程日志模块:将蜜罐主机、Firewall、IDS产生的日志信息以及捕获的数据传送到一个远程的、独立的服务器上,以便进行分析研究.
图3 企业网络安全模型模块设计
3 模型应用
3.1 重定向机制实现
实现原理如下:启动重定向程序后,首先读取配置文件(黑名单可以设置),得到必须禁止进入内网并需要永久转移到蜜网上的攻击者信息,然后与获取的 IP地址进行比对,如果发现是已知攻击,则进行重定向转移并将其源地址记入黑名单.与其他特征检测和异常检测结合起来,将所有未知的具有潜在威胁的数据流重定向到蜜网,同时记入重定向日志.使用端口重定向程序 fpipe可以实现端口重定向转移,如fpipe −l 80 −s 100 −r 8080 218.22.26.100;将连接本机80端口的主机通过100端口连接到虚拟蜜罐服务器,端口为8080.
3.2 数据捕获机制实现
蜜网系统中的数据捕获分为三层来实现,分别是Firewall,IDS和蜜罐主机[10].Firewall日志是蜜网系统收集的第一层数据,主要记录进入企业内部网络的连接.第二层数据由IDS来完成,监视整个蜜网的流量,抓取蜜网系统内所有的数据包.最后一层是蜜罐主机日志,主要是记录攻击者在蜜罐主机上行为数据.数据捕获就是记录入侵者在蜜网内部的所有行为数据,这些捕获的数据可以通过专用通道存放到安全、独立的数据库服务器上,以便用于研究和分析入侵者的方法和目的.数据捕获的难点就是要让入侵者不知道自己在被监控的情况下,捕获尽可能多的数据.我们采用三个层次的捕获机制,目的就是尽可能多的捕获入侵者的行为数据,以便将其行为步骤拼接起来.
数据捕获机制实现流程如图4所示.连接者的数据包首先经过防火墙(Iptables),防火墙对连接进行记录,并根据已定义的规则和特征进行匹配,如发现潜在威胁,则在入侵者不知道的情况下,重定向转移到蜜网系统,蜜网网关防火墙对其进行记录.IDS会对所有进入蜜网的数据流量进行监控记录,IDS可以使用 snort进行部署实现.蜜网系统中每个蜜罐主机除了自有的日志功能外,还可以在主机上安装Sebek客户端,记录主机上的活动,同时将捕获来的日志数据存放到部署在蜜网网关防火墙上的Sebek服务器里.
图4 数据捕获机制
3.3 模拟攻击测试
蜜网项目组开发了一套快速和简单的蜜网部署工具.本文利用这套工具,完成了蜜网网关配置,并使用 VMware构建了多个虚拟蜜罐主机,在企业网内部署了一个简单的蜜网.经过模拟攻击测试,通过监控服务器上的数据记录可以得到攻击方的 IP地址及行为.如图 5所示,通过日志可以查出攻击者的 IP地址是192.168.228.234.足以证实蜜网在诱骗入侵者方面起到较好的主动防御作用,一定程度上保障了企业网络的安全.
图 5 模拟攻击测试
4 结束语
通过对蜜罐技术的研究,将其与传统的网络安全防御系统结合起来,提出了基于蜜罐技术的企业网络安全模型,通过防御与监听、端口重定向、异常检测和蜜网系统构造出一个主动防御系统,弥补了传统的基于Firewall、VPN以及IDS等被动防御系统的不足,提高了对网络攻击行为的掌握和控制能力,从而使企业网络的安全性得到增强.在企业网络安全问题日益严重的今天有着广阔的使用空间.
[1] 袁 凌.计算机网络安全防护体系研究[J].硅谷,2013(15):65
[2] 李 莉,孙 华,张振宇.蜜罐技术在校园网络安全中的应用研究[J].新疆大学学报(自然科学版),2011(4):478
[3] 许建伟.高交互蜜网系统的设计与实现[D].北京:北京邮电大学计算机学院硕士研究生学位论文,2009,4~5
[4] 郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006,61~93
[5] Honeynet Project.Know Your Enemy:Honeynet [EB/OL].[2012-11-12] http://project.honeynet.org/papers/honeynet/index.html.
[6] 诸葛建伟,唐 勇,韩心慧,等.蜜罐技术研究与应用进展[J].软件学报,2013,24(4):825~842
[7] 赵 军.高伪装高交互蜜罐技术的研究与实现[J].计算机工程,2010,36(15):156~158
[8] 翟光群,陈向东,胡贵江.蜜罐与入侵检测技术联动系统的研究与设计[J].计算机工程与设计,2009,30(21):4845~4847
[9] 夏春和,吴 震,赵 勇.入侵诱骗模型的研究与建立[J].计算机应用研究,2002(4):76~79
[10] 易秀双,马世伟,王卫东.虚拟蜜网核心功能剖析与实例部署[J].计算机科学,2012(3):101~103