文/刘跃

供稿：姜开达

CERNET分布式蜜网系统实时态势监控图

蜜网技术就是这长期的攻防博弈中，逐渐发展出的一项安全防御与态势监控技术。从技术本质上来说，是一种对攻击方进行欺骗的技术，通过部署一些诱饵主机，在主机上部署一些模拟漏洞的网络服务，来诱使攻击者对其进行攻击，通过对攻击行为的捕获与分析，从而了解攻击者所采用的攻击方法与意图动机，及时掌控当前面临的安全威胁。

发展状况

蜜网系统主要由The Honeynet Project安全研究开源组织，带领并推动发展。其通过对最新的攻击数据和恶意代码的搜集与分析，研究并开发针对不同目标的安全工具，从而达到数据采集、安全态势监控、攻击行为分析的目标，保护并提升网络环境的安全性。

在清华大学网络与信息安全实验室（NISL-lab）中，诸葛建伟老师（The Honeynet Project成员，中国项目负责人）带领的团队，在蜜网项目的研究与发展中，同样起到了巨大的推动作用，著名蜜网系统SpamPot、6Guard均出自该团队之手。

该实验室在国家安全管理中心、教育部、华为组织资助下，全国多所高校部署了40多个蜜罐节点，建立了分布式蜜网系统，形成全国范围内的安全态势感知系统。

该系统在支持IPv4的同时，提供了对IPv6环境的兼容，在国际环境下的蜜网中部署与使用，走在了大多数团队的前列。

该分布式蜜网系统的主要设计架构如下：

包括恶意代码旁路检测模块，蜜罐模块与恶意代码分析模块，其中恶意代码检测模块是用于实时监测网络环境中病毒疫情的安全设备，以旁路方式接入网络，通过包和流两级检测技术，检测并保存明文协议传输的恶意代码。蜜罐模块具备实时监控、网络数据捕获、样本采集等功能。而恶意代码分析模块则汇总检测到的恶意代码样本资源，并进行存储与初步分析显示。

蜜罐模板综合使用了Dionaea、Kippo、Glastopf、Spampot、6Guard等多个蜜罐子系统，形成了对网络恶意行为、SSH攻击行为、WEB恶意攻击行为、垃圾邮件攻击行为以及IPv6网络攻击行为的全范围的态势与行为监控。

通过测算平均最邻近指数(ANN)分析判定陇川县农村居民点分布类型。测算结果指数显示平均观测距离为163.677 m、预期平均距离为372.747 m、平均最临近指数为0.439，取值小于1。并且校验z值得分为-72.92，则随机产生此分布模式的可能性小于1%，以此判断陇川县农村居民点空间分布类型为聚集模式。

其数据处理流程为：首先通过分布式部署的蜜罐节点绑定一个或者IPv4或者IPv6地址，从而接收发往这一监测地址段的非预期网络流量通过Darknet将流量汇集；之后交由蜜罐探针提供网络流量的交互响应，并从中检测出恶意代码感染与攻击行为，提取到恶意代码样本与网络流并提交至蜜罐节点恶意代码本地样本库中；同时由恶意代码样本实时上传子模块，将蜜罐的恶意代码捕获记录与新样本文件汇总给集中样本采集子模块，提交至整个子系统的恶意代码样本库中。

从我们捕获的数据流量来看，攻击行为来自全球各地，目前已捕获的攻击行为达到每秒上百条，已获取恶意代码数量达万余次，共近千个不同的恶意代码。

相关成果

1. 建立了CERNET内部全国范围的分布式蜜网系统，具有全国全网范围内的网络攻击态势监控的能力。

2. 研发了数个蜜罐系统，并得到了广泛的部署与应用。包括Spampot垃圾邮件检测蜜罐、6Guard IPv6网络攻击行为检测蜜罐，同时也弥补了蜜罐子系统的空缺，为蜜网项目的发展作出了突出贡献。

3. 在IPv6蜜网系统研究上快人一步，在北京、南京、东北等多所高校与机构，部署了IPv6分布式蜜网系统，提供了IPv6环境下的网络攻击行为监控与分析的能力。

木马僵尸网络监测系统

2014年9月，国家互联网应急中心对木马、僵尸程序活动状况的抽样监测显示，中国大陆地区1,042,303个IP地址对应的主机被木马或僵尸程序秘密控制，被篡改的网站达11,152个。而对僵尸网络进行监测的目的是了解跟踪木马僵尸网络变化发展趋势，对控制服务器或动态域名进行屏蔽，掌握控制网络内的感染情况，并针对性地采取措施，最终保护终端用户的安全和利益。

上海交通大学木马僵尸网络监测系统开发主要涉及到以下几方面的工作:

Linux平台下的高速包捕获和高性能DPI引擎

使用了零拷贝技术解决高速网络的流量捕获，多处优化了Linux操作系统，优化了开源的Snort 2.9版本并利用其作为DPI检测引擎，通过控制多检测进程并行工作充分利用了多核CPU资源和内存，通过日志文件到数据库的转储解决了突发峰值的数据库插入瓶颈，最大化提升了x86平台整体网络流量处理性能。

分布式系统集成

让数百个或更多的DPI识别引擎同时运行，并且保证特征规则库的同步下发更新，保障每个引擎报出的安全事件可以被迅速送到汇聚节点记录入库，使用自动化监控进程去处理各种异常并快速恢复，并不是一件简单的事情。要让这套复杂的系统正常运转起来，需要在很多细节方面进行相应的开发和集成工作。包括批量网络安装操作系统的套件Cobbler研究，批量部署应用和日常管理的工具下fabric使用，应用于服务器状态分布式监控的Ganglia系统搭建，应用于满足数亿条原始安全事件存储的数据库设计和优化，都是分布式系统必须要解决的问题。

有害行为特征库的搜集、整理和提取验证工作

这是系统开发过程中耗时最久，投入资源最多，并且还在不断持续进行的一项工作。经过了多年积累和这次项目进一步研究，我们已经在僵尸网络、网站后门、网页篡改等有害行为的样本搜集、分析整理、特征提取、后期验证反馈等方面形成了一整套完整的流程和体系。系统研究了大量流行木马、各类僵尸网络的传播模型，初步了解了其传播和控制规律，并从中出抽取了大量的流量特征码和其特殊的应用行为。

后期归并聚类、关联分析和验证工作

这部分工作在降低误报率，增加预报准确率，从海量的原始安全事件长期记录中挖掘出真正有威胁的有害行为，对攻击者和受害主机进行追踪定位和行为分析有着特别重要的意义。基于数据挖掘的有害行为识别方法比较新，目前缺少一套成熟的体系，还在进一步进行研究完善。在开发中研究了基于高可用性分布式文件系统HDFS存储、对网络流量和日志友好的编程接口，如Hive/Impala的使用、适合处理非关系型数据的NoSQL数据库、用户友好易用的行为数据可视化页面等。