蜜網(wǎng)在電信運營商的應(yīng)用

唐洪玉

（北京神州綠盟信息安全科技股份有限公司，北京 100089）

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，特別是分布式拒絕服務(wù)攻擊、跳板（Step-stone）攻擊及互聯(lián)網(wǎng)蠕蟲的盛行，互聯(lián)網(wǎng)上的每一臺主機都已經(jīng)成為攻擊的目標；而且，特別值得注意的一個趨勢是多種攻擊腳本和工具的融合，如大量的內(nèi)核后門工具包（Rotkit）、能夠集成多種攻擊腳本并提供易用接口的攻擊框架的出現(xiàn)，使得攻擊“無處不在”，簡單易行。

同時，電信運營商網(wǎng)絡(luò)的建設(shè)規(guī)模在不斷擴大，其所面臨的安全威脅也在急劇增加，安全風(fēng)險不斷被放大。然而，當(dāng)網(wǎng)絡(luò)系統(tǒng)被攻擊后，對于對手是誰、他們使用了哪些工具、以何種方式抵達攻擊目標等，運營商對這些都一無所知。

面對日益復(fù)雜的入侵事件，運營商目前所廣泛采用的傳統(tǒng)的被動防御手段已很難滿足當(dāng)前的需求，因此必須采用一種新的技術(shù)手段，增強安全防御工作的積極性和主動性，而這種技術(shù)的首選就是蜜網(wǎng)。

1 蜜網(wǎng)技術(shù)簡介

1.1 蜜網(wǎng)的基本概念

蜜罐（Honeypot），簡單來說，是一項技術(shù)、一種安全資源，它的價值就在于被探測、攻擊和破壞。蜜網(wǎng)（Honeynet），是在蜜罐技術(shù)上逐步發(fā)展起來的一個新的概念，它實際上是一種研究型的、高交互型的蜜罐技術(shù)，其主要目的是收集黑客的攻擊信息。與傳統(tǒng)蜜罐技術(shù)的差異在于，蜜網(wǎng)構(gòu)成了一個黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，在這個體系中包括一個或多個蜜罐；多層次的數(shù)據(jù)控制機制；全面的數(shù)據(jù)捕獲機制和深入的數(shù)據(jù)分析機制。

1.2 蜜網(wǎng)體系框架

如圖1所示，一個典型蜜網(wǎng)體系框架由蜜罐主機、蜜網(wǎng)網(wǎng)關(guān)和日志服務(wù)器/監(jiān)控管理平臺等3部分構(gòu)成。其中，蜜網(wǎng)是與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)并行的網(wǎng)絡(luò)，由多個蜜罐主機組成；所有進出蜜網(wǎng)的流量都需要經(jīng)過蜜網(wǎng)網(wǎng)關(guān)；日志服務(wù)器（監(jiān)控管理平臺）對蜜罐主機及蜜網(wǎng)網(wǎng)絡(luò)產(chǎn)生的日志數(shù)據(jù)進行收集，提供后續(xù)分析。

圖1 典型蜜網(wǎng)體系框架圖

一般來說，蜜網(wǎng)具有三大核心功能：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析。其中，數(shù)據(jù)控制功能，主要是將黑客攻擊控制在蜜網(wǎng)內(nèi)，而不會擴散至其它的網(wǎng)絡(luò)和系統(tǒng)，從而可以減輕或杜絕蜜網(wǎng)作為攻擊跳板的風(fēng)險；數(shù)據(jù)捕獲功能，使得蜜網(wǎng)可以將攻擊的所有行為數(shù)據(jù)全部記錄下來；而數(shù)據(jù)分析功能，則是幫助蜜網(wǎng)使用人員對捕獲的數(shù)據(jù)進行匯總、整理、分析和展現(xiàn)。

1.2.1 數(shù)據(jù)控制功能

數(shù)據(jù)控制功能，可以由蜜網(wǎng)網(wǎng)關(guān)完成。一般而言，蜜網(wǎng)網(wǎng)關(guān)對流入蜜網(wǎng)的數(shù)據(jù)分組不做限制，使得黑客能攻入蜜網(wǎng)；但對蜜網(wǎng)對外發(fā)起的跳板攻擊進行嚴格控制，采用的控制方法包括攻擊分組抑制和對外連接數(shù)限制等方法。

蜜網(wǎng)網(wǎng)關(guān)本身就具有IPS的功能，限制對外攻擊，同時可以做類似防火墻的訪問控制；而且，蜜網(wǎng)被攻擊并獲得攻擊數(shù)據(jù)后，會很快自動將蜜罐復(fù)原，恢復(fù)初始態(tài)。通過這些措施，從根本上杜絕了黑客想利用蜜罐做跳板的可能性。

1.2.2 數(shù)據(jù)捕獲功能

數(shù)據(jù)捕獲功能，由蜜網(wǎng)網(wǎng)關(guān)和蜜罐主機上的行為監(jiān)視模塊共同完成。

蜜網(wǎng)網(wǎng)關(guān)內(nèi)置網(wǎng)絡(luò)攻擊檢測模塊，對流入蜜網(wǎng)的數(shù)據(jù)分組基于規(guī)則進行告警，產(chǎn)生告警日志，同時捕獲原始流量數(shù)據(jù)分組，生成netflow流數(shù)據(jù)。在各蜜罐主機，自我隱藏的行為監(jiān)視模塊，對蜜罐主機的各種變化情況（如進程變化、網(wǎng)絡(luò)連接變化、文件變化、注冊表變化……）進行記錄，生成日志，并且捕獲樣本文件，以隱藏協(xié)議棧傳輸?shù)姆绞絺鞯矫劬W(wǎng)網(wǎng)關(guān)，再傳到日志服務(wù)器（監(jiān)控管理平臺）。

1.2.3 數(shù)據(jù)分析功能

蜜網(wǎng)系統(tǒng)，可以從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取出攻擊行為的特征和模型，通過數(shù)據(jù)融合和關(guān)聯(lián)分析，進行全面完善的數(shù)據(jù)分析，從而可以使蜜網(wǎng)用戶非常容易的了解和掌握攻擊者所用的技術(shù)、動機、新工具和新方法。

1.3 蜜網(wǎng)的優(yōu)勢

蜜網(wǎng)技術(shù)，在捕獲和了解安全威脅方面，具有以下優(yōu)勢。

（1） 捕獲到的流量都是惡意的。根據(jù)定義，蜜罐不具備常規(guī)用途，里面沒有任何的業(yè)務(wù)流量，所以任何出入蜜罐的流量都可以被視為是惡意的。同時，這種特性，也使得蜜網(wǎng)捕獲到的網(wǎng)絡(luò)流量相對較少；

（2） 誤報率極低。在蜜網(wǎng)中，并不依賴于任何區(qū)分正常流量和異常流量的檢測算法，從而使得其誤報率非常低；

（3） 具備對未知攻擊的發(fā)現(xiàn)能力。蜜網(wǎng)具備完善的數(shù)據(jù)捕獲能力，通過對捕獲到的行為數(shù)據(jù)進行進一步分析，可以發(fā)現(xiàn)新的攻擊行為，同時可以提取其攻擊特征；

（4） 強大的數(shù)據(jù)分析能力。蜜網(wǎng)具有完善的數(shù)據(jù)分析能力，可以從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取出攻擊行為的特征和模型，通過數(shù)據(jù)融合和關(guān)聯(lián)分析，進行全面完善的數(shù)據(jù)分析，從而可以使蜜網(wǎng)用戶非常容易的了解和掌握安全威脅的情況。

2 蜜網(wǎng)在電信運營商的應(yīng)用探討

2.1 行業(yè)應(yīng)用探討

蜜網(wǎng)技術(shù)在運營商網(wǎng)絡(luò)安全方面的應(yīng)用，會給運營商帶來保障網(wǎng)絡(luò)與信息安全的新能力，主要表現(xiàn)在以下幾個方面。

2.1.1 定位識別攻擊者，為安全運維提供有利支撐

利用蜜網(wǎng)技術(shù)，可以有效的監(jiān)測和定位攻擊者，特別是位于內(nèi)網(wǎng)的攻擊者。根據(jù)攻擊者對內(nèi)容的興趣方向、采取的操作，分析其身份目的，通過跟蹤功能對入侵者進行有效的追蹤，并配合入侵取證功能對黑客入侵行為進行法律取證并有力的打擊。

同時，對攻擊進行有效定位和識別后，將相關(guān)數(shù)據(jù)提供給安全運維系統(tǒng)，使運維人員可以更好的應(yīng)對網(wǎng)絡(luò)攻擊，提高安全運維的響應(yīng)速度和質(zhì)量。

2.1.2 網(wǎng)絡(luò)安全狀況監(jiān)控，了解安全威脅狀況

蜜網(wǎng)的應(yīng)用和部署，可以捕獲到各種攻擊，如惡意代碼（病毒、僵尸、蠕蟲）、自動化攻擊工具攻擊、掃描探索式攻擊、未知攻擊等。同時，借助蜜網(wǎng)強大的數(shù)據(jù)分析能力，將有助于運營商安全運維人員對當(dāng)前網(wǎng)絡(luò)狀況的跟蹤分析，及時了解系統(tǒng)可能面臨的安全威脅。

2.1.3 進行攻防演練培訓(xùn)，提高培訓(xùn)質(zhì)量

網(wǎng)絡(luò)安全攻防演練培訓(xùn)，是提高運營商安全運維人員實戰(zhàn)能力的重要途徑。利用蜜網(wǎng)技術(shù)搭建攻防演練平臺，通過虛擬蜜網(wǎng)技術(shù)可以模擬各種網(wǎng)絡(luò)服務(wù)及系統(tǒng)漏洞；通過數(shù)據(jù)控制能夠確保攻防演練的行為可控，保證演練平臺的安全性；數(shù)據(jù)捕獲技術(shù)能夠檢測并審計攻防演練的所有行為數(shù)據(jù)；而數(shù)據(jù)分析技術(shù)則幫助教師和學(xué)員從捕獲的數(shù)據(jù)中分析出攻擊方的具體活動、使用工具及其意圖，增強實戰(zhàn)技能。

2.1.4 進行安全測試，提高系統(tǒng)安全能力

利用蜜網(wǎng)技術(shù)，搭建業(yè)務(wù)應(yīng)用軟件的網(wǎng)絡(luò)化安全性能測試平臺，對該業(yè)務(wù)應(yīng)用系統(tǒng)進行模擬和實戰(zhàn)攻擊，將可以有效的降低應(yīng)用系統(tǒng)軟件存在的技術(shù)漏洞等安全隱患，為應(yīng)用系統(tǒng)的安全性的測評提供數(shù)據(jù)支持。

2.1.5 監(jiān)測定位僵尸主機，及時發(fā)現(xiàn)潛在威脅

通過部署蜜網(wǎng)，搜集惡意軟件，對其樣本進行分析，確認是否僵尸程序，并對僵尸程序所要連接的僵尸網(wǎng)絡(luò)控制信道的信息進行提取，最后通過客戶端蜜罐技術(shù)，偽裝成被控制的僵尸工具，進入僵尸網(wǎng)絡(luò)進行觀察和跟蹤，進而發(fā)現(xiàn)整個僵尸網(wǎng)絡(luò)的構(gòu)成，進行Botnet主機的定位。

2.2 應(yīng)用案例分析

圖2 運營商全國蜜網(wǎng)部署圖

圖3 Yoyoddos捕獲情況

如圖2所示，在運營商的IP網(wǎng)上，進行全國蜜網(wǎng)的分級部署：集團部署全國蜜網(wǎng)管理中心，各省公司部署管理分中心和蜜網(wǎng)網(wǎng)關(guān)、蜜罐系統(tǒng)。這樣，對全國捕獲到的攻擊統(tǒng)一進行分析和處理，從而獲得整體的安全威脅狀況。同時，每個省的管理分中心可以對本省的蜜網(wǎng)系統(tǒng)進行管理和數(shù)據(jù)的分析。

接下來，本文將通過一個發(fā)現(xiàn)、分析、封堵Botnet的例子，來對蜜網(wǎng)在運營商安全運維工作中的具體應(yīng)用進行分析和闡述。

2.2.1 Yoyoddos的發(fā)現(xiàn)和捕獲

如圖3所示，通過蜜網(wǎng)系統(tǒng)，捕獲到Y(jié)oyoddos.exe，經(jīng)過蜜網(wǎng)內(nèi)置的多種掃描引擎確認，發(fā)現(xiàn)是惡意的后門軟件。從圖3中，還可以看出，對于Yoyoddos的捕獲已經(jīng)多達409次，且在多省被捕獲。

2.2.2 Yoyoddos的特征及攻擊行為分析

如圖4所示，蜜網(wǎng)系統(tǒng)可以捕獲并顯示被感染主機的進程和文件的變化，這可以幫助我們對Yoyoddos的感染過程和行為進行了解和分析。同時，利用蜜網(wǎng)系統(tǒng)，也可以對其攻擊場景進行還原。

通過分析，發(fā)現(xiàn)當(dāng)一臺主機被這種木馬感染后，會生成 %SystemRoot%system32yoyoddos.exe文件，并生成注冊表鍵HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesyoyoddos,將Yoyoddos.exe注冊為Windows自啟動服務(wù)。Yoyoddos服務(wù)運行后會連接遠端服務(wù)器，加入Yoyoddos僵尸網(wǎng)絡(luò)，聽取并執(zhí)行攻擊命令。

對Yoyoddos進一步的跟蹤分析，得出如圖5所示的信息，從中可以發(fā)現(xiàn)Yoyoddos僵尸網(wǎng)絡(luò)的一些攻擊行為，比如TCP FLOOD、UDP FLOOD等。

圖4 被感染主機進程和文件變化狀況

在圖5中，可以看出，僵尸主機會和遠端控制服務(wù)器“qq***.***.org”（123.*.*.102） 取 得 聯(lián) 系， 進行通信，聽取指令。同時，可以看出，該僵尸網(wǎng)絡(luò)曾先后對“222.*.*.160”、“222.*.*.161”進行了 TCP FLOOD攻擊，并分發(fā)了新樣本“http://123.*.*.*:8080/dos.exe”。

2.2.3 Yoyoddos的封堵

從上述分析可以得出，該感染主機的遠程控制端是“qq***.***.org”（123.*.*.102），并接受指令對外進行了DDoS攻擊。那么，如何對該Yoyoddos僵尸網(wǎng)絡(luò)進行封堵和治理呢？

圖5 Yoyoddos行為分析

首先，在IP網(wǎng)相應(yīng)的網(wǎng)絡(luò)設(shè)備、DNS服務(wù)器、安全設(shè)備上對遠程控制端的IP地址和域名進行封堵和禁止訪問；同時，通過監(jiān)聽網(wǎng)絡(luò)內(nèi)和該控制端發(fā)生的通信，進一步定位網(wǎng)內(nèi)的其它Yoyoddos主機，給予全面的打擊和遏制，使這種Yoyoddos在該運營商的IP網(wǎng)中不再泛濫。

3 總結(jié)

蜜網(wǎng)技術(shù)的出現(xiàn)，使得我們可以變被動防御為主動進攻，使其具有主動交互性。通過蜜網(wǎng)在運營商的應(yīng)用和部署，可以使運營商主動了解人侵者的思路、工具、目的和機制，發(fā)現(xiàn)潛在的安全威脅，并且針對這些威脅及時找出相應(yīng)的防御策略，以此來提高系統(tǒng)的安全性?？梢姡劬W(wǎng)的應(yīng)用，對保障運營商的網(wǎng)絡(luò)安全有著非常重要的意義。