依托蜜罐技術(shù)構(gòu)建校園網(wǎng)主動(dòng)式防御系統(tǒng)的實(shí)現(xiàn)路徑

摘 要 在數(shù)字化校園建設(shè)步伐不斷加快的今天，校園網(wǎng)絡(luò)用戶規(guī)模也在持續(xù)增加，網(wǎng)絡(luò)安全已經(jīng)成為校園網(wǎng)絡(luò)運(yùn)行的核心要素。隨著網(wǎng)絡(luò)運(yùn)行復(fù)雜性的增加，校園網(wǎng)絡(luò)安全受到嚴(yán)重威脅，傳統(tǒng)防火墻技術(shù)只能被動(dòng)進(jìn)行風(fēng)險(xiǎn)防范，而采取先進(jìn)的蜜罐技術(shù)則能夠?qū)崿F(xiàn)校園網(wǎng)絡(luò)安全的主動(dòng)防范格局。本文首先分析了蜜罐技術(shù)的特點(diǎn)和應(yīng)用優(yōu)勢(shì)，對(duì)其部署位置及數(shù)量進(jìn)行分析，并結(jié)合校園網(wǎng)絡(luò)蜜罐技術(shù)的應(yīng)用實(shí)踐進(jìn)一步分析其主動(dòng)防御功能的實(shí)現(xiàn)路徑。

【關(guān)鍵詞】校園網(wǎng)安全 蜜罐技術(shù) 入侵檢測(cè)系統(tǒng)

在網(wǎng)絡(luò)技術(shù)不斷升級(jí)的背景下，校園網(wǎng)絡(luò)中信息設(shè)備應(yīng)用數(shù)量持續(xù)增加，而校園網(wǎng)絡(luò)被干擾和入侵的風(fēng)險(xiǎn)也在同步增加。當(dāng)前校園網(wǎng)絡(luò)中的主要安全保障措施有防火墻技術(shù)、防病毒軟件、入侵檢測(cè)、數(shù)據(jù)加密等，這些防范措施較為被動(dòng)，只有在網(wǎng)絡(luò)受到威脅之后才能采取防范措施，處理相對(duì)滯后。而蜜罐技術(shù)的應(yīng)用則側(cè)重于提前部署防范措施，屬于主動(dòng)式風(fēng)險(xiǎn)防御系統(tǒng)，通過對(duì)網(wǎng)絡(luò)攻擊手段、攻擊工具等因素進(jìn)行分析，從而制定主動(dòng)防范網(wǎng)絡(luò)威脅的有效措施，構(gòu)建校園網(wǎng)絡(luò)的實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)控體系，提高風(fēng)險(xiǎn)防范的主動(dòng)性和有效性。

1 蜜罐技術(shù)特點(diǎn)及應(yīng)用優(yōu)勢(shì)

1.1 蜜罐技術(shù)特點(diǎn)

蜜罐技術(shù)是一種新型網(wǎng)絡(luò)安全防御模式，和以往網(wǎng)絡(luò)安全部署有著很大不同。蜜罐技術(shù)通過欺騙、誘導(dǎo)等技術(shù)手段，能夠“請(qǐng)君入甕”，誘導(dǎo)攻擊者實(shí)施攻擊行為，并從其行為過程中捕獲相關(guān)數(shù)據(jù)，從而使網(wǎng)絡(luò)管理者對(duì)攻擊者的具體信息進(jìn)行了解，破解其攻擊路徑，找出被攻擊系統(tǒng)中存在的漏洞。應(yīng)用蜜罐技術(shù)能夠形成軟件與硬件相結(jié)合共同作用的防范技術(shù)體系，不會(huì)參與網(wǎng)絡(luò)應(yīng)用中的實(shí)際業(yè)務(wù)，而且也不會(huì)接觸正常網(wǎng)絡(luò)業(yè)務(wù)內(nèi)容。正是因?yàn)槊酃薏痪邆湔嬲木W(wǎng)絡(luò)服務(wù)價(jià)值，一旦出現(xiàn)蜜罐攻擊行為就會(huì)引起管理管理員的重視，以此蜜罐內(nèi)部數(shù)據(jù)流通都會(huì)被進(jìn)行全盤監(jiān)測(cè)和掃描，并針對(duì)其行為進(jìn)行具體分析。從這一特點(diǎn)來看，蜜罐具有誘餌性，能夠反向記錄攻擊者的攻擊行為和相關(guān)數(shù)據(jù)，并及時(shí)反饋到系統(tǒng)安全管理中心，以便于管理人員及時(shí)采取行動(dòng)，進(jìn)行主動(dòng)防御。

1.2 蜜罐技術(shù)的應(yīng)用優(yōu)勢(shì)

蜜罐技術(shù)主要具備四大優(yōu)勢(shì)：

1.2.1 前瞻性

與傳統(tǒng)網(wǎng)絡(luò)安全管理中被動(dòng)的風(fēng)險(xiǎn)防范體系不同，蜜罐具有主動(dòng)捕獲網(wǎng)絡(luò)攻擊的能力，同時(shí)還能同步記錄攻擊信息，使管理者掌握其攻擊工具，并以此制定更有針對(duì)性的防范措施。這一風(fēng)險(xiǎn)防范模式具有前瞻性，能夠在對(duì)抗網(wǎng)絡(luò)攻擊中占據(jù)主動(dòng)。

1.2.2 準(zhǔn)確性

一旦攻擊者對(duì)校園服務(wù)器實(shí)施掃描，就會(huì)被引入蜜罐系統(tǒng)中，所以在蜜罐系統(tǒng)中，所有數(shù)據(jù)均來自攻擊者，正常網(wǎng)絡(luò)訪問不會(huì)被蜜罐所捕捉，因此其準(zhǔn)確率較之一般防御系統(tǒng)更高。

1.2.3 適用性

蜜罐系統(tǒng)會(huì)主動(dòng)引誘攻擊者采取行動(dòng)，并對(duì)其攻擊行為進(jìn)行詳細(xì)記錄，尤其對(duì)反向偵查技術(shù)更為適用。因此，能夠針對(duì)不同形式的攻擊保持完整的數(shù)據(jù)記錄，其數(shù)據(jù)更具適應(yīng)性。

1.2.4 簡(jiǎn)單性

蜜罐系統(tǒng)部署較為簡(jiǎn)單，設(shè)立獨(dú)立區(qū)域?qū)粽哌M(jìn)行誘導(dǎo)，從而獲得其攻擊數(shù)據(jù)。無論是虛擬蜜罐和真實(shí)蜜罐，其配置和部署都具有較高的便捷性和可行性，而且無需繁瑣的技術(shù)維護(hù)，能夠有效節(jié)約人力物力。

2 校園網(wǎng)絡(luò)蜜罐部署方案

2.1 蜜罐類型

以蜜罐部署與攻擊者交互程度進(jìn)行分析，可以將蜜罐劃分三種類型，即低交互蜜罐、中交互蜜罐、高交互蜜罐。低交互蜜罐不具備系統(tǒng)功能，以端口監(jiān)聽完成虛擬服務(wù)，在信息捕獲方面數(shù)量較少，維護(hù)較為簡(jiǎn)單，其局限性在于無法獲得較為復(fù)雜的協(xié)議傳輸數(shù)據(jù)，其風(fēng)險(xiǎn)程度較低。中交互蜜罐不具備系統(tǒng)功能，在信息捕獲方面數(shù)量較多，配置維護(hù)較為復(fù)雜，其局限性在于可能受到網(wǎng)絡(luò)破壞和攻擊，其風(fēng)險(xiǎn)程度居中。高交互蜜罐具有操作系統(tǒng)，攻擊者與操作系統(tǒng)及真實(shí)的服務(wù)進(jìn)行交互，能夠捕獲更多的系統(tǒng)信息，配置維護(hù)相對(duì)復(fù)雜，其局限性在于系統(tǒng)被攻陷后，會(huì)成為攻擊者攻擊正常系統(tǒng)的跳板，風(fēng)險(xiǎn)程度較高。

由此可見，攻擊者與蜜罐之間的交互作用越強(qiáng)，其信息捕獲數(shù)量也就越多，同時(shí)風(fēng)險(xiǎn)程度也會(huì)有所提升。蜜罐具有真實(shí)的網(wǎng)絡(luò)部署環(huán)境，因此構(gòu)架較為復(fù)雜，所面臨的風(fēng)險(xiǎn)也會(huì)增加。不同防御程度的蜜罐其防御價(jià)值各有不同，在應(yīng)用實(shí)踐中則需要根據(jù)網(wǎng)絡(luò)安全需求進(jìn)行蜜罐部署，判斷其交互程度，制定更安全高效的蜜罐防范體系。

2.2 蜜罐的布署位置

蜜罐位置需要結(jié)合校園網(wǎng)絡(luò)規(guī)模、安全需要等確定部署決策。蜜罐與服務(wù)器鏈接，一旦發(fā)現(xiàn)高危入侵行為，系統(tǒng)能夠在第一時(shí)間做出相應(yīng)，并主動(dòng)鎖定攻擊，針對(duì)攻擊數(shù)據(jù)針對(duì)其入侵工具和動(dòng)機(jī)進(jìn)行分析，從而制定更有效的安全防范措施。同時(shí)蜜罐還能對(duì)攻擊者行為進(jìn)行監(jiān)測(cè)記錄，保留攻擊證據(jù)。

2.3 蜜罐的部署數(shù)量

蜜罐系統(tǒng)的最終防范成效與其布置數(shù)量、服務(wù)器臺(tái)數(shù)等有直接關(guān)系，兩者需要確定科學(xué)的配置比例，這一比例值也叫作“防御期望值”。蜜罐部署數(shù)量越高，其期望值就越大，而且在蜜罐數(shù)量不斷增加的環(huán)境下，其期望值增速會(huì)呈現(xiàn)遞減趨勢(shì)。

2.4 基于蜜罐技術(shù)的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

基于校園網(wǎng)絡(luò)原有安全防御體系，將蜜罐技術(shù)融合與服務(wù)器日志、防火墻、入侵檢測(cè)等過程中，能夠構(gòu)建起校園安全的主動(dòng)防御體系，并形成更為完善的蜜罐技術(shù)安全方案。蜜罐系統(tǒng)需要具備對(duì)攻擊信息的及時(shí)影響能力，能夠主動(dòng)引誘攻擊者開展攻擊并捕獲其活動(dòng)數(shù)據(jù)，在更短時(shí)間內(nèi)制定出防范對(duì)策。蜜罐系統(tǒng)內(nèi)的各個(gè)主機(jī)為虛擬機(jī)，各自具有獨(dú)立的操作系統(tǒng)，能夠很好的隱藏在校園網(wǎng)絡(luò)內(nèi)，起到保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的作用。蜜罐主機(jī)利用Sebek軟件對(duì)攻擊者的行為進(jìn)行記錄，并將數(shù)據(jù)傳遞與日志服務(wù)器。IDS系統(tǒng)能夠針對(duì)蜜網(wǎng)數(shù)據(jù)包實(shí)施檢測(cè)，并對(duì)其數(shù)據(jù)進(jìn)行分析。日志服務(wù)器會(huì)記錄防火墻數(shù)據(jù)、入侵日志數(shù)據(jù)以及蜜罐數(shù)據(jù)，并通過防火墻對(duì)校園網(wǎng)絡(luò)的外部攻擊進(jìn)行防范。

2.5 蜜罐系統(tǒng)的工作原理endprint

蜜罐與校園網(wǎng)其它服務(wù)器建立起橋接關(guān)系，通過數(shù)據(jù)鏈路進(jìn)行銜接。蜜罐主機(jī)無需配備IP地址，不會(huì)造成TTL消耗，因此其隱蔽性更好。校園網(wǎng)絡(luò)網(wǎng)關(guān)會(huì)將應(yīng)用服務(wù)器與蜜罐進(jìn)行隔離，如果有攻擊行為出現(xiàn)，蜜罐會(huì)對(duì)其進(jìn)行實(shí)施攔截，從而保護(hù)服務(wù)器不受干擾。一般情況下，如果是正常數(shù)據(jù)訪問，則數(shù)據(jù)會(huì)同時(shí)進(jìn)入校園網(wǎng)絡(luò)和蜜網(wǎng)內(nèi)，此類數(shù)據(jù)具有安全性，不會(huì)對(duì)校園網(wǎng)絡(luò)造成破壞。而黑客發(fā)起攻擊時(shí)，蜜罐會(huì)形成誘導(dǎo)作用，蜜罐中會(huì)顯示異常數(shù)據(jù)，這些數(shù)據(jù)被捕獲并進(jìn)行分析，管理員能力找出數(shù)據(jù)規(guī)律，并將其提取指入侵檢測(cè)庫內(nèi)進(jìn)行檢測(cè)。一旦同規(guī)則入侵二次出現(xiàn)，入侵檢測(cè)就會(huì)主動(dòng)封鎖數(shù)據(jù)入口，實(shí)現(xiàn)主動(dòng)防御。

3 校園網(wǎng)絡(luò)蜜罐技術(shù)的實(shí)施路徑

3.1 蜜罐部署

蜜罐部署將與虛擬主機(jī)、控制機(jī)進(jìn)行連接，在虛擬主機(jī)上分別部署Windows和Linux蜜罐。同時(shí)利用物理計(jì)算機(jī)設(shè)置Windows蜜罐。

3.2 數(shù)據(jù)控制

數(shù)據(jù)控制以系統(tǒng)內(nèi)流經(jīng)數(shù)據(jù)為主。實(shí)施數(shù)據(jù)控制的首要條件在于發(fā)揮蜜罐的誘導(dǎo)作用，能夠使攻擊者在沒有防備的情況下進(jìn)入蜜罐。這就需要開放蜜罐數(shù)據(jù)限制，但是為了保證攻擊者不會(huì)對(duì)校園正常網(wǎng)絡(luò)進(jìn)行攻擊，強(qiáng)化蜜罐安全性能，管理者需要對(duì)虛擬蜜罐設(shè)計(jì)數(shù)據(jù)流動(dòng)檢測(cè)，尤其的外出鏈接、數(shù)據(jù)流量等要做到實(shí)時(shí)監(jiān)測(cè)。同時(shí)，還需要進(jìn)一步增強(qiáng)對(duì)虛擬蜜罐中數(shù)據(jù)的處理能力，以避免數(shù)據(jù)包在黑客攻擊下廣泛傳播。

蜜罐部署作用的發(fā)揮，首先需要把流經(jīng)地址內(nèi)的所有數(shù)據(jù)傳輸至蜜罐主機(jī)內(nèi)，在蜜網(wǎng)中蜜罐設(shè)置較為隱秘，因此入侵者無法判斷實(shí)施攻擊的系統(tǒng)哪個(gè)是校園網(wǎng)絡(luò)系統(tǒng)、哪個(gè)是蜜罐陷阱。在防火墻作用下，所有數(shù)據(jù)訪問必須經(jīng)由校園路由器，都需要經(jīng)過eth0，并將數(shù)據(jù)傳輸至蜜罐主機(jī)中。因此，校園網(wǎng)絡(luò)信息過濾系統(tǒng)（Iptables）模塊需要進(jìn)行相應(yīng)配置，從而保證實(shí)現(xiàn)良好的數(shù)據(jù)導(dǎo)向作用。還可以在虛擬蜜罐部署中對(duì)蜜罐流量進(jìn)行嚴(yán)格檢測(cè)，以分鐘為單位對(duì)ICMP協(xié)議、TCP協(xié)議、UDP協(xié)議進(jìn)行檢測(cè)，控制其每分鐘數(shù)據(jù)包保持20個(gè)左右。檢測(cè)防火墻是否將蜜罐數(shù)據(jù)發(fā)送至入侵檢測(cè)系統(tǒng)，同時(shí)還需要將攻擊數(shù)據(jù)格式轉(zhuǎn)化為Replace。

3.3 數(shù)據(jù)捕獲

蜜罐技術(shù)作為顯著的功能在于捕獲相關(guān)入侵?jǐn)?shù)據(jù)。如果不具備數(shù)據(jù)捕獲功能，那么蜜網(wǎng)將難以發(fā)揮其實(shí)質(zhì)性作用。蜜罐數(shù)據(jù)捕獲主要有三個(gè)途徑：

（1）通過蜜網(wǎng)日志提?。?/p>

（2）通過入侵檢測(cè)系統(tǒng)數(shù)據(jù)獲得；

（3）Sebek工具獲得相關(guān)數(shù)據(jù)。

在蜜網(wǎng)數(shù)據(jù)進(jìn)行收集整理，經(jīng)過專業(yè)處理后能夠?qū)⑵浔Ａ粼谛@網(wǎng)絡(luò)安全數(shù)據(jù)庫，作為后續(xù)安全管理、網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的數(shù)據(jù)參考。以下將詳細(xì)分析數(shù)據(jù)捕獲路徑：

3.3.1 蜜網(wǎng)日志

蜜網(wǎng)日志中囊括了多個(gè)蜜罐部署，并且通過rc·honeywall腳本得以實(shí)現(xiàn)。蜜網(wǎng)日志能夠?qū)Ω髅酃拗械膭?dòng)態(tài)數(shù)據(jù)進(jìn)行系統(tǒng)捕獲，此外，還能針對(duì)數(shù)據(jù)進(jìn)入、外流情況做出實(shí)時(shí)記錄，在這一模式下，網(wǎng)絡(luò)管理者能夠從多個(gè)層面對(duì)異常數(shù)據(jù)進(jìn)行分析，并能夠?qū)ふ移浠顒?dòng)規(guī)律。

3.3.2 入侵檢測(cè)數(shù)據(jù)

入侵檢測(cè)系統(tǒng)不但能夠?qū)π@內(nèi)網(wǎng)不同接口的數(shù)據(jù)進(jìn)行檢測(cè)，同時(shí)還能獲得網(wǎng)絡(luò)中的流通數(shù)據(jù)，而且對(duì)于CDP數(shù)據(jù)的流通也能進(jìn)行及時(shí)捕獲。此外，該系統(tǒng)還能夠以記錄器方式對(duì)數(shù)據(jù)包進(jìn)行存儲(chǔ)，根據(jù)數(shù)據(jù)1P對(duì)其進(jìn)行集中分類，并將其存儲(chǔ)于log-directors內(nèi)。同時(shí)，入侵檢測(cè)還能實(shí)現(xiàn)本地網(wǎng)絡(luò)的-h定制，記錄本地網(wǎng)相關(guān)數(shù)據(jù)，以便在部署蜜罐過程中設(shè)置相應(yīng)腳本，其后啟動(dòng)入侵檢測(cè)，最后實(shí)現(xiàn)網(wǎng)址編輯、修訂，形成完成的日志記錄。

3.3.3 Sebek系統(tǒng)數(shù)據(jù)捕獲

Sebek能夠?qū)崿F(xiàn)對(duì)加密數(shù)據(jù)的捕獲，該系統(tǒng)有客戶端與服務(wù)器兩部分構(gòu)成，其中在虛擬蜜罐中裝置有客戶端，如果蜜罐受到黑客攻擊，Sebek就能夠?qū)粜袨檫M(jìn)行實(shí)時(shí)捕獲，并將其傳輸?shù)叫@網(wǎng)絡(luò)中，通過網(wǎng)關(guān)進(jìn)行收集記錄。

3.4 數(shù)據(jù)分析

蜜網(wǎng)所捕獲到的異常數(shù)據(jù)需要進(jìn)行及時(shí)分析處理，必須保證其時(shí)效性才有價(jià)值。通過蜜罐部署實(shí)現(xiàn)校園網(wǎng)絡(luò)異常數(shù)據(jù)分析，進(jìn)而實(shí)現(xiàn)自動(dòng)報(bào)警作用。通過Swatch工具不但能夠?qū)P列表進(jìn)行透視，同時(shí)還具備入侵文件檢測(cè)透視功能。在系統(tǒng)受到黑客攻擊之后能夠自動(dòng)啟動(dòng)報(bào)警功能。如果蜜罐裝置在受到外部攻擊后提示外部風(fēng)險(xiǎn)防范信息，則Swatch工具能夠及時(shí)向系統(tǒng)管理員發(fā)送信息，從而引導(dǎo)管理員提起關(guān)注。

3.5 蜜罐滲透攻擊

Metasploit工具具有良好的系統(tǒng)風(fēng)險(xiǎn)監(jiān)測(cè)性能，在linux配置中版本過舊，其信息服務(wù)系統(tǒng)（samba）很難檢測(cè)來自系統(tǒng)邊緣區(qū)域，因此黑客會(huì)將這一區(qū)域鎖定為操控去，對(duì)其進(jìn)行遠(yuǎn)程控制。在校園網(wǎng)絡(luò)中主要系統(tǒng)檢測(cè)工具為Metasploit，通過漏洞攻擊、數(shù)據(jù)痕跡等進(jìn)行檢測(cè)，主要步驟如下：首先需要將在宿主主機(jī)內(nèi)配置Metasploit工具；其次，針對(duì)Metasploit方案對(duì)攻擊數(shù)據(jù)進(jìn)行測(cè)試，操作流程為：打開主機(jī)防火墻裝置，實(shí)現(xiàn)和4444端口的有效連接；接下來在蜜罐網(wǎng)絡(luò)中啟動(dòng)samba服國(guó)內(nèi)，保證MSFConsole狀態(tài)穩(wěn)定，輸入攻擊命令后，能夠得到反向shell。最后針對(duì)攻擊數(shù)據(jù)進(jìn)行分析，根據(jù)蜜罐數(shù)據(jù)做系統(tǒng)分析，等待攻擊漏洞完成后，通過檢測(cè)工具（Walleye）對(duì)蜜罐數(shù)據(jù)進(jìn)行梳理，并將分析結(jié)果反饋與系統(tǒng)安全管理體系內(nèi)。

4 結(jié)語

實(shí)踐證明，在校園網(wǎng)絡(luò)安全管理中部署蜜罐網(wǎng)絡(luò)具有極高的可行性。蜜罐能夠形成攻擊陷阱，引誘攻擊者主動(dòng)進(jìn)入蜜罐，從而獲得其攻擊數(shù)據(jù)并找出攻擊規(guī)律。通過系統(tǒng)日志數(shù)據(jù)分析，能夠?qū)粽叩膶?shí)施方法、攻擊意圖有所了解。將蜜罐與日志服務(wù)器、入侵檢測(cè)以及校園防火墻等系統(tǒng)進(jìn)行連接，能夠構(gòu)建起校園網(wǎng)絡(luò)主動(dòng)式安全防御體系?？傊扇∶酃藜夹g(shù)具有前瞻性、安全性、準(zhǔn)確性、便捷性等特點(diǎn)，而且部署簡(jiǎn)單、維護(hù)方便，通過主動(dòng)防御增強(qiáng)校園網(wǎng)絡(luò)安全系數(shù)。

參考文獻(xiàn)

[1]茅一磊.蜜罐技術(shù)及其新應(yīng)用[J].電信網(wǎng)技術(shù)，2017（06）.

[2]石樂義，姜藍(lán)藍(lán)，劉昕，賈春福.擬態(tài)式蜜罐誘騙特性的博弈理論分析[J].電子與信息學(xué)報(bào)，2014（05）.

[3]石樂義，姜藍(lán)藍(lán)，賈春福，王曉蕊.蜜罐誘騙防御機(jī)理的博弈理論分析[J].電子與信息學(xué)報(bào)，2015（06）.

[4]程曉偉，楊百龍.基于蜜罐特征的蜜罐識(shí)別技術(shù)[J].現(xiàn)代電子技術(shù)，2015（15）.

[5]李莉，孫華，張振宇.蜜罐技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用研究[J].新疆大學(xué)學(xué)報(bào)（自然科學(xué)版），2014（04）.

作者簡(jiǎn)介

江峰（1984-），男，江西省萍鄉(xiāng)市人。大學(xué)本科學(xué)歷?，F(xiàn)萍鄉(xiāng)學(xué)院教師、助教。研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。

作者單位

萍鄉(xiāng)學(xué)院 江西省萍鄉(xiāng)市 337000endprint