蜜网在电信运营商的应用

唐洪玉

（北京神州绿盟信息安全科技股份有限公司，北京 100089）

随着网络攻击技术的发展，特别是分布式拒绝服务攻击、跳板（Step-stone）攻击及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标；而且，特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包（Rotkit）、能够集成多种攻击脚本并提供易用接口的攻击框架的出现，使得攻击“无处不在”，简单易行。

同时，电信运营商网络的建设规模在不断扩大，其所面临的安全威胁也在急剧增加，安全风险不断被放大。然而，当网络系统被攻击后，对于对手是谁、他们使用了哪些工具、以何种方式抵达攻击目标等，运营商对这些都一无所知。

面对日益复杂的入侵事件，运营商目前所广泛采用的传统的被动防御手段已很难满足当前的需求，因此必须采用一种新的技术手段，增强安全防御工作的积极性和主动性，而这种技术的首选就是蜜网。

1 蜜网技术简介

1.1 蜜网的基本概念

蜜罐（Honeypot），简单来说，是一项技术、一种安全资源，它的价值就在于被探测、攻击和破坏。蜜网（Honeynet），是在蜜罐技术上逐步发展起来的一个新的概念，它实际上是一种研究型的、高交互型的蜜罐技术，其主要目的是收集黑客的攻击信息。与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个体系中包括一个或多个蜜罐；多层次的数据控制机制；全面的数据捕获机制和深入的数据分析机制。

1.2 蜜网体系框架

如图1所示，一个典型蜜网体系框架由蜜罐主机、蜜网网关和日志服务器/监控管理平台等3部分构成。其中，蜜网是与内部业务网络并行的网络，由多个蜜罐主机组成；所有进出蜜网的流量都需要经过蜜网网关；日志服务器（监控管理平台）对蜜罐主机及蜜网网络产生的日志数据进行收集，提供后续分析。

图1 典型蜜网体系框架图

一般来说，蜜网具有三大核心功能：数据控制、数据捕获和数据分析。其中，数据控制功能，主要是将黑客攻击控制在蜜网内，而不会扩散至其它的网络和系统，从而可以减轻或杜绝蜜网作为攻击跳板的风险；数据捕获功能，使得蜜网可以将攻击的所有行为数据全部记录下来；而数据分析功能，则是帮助蜜网使用人员对捕获的数据进行汇总、整理、分析和展现。

1.2.1 数据控制功能

数据控制功能，可以由蜜网网关完成。一般而言，蜜网网关对流入蜜网的数据分组不做限制，使得黑客能攻入蜜网；但对蜜网对外发起的跳板攻击进行严格控制，采用的控制方法包括攻击分组抑制和对外连接数限制等方法。

蜜网网关本身就具有IPS的功能，限制对外攻击，同时可以做类似防火墙的访问控制；而且，蜜网被攻击并获得攻击数据后，会很快自动将蜜罐复原，恢复初始态。通过这些措施，从根本上杜绝了黑客想利用蜜罐做跳板的可能性。

1.2.2 数据捕获功能

数据捕获功能，由蜜网网关和蜜罐主机上的行为监视模块共同完成。

蜜网网关内置网络攻击检测模块，对流入蜜网的数据分组基于规则进行告警，产生告警日志，同时捕获原始流量数据分组，生成netflow流数据。在各蜜罐主机，自我隐藏的行为监视模块，对蜜罐主机的各种变化情况（如进程变化、网络连接变化、文件变化、注册表变化……）进行记录，生成日志，并且捕获样本文件，以隐藏协议栈传输的方式传到蜜网网关，再传到日志服务器（监控管理平台）。

1.2.3 数据分析功能

蜜网系统，可以从大量的网络数据中提取出攻击行为的特征和模型，通过数据融合和关联分析，进行全面完善的数据分析，从而可以使蜜网用户非常容易的了解和掌握攻击者所用的技术、动机、新工具和新方法。

1.3 蜜网的优势

蜜网技术，在捕获和了解安全威胁方面，具有以下优势。

（1） 捕获到的流量都是恶意的。根据定义，蜜罐不具备常规用途，里面没有任何的业务流量，所以任何出入蜜罐的流量都可以被视为是恶意的。同时，这种特性，也使得蜜网捕获到的网络流量相对较少；

（2） 误报率极低。在蜜网中，并不依赖于任何区分正常流量和异常流量的检测算法，从而使得其误报率非常低；

（3） 具备对未知攻击的发现能力。蜜网具备完善的数据捕获能力，通过对捕获到的行为数据进行进一步分析，可以发现新的攻击行为，同时可以提取其攻击特征；

（4） 强大的数据分析能力。蜜网具有完善的数据分析能力，可以从大量的网络数据中提取出攻击行为的特征和模型，通过数据融合和关联分析，进行全面完善的数据分析，从而可以使蜜网用户非常容易的了解和掌握安全威胁的情况。

2 蜜网在电信运营商的应用探讨

2.1 行业应用探讨

蜜网技术在运营商网络安全方面的应用，会给运营商带来保障网络与信息安全的新能力，主要表现在以下几个方面。

2.1.1 定位识别攻击者，为安全运维提供有利支撑

利用蜜网技术，可以有效的监测和定位攻击者，特别是位于内网的攻击者。根据攻击者对内容的兴趣方向、采取的操作，分析其身份目的，通过跟踪功能对入侵者进行有效的追踪，并配合入侵取证功能对黑客入侵行为进行法律取证并有力的打击。

同时，对攻击进行有效定位和识别后，将相关数据提供给安全运维系统，使运维人员可以更好的应对网络攻击，提高安全运维的响应速度和质量。

2.1.2 网络安全状况监控，了解安全威胁状况

蜜网的应用和部署，可以捕获到各种攻击，如恶意代码（病毒、僵尸、蠕虫）、自动化攻击工具攻击、扫描探索式攻击、未知攻击等。同时，借助蜜网强大的数据分析能力，将有助于运营商安全运维人员对当前网络状况的跟踪分析，及时了解系统可能面临的安全威胁。

2.1.3 进行攻防演练培训，提高培训质量

网络安全攻防演练培训，是提高运营商安全运维人员实战能力的重要途径。利用蜜网技术搭建攻防演练平台，通过虚拟蜜网技术可以模拟各种网络服务及系统漏洞；通过数据控制能够确保攻防演练的行为可控，保证演练平台的安全性；数据捕获技术能够检测并审计攻防演练的所有行为数据；而数据分析技术则帮助教师和学员从捕获的数据中分析出攻击方的具体活动、使用工具及其意图，增强实战技能。

2.1.4 进行安全测试，提高系统安全能力

利用蜜网技术，搭建业务应用软件的网络化安全性能测试平台，对该业务应用系统进行模拟和实战攻击，将可以有效的降低应用系统软件存在的技术漏洞等安全隐患，为应用系统的安全性的测评提供数据支持。

2.1.5 监测定位僵尸主机，及时发现潜在威胁

通过部署蜜网，搜集恶意软件，对其样本进行分析，确认是否僵尸程序，并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取，最后通过客户端蜜罐技术，伪装成被控制的僵尸工具，进入僵尸网络进行观察和跟踪，进而发现整个僵尸网络的构成，进行Botnet主机的定位。

2.2 应用案例分析

图2 运营商全国蜜网部署图

图3 Yoyoddos捕获情况

如图2所示，在运营商的IP网上，进行全国蜜网的分级部署：集团部署全国蜜网管理中心，各省公司部署管理分中心和蜜网网关、蜜罐系统。这样，对全国捕获到的攻击统一进行分析和处理，从而获得整体的安全威胁状况。同时，每个省的管理分中心可以对本省的蜜网系统进行管理和数据的分析。

接下来，本文将通过一个发现、分析、封堵Botnet的例子，来对蜜网在运营商安全运维工作中的具体应用进行分析和阐述。

2.2.1 Yoyoddos的发现和捕获

如图3所示，通过蜜网系统，捕获到Yoyoddos.exe，经过蜜网内置的多种扫描引擎确认，发现是恶意的后门软件。从图3中，还可以看出，对于Yoyoddos的捕获已经多达409次，且在多省被捕获。

2.2.2 Yoyoddos的特征及攻击行为分析

如图4所示，蜜网系统可以捕获并显示被感染主机的进程和文件的变化，这可以帮助我们对Yoyoddos的感染过程和行为进行了解和分析。同时，利用蜜网系统，也可以对其攻击场景进行还原。

通过分析，发现当一台主机被这种木马感染后，会生成 %SystemRoot%system32yoyoddos.exe文件，并生成注册表键HKEY_LOCAL_MACHINESYSTEMControlSet001Servicesyoyoddos,将Yoyoddos.exe注册为Windows自启动服务。Yoyoddos服务运行后会连接远端服务器，加入Yoyoddos僵尸网络，听取并执行攻击命令。

对Yoyoddos进一步的跟踪分析，得出如图5所示的信息，从中可以发现Yoyoddos僵尸网络的一些攻击行为，比如TCP FLOOD、UDP FLOOD等。

图4 被感染主机进程和文件变化状况

在图5中，可以看出，僵尸主机会和远端控制服务器“qq***.***.org”（123.*.*.102） 取 得 联 系， 进行通信，听取指令。同时，可以看出，该僵尸网络曾先后对“222.*.*.160”、“222.*.*.161”进行了 TCP FLOOD攻击，并分发了新样本“http://123.*.*.*:8080/dos.exe”。

2.2.3 Yoyoddos的封堵

从上述分析可以得出，该感染主机的远程控制端是“qq***.***.org”（123.*.*.102），并接受指令对外进行了DDoS攻击。那么，如何对该Yoyoddos僵尸网络进行封堵和治理呢？

图5 Yoyoddos行为分析

首先，在IP网相应的网络设备、DNS服务器、安全设备上对远程控制端的IP地址和域名进行封堵和禁止访问；同时，通过监听网络内和该控制端发生的通信，进一步定位网内的其它Yoyoddos主机，给予全面的打击和遏制，使这种Yoyoddos在该运营商的IP网中不再泛滥。

3 总结

蜜网技术的出现，使得我们可以变被动防御为主动进攻，使其具有主动交互性。通过蜜网在运营商的应用和部署，可以使运营商主动了解人侵者的思路、工具、目的和机制，发现潜在的安全威胁，并且针对这些威胁及时找出相应的防御策略，以此来提高系统的安全性。可见，蜜网的应用，对保障运营商的网络安全有着非常重要的意义。