郑艳君
(湖北工程学院 计算机与信息科学学院,孝感 432100 )
蜜罐是一种主动防御工具,在网络安全问题的预防、检测和响应阶段都发挥着它的作用。随着网络中入侵攻击越来越多,蜜罐正逐渐成为企业信息安全的新防御手段。对于一般的企业应用,企业网是一个单一的网络,目前市场上已有不少的免费的或商业化的蜜罐工具可供使用;而对于一些在全国多个省份设立分支机构的企业,因其本身企业内部网是较复杂的分布式网络,简单的在各个分支结构独立的设置多个蜜罐是无法很好的发挥其作用的。因此,本文针对这类分布式的企业内部网设计了一种分布式的蜜罐系统,针对不同系统建立不同平台的蜜罐,并使之形成一个交互的体系,全面反馈网络情况,更好发挥蜜罐的主动防御功能[1,2]。分布式蜜罐不同于蜜网,它强调的是区域的分布式,即地理位置的分布式,而蜜网技术则是在一个点所作的体系架构,蜜网可以作为分布式蜜罐的节点。
通过研究蜜罐技术的基本原理,并根据分布式企业内部网的特点及所受的安全威胁,设计并实现一个分布式蜜罐系统,在使用分布式蜜罐系统时候,蜜罐的核心要求就是企业可以对于Internet及企业网内部的攻击者的相关行为和数据进行铺货,保护真实目标系统,并及时产生安全预警;对于内部攻击者,可以追踪攻击源,为攻击行为审计取证;同时为网络安全管理人员提供相应数据,使其可以及时调整安全策略,制定相应措施,为企业创建一个安全的网络环境。
构建分布式蜜罐系统除了运用常规蜜罐的技术:网络诱骗、数据控制、数据捕获和数据分析之外,还需要考虑的关键技术问题主要是由其分布式体系所决定的。
随着Internet技术的发展,现在的企业网络规模在不断扩大,设备物理分布变得十分复杂。同时攻击者的入侵行为也逐渐复杂化、隐蔽化,并常常通过多个主机实施大面积的分布式攻击。在这样的新情况下,简单的在各个业务子网独立的设置多个蜜罐,或为企业网部署单个的蜜网存在很大不足,具体如下:
l)捕获到的数据难以直接反映全局的信息状况。
2)因为蜜罐技术视野狭窄,只能看见针对自身的攻击行为,而无法捕获针对其他系统的攻击行为;而复杂网络环境下,存在多种接入方式,蜜罐很容易被绕过。
3)集中式数据处理对控制器要求很高,控制器可能成为瓶颈和单一失效点;并且系统扩展性、灵活性较差。
4)对于复杂的、有可能的协同攻击,无法很好的检测和响应。
因此,针对不同的企业网络的不同规模,我们提出面向企业网的分布式蜜罐系统,作为企业主动防御的一个重要工具,并为企业制定安全策略、调整安全措施提供重要依据。
我们没有就此满足,在铸管领域继续加大科技创新力度,不断开发特殊涂层管、压力等级管、排污管以及特殊用途的铸管新产品、新技术,自主开发成功高效离心机等装备。
较大型的企业网络通常具有多级、分布和树形的特点。因此,我们的分布式蜜罐系统在宏观上应该具有与实际网络一致的体系结构,即多级分布式体系结构。
蜜罐的捕获能力来自于其数量和分布范围,分布式的蜜罐系统在其检测面积、捕获信息量等方面是单点配置的蜜罐无法比拟的。然而,分布式的环境和捕获信息量的大幅增加对捕获信息的传输汇总提出了一定的要求。
对数据的汇总我们主要考虑两个方面的问题,一是采集数据的内容,二是数据采集的方式。对此我们分别作如下说明:
1)数据采集的内容
在分布式的环境下,蜜罐数量相应较多,蜜罐数量的增加带来上报信息数量的增加,并且上报的信息数据要通过网络传输到远程的管理中心,因此我们采集信息数据时就需要考虑网络流量的问题。一般来说,有两种基本的方法来采集数据,一是各分布式站点对数据进行处理,集中汇总的只是结果集;二是基于前端设备包转发,将原始数据汇集到管理中心,这样可以很容易实现复杂IP段的分布部署和实体的集中。因为蜜罐所捕获的数据是高度保真的小数据集,数据量并不是特别大,因此我们采用两种方法,结合两者的优点,数据库采用本地和集中管理中心两级数据库,根据设定的策略,数据首先在本地存储,需要时发送到集中管理中心集中存储。分布式控制中心能够对数据进行一定的处理分析,本地数据库可存放融合后的各类数据,也存放网络原始数据包,供集中管理中心查询。
2)数据采集的方式
分布式站点获取的数据汇总的另一个关键的方面,在通过安全的方式收集前提要求下,确保信息的相关真实性、保密性和完整性在采集信息时能够进行保存。便是要确保信息是以通过安全的方式收集的,数据采集的重点还在于所采集信息的真实性、完整性和较高保密性。我们可以通过一些加密措施(如使用IPSec隧道)来保障传送的数据安全。
格式的标准化在发送数据时应该被采用,以实现不同的分布式站点或网络系统采集到的数据能够实现共享和聚合;应该明确蜜罐和蜜网的命名,对于管理与维护每个蜜网类型提供一定帮助。
分布式蜜罐造成庞大的上报数量,相应也增加了数据分析处理的压力。首先必须形成一个具有较强的自动前段处理能力的分拣机制,对数据进行预处理,一般是按一定规则对数据进行过滤和分类。而后,利用其余相关技术,包括统计分析、可视化以及数据挖掘等方面的内容进行攻击特征研究,进行攻击趋势分析。
目前,对数据分析技术的进一步研究已经取得了一定的成果,其中狩猎女神项目组开发了攻击关联分析工具Athena,它是在AI领域中经典规划图和目标规划图模型基础上,提出扩展目标规划图模型,实现攻击规划识别算法规划图模型,实现攻击规划识别算法,对输入的IDS报警信息、Argus网络连接数据等多源数据输出高层攻击场景图。蜜网项目组也提出了同一数据分析框架UDAF,支持不同格式的数据获取,数据过滤,数据融合,数据输出以及数据可视化分析。
前面提到过,蜜罐像其他系统一样,也是可以被攻破的,一旦它被攻陷,就有可能被利用作为攻击、渗透其他系统的跳板。
值得注意,可以攻破蜜罐,当蜜罐被攻陷以后,这样就成为攻击其他系统的跳板。为了防止攻击者在攻陷蜜罐主机后将其作为跳板攻击业务网络或第三方网络,蜜罐系统必需具有数据控制的功能,在一个网络环境中,网络管理员是否及时能知道蜜罐是否被攻陷无疑是很重要的,攻击行为也多为分布式的协同攻击,一个地方子网中的蜜罐被攻陷,通常意味着其他子网也会受到攻击,更需要及时迅速的报警。
在一般的蜜罐系统中常常使用的报警软件为Swatch软件,作为一种守护程序,它能够自动监视目标系统的各种日志文件,包括Snort-inline还有IPTables生成的日志文件。通过Swatch预先设定好的模式匹配原则,这样可以对于系统的运行状态获取进行分析。当这匹配模式形成后,就往往能够通过邮件、系统喇叭等方面或其他定义好的程序等进行告警。此外,它还能够像Syslogd守护程序那样主动的扫描日志文件并对特定的日志消息采取修复行动。
在分布式蜜罐系统中,Swatch通常安装配置在各分布站点的站点管理服务器上,与网络安全管理员所使用的集中管理平台不在同一个地域,因此,需要我们将单个业务子网的报警信息与集中管理平台相联系和整合,以使报警信息尽快到达集中控制中心,其他子网提供预警。
根据系统设计目标,我们所设计的面向企业网的分布式蜜罐系统采用多级分布式体系结构,系统结构如图1所示。
图1 系统结构示意图
整个系统主要由三个部分组成:集中管理控制中心、各级节点控制中心和蜜罐。集中管理控制中心负责整个分布式系统的管理和数据分析,各个节点控制中心负责业务子网中各个节点的控制。
集中管理控制中心是整个分布式蜜罐系统的管理中心,负责收集和分析整个蜜罐系统捕获的各种数据,同时集成了用户管理、分布站点管理、数据管理、报警处理等管理功能和数据库。
各级节点控制中心可以是一台充当网关的主机,在同一网段内至少设置一个,也可根据情况设置多个不同级别的节点控制中心。节点控制中心对网段内的蜜罐进行配置和管理。节点控制中心可以存放它所管理的蜜罐的各种日志信息,并对各种捕获信息进行初步分析,及时产生报警;节点控制中心和集中管理控制中心相联系,是集中管理控制中心各种数据的来源。通常节点控制中心和蜜罐之间有网关进行隔离,所有进出蜜罐的通信都必须经过网关。
在面向企业网的分布式蜜罐系统中,我们的主要目的是了解内部网所遭受到的攻击,检测防御中的失误,并采取相应的措施或及时发出预警,因此并不总是需要高交互蜜罐,而应选择最低安全风险的蜜罐。所以各分布站点的蜜罐部署可以采用一个或多个低交互式的蜜罐。蜜罐的部署模式通常采用防护罩式,部署在防火墙之后,这样不仅可以检测来自外网的攻击,收集到已经通过防火墙的有害数据,也可以探查内部攻击者。
此外,在低交互的蜜罐选择上,我们也要考虑到企业资源的充分利用。我们可以在一台主机上安装任何操作系统,作为一个真实的蜜罐主机,但是这样在同一时刻,就只能有一个操作系统在一台机器上运行,没能更好的利用商业资源;并且,一旦蜜罐系统遭受攻击,重新安装真实蜜罐系统也会耗费一定的时间。因此,在面向企业网的分布式蜜罐系统中,我们都采用虚拟蜜罐或虚拟机蜜罐,这样可以在尽可能小的投入下建立蜜罐系统,并且维护较方便,也可以迸一步实现蜜罐的自动化配置。
目前,一般企业在企业网络中运用的绝大多数安全技术是被设计用来阻止未授权的可疑行为获取资源,并且安全工具仅仅是作为一种被动的保护措施被布置,所以它们对网络的保护有一定的局限。而蜜罐技术作为一种动态防御机制,是企业现有安全措施的一种非常有益的补充,它对安全管理人员及时了解企业网络安全状况,调整安全策略,制定相应应对措施非常有效。虽然目前已经有不少蜜罐工具,但只适用于网络简单的小型企业,对具有分布式网络的大型企业来说,设计部署分布式蜜罐系统是必要的。
[1]王东来.入侵诱骗系统应用技术研究[J].制造业自动化,2010,32(12).
[2]史伟奇,程杰仁,唐湘滟.分布式陷阱网络系统的关键技术研究与实现[J].计算机工程与设计,2008,29(21).
[3]肖军弼,刘广祎.分布式蜜罐系统的设计与实现[J].计算机工程与设计,2007,28(19).