刘永辉,胡巧婕,赵 丽
(1.新疆昌吉广播电视大学信息管理处,新疆昌吉 831100;2.新疆昌吉广播电视大学 学生管理处,新疆昌吉 831100;3.新疆农业职业技术学院信息技术分院,新疆昌吉 831100)
随着计算机及网络技术的不断发展,网络攻击行为也愈发严重,而现有网络安全防护系统多数采用被动式防御,无法快速对未知的攻击手段作出有效响应,且防御能力较差。尤其是高校的校园网管理相对宽松,没有一套成熟的安全防御体系,容易遭受来自入侵者的攻击[1-4]。因此,为了保护校园网安全,文中在蜜罐技术的基础上开发了一套主动式局域网安全防御系统,为校园网的安全运行提供了保障。
文中设计的系统由两大模块组成:蜜罐系统模块及访问控制模块。蜜罐系统存在的价值在于对被攻击者的探测、攻击甚至破坏,其存在能够诱使攻击者进入设置好的“陷阱”。同时,实时监测与记录攻击者的非法入侵行为并提供网络入侵预警,降低真实主机被入侵的可能性。访问控制模块是对局域网内的网络设备访问网络资源进行控制的系统码,其能够限制入侵主机的资源访问,从而实现对局域网中的信息进行有效保护。
为了验证文中系统的有效性与可靠性,进行了系统功能试验与对比试验。系统功能试验结果表明,局域网在遭受入侵时能够准确记录入侵主机的异常访问信息与网络活动信息。因此,该系统的研究为局域网有效抵御外部攻击提供了参考。
蜜罐技术(Honeypot Technology)是一种主动型安全威胁防御技术,属于情报收集系统的一个分支[5]。蜜罐技术的基本思想是通过在系统中部署一个或多个容易遭受攻击的网络主机,并用服务器作为诱饵来欺骗外部攻击者(黑客),使其对诱饵进行攻击。因此,能够及时发现攻击者的侵略行为,分析其所用的攻击方法,进而不断提高系统防入侵能力的一种技术[6]。蜜罐存在的价值在于对被攻击者监测、侵略甚至是控制,在本质上是设计者与攻击者之间相互博弈的过程。
目前,已有众多蜜罐系统被部署于民用、军事网络服务器中,这些蜜罐系统通常根据交互性的差别,即攻击者与蜜罐的交互级别可划分为低交互型和高交互型两种[7-9]。低交互型蜜罐具体表现为蜜罐中只模拟了整个系统部分网络服务和生产部署的特征,从而使攻击者只能获取到较少有价值的信息。该类蜜罐的优势在于部署简单、系统被彻底攻陷的概率较小,并能够模拟出原本不存在的漏洞,以此引导黑客的攻击。但同时也存在缺点,主要在于容易被有经验的攻击者识破,且捕获到的攻击者信息也相对较少。高交互型蜜罐也称为实系统蜜罐,具体表现为蜜罐中为攻击者提供了系统最真实、最全面的网络服务与生产部署的特征,同时也携带着系统中最真实、最危险的漏洞。该类蜜罐的优势在于对攻击者的欺骗性较高,同时能够获取到攻击者更加详细的入侵信息,但缺点在于设置该类蜜罐所具有的安全风险急剧提高,且部署较为复杂。两种蜜罐的差异对比如表1 所示[10]。
表1 低交互与高交互蜜罐的差异对比
通常蜜罐系统由三部分组成:交互仿真、数据捕获及安全防护。具体结构如图1 所示。
图1 蜜罐系统架构
蜜罐系统各部分的具体功能为:
1)交互仿真:该部分面向攻击者,主要是为了攻击者暴露虚假的访问接口,诱使其对系统蜜罐进行攻击。
2)数据捕获[11]:该部分面向安全管理员同时对攻击者隐藏,主要监测系统在遭受攻击时的异常访问、网络流量、数据流向、操作行为等。同时捕获攻击工具、攻击代码等具有较高威胁与分析价值的攻击信息,以便于后续处理。
3)安全防护:该部分也是面向安全管理员同时对攻击者隐藏的一个模块[12],主要保障整个蜜罐系统稳定运行。并采用操作权限分级、阻断、隔离等方式防止攻击者攻陷蜜罐系统,避免被恶意利用。
蜜罐主要用来模拟可能存在的漏洞、易受外部攻击的系统与服务,蜜罐系统的研究有助于安全管理员对外部攻击进行有效捕获与研究。其在防御网络攻击行为中具有鲜明的特点,可以从以下3 个方面进行具体分析[13-15]:
1)防护:蜜罐技术是一种主动防御技术,其不会像普通防火墙和其他防入侵保护设备那样阻断可疑的访问与攻击,而是允许一切流量的流入、流出。蜜罐存在的价值在于被攻击,并由此捕获攻击者的信息,在一定程度上耗费攻击者的时间与资源,进而增加攻击者对系统实际资源的攻击难度。
2)监测:目前大多数网络系统或设备均需要监控整个网络数据流量,尤其是异常的输入输出。传统的检测方式不仅监测效率低、成本昂贵且存在高误报率的问题,严重影响安全管理员处理问题的有效性。蜜罐系统是对真实系统的模拟,主要在软件与算法层面来实现,可以简化系统流量的监测过程,降低外部入侵监测的误报率。
3)响应:当蜜罐中进入攻击者时,蜜罐会对攻击者的操作行为进行记录并了解攻击者的信息等[16],为后续安全管理员的分析处理提供重要参考。
针对目前局域网安全防御系统所存在的问题以及蜜罐技术的特点和优势,文中设计了基于蜜罐技术的局域网安全防御系统。该系统的整体架构示意图如图2 所示。
图2 系统架构示意图
部署蜜罐系统是为了诱使黑客进行攻击,并与蜜罐系统发生交互以及对侵略行为进行监测、记录。访问控制模块的引入,保证了管理员在一定程度上对入侵行为进行控制,使其无法访问到真实的主机服务器,进而提高网络的防御能力。
文中所设计的系统主要包括蜜罐系统和访问控制两大模块:
1)蜜罐系统模块:蜜罐系统模块是整个系统的核心部分,主要作用是对攻击者的诱导以及收集攻击者与网络服务器中的漏洞信息。在充分考虑系统实际使用环境及开发需求的基础上,设计该蜜罐系统模块架构如图3 所示。
图3 蜜罐系统模块架构
该蜜罐系统综合了低交互与高交互蜜罐的特点,主要由防火墙、密网网关、高低交互蜜罐等部分组成。其中,防火墙是对外部访问的第一层筛选,主要筛选异常连接等。密网网关则是根据设置的相关策略对外部攻击进行判断,同时将已知的入侵诱导至低交互蜜罐,将未知的入侵诱导至高交互蜜罐[17]。此时,为了降低攻击者对真实网络服务器的损害,传出的流量需要进行一定的限制。
该蜜罐系统部署于交换机中,可以对网络中的变换和异常行为进行快速反应,为其处理与追踪提供足够的缓冲时间。为此,文中蜜罐系统的部署位置示意图如图4 所示。
图4 蜜罐系统部署示意图
2)访问控制模块:设置访问控制模块的目的在于对入侵者在系统中的资源访问加以一定的约束。目前进行访问控制的方法较多,文中采用最为成熟的网络设备访问控制的方法进行处理。其基本思想是允许合法且有权限的用户对真实的局域网系统与资源库进行访问与控制。而对非法或未知用户则禁止其对真实资源的访问,并将其诱导至部署好的蜜罐中,减少对真实局域网的威胁,以此达到防御的目的。
文中在考虑应用环境与设计需求的条件下,设计了如图5 所示的访问控制模块。
由图5 可知,该模块包括控制平台、数据库服务器与客户端主机三部分。其中控制平台主要功能是负责网络监测、子网划分、日志报警显示等。数据库服务器主要负责接收客户端上传的信息并进行分析,若是正常的请求或应答数据包则按常规流程进行处理;若为非法入侵,则进行非法网络访问阻断,并将该异常行为记录至服务器日志中,为后续客户机识别该异常入侵行为提供信息。
图5 访问控制模块架构
访问控制模块部署在内部网络中,同时选择一台服务器访问控制数据库。在控制平台安装一台主机,其余则安装至控制客户端中。其具体部署图如图6 所示。
图6 访问控制模块部署图
为了测试文中系统的有效性与可靠性,该文在某高校校园网的基础上引入了基于蜜罐技术的局域网安全防御系统,其包括一台真实主机、两个高交互蜜罐及两个低交互蜜罐。完成系统搭建后,对系统的基础功能进行测试实验。
首先将一台未经注册且不存在历史访问信息的笔记本接入到校园网中,对其分配的IP为192.168.1.21;然后让其试图访问IP为192.168.1.11的真实主机服务器和192.168.1.121 的蜜罐(虚假服务器)。
在访问时,代理客户端主机成功监测到了IP 为192.168.1.21 的主机,并捕获到相关主机信息,包括MAC 地址(MAC)、IP 地址(IP)、计算机名称(PC_NAME)、请求访问次数(REQUEST_TIMES)、设备类型(DEVICE _TYPE)、是否可信(IS_TRUST)、其他信息(REMAKE)等。其具体结果如表2 所示。
表2 异常访问信息
同时,代理主机也监测到了未知笔记本入侵主机的网络活动状态,其中包括尝试访问真实主机以及遭到拒绝等动作;尝试访问蜜罐允许访问,并将具体行为活动记录到数据库日志中。日志分为3 部分:入侵主机信息(S 开头)、遭入侵主机信息(R 开头)及其他相关信息。其具体结果如表3 所示。
表3 主机网络活动信息
同时,为了进一步体现该系统的作用,其在入侵主机上使用Network Scanner 网络扫描工具对整个系统进行扫描。为了更准确地进行对比,同时考虑在校园网存在打开系统和关闭系统两种情况。两种情况的扫描结果,如表4 所示。表4 中IP 为IP 地址,RT代表响应时间,HN 代表主机名。
表4 对比扫描结果
由表4 可以看出,在校园网中部署文中系统并打开时,真实主机对于入侵主机而言是隐藏的。入侵只能扫描到系统中所设置的蜜罐,这充分验证了文中系统的安全性与可靠性。
综合所有的实验结果可以看出,在局域网中引入文中所设计的系统能够将外来入侵者与真实的主机相隔离,并屏蔽对主机的访问。同时所部署的蜜罐系统能够实现对入侵者的欺骗,并记录入侵者的详细信息,为后续安全管理员的分析与处理奠定了良好的基础。
文中在介绍与分析蜜罐技术基本原理和特点的基础上,建立了基于蜜罐技术的局域网安全防御系统。该系统主要由蜜罐系统模块与访问控制模块组成,其中蜜罐系统模块负责诱导攻击者,以及收集攻击者与网络服务器中的漏洞信息;访问控制模块则负责约束入侵者对内部资源访问的程度,两者相互配合实现对局域网的安全防御。系统功能实验表明,该系统能够成功获取到入侵主机的异常访问信息和涉及主机的网络活动信息,对比实验结果则进一步验证了文中系统的有效性与可靠性。