蜜网在电信运营商的应用.pdfVIP

TELEcoM ENGlNEER |NG TEcHNlcs AND STANDARO|ZAT|oN 蜜网在电信运营商的应用 唐洪玉 (北京神州绿盟信息安全科技股份有限公司，北京 100089) 摘 要 本文对蜜罐及蜜网进行了介绍，对蜜网的数据控制、数据捕获、数据分析的核心功能进行了阐述，接着对蜜 网在运营商的应用进行了探讨和分析，利用蜜网技术来帮助运营商完善现有的防御体系，增强安全防御的积 极性和主动性。 关键词 蜜罐；蜜网；安全威胁 中图分类号 TN918 文献标识码 A 文章编号 1008-5599(2011)10—0062—05 随着网络攻击技术的发展，特别是分布式拒绝服务 1 蜜网技术简介 攻击、跳板 (Step—stone)攻击及互联网蠕虫的盛行， 互联网上的每一台主机都已经成为攻击的目标 ；而且， 1．1蜜网的基本概念 特别值得注意的一个趋势是多种攻击脚本和工具的融 蜜罐 (Honeypot)，简单来说，是一项技术、一种 合，如大量的内核后门工具包 (Rotkit)、能够集成多 安全资源，它的价值就在于被探测、攻击和破坏。蜜网 种攻击脚本并提供易用接口的攻击框架的出现，使得攻 (Honeynet)，是在蜜罐技术上逐步发展起来的一个新 击 “无处不在”，简单易行。 的概念，它实际上是一种研究型的、高交互型的蜜罐技 同时，电信运营商网络的建设规模在不断扩大，其 术，其主要 目的是收集黑客的攻击信息。与传统蜜罐技 所面临的安全威胁也在急剧增加，安全风险不断被放大。 术的差异在于，蜜网构成了一个黑客诱捕网络体系架构， 然而，当网络系统被攻击后，对于对手是谁、他们使用 在这个体系中包括一个或多个蜜罐 ；多层次的数据控制 了哪些工具、以何种方式抵达攻击目标等，运营商对这 机制 ；全面的数据捕获机制和深入的数据分析机制。 些都一无所知。 1．2蜜网体系框架 面对 日益复杂的入侵事件，运营商目前所广泛采用 如图1所示，一个典型蜜网体系框架由蜜罐主机、 的传统的被动防御手段已很难满足当前的需求，因此必 蜜网网关和 日志服务器 ／监控管理平台等3部分构成。 须采用一种新的技术手段，增强安全防御工作的积极性 其中，蜜网是与内部业务网络并行的网络，由多个蜜罐 和主动性，而这种技术的首选就是蜜网。 主机组成 ；所有进出蜜网的流量都需要经过蜜网网关 ； 收稿日期：2011—09—18 — 62 ·2011年 第10期 · 品志服务器 (监控管理平台)对蜜罐主机及蜜网网络产 据分组基于规则进行告警，产生告警 日志，同时捕获原 生的日志数据进行收集，提供后续分析。 始流量数据分组，生成netflow流数据。在各蜜罐主机， 自我隐藏的行为监视模块，对蜜罐主机的各种变化情 况 (如进程变化、网络连接变化、文件变化、注册表变 、 ， 化……)进行记录，生成 日志，并且捕获样本文件，以 db 肉豁主机 ·I‘P 隐藏协议栈传输的方式传到蜜网网关，再传到曰志服务 器 (监控管理平台)。 内豁服务器 攒 鄂 王 哥 {．2．5数据分析功能 ·■