蜜罐及其在运营商网络中的布署模式探讨.pdfVIP

王建军．李林森 (上海交通大学信息安全工程学院，上海市 200030) 摘 要 网络安全 已经成为互联 网及各种网络服务和应用进一步发展的关键 问题。文章 主要针对蜜罐本身和蜜罐系统在运营商网络 中的布署进行探讨 ，通过采用几种不同的布 署模式提高蜜罐 系统的效率，实现高效率地获取有价值入侵信息，以显著降低 因网络攻 击事件带来的损失。提高互联 网的整体网络安全。 关键词 蜜罐 (Honeypot)；蠕虫；防火墙 ；DMZ(隔离区)；IDC(互联 网数据中心) 随着对互联网需求的 日益增长．网络安全逐渐 最重要 的价值是用于对网络攻击活动进行检测、监 成为互联 网及各种网络服务和应用发展 的关键 问 控和分析。 题。近年来互联网大规模商用化 ，通过互联网开展的 蜜罐系统 中布署了很多让攻击者看起来有用的 各种业务 日益增多 ，很多组织和企业都建立了自己 数据或信息，以这些数据或信息作为诱饵 ，引诱攻 的内部网络 ，并将之与互联网连通。网络攻击事件也 击者前来攻击 。当攻击者成功入侵系统后 ，所有的 在不断增多 ．给组织和企业造成 了巨大的经济损失。 操作都会被记录和监控，蜜罐管理人员事后就可以 运营商也面临着诸多的网络和信息安全问题。 推测出攻击者的攻击 目标和攻击手段 ，并随时了解 目前影响运营商的主要安全事件主要表现为：a)全 针对网络发动的最新的攻击和网络漏洞。甚至，管 网爆发性的蠕虫／网络病毒 。b)对于骨干网的拒绝服 理人员还可 以通过窃听黑客之间的联系收集黑客所 务攻击。c)信息发布网站、形象展示 网站 、应用服务 用 的黑客工具 。并且掌握他们 的社交圈子，变以往 站点遭入侵甚至渗透。 的被动防护为如今的主动防护 ，并及时对网络的缺 目前 。市场上解决此类安全问题的产品主要包 陷进行修改，对黑客攻击的对象采取更加严密的防 括入侵检测系统和网络流量监控系统 。采用单纯的 护措施。 入侵检测系统。产生的入侵告警信息总是很多，普通 蜜罐系统由决策 、诱导、欺骗 、分析等模块组成。 的管理员很难从中筛选出真正需要的、有价值的信 决策模块实时监听各种事件 ．包括 ：a)入侵检测系统 息。而网络流量监控系统则存在准确率不够的问题 ， 的报警信号(如某地址被攻击等)。b)普通的网络访 而且对于网络方面的关注偏多 ，对于操作系统 、应用 问事件 (如收到某地址的ICMPechorequest报文)。 系统的关注相对较少。 C)收到某地址某端 口的发起连接报文等。当决策模 因此 ，提出了以蜜罐 (Honeypot)为基础 ，进行蜜 块监听到某事件后，将其与欺骗 、诱导信息库中的记 罐系统的布署与应用研究，希望通过该系统实现 “高 录进行比较 ．先判断 目的地址是否在被保护的范围 效率地获取有价值入侵／攻击相关信息”的功能。同 内，若是．则根据欺骗、诱导策略决定进行诱导或欺 时，该系统也将作为研究黑客攻击手法的工具 ，为运 骗 。诱导就是诱导攻击者将连接转向蜜罐系统。欺骗 营商针对网络攻击的应急响应提供技术积累的途径。 则 由欺骗主机生成虚假信息 。发送给攻击者 ，使攻击 者得不到正确的网络资料。系统所作的诱导和欺骗 事件都记录到 日志中，由分析模块进行分析 ，调整诱 蜜罐本身就是故意让人攻击的 目标 ，它是网络 导欺骗策略。网络蜜罐系统 的体系结构如图1所示。 专家经过精心伪装的一个诱骗系统。蜜罐的概念最 早 出现在 1990年的小说 (TheCuckoo’SEgg》中，它 是一种安全资源 ，