0 引言
蜜罐是一種主動(dòng)防御工具,在網(wǎng)絡(luò)安全問題的預(yù)防、檢測(cè)和響應(yīng)階段都發(fā)揮著它的作用。隨著網(wǎng)絡(luò)中入侵攻擊越來越多,蜜罐正逐漸成為企業(yè)信息安全的新防御手段。對(duì)于一般的企業(yè)應(yīng)用,企業(yè)網(wǎng)是一個(gè)單一的網(wǎng)絡(luò),目前市場上已有不少的免費(fèi)的或商業(yè)化的蜜罐工具可供使用,而對(duì)于一些在全國多個(gè)省份設(shè)立分支機(jī)構(gòu)的企業(yè),因其本身企業(yè)內(nèi)部網(wǎng)是較復(fù)雜的分布式網(wǎng)絡(luò),簡單的在各個(gè)分支結(jié)構(gòu)獨(dú)立的設(shè)置多個(gè)蜜罐是無法很好的發(fā)揮其作用的。因此,本文針對(duì)這類分布式的企業(yè)內(nèi)部網(wǎng)設(shè)計(jì)了一種分布式的蜜罐系統(tǒng),針對(duì)不同系統(tǒng)建立不同平臺(tái)的蜜罐,并使之形成一個(gè)交互的體系,全面反饋網(wǎng)絡(luò)情況,更好發(fā)揮蜜罐的主動(dòng)防御功能“捌。分布式蜜罐不同于蜜網(wǎng),它強(qiáng)調(diào)的是區(qū)域的分布式,即地理位置的分布式,而蜜網(wǎng)技術(shù)則是在一個(gè)點(diǎn)所作的體系架構(gòu),蜜網(wǎng)可以作為分布式蜜罐的節(jié)點(diǎn)。
1 分布式蜜罐系統(tǒng)設(shè)計(jì)目標(biāo)
通過研究蜜罐技術(shù)的基本原理,并根據(jù)分布式企業(yè)內(nèi)部網(wǎng)的特點(diǎn)及所受的安全威脅,設(shè)計(jì)并實(shí)現(xiàn)一個(gè)分布式蜜罐系統(tǒng),在使用分布式蜜罐系統(tǒng)時(shí)候,蜜罐的核心要求就是企業(yè)可以對(duì)于Internet及企業(yè)網(wǎng)內(nèi)部的攻擊者的相關(guān)行為和數(shù)據(jù)進(jìn)行鋪貨,保護(hù)真實(shí)目標(biāo)系統(tǒng),并及時(shí)產(chǎn)生安全預(yù)警;對(duì)于內(nèi)部攻擊者,可以追蹤攻擊源,為攻擊行為審計(jì)取證;同時(shí)為網(wǎng)絡(luò)安全管理人員提供相應(yīng)數(shù)據(jù),使其可以及時(shí)調(diào)整安全策略,制定相應(yīng)措施,為企業(yè)創(chuàng)建一個(gè)安全的網(wǎng)絡(luò)環(huán)境。
對(duì)于設(shè)計(jì)分布式蜜罐系統(tǒng)來說,主要的設(shè)計(jì)目標(biāo)包括以下五個(gè)部分H1:第一,大量并且有價(jià)值的信息通過系統(tǒng)具備良好的數(shù)據(jù)捕獲能力獲得,能及時(shí)對(duì)于威脅做出相關(guān)的反應(yīng)。第二,能夠?qū)τ诠粽咝袨檫M(jìn)行控制,同時(shí)具備一定的系統(tǒng)安全性I第三,安全預(yù)警信息能夠根據(jù)獲取信息情況,自動(dòng)進(jìn)行發(fā)出處理,另外,可以根據(jù)日志審計(jì)的結(jié)果及時(shí)調(diào)整安全策略,第四,分布監(jiān)控,集中管理。第五,系統(tǒng)配置靈活,易于擴(kuò)充和配置。
2 分布式蜜罐系統(tǒng)技術(shù)分析
構(gòu)建分布式蜜罐系統(tǒng)除了運(yùn)用常規(guī)蜜罐的技術(shù):網(wǎng)絡(luò)誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析之外,還需要考慮的關(guān)鍵技術(shù)問題主要是由其分布式體系所決定的。
2.1 復(fù)雜條件下分布式蜜罐系統(tǒng)的部署
隨著Internet技術(shù)的發(fā)展,現(xiàn)在的企業(yè)網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大,設(shè)備物理分布變得十分復(fù)雜。同時(shí)攻擊者的入侵行為也逐漸復(fù)雜化、隱蔽化,并常常通過多個(gè)主機(jī)實(shí)施大面積的分布式攻擊。在這樣的新情況下,簡單的在各個(gè)業(yè)務(wù)子網(wǎng)獨(dú)立的設(shè)置多個(gè)蜜罐,或?yàn)槠髽I(yè)網(wǎng)部署單個(gè)的蜜網(wǎng)存在很大不足,具體如下:
1)捕獲到的數(shù)據(jù)難以直接反映全局的信息狀況。
2)因?yàn)槊酃藜夹g(shù)視野狹窄,只能看見針對(duì)自身的攻擊行為,而無法捕獲針對(duì)其他系統(tǒng)的攻擊行為;而復(fù)雜網(wǎng)絡(luò)環(huán)境下,存在多種接入方式,蜜罐很容易被繞過。
3)集中式數(shù)據(jù)處理對(duì)控制器要求很高,控制器可能成為瓶頸和單一失效點(diǎn);并且系統(tǒng)擴(kuò)展性、靈活性較差。
4)對(duì)于復(fù)雜的、有可能的協(xié)同攻擊,無法很好的檢測(cè)和響應(yīng)。
因此,針對(duì)不同的企業(yè)網(wǎng)絡(luò)的不同規(guī)模,我們提出面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng),作為企業(yè)主動(dòng)防御的一個(gè)重要工具,并為企業(yè)制定安全策略、調(diào)祭安拿措施提供重要依據(jù)。
較大型的企業(yè)網(wǎng)絡(luò)通常具有多級(jí)、分布和樹形的特點(diǎn)。因此,我們的分布式蜜罐系統(tǒng)在宏觀上應(yīng)該具有與實(shí)際網(wǎng)絡(luò)一致的體系結(jié)構(gòu),即多級(jí)分布式體系結(jié)構(gòu)。
2.2 分布式蜜罐捕獲數(shù)據(jù)的匯總
蜜罐的捕獲能力來自于其數(shù)量和分布范圍,分布式的蜜罐系統(tǒng)在其檢測(cè)面積、捕獲信息量等方面是單點(diǎn)配置的蜜罐無法比擬的。然而,分布式的環(huán)境和捕獲信息量的大幅增加對(duì)捕獲信息的傳輸匯總提出了一定的要求。
對(duì)數(shù)據(jù)的匯總我們主要考慮兩個(gè)方面的問題,一是采集數(shù)據(jù)的內(nèi)容,二是數(shù)據(jù)采集的方式。對(duì)此我們分別作如下說明:
1)數(shù)據(jù)采集的內(nèi)容
在分布式的環(huán)境下,蜜罐數(shù)量相應(yīng)較多,蜜罐數(shù)量的增加帶來上報(bào)信息數(shù)量的增加,并且上報(bào)的信息數(shù)據(jù)要通過網(wǎng)絡(luò)傳輸?shù)竭h(yuǎn)程的管理中心,因此我們采集信息數(shù)據(jù)時(shí)就需要考慮網(wǎng)絡(luò)流量的問題。一般來說,有兩種基本的方法來采集數(shù)據(jù),一是各分布式站點(diǎn)對(duì)數(shù)據(jù)進(jìn)行處理,集中匯總的只是結(jié)果集;二是基于前端設(shè)備包轉(zhuǎn)發(fā),將原好i數(shù)據(jù)匯集到管理中心,這樣可以很容易實(shí)現(xiàn)復(fù)雜IP段的分布部署和實(shí)體的集中。因?yàn)槊酃匏东@的數(shù)據(jù)是高度保真的小數(shù)據(jù)集,數(shù)據(jù)量并不是特別太,閃此我們采用兩種方法,結(jié)合兩者的優(yōu)點(diǎn),數(shù)據(jù)庫采用本地和集中管理中心兩級(jí)數(shù)據(jù)庫,根據(jù)沒定的策略,數(shù)據(jù)首先在本地存儲(chǔ),需要時(shí)發(fā)送到集中管理中心集中存儲(chǔ)。分布式控制中心能夠?qū)?shù)據(jù)進(jìn)行一定的處理分析,本地?cái)?shù)據(jù)庫可存放融合后的各類數(shù)據(jù),也存放網(wǎng)絡(luò)原始數(shù)據(jù)包,供集中管理中心查詢。
2)數(shù)據(jù)采集的方式
分布式站點(diǎn)獲取的數(shù)據(jù)匯總的另一個(gè)關(guān)鍵的方面,在通過安全的方式收集前提要求下,確保信息的相關(guān)真實(shí)性、保密性和完整性在采集信息時(shí)能夠進(jìn)行保存。便是要確保信息足以通過安全的方式收集的,數(shù)據(jù)采集的重點(diǎn)還在于所采集信
息的真實(shí)性、完整性和較高保密性。我們可以通
過一些加密措施(如使用IPSec隧道)來保障傳送
的數(shù)據(jù)安全。
格式的標(biāo)準(zhǔn)化在發(fā)送數(shù)據(jù)時(shí)應(yīng)該被采用,以實(shí)現(xiàn)不同的分布式站點(diǎn)或網(wǎng)絡(luò)系統(tǒng)采集到的數(shù)據(jù)能夠?qū)崿F(xiàn)共享和聚合。應(yīng)該明確蜜罐和蜜網(wǎng)的命名,對(duì)于管理與維護(hù)每個(gè)蜜網(wǎng)類型提供一定幫助。
2.3 大規(guī)模數(shù)據(jù)分析
分布式蜜罐造成龐大的上報(bào)數(shù)量,相應(yīng)也增加了數(shù)據(jù)分析處理的壓力。首先必須形成一個(gè)具有較強(qiáng)的自動(dòng)前段處理能力的分揀機(jī)制,對(duì)數(shù)據(jù)進(jìn)行預(yù)處理,一般是按一定規(guī)則對(duì)數(shù)據(jù)進(jìn)行過濾和分類。而后,利用其余相關(guān)技術(shù),包括統(tǒng)計(jì)分析、可視化以及數(shù)據(jù)挖掘等方面的內(nèi)容進(jìn)行攻擊特征研究,進(jìn)行攻擊趨勢(shì)分析。
目前,對(duì)數(shù)據(jù)分析技術(shù)的進(jìn)一步研究已經(jīng)取得了一定的成果,其中狩獵女神項(xiàng)目組開發(fā)了攻擊關(guān)聯(lián)分析工具Athena,它是在AJ領(lǐng)域中經(jīng)典規(guī)劃圖和目標(biāo)規(guī)劃圖模型基礎(chǔ)上,提出擴(kuò)展目標(biāo)規(guī)劃圖模型,實(shí)現(xiàn)攻擊規(guī)劃識(shí)別算法規(guī)劃圖模型,實(shí)現(xiàn)攻擊規(guī)劃識(shí)別算法,對(duì)輸入的IDS報(bào)警信息、Argus網(wǎng)絡(luò)連接數(shù)據(jù)等多源數(shù)據(jù)輸出高層攻擊場景圖。蜜網(wǎng)項(xiàng)目組也提出了同一數(shù)據(jù)分析框架UDAF,支持不同格式的數(shù)據(jù)獲取,數(shù)據(jù)過濾,數(shù)據(jù)融合,數(shù)據(jù)輸出以及數(shù)據(jù)可視化分析。
2.4迅速的自動(dòng)報(bào)警
前面提到過,蜜罐像其他系統(tǒng)一樣,也是可以被攻破的,一旦它被攻陷,就有可能被利用作為攻擊、滲透其他系統(tǒng)的跳板。
值得注意,可以攻破蜜罐,當(dāng)蜜罐被攻陷以后,這樣就成為攻擊其他系統(tǒng)的跳板。為了防止攻擊者在攻陷蜜罐主機(jī)后將其作為跳板攻擊業(yè)務(wù)網(wǎng)絡(luò)或第三方網(wǎng)絡(luò),蜜罐系統(tǒng)必需具有數(shù)據(jù)控制的功能,在一個(gè)網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)管理員是否及時(shí)能知道蜜罐是否被攻陷無疑是很重要的,攻擊行為也多為分布式的協(xié)同攻擊。一個(gè)地方子網(wǎng)中的蜜罐被攻陷,通常意味著其他子網(wǎng)也會(huì)受到攻擊,更需要及時(shí)迅速的報(bào)警。
在一般的蜜罐系統(tǒng)中常常使用的報(bào)警軟件為Swatch軟件,作為一種守護(hù)程序,它能夠自動(dòng)監(jiān)視目標(biāo)系統(tǒng)的各種日志文件,包括Snort—inline還有IPTables生成的日志文件。通過Swatch預(yù)先設(shè)定好的模式匹配原則,這樣可以對(duì)于系統(tǒng)的運(yùn)行狀態(tài)獲取進(jìn)行分析。當(dāng)這匹配模式形成后,就往往能夠通過郵件、系統(tǒng)喇叭等方面或其他定義好的程序等進(jìn)行告警。此外,它還能夠像Syslogd守護(hù)程序那樣主動(dòng)的掃描日志文件并對(duì)特定的13志消息采取修復(fù)行動(dòng)。
在分布式蜜罐系統(tǒng)中,Swatch通常安裝配置在各分布站點(diǎn)的站點(diǎn)管理服務(wù)器上,與網(wǎng)絡(luò)安全管理員所使用的集中管理平臺(tái)不在同一個(gè)地域,因此,需要我們將單個(gè)業(yè)務(wù)子網(wǎng)的報(bào)警信息與集中管理平臺(tái)相聯(lián)系和整合,以使報(bào)警信息盡快到達(dá)集中控制中心,其他子網(wǎng)提供預(yù)警。
3 系統(tǒng)分布式體系結(jié)構(gòu)設(shè)計(jì)
根據(jù)系統(tǒng)設(shè)計(jì)目標(biāo),我們所設(shè)計(jì)的面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)采用多級(jí)分布式體系結(jié)構(gòu),系統(tǒng)結(jié)構(gòu)如圖l所示。
圖1 系統(tǒng)結(jié)構(gòu)示意圖
整個(gè)系統(tǒng)主要由三個(gè)部分組成:集中管理控制中心、各級(jí)節(jié)點(diǎn)控制中心和蜜罐。集中管理控制中心負(fù)責(zé)整個(gè)分布式系統(tǒng)的管理和數(shù)據(jù)分析,各個(gè)節(jié)點(diǎn)控制中心負(fù)責(zé)業(yè)務(wù)子網(wǎng)中各個(gè)節(jié)點(diǎn)的控制。
集中管理控制中心是整個(gè)分布式蜜罐系統(tǒng)的管理中心,負(fù)責(zé)收集和分析整個(gè)蜜罐系統(tǒng)捕獲的各種數(shù)據(jù),同時(shí)集成了用戶管理、分布站點(diǎn)管理、數(shù)據(jù)管理、報(bào)警處理等管理功能和數(shù)據(jù)庫。
各級(jí)節(jié)點(diǎn)控制中心可以是一臺(tái)充當(dāng)網(wǎng)關(guān)的主機(jī),在同一網(wǎng)段內(nèi)至少設(shè)置一個(gè),也可根據(jù)情況設(shè)置多個(gè)不同級(jí)別的節(jié)點(diǎn)控制中心。節(jié)點(diǎn)控制中心對(duì)網(wǎng)段內(nèi)的蜜罐進(jìn)行配置和管理。節(jié)點(diǎn)控制中心可以存放它所管理的蜜罐的各種日志信息,并對(duì)各種捕獲信息進(jìn)行初步分析,及時(shí)產(chǎn)生報(bào)警;節(jié)點(diǎn)控制中心和集中管理控制中心相聯(lián)系,是集中管理控制中心各種數(shù)據(jù)的來源。通常節(jié)點(diǎn)控制中心和蜜罐之間有網(wǎng)關(guān)進(jìn)行隔離,所有進(jìn)出蜜罐的通信都必須經(jīng)過網(wǎng)關(guān)。
在面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)中,我們的主要目的足了解內(nèi)部網(wǎng)所遭受到的攻擊,檢測(cè)防御中的失誤,并采取相應(yīng)的措施或及時(shí)發(fā)出預(yù)警,因此并不總是需要高交互蜜罐,而應(yīng)選擇最低安全風(fēng)險(xiǎn)的蜜罐。所以各分布站點(diǎn)的蜜罐部署可以采用一個(gè)或多個(gè)低交互式的蜜罐。蜜罐的部署模式通常采用防護(hù)罩式,部署在防火墻之后,這樣不僅可以檢測(cè)來自外網(wǎng)的攻擊,收集到已經(jīng)通過防火墻的有害數(shù)據(jù),也可以探查內(nèi)部攻擊者。
此外,在低交互的蜜罐選擇上,我們也要考慮到企業(yè)資源的充分利用。我們可以在一臺(tái)主機(jī)上安裝任何操作系統(tǒng),作為一個(gè)真實(shí)的蜜罐主機(jī),但是這樣在同一時(shí)刻,就只能有一個(gè)操作系統(tǒng)在一臺(tái)機(jī)器上運(yùn)行,沒能更好的利用商業(yè)資源;并且,一旦蜜罐系統(tǒng)遭受攻擊,重新安裝真實(shí)蜜罐系統(tǒng)也會(huì)耗費(fèi)一定的時(shí)間。因此,在面向企業(yè)網(wǎng)的分布式蜜罐系統(tǒng)中,我們都采用虛擬蜜罐或虛擬機(jī)蜜罐,這樣可以在盡可能小的投入下建立蜜罐系統(tǒng),并且維護(hù)較方便,也可以迸一步實(shí)現(xiàn)蜜罐的自動(dòng)化配置。
4 結(jié)束語
目前,一般企業(yè)在企業(yè)網(wǎng)絡(luò)中運(yùn)用的絕大多數(shù)安全技術(shù)是被設(shè)計(jì)用來阻止未授權(quán)的可疑行為獲取資源,并且安全工具僅僅是作為一種被動(dòng)的保護(hù)措施被布置,所以它們對(duì)網(wǎng)絡(luò)的保護(hù)有一定的局限。而蜜罐技術(shù)作為一種動(dòng)態(tài)防御機(jī)制.是企業(yè)現(xiàn)有安全措施的一種非常有益的補(bǔ)充,它對(duì)安全管理人員及時(shí)了解企業(yè)網(wǎng)絡(luò)安全狀況,調(diào)整安全策略,制定相應(yīng)應(yīng)對(duì)措施非常有效。雖然目前已經(jīng)有不少蜜罐工具,但只適用于網(wǎng)絡(luò)簡單的小型企業(yè),對(duì)具有分布式網(wǎng)絡(luò)的大型企業(yè)來說,設(shè)計(jì)部署分布式蜜罐系統(tǒng)是必要的。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:分布式蜜罐技術(shù)分析及系統(tǒng)設(shè)計(jì)研究
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121510207.html