分布式蜜罐技术分析及系统设计研究.pdfVIP

l 匐 出 分布式蜜罐技术分析及系统设计研究 Key techniques about design of distributal honeypot system 郑艳君 ZHENG Yan-jun (湖北工程学院 计算机与信息科学学院，孝感4321O0) 摘 要：目前，蜜罐正逐渐成为企业信息安全的新防御手段。本文分析了企业分布式的网络所面临的安 全威胁，给出了分布式蜜罐系统设计的目标，并提出了一种可拓展性和安全性较高的分布式蜜 罐系统的模型，对于企业网路安全发展具有一定帮助。 关键词：分布式；蜜罐技术；网络安全；系统设计 中图分类号：TN91 5 文献标识码 ：A 文章编号：1 009-01 34(201 2)06(下)-oi41-03 Doi：1 0．3969／J．issn．1 009-01 34．201 2．6(下)．45 0 引言 蜜罐是一种主动防御工具，在网络安全问题 的预防、检测和响应阶段都发挥着它的作用。随 着网络中入侵攻击越来越多，蜜罐正逐渐成为企 业信息安全的新防御手段。对于一般的企业应用， 企业网是一个单一的网络，目前市场上已有不少 的免费的或商业化的蜜罐工具可供使用；而对于 一 些在全国多个省份设立分支机构的企业，因其 本身企业内部网是较复杂的分布式网络，简单的 在各个分支结构独立的设置多个蜜罐是无法很好 的发挥其作用的。因此，本文针对这类分布式的 企业内部网设计了一种分布式的蜜罐系统，针对 不同系统建立不同平台的蜜罐，并使之形成一个 交互的体系，全面反馈网络情况，更好发挥蜜罐 的主动防御功能 u 。分布式蜜罐不同于蜜网，它 强调的是区域的分布式，即地理位置的分布式， 而蜜网技术则是在一个点所作的体系架构，蜜网 可以作为分布式蜜罐的节点。 1 分布式蜜罐系统设计目标 通过研究蜜罐技术的基本原理，并根据分布 式企业内部网的特点及所受的安全威胁，设计并 实现一个分布式蜜罐系统，在使用分布式蜜罐 系统时候，蜜罐的核心要求就是企业可以对于 Internet及企业网内部的攻击者的相关行为和数据 进行铺货，保护真实目标系统，并及时产生安全 预警；对于内部攻击者，可以追踪攻击源，为攻 击行为审计取证；同时为网络安全管理人员提供 相应数据，使其可以及时调整安全策略，制定相 应措施，为企业创建一个安全的网络环境。 对于设计分布式蜜罐系统来说，主要的设计目 标包括以下五个部分 H：第一，大量并且有价值的 信息通过系统具备良好的数据捕获能力获得，能及 时对于威胁做出相关的反应。第二，能够对于攻 击者行为进行控制，同时具备一定的系统安全性； 第三，安全预警信息能够根据获取信息情况，自 动进行发出处理，另外，可以根据 日志审计的结 果及时调整安全策略；第四，分布监控，集中管 理。第五，系统配置灵活，易于扩充和配置。 2 分布式蜜罐系统技术分析 构建分布式蜜罐系统除了运用常规蜜罐的技 术：网络诱骗、数据控制、数据捕获和数据分析 之外，还需要考虑的关键技术问题主要是由其分 布式体系所决定的。 2．1复杂条件下分布式蜜罐系统的部署 随着 Internet技术的发展，现在的企业网络规 模在不断扩大，设备物理分布变得十分复杂。同 时攻击者的入侵行为也逐渐复杂化、隐蔽化，并 常常通过多个主机实施大面积的分布式攻击。在 这样的新情况下，简单的在各个业务子网独立的 设置多个蜜罐，或为企业网部署单个的蜜网存在 很大不足，具体如下： 1)捕获到的数据难以直接反映全局的信息状况。 2)因为蜜罐技术视野狭窄，只能看见针对自 身的攻击行为，而无法捕获针对其他系统的攻击 行为；而复杂网络环境下，存 i芏多种接入方式， 蜜罐很容易被绕过。 3)集中式数据处理对控制器要求很高，控制 器可能成为瓶颈和单一失效点；并且系统扩展性、 收稿日期：2012-04-23 作者简介：郑艳君 (1973一)，女，湖北孝感人，讲师，研究生，研究方向为网络安全。 第34卷 第6期 2012-6(下) [1411 学兔兔 灵活性较差。 4)对于复杂的、有可能的协同攻击，无法很 好的检测和响应。 因此，针对不同的企业网络的不同规模，我 们提出面向企业网的分布式蜜罐系统，作为企业 主动防御的一个重要工具，并为企业制定安全策 略、调整安全措施提供重要依据。 较大型的企业网络通常具有多级、分布和树 形的特点。因此，我们的分布式蜜罐系统在宏观 上应该具有与实际网络一致的体系结构，即多级 分布式体系结构。 2．2分布式蜜罐捕获数据的汇总 蜜罐的捕获能力来 自于其数量和分布范围， 分布式的蜜罐系统在其检测面积、捕获信息量等 方面是单点配置的蜜罐无法比拟的。然而，分布 式的环境和捕获信息量的大幅增加对捕获信息的 传输汇总提出了一定的要求。 对数据的汇总我们主要考虑两个方面的问题，