網絡安全審計和蜜網保護信息安全

2013-10-22 10:48:59 eNet硅谷動力　點擊量：評論 (0)

近年來，互聯(lián)網在我國發(fā)展迅猛。根據2013年1月中國互聯(lián)網信息中心（CNNIC）第31次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計調查結果顯示，我國網民數量、網絡基礎資源應用持續(xù)增加，互聯(lián)網普及率達到了42 1%。以美國為首的信

近年來，互聯(lián)網在我國發(fā)展迅猛。根據2013年1月中國互聯(lián)網信息中心（CNNIC）第31次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計調查結果顯示，我國網民數量、網絡基礎資源應用持續(xù)增加，互聯(lián)網普及率達到了42.1%。以美國為首的信息化發(fā)達國家，紛紛制定和調整網絡空間戰(zhàn)略，大力發(fā)展網絡空間能力，不斷提升網絡空間（Cyber Space）安全戰(zhàn)略地位，將其作為陸、海、空、太空之后的第五大空間，將網絡空間安全置于與經濟安全和軍事安全同等重要的地位。網絡安全威脅主要表現在：

　　· 網絡攻擊數量增多，攻擊形勢呈現常態(tài)化；
　　· 網絡攻擊手段不斷出新，傳統(tǒng)的網絡防御手段漸見不支；
　　· 網絡攻擊影響力和影響層面不斷增大；
　　· 新技術新應用的發(fā)展，帶來新的網絡威脅。

　　因此，如何獲取準確且完整的網絡數據，成為了網絡安全威脅分析的重要前提。

　　由天融信網絡流量分析系統(tǒng)（即TA-Flow）及網絡審計系統(tǒng)（即TA-NET）搭建的蜜網場景，集網絡流量分析、蜜網誘捕、網絡審計三位于一體，能有效的檢測網絡攻擊行為。該蜜網場景一方面能夠對目前可檢測的攻擊及時預警；另一方面還能夠利用海量數據存儲與審計技術，收集和記錄網絡行為，有助于實現對未知攻擊的回溯，有效的促進網絡安全的研究工作，為網絡安全提供有力保障。

　　該應用主要從三個方面滿足網絡安全研究的需要，即網絡流量分析、蜜網捕獲、網絡審計。場景的架構圖如下所示：

圖1 網絡安全審計場景架構

　　TA-Flow網絡流量分析系統(tǒng)

　　在該場景中，存在兩個互相不通信的網絡，我們把其中提供正常業(yè)務服務的網絡叫做“業(yè)務網”；另一個叫做“蜜網”。在外部網絡流量進入業(yè)務網前，需要先經過TA-Flow網絡流量分析系統(tǒng)，當該系統(tǒng)檢測到攻擊時，利用智能流量牽引技術將攻擊流量引導至蜜網中，而正常訪問流量仍流向業(yè)務網，這樣的蜜網更有利于記錄和分析針對業(yè)務網的攻擊行為，既保護了業(yè)務網的服務安全，又可為研究攻擊者的攻擊行為提供幫助。當然，該場景的正常運轉有一個總的前提，那就是所有的設備對外來流量而言都應該是隱藏的，TA-NET/Flow和蜜網需要通過一些必要的手段來隱藏自己不被網絡攻擊者發(fā)現。

　　智能流量牽引技術可工作在數據鏈路層。攻擊者欲攻擊業(yè)務機，在沒有干預的情況下，流量將流向與真實業(yè)務網連接的接口。但當啟用流量牽引功能時，設備將對攻擊流量的源IP進行流量重定向，所有來自該IP的數據包被引導至與蜜網相連的接口，使攻擊流的對象變?yōu)槊酃迿C，但正常用戶的訪問流量仍流向業(yè)務網，不影響正常用戶的訪問。同時，由于系統(tǒng)不提供三層路由的功能，轉發(fā)接口并不配置IP，使攻擊者無法確知自己的數據包曾通過了TA-Flow。

　　蜜網捕獲

　　蜜網又可稱為誘捕網絡。在該場景中，蜜網不再是一個被創(chuàng)造出來的誘餌，而是一個與業(yè)務網基本相同的網絡，其中：

　　1）蜜罐使用了與業(yè)務網一樣的操作系統(tǒng)、IP、MAC、提供與業(yè)務網一樣的服務，使得攻擊者的流量轉入蜜網時，攻擊者無法從網絡流量上察覺攻擊目標已經產生變化。同時，雖然兩個網絡均連接在二層交換的流量分析設備上，但業(yè)務網與蜜網之間并不存在通信，原則上可以理解為是不同網絡，以保證相同IP和MAC的同時存在。

　　2）在該場景中，網絡審計系統(tǒng)TA-NET集成了蜜罐服務端的功能，可獲取并解析蜜罐發(fā)送的特制數據包，在不被攻擊者察覺的情況下記錄攻擊者在蜜罐主機上的所有擊鍵、讀寫文件、建立網絡連接等操作。從這些行為我們可以得知攻擊者執(zhí)行了什么命令、竊取了哪些文件、鍵入的明文密碼等，幫助我們分析、發(fā)現和重現蜜罐上的攻擊事件。

　　TA-NET網絡審計系統(tǒng)

　　TA-NET使用天融信自主研發(fā)的Tos操作系統(tǒng)，提供高性能的數據存儲和查詢功能，實現網絡非加密應用協(xié)議的解析和網絡傳輸文件的還原。TA-NET可以解析特制的蜜罐數據包，并將解析出的數據與網絡審計進行關聯(lián)，實現基于條件的實時查詢。

　　TA-NET集“主機操作行為捕獲”和“網絡行為審計”于一體，準確的為我們收集和記錄蜜罐上的事件。它以旁路監(jiān)聽的方式連入蜜網環(huán)境中，保證自身隱蔽性的同時，通過交換機端口鏡像獲取網絡數據包備份。通過網絡審計功能，可以觀察基于協(xié)議、端口、IP等的網絡異常情況，對比分析應用協(xié)議的審計結果，并自定義報警規(guī)則來捕捉需要重點關注的網絡行為，從中查找可能有關聯(lián)的攻擊事件。

　　我們知道，網絡安全保障措施雖然在不斷地完善，但攻擊者的攻擊手法也在不斷地變換，而且越來越精明，他們總會不斷的推出新的方法躲過監(jiān)測設備的追蹤，攻克被攻擊者的防御系統(tǒng)。TA-NET/Flow蜜網場景三大功能的結合，正是解決以上問題的有效途徑：首先由網絡流量的檢測和重定向保證了業(yè)務主機的正常運行，將攻擊流量轉入蜜罐中，再由蜜網捕獲和網絡審計兩大模塊收集和記錄攻擊者的后續(xù)行為；對于無法立即識別的事件，也將被詳細的記錄下來，以備后續(xù)可能的異常分析。

　　通過捕獲的各種異常數據可以得知，攻擊者是在什么時間攻破系統(tǒng)的、用了什么攻擊手段、在獲得訪問權限后又做了些什么。我們可以根據這些信息推斷攻擊者的動機及目的、對方可能的身份、以及和誰一起工作等等。可以說，TA-NET/Flow蜜網場景為網絡威脅研究工作提供了有力的數據支撐。