网络安全审计和蜜网共建信息安全保护新天地

ZDNET安全频道 08月15日 综合消息： 近年来，互联网在我国发展迅猛。根据2013年1月中国互联网信息中心(CNNIC)第31次中国互联网络发展状况统计调查结果显示，我国网民数量、网络基础资源应用持续增加，互联网普及率达到了42.1%。以美国为首的信息化发达国家，纷纷制定和调整网络空间战略，大力发展网络空间能力，不断提升网络空间(Cyber Space)安全战略地位，将其作为陆、海、空、太空之后的第五大空间，将网络空间安全置于与经济安全和军事安全同等重要的地位。网络安全威胁主要表现在：

• 网络攻击数量增多，攻击形势呈现常态化;
• 网络攻击手段不断出新，传统的网络防御手段渐见不支;
• 网络攻击影响力和影响层面不断增大;
• 新技术新应用的发展，带来新的网络威胁。

因此，如何获取准确且完整的网络数据，成为了网络安全威胁分析的重要前提。

由天融信网络流量分析系统(即TA-Flow)及网络审计系统(即TA-NET)搭建的蜜网场景，集网络流量分析、蜜网诱捕、网络审计三位于一体，能有效的检测网络攻击行为。该蜜网场景一方面能够对目前可检测的攻击及时预警;另一方面还能够利用海量数据存储与审计技术，收集和记录网络行为，有助于实现对未知攻击的回溯，有效的促进网络安全的研究工作，为网络安全提供有力保障。

该应用主要从三个方面满足网络安全研究的需要，即网络流量分析、蜜网捕获、网络审计。场景的架构图如下所示：

图1 网络安全审计场景架构

• TA-Flow网络流量分析系统

在该场景中，存在两个互相不通信的网络，我们把其中提供正常业务服务的网络叫做“业务网”;另一个叫做“蜜网”。在外部网络流量进入业务网前，需要先经过TA-Flow网络流量分析系统，当该系统检测到攻击时，利用智能流量牵引技术将攻击流量引导至蜜网中，而正常访问流量仍流向业务网，这样的蜜网更有利于记录和分析针对业务网的攻击行为，既保护了业务网的服务安全，又可为研究攻击者的攻击行为提供帮助。当然，该场景的正常运转有一个总的前提，那就是所有的设备对外来流量而言都应该是隐藏的，TA-NET/Flow和蜜网需要通过一些必要的手段来隐藏自己不被网络攻击者发现。

智能流量牵引技术可工作在数据链路层。攻击者欲攻击业务机，在没有干预的情况下，流量将流向与真实业务网连接的接口。但当启用流量牵引功能时，设备将对攻击流量的源IP进行流量重定向，所有来自该IP的数据包被引导至与蜜网相连的接口，使攻击流的对象变为蜜罐机，但正常用户的访问流量仍流向业务网，不影响正常用户的访问。同时，由于系统不提供三层路由的功能，转发接口并不配置IP，使攻击者无法确知自己的数据包曾通过了TA-Flow。

• 蜜网捕获

蜜网又可称为诱捕网络。在该场景中，蜜网不再是一个被创造出来的诱饵，而是一个与业务网基本相同的网络，其中：

1)蜜罐使用了与业务网一样的操作系统、IP、MAC、提供与业务网一样的服务，使得攻击者的流量转入蜜网时，攻击者无法从网络流量上察觉攻击目标已经产生变化。同时，虽然两个网络均连接在二层交换的流量分析设备上，但业务网与蜜网之间并不存在通信，原则上可以理解为是不同网络，以保证相同IP和MAC的同时存在。

2)在该场景中，网络审计系统TA-NET集成了蜜罐服务端的功能，可获取并解析蜜罐发送的特制数据包，在不被攻击者察觉的情况下记录攻击者在蜜罐主机上的所有击键、读写文件、建立网络连接等操作。从这些行为我们可以得知攻击者执行了什么命令、窃取了哪些文件、键入的明文密码等，帮助我们分析、发现和重现蜜罐上的攻击事件。

• TA-NET网络审计系统

TA-NET使用天融信自主研发的Tos操作系统，提供高性能的数据存储和查询功能，实现网络非加密应用协议的解析和网络传输文件的还原。TA-NET可以解析特制的蜜罐数据包，并将解析出的数据与网络审计进行关联，实现基于条件的实时查询。

TA-NET集“主机操作行为捕获”和“网络行为审计”于一体，准确的为我们收集和记录蜜罐上的事件。它以旁路监听的方式连入蜜网环境中，保证自身隐蔽性的同时，通过交换机端口镜像获取网络数据包备份。通过网络审计功能，可以观察基于协议、端口、IP等的网络异常情况，对比分析应用协议的审计结果，并自定义报警规则来捕捉需要重点关注的网络行为，从中查找可能有关联的攻击事件。

我们知道，网络安全保障措施虽然在不断地完善，但攻击者的攻击手法也在不断地变换，而且越来越精明，他们总会不断的推出新的方法躲过监测设备的追踪，攻克被攻击者的防御系统。TA-NET/Flow蜜网场景三大功能的结合，正是解决以上问题的有效途径：首先由网络流量的检测和重定向保证了业务主机的正常运行，将攻击流量转入蜜罐中，再由蜜网捕获和网络审计两大模块收集和记录攻击者的后续行为;对于无法立即识别的事件，也将被详细的记录下来，以备后续可能的异常分析。

通过捕获的各种异常数据可以得知，攻击者是在什么时间攻破系统的、用了什么攻击手段、在获得访问权限后又做了些什么。我们可以根据这些信息推断攻击者的动机及目的、对方可能的身份、以及和谁一起工作等等。可以说，TA-NET/Flow蜜网场景为网络威胁研究工作提供了有力的数据支撑。