· 网络攻击数量增多,攻击形势呈现常态化;
· 网络攻击手段不断出新,传统的网络防御手段渐见不支;
· 网络攻击影响力和影响层面不断增大;
· 新技术新应用的发展,带来新的网络威胁。
因此,如何获取准确且完整的网络数据,成为了网络安全威胁分析的重要前提。
由天融信网络流量分析系统(即TA-Flow)及网络审计系统(即TA-NET)搭建的蜜网场景,集网络流量分析、蜜网诱捕、网络审计三位于一体,能有效的检测网络攻击行为。该蜜网场景一方面能够对目前可检测的攻击及时预警;另一方面还能够利用海量数据存储与审计技术,收集和记录网络行为,有助于实现对未知攻击的回溯,有效的促进网络安全的研究工作,为网络安全提供有力保障。
该应用主要从三个方面满足网络安全研究的需要,即网络流量分析、蜜网捕获、网络审计。场景的架构图如下所示:
图1 网络安全审计场景架构
TA-Flow网络流量分析系统
在该场景中,存在两个互相不通信的网络,我们把其中提供正常业务服务的网络叫做“业务网”;另一个叫做“蜜网”。在外部网络流量进入业务网前,需要先经过TA-Flow网络流量分析系统,当该系统检测到攻击时,利用智能流量牵引技术将攻击流量引导至蜜网中,而正常访问流量仍流向业务网,这样的蜜网更有利于记录和分析针对业务网的攻击行为,既保护了业务网的服务安全,又可为研究攻击者的攻击行为提供帮助。当然,该场景的正常运转有一个总的前提,那就是所有的设备对外来流量而言都应该是隐藏的,TA-NET/Flow和蜜网需要通过一些必要的手段来隐藏自己不被网络攻击者发现。
智能流量牵引技术可工作在数据链路层。攻击者欲攻击业务机,在没有干预的情况下,流量将流向与真实业务网连接的接口。但当启用流量牵引功能时,设备将对攻击流量的源IP进行流量重定向,所有来自该IP的数据包被引导至与蜜网相连的接口,使攻击流的对象变为蜜罐机,但正常用户的访问流量仍流向业务网,不影响正常用户的访问。同时,由于系统不提供三层路由的功能,转发接口并不配置IP,使攻击者无法确知自己的数据包曾通过了TA-Flow。
蜜网捕获
蜜网又可称为诱捕网络。在该场景中,蜜网不再是一个被创造出来的诱饵,而是一个与业务网基本相同的网络,其中:
1)蜜罐使用了与业务网一样的操作系统、IP、MAC、提供与业务网一样的服务,使得攻击者的流量转入蜜网时,攻击者无法从网络流量上察觉攻击目标已经产生变化。同时,虽然两个网络均连接在二层交换的流量分析设备上,但业务网与蜜网之间并不存在通信,原则上可以理解为是不同网络,以保证相同IP和MAC的同时存在。
2)在该场景中,网络审计系统TA-NET集成了蜜罐服务端的功能,可获取并解析蜜罐发送的特制数据包,在不被攻击者察觉的情况下记录攻击者在蜜罐主机上的所有击键、读写文件、建立网络连接等操作。从这些行为我们可以得知攻击者执行了什么命令、窃取了哪些文件、键入的明文密码等,帮助我们分析、发现和重现蜜罐上的攻击事件。
TA-NET网络审计系统
TA-NET使用天融信自主研发的Tos操作系统,提供高性能的数据存储和查询功能,实现网络非加密应用协议的解析和网络传输文件的还原。TA-NET可以解析特制的蜜罐数据包,并将解析出的数据与网络审计进行关联,实现基于条件的实时查询。
TA-NET集“主机操作行为捕获”和“网络行为审计”于一体,准确的为我们收集和记录蜜罐上的事件。它以旁路监听的方式连入蜜网环境中,保证自身隐蔽性的同时,通过交换机端口镜像获取网络数据包备份。通过网络审计功能,可以观察基于协议、端口、IP等的网络异常情况,对比分析应用协议的审计结果,并自定义报警规则来捕捉需要重点关注的网络行为,从中查找可能有关联的攻击事件。
我们知道,网络安全保障措施虽然在不断地完善,但攻击者的攻击手法也在不断地变换,而且越来越精明,他们总会不断的推出新的方法躲过监测设备的追踪,攻克被攻击者的防御系统。TA-NET/Flow蜜网场景三大功能的结合,正是解决以上问题的有效途径:首先由网络流量的检测和重定向保证了业务主机的正常运行,将攻击流量转入蜜罐中,再由蜜网捕获和网络审计两大模块收集和记录攻击者的后续行为;对于无法立即识别的事件,也将被详细的记录下来,以备后续可能的异常分析。
通过捕获的各种异常数据可以得知,攻击者是在什么时间攻破系统的、用了什么攻击手段、在获得访问权限后又做了些什么。我们可以根据这些信息推断攻击者的动机及目的、对方可能的身份、以及和谁一起工作等等。可以说,TA-NET/Flow蜜网场景为网络威胁研究工作提供了有力的数据支撑。