網(wǎng)絡(luò)安全審計(jì)和蜜網(wǎng)保護(hù)信息安全
· 網(wǎng)絡(luò)攻擊數(shù)量增多,攻擊形勢(shì)呈現(xiàn)常態(tài)化;
· 網(wǎng)絡(luò)攻擊手段不斷出新,傳統(tǒng)的網(wǎng)絡(luò)防御手段漸見(jiàn)不支;
· 網(wǎng)絡(luò)攻擊影響力和影響層面不斷增大;
· 新技術(shù)新應(yīng)用的發(fā)展,帶來(lái)新的網(wǎng)絡(luò)威脅。
因此,如何獲取準(zhǔn)確且完整的網(wǎng)絡(luò)數(shù)據(jù),成為了網(wǎng)絡(luò)安全威脅分析的重要前提。
由天融信網(wǎng)絡(luò)流量分析系統(tǒng)(即TA-Flow)及網(wǎng)絡(luò)審計(jì)系統(tǒng)(即TA-NET)搭建的蜜網(wǎng)場(chǎng)景,集網(wǎng)絡(luò)流量分析、蜜網(wǎng)誘捕、網(wǎng)絡(luò)審計(jì)三位于一體,能有效的檢測(cè)網(wǎng)絡(luò)攻擊行為。該蜜網(wǎng)場(chǎng)景一方面能夠?qū)δ壳翱蓹z測(cè)的攻擊及時(shí)預(yù)警;另一方面還能夠利用海量數(shù)據(jù)存儲(chǔ)與審計(jì)技術(shù),收集和記錄網(wǎng)絡(luò)行為,有助于實(shí)現(xiàn)對(duì)未知攻擊的回溯,有效的促進(jìn)網(wǎng)絡(luò)安全的研究工作,為網(wǎng)絡(luò)安全提供有力保障。
該應(yīng)用主要從三個(gè)方面滿足網(wǎng)絡(luò)安全研究的需要,即網(wǎng)絡(luò)流量分析、蜜網(wǎng)捕獲、網(wǎng)絡(luò)審計(jì)。場(chǎng)景的架構(gòu)圖如下所示:
圖1 網(wǎng)絡(luò)安全審計(jì)場(chǎng)景架構(gòu)
TA-Flow網(wǎng)絡(luò)流量分析系統(tǒng)
在該場(chǎng)景中,存在兩個(gè)互相不通信的網(wǎng)絡(luò),我們把其中提供正常業(yè)務(wù)服務(wù)的網(wǎng)絡(luò)叫做“業(yè)務(wù)網(wǎng)”;另一個(gè)叫做“蜜網(wǎng)”。在外部網(wǎng)絡(luò)流量進(jìn)入業(yè)務(wù)網(wǎng)前,需要先經(jīng)過(guò)TA-Flow網(wǎng)絡(luò)流量分析系統(tǒng),當(dāng)該系統(tǒng)檢測(cè)到攻擊時(shí),利用智能流量牽引技術(shù)將攻擊流量引導(dǎo)至蜜網(wǎng)中,而正常訪問(wèn)流量仍流向業(yè)務(wù)網(wǎng),這樣的蜜網(wǎng)更有利于記錄和分析針對(duì)業(yè)務(wù)網(wǎng)的攻擊行為,既保護(hù)了業(yè)務(wù)網(wǎng)的服務(wù)安全,又可為研究攻擊者的攻擊行為提供幫助。當(dāng)然,該場(chǎng)景的正常運(yùn)轉(zhuǎn)有一個(gè)總的前提,那就是所有的設(shè)備對(duì)外來(lái)流量而言都應(yīng)該是隱藏的,TA-NET/Flow和蜜網(wǎng)需要通過(guò)一些必要的手段來(lái)隱藏自己不被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)。
智能流量牽引技術(shù)可工作在數(shù)據(jù)鏈路層。攻擊者欲攻擊業(yè)務(wù)機(jī),在沒(méi)有干預(yù)的情況下,流量將流向與真實(shí)業(yè)務(wù)網(wǎng)連接的接口。但當(dāng)啟用流量牽引功能時(shí),設(shè)備將對(duì)攻擊流量的源IP進(jìn)行流量重定向,所有來(lái)自該IP的數(shù)據(jù)包被引導(dǎo)至與蜜網(wǎng)相連的接口,使攻擊流的對(duì)象變?yōu)槊酃迿C(jī),但正常用戶的訪問(wèn)流量仍流向業(yè)務(wù)網(wǎng),不影響正常用戶的訪問(wèn)。同時(shí),由于系統(tǒng)不提供三層路由的功能,轉(zhuǎn)發(fā)接口并不配置IP,使攻擊者無(wú)法確知自己的數(shù)據(jù)包曾通過(guò)了TA-Flow。
蜜網(wǎng)捕獲
蜜網(wǎng)又可稱為誘捕網(wǎng)絡(luò)。在該場(chǎng)景中,蜜網(wǎng)不再是一個(gè)被創(chuàng)造出來(lái)的誘餌,而是一個(gè)與業(yè)務(wù)網(wǎng)基本相同的網(wǎng)絡(luò),其中:
1)蜜罐使用了與業(yè)務(wù)網(wǎng)一樣的操作系統(tǒng)、IP、MAC、提供與業(yè)務(wù)網(wǎng)一樣的服務(wù),使得攻擊者的流量轉(zhuǎn)入蜜網(wǎng)時(shí),攻擊者無(wú)法從網(wǎng)絡(luò)流量上察覺(jué)攻擊目標(biāo)已經(jīng)產(chǎn)生變化。同時(shí),雖然兩個(gè)網(wǎng)絡(luò)均連接在二層交換的流量分析設(shè)備上,但業(yè)務(wù)網(wǎng)與蜜網(wǎng)之間并不存在通信,原則上可以理解為是不同網(wǎng)絡(luò),以保證相同IP和MAC的同時(shí)存在。
2)在該場(chǎng)景中,網(wǎng)絡(luò)審計(jì)系統(tǒng)TA-NET集成了蜜罐服務(wù)端的功能,可獲取并解析蜜罐發(fā)送的特制數(shù)據(jù)包,在不被攻擊者察覺(jué)的情況下記錄攻擊者在蜜罐主機(jī)上的所有擊鍵、讀寫文件、建立網(wǎng)絡(luò)連接等操作。從這些行為我們可以得知攻擊者執(zhí)行了什么命令、竊取了哪些文件、鍵入的明文密碼等,幫助我們分析、發(fā)現(xiàn)和重現(xiàn)蜜罐上的攻擊事件。
TA-NET網(wǎng)絡(luò)審計(jì)系統(tǒng)
TA-NET使用天融信自主研發(fā)的Tos操作系統(tǒng),提供高性能的數(shù)據(jù)存儲(chǔ)和查詢功能,實(shí)現(xiàn)網(wǎng)絡(luò)非加密應(yīng)用協(xié)議的解析和網(wǎng)絡(luò)傳輸文件的還原。TA-NET可以解析特制的蜜罐數(shù)據(jù)包,并將解析出的數(shù)據(jù)與網(wǎng)絡(luò)審計(jì)進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)基于條件的實(shí)時(shí)查詢。
TA-NET集“主機(jī)操作行為捕獲”和“網(wǎng)絡(luò)行為審計(jì)”于一體,準(zhǔn)確的為我們收集和記錄蜜罐上的事件。它以旁路監(jiān)聽(tīng)的方式連入蜜網(wǎng)環(huán)境中,保證自身隱蔽性的同時(shí),通過(guò)交換機(jī)端口鏡像獲取網(wǎng)絡(luò)數(shù)據(jù)包備份。通過(guò)網(wǎng)絡(luò)審計(jì)功能,可以觀察基于協(xié)議、端口、IP等的網(wǎng)絡(luò)異常情況,對(duì)比分析應(yīng)用協(xié)議的審計(jì)結(jié)果,并自定義報(bào)警規(guī)則來(lái)捕捉需要重點(diǎn)關(guān)注的網(wǎng)絡(luò)行為,從中查找可能有關(guān)聯(lián)的攻擊事件。
我們知道,網(wǎng)絡(luò)安全保障措施雖然在不斷地完善,但攻擊者的攻擊手法也在不斷地變換,而且越來(lái)越精明,他們總會(huì)不斷的推出新的方法躲過(guò)監(jiān)測(cè)設(shè)備的追蹤,攻克被攻擊者的防御系統(tǒng)。TA-NET/Flow蜜網(wǎng)場(chǎng)景三大功能的結(jié)合,正是解決以上問(wèn)題的有效途徑:首先由網(wǎng)絡(luò)流量的檢測(cè)和重定向保證了業(yè)務(wù)主機(jī)的正常運(yùn)行,將攻擊流量轉(zhuǎn)入蜜罐中,再由蜜網(wǎng)捕獲和網(wǎng)絡(luò)審計(jì)兩大模塊收集和記錄攻擊者的后續(xù)行為;對(duì)于無(wú)法立即識(shí)別的事件,也將被詳細(xì)的記錄下來(lái),以備后續(xù)可能的異常分析。
通過(guò)捕獲的各種異常數(shù)據(jù)可以得知,攻擊者是在什么時(shí)間攻破系統(tǒng)的、用了什么攻擊手段、在獲得訪問(wèn)權(quán)限后又做了些什么。我們可以根據(jù)這些信息推斷攻擊者的動(dòng)機(jī)及目的、對(duì)方可能的身份、以及和誰(shuí)一起工作等等。可以說(shuō),TA-NET/Flow蜜網(wǎng)場(chǎng)景為網(wǎng)絡(luò)威脅研究工作提供了有力的數(shù)據(jù)支撐。
責(zé)任編輯:和碩涵
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》