· 網(wǎng)絡(luò)攻擊數(shù)量增多，攻擊形勢(shì)呈現(xiàn)常態(tài)化；
　　· 網(wǎng)絡(luò)攻擊手段不斷出新，傳統(tǒng)的網(wǎng)絡(luò)防御手段漸見不支；
　　· 網(wǎng)絡(luò)攻擊影響力和影響層面不斷增大；
　　· 新技術(shù)新應(yīng)用的發(fā)展，帶來(lái)新的網(wǎng)絡(luò)威脅。

　　因此，如何獲取準(zhǔn)確且完整的網(wǎng)絡(luò)數(shù)據(jù)，成為了網(wǎng)絡(luò)安全威脅分析的重要前提。

　　由天融信網(wǎng)絡(luò)流量分析系統(tǒng)（即TA-Flow）及網(wǎng)絡(luò)審計(jì)系統(tǒng)（即TA-NET）搭建的蜜網(wǎng)場(chǎng)景，集網(wǎng)絡(luò)流量分析、蜜網(wǎng)誘捕、網(wǎng)絡(luò)審計(jì)三位于一體，能有效的檢測(cè)網(wǎng)絡(luò)攻擊行為。該蜜網(wǎng)場(chǎng)景一方面能夠?qū)δ壳翱蓹z測(cè)的攻擊及時(shí)預(yù)警；另一方面還能夠利用海量數(shù)據(jù)存儲(chǔ)與審計(jì)技術(shù)，收集和記錄網(wǎng)絡(luò)行為，有助于實(shí)現(xiàn)對(duì)未知攻擊的回溯，有效的促進(jìn)網(wǎng)絡(luò)安全的研究工作，為網(wǎng)絡(luò)安全提供有力保障。

　　該應(yīng)用主要從三個(gè)方面滿足網(wǎng)絡(luò)安全研究的需要，即網(wǎng)絡(luò)流量分析、蜜網(wǎng)捕獲、網(wǎng)絡(luò)審計(jì)。場(chǎng)景的架構(gòu)圖如下所示：

圖1  網(wǎng)絡(luò)安全審計(jì)場(chǎng)景架構(gòu)

　　TA-Flow網(wǎng)絡(luò)流量分析系統(tǒng)

　　在該場(chǎng)景中，存在兩個(gè)互相不通信的網(wǎng)絡(luò)，我們把其中提供正常業(yè)務(wù)服務(wù)的網(wǎng)絡(luò)叫做“業(yè)務(wù)網(wǎng)”；另一個(gè)叫做“蜜網(wǎng)”。在外部網(wǎng)絡(luò)流量進(jìn)入業(yè)務(wù)網(wǎng)前，需要先經(jīng)過(guò)TA-Flow網(wǎng)絡(luò)流量分析系統(tǒng)，當(dāng)該系統(tǒng)檢測(cè)到攻擊時(shí)，利用智能流量牽引技術(shù)將攻擊流量引導(dǎo)至蜜網(wǎng)中，而正常訪問(wèn)流量仍流向業(yè)務(wù)網(wǎng)，這樣的蜜網(wǎng)更有利于記錄和分析針對(duì)業(yè)務(wù)網(wǎng)的攻擊行為，既保護(hù)了業(yè)務(wù)網(wǎng)的服務(wù)安全，又可為研究攻擊者的攻擊行為提供幫助。當(dāng)然，該場(chǎng)景的正常運(yùn)轉(zhuǎn)有一個(gè)總的前提，那就是所有的設(shè)備對(duì)外來(lái)流量而言都應(yīng)該是隱藏的，TA-NET/Flow和蜜網(wǎng)需要通過(guò)一些必要的手段來(lái)隱藏自己不被網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)。

　　智能流量牽引技術(shù)可工作在數(shù)據(jù)鏈路層。攻擊者欲攻擊業(yè)務(wù)機(jī)，在沒(méi)有干預(yù)的情況下，流量將流向與真實(shí)業(yè)務(wù)網(wǎng)連接的接口。但當(dāng)啟用流量牽引功能時(shí)，設(shè)備將對(duì)攻擊流量的源IP進(jìn)行流量重定向，所有來(lái)自該IP的數(shù)據(jù)包被引導(dǎo)至與蜜網(wǎng)相連的接口，使攻擊流的對(duì)象變?yōu)槊酃迿C(jī)，但正常用戶的訪問(wèn)流量仍流向業(yè)務(wù)網(wǎng)，不影響正常用戶的訪問(wèn)。同時(shí)，由于系統(tǒng)不提供三層路由的功能，轉(zhuǎn)發(fā)接口并不配置IP，使攻擊者無(wú)法確知自己的數(shù)據(jù)包曾通過(guò)了TA-Flow。

　　蜜網(wǎng)捕獲

　　蜜網(wǎng)又可稱為誘捕網(wǎng)絡(luò)。在該場(chǎng)景中，蜜網(wǎng)不再是一個(gè)被創(chuàng)造出來(lái)的誘餌，而是一個(gè)與業(yè)務(wù)網(wǎng)基本相同的網(wǎng)絡(luò)，其中：

　　1）蜜罐使用了與業(yè)務(wù)網(wǎng)一樣的操作系統(tǒng)、IP、MAC、提供與業(yè)務(wù)網(wǎng)一樣的服務(wù)，使得攻擊者的流量轉(zhuǎn)入蜜網(wǎng)時(shí)，攻擊者無(wú)法從網(wǎng)絡(luò)流量上察覺(jué)攻擊目標(biāo)已經(jīng)產(chǎn)生變化。同時(shí)，雖然兩個(gè)網(wǎng)絡(luò)均連接在二層交換的流量分析設(shè)備上，但業(yè)務(wù)網(wǎng)與蜜網(wǎng)之間并不存在通信，原則上可以理解為是不同網(wǎng)絡(luò)，以保證相同IP和MAC的同時(shí)存在。

　　2）在該場(chǎng)景中，網(wǎng)絡(luò)審計(jì)系統(tǒng)TA-NET集成了蜜罐服務(wù)端的功能，可獲取并解析蜜罐發(fā)送的特制數(shù)據(jù)包，在不被攻擊者察覺(jué)的情況下記錄攻擊者在蜜罐主機(jī)上的所有擊鍵、讀寫文件、建立網(wǎng)絡(luò)連接等操作。從這些行為我們可以得知攻擊者執(zhí)行了什么命令、竊取了哪些文件、鍵入的明文密碼等，幫助我們分析、發(fā)現(xiàn)和重現(xiàn)蜜罐上的攻擊事件。

　　TA-NET網(wǎng)絡(luò)審計(jì)系統(tǒng)

　　TA-NET使用天融信自主研發(fā)的Tos操作系統(tǒng)，提供高性能的數(shù)據(jù)存儲(chǔ)和查詢功能，實(shí)現(xiàn)網(wǎng)絡(luò)非加密應(yīng)用協(xié)議的解析和網(wǎng)絡(luò)傳輸文件的還原。TA-NET可以解析特制的蜜罐數(shù)據(jù)包，并將解析出的數(shù)據(jù)與網(wǎng)絡(luò)審計(jì)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)基于條件的實(shí)時(shí)查詢。

　　TA-NET集“主機(jī)操作行為捕獲”和“網(wǎng)絡(luò)行為審計(jì)”于一體，準(zhǔn)確的為我們收集和記錄蜜罐上的事件。它以旁路監(jiān)聽的方式連入蜜網(wǎng)環(huán)境中，保證自身隱蔽性的同時(shí)，通過(guò)交換機(jī)端口鏡像獲取網(wǎng)絡(luò)數(shù)據(jù)包備份。通過(guò)網(wǎng)絡(luò)審計(jì)功能，可以觀察基于協(xié)議、端口、IP等的網(wǎng)絡(luò)異常情況，對(duì)比分析應(yīng)用協(xié)議的審計(jì)結(jié)果，并自定義報(bào)警規(guī)則來(lái)捕捉需要重點(diǎn)關(guān)注的網(wǎng)絡(luò)行為，從中查找可能有關(guān)聯(lián)的攻擊事件。

　　我們知道，網(wǎng)絡(luò)安全保障措施雖然在不斷地完善，但攻擊者的攻擊手法也在不斷地變換，而且越來(lái)越精明，他們總會(huì)不斷的推出新的方法躲過(guò)監(jiān)測(cè)設(shè)備的追蹤，攻克被攻擊者的防御系統(tǒng)。TA-NET/Flow蜜網(wǎng)場(chǎng)景三大功能的結(jié)合，正是解決以上問(wèn)題的有效途徑：首先由網(wǎng)絡(luò)流量的檢測(cè)和重定向保證了業(yè)務(wù)主機(jī)的正常運(yùn)行，將攻擊流量轉(zhuǎn)入蜜罐中，再由蜜網(wǎng)捕獲和網(wǎng)絡(luò)審計(jì)兩大模塊收集和記錄攻擊者的后續(xù)行為；對(duì)于無(wú)法立即識(shí)別的事件，也將被詳細(xì)的記錄下來(lái)，以備后續(xù)可能的異常分析。

　　通過(guò)捕獲的各種異常數(shù)據(jù)可以得知，攻擊者是在什么時(shí)間攻破系統(tǒng)的、用了什么攻擊手段、在獲得訪問(wèn)權(quán)限后又做了些什么。我們可以根據(jù)這些信息推斷攻擊者的動(dòng)機(jī)及目的、對(duì)方可能的身份、以及和誰(shuí)一起工作等等。可以說(shuō)，TA-NET/Flow蜜網(wǎng)場(chǎng)景為網(wǎng)絡(luò)威脅研究工作提供了有力的數(shù)據(jù)支撐。