云計(jì)算和虛擬化技術(shù)的發(fā)展，使得蜜網(wǎng)系統(tǒng)從傳統(tǒng)的硬件蜜網(wǎng)，發(fā)展成動(dòng)態(tài)靈活的虛擬化蜜網(wǎng)成為了可能。SDN(Software Defined Networking)架構(gòu)將網(wǎng)絡(luò)的控制平面從數(shù)據(jù)平面中分離出來，通過邏輯上集中的網(wǎng)絡(luò)控制器可以靈活的實(shí)現(xiàn)流量調(diào)度。這樣結(jié)合虛擬化和SDN來設(shè)計(jì)實(shí)現(xiàn)蜜網(wǎng)，對(duì)于業(yè)務(wù)系統(tǒng)，尤其是虛擬化環(huán)境下的業(yè)務(wù)系統(tǒng)的攻擊誘騙和防護(hù)取證起到了重大的推動(dòng)作用。

本文首先從傳統(tǒng)蜜罐、蜜網(wǎng)、分布式蜜罐、分布式蜜網(wǎng)、蜜場(chǎng)等概念著手，然后介紹如何基于虛擬化和SDN實(shí)現(xiàn)虛擬化的蜜網(wǎng)，最后分析闡述當(dāng)前學(xué)術(shù)界和工業(yè)界在虛擬化蜜網(wǎng)上做的一些工作。

[[202778]]

1. 背景

信息安全問題歸根結(jié)底就是攻擊方和防守方的博弈戰(zhàn)爭(zhēng)，而在這場(chǎng)戰(zhàn)爭(zhēng)中，防守方通常處于被動(dòng)不利的地位。俗話說“不怕賊偷，就怕賊惦記”與此有異曲同工之妙。作為防守方必須確保系統(tǒng)不存在任何可被攻擊者利用的漏洞，并擁有全天候的監(jiān)控防御機(jī)制，才能確保系統(tǒng)的安全。而作為攻擊方來講，可以在任何時(shí)間、任何情況，只要發(fā)現(xiàn)目標(biāo)系統(tǒng)存在可被攻擊的條件，就可以對(duì)其實(shí)施攻擊。

面對(duì)這樣的攻防博弈，典型的也是最常見的防御措施通常是威脅/漏洞發(fā)現(xiàn)后，根據(jù)威脅產(chǎn)生的不同部位，進(jìn)行安全性修補(bǔ)。更多的是一種“亡羊補(bǔ)牢”，事后補(bǔ)救的機(jī)制。

蜜罐(honeypot)就是防守方為了扭轉(zhuǎn)這種不對(duì)稱局面而提出的一項(xiàng)主動(dòng)防御技術(shù)。蜜罐定義為一類安全資源，它沒有任何業(yè)務(wù)上的用途，其價(jià)值就是吸引攻擊方對(duì)它進(jìn)行非法使用。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，讓防守方清楚的了解他們所面對(duì)的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

蜜網(wǎng)(honeynet))是在蜜罐技術(shù)上逐步發(fā)展起來的一個(gè)新的概念，有時(shí)也稱作誘捕網(wǎng)絡(luò)。當(dāng)多個(gè)蜜罐被網(wǎng)絡(luò)連接在一起，組成一個(gè)大型虛假業(yè)務(wù)系統(tǒng)，利用其中一部分主機(jī)吸引攻擊者入侵，通過監(jiān)測(cè)入侵過程，一方面收集攻擊者的攻擊行為，另一方面可以更新相應(yīng)的安全防護(hù)策略。這種由多個(gè)蜜罐組成的模擬網(wǎng)絡(luò)就稱為蜜網(wǎng)。

蜜網(wǎng)主要是一種研究型的高交互蜜罐技術(shù)，由于蜜網(wǎng)涉及到多個(gè)蜜罐之間的網(wǎng)絡(luò)體系架構(gòu)設(shè)計(jì)，同時(shí)為了提高高交互性，又會(huì)存在一些真實(shí)的業(yè)務(wù)邏輯，因此蜜網(wǎng)的設(shè)計(jì)相對(duì)蜜罐來說要復(fù)雜的多。蜜網(wǎng)設(shè)計(jì)有著三大核心需求：即網(wǎng)絡(luò)控制、行為捕獲和行為分析。通過網(wǎng)絡(luò)控制能夠確保攻擊者不能利用蜜網(wǎng)危害正常業(yè)務(wù)系統(tǒng)的安全，以減輕架設(shè)蜜網(wǎng)的風(fēng)險(xiǎn);行為捕獲技術(shù)能夠檢測(cè)并審計(jì)攻擊者的所有行為數(shù)據(jù);而行為分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出攻擊方的具體活動(dòng)。

為了克服傳統(tǒng)蜜罐技術(shù)監(jiān)測(cè)范圍受限的弱點(diǎn)，在2003年左右出現(xiàn)了分布式蜜罐(distributed honeypot)與分布式蜜網(wǎng)(distributed honeynet)的概念。分布式蜜網(wǎng)系統(tǒng)能夠?qū)⒏鱾€(gè)不同位置部署的蜜網(wǎng)捕獲的數(shù)據(jù)進(jìn)行匯總分析。分布式蜜罐/蜜網(wǎng)能夠在互聯(lián)網(wǎng)不同位置上進(jìn)行多點(diǎn)部署，有效的提升安全威脅監(jiān)測(cè)的覆蓋面，克服了傳統(tǒng)蜜罐監(jiān)測(cè)范圍窄的缺陷，因而成為目前安全業(yè)界采用蜜罐技術(shù)構(gòu)建互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)體系的普遍部署模式。

在當(dāng)前的安全攻防領(lǐng)域，蜜罐和蜜網(wǎng)技術(shù)的發(fā)展已經(jīng)使得我們能夠部署一個(gè)蜜網(wǎng)，并對(duì)攻擊者的攻擊事件進(jìn)行分析。但是現(xiàn)階段廣泛被大家接受和部署的蜜網(wǎng)基礎(chǔ)設(shè)施，主要還是硬件服務(wù)器部署的方式，這樣一方面蜜網(wǎng)結(jié)構(gòu)很難根據(jù)攻擊行為進(jìn)行動(dòng)態(tài)的調(diào)整，另一方面，大量的物理基礎(chǔ)設(shè)施用來進(jìn)行蜜網(wǎng)系統(tǒng)的部署運(yùn)行，安全防護(hù)成本較高。

隨著虛擬化技術(shù)的不斷發(fā)展，尤其是近年來SDN/NFV技術(shù)的不斷成熟，能否采用虛擬化技術(shù)來實(shí)現(xiàn)蜜網(wǎng)系統(tǒng)?能否在SDN/NFV的環(huán)境中通過蜜網(wǎng)系統(tǒng)實(shí)現(xiàn)安全防護(hù)?答案當(dāng)然是肯定的。

2. SDN蜜網(wǎng)概述

SDN蜜網(wǎng)，主要是指在SDN網(wǎng)絡(luò)中，通過蜜罐/蜜網(wǎng)技術(shù)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的安全防護(hù)。眾所周知，SDN網(wǎng)絡(luò)可以理解為一種集中控制的網(wǎng)絡(luò)，通過邏輯上集中的控制平面，一方面能夠獲取到全局的網(wǎng)絡(luò)信息，另一方面，能夠靈活的對(duì)特定流量進(jìn)行調(diào)度。這樣結(jié)合虛擬化技術(shù)，就能夠在威脅發(fā)現(xiàn)之后，動(dòng)態(tài)的生成相應(yīng)的蜜網(wǎng)系統(tǒng)，同時(shí)利用SDN控制器，將異常流量調(diào)度到虛擬化的蜜網(wǎng)系統(tǒng)中，完成異常行為的跟蹤取證與安全防護(hù)。如下圖所示，就是基于SDN網(wǎng)絡(luò)組建的虛擬化蜜網(wǎng)防護(hù)系統(tǒng)的一個(gè)簡(jiǎn)單的邏輯圖。這種SDN蜜網(wǎng)的好處在于有效的解決了前文所提到的傳統(tǒng)蜜網(wǎng)的部署結(jié)構(gòu)不靈活，基礎(chǔ)設(shè)施成本高等問題。

基于SDN的虛擬化蜜網(wǎng)邏輯圖

現(xiàn)階段，基于SDN的虛擬化蜜網(wǎng)系統(tǒng)通常包括以下幾個(gè)部分：入侵檢測(cè)模塊、蜜網(wǎng)管理模塊和流量調(diào)度模塊。入侵檢測(cè)模塊是對(duì)所有訪問業(yè)務(wù)系統(tǒng)的流量進(jìn)行鏡像檢測(cè)，以發(fā)現(xiàn)帶有安全威脅的異常流量，進(jìn)而確定疑似攻擊者信息。當(dāng)發(fā)現(xiàn)異常流量之后，蜜網(wǎng)管理模塊就會(huì)根據(jù)異常訪問的信息，動(dòng)態(tài)生成相應(yīng)的蜜網(wǎng)系統(tǒng)，并且完成蜜網(wǎng)網(wǎng)絡(luò)的配置。接下來，流量調(diào)度模塊就會(huì)將異常流量調(diào)度到蜜網(wǎng)系統(tǒng)中，完成相應(yīng)的攻擊檢測(cè)、取證、防護(hù)等工作。

下面，本文將結(jié)合學(xué)術(shù)界和工業(yè)界的一些技術(shù)方案，詳細(xì)分析如何實(shí)現(xiàn)基于SDN的虛擬化蜜網(wǎng)系統(tǒng)的設(shè)計(jì)和構(gòu)建。

3. 實(shí)現(xiàn)方案

基于SDN和虛擬化技術(shù)的動(dòng)態(tài)蜜網(wǎng)系統(tǒng)近年來無論是在學(xué)術(shù)界還是在工業(yè)界，由于其靈活的實(shí)現(xiàn)方式，得到了大家的一致認(rèn)可。下面本節(jié)就選擇幾個(gè)典型的實(shí)現(xiàn)方案進(jìn)行詳細(xì)的分析和比較。

參考文獻(xiàn)[2]提出了一種SDN網(wǎng)絡(luò)的蜜網(wǎng)安全防護(hù)系統(tǒng)，系統(tǒng)主要包括網(wǎng)絡(luò)入侵檢測(cè)模塊、蜜網(wǎng)管理模塊和SDN控制器集群管理模塊。網(wǎng)絡(luò)入侵檢測(cè)模塊對(duì)進(jìn)入組織內(nèi)部的流量進(jìn)行入侵檢測(cè);蜜網(wǎng)管理則負(fù)責(zé)蜜網(wǎng)的創(chuàng)建、流量轉(zhuǎn)發(fā)規(guī)則以及蜜網(wǎng)數(shù)據(jù)庫(kù)維護(hù)等。SDN控制器集群則對(duì)整個(gè)系統(tǒng)內(nèi)的多個(gè)SDN控制器進(jìn)行協(xié)調(diào)管理和通信維護(hù)。如下圖所示就是整個(gè)系統(tǒng)的一個(gè)簡(jiǎn)單的架構(gòu)圖。

其工作流程主要是：首先在整個(gè)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的邊緣SDN交換機(jī)進(jìn)行流量鏡像的配置，通過端口鏡像將所有訪問業(yè)務(wù)系統(tǒng)的流量傳輸至入侵檢測(cè)系統(tǒng)。如果入侵檢測(cè)系統(tǒng)判定流量無異常，那么就將其進(jìn)行正常的轉(zhuǎn)發(fā);如果發(fā)現(xiàn)異常，則根據(jù)安全威脅進(jìn)行等級(jí)劃分，并識(shí)別攻擊類型，將攻擊類型、特征、以及安全威脅等級(jí)告知蜜網(wǎng)管理模塊。

蜜網(wǎng)管理模塊據(jù)此信息，參考蜜網(wǎng)模型數(shù)據(jù)庫(kù)，計(jì)算出對(duì)應(yīng)的蜜網(wǎng)網(wǎng)絡(luò)架構(gòu)，然后創(chuàng)建虛擬化蜜網(wǎng);同時(shí)將相應(yīng)的流量調(diào)度策略傳輸給SDN 控制器，控制器下發(fā)流量匹配規(guī)則到SDN交換機(jī)，完成整個(gè)異常流量的調(diào)度工作。

這種方式巧妙的結(jié)合了虛擬化和SDN各自優(yōu)勢(shì)，是一種典型的基于SDN的虛擬化蜜網(wǎng)防護(hù)設(shè)計(jì)思路。

參考文獻(xiàn)[3]同樣是結(jié)合計(jì)算虛擬化和網(wǎng)絡(luò)虛擬化技術(shù)，實(shí)現(xiàn)了一種全虛擬化的蜜罐主機(jī)和一種可動(dòng)態(tài)調(diào)整和可擴(kuò)展的動(dòng)態(tài)虛擬蜜網(wǎng)系統(tǒng)，以及提出疊加虛擬蜜網(wǎng)的概念。

其整體架構(gòu)主要包括業(yè)務(wù)網(wǎng)絡(luò)、基于OpenFlow交換機(jī)的蜜墻以及虛擬蜜罐系統(tǒng)。在業(yè)務(wù)網(wǎng)部署入侵檢測(cè)和流量分析系統(tǒng)，當(dāng)檢測(cè)到攻擊流量時(shí)通報(bào)控制器;Floodlight控制器收到流量轉(zhuǎn)發(fā)請(qǐng)求后生成流量控制命令并通過控制器傳輸至OpenFlow交換機(jī);OpenFlow交換機(jī)解析流量控制命令，根據(jù)請(qǐng)求內(nèi)容轉(zhuǎn)發(fā)攻擊流量至虛擬蜜罐系統(tǒng);虛擬蜜罐系統(tǒng)根據(jù)當(dāng)前系統(tǒng)負(fù)載進(jìn)行傳輸控制，將不同的服務(wù)流量導(dǎo)入不同的服務(wù)集群中;蜜網(wǎng)系統(tǒng)收集和分析攻擊流量,并記錄攻擊行為、攻擊源和攻擊日志等信息，完成蜜網(wǎng)工作。從這個(gè)整體思路來看，該項(xiàng)工作與參考文獻(xiàn)[2]的思路其實(shí)是很像的。下面我們?cè)倏纯雌湓敿?xì)的工作流程。

具體工作流程如下圖所示，當(dāng)外部請(qǐng)求進(jìn)入OpenFlow交換機(jī)后，交換機(jī)通過流信息(協(xié)議、端口等)識(shí)別解析流。轉(zhuǎn)發(fā)策略控制模塊根據(jù)當(dāng)前的服務(wù)部署情況創(chuàng)建轉(zhuǎn)發(fā)規(guī)則(如HTTP請(qǐng)求的流進(jìn)入HTTP服務(wù)系統(tǒng)中)，轉(zhuǎn)發(fā)的同時(shí)修改流中數(shù)據(jù)包的目的MAC地址和目的IP地址，并將這些規(guī)則推送到OpenFlow交換機(jī)中。服務(wù)流進(jìn)入相應(yīng)的服務(wù)系統(tǒng)中進(jìn)行相應(yīng)處理。服務(wù)系統(tǒng)響應(yīng)的數(shù)據(jù)包到達(dá)OpenFlow交換機(jī)后根據(jù)流表規(guī)則，修改源MAC和源IP，最終融合返回給攻擊者。至此完成虛擬蜜罐的實(shí)現(xiàn)流程。

作者在這里還提到了一個(gè)疊加虛擬蜜網(wǎng)的概念，所謂的疊加蜜網(wǎng)，就是通過對(duì)OpenFlow交換機(jī)進(jìn)行規(guī)則設(shè)定，實(shí)現(xiàn)網(wǎng)絡(luò)的分片劃分，達(dá)到疊加網(wǎng)絡(luò)的效果，也就是展現(xiàn)為不同的蜜網(wǎng)系統(tǒng)。這樣不同分片的蜜網(wǎng)系統(tǒng)也就實(shí)現(xiàn)了相互隔離的目的。

這種實(shí)現(xiàn)方式較參考文獻(xiàn)[2]我們發(fā)現(xiàn)有以下幾點(diǎn)不同：(1)本方案在處理異常流量向蜜網(wǎng)系統(tǒng)調(diào)度時(shí)，采用的是修改數(shù)據(jù)包目的IP和目的MAC的方式，而參考文獻(xiàn)[2]則是直接通過設(shè)置流表output端口實(shí)現(xiàn)。這樣在攻擊者的角度來看，本方案的蜜網(wǎng)系統(tǒng)更具有隱蔽性;(2)本方案的虛擬蜜網(wǎng)系統(tǒng)在生成時(shí)，僅僅是考慮了應(yīng)用協(xié)議這一方面，比如異常流量是HTTP請(qǐng)求，那么就將其調(diào)度到一個(gè)虛擬的HTTP蜜罐服務(wù);并未過多的考慮到真實(shí)業(yè)務(wù)系統(tǒng)的交互邏輯，而參考文獻(xiàn)[2]在這方面考慮的相對(duì)比較周全。

參考文獻(xiàn)[4]提出一種基于虛擬機(jī)的彈性防攻擊方法，主要應(yīng)用在云計(jì)算系統(tǒng)的網(wǎng)絡(luò)安全領(lǐng)域。通常云計(jì)算系統(tǒng)的主機(jī)都是掛在一個(gè)虛擬的交換設(shè)備上，比如OVS(Open vSwitch)，這個(gè)OVS的轉(zhuǎn)發(fā)規(guī)則由SDN控制器根據(jù)預(yù)先設(shè)置的白名單來進(jìn)行制定。

當(dāng)攻擊者的數(shù)據(jù)包經(jīng)過OVS交換機(jī)時(shí)，會(huì)向SDN控制器發(fā)出packet_in事件請(qǐng)求。控制器查詢?cè)L問控制白名單，確認(rèn)訪問是否合法;同時(shí)會(huì)對(duì)符合白名單的數(shù)據(jù)包進(jìn)行異常分析，來確定其是否為攻擊流量，如果是，那么刪除其白名單中對(duì)應(yīng)的規(guī)則，并且克隆一臺(tái)預(yù)先配置好的蜜網(wǎng)虛擬機(jī)。最后控制器生成一條將攻擊流量導(dǎo)向新生成的虛擬機(jī)的流表，并下發(fā)至相應(yīng)的OVS交換機(jī)上。

我們發(fā)現(xiàn)，該方案在設(shè)計(jì)實(shí)現(xiàn)上較前兩種又不太一樣。首先就是本方案首先確定一個(gè)大前提，就是在云計(jì)算系統(tǒng)中，由于云計(jì)算系統(tǒng)無論在網(wǎng)絡(luò)架構(gòu)上，還是在流量特性上，較傳統(tǒng)的數(shù)據(jù)中心還是有一定的區(qū)別的。然后就是基于這樣的前提，本方案并沒有采用獨(dú)立的入侵檢測(cè)系統(tǒng)去對(duì)所有的訪問流量進(jìn)行異常檢測(cè)，而是將這個(gè)功能實(shí)現(xiàn)在了SDN的網(wǎng)絡(luò)控制器里，僅僅是針對(duì)符合其預(yù)設(shè)白名單的流進(jìn)行異常檢測(cè)。最后就是本方案一旦發(fā)現(xiàn)流量異常之后，再將其調(diào)度到蜜網(wǎng)系統(tǒng)的同時(shí)，會(huì)在白名單中刪除對(duì)應(yīng)的規(guī)則，也就是說，這個(gè)異常的源主機(jī)在后續(xù)發(fā)起的流建立請(qǐng)求都將被忽略掉，實(shí)現(xiàn)了異常主機(jī)的隔離。

參考文獻(xiàn)[5]提出了一種利用虛擬化蜜網(wǎng)技術(shù)，實(shí)現(xiàn)云平臺(tái)的信息安全攻防體系架構(gòu)。參考文獻(xiàn)[6]同樣是通過入侵檢測(cè)系統(tǒng)和虛擬蜜罐系統(tǒng)的結(jié)合，實(shí)現(xiàn)了一種云計(jì)算系統(tǒng)的安全控制方法。

從以上這幾個(gè)方案可以看出，基于SDN實(shí)現(xiàn)的虛擬化蜜網(wǎng)系統(tǒng)，在總體設(shè)計(jì)思路上，并沒有太大的差異，只是不同的方案針對(duì)不同的應(yīng)用場(chǎng)景，在實(shí)現(xiàn)細(xì)節(jié)上會(huì)有些許的不同。

4. 總結(jié)

本文從傳統(tǒng)的蜜罐、蜜網(wǎng)、分布式蜜罐、分布式蜜網(wǎng)等概念著手，介紹了蜜罐和蜜網(wǎng)技術(shù)在攻防博弈不對(duì)稱的情形下，如何實(shí)現(xiàn)主動(dòng)安全防御的一種思路。然后介紹了如何基于SDN網(wǎng)絡(luò)，結(jié)合虛擬化技術(shù)，實(shí)現(xiàn)SDN蜜網(wǎng)系統(tǒng)，并且介紹了幾個(gè)典型的SDN蜜網(wǎng)系統(tǒng)實(shí)現(xiàn)方案，比較了幾種實(shí)現(xiàn)方式的異同。

近年來，云計(jì)算逐漸的被人們所接受，而云上業(yè)務(wù)的安全問題也越來越受到大家的關(guān)注。從上述的幾個(gè)實(shí)現(xiàn)方案可以看出，基于SDN的虛擬化蜜網(wǎng)系統(tǒng)可以完美的部署在云計(jì)算系統(tǒng)中，對(duì)于異常攻擊的檢測(cè)、取證、防護(hù)有著重要意義。