IPv6大赛获奖项目:基于IPv6网络的分布式蜜罐系统
发布时间:2023-01-18 09:04:36
组别: 高校创新组-行业应用服务类 奖项: 一等奖 单位: 深圳大学 成员: 苏耀阳、黄锐滨、刘积良 导师: 江魁
背景 随着网络的规模、共享性和开放性的不断扩大,网络环境变得越来越复杂,系统遭受的入侵和攻击越来越多,黑客的攻击手段也日益多样化。《2020年我国互联网网络安全态势综述》报告,2020年通过自主捕获和厂商交换新增获得移动互联网恶意程序数量约 303 万个,同比增长 8.5%,如何有效防范恶意网络攻击成为大家关注重视的问题。 因此,务必需要一套完善的诱捕防御系统进行网络威胁检测。而传统的防护措施大多处在被动的地位,如防火墙,入侵检测系统等,这种方式无法主动出击,为自己争取攻防中有利的地位。同时,也缺乏对未知威胁的预警和识别。本系统通过多维威胁感知技术,结合日志收集分析技术,基于分布式网络蜜罐构建IPv6网络威胁感知系统,及时发现存在的网络安全威胁,并结合威胁情报准确定位和溯源攻击者。 技术路线
为实现一个基于IPv6的分布式蜜罐系统,该项目的技术路线主要分为四步,一是基于爬虫和网络虚拟化技术实现高仿真高安全蜜罐,二是基于分布式蜜罐构建蜜网,三是使用日志聚合技术收集蜜罐对应攻击者的行为数据,最后是实现溯源定位系统。详细介绍如下:
基于爬虫和网络虚拟化技术的高仿真高安全蜜罐
为了有效地提高蜜罐的吸引能力、欺骗能力,基于爬虫和网络虚拟化技术提供高仿真的服务,通过欺骗感知,快速精准定位攻击事件,极大降低攻击定位中存在的滞后性及误报高等问题。同时所有的请求和响应其实都在蜜罐内部进行,因此具备能够保证蜜罐的隔离性和安全性。
基于分布式蜜罐的蜜网构建
将高仿真高交互蜜罐服务打包成docker容器,利用k8s对蜜罐进行部署管理,分布式部署在IPv6网络的不同节点。基于zeek探针的基础上开发出具有流量端口转发功能的流量探针,并将其部署于蜜罐网络当中,捕获流量数据、记录攻击行为,实现全面感知整个网络的威胁动态。多个蜜罐结合自身业务特性组成蜜网,模拟企业真实业务环境,大大提升欺骗环境的复杂性和真实性。构建的蜜网与真实内网环境相互独立,不会对现有的内网网络拓扑造成影响,攻击者进入蜜网后的行为也不会干扰正常业务。
日志聚合技术
通过filebeat+elasticsearch的技术架构搭建日志聚合系统,记录攻击者的行为并提供一定的可视化服务,提供海量存储和实时搜索能力。消除不同安全设备中的重复告警,消除数据噪声,进行数据提纯,通过告警外发接口,实现对蜜罐告警的及时感知与响应。
溯源定位系统
利用捕获到的攻击流量及日志信息,提取出攻击者对应的IP信息,对于校内IP信息,通过查询校内的交换机数据库信息,找到对应的MAC地址信息,进一步通过端口找到对应的物理位置,定位出攻击者IP 所属交换机端口、位置及身份信息。
功能介绍 支持多种高交互蜜罐
内置丰富的蜜罐服务镜像,包括主流Web服务和数据库服务、自定义web蜜罐等。用户可根据业务需求在不同类型密网上布设蜜罐,实现应用、数据、部署层等多维度欺骗。允许用户自定义部署蜜罐,支持真实的访问交互,实现深度仿真、高度交互的伪装服务,从而诱导攻击者释放攻击载荷。
可部署不同类型密网
根据不同的业务需求部署不同类型的密网,进而满足用户对多种类型欺骗业务的需求,有益于提高系统的防御性能与管理效率,增强系统的灵活性。
多探针威胁感知与重定向
提供适配多种操作系统的探针。探针一般部署于真实网络环境中,当探针发现异常访问时,可以将异常访问流量重定向至与探针关联的蜜罐服务中,诱导攻击者进入由数个蜜罐组合而成的蜜网环境,实现层层深入的欺骗效果。
威胁监控与展示 内置的威胁监控大屏,可全面、动态展示伪装欺骗组网正在遭受的攻击,防守方可以通过大屏观察攻击者的一举一动。同时可查看系统主机的运行情况,例如CPU使用情况等,既可以监控系统主机的安全状态,又可以根据主机系数灵活调整蜜罐的部署数量。 威胁展示页面将攻击入侵情况以条状图、饼状图等图形类型可视化地展示给用户,对于当日攻击数据等类型的攻击数据,用户通过视察图形即可一目了然,避免了通过查看后台日志数据等枯燥复杂的方式。 攻击预警与行为分析
在监测到攻击行为后,超过设定阈值会立即通过邮件方式发出告警信息,并根据蜜罐所记录的攻击者行为日志,形成攻击者入侵时间线,完整记录其行为。可根据攻击者的浏览器指纹、IP地址、威胁情报等信息,综合分析形成攻击者画像,智能关联攻击事件,精准定位攻击者。防守人员可根据蜜罐记录和分析的攻击者行为特征,深度分析攻击者的攻击目标和攻击手段,第一时间判断攻击者意图,针对性地加固真实业务系统。
攻击者溯源
利用WebRTC等技术,可在攻击者入侵蜜罐时获取其主机信息浏览器信息、社交信息、真实IP、代理IP。针对内网的攻击,可根据数据库的查询,获取攻击者IP、交换机参数等数据。通过综合分析上述数据,专业安全人员可精确定位攻击者的真实身份。
创新点 传统的IPv6网络安全威胁检测主要依赖网络流量特征和规则匹配,针对各个设备、各个层级、各个类别事件日志单独进行分析,不仅分析量大、不同设备的重复告警会掩盖攻击者真实意图,而且面对未知威胁的深度分析能力不足。本系统通过多维威胁感知技术,结合日志收集分析技术,基于分布式网络蜜罐构建IPv6网络威胁感知系统,及时发现存在的网络安全威胁,并溯源攻击者。本系统的创新优势可以归纳总结为五点: 首先是本系统所采用的分布式的蜜罐探针,通过流量旁路对流量进行检查,并把流量引入蜜罐中。对网络流量进行实时监控,分析各类协议流量的载荷,进行匹配检查识别出相应的网络攻击行为,支持包括但不限于DNS洪泛和DDOS攻击。 第二个创新优势是基于分布式的高交互、高仿真蜜罐管理。利用K8S与docker技术把蜜罐进行分布式部署和集中统一管理。方便对蜜罐运行状态进行实时的监测。 第三点为日志聚合系统,通过日志聚合分析出网络攻击行为之间可能存在的关联性,构建多维感知的安全威胁检测系统。通过日志聚合系统采集相关安全日志信息,并对此进行预处理,形成日志数据集。通过对日志数据的分析、匹配查找并绘制攻击者的行为和画像。 第四点是溯源定位系统,从蜜罐攻击流量中获取到攻击源的IP地址,对于校内IP可以找到对应的MAC地址,或通过MAC地址找到对应的IPv4/IPv6地址,通过MAC地址实现接入网络设备端口的准确定位,进一步通过端口找到对应的物理位置,定位出攻击者IP 所属交换机端口、位置及身份信息。 第五点为高仿真、高交互蜜罐的实现。利用爬虫技术将真实生产环境的服务进行模仿,用来诱骗攻击者。 由于IPv6地址量大,如何使蜜罐暴露在攻击者的视野是蜜罐发挥作用的关键。本项目通过对攻击扫描进行探测,可发现攻击者扫描的高频IP段,从而合理配置蜜罐部署位置,提高诱捕的成功率。
商业效益与社会效益 商业效益
据北京长亭科技有限公司报告,其蜜罐产品近三年来的累积销售额已经达到了571万人民币,利润达近350万人民币。2022年受疫情影响,网络安全市场增速有所回落。随着2022年底国内疫情放开,预计未来三年内,相比2022年会有所增长,蜜罐安全市场规模年均增长率达10%。
社会效益 本项目的社会效益可总结归纳出三点,首先是有利于构建完整的蜜罐诱捕技术产业链,有效解决网络攻防中缺乏溯源反制的不足,提高防守方的溯源反制能力,进而推动蜜罐诱骗技术的完善,促进蜜罐诱捕市场在我国的发展。 其次,项目发布的多种新型高交互蜜罐以应用场景和行业发展需求进行创新研发,满足边缘云、工控场景的高要求,有利于带动边缘云、工控产业等相关联产业的发展。 最后,本项目有利于网络安全技术人才的培养,发展蜜罐诱捕技术产业,同时可以培养一批专门从事蜜罐诱捕技术研发的技术人才,促进网络安全行业的就业,改善当前安全市场的就业情况。
