CN109831447A

CN109831447A - 一种基于nfv的智能蜜网***

Info

Publication number: CN109831447A
Application number: CN201910165362.9A
Authority: CN
Inventors: 孟祥君; 赵志峰; 李荣鹏; 张宏纲
Original assignee: Zhejiang University ZJU
Current assignee: Zhejiang University ZJU
Priority date: 2019-03-05
Filing date: 2019-03-05
Publication date: 2019-05-31

Abstract

本发明公开了一种基于NFV的智能蜜网***，将传统蜜网(Honeynet)架构与网络功能虚拟化(Network Function Virtualisation,NFV)技术相结合，构建基于NFV的智能蜜网***。本发明智能蜜网将传统的蜜网***解耦为功能清晰的硬件层，安全代理层，功能实体层，管理控制层。使得安全设备以纯软件的形式实现，具有更大的灵活性。统一的管理和控制机制，增加了网络的可监控性，降低了维护难度和成本。增加的数据中心使得不同的蜜网***之间可以共享信息以实现共赢。同时增加了智能中心可以利用机器学习算法和模型，实现更智能的决策分析。与现有解决方案相比，本发明提出的智能蜜网***具有四大优势：蜜网的自动和按需部署，资源的自适应调整，不同功能实体间的协同防御和实时的异常响应。

Description

一种基于NFV的智能蜜网***

技术领域

本发明涉及基于NFV(网络功能虚拟化)的智能蜜网架构。

背景技术

随着互联网的高速发展，个人、企业以及政府部门越来越多地将网络作为信息传输的载体。然而网络的开放性与共享性使它正遭受着来自黑客、脚本编辑者所带来的巨大的安全威胁。分布式拒绝服务攻击，被控主机敏感信息的窃取，严重地影响了网络的正常工作。一个安全可靠的防御网络成为现在安全领域的一个研究热点。

攻击者与防御者之间进行着一场不对称的博弈。攻击者可以在任何时间，利用扫描、探测等一系列技术手段全面获取攻击目标的信息，利用任何有效手段发起攻击，而防御者对他所受到的安全威胁一无所知。并且现在大规模使用的Firewall和IDS均只对已知的攻击手段有效，而无法应对日益变化的攻击方式。Honeynet技术就是为扭转不对称的局面，主动获取攻击态势而提出的。

Honeynet是一个专门为了被攻击或入侵而设置的欺骗***，它通过模拟包含一个或多个易受攻击主机(Honeypot)的***，吸引攻击者的注意力，牵制他们，使他们将时间和资源都耗费在攻击Honeypot上，保护实际的工作网络。Honeypot可以对***中所有操作和行为进行监视和记录，在不被攻击者察觉的情况下监视他们的活动，通过对攻击行为的捕获与分析，为计算机取证提供有力的证据，也可以了解攻击者所采用的攻击方法与攻击意图，及时掌控当前面临的安全威胁甚至是攻击技术的发展趋势。

由于Honeypot作为伪装者分担正常网络受攻击的压力，或者作为陷阱获取攻击信息，都必须达到足够大的规模才有意义。且如今僵尸主机遍布全球，很多黑客会选择在境外发起攻击，欲想获取攻击的全局信息，更需要大规模的部署不同种类的Honeypot。而现有Honeynet，灵活性差，扩展性差，缺乏统一的部署平台和控制机制，不适用于大规模部署和维护。因此，急需一个支持多种Honeypot，可以远程动态按需部署，部署成本低，易于维护和升级，可以实现实时监控的蜜网架构。SDN，NFV虚拟化技术的出现，为这一问题提供了新的解决思路。

发明内容

本发明目的在于针对现有技术的不足，提供一种基于NFV的智能蜜网***。

本发明的目的是通过以下技术方案来实现的：一种基于NFV的智能蜜网***，该***由基础设施层(Infrastructure Layer)、安全代理层(Security Agent Layer)、功能实体层(Function Entity Layer)、管理控制层(Management Control Layer)、数据中心(Data Center)和智能中心(Intelligence Center)组成。

基础设施层的硬件采用商业通用设备；利用虚拟层将硬件资源抽象为虚拟资源，按照上层功能实体的需求，将虚拟资源进行逻辑分割后分配给相应的功能实体，当功能实体被卸载时，其占用的虚拟资源能够被释放回虚拟资源池。

安全代理层用于实现具体的安全操作，不同的安全代理嵌入在受保护的主机或网络设备内，安全代理根据功能实体的命令，执行安全操作，所述安全操作包括监控、识别、转发、漏洞修复。

功能实体层：从传统安全设备或软件的功能中抽象出来的不同功能实体在功能实体层以虚拟网络功能的形式实现；智能密网***中的功能实体包括蜜网、入侵检测***(Intrusion Detetion System，IDS)和防火墙(Fierwall)；蜜网由蜜墙(Honeywall)、转发引擎(Forwarding engine)和多个蜜罐(Honeypot)组成；Honeypot是一个陷阱，其通过模拟真实用户，吸引攻击者的攻击，通过信息捕获收集攻击数据；Honeypot可以根据网络需求采用不同版本的windows或者linux操作***，也可以装载不同服务，开设多个端口；Honeywall是一个数据链路层代理，包括数据捕获、数据传输和数据控制三个功能，可以用于拦截所有入站和出站数据包；转发引擎接收智能中心的转发决策，实现转发操作。

管理控制层负责整个智能蜜网***的管理、协调和控制，具体包括：功能实体与数据中心之间的数据交换，将智能中心的决策下发给功能实体，功能实体运行状态的监控，对运行状态异常的Honeypot下发卸载，重装或者回滚等操作命令，管理控制蜜网、入侵检测***以及防火墙之间的协同工作，对蜜罐未来一段时间攻击压力进行预测，根据预测结果进行资源的预分配。

数据中心负责从下层功能实体层和外界广泛收集网络安全相关数据以不断丰富数据库。

智能中心通过应用人工智能算法，利用模型库、工具库和算法库进行智能分析和决策，具体包括：从Honeypot的日志中提取新的特征，丰富IDS和Firewall的特征库，根据攻击者的请求类型、各Honeypot的***类型、所覆盖的服务类别、Honeypot的交互等级、Honeypot的负载情况做出智能转发决策，并下发给转发引擎。

进一步地，蜜网服务在架构上被视为服务功能链，外界欲访问蜜罐要先经过蜜墙，由转发引擎根据智能中心的转发决策转发。

进一步地，管理控制层包括数据和知识交换模块、数据和信息收集模块、运行状态监视模块、流量预测和资源分配模块、异常状态响应模块、功能实体管理和协同模块六部分。具体如下：

数据和知识交换模块负责协调上层数据中心和智能中心与下层的功能实体间的通信，数据和知识交换模块周期性上传Honeypot的日志，定期下载新功能库和知识库，并下发给IDS和Firewall。

数据和信息收集模块负责收集Honeypot的日志以及各Honeypot的负载和能耗数据。

运行状态监视模块监视功能实体层中每个Honeypot的运行状态是否正常，即Honeypot是否对常规的请求做出响应，是否有从Honeypot向外的异常请求。

流量预测和资源分配模块预测攻击强度并提前分配处理资源。

异常状态响应模块可以根据数据收集和运行状态监控模块得到的Honeypot运行状态信息，判断Honeypot是否出现异常，并及时对异常状态响应。当攻击强度突然增加时，异常状态响应模块可以从相邻的NFVI物理资源池(NFVI Point of Presence,NFVI-pops)及时调度处理能力。当Honeypot被攻陷为僵尸网络，异常状态响应模块可以立即卸载此Honeypot或将Honeypot回滚到适当的版本。

功能实体管理和协同模块负责所有功能实体的配置和不同安全功能的协作。

进一步地，智能中心可以利用递归神经网络等算法根据各蜜罐处攻击强度的历史数据，对未来一段时间的攻击强度进行预测，并根据预测结果对蜜罐所覆盖的服务进行调整，并对各蜜罐所占有的处理资源进行再分配。

进一步地，蜜网、IDS和Firewall的协同工作过程如下：Firewall和IDS发现可疑流量时，将可疑流量转发给合适的蜜罐，以增强数据收集效率；从蜜罐收集的攻击日志中提取的特征可以下发给Firewall和IDS，实现特征的实时补充。

本发明的有益效果是：本发明提供了一个支持远程安装，实时监控，部署维护成本低，可以节约资源，降低能耗，适用于大规模部署的具有高灵活性和可扩展性的智能蜜网***。

附图说明

图1是本发明基于网络功能虚拟化的智能蜜网***结构框图；

图2是蜜网服务功能链示意图；

图3是智能蜜网架构各模块之间的关系示意图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细说明。

本发明针对现有蜜网架构所存在的缺点，结合蜜网应用的实际需求，利用网络功能虚拟化技术，提出一种智能蜜网***，如图1-3所示，具体包括以下结构：

(1)基础设施层(Infrastructure Layer)借助NFV的基础设施层实现方案，由三部分组成：硬件资源，虚拟化资源和虚拟层。硬件资源包括提供计算，存储和网络连接功能的计算硬件(Computing hardware)，存储硬件(Storage hardware)和网络硬件(Networkhardware)。这些物理设备可以直接使用商业通用设备(Commercial Off-The-Shelf,COTS)而不需要单独设计专用硬件，大大降低了资本性支出(Capital Expenditure,CAPEX)。虚拟层将物理硬件抽象为虚化资源，并进行逻辑分割。这些虚拟化的资源可以被上层不同的安全功能实体按需使用或者释放，提高了资源的利用率，降低了运营成本(OperatingExpense,OPEX)。同时虚拟化层将功能实体与底层硬件逻辑分离，从而使得以软件形式存在的虚拟网络功能可以独立开发，降低了开发门槛，有利于激发市场活力。

(2)安全代理层(Security Agent Layer)根据上层命令执行具体的操作。安全代理为嵌入在受保护的主机或网络设备内，协助上层功能实体进行监控，识别，转发和其他特定的安全操作。采集代理(Collector)可以获取受保护设备的实时状态信息，并将其上传到管理控制层以实现状态监控。扫描代理(Scanner)用于检查和发现内在漏洞。运算代理(Operator)和执行代理(Executor)完成漏洞修复，终止可疑进程以及其他必要操作。

(3)功能实体层(Function Entity Layer)：从传统安全设备或软件的功能中抽象出来的不同功能实体在管理和控制层的统一控制下协同工作。Honeynet主要由蜜墙(Honeywall)，转发引擎(Forwarding engine)和多个蜜罐(Honeypot)组成。Honeywall是一个数据链路层(第2层)代理，它拦截所有入站和出站数据包。但它不会执行生存时间(Timeto Live,TTL)递减或网络路由以防止被攻击者利用反蜜罐技术(Anti-HoneypotTechnology)发现。一旦攻击者识别一个***是Honeypot而不是真正的用户，黑客就可以避开此***，失去欺骗性的Honeypot也就没有了存在的价值。转发引擎根据请求类型，各Honeypot的***类型和所覆盖的服务类别以及Honeypot的交互等级和负载情况等信息，结合上层指令做出转发决策，以求充分利用Honeypot的特性和资源。可以更改Honeypot的***类型和所覆盖的服务来迎合攻击者的喜好，也可以根据Honeypot的负载情况动态调度资源，以提高资源利用率。

(4)管理控制层(Management Control Layer)：该层负责整个智能蜜网***的管理，协调和控制。它根据当前网络的防御需求制定适当的保护方案，生成相应的安全策略，并将相关指令下发到功能实体层。功能实体层中的安全实体根据指令执行相应操作以实现所需功能。数据和知识交换(Data and knowledge exchange)负责协调上层数据中心和智能中心与下层的功能实体间的通信。它负责上传Honeypot的日志，以求不断给数据中心注入新鲜血液。它还定期下载新功能库和知识库，以提高IDS和Firewall对新攻击手段的识别能力。数据和信息收集(Data and information collection)负责收集Honeypot的日志以及各Honeypot的负载和能耗数据。运行状态监视(Running status monitoring)监视功能实体层中每个Honeypot的运行状态是否正常，即Honeypot是否对常规的请求做出适当的响应以及是否有从Honeypot向外的异常请求。这些信息可以被用来判断Honeypot是否被黑客攻陷成为对内部网络存在安全威胁的僵尸主机。

流量预测和资源分配(Traffic forecast and resource allocation)预测攻击强度并提前分配处理资源。异常状态响应(Abnormal state response)可以根据数据收集和运行状态监控得到的Honeypot运行状态信息，判断Honeypot是否出现异常，并及时对异常状态响应。当攻击强度突然增加时，它可以从相邻的NFVI物理资源池(NFVI Point ofPresence,NFVI-pops)及时调度处理能力。如果它发现Honeypot被攻陷为僵尸网络，它可以立即卸载或回滚到适当的版本。实体管理和协作(Entity management andcollaboration)负责所有功能实体的配置和不同安全功能的协作。

(5)数据中心(Data Center)负责从下层功能实体层和外界广泛收集网络安全相关数据以不断丰富数据库。拥有更丰富的数据，意味着可以做更多更有效的分析。有研究人员利用同一时段，遍布全球的上千个Honeypot的日志，发现黑客在攻击模式上有一定的习惯偏好。除此之外，相比于每个蜜网研究机构或安全企业都消耗巨资维护一个遍布全球的Honeypot，共享信息是一个共赢的选择。

(6)智能中心(Intelligence Center)通过应用人工智能算法，利用模型库，工具库和算法库进行智能分析和决策。他从Honeypot的日志中提取新的特征，丰富IDS和Firewall的特征库，还负责分布式蜜网之间的智能协作，并为下层提供智能分析服务。

本发明具有以下有益效果：

(1)功能实体协同防御：在传统的网络安全框架中，不同的安全设备独立工作，Honeynet，IDS和Firewall有各自的优势，也有自身的弱点。IDS用于检测恶意流量和可疑网络连接状态。防火墙用于过滤攻击数据包。它们都是基于有限的特征库，对数据库以外的攻击方式完全无效。Honeynet可以根据收集的攻击数据提取新的特征，但却不能直接阻断正在发生的攻击行为。

在本发明提出的智能Honeynet架构中，网络功能以纯软件的形式实现，可以在NFVI-popss上按需部署和卸载。在统一的控制和管理下，不同的安全功能可以协同工作，做到优势互补。Honeynet不间断的收集攻击数据，由智能中心利用机器学习算法提取新的攻击特征，实时共享给IDS和Firewall，使其可以在新攻击成为主流之前更新特征库，有效保护用户网络。一旦分布式IDS发现恶意流量，就可以将流量转发给合适的Honeypot。这有利于信息的收集和获取同时有利于网络的保护。面对日新月异的攻击手段和攻击工具，不同的功能实体协同工作是网络安全发展的必然趋势。

(2)减少蜜网指纹：虚拟Honeypot是对***或者服务的模拟，就像一台状态机，一步一步响应攻击者的请求。由于其单一和固定的响应机制，现有的Honeypot易被指纹检测，TCP序列分析，ARP地址分析等反蜜罐技术识别。攻击者一旦确定了Honeypot服务器，就会绕过此Honeypot的诱惑，这样一来，Honeypot就不能检测到任何新的攻击，从而失去了存在的价值。

在智能蜜网架构中，Honeynet组件基于软件实现，不受硬件的约束，它们可以设计得更复杂，以减少潜在的可识别指纹。可以交替使用不同类型的Honeypot以避免出现一成不变的响应机制。还可以通过将可疑流量上报智能中心，结合反蜜罐技术的行为特征库，判别流量是否为黑客的试探数据。根据可疑程度调整Honeypot的响应策略，以骗取黑客的信任。

(3)及时异常响应：在智能蜜网架构中，实时监控机制可以及时检测异常状态，异常状态响应模块可以采取紧急措施。当受保护的网络突然遭受暴力攻击时，它可以立即发现这种情况并分配更多的处理资源或部署更多的Honeypot来缓解当前的攻击压力。或者，当发现Honeypot被攻陷成为僵尸主机威胁内部网络时，管理和控制平台可以立即将其回滚到正常状态或者直接将其卸载。

(4)资源的自适应调整：实际的网络环境中攻击类型和强度不断变化。智能蜜网架构可以以全局的视角动态调度资源，以应对不同类型和不同强度的攻击。新的架构可以按需增加或减少用户网络中的Honeypot数量，也可以按需的调整Honeypot的种类以及所覆盖的服务类型。在降低能耗的同时，提供足够可靠的安全防护。

上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

Claims

1.一种基于NFV的智能蜜网***，其特征在于，该***由基础设施层(InfrastructureLayer)、安全代理层(Security Agent Layer)、功能实体层(Function Entity Layer)、管理控制层(Management Control Layer)、数据中心(Data Center)和智能中心(Intelligence Center)组成。

2.根据权利要求1所述的一种基于NFV的智能蜜网***，其特征在于，蜜网服务在架构上被视为服务功能链，外界欲访问蜜罐要先经过蜜墙，由转发引擎根据智能中心的转发决策转发。

3.根据权利要求1所述的一种基于NFV的智能蜜网***，其特征在于，管理控制层包括数据和知识交换模块、数据和信息收集模块、运行状态监视模块、流量预测和资源分配模块、异常状态响应模块、功能实体管理和协同模块六部分。具体如下：

4.根据权利要求1所述的一种基于NFV的智能蜜网***，其特征在于，智能中心可以利用递归神经网络等算法根据各蜜罐处攻击强度的历史数据，对未来一段时间的攻击强度进行预测，并根据预测结果对蜜罐所覆盖的服务进行调整，并对各蜜罐所占有的处理资源进行再分配。

5.根据权利要求1所述的一种基于NFV的智能蜜网***，其特征在于，蜜网、IDS和Firewall的协同工作过程如下：Firewall和IDS发现可疑流量时，将可疑流量转发给合适的蜜罐，以增强数据收集效率；从蜜罐收集的攻击日志中提取的特征可以下发给Firewall和IDS，实现特征的实时补充。