基于SDN的蜜网技术概述

 
 
 

  
  
  

   
   
   

    
    
    云计算和虚拟化技术的发展，使得蜜网系统从传统的硬件蜜网，发展成动态灵活的虚拟化蜜网成为了可能。SDN（Software Defined Networking）架构将网络的控制平面从数据平面中分离出来，通过逻辑上集中的网络控制器可以灵活的实现流量调度。这样结合虚拟化和SDN来设计实现蜜网，对于业务系统，尤其是虚拟化环境下的业务系统的攻击诱骗和防护取证起到了重大的推动作用。本文首先从传统蜜罐、蜜网、分布式蜜罐、分布式蜜网、蜜场等概念着手，然后介绍如何基于虚拟化和SDN实现虚拟化的蜜网，最后分析阐述当前学术界和工业界在虚拟化蜜网上做的一些工作。
   
   
   
   
   
   

    
    
    

   
   
   
  
  
  
 
 
 
 
 


 
 
 

  
  
  

   
   
   

    
    
    

     
     
     


      
      
      
1. 背景

      
      
      

     
     
     
    
    
    
   
   
   
  
  
  
 
 
 
信息安全问题归根结底就是攻击方和防守方的博弈战争，而在这场战争中，防守方通常处于被动不利的地位。俗话说“不怕贼偷，就怕贼惦记”与此有异曲同工之妙。作为防守方必须确保系统不存在任何可被攻击者利用的漏洞，并拥有全天候的监控防御机制，才能确保系统的安全。而作为攻击方来讲，可以在任何时间、任何情况，只要发现目标系统存在可被攻击的条件，就可以对其实施攻击。

面对这样的攻防博弈，典型的也是最常见的防御措施通常是威胁/漏洞发现后，根据威胁产生的不同部位，进行安全性修补。更多的是一种“亡羊补牢”，事后补救的机制。

蜜罐（honeypot）就是防守方为了扭转这种不对称局面而提出的一项主动防御技术。蜜罐定义为一类安全资源，它没有任何业务上的用途，其价值就是吸引攻击方对它进行非法使用。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，让防守方清楚的了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

蜜网（honeynet)）是在蜜罐技术上逐步发展起来的一个新的概念，有时也称作诱捕网络。当多个蜜罐被网络连接在一起，组成一个大型虚假业务系统，利用其中一部分主机吸引攻击者入侵，通过监测入侵过程，一方面收集攻击者的攻击行为，另一方面可以更新相应的安全防护策略。这种由多个蜜罐组成的模拟网络就称为蜜网。

蜜网主要是一种研究型的高交互蜜罐技术，由于蜜网涉及到多个蜜罐之间的网络体系架构设计，同时为