· 網絡攻擊數量增多，攻擊形勢呈現常態化；
　　· 網絡攻擊手段不斷出新，傳統的網絡防御手段漸見不支；
　　· 網絡攻擊影響力和影響層面不斷增大；
　　· 新技術新應用的發展，帶來新的網絡威脅。

　　因此，如何獲取準確且完整的網絡數據，成為了網絡安全威脅分析的重要前提。

　　由天融信網絡流量分析系統（即TA-Flow）及網絡審計系統（即TA-NET）搭建的蜜網場景，集網絡流量分析、蜜網誘捕、網絡審計三位于一體，能有效的檢測網絡攻擊行為。該蜜網場景一方面能夠對目前可檢測的攻擊及時預警；另一方面還能夠利用海量數據存儲與審計技術，收集和記錄網絡行為，有助于實現對未知攻擊的回溯，有效的促進網絡安全的研究工作，為網絡安全提供有力保障。

　　該應用主要從三個方面滿足網絡安全研究的需要，即網絡流量分析、蜜網捕獲、網絡審計。場景的架構圖如下所示：

圖1  網絡安全審計場景架構

　　TA-Flow網絡流量分析系統

　　在該場景中，存在兩個互相不通信的網絡，我們把其中提供正常業務服務的網絡叫做“業務網”；另一個叫做“蜜網”。在外部網絡流量進入業務網前，需要先經過TA-Flow網絡流量分析系統，當該系統檢測到攻擊時，利用智能流量牽引技術將攻擊流量引導至蜜網中，而正常訪問流量仍流向業務網，這樣的蜜網更有利于記錄和分析針對業務網的攻擊行為，既保護了業務網的服務安全，又可為研究攻擊者的攻擊行為提供幫助。當然，該場景的正常運轉有一個總的前提，那就是所有的設備對外來流量而言都應該是隱藏的，TA-NET/Flow和蜜網需要通過一些必要的手段來隱藏自己不被網絡攻擊者發現。

　　智能流量牽引技術可工作在數據鏈路層。攻擊者欲攻擊業務機，在沒有干預的情況下，流量將流向與真實業務網連接的接口。但當啟用流量牽引功能時，設備將對攻擊流量的源IP進行流量重定向，所有來自該IP的數據包被引導至與蜜網相連的接口，使攻擊流的對象變為蜜罐機，但正常用戶的訪問流量仍流向業務網，不影響正常用戶的訪問。同時，由于系統不提供三層路由的功能，轉發接口并不配置IP，使攻擊者無法確知自己的數據包曾通過了TA-Flow。

　　蜜網捕獲

　　蜜網又可稱為誘捕網絡。在該場景中，蜜網不再是一個被創造出來的誘餌，而是一個與業務網基本相同的網絡，其中：

　　1）蜜罐使用了與業務網一樣的操作系統、IP、MAC、提供與業務網一樣的服務，使得攻擊者的流量轉入蜜網時，攻擊者無法從網絡流量上察覺攻擊目標已經產生變化。同時，雖然兩個網絡均連接在二層交換的流量分析設備上，但業務網與蜜網之間并不存在通信，原則上可以理解為是不同網絡，以保證相同IP和MAC的同時存在。

　　2）在該場景中，網絡審計系統TA-NET集成了蜜罐服務端的功能，可獲取并解析蜜罐發送的特制數據包，在不被攻擊者察覺的情況下記錄攻擊者在蜜罐主機上的所有擊鍵、讀寫文件、建立網絡連接等操作。從這些行為我們可以得知攻擊者執行了什么命令、竊取了哪些文件、鍵入的明文密碼等，幫助我們分析、發現和重現蜜罐上的攻擊事件。

　　TA-NET網絡審計系統

　　TA-NET使用天融信自主研發的Tos操作系統，提供高性能的數據存儲和查詢功能，實現網絡非加密應用協議的解析和網絡傳輸文件的還原。TA-NET可以解析特制的蜜罐數據包，并將解析出的數據與網絡審計進行關聯，實現基于條件的實時查詢。

　　TA-NET集“主機操作行為捕獲”和“網絡行為審計”于一體，準確的為我們收集和記錄蜜罐上的事件。它以旁路監聽的方式連入蜜網環境中，保證自身隱蔽性的同時，通過交換機端口鏡像獲取網絡數據包備份。通過網絡審計功能，可以觀察基于協議、端口、IP等的網絡異常情況，對比分析應用協議的審計結果，并自定義報警規則來捕捉需要重點關注的網絡行為，從中查找可能有關聯的攻擊事件。

　　我們知道，網絡安全保障措施雖然在不斷地完善，但攻擊者的攻擊手法也在不斷地變換，而且越來越精明，他們總會不斷的推出新的方法躲過監測設備的追蹤，攻克被攻擊者的防御系統。TA-NET/Flow蜜網場景三大功能的結合，正是解決以上問題的有效途徑：首先由網絡流量的檢測和重定向保證了業務主機的正常運行，將攻擊流量轉入蜜罐中，再由蜜網捕獲和網絡審計兩大模塊收集和記錄攻擊者的后續行為；對于無法立即識別的事件，也將被詳細的記錄下來，以備后續可能的異常分析。

　　通過捕獲的各種異常數據可以得知，攻擊者是在什么時間攻破系統的、用了什么攻擊手段、在獲得訪問權限后又做了些什么。我們可以根據這些信息推斷攻擊者的動機及目的、對方可能的身份、以及和誰一起工作等等。可以說，TA-NET/Flow蜜網場景為網絡威脅研究工作提供了有力的數據支撐。