入侵誘騙系統(tǒng)應用技術(shù)研究

王東來

WANG Dong-lai

（吉林農(nóng)業(yè)科技學院，吉林 132101）

入侵誘騙系統(tǒng)應用技術(shù)研究

Application technology research in intrusion deception system

王東來

WANG Dong-lai

（吉林農(nóng)業(yè)科技學院，吉林 132101）

隨著計算機和網(wǎng)絡技術(shù)的迅速發(fā)展，針對網(wǎng)絡和計算機系統(tǒng)的攻擊也屢見不鮮，網(wǎng)絡安全問題變得日益嚴峻。本文提出的入侵誘騙系統(tǒng)，在保證網(wǎng)絡安全的情況下，增加對新的攻擊方法的了解，變被動防御為主動進攻，使其具有主動交互性，勾畫出了一種新的網(wǎng)絡安全防御策略。

入侵檢測；蜜罐；數(shù)據(jù)控制；數(shù)據(jù)捕獲

0 引言

隨著Internet在全球范圍內(nèi)的廣泛應用，各種網(wǎng)絡應用越來越豐富、網(wǎng)絡入侵和破壞手段也越來越先進，網(wǎng)絡安全技術(shù)也日趨復雜。國內(nèi)外許多廠商開發(fā)出防火墻等安全產(chǎn)品，然而在網(wǎng)絡結(jié)構(gòu)、服務器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面的安全漏洞也越來越多。

如何建立一個既能有效保護網(wǎng)絡安全，又能夠全面分析入侵者動態(tài)改變的入侵手段的安全防護系統(tǒng)，成為當前網(wǎng)絡安全領域中迫切需要解決的問題。

本文針對目前的網(wǎng)絡安全狀況，設計了入侵誘騙系統(tǒng)，實現(xiàn)了Windows操作系統(tǒng)下的數(shù)據(jù)捕獲。

1 入侵誘騙系統(tǒng)的設計

近年來，隨著網(wǎng)絡的普及，網(wǎng)絡攻擊也隨之層出不窮，因此如何更加全面的了解攻擊者的信息，化被動為主動，成為網(wǎng)絡安全研究的熱點。針對防火墻技術(shù)，入侵檢測技術(shù)，蜜罐技術(shù)的缺陷，綜合了三種技術(shù)的優(yōu)點，提出了入侵誘騙系統(tǒng)的模型。

1.1 入侵誘騙系統(tǒng)的總體設計

入侵誘騙研究的目的在于如何設計一個嚴格控制的誘騙網(wǎng)絡（真實的網(wǎng)絡、主機或用軟件模擬的網(wǎng)絡和主機），在檢測出入侵者對實際系統(tǒng)有攻擊行為后，將攻擊重定向到該誘騙環(huán)境中。然后收集入侵信息，借此觀察入侵者的行為，記錄其活動，以便分析入侵者的目的、所用工具、入侵手段等，并為入侵響應以及隨后可能進行的對入侵者的法律制裁提供證據(jù)。

通過以上的分析以及現(xiàn)有技術(shù)的研究，提出了一種新的網(wǎng)絡安全解決方案---入侵誘騙系統(tǒng)。模型如圖1所示。

圖1 入侵誘騙系統(tǒng)的模型圖

所有進入蜜罐的連接全部是由入侵檢測系統(tǒng)重定向而來。當入侵檢測系統(tǒng)發(fā)現(xiàn)入侵者，立即阻斷并報警；若入侵檢測系統(tǒng)未發(fā)現(xiàn)檢測出入侵行為，則網(wǎng)絡包可以正常進入真實環(huán)境中；若入侵檢測系統(tǒng)無法判斷是否有入侵行為，則被視為可疑行為，由入侵檢測系統(tǒng)重定向到蜜罐中。這不僅減輕了入侵檢測系統(tǒng)的負擔，還可以安心的讓可疑入侵者與蜜罐充分交互，做到收集入侵信息，觀察入侵行為，捕獲其活動，以便全面的分析入侵者的目的、工具，特征。

1.2 入侵誘騙系統(tǒng)的模塊設計

防火墻模塊：在本系統(tǒng)中防火墻不僅擔當著數(shù)據(jù)控制，保障蜜罐的安全的任務，還要把所捕獲到的數(shù)據(jù)包送往遠程日志服務器。

入侵檢測模塊：入侵檢測系統(tǒng)放在防火墻之后，用于監(jiān)視系統(tǒng)的異常，當發(fā)現(xiàn)可疑行為時，將這些行為重定向到蜜罐系統(tǒng)，同時還肩負著捕獲網(wǎng)絡數(shù)據(jù)的任務。

誘騙網(wǎng)絡（蜜罐）模塊：將蜜罐系統(tǒng)放置在防火墻和入侵檢測系統(tǒng)之后的好處在于可以集中精力在蜜罐中對可疑行為進行數(shù)據(jù)捕獲。

標準化模塊：負責對所有數(shù)據(jù)捕獲模塊得到的原始行為數(shù)據(jù)進行解析與封裝，提取數(shù)據(jù)分析需要的標準格式數(shù)據(jù)。

數(shù)據(jù)分析模塊：根據(jù)捕獲到的數(shù)據(jù)及時抽象出入侵行為的特征和變種，從而更新入侵檢測系統(tǒng)的知識庫。

遠程日志服務器模塊：通過定時把防火墻，IDS捕獲到的網(wǎng)絡數(shù)據(jù)，以及蜜罐系統(tǒng)捕獲到的主機數(shù)據(jù)全部送到SQL2000服務器中。保障了安全，也方便各個模塊之間存儲調(diào)用數(shù)據(jù)。

知識庫：主要是用來存放標準化的規(guī)則，這些規(guī)則都是模式規(guī)則，它們是用來判斷是否有入侵活動的數(shù)據(jù)模型。

2 數(shù)據(jù)捕獲的實現(xiàn)

數(shù)據(jù)捕獲是指蜜罐在不被入侵者發(fā)現(xiàn)的情況下捕獲盡可能多的信息，包括輸入、輸出網(wǎng)絡數(shù)據(jù)包，系統(tǒng)信息，以便從中分析他們所使用的攻擊工具、策略和動機等。數(shù)據(jù)捕獲是入侵誘騙系統(tǒng)的核心功能模塊。

2.1 數(shù)據(jù)捕獲的實現(xiàn)

圖2 數(shù)據(jù)捕獲系統(tǒng)處理流程圖

多層次的數(shù)據(jù)捕獲能夠獲取攻擊者行為各個角度的信息，捕獲信息的層次越多，能夠了解到的攻擊者信息就越多。因此，我們將入侵行為捕獲分為三層來實現(xiàn)，每一層記錄的數(shù)據(jù)不盡相同。第一層的數(shù)據(jù)捕獲由防火墻來完成，主要是對出入系統(tǒng)的數(shù)據(jù)包的通過情況進行記錄；第二層數(shù)據(jù)捕獲由入侵檢測系統(tǒng)(IDS)來完成，IDS抓取網(wǎng)絡上傳輸?shù)木W(wǎng)絡包；第三層的數(shù)據(jù)捕獲由蜜罐系統(tǒng)完成，蜜罐系統(tǒng)模擬真實系統(tǒng)環(huán)境與未知攻擊進行交互，實現(xiàn)蜜罐系統(tǒng)的主機信息捕獲。所有捕獲到的數(shù)據(jù)通過網(wǎng)絡傳輸送到遠程日志服務器存放，防止被入侵者刪除、更改。數(shù)據(jù)捕獲系統(tǒng)處理流程如圖2所示。

2.1.1 防火墻數(shù)據(jù)捕獲

通常使用防火墻對所有出入蜜罐的網(wǎng)絡包進行完整地日志記錄。由于所有進出系統(tǒng)的數(shù)據(jù)必須通過防火墻，所以防火墻捕獲到的數(shù)據(jù)是最全面的，對入侵行為的分析起到了很重要的輔助作用。但是防火墻并不記錄具體的數(shù)據(jù)包內(nèi)容，而只是記錄各個數(shù)據(jù)包的通過情況。防火墻日志的價值在于它可以快速標識那些未知攻擊。記錄內(nèi)容主要包括：數(shù)據(jù)包通過時間，包協(xié)議類型，進出的網(wǎng)絡接口，源地址，目的地址，源端口，目的端口，包長度等。

2.1.2 IDS數(shù)據(jù)捕獲

第二層數(shù)據(jù)捕獲由入侵檢測系統(tǒng)(IDS)來完成，負責捕獲網(wǎng)絡信息。網(wǎng)絡信息主要是攻擊者所使用的各種協(xié)議數(shù)據(jù)包內(nèi)容。網(wǎng)絡信息捕獲是不可見的，相應的其安全性更高，以及被檢測到的概率要更小。

本系統(tǒng)中主要使用WincPap來捕獲在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，監(jiān)聽流入系統(tǒng)的網(wǎng)絡流。并把捕獲到的數(shù)據(jù)包通過網(wǎng)絡傳輸送到遠程日志服務器存放，防止被入侵者刪除、更改。

網(wǎng)絡數(shù)據(jù)捕獲包括主動數(shù)據(jù)捕獲和被動數(shù)據(jù)捕獲。由于本系統(tǒng)是為了收集入侵者的信息，所以采用被動數(shù)據(jù)捕獲。捕獲的過程為：監(jiān)聽獲得原始數(shù)據(jù)，通過對捕獲的原始數(shù)據(jù)進行解析，然后存入SQL數(shù)據(jù)庫。

2.1.3 蜜罐系統(tǒng)中的數(shù)據(jù)捕獲

系統(tǒng)捕獲主要在誘騙網(wǎng)絡即蜜罐中實現(xiàn)。通過重定向機制把未知攻擊轉(zhuǎn)移到蜜罐中后，蜜罐模擬真實系統(tǒng)環(huán)境與未知攻擊進行交互，實現(xiàn)對攻擊行為的的數(shù)據(jù)捕獲。

2.2 數(shù)據(jù)控制的實現(xiàn)

數(shù)據(jù)控制是針對越權(quán)使用資源的防御措施，防止對資源進行未授權(quán)的訪問，從而使計算機系統(tǒng)在合法范圍內(nèi)使用。數(shù)據(jù)控制子系統(tǒng)是整個系統(tǒng)各功能模塊的核心，對入侵者在蜜網(wǎng)系統(tǒng)內(nèi)部的行為進行控制，防止入侵者在該系統(tǒng)內(nèi)肆意破壞，同時防止入侵者利用該系統(tǒng)作為跳板對其它系統(tǒng)進行攻擊。

在利用蜜罐系統(tǒng)與入侵者交互的過程中，存在著蜜罐系統(tǒng)被攻破的風險，當系統(tǒng)被攻破之后，入侵者就可能對其進行修改，使其喪失行為記錄和欺騙功能，同時，入侵者還可以將蜜罐主機作為攻擊其他系統(tǒng)的跳板。對蜜罐系統(tǒng)控制權(quán)的爭奪關系到蜜罐功能的實現(xiàn)和整個入侵誘騙系統(tǒng)的安全。但同時，對蜜罐系統(tǒng)的控制不能太嚴格，如果我們?yōu)榱颂颖茱L險而將各種策略設置得十分嚴格，則容易引起入侵者的懷疑，降低系統(tǒng)的欺騙逼真度?？梢韵拗埔欢〞r間段內(nèi)外出的連接數(shù)，甚至可以修改這些外出連接的網(wǎng)絡包，使其不能到達它的目的地，同時又給入侵者網(wǎng)絡包已正常發(fā)出的假象。

2.2.1 防火墻的數(shù)據(jù)控制

由于在本入侵誘騙系統(tǒng)中，蜜罐的作用是為了減輕入侵檢測系統(tǒng)的負擔，同時集中精力全面細致的分析可疑行為，對于網(wǎng)絡的入侵者它是不可見的，所有進入蜜罐的連接全部是由入侵檢測系統(tǒng)重定向而來。所以需要阻隔外界網(wǎng)絡直接訪問蜜罐，在這里通過配置防火墻把所有目的IP地址為蜜罐所在主機的網(wǎng)絡包全部丟棄，禁止他們進入蜜罐系統(tǒng)，使蜜罐可以安心的與可疑入侵者交互，分析其特征。此為防火墻數(shù)據(jù)控制的第一個體現(xiàn)。

為了記錄入侵者的所有數(shù)據(jù)，允許所有對蜜罐的訪問，進入蜜罐的數(shù)據(jù)不會對組織的安全構(gòu)成威脅。但是，從蜜罐向外發(fā)出的連接就不一樣了，其中可能包含入侵者對其它系統(tǒng)進行掃描和攻擊的數(shù)據(jù)。必須對從蜜罐外出的網(wǎng)絡連接進行控制。當蜜罐發(fā)起外出的連接，說明蜜罐主機已經(jīng)被入侵者攻破了，而這些外出的連接很可能是入侵者利用蜜罐對其他的系統(tǒng)發(fā)起的攻擊連接。所以限制這些外出連接是非常必要的，本系統(tǒng)采用防火墻限制蜜罐外出的連接。防火墻采取“寬進嚴出”策略，在防火墻上，對從蜜罐機器外發(fā)的連接數(shù)量設定一個合理的閾值，研究表明，允許外發(fā)連接數(shù)設定為5至10個比較合適，不會引起入侵者懷疑，而且避免了蜜罐系統(tǒng)成為入侵者掃描、探測或者攻擊其他系統(tǒng)的工具。防火墻追蹤從所有蜜罐主機外發(fā)的每一個連接，當該蜜罐外發(fā)的數(shù)量達到設計時預先設定的閾值時，防火墻便會阻塞那些信息包。這樣能夠保證蜜罐不被濫用的前提下，允許入侵者做盡可能多他們想做的事。此為防火墻數(shù)據(jù)控制的第二個體現(xiàn)。

2.2.2 路由器的數(shù)據(jù)控制

路由控制由路由器來完成，主要利用路由器的訪問控制功能對外出的數(shù)據(jù)包進行過濾，以防止蜜罐被用于攻擊網(wǎng)絡其它部分，主要防止IP欺騙，Dos攻擊或者其它一些欺騙性攻擊。所有進出陷阱網(wǎng)絡系統(tǒng)的數(shù)據(jù)包都要經(jīng)過防火墻和路由器。經(jīng)過實驗發(fā)現(xiàn)，將防火墻與路由器聯(lián)合使用，可以在技術(shù)上比較完美地對向外發(fā)出的數(shù)據(jù)包進行過濾，同時在最大限度上讓入侵者相對自由地活動而又不會產(chǎn)生懷疑。

2.3 遠程數(shù)據(jù)備份的實現(xiàn)

由于蜜罐主機的設置極易被入侵者所攻破，大多數(shù)的入侵者都會對攻破的系統(tǒng)的數(shù)據(jù)進行修改或刪除，因此，如果把這些捕獲到的數(shù)據(jù)放置在蜜罐主機上是危險的。必須用一臺安全性更高、不提供任何服務的系統(tǒng)作為日志服務器用于遠程備份蜜罐系統(tǒng)捕捉到的數(shù)據(jù)。采用遠程日志系統(tǒng)保障了數(shù)據(jù)存儲的安全，但在傳輸?shù)倪^程中也要防止入侵者對其進行截獲和修改，在實際傳輸過程中我們可以通過蜜罐私有網(wǎng)絡進行數(shù)據(jù)傳送，在傳送之前進行數(shù)據(jù)的加密。通過遠程的日志記錄，既保障了我們的數(shù)據(jù)的安全性，也方便我們以后對數(shù)據(jù)進行分析、處理。

本文采用SQL Server2000作為遠程日志服務器。通過把捕獲到的數(shù)據(jù)定時的發(fā)送到數(shù)據(jù)庫中，不但保證了數(shù)據(jù)的安全性，而且更加方便的與其它模塊進行數(shù)據(jù)共享，為數(shù)據(jù)分析提供了極大的方便。

3 結(jié)束語

本文重點探討了入侵誘騙系統(tǒng)中數(shù)據(jù)捕獲的實現(xiàn)，采用多層數(shù)據(jù)捕獲機制，從防火墻，入侵檢測系統(tǒng)和蜜罐系統(tǒng)三個層面上實現(xiàn)了數(shù)據(jù)捕獲。重點闡述了進程關聯(lián)內(nèi)存，進程關聯(lián)CPU利用率，進程關聯(lián)端口，注冊表異動，文件異動的捕獲的實現(xiàn)方法。然后并從系統(tǒng)的安全性方面探討研究了數(shù)據(jù)控制技術(shù)，最后實現(xiàn)了把捕獲到的數(shù)據(jù)定時的發(fā)送到遠程數(shù)據(jù)庫中，從而保證了數(shù)據(jù)的安全性。

[1] 吳震.入侵誘騙技術(shù)中誘騙環(huán)境的研究與實現(xiàn)[J].計算機應用研究,2003(04):78-80.

[2] 趙雙紅,劉壽強,夏娟.基于誘騙式蜜罐系統(tǒng)設計與應用[J].計算機安全,2003,10:19-22.

[3] 連一峰,王航.網(wǎng)絡攻擊原理和技術(shù)[M].北京:科學出版社,2004:279-348.

[4] 韓東海,王超,李群.入侵檢測系統(tǒng)實例剖析[M].北京:清華大學出版社,2002:78-79.

[5] 曹愛娟,劉寶旭,許榕生.網(wǎng)絡陷阱與誘捕防御技術(shù)綜述[J].計算機工程,2004,30(9):1-3.

[6] 陶文林.基于VMware的虛擬蜜網(wǎng)系統(tǒng)的研究[J].計算機應用與軟件,2006,23(5):131-136.

TP391

A

1009-0134(2010)12(上)-0180-03

10.3969/j.issn.1009-0134.2010.12(上).58

2010-07-12

王東來（1973 -），男，吉林人，碩士研究生，研究方向為信息安全技術(shù)、計算機應用技術(shù)。