蜜罐技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究

陳向東，謝華成

CHEN Xiang-dong, XIE Hua-cheng

（信陽師范學(xué)院 網(wǎng)絡(luò)信息與計(jì)算中心，信陽 464000）

0 引言

計(jì)算機(jī)網(wǎng)絡(luò)的普及和應(yīng)用，特別是電子商務(wù)及電子政務(wù)的快速發(fā)展，針對計(jì)算機(jī)網(wǎng)絡(luò)的各種攻擊手段及攻擊模式也呈現(xiàn)出快速發(fā)展之勢，網(wǎng)絡(luò)安全已經(jīng)越來越重要。傳統(tǒng)的網(wǎng)絡(luò)安全防御工具，如：防火墻、殺毒軟件，入侵檢測系統(tǒng)(IDS)等，其運(yùn)行機(jī)制大多是在網(wǎng)絡(luò)或主機(jī)的關(guān)鍵入口等待入侵者來襲，采用被動(dòng)的防御方式。由于計(jì)算機(jī)系統(tǒng)以及網(wǎng)絡(luò)協(xié)議本身的設(shè)計(jì)缺陷，以及應(yīng)用軟件的快速發(fā)展所帶來的安全隱患，這種基于已知事實(shí)攻擊特征所建立的入侵特征庫必然會(huì)產(chǎn)生一定的漏報(bào)和誤報(bào)。如何變網(wǎng)絡(luò)防御被動(dòng)為主動(dòng)是網(wǎng)絡(luò)安全研究者面臨的一個(gè)新問題。蜜罐(Honey pot)技術(shù)是一種主動(dòng)的網(wǎng)絡(luò)安全誘騙技術(shù)，通過建立一個(gè)受嚴(yán)格監(jiān)控的，真實(shí)的或者模擬的網(wǎng)絡(luò)誘騙系統(tǒng)來吸引入侵者的攻擊，并收集攻擊者入侵的行為和過程信息，對其特征進(jìn)行分析，發(fā)現(xiàn)新的入侵行為，從而避免真實(shí)網(wǎng)絡(luò)系統(tǒng)受到侵害。

1 蜜罐的簡介

蜜罐(Honey pot)是一個(gè)包含漏洞的誘騙系統(tǒng)，它用真實(shí)的或虛擬的系統(tǒng)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給入侵者提供一個(gè)容易攻擊的目標(biāo)，蜜罐的價(jià)值在于被探測、被攻擊[1]。簡單的蜜罐可以用計(jì)算機(jī)所提供的仿真技術(shù)來模擬服務(wù)和漏洞，引誘攻擊者的入侵。由于蜜罐不對外提供有價(jià)值的服務(wù)，所以一切對蜜罐的訪問都被視為攻擊行為。網(wǎng)絡(luò)重定向技術(shù)能把攻擊行為重定向到蜜罐系統(tǒng)，進(jìn)而消耗入侵者的時(shí)間和資源，可以避免對真實(shí)系統(tǒng)的攻擊。

網(wǎng)絡(luò)安全人員通過監(jiān)控平臺(tái)實(shí)時(shí)監(jiān)控到蜜罐系統(tǒng)所發(fā)生的一切行為，收集入侵者的入侵信息，分析其入侵方式和入侵工具，提取攻擊特征，發(fā)現(xiàn)新的入侵行為特征，更好地防患入侵的發(fā)生。

蜜罐的分類：按照部署蜜罐的目的可以分為：產(chǎn)品型和研究型蜜罐；按照交互等級(jí)的劃分可以分為：低交互、中交互和高交互蜜罐。代表性的蜜罐包括DTK、Honeyd、KFSensor和ManTraq等[2]。

蜜罐的優(yōu)點(diǎn)：1）收集數(shù)據(jù)價(jià)值高：相比于IDS和防火墻來說，蜜罐收集的數(shù)據(jù)很少，但是卻具有極高的價(jià)值，基本不需要數(shù)據(jù)過濾，可以直接進(jìn)行數(shù)據(jù)統(tǒng)計(jì)建模，分析入侵攻擊特征；2）搭建蜜罐系統(tǒng)所需資源少：防火墻和IDS在面對網(wǎng)絡(luò)的大流量時(shí)，會(huì)有資源耗盡的可能，一旦出現(xiàn)出現(xiàn)資源耗盡，就會(huì)丟包或者阻斷所有連接，導(dǎo)致無法為正常用戶提供服務(wù)；而蜜罐系統(tǒng)不存在這些問題，不需要占用大量資源，僅僅是普通的計(jì)算機(jī)就可以了。

2 蜜罐的拓?fù)浣Y(jié)構(gòu)

蜜罐的網(wǎng)絡(luò)部署如圖1所示，一般來講，網(wǎng)絡(luò)中可以部署幾個(gè)高度受控的網(wǎng)絡(luò)主機(jī)，簡稱蜜網(wǎng)(Honey net)，它是由多個(gè)蜜罐組成的一個(gè)高度受控的網(wǎng)絡(luò)[3]。蜜罐主機(jī)部署于防火墻之后，它可以是一個(gè)高交互的主機(jī)，向入侵者提供了一個(gè)完整的操作系統(tǒng)，在網(wǎng)絡(luò)中蜜罐主機(jī)看起來更加真實(shí)可信，很難被攻擊者察覺，是一個(gè)很好的研究攻擊行為的工具。

圖1蜜罐網(wǎng)絡(luò)架構(gòu)中，包含了三個(gè)蜜罐主機(jī)、一個(gè)網(wǎng)關(guān)(Honey Wall)和一個(gè)管理控制中心。蜜罐用來收集入侵者的活動(dòng)日志，并通過專用通道傳送到管理控制中心，經(jīng)過對日志的分析處理，提取入侵特征，發(fā)現(xiàn)是否包含未知攻擊特征，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

圖1 蜜罐的網(wǎng)絡(luò)位置

3 蜜罐中的核心技術(shù)分析

蜜罐的核心技術(shù)一般包括數(shù)據(jù)捕獲技術(shù)，數(shù)據(jù)控制技術(shù)以及數(shù)據(jù)分析技術(shù)等[4]。

數(shù)據(jù)控制技術(shù)：蜜罐要想收集攻擊者的活動(dòng)日志，必須首先保證自身的安全。如果蜜罐被攻擊者攻陷，攻擊者就會(huì)破壞或者清除所收集的活動(dòng)日志；或者以蜜罐為跳板向其它網(wǎng)絡(luò)發(fā)動(dòng)攻擊，如：拒絕服務(wù)攻擊(DoS)。蜜罐系統(tǒng)既要對系統(tǒng)的外出流量進(jìn)行限制，又要給攻擊者一定的活動(dòng)自由與蜜罐網(wǎng)絡(luò)進(jìn)行交互。對于所有進(jìn)入蜜罐系統(tǒng)的連接記錄，蜜罐系統(tǒng)都允許進(jìn)入；而對外出的連接要進(jìn)行適當(dāng)限制，或修改這些外出連接數(shù)據(jù)包目的地址，重定向到指定的主機(jī)，同時(shí)給攻擊者造成網(wǎng)絡(luò)數(shù)據(jù)包已正常發(fā)出的假象。

數(shù)據(jù)捕獲技術(shù)：數(shù)據(jù)捕獲就是在入侵者無察覺的情況下，完整地記錄所有進(jìn)入蜜罐系統(tǒng)的連接行為及其活動(dòng)。捕獲到的數(shù)據(jù)日志是數(shù)據(jù)分析的主要來源，通過對捕獲到的日志的分析，發(fā)現(xiàn)入侵者的攻擊方法、攻擊目的、攻擊技術(shù)和所使用的攻擊工具。一般來說收集蜜罐系統(tǒng)日志有兩種方式：基于主機(jī)的信息收集方式和基于網(wǎng)絡(luò)的信息收集方式[5]。

數(shù)據(jù)分析技術(shù)：數(shù)據(jù)分析就是把蜜罐系統(tǒng)所捕獲到的數(shù)據(jù)記錄進(jìn)行分析處理，提取入侵規(guī)則，從中分析是否有新的入侵特征。數(shù)據(jù)分析包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。對入侵?jǐn)?shù)據(jù)的分析主要是找出所收集的數(shù)據(jù)哪些具有攻擊行為特征，哪些是正常數(shù)據(jù)流[6]。分析的主要目的有兩個(gè)：一個(gè)是分析攻擊者在蜜罐系統(tǒng)中的活動(dòng)、掃描擊鍵行為、非法訪問系統(tǒng)所使用工具、攻擊目的何在以及提取攻擊特征；另一個(gè)是對攻擊者的行為建立數(shù)據(jù)統(tǒng)計(jì)模型，看其是否具有攻擊特征，若有則發(fā)出預(yù)警，保護(hù)其它正常網(wǎng)絡(luò)，避免受到相同攻擊。

4 蜜罐的實(shí)例配置

如圖1所示蜜罐系統(tǒng)，其中有三個(gè)蜜罐以及一個(gè)管理控制中心，構(gòu)成的這個(gè)系統(tǒng)稱為蜜網(wǎng)，其中關(guān)鍵部分是HoneyWall，它是蜜罐與其它用戶之間的唯一連接點(diǎn)，是一個(gè)工作在數(shù)據(jù)鏈路層的橋接設(shè)備，所有進(jìn)出蜜罐的數(shù)據(jù)流都要經(jīng)過HoneyWall。HoneyWall有三個(gè)網(wǎng)卡，網(wǎng)絡(luò)接口Eth0與外網(wǎng)連接，Eth1與蜜罐系統(tǒng)連接，Eth2配置一個(gè)安全的內(nèi)部網(wǎng)絡(luò)地址，通過接口Eth2可以把蜜罐系統(tǒng)收集到的網(wǎng)絡(luò)數(shù)據(jù)包和系統(tǒng)日志轉(zhuǎn)發(fā)到管理控制中心服務(wù)器。管理控制中心服務(wù)器負(fù)責(zé)對收集到的入侵?jǐn)?shù)據(jù)日志進(jìn)行處理和分析，并提取攻擊特征，發(fā)現(xiàn)新的攻擊特征。

本實(shí)驗(yàn)環(huán)境將蜜罐網(wǎng)絡(luò)部署安裝在學(xué)校實(shí)驗(yàn)室網(wǎng)絡(luò)當(dāng)中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖中，采用自包含虛擬蜜網(wǎng)架構(gòu)，把各個(gè)組成部分都安裝在一臺(tái)機(jī)器上。按照Honeynet組織的定義：虛擬Honeynet是一種可讓你在一臺(tái)機(jī)器上運(yùn)行所有系統(tǒng)的解決方案，運(yùn)行在機(jī)器上的各個(gè)操作系統(tǒng)看起來與運(yùn)行在單獨(dú)一臺(tái)機(jī)器的操作系統(tǒng)并沒有什么外觀上的區(qū)別[7]。蜜網(wǎng)的數(shù)據(jù)控制、數(shù)據(jù)捕獲和日志系統(tǒng)均在一個(gè)虛擬出來的蜜網(wǎng)網(wǎng)關(guān)的系統(tǒng)上實(shí)現(xiàn)，而所有的蜜罐仍然在另一臺(tái)主機(jī)上通過虛擬機(jī)實(shí)現(xiàn)，節(jié)省了部署多個(gè)物理蜜罐所帶來的資源代價(jià)。宿主機(jī)通過一塊網(wǎng)卡綁定兩個(gè)IP地址也用作管理日志服務(wù)器，蜜罐主機(jī)上的Sebek客戶端與日志服務(wù)器上的sebek服務(wù)器端來完成數(shù)據(jù)的傳送，采用單向通信的機(jī)制，圖2為蜜罐的實(shí)例配置圖，圖3為Sebek客戶端和服務(wù)器端通信機(jī)制。

圖2 蜜罐實(shí)例配置圖

圖3 Sebek的通信機(jī)制

HoneyWall是一臺(tái)Linux Redhat9.0的網(wǎng)關(guān)，安裝了HoneyWall CDROM—Roo，它集成了Iptables防火墻、蜜罐數(shù)據(jù)捕獲sebek客戶端以及Snort包抑制器三種功能，Iptables防火墻和Snort包抑制器用于數(shù)據(jù)控制及數(shù)據(jù)收集，它們所收集的數(shù)據(jù)量是所有通過網(wǎng)關(guān)的數(shù)據(jù)，數(shù)據(jù)量較大，并不用于數(shù)據(jù)分析的數(shù)據(jù)源，Sebek客戶端所收集的日志才是數(shù)據(jù)分析的數(shù)據(jù)源，Iptables和Snort收集的數(shù)據(jù)只作為其補(bǔ)充。HoneyWall網(wǎng)關(guān)中無需再另行配置Iptables防火墻和Snort包抑制器。其中宿舍主機(jī)(Ip為210.43.24.215)上用VMware虛擬出兩臺(tái)Windows XP系統(tǒng)和一臺(tái)Linux Redhat系統(tǒng)，其中宿主機(jī)也當(dāng)作管理控制中心服務(wù)器，用作存放蜜罐主機(jī)所收集的日志記錄，這樣保證了日志記錄遠(yuǎn)程存放的安全性。

Honeywall CDROMroo-1.4.h w-20090425114542.iso的下載地址鏈接：https://projects. honeynet.org/honeywall/.Sebek-Win32-latest.zip

客戶端下載地址鏈接：https://projects.honeynet.org/sebek。

HoneyWall網(wǎng)關(guān)ROO的安裝配置可以參照參考文獻(xiàn)[8]，需要配置相關(guān)環(huán)境的一些參數(shù)，目前ROO不支持不同網(wǎng)段的蜜罐IP，本系統(tǒng)三個(gè)蜜罐IP分別為210.43.24.216、210.43.24.217、210.43.24.218。由于在蜜罐系統(tǒng)只能識(shí)別四種協(xié)議：TCP、UDP、ICMP和除這三種協(xié)議之外的其它協(xié)議統(tǒng)稱為OTHER，在對數(shù)據(jù)控制時(shí)，要對各協(xié)議設(shè)置單位時(shí)間內(nèi)發(fā)送包的上限，對于超出發(fā)送上限包的方式處理有三種：Drop、Reject和Replace。蜜罐的配置：Sebek客戶端對數(shù)據(jù)包的處理有Drop、Drop and Log、Accept和Accept and Log四種方式[9]。

在Windows平臺(tái)下sebek客戶端可以直接安裝。在Linux平臺(tái)下安裝sebek客戶端需要理改sbk_install.sh文件，更改各個(gè)對應(yīng)的參數(shù)如下：

參數(shù)設(shè)置后就可以進(jìn)行安裝了，安裝命令如下：

安裝后可以用Ping命令來測試與宿主機(jī)是否連通，監(jiān)聽ICMP命令是否通過Eth0和Eth1網(wǎng)口

若監(jiān)聽到ICMP命令，說明蜜罐機(jī)與宿主機(jī)連接成功。

5 結(jié)束語

本文介紹了蜜罐系統(tǒng)及其核心技術(shù)，并借助現(xiàn)有蜜罐工具搭建了一簡易的蜜罐網(wǎng)絡(luò)，實(shí)現(xiàn)了蜜罐的主要功能，但仍有不足，比如：如何對收集到的數(shù)據(jù)進(jìn)行分析，這也是蜜罐技術(shù)的難點(diǎn)和今后的研究方向。蜜罐技術(shù)作為一種主動(dòng)的網(wǎng)絡(luò)安全技術(shù)，有力地彌補(bǔ)了傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)被動(dòng)的缺點(diǎn)，在反蠕蟲病毒，僵尸網(wǎng)絡(luò)及遏制垃圾郵件方向都有極好的應(yīng)用效果。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，蜜罐技術(shù)的理論和實(shí)現(xiàn)也將不斷完善，與其它網(wǎng)絡(luò)安全技術(shù)相互協(xié)同工作，一起保護(hù)網(wǎng)絡(luò)的安全，促進(jìn)整個(gè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的發(fā)展。

[1]Honeynet Project.Know Your Enemy:GenII Honeynets[EB/OL].http://old.honeynet.org/papers/honeynet/index.html,2006-5-31.

[2]曾曉光,鄭成輝,賴海光,等.基于Honeyd的產(chǎn)品型蜜罐系統(tǒng)[J].鄭州大學(xué)學(xué)報(bào),2010.3(42):63-66.

[3]馬勝甫,孟雅輝,田俊峰,等.蜜罐與入侵檢測協(xié)作模型的研究[J].計(jì)算機(jī)工程與應(yīng)用,2005.41(31):127-130.

[4]程仁杰,殷建平,劉運(yùn),等.蜜罐及蜜網(wǎng)技術(shù)研究進(jìn)展[J].計(jì)算機(jī)研究與發(fā)展,2008.45:375-378.

[5]https://projects.honeynet.org/.[EB/OL].

[6]Zi Chen Li,Xiao jia li,Lei gong.Proceedings of the Third International Symposium on Computer Science andComputational Technology(ISCSCT'10).August 2010:336-337.

[7]胡義召,王貞,安利.虛擬蜜網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué),2009.31(8):21-23.

[8]諸葛建偉.在Win32平臺(tái)上基于VMware軟件部署并測試第三代虛擬蜜網(wǎng)[R].北京:北京大學(xué)計(jì)算機(jī)科學(xué)技術(shù)研究所,2006.

[9]馮朝輝,范銳軍,張彤.Honeynet技術(shù)研究與實(shí)例配置[J].計(jì)算機(jī)工程,2007.33(5):132-134.