蜜網(wǎng)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用

賀文娟 賈丙靜

(安徽科技學(xué)院 理學(xué)院計算機(jī)公共教學(xué)部，安徽鳳陽 233100)

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，我們的日常生活已離不開網(wǎng)絡(luò)。網(wǎng)絡(luò)的確給我們的生活和工作都帶來很多便利，但是網(wǎng)絡(luò)在快速發(fā)展的過程中，其安全問題也日益凸顯，甚至威脅到正常的工作和生活。傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)都采用的是被動防御的理念，對已知的攻擊有著較好的防御作用，但是對于層出不窮的黑客攻擊手段和攻擊工具，對于新的攻擊就沒有辦法識別，可能會造成損害正常系統(tǒng)的運(yùn)行。

蜜罐技術(shù)采用主動防御的方式，在監(jiān)測網(wǎng)絡(luò)入侵、保護(hù)網(wǎng)絡(luò)客體、信息學(xué)習(xí)反饋、提高完善反擊入侵能力等網(wǎng)絡(luò)安全方面有極大的優(yōu)勢［1］。蜜網(wǎng)技術(shù)是蜜罐的高級形式，通過搭建蜜網(wǎng)可以監(jiān)視和跟蹤攻擊者的行為，進(jìn)而分析數(shù)據(jù)得到攻擊方法，攻擊工具和攻擊目的，更好地保護(hù)網(wǎng)絡(luò)安全。

1 蜜罐與蜜網(wǎng)技術(shù)

蜜罐創(chuàng)始人Lance Spitzner 給出蜜罐的定義是: “Honeypot 是一個資源，它的價值在于它會受到探測、攻擊或攻陷”［2］。從定義可以看出蜜罐只是一種工具，利用蜜罐可搭建出蜜網(wǎng)，利用蜜網(wǎng)本身帶有的漏洞吸引攻擊者，可以捕獲到攻擊者的各種信息，對這些數(shù)據(jù)進(jìn)行分析就可以得知攻擊者的攻擊手段、方法和工具，并依此建立預(yù)警，保護(hù)正常網(wǎng)絡(luò)的工作。將攻擊者引入蜜罐，消耗攻擊者的資源，拖延攻擊者的時間，蜜罐采取這樣的方式保護(hù)網(wǎng)絡(luò)的正常運(yùn)行。

蜜網(wǎng)是將多個蜜罐結(jié)合防火墻、入侵檢測系統(tǒng)以及其他網(wǎng)絡(luò)安全設(shè)備構(gòu)架成一個系統(tǒng)，形成一個誘捕環(huán)境，吸引攻擊者的入侵，它允許所有的入站鏈接，控制向外鏈接的數(shù)目，這樣可以防止攻擊者攻陷蜜罐之后，將其作為跳板攻擊正常的產(chǎn)品網(wǎng)絡(luò)。蜜網(wǎng)是一個網(wǎng)絡(luò)系統(tǒng)，而不是單一的蜜罐主機(jī)［3］，因此構(gòu)架蜜網(wǎng)系統(tǒng)就更加復(fù)雜，蜜網(wǎng)的檢測，響應(yīng)，分析，恢復(fù)的能力也很大程度上有所提高。

2 蜜網(wǎng)功能

蜜網(wǎng)系統(tǒng)形成一個誘捕環(huán)境，吸引攻擊者的攻擊，任何進(jìn)入蜜網(wǎng)的鏈接都是可疑的，都會被記錄下來，因為蜜網(wǎng)本身沒有正常的工作流量，因此捕捉到的數(shù)據(jù)量很少，但是具有很高的研究價值。任何從蜜網(wǎng)發(fā)出的向外鏈接，則說明該蜜網(wǎng)系統(tǒng)被攻陷。一個蜜網(wǎng)具有3 大核心功能:數(shù)據(jù)捕獲，數(shù)據(jù)控制和數(shù)據(jù)分析。

2.1 數(shù)據(jù)捕獲

蜜網(wǎng)系統(tǒng)采用三種層次捕獲數(shù)據(jù)，分別是防火墻，IDS 和蜜罐主機(jī)。防火墻位于蜜網(wǎng)系統(tǒng)的前面，所有進(jìn)入蜜網(wǎng)的數(shù)據(jù)都必須經(jīng)過防火墻，因此防火墻日志是蜜網(wǎng)系統(tǒng)的第一層數(shù)據(jù)。入侵檢測系統(tǒng)IDS在數(shù)據(jù)鏈路層監(jiān)視整個網(wǎng)絡(luò)的流量，對可疑行為進(jìn)行匹配，還可以及時預(yù)警可能發(fā)生的攻擊。最后一層就是蜜罐主機(jī)，發(fā)生在蜜罐主機(jī)上的活動都將被蜜罐日志記錄下了，并且這些日志可以通過網(wǎng)絡(luò)發(fā)送到安全的日志服務(wù)器上。采用三層數(shù)據(jù)捕獲機(jī)制，相比一層數(shù)據(jù)捕獲，它的風(fēng)險性更低，捕獲到的數(shù)據(jù)更加完整，體現(xiàn)了蜜網(wǎng)強(qiáng)大的數(shù)據(jù)捕獲功能。

2.2 數(shù)據(jù)控制

蜜網(wǎng)系統(tǒng)采用兩種層次控制數(shù)據(jù)，分別是防火墻和路由器。第一層就是防火墻，防火墻允許所有的入站鏈接，但是對向外的連接數(shù)目進(jìn)行控制，實驗證明，每小時5 到10 個出站連接比較好，不僅使黑客一直保持興趣，而且還保護(hù)其他系統(tǒng)免受攻擊［4］。路由器是數(shù)據(jù)保護(hù)的第二層，路由器用來防止IP地址欺騙攻擊，ICMP 攻擊等等。如果第一層防火墻失效了，路由器就執(zhí)行防火墻的主要功能。

2.3 數(shù)據(jù)分析

對蜜網(wǎng)系統(tǒng)的三層數(shù)據(jù)捕獲機(jī)制捕獲的數(shù)據(jù)進(jìn)行采集和分析就是蜜網(wǎng)系統(tǒng)的重要功能之一。采集數(shù)據(jù)必須爆炸數(shù)據(jù)的完整性，安全性和可靠性，對數(shù)據(jù)進(jìn)行分析，從而獲得攻擊者的攻擊意圖，攻擊方式和攻擊工具。

3 利用Honeyd 對抗蠕蟲病毒

蠕蟲病毒具有獨立存在，自動傳播的特點。當(dāng)一臺計算機(jī)感染上蠕蟲病毒之后，蠕蟲病毒就會隨機(jī)選取一段IP 地址，然后掃描該段地址上的主機(jī)，一旦發(fā)現(xiàn)某臺主機(jī)存在漏洞，就會對其發(fā)起進(jìn)攻，也就是說，只要有一臺計算機(jī)感染上了蠕蟲病毒，那么這個蠕蟲病毒很快就會在網(wǎng)絡(luò)中蔓延開來，感染網(wǎng)絡(luò)中數(shù)以百計的計算機(jī)，輕者影響網(wǎng)絡(luò)的正常運(yùn)行，重者使網(wǎng)絡(luò)癱瘓。

現(xiàn)有的網(wǎng)絡(luò)安全工具，比如防火墻，入侵檢測系統(tǒng)，在對抗蠕蟲病毒時都存在缺陷。防火墻需要進(jìn)行正確的配置才能抵抗已知類型的蠕蟲病毒，IDS 也必須不斷更新知識庫，才能有效抵抗已知類型的蠕蟲病毒，IDS 具有的異常檢測功能雖然能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的異常狀況，但是誤報現(xiàn)象經(jīng)常存在，也不能抑制蠕蟲病毒的快速傳播。

3.1 實現(xiàn)原理

蠕蟲病毒傳播的算法，帶有漏洞的主機(jī)的數(shù)量和網(wǎng)絡(luò)地址空間的大小決定蠕蟲病毒傳播的概率。蜜罐部署的數(shù)量決定了蜜罐收到蠕蟲病毒掃描入侵的可能性。蜜罐部署得越多，蜜罐就越容易受到蠕蟲病毒的刺探，這樣對網(wǎng)絡(luò)中有價值主機(jī)的保護(hù)效果就越好［5］。采用一臺配置比較高的計算機(jī)，安裝honeyd 軟件，并虛擬出大量蜜罐進(jìn)行配置，將這些蜜罐和網(wǎng)絡(luò)中未使用`的IP 地址綁定在一起，并使其存在系統(tǒng)漏洞，利用這些漏洞吸引蠕蟲病毒。利用Honeyd 構(gòu)建虛擬蜜網(wǎng)對抗蠕蟲病毒需要的硬件資源少，配置簡單，一但被攻破，恢復(fù)也容易。

3.2 實現(xiàn)過程

利用honeyd 虛擬出大量的虛擬蜜罐，然后通過下面幾個步驟實現(xiàn)對抗蠕蟲病毒，如圖1 所示。

3.3 模擬實驗

利用honeyd 模擬虛擬蜜罐在校園網(wǎng)內(nèi)捕捉?jīng)_擊波蠕蟲病毒。沖擊波蠕蟲的特點是隨機(jī)掃描系統(tǒng)的TCP135 端口，只要發(fā)現(xiàn)Windows RPCDCOM 系統(tǒng)漏洞就對該主機(jī)發(fā)起攻擊。根據(jù)該特點配置Honeyd 模板，讓虛擬蜜罐具有該Windows 漏洞并吸引沖擊波蠕蟲病毒，致使沖擊波蠕蟲病毒攻擊虛擬蜜罐，以達(dá)到轉(zhuǎn)移攻擊流量拖延時間的目的［6］。Honeyd 模板的配置如下:

圖1 利用honeyd 對抗蠕蟲病毒實現(xiàn)過程

TCP4444 端口調(diào)用WormCatcher. sh 腳本，該腳本的作用是能對蠕蟲提出的遠(yuǎn)程請求做出回答，使得虛擬蜜罐的欺騙性更加真實。WormCatcher. sh 腳本如下:

配置如下模板利用虛擬蜜罐反攻被沖擊波蠕蟲病毒感染的主機(jī):

我們在TCP4444 端口調(diào)用strikeback. sh 腳本，這個腳本文件的作用是首先殺死被感染主機(jī)中的沖擊波蠕蟲病毒，然后將蠕蟲病毒的二進(jìn)制代碼清除，最后從注冊表中刪除自動啟動項目，修補(bǔ)系統(tǒng)漏洞，重啟主機(jī)。strikeback. sh 腳本內(nèi)容如下:

3.4 實驗結(jié)果

采用一臺計算機(jī)，其IP 地址為192.168.52.170，讓其感染沖擊波蠕蟲病毒。虛擬蜜罐系統(tǒng)運(yùn)行一段時間之后，我們查看Honeyd日志，并截取其中一段如下圖2，該日志保存的是蠕蟲病毒的掃描信息。

圖2 一段Honey日志記錄

從該日志可以分析出135 端口的Windows 漏洞被虛擬蜜罐打開，虛擬蜜罐以此在比較段的時間內(nèi)成功成功誘惑了沖擊波蠕蟲病毒。

4 結(jié)語

利用Honeyd 構(gòu)建的虛擬蜜罐系統(tǒng)對抗蠕蟲病毒，該系統(tǒng)具有所需的硬件成本低，恢復(fù)也較容易的特點。通過配置模板，編寫腳本代碼，使得Honeyd 能夠與攻擊者進(jìn)行交互，可以獲得更多的數(shù)據(jù)，用于更好地研究蠕蟲病毒的傳播行為，追蹤蠕蟲病毒的根源。虛擬蜜罐系統(tǒng)能夠彌補(bǔ)傳統(tǒng)的網(wǎng)絡(luò)安全工具的缺陷，作為新型的主動的防御工具用于捕獲未知的蠕蟲病毒。

［1］夏春和，吳震，趙勇，等.入侵誘騙模型的研究與建立［J］.計算機(jī)應(yīng)用研究，2002(4):76－79.

［2］Lance Spiizner.Honeypot:追蹤黑客［M］.北京:清華大學(xué)出版社，2004:20－50.

［3］曹愛娟，劉寶旭，許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述［J］.計算機(jī)工程，2004，30(9):1－3.

［4］馬傳龍，鄧亞平.Honeynets 及其最新技術(shù)［J］.計算機(jī)應(yīng)用研究，2004(7):11－12.

［5］張運(yùn)凱，郭永宏，王浩.網(wǎng)絡(luò)蠕蟲的傳播與控制［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004(6):16－18.

［6］Know Your Enemy(KYE)series of paper［EB/OL］.http://www.honeynet.org/papers/kye.html，2005.