基于蜜網的主動協(xié)同防御系統(tǒng)

李圣良 王城華

九江職業(yè)技術學院 江西 332007

0 前言

面對越來越嚴峻的網絡安全問題，出現(xiàn)了種類繁多的安全產品，如防火墻、IDS、蜜罐、漏洞掃描軟件等，它們各自功能獨立，僅僅在不同的側面保護著網絡系統(tǒng)的安全，不能從整體上防范網絡攻擊。面對各種威脅，尤其是分布式、協(xié)作式攻擊，只有各安全組件實現(xiàn)有效聯(lián)動，才能進行充分而有效的防護。

1 系統(tǒng)結構設計

基于蜜網的主動協(xié)同防御系統(tǒng)結構如圖1所示，主要由防火墻、入侵檢測系統(tǒng)、日志服務器、蜜網網關和蜜罐主機組成。

(1) 外部防火墻安裝在網絡以外主要作用是把外部的入侵行為隔離，最大限度的保障校園網絡安全，對于外部流入的數(shù)據嚴格控制。

(2) 內部防火墻安裝在安全系統(tǒng)內，為蜜網系統(tǒng)提供數(shù)據控制功能，任何流入系統(tǒng)的數(shù)據都被認為是可疑的。內部防火墻實行寬進嚴出，寬進即對流入數(shù)據控制程度較低，這樣是為了給非法入侵者一定的自由，給非法入侵者造成假象來迷惑非法入侵者，以便獲取更多的非法入侵者的信息；嚴出即對于從系統(tǒng)流出的數(shù)據進行嚴格的數(shù)據控制，以防止非法入侵者利用該系統(tǒng)為跳板危害其他系統(tǒng)，當然嚴出也勢必要允許必要的數(shù)據流出，否則容易被非法入侵者識破。

(3) 入侵檢測系統(tǒng)(IDS)用于實時監(jiān)視系統(tǒng)的運行情況，對出入的數(shù)據包檢測，發(fā)現(xiàn)是異常就拋棄或者訂正這個數(shù)據包。

(4) 蜜罐網絡的各個主機是由VMware虛擬出來的，在這些客戶機系統(tǒng)上提供各種真實服務和一些虛假信息，并在每個主機上運行數(shù)據捕獲工具Sebek客戶端，將非法入侵者在主機上的活動進行記錄，并向日志服務器提交所記錄數(shù)據信息。

(5) 日志服務器主要是收集各種日志數(shù)據以供分析使用，所收集的日志主要是防火墻日志、入侵檢測日志，蜜罐主機記錄日志等。

(6) 蜜網網關：在虛擬蜜網網關中，有 3個網絡接口。Eth0 是面向業(yè)務網絡的外部接口；Eth1是面向多虛擬蜜罐系統(tǒng)的內部接口，Eth0和Eth1在網橋模式，均無IP地址，數(shù)據包經過網關時 TTL值也不會變化, 也不會提供自身的MAC地址，因此蜜網網關對于攻擊者是透明不可見的，入侵者不會識別出其所攻擊的網絡是一個蜜網系統(tǒng)；Eth2是用作遠程管理，具有IP地址，作秘密通道，可把出入虛擬蜜罐系統(tǒng)的數(shù)據包及蜜網系統(tǒng)日志轉發(fā)給一臺作遠程管理主機。

圖1 主動協(xié)同防御系統(tǒng)結構圖

2 系統(tǒng)模塊組成

蜜網有三個核心模塊，分別為數(shù)據控制、數(shù)據捕獲和數(shù)據分析。網絡管理員通過數(shù)據控制確保黑客不能利用蜜網危害第三方網絡的安全，通過數(shù)據捕獲技術檢測并審計黑客攻擊的所有行為數(shù)據，通過數(shù)據分析從捕獲的數(shù)據中分析黑客的具體活動、使用工具及其意圖。系統(tǒng)各模塊之間的關系如圖2所示。

圖2 各模塊之間的關系

(1) 數(shù)據控制模塊

數(shù)據控制的主要目的就是阻止攻擊者以蜜網為跳板去攻擊業(yè)務網絡，以防 蜜網成為攻擊者的幫兇。系統(tǒng)對于任何進入蜜網的行為都允許，但對于從蜜網發(fā)出的掃描、探測、連接等活動都實施嚴密監(jiān)控。系統(tǒng)在蜜網網關上使用多層次的機制加以數(shù)據控制，具體手段主要包括對外連接數(shù)限制和攻擊包抑制(圖3)。

圖3 數(shù)據控制機制模型

對外連接數(shù)限制是由構架在蜜網網關上的 Iptables來實現(xiàn)的。Iptables可以有效限制單位時間內通過其向外發(fā)起的連接數(shù)。一旦攻擊者攻破某個蜜罐并試圖向外發(fā)起拒絕服務、掃描等攻擊，Iptables將丟棄超過閥值上限的外出連接的數(shù)據包，并將其記錄到日志，阻斷其后繼連接，同時發(fā)出警告通知網絡安全人員。

攻擊包抑制是阻止異常行為的數(shù)據包通過蜜網網關向外發(fā)出連接，用以控制攻擊者利用少量連接即能奏效的攻擊。為適應蜜網網關的二層橋接模式并利用 Iptables獲取數(shù)據包，系統(tǒng)利用 Snort_inline 工具實現(xiàn)該功能。從蜜網向外發(fā)出的所有數(shù)據包都要經過 Snort_inline 檢測，只有不包含攻擊特征的數(shù)據包才能通行。因 Snort_inline 不具備數(shù)據包路由能力，所以系統(tǒng)利用Iptables 獲取數(shù)據包，并將數(shù)據包發(fā)送給Snort_inline進行檢測。Snort_inline對數(shù)據包的處理方式包括直接丟棄、修改、回拒等方式。

(2) 數(shù)據捕獲模塊

設計蜜網的主要目標是捕獲攻擊信息，為了全面的獲取攻擊信息，系統(tǒng)從網絡連接、網絡行為及系統(tǒng)行為三層面上分別進行了數(shù)據捕獲(圖4)。

網絡連接方面，系統(tǒng)利用Iptables 捕獲進出蜜網網關連接行為，并記錄攻擊者攻陷蜜網后向外發(fā)起的網絡連接以及超過連接數(shù)的報警。對于 Iptables我們可以通過設置rc.firewall 腳本來記錄所有向內和向外的連接，并將日志信息保存到/var/log/messages中，我們也可通過修改/etc/syslog.conf的配置來重新指定一個日志的輸出，以便于重新記錄網絡攻擊信息。

腳本rc.firewall中對外出連接的限制如下所示：

### Set the connection outbound limits for different protocols

SCALE="day"

TCPRATE="20"

UDPRE="20"

ICMPRATE="50"

OTHERRATE="20"

以上腳本代碼說明了IPTables對各類外出連接數(shù)目的限制，如TCP連接數(shù)每天最多20個。

網絡行為層面上，要記錄每一個進出蜜網網關的數(shù)據包。系統(tǒng)通過配置一個標準的Snort實現(xiàn)該功能，使用Snort捕獲所有 IP通信，并將其轉儲到日志文件 tcpdump中以待分析。配置 Snort 時將嗅探器與蜜網網關內部網口 eth1 綁定，這樣只會捕獲進出蜜網的通信。此外，我們還使用了p0f工具，p0f工具是一個監(jiān)控器，它是基于pcap的，主要功能是實現(xiàn)操作系統(tǒng)的指紋識別。通過它們判斷源主機和目標主機的操作系統(tǒng)類型。

在系統(tǒng)行為方面，主要是借助Sebek軟件完成。Sebek 軟件分為客戶端和服務器端，可用來記錄攻擊者讀取的數(shù)據、擊鍵和運行程序的情況，可用來分析攻擊者的活動，再現(xiàn)攻擊者的行為。Sebek 客戶端被安裝到蜜罐主機上，被用于蜜罐捕獲數(shù)據并發(fā)送到網關的Sebek服務器端的數(shù)據庫中。網絡安全人員可利用 Sebek Web來瀏覽、查詢、分析這些數(shù)據。

圖4 數(shù)據捕獲機制模型

(3) 數(shù)據分析模塊

蜜網數(shù)據分析的數(shù)據來源于系統(tǒng)的“四重數(shù)據捕獲”，即來自防火墻、IDS、異常檢測和蜜罐的日志。數(shù)據分析工作的目的是發(fā)現(xiàn)未知攻擊并提取攻擊的特征串作為IDS的攻擊特征碼和防火墻的規(guī)則。

在本系統(tǒng)中，利用Walleye軟件和Swatch工具，可非常方便的實現(xiàn)這一功能。Walleye軟件提供了一個基Web的蜜網數(shù)據分析接口，它被安裝在蜜網網關上，可處理多個數(shù)據源，并精確高效分析蜜網所收集的數(shù)據，如Sebek 捕獲的數(shù)據、IDS報警信息、p0f系統(tǒng)識別結果、Argus的分析結果等，以便安全人員快速識別蜜網中所發(fā)生的入侵事件。Swatch工具被用來監(jiān)視日志文件，利用它的自動報警功能，一旦入侵者攻擊蜜罐主機，攻擊標識信息符合配置文件的相關特征時，Swatch自動發(fā)送E-mail報警通知，并向外發(fā)送連接的目標 IP、端口號以及連接時間等關鍵信息，安全技術人員通過Walleye的輔助分析功能，即可獲知入侵者的攻擊方法和動機。

3 測試

(1) 測試數(shù)據控制功能

首先測試蜜網對于進出連接的控制功能。從系統(tǒng)中發(fā)起一個連接到蜜網中任意一個虛擬蜜罐的FTP連接，然后查看/var/log/message日志文件。接下來測試向外連接數(shù)的控制，在一臺虛擬蜜罐上初始化多個連接到測試系統(tǒng)，查看/var/log/message日志文件，當向外連接數(shù)超過限制時，日志中會出現(xiàn)“Drop Tcp”。

(2) 測試數(shù)據捕獲功能

Snort可以使用工具集附帶的測試規(guī)則進行測試。在虛擬蜜罐上發(fā)起一次向外的Telnet連接，Snort會捕獲到這次外出連接并進行丟棄，然后記錄下此次的連接。

接下來查看Sebek的工作情況，運行命令sbk_extract –i eth0 –p 1101|sbk_ks_log.pl，該命令運行在Sebek的服務器端網關上。任意地選擇一臺蜜罐主機輸入命令，在網關上就可以立即看到輸出。

4 總結

蜜網技術已經發(fā)展成為主動防御、誘捕攻擊者的一種非常有效的、實用的、成熟的方法。它通過精心布置的誘騙環(huán)境來吸引黑客，捕獲黑客的攻擊工具、攻擊方法和攻擊目的，它最大的價值在于能夠發(fā)現(xiàn)網絡中新的攻擊方式，進而更新完善網絡的防御體系。

[1]鄭艷君.分布式蜜罐技術分析及系統(tǒng)設計研究[J].制造業(yè)自動化.2012.

[2]馬彥武,董淑福等.一種網絡安全聯(lián)動防御模型的設計與實現(xiàn)[J].火力與指揮控制.2011.

[3]趙會峰,李麗娟.一種基于蜜網的網絡安全聯(lián)動模型[J].計算機系統(tǒng)應用.2011.

[4]黃芳,劉淵.虛擬蜜網系統(tǒng)的設計與實現(xiàn)[J].微計算機信息.2010.