基于Honeypot技術(shù)的入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

劉 煥

(太原大學(xué) 外語師范學(xué)院，山西 太原 030012)

0 引言

黑客利用惡意程序、系統(tǒng)漏洞和程序弱點(diǎn)等未達(dá)到影響網(wǎng)絡(luò)安全的目的.傳統(tǒng)防御網(wǎng)絡(luò)攻擊行為是以防火墻搭配入侵檢測系統(tǒng)，但目前擁有殺毒軟件并使用傳統(tǒng)防火墻搭配入侵檢測的系統(tǒng)，已無法有效遏止網(wǎng)絡(luò)攻擊的威脅.如果能在計(jì)算機(jī)遭受攻擊的第一時間，立即記錄攻擊事件的來源、手法，對其進(jìn)行分析比對與推論后續(xù)可能的攻擊，并提供給信息安全人員相關(guān)警告和信息，就可有效減緩并降低信息安全風(fēng)險.［1］

蜜罐所收集到的信息能針對特定流量工作，提供其它工具所沒有的獨(dú)特信息，因此得到的信息價值也較高，如果是搭配入侵檢測系統(tǒng)，可減少主動錯誤信息和被動錯誤信息等問題.但是一般開放原始碼蜜罐使得使用者不易進(jìn)行廣泛設(shè)置，也導(dǎo)致收集的信息有區(qū)域限制而不夠全面.對此，本研究構(gòu)建結(jié)合入侵檢測和蜜罐的分布式預(yù)警系統(tǒng)，并開發(fā)友好的使用者接口，通過分散在各網(wǎng)絡(luò)中的客戶端，收集大范圍的攻擊信息及惡意程序進(jìn)行信息匯總分析，讓信息安全人員根據(jù)所分析的結(jié)果，觀察遭受攻擊的計(jì)算機(jī)及服務(wù)，以便推論其攻擊模式與意圖，及潛在風(fēng)險與未來趨勢，以確定應(yīng)變措施、確保網(wǎng)絡(luò)安全.［2］

1 相關(guān)研究

本研究著重在網(wǎng)絡(luò)攻擊行為的記錄與分析，根據(jù)研究所需的相關(guān)名詞進(jìn)行文獻(xiàn)探討，并對本研究所使用的工具進(jìn)行簡介.

1.1 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)(IDS)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備.它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于，IDS是一種積極主動的安全防護(hù)技術(shù).根據(jù)其應(yīng)用環(huán)境的不同，入侵檢測系統(tǒng)可以歸類為兩種類型:主機(jī)型(Host Based)與網(wǎng)絡(luò)型(Network Based)的入侵檢測系統(tǒng).［3］

主機(jī)型入侵檢測系統(tǒng)主要以計(jì)算機(jī)系統(tǒng)主機(jī)的核心(Audit)信息或網(wǎng)絡(luò)活動為基礎(chǔ)(如文檔、程序、日志文件等)作持續(xù)的監(jiān)測，如果有不正常的情形發(fā)生，系統(tǒng)就會發(fā)出被入侵的警告信息，例如未授權(quán)的登錄、非法程序的存取、異常的系統(tǒng)呼叫等可疑紀(jì)錄.缺點(diǎn)是信息量通常非常龐大，且其所紀(jì)錄的信息如果被竄改或者是刪除時，則對入侵行為無從查起.

網(wǎng)絡(luò)型入侵檢測系統(tǒng)則是直接選取網(wǎng)絡(luò)上傳送的封包為根據(jù)，監(jiān)測封包的檔頭以及內(nèi)容部分，以此判斷網(wǎng)絡(luò)主機(jī)是否遭受攻擊或入侵.缺點(diǎn)是其所消耗的系統(tǒng)資源往往與網(wǎng)絡(luò)封包的流量成正比，如果網(wǎng)絡(luò)流量過大將會造成入侵檢測系統(tǒng)來不及處理，導(dǎo)致入侵檢測正確率的降低.［4］

1.2 蜜罐技術(shù)

美國L.Spizner是一個著名的蜜罐技術(shù)專家，他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源，它的價值是被攻擊或攻陷.這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的，蜜罐不會修補(bǔ)任何東西，這樣就為使用者提供了額外的、有價值的信息.蜜罐不會直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但是它卻是其他安全策略所不可替代的一種主動防御技術(shù).

具體的來講，蜜罐系統(tǒng)最為重要的功能是對系統(tǒng)中所有操作和行為進(jìn)行監(jiān)視和記錄，可以使網(wǎng)絡(luò)安全專家通過精心的偽裝，使得攻擊者在進(jìn)入到目標(biāo)系統(tǒng)后仍不知道自己的行為已經(jīng)處于系統(tǒng)的監(jiān)視下.

設(shè)計(jì)蜜罐的初衷就是讓黑客入侵，借此收集證據(jù)，同時隱藏真實(shí)的服務(wù)器地址，因此我們要求一臺合格的蜜罐擁有這些功能:發(fā)現(xiàn)攻擊、產(chǎn)生警告、強(qiáng)大的記錄能力、欺騙、幫助調(diào)查.其架構(gòu)如圖1.

圖1 蜜罐技術(shù)原理圖

2 系統(tǒng)設(shè)計(jì)

本研究以收集大范圍網(wǎng)絡(luò)攻擊信息及警告信息發(fā)報(bào)為目的，構(gòu)建一個可快速安裝的分布式預(yù)警系統(tǒng)，以減少信息安全人員分布式系統(tǒng)構(gòu)建和大范圍信息收集的負(fù)擔(dān).研究實(shí)際結(jié)合入侵檢測與蜜罐工具，匯總不同格式信息，對大范圍網(wǎng)絡(luò)攻擊和警告信息進(jìn)行集中分析和發(fā)報(bào)，再利用網(wǎng)頁接口顯示經(jīng)分析后的匯總信息，讓管理者能迅速對攻擊事件做出因應(yīng)行動.

2.1 系統(tǒng)架構(gòu)

分布式預(yù)警系統(tǒng)是由客戶端(Client)與服務(wù)器端(Server)兩大部分所組成的，系統(tǒng)架構(gòu)如圖二所示.客戶端將遭受攻擊的信息與捕獲的惡意程序回傳給服務(wù)器端，由服務(wù)器端進(jìn)行攻擊記錄與分析、入侵通報(bào)，再以網(wǎng)頁的方式呈現(xiàn)匯總后的信息，利用服務(wù)器端和多個客戶端的間的連結(jié)，達(dá)到分散信息集中管控的效果，構(gòu)建起一個完整的預(yù)警網(wǎng)絡(luò).以下將對這些組件作比較深入介紹.

圖2 系統(tǒng)架構(gòu)圖

2.2 客戶端

客戶端安置在網(wǎng)域中負(fù)責(zé)搜集入侵者攻擊行為的任務(wù).以下說明各個組件的功能:

Nepenthes:模擬常見服務(wù)漏洞引誘入侵者發(fā)動攻擊，并捕捉惡意程序樣本，再將其傳回服務(wù)器端，再進(jìn)行后續(xù)分析.

Snort:監(jiān)聽并過濾封包來檢測可能的入侵或網(wǎng)絡(luò)攻擊，辨識其攻擊型態(tài)等信息，再將警告信息傳回服務(wù)器端.

Sebek客戶端:記錄入侵者在蜜罐上的行為(如:執(zhí)行程序、對外連線、存取系統(tǒng)資源、輸入的指令等信息)，再將信息傳回服務(wù)器端.

網(wǎng)絡(luò)管理人員可根據(jù)所在網(wǎng)絡(luò)環(huán)境的不同，利用可攜式LiveUSB進(jìn)行客戶端快速安裝，并使用操作接口進(jìn)行客戶端設(shè)置.當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時，根據(jù)攻擊類型的不同，會觸發(fā)不同的系統(tǒng)組件進(jìn)行信息的收集，最后傳遞到服務(wù)器端進(jìn)行后續(xù)處理.

2.3 服務(wù)器端

服務(wù)器端可以同時連接多個客戶端并接收到所有客戶端傳遞的信息，由各個不同的組件進(jìn)行過濾分析后儲存在數(shù)據(jù)庫，如果這些信息都有相關(guān)性，則可能有入侵者針對網(wǎng)域內(nèi)的計(jì)算機(jī)作大范圍的攻擊或掃描.以下說明各個組件的功能:

Sebek服務(wù)器:接收多個客戶端傳回的指令或連線信息進(jìn)行過濾，再將其存入數(shù)據(jù)庫.

Malware收集器:接收Nepenthes傳回的惡意程序樣本，并儲存記錄在數(shù)據(jù)庫中.

Prelude:模塊化設(shè)計(jì)的開放原始碼混合型入侵檢測系統(tǒng)，使用標(biāo)準(zhǔn)IDMEF格式進(jìn)行通訊，從設(shè)計(jì)的方式來看定位在適應(yīng)大型網(wǎng)絡(luò)的需求，可接收來自多個客戶端的信息，統(tǒng)整不同的信息格式，再儲存在數(shù)據(jù)庫.

網(wǎng)頁界面:分析由數(shù)據(jù)庫中取得的攻擊信息，再以網(wǎng)頁的方式進(jìn)行呈現(xiàn)，同時監(jiān)控網(wǎng)絡(luò)攻擊情況，如果有異常情形發(fā)生，會對這些信息進(jìn)行標(biāo)記并根據(jù)管理者設(shè)定的方式進(jìn)行通知或是輸出報(bào)表等相關(guān)事務(wù).另外，管理者也可遠(yuǎn)程進(jìn)行信息查詢或惡意軟件樣本下載.

3 實(shí)驗(yàn)測試分析

將開發(fā)完成的系統(tǒng)實(shí)際安裝在校園網(wǎng)絡(luò)環(huán)境和私人企業(yè)，經(jīng)過一個月的信息收集，客戶端總共遭受到2571次攻擊，根據(jù)Snort分類其風(fēng)險等級，并針對遭受攻擊的類型列出前10名，如表1所示.

表1 遭受攻擊的主機(jī)

再列出來自校內(nèi)和校外IP的攻擊次數(shù)，以及相關(guān)攻擊型態(tài)統(tǒng)計(jì)，將收集到的惡意程序上傳至Virus Total進(jìn)行分析，列出惡意程序的統(tǒng)計(jì)信息，可檢視出內(nèi)部和外部網(wǎng)絡(luò)的異常情形，預(yù)測可能的危害，據(jù)以進(jìn)行后續(xù)處理和防范.

表2 攻擊類型統(tǒng)計(jì)

本研究除了以Snort來識別攻擊的類型，并結(jié)合了Nepenthes的仿真服務(wù)與惡意程序收集，再以Sebek記錄利用弱點(diǎn)并回避人侵偵測系統(tǒng)在客戶端操作的行為，最后通過匯集的警示信息，對黑客的攻擊行為做出進(jìn)一步的分析.

4 結(jié)論

本文研究和設(shè)計(jì)了一種在Web服務(wù)器群中架設(shè)蜜罐而進(jìn)行數(shù)字取證的系統(tǒng)，該系統(tǒng)可吸引惡意攻擊并收集相關(guān)攻擊信息，并對不同格式及分散信息進(jìn)行關(guān)聯(lián)性分析，再利用網(wǎng)頁接口顯示匯總信息，推論可能攻擊、預(yù)測未來趨勢.在未來研究中，可加強(qiáng)本系統(tǒng)的傳輸安全性及運(yùn)作隱密性，來減低被檢測的風(fēng)險，使其能更全面地了解黑客攻擊的趨勢與變化，有利于信息安全人員作好網(wǎng)絡(luò)防護(hù)工作.

［1］張海芹，須文波.基于移動Agent的新型分布式入侵檢測系統(tǒng)［J］.微計(jì)算機(jī)信息，2006(8):76-77.

［2］Perkins C.Addison-wesley，DSDV:Routing over a Multi-hop Wireless Network of Mobile Computers［J］.Reading，2003(7):88-91.

［3］張新宇，卿斯?jié)h，李 琦.一種基于本地網(wǎng)絡(luò)的蠕蟲協(xié)同檢測方法［J］.軟件學(xué)報(bào)，2007(2):412-421.

［4］于 貴.網(wǎng)絡(luò)系統(tǒng)可靠性研究現(xiàn)狀及展望［J］.四川文理學(xué)院學(xué)報(bào)，2011(2):64-65.