嵌入式网络环境下的蜜罐技术研究论文

学校代码： 10289 分 类 号： TP309 密 级： 公 开 嵌入式网络环境下的蜜罐技术研究 杨三岭 江苏科技大学学 号： 江苏科技大学硕 士 学 位 论 文嵌入式网络环境下的蜜罐技术研究研究生姓名杨三岭 导师姓名 沈 勇 副教授 申请学位类别 工学硕士学位 学位授予单位 江 苏 科 技 大 学 学科专业计算机应用技术 论文提交日期 2009年11月06日 研究方向 嵌入式系统与应用 论文答辩日期 2009年12月20日 答辩委员会主席 王直 评 阅 人 二OO九年十二月二十日分类号： TP309 密 级： 公 开 学 号： 工学硕士学位论文嵌入式网络环境下的蜜罐技术研究学生姓名杨三岭指导教师沈 勇副教授江苏科技大学二OO九年十二月A Thesis Submitted in Fulfillment of the Requirementsfor the Degree of Master of EngineeringResearch on Honeypot for Embedded NetworkSubmitted byYANG SanlingSupervised bySHEN YongJiangsu University of Science and TechnologyDecember, 2009论 文 独 创 性 声 明本人声明所呈交的学位论文是由本人在导师的指导下进行的研究工作及取得的成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得江苏科技大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确地说明并表示谢意。 学位论文作者签名： 日期：学 位 论 文 使 用 授 权 声 明江苏科技大学有权保存本人所送交的学位论文的复印件和电子文稿，可以将学位论文的全部或部分上网公布，有权向国家有关部门或机构送交并授权其保存、上网公布本学位论文的复印件或电子文稿。本人电子文稿的内容和纸质论文的内容一致。处在保密期内的保密论文外，允许论文被查阅和借阅。 学位论文作者签名： 日期： 导师签名： 日期：摘 要嵌入式系统应用已渗入到工业、军事、日常生活等各个领域。随着嵌入式系统应用的普遍化和网络技术的不断发展，嵌入式网络应用将成为嵌入式系统应用的发展趋势。嵌入式网络的存在，必须要考虑网络安全方面的问题。嵌入式系统本身资源有限，无法存储和运行大型的安全工具。而且网络安全技术多是被动的防御技术，对攻击者了解不足，更无法应对层出不穷的未知攻击。蜜罐是一种主动防御技术，它不会直接给网络安全带来帮助，只是收集攻击者攻击的相关信息并分析这些信息，来研究攻击者常用的攻击方式和系统所存在的漏洞，间接的为网络安全带来帮助。随着嵌入式网络应用的广泛性，本文在嵌入式网络环境下应用蜜罐技术。本文在分析研究嵌入式网络安全及蜜罐技术的基础上，提出嵌入式蜜罐和嵌入式蜜网的思路。通过对几种典型蜜罐产品的比较，本文选择虚拟蜜罐Honeyd作为嵌入式环境下的研究对象。在分析研究Honeyd的框架结构及关键技术的基础上，对蜜罐Honeyd在嵌入式系统上进行移植，并在蜜罐移植的基础上提出对蜜罐的扩展设想。最后在嵌入式网络环境下对蜜罐进行部署并测试分析，实验结果表明，嵌入式蜜罐对嵌入式网络安全起到保护作用。关键词：嵌入式系统；嵌入式网络；蜜罐；HoneydAbstractThe application of the embedded system has filtered into industry, military affairs and some other daily life domains. With the generalization of the embedded system and the development of the embedded system, network and the Internet technology, the embedded network will become the trend of the application of the embedded system. With the existence of the embedded network, we must take attention to the security. Due to the limitation of the resources of the embedded system, it cant save and circulate large-scale security facilities. Except this, network security technologies are excessively passive defence, which knows little about attackers, not to mention that it can handle the endless unknown attacks.Honeypot is an active defense technology. It wont bring help to the network security directly, which just collects the information of the attackers and analyzes it. By doing this, then it do some researches to find the attacking methods and loopholes in the system, so it can also do much help to the network security. With the universality of the application of the embedded networks, the application of the honeypot technology in the embedded system environment is designed in this paper.This paper will firstly introduce the characteristic of the embedded network security and the honeypot technology and then take the embedded honeypot and embedded honeynet into thought. In several types of typical honeypot products, the paper chose virtual honeypot Honeyd as the research object in the embedded system environment.On the base of analysis of the critical technology and general frame of the Honeyd, transplant it into the embedded system, and then propose the extension scheme. At last, the honeypot is deployed and tested in the embedded network environment, and the result shows that embedded honeypot plays a protective effect on the embedded network security.Keywords: Embedded system; Embedded Netword; Honeypot; Honeyd目 录摘 要IAbstractII第1章 绪 论11.1 研究背景及意义11.2 蜜罐技术研究现状21.3 研究内容及论文结构3第2章 嵌入式网络安全及蜜罐技术52.1嵌入式网络安全52.1.1 嵌入式系统52.1.2 嵌入式网络62.1.3 嵌入式网络安全威胁72.1.4 嵌入式网络安全技术82.2 蜜罐技术102.2.1 蜜罐的概念及分类102.2.2 蜜罐的特点122.2.3 典型蜜罐产品132.3 嵌入式蜜罐142.4 本章小结15第3章 Honeyd框架结构及关键技术研究163.1 Honeyd的框架结构163.1.1 配置数据库173.1.2 数据包分配器173.1.3 协议管理183.1.4 特征引擎183.1.5 可选路由183.2 关键技术193.2.1 虚拟路由拓扑193.2.2 指纹匹配203.2.3 网络数据收集213.2.4 记录日志223.2.5 数据分析223.3 本章小结22第4章 嵌入式系统上Honeyd的移植及扩展234.1移植环境234.1.1 硬件环境234.1.2 软件环境234.2 Honeyd的移植244.2.1 建立编译环境254.2.2 编译基本库文件264.2.3 编译Honeyd274.2.4 交叉编译依赖文件284.2.5 安装Honeyd324.3 Honeyd的扩展方案334.3.1 协议扩展334.3.2 指纹扩展334.3.3 其它扩展344.4 本章小结34第5章 系统部署及测试分析355.1 蜜罐的部署355.1.1 面向阻止的部署355.1.2 面向检测的部署365.1.3 面向响应的部署365.1.4 面向研究的部署365.2 嵌入式网络环境下蜜罐的部署及配置365.2.1 嵌入式蜜罐的部署375.2.2 嵌入式蜜罐的配置375.3 蜜罐系统的启动395.4 系统测试415.4.1 连通性测试415.4.2 操作系统识别测试425.4.3 模拟服务测试435.4.4 路由拓扑测试455.5 数据分析455.6 本章小结46结 论47参考文献48附 录50攻读硕士学位期间发表的学术论文51致 谢52CONTENTSAbstract(Chinese)IAbstract(English)IIChapter 1 Introduction11.1 Research background and signification11.2 Research status of Honeypot technology21.3 Research contents and paper structure3Chapter 2 Embedded network security and honeypot technology52.1 Embedded Network security52.1.1 Embedded system52.1.2 Embedded Network62.1.3 Security threats about Embedded Network72.1.4 Embedded network security technology82.2 Honeypot technology102.2.1 Concept and classification of honeypot102.2.2 Characteristics of honeypot102.2.3 Typical honeypot products132.3 Embedded honeypot142.4 Summary15Chapter 3 Study on architecture and key technology of honeyd163.1 Architecture of honeyd163.1.1 Configuration database173.1.2 Packet dispatcher173.1.3 Services183.1.4 Personality engine183.1.5 Routing183.2 Key technology of honeyd193.2.1 Virtual routing topology193.2.2 Fingerprint203.2.3 Network data collection213.2.4 Recorded log223.2.5 Data analysis223.3 Summary22Chapter 4 The transplant and expansion of honeyd base on embedded system234.1 Transplant environment234.1.1 Hardware environment234.1.2 Software environment234.2 Transplant of honeyd244.2.1 Building compiling environment254.2.2 Compile basic libraries264.2.3 Compile honeyd274.2.4 Cross-compiling rely on libraries284.2.5 Installation Honeyd324.3 Expansion plan of honeyd334.3.1 Protocol expansion334.3.2 Fingerprint expansion334.3.3 Combined with other technology application expansion344.4 Summary34Chapter 5 Test and analysis base on system deployment355.1 Deployment honeypot355.1.1 The deployment face to prevent355.1.2 The deployment face to detection365.1.3 The deployment face to response365.1.4 The deployment face to research365.2 Deployment and configuration of honeypot for Embedded network365.2.1 Deployment of Embedded honeypot375.2.2 Configuration of Embedded honeypot375.3 The starting of honeypot system395.4 System test415.4.1 Connectivity test415.4.2 Operating system identification425.4.3 Simulation test service435.4.4 Network topology test455.5 Data analysis455.6 Summary46Conclusion47References48The list attached50Published papers during the period of master51Acknowledgement52第1章 绪 论本章介绍了本文的研究背景及意义，嵌入式网络安全及蜜罐技术的研究现状，以及本文的研究内容和论文整体结构安排。1.1 研究背景及意义嵌入式系统应用广泛渗入到工业、军事、日常生活等各个领域。从人们生活中使用的照相机、手机、PDA、电视、电冰箱、空调等民用电子与通信产品中，打印机、扫描仪等办公电子产品，工业控制所用控制设备，到导弹、卫星通信、潜艇等军用的控制核心，都与嵌入式系统应用有着密切的关系。互联网在经历过以“大型主机”、“服务器和PC机”、“手机和移动互联网终端(MID)”为载体的三个发展阶段后，将逐步迈向以嵌入式设备为载体的第四阶段，称之为“嵌入式互联网”。在即将到来的第四阶段中，嵌入式设备的应用将真正让互联网无处不在，人们不论是在工作、娱乐、学习甚至休息的时候，都能24小时的与互联网保持连接。据世界上最大的半导体公司英特尔公司预计，嵌入式互联网的快速崛起将到2011年时孕育出价值100亿美元，并预测，到2015年将新增150亿个嵌入式计算设备与互联网的连接1。可见，嵌入式网络是嵌入式系统发展的必然趋势，如果能有效利用，将为社会创造巨大的财富。嵌入式设备网络化后，一方面受到网络系统的影响，另一方面，由于系统自身的脆弱性，使得网络安全问题凸现出来，直接影响到嵌入式网络的发展。嵌入式系统网络同计算机网络一样，同样也存在着网络安全问题，同样会受到病毒侵入、数据截获、破坏数据、身份盗取等侵害。同时，由于嵌入式系统自身设备体积小、资源有限以及功能相对单一，因而，它的网络安全有自身的特点。嵌入式网络的安全问题关系到嵌入式系统今后的发展及应用前景。为了嵌入式网络的发展，必须促使更多的人力和物力投入到嵌入式网络安全工作中来。目前。嵌入式网络安全采用的主要技术有SSL/TLS技术、IPSec技术、VPN技术等。在国内外的一些期刊文献中已有很多对嵌入式网络安全的研究。例如，毕良军提出在嵌入式设备IP层结合IPsec安全机制与防火墙技术，建立IP层的新的嵌入式系统的安全机制2。IPSec可连续或递归应用在路由器、防火墙、主机和通信链路上，实现端到端的安全、虚拟专用网络和安全隧道技术3。宋文功在嵌入式网络安全性问题研究的基础上，将IPsec和SSL协议整合，提出一个嵌入式系统安全模型的解决方案4。匡晋湘研究了网络化嵌入式系统的安全机制，提出了一个以IPSec为基础，建立在IP层的网络化嵌入式系统安全机制5。杜皎等提出建立嵌入式网络安全设备的安全架构，并构建多层次的抗缓冲区溢出攻击机制6。由上述可见，目前对嵌入式网络安全的研究已经比较深入，但大多使用的是被动安全机制，使用主动安全防御技术的比较少。为了能更多的捕获攻击者对嵌入式网络的攻击的信息，分析嵌入式网络存在的安全问题，改善嵌入式网络的安全，应与主动安全防御技术配合使用，以更好的保证嵌入式网络安全。1.2 蜜罐技术研究现状蜜罐技术作为一种新兴的网络安全技术，已经得到国内外众多安全人士的关注和研究。目前，研究蜜罐技术的组织机构有：蜜网项目组(Honeynet projeet)、蜜网研究联盟(Honeynet Research Alliance)。蜜网项目组是由众多志愿者组成的致力于提高网络安全的非盈利性组织，它的目的是提高人们的网络安全意识、提供必要的网络安全知识、提供该组织开发的开源的工具软件。蜜网研究联盟是由各个研究蜜罐的组织组成的，它独立于蜜网项目组，拥有自己的组织结构。它的目的是：共享各个成员组织的研究、开发、部署蜜罐的相关技术及研究成果，并且完全免费向外界公布这些成果。蜜网项目组于2000年6月成立。1999年至2001年，主要在蜜罐理论的验证以及蜜罐系统模型的试验，提出了概念证明性的第一代蜜网技术架构。2002年至2004年，对第一代蜜网技术进行了发展，主要对数据控制、数据捕获、数据分析方面研究，提出了第二代蜜网技术框架，并开发了其中的关键部件HoneyWall和Sebek。在2004年推出了集成部署第二代蜜网所需的所有数据控制和捕获工具的一张自启动光盘（名为Eeyore）。2004年至2005年，蜜网项目组主要集中开发Kanga中央管理服务器，能够将各个研究团队部署蜜网所获得的数据集中上传，并提供攻击趋势分析功能。2005年5月，蜜网项目组发布了HoneyWall Roo光盘以及Sebek 3.0版，在Roo版本中，提供了一个基于Web界面的非常友好的数据辅助分析工具Walleye，使蜜网技术更加完整，Roo的发布标志着蜜网技术进入了第三代7。面对不断改进的黑客技术，蜜罐又出现了动态蜜罐 (Activate Honeypots)、蜜场(Honeyfarm)、分布式蜜网、无线蜜网等技术8。为了对目前互联网的安全威胁进行更全面的分析，扩大对攻击者的欺骗，又出现了三种新的蜜罐技术：应用层蜜罐技术9(HoneyApp)、客户端蜜罐技术10-13(HoneyClient)和蜜标技术14(Honeytoken)。我国对蜜罐技术的研究比较晚，2001年国家自然科学基金信息安全项目正式对蜜罐技术立项研究。从2002年起，我国学者对蜜网技术进行广泛的研究。最具代表性的是北京大学计算机科学技术研究所的“狩猎女神”项目，2004年9月份启动，12月份在互联网上依照第二代蜜网技术部署了蜜网。2005年2月份被接收成为世界蜜网研究联盟的成员，成为国内第一支参与该联盟的团队。于2005年9月发布了网络环境感知工具N-Eye v0.1，于2006年12月发布了HoneyBow恶意代码捕获工具15。在国内外的一些期刊文献中也有很多对蜜罐技术的研究。以本文所选用的产品型蜜罐Honeyd为例。Niels Provos提出了采用虚拟蜜罐Honeyd来检测和阻断网络蠕虫的防范框架16；高为民将网络诱骗技术、主机诱骗技术及动态配置技术结合，提出了基于虚拟蜜罐Honeyd的网络入侵诱骗模型，并设计一个基于蜜罐的网络安全系统17；官凌青提出对虚拟蜜罐Honeyd进行扩展，通过主动获取指纹信息，让Honeyd去读取这些信息并返回给攻击者18,19；江森林提出用Honeyd来诱测网络蠕虫，并对Honeyd的源代码及关键技术代码作详细分析20。上述对蜜罐Honeyd的研究都是针对Linux平台的研究。毛胜利提出在Vmware上实现蜜罐技术，设计了在Vmware上实现蜜罐的结构21。应用于Windows系统的Honeyd程序也已经出现，其开发者为Mike Davis，最新版本为Windows ports for Honeyd 1.5c22。目前，尚未发现蜜罐技术在嵌入式平台上的应用研究，只在少数文献中提到嵌入式网络安全可以用蜜罐技术和蜜网技术来实现，但并未对其深入研究23。相信，随着嵌入式网络应用的广泛性和嵌入式网络安全问题的不断凸现，在嵌入式网络环境下使用蜜罐技术将为嵌入式网络安全起到很大的作用。1.3 研究内容及论文结构本文主要针对嵌入式网络发展趋势和嵌入式网络面临的安全问题，结合嵌入式系统的特点，对嵌入式网络安全进行分析研究，重点研究了主动安全防御机制的蜜罐技术；结合嵌入式系统和蜜罐技术特点，提出了嵌入式蜜罐的思路；实现了在嵌入式平台上对蜜罐的移植，构建了一个嵌入式蜜罐，并提出了几点扩展方案；对嵌入式蜜罐在嵌入式网络环境下进行部署，验证部署的嵌入式蜜罐是否有效、功能是否达到预期目标，对部署的系统进行实验验证，并对实验结果进行分析。本文的结构安排如下：第1章介绍本文的研究背景及意义、嵌入式网络安全及蜜罐技术的研究现状，最后介绍本文的研究内容及论文各章节安排。第2章简要介绍嵌入式系统的概念，分析嵌入式网络安全威胁及防御技术，重点介绍了蜜罐技术，最后提出嵌入式蜜罐的概念。第3章分析研究蜜罐Honeyd的框架结构及采用的关键技术。第4章简要介绍Honeyd移植的环境，详细介绍Honeyd移植的过程及移植过程中出现的问题并对其分析解决，最后对移植后的Honeyd提出扩展方案。第5章分析蜜罐的部署位置，对移植后的Honeyd进行部署，为验证移植、部署的蜜罐的正确性，对其进行测试分析。在论文最后对本文进行总结，并提出了未来进一步研究的内容和方向。第2章 嵌入式网络安全及蜜罐技术本章主要对嵌入式网络安全及蜜罐技术进行研究。首先介绍嵌入式系统的概念、特点，分析嵌入式网络的应用、嵌入式网络安全威胁及嵌入式网络安全技术；接着介绍蜜罐的概念、分类、特点及典型蜜罐的分类，最后提出嵌入式蜜罐和嵌入式蜜网的思想。2.1嵌入式网络安全2.1.1 嵌入式系统嵌入式系统(Embedded System)是以应用为中心、以计算机技术为基础、软硬件可裁减，适用于对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。嵌入式系统是将先进的计算机技术、半导体技术、电子技术和各个行业的具体应用相结合后的产物，这一点就决定了它必然是一个技术密集、资金密集、高度分散、不断创新的知识集成系统。目前，嵌入式系统带来的工业年产值已超过了一万亿美元，嵌入式系统不仅在民品上而且在军事装备上也得到了广泛地应用。嵌入式系统的体系结构一般可分成四个部分：嵌入式处理器、嵌入式外围设备、嵌入式操作系统和嵌入式应用软件，如图2.1所示。图2.1 嵌入式系统结构图Fig.2.1 Embedded system structure嵌入式系统应用于特定环境下，是一种专用的计算机系统。嵌入式系统与通用计算机系统相比所具有以下特点24：(1) 系统专用性强嵌入式系统通常是面向特定应用的。嵌入式处理器与通用型CPU的最大不同在于嵌入式处理器大多工作在为特定用户群设计的系统中，它通常都具有功耗低、体积小、集成度高等特点，能够把通用CPU中许多由板卡完成的任务集成在芯片内部，从而有利于嵌入式系统设计趋于小型化，移动能力大大增强，与网络的耦合也越来越紧密。在对嵌入式系统的硬件和软件进行设计时必须重视效率，去除冗余，针对用户的具体需求，对系统进行合理配置，才能达到理想性能。(2) 系统实时性高实时系统指对外来事件能在限定的时间内作出反应的系统。嵌入式系统中的相当一部分是实时系统。高实时性是对这些系统的基本要求。(3) 系统资源有限嵌入式系统为了达到结构紧凑、坚固可靠和尽可能降低系统成本的目的，其存储容量和CPU的处理速度都比较有限。(4) 多种技术结合嵌入式系统是将先进的计算机技术、半导体技术、电子技术及机械技术与各个行业的具体应用相结合的产物。这一点就决定了它是一个技术密集、资金密集、高度分散、不断创新的知识集成系统。通用计算机系统虽然也离不开上述这些技术，但它们相互结合的紧密程度不及嵌入式系统。(5) 硬件与软件的互相依赖性强嵌入式系统的专用性决定了其硬件与软件的相互依赖性很强。两者应共同进行设计，以求达到共同实现预定功能的目的，并满足性能、成本和可靠性方面的要求。归纳嵌入式系统的几个特点如下： 软硬件一体化，集计算机技术、微电子技术和行业技术为一体； 需要操作系统支持，代码小，执行速度快； 专用紧凑，用途固定，成本敏感； 可靠性要求高； 多样性，应用广泛，种类繁多。2.1.2 嵌入式网络随着嵌入式技术和通信技术的发展，二者之间已呈现出更多的融合趋势：一方面嵌入式设备被更多地连接到互联网上，成为互联网接入终端；另一方面这些设备之间也越来越多地实现了互联互通。嵌入式系统应用到各种行业，覆盖航空、航天、交通、网络、电子、通讯、金融、智能电器、智能建筑、仪器仪表、工业自动控制、数控机床、掌上型电脑、智能IC卡、第二代身份证验证、公共交通收费系统、医药系统以及军事等等各种领域。目前最值得关注的嵌入式产品市场如下1：(1) 网络设备：随着下一代Internet的研发成功和投入使用，必然要有更多更强的嵌入式网络设备和产品面世，这意味着巨大的嵌入式网络设备和产品市场需求。嵌入式系统也在向无线网络发展，它有望部署到住宅及商用建筑自动化、工业设备监测以及其他无线传感和控制应用中。(2) 家庭信息网络：家用电器已经开始向数字化和网络化发展，电视机、微波炉、数字电话等都将嵌入微处理机通过家庭网关与Internet连接，构成家庭信息网络。不论是高度集成的智能数字终端，还是各类数字融合产品，都离不开嵌入式系统的支持，嵌入式系统是家庭信息网络、IT融合的重要技术基础。(3) 交通电子设备：汽车智能驾驶设备、汽车模拟驾驶器、汽车喷油泵调试台、轮船智能驾驶设备等都面临更新换代，而这类新型设备都离不开嵌入式系统。因此，嵌入式系统在交通指挥系统、高速公路收费监控、汽车自导航、GPS车载终端、电子警察和汽车检测中的将会拥有良好的市场前景。(4) 移动计算设备：移动计算设备包括手机、PDA、掌上电脑等各种移动设备。中国拥有最大规模的手机用户，而掌上电脑或PDA由于易于使用、携带方便、价格便宜，未来几年将在我国得到快速发展。同时使用掌上电脑或PDA上网，人们可以随时随地获取信息，PDA与手机已呈现融合趋势。(5) 测控仪器仪表：测控仪器仪表种类繁多，而新型的测控仪器仪表无一不是嵌入式系统。此外，在工控和仿真领域，嵌入式设备也早已得到广泛应用。中国的工业生产需要完成智能化、数字化改造，而智能控制设备、智能仪表、自动控制等，这些都为嵌入式系统提供了巨大的市场。从以上目前值得关注的嵌入式产品可以看出，嵌入式产品的应用都与网络联系在一起，嵌入式网络具有巨大的发展空间和应用前景。2.1.3 嵌入式网络安全威胁嵌入式网络面临的安全威胁多种多样，它与一般的计算机网络所遇到的安全威胁有类似之处。嵌入式网络的应用领域比较广泛，在不同的应用中，所面临的安全威胁有不同程度的差异。本小节对嵌入式网络一般的安全威胁分析如下。(1) 欺骗：是指攻击者装扮成一个合法用户非法地访问受害者的资源以获取某种利益或达到破坏的目的。在没有安全机制的TCP/IP网络中，自下而上的地址标识即MAC地址、IP地址、TCP端口号都是通过明文传输，而且，对于这些地址标识的修改又出人意外的简单。因此在同一网段上任何用户所采用的监听和仿冒都是隐藏的危险。(2) 嗅探：是指攻击者通过对传输介质的监听非法地获取传输的信息。在嗅探过程中，将网卡设置成混杂模式就可以接收信道中所有的广播信息、用户口令、信用卡号、电子邮件等机密信息。攻击者只需要接入以太网上的任一节点进行监听，就可以捕获这个以太网上的所有数据包，通过对这些数据包进行解码、重组分析，就能窃取关键信息，从而会给用户和系统带来极大的损失。(3) 冒充：就是一个实体假装成另一个不同的实体。冒充常与某些别的主动攻击形式一起使用，特别是消息的重演与篡改。例如，鉴别序列能够被截获，并在一个有效的鉴别序列发生之后被重演。特权很少的实体为了得到额外的特权可能使用冒充装扮成具有这些特权的实体。(4) 重演：当一个消息或部分消息为了产生非授权效果而被重复传送时出现重演。例如，一个含有鉴别信息的有效消息可能为另一个实体所重演，目的是鉴别它自己（把它当作其它实体）。(5) 拒绝服务：当一个实体不能执行它的正当功能，或它的动作妨碍了别的实体执行它们的正当功能的时候便发生服务拒绝。这种攻击可能是一般性的，比如一个实体抑制所有的消息，也可能是有具体目标的，例如一个实体抑制所有流向某一特定目的端的消息，如安全审计服务。这种攻击可以是对通信业务流的抑制，如本例中所述，或产生额外的通信业务流。也可能制造出试图破坏网络操作的消息，特别是如果网络具有中继实体，这些中继实体根据从别的中继实体那里接收到的状态报告来作出路由选择的决定。2.1.4 嵌入式网络安全技术为了解决嵌入式网络面临的各种威胁与攻击，用到各种嵌入式网络安全技术。嵌入式网络安全一般采用的安全技术如图2.3所示23。图2.2 嵌入式网络安全技术Fig.2.2 Embedded network security technology(1) 加密技术加密技术是一种最基本的安全技术，目的是保护数据、文件、口令以及其它信息在网上安全传输。按照收发双方密钥是否相同，可把常用的加密算法分为对称加密和非对称加密两种。在对称加密算法中，收发双方使用相同的密钥。对称加密算法有保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传送，密钥的分发是一个比较复杂的问题。在非对称加密算法中，收发双方使用的密钥互不相同，而且几乎不可能由加密密钥推导出解密密钥。比较著名的公开密钥算法有RSA、ECC、背包密码等，其中以RSA算法应用最为广泛。加密技术最终将被集成到系统和网络中，如在下一代IPV6协议中就内置了加密支持。(2) 防火墙技术防火墙是内部网与外网之间实施安全防范的系统，可以认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部。该技术是目前用得较多的一种安全技术。防火墙大多放在网关上，因此在上网的嵌入式设备上使用非常方便，效果也很好，并可以减轻嵌入式产品自身的安全设计负担。但是，防火墙存在一些防火墙本身不能防范的安全威胁，如防火墙不能防范不经过防火墙的攻击。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。(3) 身份认证技术身份认证是任何一个安全的设备所必需的组成部分，它是指用户向系统出示自己身份证明的过程。身份认证必须做到准确无误地将对方辨认出来，同时还应提供双向认证，即互相证明自己的身份。身份认证机制主要有传统口令机制、Shadow口令机制，采用挑战、应答机制的强制用户认证机制和数字签名等。其弱点是用户的认证信息在传输和存储过程中可能被破解、窃取和盗用。(4) 访问控制技术访问控制是在保障授权用户能获得所需资源的同时拒绝非授权用户的安全机制，在用户通过身份认证后，访问控制机制将根据预先设定的规则对用户访问某项资源进行控制，只有规则允许时才能访问，规则不符合则拒绝访问。访问控制的目的是为了限制访问主体对访问客体的访问权限。访问控制一般包括自主访问控制(Discretionary Access Control, DAC)、强制访问控制(Mandatory Access Control, MAC)和基于角色的访问控制(Role Based Access Control, RBAC)三种类型。访问控制一般被集成到应用程序和系统软件内。它的弱点是可能会被攻击者绕过，安全策略也可能出现漏洞。以上四种是通常采用的安全技术，还有一些主动安全技术，如下：(5) 虚拟专用网技术(Virtual Private Network, VPN)虚拟专用网(VPN)是在两台计算机之间建立一条专用连接，通过附加的安全隧道、加密和密钥管理、用户认证和访问控制等技术实现与专用网类似的安全性能，达到在公共网络上建立虚拟的逻辑网络，从而安全传输私有的重要数据的目的。其网络使用简单、方便、灵活，采用虚拟专线形式和隧道加密技术，安全性比普通的接入线路要高。VPN的关键技术性安全大体都是建立在三原体（加密、封装、身份验证）之上的，将这三种混合在一起相互利用又可以组合成多种安全技术，如：SSL/TLS、隧道技术。IPSec是最为流行的并被采用最广泛的VPN技术，使其在没有任何基础安全设施的环境中加密数据流从而形成信息安全隧道25。(6) 入侵检测入侵检测系统(IDS, Intrusinon Detection System)是网络安全防护体系的重要组成部分。IDS是一种主动的网络安全防护措施，它从系统内部和各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击。常见的入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包，担负着保护整个网段的任务。弱点是可能漏报和误报，自身也可能被入侵攻击。(7) 蜜罐和蜜网技术蜜罐是一种主动防御技术，它没有任何业务上的用途，其价值就是吸引攻击者对其进行非法的使用。蜜罐技术本质上是一种对攻击者进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务及信息诱使攻击者对其攻击，减少对实际系统造成的安全威胁。蜜网技术实质上仍是一种蜜罐技术，但它与传统的蜜罐技术相比具有两大优势：首先，蜜网是一种高交互型的用来获取广泛的安全威胁信息的蜜罐，高交互意味着蜜网是用真实的系统、应用程序以及服务来与攻击者进行交互；其次，蜜网是由多个蜜罐以及防火墙、入侵检测系统、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构，这种体系结构创建了一个高度可控的网络，使得安全研究人员可以控制和监视其中的所有攻击活动，从而去了解攻击者的攻击工具、方法和动机26。2.2 蜜罐技术2.2.1 蜜罐的概念及分类(1) 蜜罐的概念“蜜网项目组”的创始人Lance Spitzner给出了对蜜罐的权威定义：“蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷27。”这个定义表明蜜罐并无其它实际作用，因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。(2) 蜜罐的分类根据不同的分类标准可以对蜜罐技术进行不同的分类，下面讨论常见的两种分类方式：根据产品设计的目的分类和根据交互度分类。 根据设计目的分类根据蜜罐设计的目的可以分为产品型蜜罐和研究型蜜罐27。产品型蜜罐是为了减轻受保护组织将受到的攻击威胁，检测并对付恶意攻击者。它有助于减轻组织或环境中存在的风险，为系统及网络的安全保障提供特定的价值。在阻止安全方面，它采取欺骗和威慑技术。在检测方面，由于蜜罐的简洁性，它能有效地解决检测所面临的错报、漏报和数据整合的三大问题。在响应方面，蜜罐能够帮助解决提供反抗能力面临的数据污染的难题。研究型蜜罐是为了研究和获取攻击信息。研究型蜜罐通过提供一个了解计算机威胁的平台，在信息收集方面提供了广泛的价值。通常研究型蜜罐并不能减少组织的风险，但可以应用所了解的信息，诸如如何改进、检测和反应。如果组织试图改善其产品环境的安全性，就要考虑容易实现和维护的产品型蜜罐。如果组织感兴趣的是了解更多的威胁，则要考虑使用研究型蜜罐。 根据交互度分类按照交互度的不同，可以把蜜罐分为：低交互度蜜罐、中交互度蜜罐和高交互度蜜罐27,28，这三种不同的交互度也可以说是蜜罐在被入侵程度上的不同，但三者之间没有明确的分界。低交互度蜜罐一般仅模拟操作系统和某些网络服务，一般设计简单且功能少，容易安装、配置、部署和维护。它仅仅在一些特定的端口上模拟了少量的服务，攻击者与它的交互也被限于预指定的服务。在低交互度蜜罐中攻击者不能攻击真实的系统，只能与蜜罐虚拟出来的服务打交道，因此大大减少了风险29。中交互度蜜罐为攻击者提供的交互能力比低交互度的蜜罐多些，它们能够预期一些活动，并且可以提供一些低交互度蜜罐所无法给予的响应。通常要花费更多的时间去安装和配置。与低交互度蜜罐相比它的部署和维护是一个更为复杂的过程。这种类型蜜罐必须要进行日常维护，以应对新的攻击。由于它具有较大的复杂度，所以出错的风险也相应增大，另一方面它可以收集到更多攻击者的信息。高交互度蜜罐不再是提供模拟的服务，而是提供一个实际操作系统，入侵者与一个真实存在的系统打交道。这样的一个系统被攻击的可能性大大提高，从而可以收集到更多、更丰富的入侵者的信息。然而，面临的风险也大大增加。高交互度蜜罐的安装和配置是极为困难和耗时，它的开发和维护都较复杂。使用哪种交互度的蜜罐取决于所要实现的目标。表2-1中从多个方面总结了不同交互级别间的权衡。这些范畴有助于判断何种级别的交互度最适合自己所在的组织。表2.1 三种不同交互度的蜜罐对比Table2.1 Comparison between three different interaction degree低交互度蜜罐中交互度蜜罐高交互度蜜罐所受威胁的程度低中高信息收集少中多运行难度低低高开发难度低高较高维护时间低低很高2.2.2 蜜罐的特点相对于其他安全工具，蜜罐也有自己的优点和缺点28。本小节将分别讨论蜜罐的优缺点。(1) 蜜罐的优点 使用简单。相对于其他安全措施，蜜罐最大的优点就是简单。蜜罐不涉及到任何特殊的计算，不需要保存特征数据库，也不需要进行配置的规则库。某些蜜罐特别是研究型蜜罐可能会复杂一些。但是所有的蜜罐都只有一个简单的前提：如果有人连接到蜜罐，就将他检测出来并记录下来。越简单就越可靠，而其他较为复杂的安全工具则要面对包括错误的配置、系统崩溃和失效在内的多种威胁。 资源占用少。蜜罐仅对那些尝试与自己建立连接的行为进行记录和响应，仅捕获进入系统的所有数据，因而，不会发生数据溢出和资源耗尽的情况。很多蜜罐都是模拟的服务，不会为攻击者留下可乘之机，成为攻击者进行其他攻击的跳板。因此，蜜罐并不像其他的安全设备（如防火墙和IDS探测器等）那样需要昂贵的硬件设备支持。用户所需做的是将一台没有多少用处的旧机器放置在