（通信与信息系统专业论文）基于honeypot技术的网络信息安全研究.pdf

西北【：业人学硕士论义：基于h o n e y p o t 技术的网络信息安全影 ：究 1 摘要 随着网络技术的飞速发展和i n t e r n e t 的广泛使用，信息安全问题日益突出已 成为众多研究中的一个热门课题。本文在讨论传统h o n e y p o t 系统的基础上，结合 当前流行的入侵检测技术，设计并实现了一个基于h o n e y p o t 技术的信息安全系 统。 该h o n e y p o t 系统采用与操作系统无关的w i n p c a p 开发包实现了数据捕获模 块的设计，增强了系统在不同操作平台上的可移植性。系统还采用多媒体定时器 和多线程编程技术完成了对所捕获数据包的高效解码处理：在设计过程中还结合 可视化编程按术，实现了对网络信息勺实时监控。 该h o n e y p o t 系统通过监控进程的隐蔽以及对事件数据库和关键配置文件的 保护，大大提高了系统的隐蔽性与安全性。而系统利用事件数据库记录所发生的 攻击行为，使得本系统具有强大的资源监视功能和事后分析能力。 本文对所设计的 | o n e y p o t 系统已经采用的各种安全措施进行了分析，并将 其放置在特定的测试环境中，测试了其对网络中多种常见入侵行为的抵抗能力： 并对网络实际测试结果进行了分析。 关键词信息安全：h o n e y p o t ：协议分析；模式匹配；数据库 a bs t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n dt h ea p p l i c a t i o no fi n t e r n e t ，t h e p r o b l e mo fi n f o r m a t i o ns e c u r i t yb e c o m e sm o r ea n dm o r ea c u t e a n dh a sb e c a m ca n i m p o r t a n ta n di m m i n e n tq u e s t i o n i nt h ep a p e r , b a s e do nt h et r a d i t i o n a l h o n e y p o t s y s t e m ，an e ws y s t e mo fi n t b r r n a t i o ns e c u r i t y , w h i c hw a sc o m b i n e dw i t ht h ei d s t e c h n o l o g y , w a sd e s i g n e d b yu s i n gt h ei n d e p e n d e n to p e r a t i n g - s y s t e ml i b r a r yo f w i n p c a p ，t h em o d u l eo fd a t a c a p t u r ew a sd e v e l o p e d ，w h i c he n h a n c e dt h ef l e x i b i l i t yo ft h ei n f o r m a t i o ns e c u r i t y s y s t e mo nd i f f e r e n tu p e r a t es y s t e m w i d rt h ep r o g r a m m i n gt e c l u a i q u e so fm u l t i m e d i a a n dm u l t i t h r e a d i n g ，t h ee f f e c t i v e l yp r o c e s s i n go ft l l e c a p t u r e dd a t aw a sa c h i e v e d i n a d d i t i o n ，t h er e a lt i m em o n i t o r i n go fi n t e r n e ti n f o r m a t i o nw a so b t a i n e db yt h ev i s u a l p r o g r a m m i n g b yt h em e t h o d so fc o n c e a l i n gt h em o n i t o r i n gc o u r s ea n dp r o t e c t i n gt h ee v e n t d a t a b a s ea n d i m p o r t a n tc o n f i g u r a t i o nf i l e s ，t h es e c u r i t y o f s y s t e m w a s g r e a t l y i m p r o v e d a n e v e n td a t a b a s e ，w h i c hr e c o r d e da l li n t r u s i o n s ，w a sd e v e l o p e d i nt h i s t h e s i s ，a l l t h e s a f e t ym e a s u r eu s e di nt h eh o n e y p o ts y s t e mh a v eb e e n r e s e a r c h e d ，a n dw ep u tt h i ss y s t e mi nad e s i g n e de n v i r o n m e n tt ot e s ti t sa b i l i t ya g a i n s t s o m ea t t a c k sw h i c ha r ec o m m o ns e e nt h r o u g hi n t e r a c t ，a n df i n a l l yw ea n a l y s i st h e r e s u l to f t h er e a lt e s to ni n t e r n e t k e yw o r d s ：i n f o r m a t i o ns e c u r i t y ；h o n e y p o t ；p r o t o c o la n a l y s i s ；p a t t e r nm a t c h 西北工业大学硕士论文： 基于h o n e y p o t 技术的网络信息安全研究 1 第1 章绪论 1 1 引言 i n t e r n e t 近几年在国内和世界范围内都得到了突飞猛进的发展。它采用的 t c p r p 协议成功地解决了不同硬件平台、软件平台和不同系统之间的兼容问题； 其b c 模式使得i n t e r n e t 极易扩充；i n t e r n e t 提供的电子邮件( e m a i l ) 、远程 登陆( t e l e n t ) 、文件传输( f t p ) 、w w l v 等服务，极大地方便了人们的信息交换和信 息共享，i n t e r n e t 逐渐成为人们日常生活中必不可少的工具。同时计算机和互联 网的迅猛发展以及应用领域的不断扩展，电子商务、公共网站、金融电子化等新 兴产业的不断出现使得人类社会对信息网络的依赖程度越来越大。 但是随着计算机信息技术与网络技术的迅猛发展，i n t e r n e t 所具有的开放 性、国际性和自由性在增加应用自由度的同时，开放式网络体系的安全隐患日益 明显的开始暴露出来，各种计算机安全事件不断发生。 1 9 8 8 年，r d b e r tt m o r r i s 向i n t e r n e t 上传了蠕虫病毒，病毒迅速扩散感 染了6 0 0 0 多个系统几乎占当时互联网机器的1 1 0 ，一时间网络陷入瘫痪。 2 0 0 0 年2 月，美国8 大著名网站被“黑”，克林顿总统亲自召开网络安全会 议并拨款2 0 亿美元。就在此时，一种崭新的攻击手法被发现- - d d o s 分布式拒绝 服务攻击( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 。 2 0 0 1 年7 月，红色代码( c o d er e d ) 最初9 小时就感染了2 5 万台电脑。红色 代码在全球已经造成约2 6 亿美元的损失，其变种迄今仍在网络中肆虐。 2 0 0 3 年1 月2 5 日北京时间1 3 时3 0 分到1 9 时3 0 分的6 个小时里，全球互 联网受到前所未有的安全威胁，亚洲、北美和欧洲的网络全部陷入瘫痪或者半瘫 痪状态。这个名叫w i n 3 2 s q l e x p w o r m 的病毒体具有极强的传播性，很多企业的 服务器被感染引起网络瘫痪。直到2 6 日晚，蠕虫王才得到初步控制。 2 0 0 3 年8 月1 1 日，一种名为“冲击波”( w o r m _ m s b l a s t a ) 的新型蠕虫病毒 开始在国内互联网和部分专用信息网络上传播。该病毒传播速度快、影响范围广， 对计算机正常使用和网络运行造成严重影响。 黑客攻击给企业和个人带来了难以估计的损失。2 0 0 3 年美国联邦调查局的调 查报告显示，网络黑客已经袭击了美国8 5 的主要公司、政府机关和其他些机 构。美国企业每天因黑客造成的损失超过数百万美元。 一 我国的信息化进程虽然刚刚起步，但是发展迅速，计算机网络在我国已经迅 速普及；网络也已经渗透到国民经济的各个领域，渗透到我们工作生活的方方面 p 目北工业大学坝士论文： 基十h o n e y p o t 技术的网络信电安全研究2 面。在短短的几年中，发生了多起针对、利用计算机网络进行犯罪的案件，给国 家、企业和个人造成了重大的经济损失和危害，特别是具有行业特性的犯罪，例 如金融部门等，更是令人触目康心。 扶以上事实可以看出，随着网络向宽带、无线方向发展，其安全问题的矛盾 也进一步突出并激化。比如在宽带网络中，永久域名地址使黑客攻击更加容易： 由于网络传输速度大大提高，黑客可以更迅速地扫描i p 地址，尝试密码直到进 入系统，从而盗窃或捣毁文件。而在无线移动通信领域，由于目前无线网络缺乏 严密的安全措施，开放式 f l a p 的无线设备在软件更新或进行其他简单操作时极有 可能遭受攻击。 严峻的现实让人们清醒的意识到计算机和网络的发展离不开信息安全技术 的保障，从而使得信息安全成为研究的个热门课题。 1 2 信息系统安全的定义 2 0 世纪8 0 年代，美国国防部基于军事计算机系统的保密需要，在7 0 年代的 基础理论研究成果的保密模型( b e l l l ap a d u l a 模型) 的基础上，制定了“可信 计算机系统安全评价标准”( t c s e c ) ，其后又制定了关于网络系统、数据库等方 面的一系列安全解释，形成了安全系统结构的最早原则。 2 0 世纪9 0 年代初，英、法、德、荷四国针对t c s e c 准则的局限性，联合提 出了包括保密性、完整性、可用性概念在内的“信息技术安全评价准则”( t i s f c ) 。 由于该模型中并没有给出综合解决问题的理论模型方案，近年六国七方( 美国国 家安全局和国家技术标准研究所、加、英、法、德、荷) 又共同提出了“信息技 术安全评价通用准则”( c cf o r i ts e c ) 。c c 综合了国际上现有的评审标准和技 术标准的精华，给出了框架和原则要求。 国际标准化组织( i s o ) 将“信息系统安全”定义为：“为数据处理系统建立和 采取的技术的和管理的安全保护，保护计算机硬件、软件数据不受偶然或恶意的 原因而遭到破坏、更改和泄露，使系统连续正常运行”。该定义着重于动态意义 的描述。信息系统安全内容包括两方面：即物理安全和逻辑安全。物理安全指系 统设备及相关设施受到物理保护，免于破坏、丢失等；逻辑安全包括信息完整性、 保密性和可用性。信息安全可分为三个类别：完整性、机密性和可用性。 ( 1 ) 完整性( i n t e g r i t y ) 在信息安全领域完整性的定义分为两种：一种是 数据完整性，指数据的质量、正确性、真实性和实效性；另一种是系统中存储信 息的精确性。系统完整性指可成功和正确操作系统资源。 这些定义指明维护完整性的目的是防止未授权用户对系统进行修改以及授 权用户对系统进行不适当的修改。完整性攻击主要包括： 认证攻击 会话劫持 基于内容的攻击 协议攻击 访问过程的疏忽 恶意的数据输入 滥用特权 信任关系泄露 后门的泄露 ( 2 ) 保密性( c o n f i d e n t i a l i t y )在系统中，有保密性限制的信息只能在安全策 略允许的情况下才能被访问。保密性分为网络传输保密性和数据存储保密性。在 商业领域和军事领域，信息安全尤为注重信息的保密性。保密性攻击包括： 使用疏忽 信息拦截 社交工程 v a n - - e c k b u g g i n g ( 攻击1 隐蔽通道 数据聚合 ( 3 ) 可用性( a v a i l a b i l i t y )可用性是指信息可被合法用户访问并能按要求顺 利使用的特性，即在需要时可以取用所需信息。对可用性的攻击就是阻断信息的 可用性，例如破坏网络和有关的正常运行。保证可用性，首先要保证数据的完整 性，其次还要保证系统的正常运转，使网络上不会出现严重的拥挤，以免用户在 请求数据时，数据不能被及时的传过来。 近年来，随着信息技术的飞速发展，国内外的研究人员认为信息安全分类应 该有“四种”或“五种”即增加信息的可控性与可靠性。 ( 4 ) 可控性( c o n t r o l l a b i l i t y )可控性是指授权机构可以随时控制信息的机密 性。美国政府所提倡的“密钥托管”、“密钥恢复”等措施就是实现信息安全可控 性的例子。 ( 5 ) 可靠性( r e l i a b i l i t y ) 可靠性是指以用户认可的质量连续服务于用户的 特性( 包括信息的迅速、准确、连续的转移等) ，但也有人认为可靠性是人们对 信息系统而不是对信息本身的要求。可靠性可用以下公式说明： 啼陛2 两纛鬻鬻 提高可靠性的具体措施包括：提高设备质量、严格质量管理、配备必要的冗 余和备份、采用容错、纠错和自愈等措施，选择合理的拓扑结构和路由分配。 1 3 网络安全的现状 1 3 1 网络安全面临的威胁特点 2 0 0 3 年的恶意代码以及黑客攻击手段有三个特点：传播速度惊人、受害面惊 人和穿透深度惊人。 ( 1 ) 传播速度： “大型推土机”技术( m a s sr o o t e r ) 是新一代规模性恶意代码所 具备的显著功能。这些代码不仅能实现自我复制，还能自动攻击内外网上的其它 主机，并以这些受害主机为攻击源继续攻击其它网络和主机。用这些代码设计的 多线程繁殖速度极快，一个新蠕虫在一夜之间就可以传播到互联网的各个角落。 ( 2 ) 受害面：2 0 0 3 年，各国能源、交通、金融、化工、军事、科技和政府 部门等关键领域的信息化程度较上一年都有所提高，这些领域用户的计算机网 络，都直接或间接地与i n t e m e t 有所联系。各种病毒、蠕虫等恶意代码和各种黑 客攻击，通过i n t e r a c t 为主线，对全球各行业的计算机网络用户都造成了严重的 影响。 ( 3 ) 穿透深度：蠕虫和黑客越来越不满足于只攻击在线的网站，各种致力 于突破边界防线的攻击方式层出不穷。一个新的攻击手段，第一批受害对象是那 些2 4 小时在线的网站主机和各种网络的边界主机；第二批受害对象是与i n t e m e t 联网的，经常收发邮件的个人用户；第三批受害对象就是其它二线内网的工作站； 终极的受害对象很可能会波及到生产网络和关键资产主机。 1 3 2 网络安全现存的攻击种类 通常，对数据通信系统的威胁主要包括：信息或其他资源的破坏；信息的误 用或篡改：信息或其他资源的被窃、删除或丢失：信息的泄漏：服务的中断。 威胁分为主动威胁或被动威胁。这其中主动攻击意在对系统中所含信息的篡 改或对系统的状态及操作的改变，一个非授权用户不怀好意的改动路由选择器就 是一个例子。因此主动攻击主要威胁信息的完整性、可用性和真实性。而被动攻 击是指攻击者只是观察和窃取数据而不干涉信息流，它的实现不会导致系统中所 两北1 业人学坝士论文： 基于h o n e y p o t 技术的蒯络信息蜜j 牟= i _ | f 究 5 含信息的任何改动，而且系统的操作与状态也不会被改变。被动威胁的一种实现 就是使用消极的搭线窃听办法以观察通信线路上传送的信息。因此被动攻击主要 威胁信息的保密性； 几种典型的攻击方式： ( 1 ) 欺骗( s p o o f i n g )一种发起主动攻击的手段，主要目的是掩盖攻击者的 真实身份，使攻击者看起来像正常用户或者嫁祸于其他用户。在没有安全机制的 t c p i p 网络中，自下而上的地址标识即m a c 地址、i p 地址、t c p 端口号都是通 过明文传输，而且，对于这些地址标识的修改又出人意外的简单。因此在统一网 段上任何用户所采用的监听和仿冒都是隐藏的危险。 ( 2 ) 嗅探( s n i f f l n g )一种被动的攻击方式。通过对计算机的网络接口截 耿网上传输的数据报文，从中获得有价值的信息。在嗅探过程中，将网卡设置成 混杂模式就可以接收信道中所有的广播信息、用户口令、信用卡号、电子邮件等 机密信息。攻击者只需要接入以太网上的任一节点进行监听，就可以捕获这个以 太网上的所有数据包，通过对这些数据包进行解码、重组分析，就能窃取关键信 息，从而会给用户和系统带来极大的损失。 此外，无线s n i f f e r 也是威胁无线网络安全性的强有力工具。无线网络常用 w e p fw i r e de q u i v a l e n tp r i v a c y ) j j i 密手段，安全性非常脆弱。攻击者只要一个装有 类似n e t s t u m b l e r 的膝上型电脑和一根廉价的天线，并使用类似a i r s n o r t 或者基于 i a v a 的m o g n e t 等无线s n i f f e r 工具，就可以截获无线网络的通信数据。随后攻击 者还可以使用a i r s n o r t 对w e p 的解密功能对信息进行解密。在监听数百万个无线 网络连接的数据包后，a i r s n o r t 就能确定用于保护用户数据的密钥。 ( 3 ) 缓冲区溢出最为常见的一种安全漏洞形式，针对此漏洞的攻击占了 远程网络攻击的绝大多数。这种攻击可使一个匿名的i n t e m e t 用户有机会获得一 台主机的部分或全部的控制权。通过往程序的缓冲区写超出其长度的内容，造成 缓冲区溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令 被放在系统权限的内存中，那么一旦这些指令得到了运行，攻击者就以系统权限 控制了系统，达到了入侵的目的。 ( 4 ) 流量分析因为网络信息系统的所有结点都能访问全网，所以通过对 网上信息流的观察和分析就可以推断出网络上数据的信息，如有无传输、方向、 频率等。 ( 5 ) 拒绝服务( d o s )利用合理的服务请求来占用过多的服务资源。只要服 务超载，服务资源就无法响应其他的请求。这些服务资源包括网络带宽，文件系 肚北= 业大学碉十论义： 基于h o n e y p o t 技术的删络信息安全埘究 6 统空问容量，开放的进程数等。这种攻击会导致资源的匮乏，无论计算机的处理 速度多么快，内存容量多么大，互联网的速度多么快都无法避免这种攻击带来的 后果。 ( 6 ) 特洛依木马是一个秘密安装到目标系统上的具有特殊功能的程序。木 马的实质就是一个网络客户机服务器程序，被控制端( 即目标系统) 成为一台 服务器，控制端就是客户机。当目标计算机启动时，木马程序随着启动，然后在 某一特定的端口监听。通过监听端口收到命令后，木马程序就根据命令在目标计 算机上执行一些操作，如传送或删除文件、窃取口令、重新启动计算机等。 ( 7 ) 蠕虫在2 0 0 2 年流行的病毒中蠕虫病毒仍然占据了很大一部分。通过 e m a i l 或者网页，甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染 速度非常快，借助于互联网可以在短短几天传播到世界各地。蠕虫发展手段的高 明性，以及破坏的危害性都使得计算机网络安全受到的威胁激增。 ( 8 ) 利用程序自动更新存在的缺陷一些主流软件供应商允许用户通过 i n t e r n e t 自动更新他们的软件。通过自动下载最新发布的修复程序和补丁，减少 配置安全补丁所耽误的时间。但是攻击者能够通过威胁厂商w e b 站点的安全性， 迫使用户的请求被定向到攻击者自己构建的机器上。当用户尝试连接到厂商站点 下载更新程序时，真正下载的程序却是攻击者的恶意程序。按照这种方式，攻击 者就能利用软件厂商的自动更新w e b 站点传播自己的恶意代码和蠕虫病毒。 由此看出，要想建立一个绝对安全的系统是不可能的，安全是相对的，我们 只能通过一些技术措施来提高系统的安全性。 1 33 网络安全的对策和相关技术 网络安全的对策包括管理对策和技术对策。管理对策需要形成一套完整的、 适应于网络环境的安全管理制度，并且要求管理员认真实施。这些制度包括人员 管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期 清理制度等；而技术对策则包括基于密码体制的安全措施和非密码体制的安全措 施，前者包括：身份鉴别技术、数据加密技术等。后者则有防火墙技术、路由选 择、入侵检测技术等。 ( 1 ) 身份认证技术身份认证是任何一个安全的计算机所必需的组成部分， 它是指用户向系统出示自己身份证明的过程。身份认证必须做到准确无误地将对 方辨认出来，同时还应提供双向认证，即互相证明自己的身份。身份认证是判明 和验证通信双方真实身份的重要环境。用户认证机制主要有传统口令机制， s h a d o w 口令机制，采用挑战、应答机制的强用户认证机制和数字签名等。身份认 证技术是互联网e 信息安全的第一道屏障。 ( 2 ) 访问控制技术访问控制阻止非授权用户进入网络，同时防止任何对计 算机资源和通信资源的非授权访问。它根据用户的身份赋予其相应的权限，也就 是觇按事先确定的规则决定何种主体对何衬客体具有 可秘操作能力。访问控制主 要通过注册口令，用户分组控制，文件权限控制三个层次来实现。它一般与身份 认证一起使用，以实现不同安全级别的信息分级管理。 ( 3 ) 数据加密技术数据加密技术是种最基本的安全技术，目的是保护数 据、文件、口令以及其它信息在网上安全传输。按照收发双方密钥是否相同，可 把常用的加密算法分为对称加密( 秘密密钥) 和( 公开密钥) 两种。对称加密算 法中，收发双方使用相同的密钥，例如美国的d e s 、欧洲的m e a 等。对称加密 算法有保密强度高、加密速度快等优点，但其密钥必须通过安全的途径传送，因 此密钥的分发是一个比较复杂的问题。在非对称加密算法中，收发双方使用的密 钥互不相同，而且几乎不可能由加密密钥推导出解密密钥。比较著名的公了1 ：密钥 算法有：r s a 、e c c 、背包密码等，其中以r s a 算法应用最为广泛。加密技术最 终将破集成到系统和网络中，如在下一代i p v 6 协议中就内置了加密支持。 ( 4 ) 防火墙技术防火墙是最成熟和基本的一种网络安全防范技术，是一种 计算机硬件和软件相结合的技术，是一个或一组网络设备。它在受保护网与外部 弼之间构造一个保护层强制所有出入内外阿的数据流必须通过。通过监测、限 制或更改跨越防火墙的数据流，尽可能地对外部网络屏蔽有关受保护网络的信息 和结构，从而实现对网络的安全保护。 防火墙有很多类型，大致可以分为两类：一类是基于包过滤型( p a c k e t f i l t e r ) ， 另一类是基于代理服务( p r o x ys e r v i c e ) 。现在防火墙技术领域广泛采用应用层的 代理技术为主、网络层包过滤技术为辅的方式构建防火墙系统。 ( 5 ) 网络扫描网络扫描是一种主动的安全技术，它主要是对端口扫描和对 漏洞扫描。前者用于探测对方系统所开放的网络服务类型；后者则是通过对系统 当前的状况进行扫描、分析来发现系统、网络中的安全隐患，找出其中容易被黑 客利用的弱点，并报告给管理员。 ( 6 ) 入侵检测对计算机1 两络或计算机系统中的若干关键点收集信息并对 其进行分析，发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。 常见的入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日 志、应用程序日志等作为数据源，保护的一般是所在的系统。网络型入侵检测系 统的数据源则是网络上的数据包，担负着保护整个网段的任务。 明北【业犬学硼_ 上论文： 基于h o n e y p o t 技术的网络信息安全研究8 从以上可以看出，现有的网络安全防护措施共有的特点就是采用拒绝型防御 策略，即根据特定的需要指定一系列的访问策略同时拒绝不符合指定策略的访 问。如进入防火墙的数据不符合防火墙的规则，就不让通过：没有密钥就无法通 过正常渠道得到解密的数据等。这些防护措施好比是一座围墙，将信息围在墙内。 在墙上开一个门，在门口设保卫如防火墙等。要访问信息必须首先通过保卫的检 查。但是，这种方式无法防范翻越围墙或通过挖掘地道的方式进入的攻击者：即 使墙上墙下都设置了防护手段，仍然不能防止伪装身份的欺骗。对于攻击，没有 任何网络是安全的，目前的防御方式在发挥它们强大的守卫功能时，有它的不足 之处。它的防御机制很强大，但是发现和防御的能力不够，不能确切知道或预测 入侵者的攻击手段或目标，不能以此收集足够的攻击资料，无法跟踪黑客技术的 发展等。而这些方面对于维护网络和信息安全是至关重要的。因此，必须有一种 新的手段来弥补现有防护措施的这些缺陷， 1 ，4 一种新型的网络安全技术- - h o n e y p o t ( 蜜罐技术) 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个 无法回避的问题呈现在人们面前。随着攻击者知识的日趋成熟，攻击工具和方 法的日趋复杂多样，单纯的防火墙、入侵检测等策略已经无法满足对安全高度 敏感的部门需求，网络的防卫必须采用一种纵深的、多样的手段。 与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂设备，需 要不断升级、补漏的系统使得网络管理员的工作不断加重。任何不经意的疏忽 都有可能造成安全的重大隐患。在这种条件下，h o n e y p o t 技术成了网络安全领 域内的一项新技术，不仅受到愈来愈多的人的关注，而且已经开始在不同的环 境中发挥其关键作用。 h o n e y p o t ( 蜜罐技术) ，顾名思义，就是欺骗攻击者。它是一个故意设计为有 缺陷的系统，专门用于引诱攻击者进入受控环境中，然后使用各种监控技术来捕 获攻击者的行为，同时产生关于当前攻击行为、工具、技术的记录，甚至可以 通过对应用程序中存在漏洞的数据分析，进一步提高系统和网络的安全性能， 从而降低攻击者取得成功的可能性，有效地减少攻击对重要系统和网络信息的 威胁。 1 5 课题研究的意义 网络本身的安全需要从网络内部和外部两方面加以防范，目前采用的技术主 西北 业大学坝上论文： 基于h o n e y p o t 技术的删络信息安伞训究 9 要有防火墙，密码技术和入侵检测等。由于网络安全所涉及的内容很多，范围很 广，因此仅仅采用一种或者两种技术是远远不够的，许多情况下是各种技术的相 互结合，来达到网络相对的安全。 防火墙是在内部网络与i n t e r n e t 之间建立起来的一个安全网关，抵御来自外 部网络的攻击，防止不法分子的入侵，保护内部网络资源。密码技术可以防止信 息被篡改、伪造和假冒。而入侵检测采取预先主动的方式，对客户端和网络各层 进行自动检测，以避免系统受到破坏。但是它极高的误报率；收集信息所需占用 的大量c p u 的资源，大大降低了对系统运行的效率：以及使用时不断升级更新的 要求使得很多人对它望而却步。 h o n e y p o t 技术有效的弥补了以上不足。h o n e y p o t 提供了高效收集数据的能力 和极低的误报漏报率，虽然收集的资料很少，但资料都具有很高的价值。同时去 除了大量无效信息，使它能够方便地采集资料。在信息安全研究中一个最重要的 问题就是如何在大量的资料中快速、准确地找到所需要的资料，h o n e y p o t 能使用 户快速、简单地去收集并处理资料。 - 般情况下很多安全工具会被频带宽度限制，同时由于网路入侵监测装置不 能够追踪所有的网路行为，容易出现丢弃数据现象。h o n e y p o t 不存在这个问题， 它仅仅获取和它有关的动作，因而能够快速、准确地评估黑客的技术水平，了解 他们使用的攻击工具。此外，通过学习他们使用的工具和思路，事先对系统和网 络当中存在的漏洞进行修复，从而更好地保护系统和网络。 本文围绕h o n e y p o t 的实现，研究并讨论了与之相关的问题，同时有针对性 地对有关问题进行了深入分析。 西北工业大学硕士论文：基于h o n e y p o t 技术的网络信息安全研究 1 0 第2 章h o n e y p o t 技术概述 2 1h o n e y p o t 的定义 h o n e y p o t 是一种预先配置好的系统，系统内含有各种伪造而且有价值的文件 和信息，用于引诱黑客对系统进行攻击和入侵。h o n e y p o t 系统可以记录黑客侵入 系统的一切信息：同时还具有混淆黑客攻击目标的功能，可以用来保护服务主机 的正常运行。 h o n e y p o t 系统所收集的信息可以作为跟踪、研究黑客现有技术的重要资料； 可以用来查找并确定黑客的来源，作为起诉入侵者的证据；可以作为攻防技术培 训的实战教材，提高安全人员处理黑客攻击的技能；还可以用来分析黑客攻击的 目标，对可能被攻击的系统提前做好防护工作。在攻击者看来是一个很有吸引力 的h o n e y p o t 系统，由于它一般不含真实而有价值的数据，因而不会对重要数据和 系统构成威胁。 h o n e y p o t 系统的构造思想是基于网络的开放性和资源的可监视性。一个处于 正常工作状态的系统在网络上都有可能被黑客攻击，而且越是带有某种特定资源 的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置，就可能将入 侵者成功地引入受控环境中，降低正常系统被攻击的危险，同时获得研究黑客相 关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都 处于我们控制之下，从而可以监视和控制所有对这些资源的访问。 h o n e y p o t 系统的核心是对网络和系统活动的监视能力，以及监视机制的隐藏 性。只有强大的监视能力，才能使黑客的攻击行为无所遁形；而监视机制的隐藏 性则保证了黑客在攻击的实施过程中不会发觉自己的行为已被跟踪监视，从而能 够获得攻击过程的真实记录同时还能保证系统的安全。 2 2h o n e y p o t 系统的必要性u 一 一。 从第一章对计算机网络安全的对策和技术中可以看出，传统的安全技术在保 护网络信息安全中有不可替代的作用，但每种安全技术都有明确的针对性，还有 共同的缺点一被动性。因此要建立一个完整的网络安全体系，需要综合应用各种 安全技术，从不同角度，不同层次上进行安全防护。 h o n e y p o t 不是一个万能的系统，它的工作就是在黑客进入事先设置好的虚拟 系统后，对他们在系统上的一切行为进行监控和记录：并对黑客的攻击手段、使 西北1 ：业大学硕士论文：壮于h o n e y p o t 技术的网络信息安全研宄 1 i 用工具和目标选择等方面进行分析，从而不断弥补重要系统的安全漏洞，进一步 提高系统的安全性。 2 3h o n e y p o t 的分类 h o n e y p o t 系统的一个重要参数就是它的工作环境。工作环境的不同直接影响 黑客进入操作系统的难易，决定系统运行时所能采集到的信息多少。因此可以把 h o n e y p o t 系统分为仞级、中级和高级三种类型。 ( 1 ) 初级h o n e y p o t 系统本系统对外仅提供一些特定的虚假服务，而且这 些服务主要是通过在特定端v i 实时监听来实现。在系统中，所有进入系统的信息 都会很容易地被识别和存储，加之没有实际操作系统，最大程度地降低了系统被 攻击的可能性。但是该系统也有明显缺点，即它不能观测到黑客对系统的破坏过 程。 这种h o n e y p o t 系统更像是一种单向通信，通过它我们只能被动地监听，而不 能提出主动请求，是一种典型的单向监听系统( p n 图2 1 所示) 。 图2 。1 低级h o n e y p o t 系统示意圈 ( 2 ) 中级h o n e y p o t 系统在中级h o n e y p o t 系统( 如图2 2 所示) 中，通过相互 之间的对话，入侵者的行为会被记录下来，以供事后分析和研究。 这种h o n e y p o t 系统中，提供了较为丰富的外部服务。但是对入侵者来说，这 种h o n e y p o t 系统中仍然不存在实际操作系统。随着系统伪装复杂性的提高。系统 的不安全性随之增加，黑客寻找系统漏洞的机会也相应增加，因此对安全人员的 要求也相应提高。在中级h o n e y p o t 系统，黑客可能采用更复杂的攻击，所以对攻 击过程的i 己录和分析也就相应的更为重要和有效。 建立一个中级的h o n e y p o t 系统需要对所有协议和各种服务的详细了解，而且 还要很长时间进行监测。由于该系统的主要目的是为了记录攻击的过程因 此保存数据尤为重要。 图2 2 中级h o n e y p o t 系统示意图 ( 3 ) 高级h o n e y p o t 系统一种建立在真实操作系统上的h o n e y p o t 系统( 如 图2 3 所示) 。由于具有实际操作系统，所以系统的复杂度和危险性迅速增加。但 同时系统被黑客注意的可能性和收集攻击信息的能力也随之增加。 由于提供了操作系统，黑客就可以从网上下载、运行新的程序。高级h o n e y p o t 的优势就是可以完整记录和分析黑客的所有行为。 但是该系统也有缺点：因为提供了一个完整的操作系统，所以必须确保该系 统一直处于管理员的控制之下，这使得维护和监控系统需要很多的时间。而且一 旦h o n e y p o t 系统被黑客攻陷，它不但丧失了采集数据的功能，还很可能成为黑客 攻击其他目标的手段。从本质上说，这样的系统已经完全没有安全可言了。因此 限制h o n e y p o t 的接入是非常重要的。 图2 3 高级h o n e y p o t 系统示意图 两：i l 工业大学硕士论文：基于h o n e y p o t 技术的网络信息安全研究 1 3 通过以上描述可知，由于工作环境的不厨，三种h o n e y p o t 系统各有其优缺 点，如表2 1 所示。 表2 1 三种h o n e y p o t 系统的优缺点 祗级h o n e y p o t中级h o n e y p o t高级h o n e y d o t 系统级别低 由 尚 操作系统无无有 风险低中而 收集信息能力连续收集按要求收集所有 运行知识 低 由 发展所需知识 低而中高 维护时间少多很多 2 4h o n e y p o t 系统的位置 h o n e y p o t 系统处理任务，首先要求有一系列的输入数据。对于基于网络的 h o a e y p o t 系统，输入数据主要来源于网络数据流。因此，h o n e y p o t 系统放置的位 置不同，对整个系统的工作性能有很大的影响。一般来说把它们放在防火墙附近 比较好。在i n t e r n e t 上工作时h o n e y p o t 系统有两个位置： 位于防火墙之外。 位于防火墙内部。 2 41 位于防火墙之外 h o n e y p o t 系统通常放置在防火墙外的区域。这样的安排使得h o n e y p o t 系统 可以检测到来自l n l e r n e t 的所有攻击，从而知道自己的站点和防火墙暴露在多少 种攻击之下。 由于h o n e y p o t 系统放置在防火墙之外，使它看起来更像是在网络上工作的另 一个操作系统。这样不仅吸引了黑客的注意力，同时还减少了防火墙升级的次数。 当攻击发生的时候，h o n e y p o t 系统会发出警报，避免了防火墙报警，从而降低了 安全人员的处理警报的工作量。 这样放置的缺点在于如果防火墙限制了向外部网络的输出，h o n e y p o t 系统将 无法追踪内部的攻击。但是目前发生的嘲络安全事件中很大部分都是源于内部员 工的误操作或者熟悉网络结构人员的有意入侵。根据美国网络协会2 0 0 3 年的统 西北t 业大学硕士论文：雄于h o n e y p o t 技术的刚络信崽宜全研究 1 4 计数据显示：该年度所有网络攻击事件中7 5 以上来自于内部员工的误操作和有 意攻击。 2 4 2 位于防火墙内部 处于防火墙内部的h o n e y p o t 系统危险性会小一些，但是这样的设置可能会给 内部网络带来安全问题。h o n e y p o t 系统提供了一系列的服务，因此为了减少工作 人员和系统的工作量，防火墙对报警规则做了相应的修改，使其在h o n e y p o t 系统 被扫描或攻击的时候不会发出警报。 由此产生的最大问题是黑客控制h o n e y p o t 系统后，可能会通过该系统进一步 破坏整个内部网络，而防火墙只把黑客的攻击当作是h o n e y p o t 与内部网络的正常 通话。因此监控2 个内部h o n e y p o t 系统极为重要。尤其是高级h o n e y p o t 系统。 将h o n e y p o t 系统放置在防火墙内部主要是为了遣踪内部网络的攻击者。这样 的设置还可以提前发现防火墙的错误配置，而这些是位于防火墙外部的h o n e y p o t 不能发现的。 每一种放置都有自身的优缺点。根据以上的描述，不难发现将h o n e y p o t 系统 放置在防火墙内部的主要原因是为了监测内部攻击者的情况，维护内部网络的安 全：反之，则应该将h o n e y p o t 置于防火墙的外部。 2 5h o n e y p o t 系统的数据源 h o n e y p o t 系统的首要目的就是记录黑客的攻击行为，并对所记录的数据进行 分析。目前在网络上运行的h o n e y p o t 系统，自身采集数据的方式主要有两种：一 种是基于主机的数据采集，而另一种则是基于网络的数据采集。 2 51 基于主机的信息源 由操作系统审计跟踪和记录系统及应用事件的系统日志组成。 系统审计跟踪记录了系统的活动信息以及攻击发生的时间，并将记录的信息 存放在日志文件中。这些记录包括操作系统在核心级和用户级的活动。大多数记 录还包括了进程初始事件的信息，如与事件相关的i d 。有时除了原来用户i d ， 还包括当前用户i d 。内核级系统调用包括了调用的参数和返回值，反之，用户级 系统调用包含了对事件的高级描述或是具体应用数据。 2 5 2 基于网络的信息源 基于主机的信息采集在主机被攻陷的时候将失去作用；而基于网络的信息采 西1 1 ：3 2 业大学顾士论文：基于h o n e y p o t 技术的1 碉络信息安全研究 1 5 集由于不依赖于h o n e y p o t 自身，加之网络通信只能被分析而不能修改的特性使得 这种采集方式可以使用一种不可见的方式运行，所以基于网络采集的信息会更加 的安全可靠。作为最受关注的信息来源，凡是流经网络的数据流都可以被利用作 为h o n e y p o t 系统的数据源，其涉及的范围也最广。 此外除了上述两种信息源外，还有来自其它安全产品的信息源。通过设置， 可以使防火墙能够记录通过的所有或者特定数据包。还可以通过入侵检测系统 ( i d s ) 进一步简化数据采集，因为大多数i d s 系统都可以监测离散文件。另外， 加密连接也是保证通信安全并防止他人刺探的有效方法。尽管通过链路监听，黑 客可以拦截数据包，但是黑客却没有办法对所捕获的数据包进行解密。这对于防 止黑客篡改h o n e y p o t 所采集的数据有很好的辅助所用。防火墙、身份认证系统、 访问控制系统和网络管理系统等产生的审计记录和通知消息等都包含了重要的 安全信息，它们对跟踪入侵者的行为具有特殊的价值。这些日志作为信息源，可 以成为有效分析入侵者行为的一个重要途径。 2 。6h o n e y p o t 系统分析方法 在h o n e y p o t 系统中，如果信息已经采集好，信息存储位置也已经确定，下 一个要素就是使用检测方法分析采集到的数据信息引擎。常用的有误用检测和异 常检测两种方法。 2 6 1 误用检测 误用检n 0 ( m i s u s ed e t e c t i o n ) 是通过提取数据源的特征，与已知攻击手段和系 统漏洞特征库对比，来判断系统中是否有入侵发生。即根据静态预先定好的攻击 模式库来过滤网络中的数据流，一旦发现数据包提取的特征与某个库中已有的攻 击模式匹配，便认为是一次攻击。 误用检测基于对已知入侵攻击模式的掌握，所以又称为特征检测。它能够准 确地检测到某些特征的攻击，但由于过度依赖于事先定义好的安全策略，所以无 法检测未知的攻击行为，容易产生漏报。误用检测方法的主要优点有： 检测过程简单、直接，无需训练，检测效率高 检测精度高，一般情况下不存在误检测 可检测到的不同攻击类型，采取相应的反应措施 误用检测的关键问题是如何从已知的入侵方法中提取特征，构造入侵行为的 描述模式并使这种描述模式有一定的扩展性和适应性。随着对计算机系统的弱 点和网络攻击方法的不断收集与研究，入侵特征化描述方法越来越有效，这使得 西北工业大学顺士论文：基于h o n c y p o t 技术的网络信息安全例宄 1 6 误用检测方法的使用也越来越广泛。常见的误用检澳4 方法有专家系统、状态转换 方法和模型推理检测方法等。 2 6 2 异常检测 异常检河j j ( a n o m a d e t e c