（计算机应用技术专业论文）蜜罐网络系统的研究与实现.pdf

贵州大学硕士学位论文 原创性声明 本人郑重声明：所呈交的学位论丈，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究在做出重要贡献的个人牵集体，均已在文中以明确 方式标明。本人完全意识到本声明的法律责任由本人承担。 论文作者签名：塑曼日期：2 q q z 丛旦 关于学位论文使用授权的声明 本人完全了解贵州大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阋；本人授权贵州大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：j ! l ! 至l 导师签名 贵州大学硕士学位论文 摘要 蜜罐技术是一种新兴的基于主动防御的网络安全技术，目前正日益受到网络安全领域的 重视。蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵者的攻击，进而了解入侵者的攻 击思路、攻击工具和攻击且的等行为信息，特别是对各种未知攻击行为信息的学习。根据获 取敌方情报，安全组织能更好地理解网络系统当前面临的危险，并且知道如何阻止这些危险 的发生，在与入侵者的“游击战争”中做到有的放矢，获得最大的主动权。 蜜罐网络简称蜜网，是蜜罐技术的一种高级实现形式。蜜网一般是由防火墙、入侵检测 系统和蜜罐主机等多个设备组成的网络系统，但也可以借助于虚拟机软件在一台物理主机上 实现虚拟蜜网。虽然蜜网相对于单机蜜罐实现、管理起来更加复杂，但是通过使用两大关键 技术数据控制和数据捕获，蜜网既能轻松进行容忍入侵又能确保系统自身的安全性。因 此，这种多元化系统能够更多地揭示网络攻击特征，极大地提高了蜜网系统检测、分析、响 应和恢复受侵害系统的能力。 本文首先系统地介绍了单机蜜罐和蜜罐网络系统的原理知识及关键技术，重点阐述了蜜 罐网络系统的两大核心功能数据控制和数据捕获并且对国内外同类研究的内容和成果 进行分析；其次根据蜜罐网络系统的功能需求，设计并实现了一个虚拟蜜网系统；最后对蜜 网核心功能进行了测试，测试结果表明，该系统满足了设计目标。 【关键词l 网络安全蜜罐网络入侵主动防御 贵州大学硕士学位论文 a b s t r a c t b a s e d0 1 1t h ea c t i v eo f f e n s et h e o r y h o n e y p o tj san e w l ya r i s e nt e c h n o l o g yw h i c hi sv a l u e db y t h er e a l mi nc o m p u t e rn e t w o r ks e c u r i t yi n c r e a s i n g l y h o n e y p o tp r i m a r i l yl o r e st h ea t t a c k e r sb y u s i n gas e e m l yv u l n e r a b l eb u tw e l la r r a n g e da n do b s e r v e de n v i r o n m e n tt ot o l e r a n c ei n v a s i o n ss o t h a tw ec a s t u d yt h e i rb e h a v i o ri n f o r m a t i o n , e s p e c i a l l yt h a to fn e wu n k f l o w l la t t a c k s a c c o r d i n g t ot h ee n e m yi n t e l l i g e n c eo b t a i n e d , s e c u r i t yo r g a n i z a t i o n sc a l lb e t t e rk n o wd a n g e r st h a tt h e i r s y s t e m sa r ef a c i n gc u r r e n t l y ，a n dk n o wt op r e v e n tt h ed a n g e r so c c u r r i n g d i f f e r e n tt ot h es i m p l eh o n e y p o tb u i l to nas i n g l em a c h i n e , h o n e y n e ta sam o t ea d v a n c e d h o n e y p o tt e c h n o l o g yc a nm a k em o r en e t w o r ka t t a c ki n f o r m a t i o ni n t ot h eo p e nh o n e y n e tm a d e 叩 o ff i r e w a l lt o u t e r i d s , o n e 啊m o r eb o n e y p u tm a c h i n e s , a n d a l s ob er e a l i z e di nt h ef o r mo f v i r t u a ls o f t w a r e c o m p a r e dw i t ht h es i m p l eh o n e y p o tf o r m , h o u e y n e ti si n o r ec o m p l e xt ob e r e , n l i t 划a n dm a n a g e d h o w e v e r , b yu s i n go fi t sk e yt e c h n o l o g y - - d a t ac o n u o la n dd a t ac a p t u r e , i t 啪n u to n l yt o l e r a n c ei n v a s i o ne a s i l yb u ta l s oi n s o r et h es e c u r i t yp e r f o r m a n c eo ft h et r a ps y s t e m i t s e l f i r s t l y ，b a s i ck n o w l e d g ea b o u th o n e y n e ti se l a b o r a t e di nt h ep a p e r ，a n ds o m ec o n t e n t sa n d p r o d u c t i o n so i lt h i sf i e l dr e s e a r c h e db yd o m e s t i ca n df o r e i g no r g a n i z a t i o n sa r ea n a l y z e d , t o o s e c o n d l y , a c c o r d i n gt ot h ec h a r a c t e r i s t i c so fh o n e y n e t , av i r t u a lh o n e y n e ta r ed e s i g n e da n d i m p l e m e n t e d t h i r d l y ，i m p o r t a n tf u n c t i o n so ft h eh o n e y n e ta l et e s t e d a n dt h et e s tr e s u l tv e r i f i e s t h a tt h eh o u e y n e th a v er e a c h e dt h ei n t e n d e dt a r g e t s k e y w o r d s n e t w o r ks e c u r i t y ，h o n e y n e t ，i n t r u s i o n ，a c t i v ed e f e n s e 4 贵州大学硕士学位论文 第一章前言 1 1 课题的研究背景 随着越来越多的行业引入互联网技术，互联网信息安全问题已经变得越来越重要。然而， 虽然经历了几十年的研究与实践，我们仍然无法使我们的计算机成为一个安全的系统，不仅 如此，我们甚至无法衡量这些系统的安全性。 导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各 种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还 未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全 工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发 展，特别是分布式拒绝服务攻击( d d o s ) 、跳板( s t e p - s t o n e ) 攻击及互联网蠕虫的盛行， 互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么纯洁， 不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益和黑暗心理等因素 促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很 方便地从互联网上找到所需的最新攻击脚本和工具( 如p a c k e t s t o r m 网站) 而这些由高级 黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强能够造成的破坏也越来越 大。特别值得注意的一个趋势是多种攻击脚本和工具的融合，如大量的内核后门工具包 ( r o o t k i t ) ，及能够集成多种攻击脚本并提供易用接口的攻击框架( 如在2 0 0 4 年d e f c o n 黑客大会中引起广泛关注的m e t a s p l o i t ) 的出现。 针对如此严重的安全威胁，我们必须要主动地探究可能存在的网络漏洞、研究黑客们正 在或者可能采用的最新的攻击方法。因为网络攻防是一个互动的过程，要做好防护工作，我 们必须要了解攻击者的目标，掌握他们的攻击技术、技巧和战术、甚至心理和习惯等，以便 从观察攻击者的行为中学习到深层次的信息保护的方法。只有在充分了解对手的前提下，我 们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑 客提供了基础。 蜜网思想是在网络上布置一个诱骗网络在该网络中放置黑客感兴趣的“敏感信息”或 者是模拟一些漏洞，从而吸引黑客的入侵，通过监测记录黑客在陷阱中的行为，了解黑客的 攻击思路、攻击工具、动机等信息；布置蜜网还可以将黑客的注意力转移到陷阱中，防止其 对其他网络的攻击。由此可以看出，蜜网技术与传统的防护技术不同，它采用的是主动防护 的安全策略，在应对越来越复杂的黑客攻击方面，具有其独特的作用。 1 2 主要内容及工作 论文的研究对象是蜜罐网络系统，主要的研究内容包括： ( 1 ) 蜜网的发展及现状 ( 2 ) 蜜网系统的关键技术 ( 3 ) 蜜网系统在网络安全体系中的价值 ( 4 ) 蜜网的关键功能的设计和实现 ( 5 ) 蜜网关键功能的测试方案 5 贵州大学硕士学位论文 论文完成的主要工作包括： ( 1 ) 完成了蜜网系统体系结构，应用模式和关键技术的研究 ( 2 ) 完成了蜜网系统的总体设计与实现 ( 3 ) 完成了蜜网系统的关键功能的测试方案 1 3 论文结构 本论文共分五章： 第一章，前言，对论文的研究背景和研究方向作了简要的介绍，介绍了论文的研究内容、主 要工作及论文的结构。 第二章，蜜网技术综述，介绍了蜜网的定义、蜜网的历史发展，实现蜜网的关键技术、蜜网 的功能和引入蜜网的风险 第三章，蜜网系统总体设计，进行了蜜网系统总体体系架构设计，分析了各模块的功能。 第四章，蜜网系统详细设计与实现，介绍了设计的蜜网系统中各模块采用的工具及其配置。 第五章，蜜网的测试，设计了蜜网主要功能的测试方案和步骤，并在蜜网系统中进行了验证 结论，给出论文的研究结论，对下一步的研究方向作了简要的说明。 6 贵州大学硕士学位论文 第二章蜜网技术综述 2 1 蜜网技术的发展和演变 著名的网络安全专家l s p i t z n e r ，也是蜜网技术专家，曾对蜜网做了如下定义：一种资 源，它的价值是被攻击或攻陷。这意味着蜜网是用来被探测、被攻击甚至最后被攻陷的，它 不会修补任何东西，这样就为使用者提供了额外的、有价值的研究信息。也可以说蜜网是一 个学习工具它是一个专门设计来让人。攻陷”的网络，一旦被入侵者所攻破，入侵者的一 切信息、工具等都将被用来分析学习。设置h o n e y n e t 系统的目的有三：一是用来学习了解 入侵者的思路、工具和目的：二是为特定组织提供关于他们自己得出的网络安全风险和脆弱 性的一些经验；三是帮助一个组织发展事件响应能力。它不会直接提高计算机网络的安全， 但是它却是其他安全策略所不可替代的一种主动防御技术。 2 1 1 蜜网的发展历史 蜜网的发展可分为欺骗系统、蜜罐和蜜网三个阶段。 蜜罐的思想最早可追溯到1 9 鹋年5 月，c i i f f o e ds t o l l 在c o m m u n i c a t i o n so ft h ea c m 杂 志上发表了一篇题为“s t a l k i n g t h e w i l y h a c k e r ”的文献。其中介绍了作者追踪黑客的过程， 当他发现自己的系统被黑客侵入，为了找到入侵者，作者采取了保持系统对黑客开放的方法 对黑客进行迷惑，对系统进行严密的监视，悄悄记录黑客的活动并进行追踪。作者在介绍这 一过程中采用的一种技术手段，即伪造一些包含敏感信息的文件作为诱饵吸引入侵者，让其 暂时不去进行其他的破坏，也给自己的追踪赢得了时间。作者提到，如果使伪造的文件包含 不同类型的信息，就可能试探出入侵者的兴趣。这就是蜜罐的基本思想。 蜜罐作为一个独立的系统正式出现于b i l lc h w a q i c k 在1 9 9 1 年发表的一篇题为“a n e v e n i n g w i t h b e r f e r d i n w h i c ha c r a c k e r i s l u r e d , e n d u r e da n d s t u d i e d ”的文献。作者指出， 虽然已经有一些安全工具可以检测黑客攻击，但得到的信息并不完善，为了提供更多的信息， 可以在系统空闲的端口上，打开一些伪造的服务，模拟正常服务器软件的一些行为，如建立 连接、提示访问者输入用户名和口令等，使其尽可能象一个真实的服务器在工作，以吸引入 侵者，进而记录下入侵者的活动。但这种方法只能得到少量的信息。于是作者把入侵者引入 一个专门的操作系统环境中，利用u n i x 更改根目录机制设立被称为牢笼的环境。在与s t c v e n m b e l l o v i n 合作的“f i r e w a l l sa n di n t e r n e ts e c u r i t y ： r e p e l l i n gt h ew i l yh a c k e r ”一书中，首 次提出了h o n e y p o t s 的概念，作者特别提到，蜜罐记录入侵者信息的功能可用于用户检测的 目的。 f r e dc o h e n 在1 9 9 6 年发表的文献。i n t e m e th o l e s i n t e r n e tl i g h t n i n gr o d s ”中，提出可 以利用防火墙将未授权的访问引向蜜罐，消耗入侵者的资源。在1 9 9 8 年发表的文献“a n o t e 加t h er o l eo fd e c e p t i o ni ni n f o r m a t i o np r o t e c t i o n ”中，f c dc o h e n 认为蜜罐实质是一种欺骗 系统，并设计了采用伪造服务技术的欺骗系统叩( 后来被认为是第一个公共可以得到 的蜜罐系统。在1 9 9 9 年发表的文献“am a t h e m a t i c a ls t r u c t u r eo fs i m p l ed e f e n s i v en e t w o r k d e c e p t i o n s ”中，f r e dc o h e n 对欺骗系统的思想进行了完整的表述。入侵者在欺骗系统上花 费时间，就可能暂时不会攻击其他正常的系统。作者分析了欺骗系统能够吸引住入侵者的一 7 贵州大学硕士学位论文 些途径，包括增加欺骗系统的数量、增加欺骗系统的伪装程度等 明确提出蜜罐是一个了解黑客的有效手段始于l a n c es p i t z n e r 。在“k n o w y o u re n e m y ” 系列文献中，他展示了了解黑客的一些初步成果，并在。t ob u i l dah o n e y p o t ”中简单介绍 了自己所使用的工具h o n e y p o t s 。i r l l c es p i t z n e r 使用真实的系统接受黑客攻击，利用防火墙、 网络s n i f f e r 记录和控制黑客的活动。 1 9 9 9 年，在l a n c e s p i t z n e r 的倡议下，成立了h o n e y n e t p r o j e c t ，这时蜜网真正引起了人 们的关注。h o n e y n e t 组织设置了一个具有一定规模的向黑客开放的网络环境，即h e n e y n e t ， 提出了一个较为完善的方案，包括隐蔽地采集黑客在蜜网上的活动信息、控制蜜网引入的风 险、分析蜜网采集的数据等等。h o n e y n e t 组织也被认为是蜜网研究的中坚力量。 在国内，蜜网的研究起步较晚，2 0 0 1 年国家自然科学基金信息安全项目正式对该领域 进行了立项研究，目前还没有相关成果和产品的报道。在国内也只出现了少量的文献和一些 具体的系统，但系统的研究和系统性地论述蜜网的文献还没有。虽然在某些安全产品中也提 到了蜜罐系统，但只是采用了一些初级的技术，缺乏对蜜罐技术尤其是高级形式的蜜网系统 的全面研究。 2 1 2 蜜罐 在“蜜网”的发展过程中，最初的形式是h o n e y p o t ，即。蜜罐”，它是一个故意设计用 来观测黑客如何探测并最终入侵系统的个系统。它通常是用来对入侵者的行为进行警报或 者诱骗，使得入侵者将技术、精力集中到h o n e y p o t 而不是其它真正有价值的正常系统和资 源中，这种方法本身是对入侵者的一个诱惑，但是这个系统却表现出一个正常的环境 h o n e y p o t 的主要作用是模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标， 由于h o n e y p o t 没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。h o n e y p o t 的另一个作用是拖延攻击者对其真正目标的攻击，让攻击者在h o n e y p o t 上浪费时间。与此 同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。 但是，面对高级的网络入侵，h o n e y p o t 的作用就显得微不足道了，h o n e y n e t 便应运而 生。 2 1 3 蜜网 2 1 3 1 第一代蜜网 第一代蜜网简单有效地实现了欺骗功能、数据控制功能和数据捕获功能。其网络拓扑如 图2 - 1 所示。 。 8 贵州大学硕士学位论文 图2 1 第一代蜜网拓扑结构图 ( 1 ) 欺骗功能 在蜜网内设置多个有不同操作系统的蜜罐主机，如w m d o w s 系统和l i n u x 系统，在不 同的蜜罐主机上开放不同的网络服务，以此来模拟真实的系统和真实的服务。在这个系统中， 其欺骗功能程度主要依赖于各蜜罐主机仿真的逼真程度。由此可见，该蜜网系统实质是一个 实施欺骗的蜜罐主机的集合。 ( 2 ) 数据控制功能 数据控制是在不引起入侵者怀疑的情况下对入侵者行为规则进行定义，允许或者限制 他们做某些事情，从而尽量降低与入侵者斗智斗勇的风险。入侵者攻入系统之后，首先需要 从网络上下载他们所需的工具包、打开i r c 连接等等，必须使他们具有这种权利 塞正 是蜜网所要分析的东西。早期的蜜罐设计曾经错误地禁止任何外连数据包，入侵者对这点非 常敏感，往往进入蜜罐系统后只待几分钟就察觉系统异常，删除所有入侵证据后就溜之大吉 了。所以，数据控制必须允许入侵者做大部分事情，但是对攻击其它系统的“需求”，比如 发起拒绝服务攻击、对外部进行扫描以及使用漏洞利用程序攻击他人的行为则一概不理，而 第一代的蜜网较好地解决了这个问题。其采取的措施是：在单机蜜罐前端放置一个防火墙捕 获进出的所有连接，防火墙采取“宽进严出”策略，在防火墙上，对从蜜罐机器外发的连接 数量设定一个合理的阈值，同时追踪从所有蜜罐机器外发的每一个连接，当该蜜罐外发的数 量达到设计时预先设定的阈值时，防火墙便会阻塞那些信息包。这样能够保证蜜罐不被滥用 的前提下，允许入侵者做尽可能多他们想做的事。研究表明，允许外发连接数设定为5 至 1 0 比较合适，不会引起入侵者怀疑，而且避免了蜜罐系统成为入侵者扫描、探测或者攻击 其他系统的工具。当然，有些组织如果能够对蜜罐实行2 4 小时监控的话，可以不设置外发 阈值，如果检测到有拒绝服务攻击或者其它的滥用系统的行为发生时，值班人员可以即时阻 止攻击的发生。这也可以通过开发自动化程度较高的工具来降低实时2 4 小时监控的成本。 构建蜜网时，通常防火墙与各蜜罐群集之问，还会设置一个路由器。放置路由器的原 因有二：首先，路由器的存在，使防火墙具有“不可见”性，入侵者攻入蜜罐后可能会察看 蜜罐外发的路由，放置路由器更接近真实的网络环境，入侵者一般不能注意到防火墙的存在。 其次，路由器可以作为对防火墙访问控制的很好补充，我们可以设置一些路由规则进行路由 控制，确保各蜜罐不会被用来攻击蜜网之外的机器。 在图中，可以看到防火墙把网络陷阱分隔成三个部分。一是陷阱部分，二是互联网， 三是管理控制平台。在数据捕获的章节里我们还将提到管理控制平台。所有进出蜜网的数据 包都必须经由防火墙的过滤，路由器进行补充过滤。防火墙允许任何进入蜜网的连接，但是 它对任一陷阱主机外发连接的数量做了限制，只允许5 1 0 个，到达阈值时，防火墙将阻塞 9 贵州大学硕士学位论文 任何超出部分的连接，同时发出系统报警信息。路由器在这里充当了第二层的访问控制工具， 一般主要用来防止i c m p 攻击、死亡之p i n g 、s y nf l o o d i n g 、s m u r f 攻击等一些利用伪造 口欺骗的攻击。蜜网中的路由器仅允许源地址是蜜网内部口的机器向外发送数据包。 经过研究实践，防火墙与路由器配合使用可以在技术上十分完善地实现外出信息包的 过滤，并能最大程度地给予入侵者自由而不致产生怀疑。以目前业界的经验来说，入侵者几 乎不可能绕开这些安全上的措施。当然，没有一种方法是永恒有效的，网络入侵对于网络安 全始终具有威胁。 ( 3 ) 数据捕获功能 蜜网系统的一个非常重要的功能就是数据捕获，而这些捕获的数据一直是入侵者们想 删除或者篡改的。在蜜网系统中，对数据的捕获的方式是对防火墙日志、i d s 日志及各蜜罐 系统日志的收集、分析及保护。防火墙在i p 层记录所有出入蜜网的连接，多数攻击的漏洞 利用程序都会创建新的s h e l l 或者打开某个端口等待外来连接，防火墙可以轻易判断出对这 些端口的连接企图，并且及时向系统管理员发出警告信息以及非常规端口的连接企图；i d s 在数据链路层对蜜网中的网络流量进行监控、分析和抓取以便将来能够重现攻击行为，同时 在发现一些可疑举动的时候报警，它属于被动监听，不易被入侵者发现；为防止入侵者攻破 蜜网之后修改各蜜罐主机的日志，蜜罐主机除了使用操作系统自身提供的日志功能以外，还 可以采用第三方软件加强日志功能，并且传输到安全级别更高的远程日志服务器备份。三重 日志保护措施充分体现了基于网络的信息收集策略，互为补充，为蜜网提供了安全强大的数 据捕获功能。 2 1 3 2 第二代蜜网 第二代蜜网技术大大增加了蜜网使用的灵活性，可管理性和系统安全性。不同于第一 代蜜网，第二代蜜网在一台二层网关或者称作网桥的机器上实现了蜜网所有的关键功能，即 数据控制、数据捕获和数据集中功能都由单一资源实现。方便了蜜网的配置管理。使用网桥 有几个优点；首先网桥没有l p 协议栈也就没有m 地址、路由通信量以及r r 几缩减等特征， 入侵者难以发现网桥的存在，也不知道自己正处于控制之中：其次，所有出入蜜网的通信量 必须通过网关，这意味着在单一的网关设备上就可以实现对全部出入通信量的数据控制和捕 获。 第二代蜜网系统结构如图2 - 2 所示。 在数据控制上，第二代蜜网更加智能化，通过追踪分析入侵行为内容和目的来鉴别控 制越权行为，允许入侵者对外界进行某种形式的连接，但控制其对外的漏洞扫描。对入侵者 的越权行为，系统不是简单地进行阻止入侵者的外发攻击，它能够在二层网关上修改数据包 内容来迷惑入侵者，修改黑客惯用的漏洞利用程序代码中的若干字节，使攻击程序无效，然 后按其目的地址转发该修改后的攻击包，这样外发攻击虽然能够通过蜜网，但却不会生效。 通过这种响应措施，就可以更好地控制入侵者行为并且不被察觉。在路由控制上不再像防火 墙那样进行简单的过滤，而是采用类似二层网关的方法根据数据包内容限制或阻止外发攻 击，可以采取诸如阻塞特定攻击、控制入侵者外出连接的数目、限制入侵者d o s 攻击或大 规模扫描等方法实现二层数据控制功能。 第二代蜜网与第一代相比，在数据捕获方面的能力也有显著的提高。对采用加密通信 的入侵，第一代蜜网显得无能为力，而第二代蜜网采用了通过在系统内核空间捕获数据的方 式，较好地解决了这个问题。在进行远程日志方面，第二代蜜网使用蜜网自身来转移数据， 将捕获的各种信息封装成某种形式的数据包在蜜网中进行传输，由二层网关被动地嗅探并重 1 0 贵州大学硕士学位论文 组这些数据包，这些数据包有正常数据包的特征，入侵者很难意识到这些数据是收集的日志， 这样就保障了日志的安全。 2 2 蜜网的分类 图2 - 2 第二代蜜网拓扑结构图 蜜网按照不同的标准可以有多种不同的分类。 2 2 1 按配置方式分类 ( 1 ) 欺骗服务 欺骗服务是指在蜜网系统上设置一些虚假的服务，这些服务在某些特定的端口上进行 监听，并能像其他正常的应用程序一样对各种请求进行应答。要实现欺骗服务，就必须对蜜 网进行精心配置和设计。其难点在于使欺骗具有很高的逼真度，使入侵者相信它是一个正常 的系统，同时，如何通过设置收集更多的数据是欺骗服务的另一个难点。 ( 2 ) 弱化系统 弱化系统就是在蜜网中故意设置一些已知的漏洞，诱使入侵者前来攻击。这种方法配 置简单，可以获得更多的入侵者的攻击信息。在这种蜜网系统中，需要额外的日志记录系统 以保证捕获数据的安全。该系统的弱点是性价比较低，难以发现攻击的新技术和方法。同时， 如果漏洞提供不合理，也容易引起入侵者的怀疑，达不到欺骗的目的。 ( 3 ) 强化系统 这种方法的实质就是系统本身打上各种的安全补丁，是一个不经过特意配置的正常的 系统。它是在最短时间内收集最多最有效的数据的最好的方法。但这种方法也存在需要系统 贵州大学硕士学位论文 管理员比入侵者具有更高专业技术的缺点，而且，即使系统管理员有丰富的专业知识，也可 能存在疏漏，所以必须采取措施保证系统管理员对系统始终有效的控制权 ( 4 ) 虚拟蜜网 该方式是目前为止最为完善的蜜网配置方式，其实质就是用一个进程来虚拟一个服务 器，这些虚拟的服务器嵌套在主机操作系统的应用程序空间中该模式的执行效率取决于入 侵者的受骗程度，如果配置合理，入侵者是无法察觉自己入侵的是一个虚假的系统且正被记 录的其优点是便于管理员对系统的控制，而且可以将防火墙、i d s 、远程日志服务器都融 合在一台单独的主机中。其缺点是在配置时，必须是用l i n t 来虚拟蜜网，限制了用户对操 作系统的选择。 2 2 2 按设计目的分类 ( 1 ) 产品型蜜网 设置产品型蜜网的目的是为了减轻入侵者对组织的威胁。一般此类蜜网由商业组织进行 开发，并用于实际网络的保护。 ( 2 ) 研究型蜜网 设置研究型蜜网的目的是为了获取和研究入侵者的攻击信息，研究组织所面临的各种 威胁，并寻找对付这些威胁的更好的方式，并不采取措施直接提高组织的安全性。 2 2 3 按交互程度分类 ( 1 ) 低交互蜜网 这类蜜网只提供一些特殊的虚拟的服务，这些服务在特殊的端口监听来实现。其最大的 特点是模拟，向入侵者提供的入侵对象都是对各种系统和服务的虚拟，而不是真正的系统。 其缺点是只能对入侵者进行简单的响应，获取的信息有限，交互性低，易被入侵者发现。 ( 2 ) 中交互蜜网 在这类蜜网中，用户可以进行多种的配置，对真正操作系统的各种行为进行模拟，提供 更多的信息，使它们看起来比真实的系统更诱人，其交互程度大大提高，也更易于欺骗入侵 者。与低交互蜜网相比，其配置更为复杂需对每个服务和协议都有较深的了解：同时也引 入了一定的安全风险，需要管理员进行定期的检查，以规避风险。 ( 3 ) 高交互蜜网 这类蜜网最大的特点就是真实完全采用真实的系统作为蜜罐对入侵者进行诱骗，设 置这类蜜网的目的就是为了对各种网络攻击行为以进行研究，因为交互程度提高，系统捕获 的数据也就越多，学习的知识越多，其捕获的数据具有很高的价值。但由于系统的真实性， 被入侵的可能性很高，在被入侵者攻陷之后，极易被用于作为攻击其它系统的跳板。 2 2 4 基本用途分类 ( 1 ) 牺牲型蜜网 这类蜜网放置在网络中易受攻击的位置，为入侵者提供攻击目标。它是一台简单的为某 种特定攻击设计的计算机。这类蜜网系统管理员需对其进行经常的维护和管理，以防止入侵 者攻陷它后修改系统使其失效或被利用为跳板对其它系统进行攻击。此类蜜网的另一个缺点 贵州大学硕士学位论文 是其数据收集形式是主机上的网络嗅探器，易被入侵者修改或删除，收集数据困难。 ( 2 ) 外观型蜜网 这类蜜网由某些应用服务的仿真程序构成。当它受到攻击时，会迅速收集有关信息。因 为它不是使用真实的系统，所以蜜网本身所受到的安全威胁小。但其只能提供潜在威胁的基 本信息 ( 3 ) 测量型蜜网 它结合了外观型蜜网的低成本和牺牲型蜜网的细节深度两方面的优点。通过对现有系统 进行大规模的操作系统层次或内核层次的修改和应用程序开发而实现，能进行高级数据的收 集、攻击活动的规范、基于策略的报警及企业的管理功能等。具有易被攻击但很难被绕过、 防止入侵者用作攻击跳板等优点。 2 3 蜜网的体系结构和基本组件 2 3 1 蜜网的体系结构 蜜网是一个体系结构，为成功布设蜜网，首先就应该正确设计蜜网的体系结构，然而如 何构建蜜网的体系结构并没有固定的规则可遵循。这取决于各组织或者个人对他们所面临风 险的评估和他们的经济承受能力。蜜网技术发展至今的历程中，出现了几种不同类型的体系 结构，下面分别逐一介绍。 一蜜罐 单机蜜罐( h o n e y p o t ) 是蜜网技术的原型，在这里将其作为蜜网技术的早期形态加以介 绍。单机蜜罐的体系结构如图2 - 3 所示。 嵌麟 图2 3 单机蜜罐 单机蜜罐主机直接与外部网相连，其优点是布设比较简单，成本低廉，但缺点也很明显。 首先，实现数据控制比较困难。蜜罐主机直接连接外网，当攻击者控制了蜜罐主机，并且利 用蜜罐主机对外发起连接时，单机蜜罐没有办法对其进行阻止；当发现攻击行为，希望对攻 击进行阻断时，只能由蜜罐主机自身的机制实现，风险较大。其次，单机蜜罐捕获的攻击者 行为信息是存储在蜜罐主机上的，本地数据存储容易被攻击者发觉，然后对数据进行破坏甚 至删除，这会导致数据捕获功能的失效。 二带蜜网防火墙的蜜网系统 针对单机蜜罐的缺点，出现了蜜网技术的进一步改进。其基本体系结构如图驰所示。 相对于图2 - 3 的单机蜜罐图2 4 在外网与蜜网之间加了一个蜜网防火墙或者网桥设备， 贵州大学硕士学位论文 进出蜜网的所有连接，都必须通过蜜网防火墙，因此可以很方便地在该防火墙上设置一定的 规则，对进出蜜网的连接进行控制，对网络上所有的流量进行捕获。 蜜网防火墙是一道隔离墙，攻击者如果控制了蜜网中某台陷阱主机，试图利用该主机对 外网发起连接时( d d o s 攻击的惯用手法) ，可以通过蜜网防火墙上设置的外出连接限制功 能阻断该连接，攻击者不能利用蜜网危害其他非蜜网主机；如果发现内部蜜网被攻击者攻击， 希望阻断攻击者，也可以在防火墙上很容易实现这一点。同时在该结构中，蜜罐主机捕获的 数据也不必存储在本地，可以通过内部网存放在一台单独的安全的主机上，数据捕获的安全 性有了更大的保证 图2 4 带蜜网防火墙的蜜网系统 蜜网防火墙如果采用第三层网络设备，具有口地址的话，攻击者容易通过数据包头1 1 l 的减少发现蜜网防火墙的存在，并且他还可以对蜜网防火墙进行攻击破坏。因此现在多采用 第二层网桥设备作为蜜网防火墙，因为网桥没有i p 地址，数据包经过的时候t i l 不减少， 被攻击者发现的可能性很小：同时因为不存在口地址，攻击者几乎无法对其进行攻击破坏。 因此现在的蜜网防火墙多布设在第二层网桥设备上。 三虚拟蜜网体系结构 组建传统的蜜网需要有足够的计算机来充当蜜罐主机和防火墙，并且要专人对这些设备 进行配置，以达到数据控制和数据捕获的目的，这对于部分单位或者个人来讲，成本太高。 最近出现了利用虚拟系统软件构建虚拟蜜网的技术。虚拟蜜网运行在一台物理机器上，通过 虚拟操作系统软件，在该系统上虚拟多个操作系统，从外部看起来，像是有多个系统单独独 立运行一样。虚拟蜜网的体系结构如图2 5 所示 图2 - 5 虚拟蜜网的体系结构 1 4 贵州大学硕士学位论文 虚拟蜜网系统的优点是成本低廉，易于布设和管理当然其缺点也是明显的，首先存在 单点失效的问题，由于整个蜜网依赖单个主机的硬件，一旦某个共享的硬件出了问题，整个 蜜网就失去了作用；虚拟多个操作系统，对真实主机的性能要求比较高，其网络带宽的要求 也较高；安全性不是很高，攻击者获取了某个虚拟主机的控制权，就能够影响被其他虚拟系 统共享的资源：只能安装特定几种系统，因为系统硬件的限制，不能够随意布设蜜罐主机的 操作系统必须考虑硬件和软件的兼容性。 2 3 2 蜜网的基本组件 蜜网是由诱骗攻击者的蜜罐主机( 又称蜜罐) 和设置在蜜罐主机群与外部网之间的网关 设备组成的蜜罐网络。网关设备也被称作蜜网防火墙。下面分别介绍这两个部件的一些特性。 一蜜罐主机 按照蜜网系统的研究先驱l a n c es p i t z n e r 下的定义：蜜罐主机是一个信息系统资源，其 价值就在于被未授权或者非法的使用。也就是说，其作用就在于吸引攻击者对其进行访问， 然后试图捕获攻击者的行为，了解他们使用的工具、他们的攻击策略、他们的动机等相关信 息。采用蜜罐主机技术具有如下优点： 1 收集的数据量小，价值高 由于它是专门用来捕获攻击者的行为的系统，正常情况下，蜜罐主机是不应该有合法的 网络连接和访问的，一旦有这些活动，就会被认为是非法的用户。因此蜜罐主机收集的信息 量相对于防火墙等就少得多，而且收集到的信息的含金量也高得多。 2 能够识别新的攻击工具和新的攻击策略 蜜罐主机捕获其系统内所有的用户访问信息，并且记录分析。这就能够将新的攻击工具 和新的攻击策略识别出来。而防火墙等工具大都是基于规则的，而规则是基于对已知攻击行 为进行特征分析建立起来的。符合规则的信息就加以记录，不符合的就做其他的处理，所以 对于未知的攻击行为就无能为力。 3 占用资源小 由于蜜罐主机正常情况下客户访问的信息很少，因此记录的信息量就比较少，对存储空 间和处理速度的要求就不是很高。 4 能够在加密或者i p v 6 的环境下工作 防火墙、入侵检测系统等安全工具，需要对网络上的数据包进行分析，这在以前是很容 易的，但是随着用户在网络上传输的数据进行了加密，并且实在安全的网络环境下运行，要 实现这个分析过程就比较复杂了。蜜罐主机记录的大都是用户的击键行为等系统级原始信 息，这些信息是未经加密的，因此，即使网络环境变化，蜜罐主机仍然能够起到作用。 当然，蜜罐主机也有其不足之处，主要表现在以下两个方面，第一，它只能够捕获到跟 自身交互的信息，而不能捕获到其他非蜜罐主机上的信息。第二，蜜罐主机存在着风险。一 旦攻击者发现了它的存在，就存在失效的风险，一旦攻击者控制了蜜罐主机，那么还存在着 被用来攻击其它系统的风险。 二蜜网防火墙 在蜜网中，网关设备被称作蜜网防火墙，在图2 4 中列出了蜜网防火墙通常在蜜网中布 设的方式。蜜网防火墙是蜜网的主要的入口和出口。可以在蜜网防火墙上对所有进出蜜网的 网络流量进行控制、截获和分析。 蜜网防火墙对进出整个蜜网的数据流进行捕获分析，对黑客在蜜网中的活动进行一定的 控制。从而保证蜜网本身的安全，并且利用捕获的网络包实现了解攻击者的目的。 蜜网防火墙的主要作用可以归纳如下： 1 数据控制 数据控制的主要目的是确保蜜网防火墙的运行对于攻击者不可见，并且保护i n t e r n e t 上 贵州大学硕士学位论文 其他的主机不被攻陷的蜜网攻击。通常可以通过在蜜网防火墙上实现流量限制和外向连接限 制来实现。 2 网络入侵检测和网络入侵防护 在蜜网防火墙上要运行入侵检测系统，对于来自外部网的攻击行为能够响应和识别。同 时还应当运行入侵防护系统，防止攻击者利用蜜网对外部网的主机发动d d o s 等攻击。 3 报警 蜜网防火墙是蜜网哨卡，一旦发现了有进出蜜网的可疑流量，就应当及时报警。 2 4 蜜网系统的形式化分析 设m 伍，6 ，q 。，) 为确定型有限自动机其中，k 是状态的有限集合；z 是有限 输入字母表：6 是k 到k 的一种映射：q o 是初始状态，q o k ；f 是结束状态集合， f c - k 。若当自动机处于状态q ，并输入字符4 后，m 转换到状态6 0 ，) 一p 。用于形 式化地表示蜜网系统中各工作状态的转换过程令m k ，6 ，q 。，) 表示蜜网系统的有 限自动机。其中：k 一, 1 0 ，q 1 ，q 2 ，q 3 ，q ，q 5 ，q 6 ，鼋) ；一，i 0 表示操作成功失败； f - 白) ；映射6 ：k x 一k 为： 6 ( q 。，o ) - q 6 ( q 。，o ) 一q ， 6 ( q ：，0 ) - q 。 6 ( g ，0 ) - q d b 。，o ) 一q 6 k ，o ) 一q 。 6 瓴，0 ) 一q 。 6 ( g ，0 ) 一q 6 ( q 。，1 ) 一q 。 6 ( g 。 1 ) - q ： 6 ( g ：，1 ) - q ， z ( q ，1 ) 一q 。 6 b 1 ) - q ， 6 ( 吼山一q 。 6 ( q 。 1 ) 一q ， 6 ( q ， 1 ) 一q ， 图2 6 蜜网系统的有限自动机 图2 - 6 中各状态的含义为：q 。为初始状态，q 为结束状态：吼为连接记录，写入日 志：q 2 为连接控制；9 3 为路由控制：q 为链路层抓包；q ，入侵检测，数据记录；q 6 为远 程日志：q ，为用户监控。 当用户登录或有连接建立时，自动机j ! l f 从q 。状态转换为坷。用户退出系统时，m 转 换为q 。在q 状态，记录连接、写入日志，若成功，m 转换到q ，；若失败，肼转换到q 状 态。在q ，状态，进行连接特性分析，允许所有外来连接，对于外出连接，若断定为无攻击 性对外连接，m 转换到q ，状态；若断定为对外攻击性连接，m 转换到g l 状态。在吼状态， 分析蜜罐系统的外出口包，阻断l p 欺骗包，若成功，m 转换到吼状态：若失败，肘转换 到q 状态：在q 状态，若i d s 组件链路层抓包成功，m 转换到吼；若抓包失败，j | l f 转 换到q 状态。在q ，状态，i d s 组件进行入侵检测，数据记录，若成功失败，m 转换到q 。 状态。在q 。状态，记录操作系统内的活动，将日志数据远程存放，若成功写入远程日志， 则m 转换到q 状态，若失败，则m 转换到q 。状态。在q ，状态，进行用户状态监控，若是 活动用户，肘转换到玑状态，若不是活动用户( 已退出系统) ，m 转换为鼋状态。 自动机是实际系统的抽象模型，这类系统具有有限数目的内部状态到若干个不同的输入 1 6 贵州大学硕士学位论文 序列，在输入序列的作用下，系统内部状态不断地相互转换，并且可能由此产生某种形式的 输入序列。文中给出的蜜网系统的有限自动机，模拟了蜜网系统的基本功能，描述了数据控 制、数据捕获、蜜罐容忍入侵行为等蜜网系统运行的全过程，为蜜网诱骗系统的行为描述和 结构设计提供理论依据和论证。 2 5 蜜网的优点及局限性 蜜网技术有着特有的优势： ( 1 ) 数据价值 当前，所有的安全组织和从事安全工作的人们所面临的一个挑战就是如何从收集到的数 据中获得有价值的信息。他们每天都从防火墙日志、系统日志以及入侵检测系统所发出的告 警信息中收集大量的数据，这些数据是海量的，从中提出有价值的信息是非常困难的。而 h o n e y n e t 、h o n e y p o t 收集的数据量很少，但是在这些数据中，已没有了正常的网络活动的 数据，有的只是所收集到的黑客入侵的数据，可以将噪音降到最低，不像其他安全工具每天 收集的数据以g b 计，大多数的h o n e y p o t 、h o n e y n e t 每天收集到的数据都只有几兆，而且 这些数据记录都是扫描、探测、攻击，价值量非常高它们还可以迅速地以简单、易懂的格 式提供所需的信息，这样分析起来就很容易，反应时间大大缩短。如：h o n e y n e tp r o j e c t ，每 天收集到的数据不到1 m ，但是其中包含的信息主要都是可疑的行为。这些数据可以用来做 统计模型、趋势分析、检测攻击、甚至研究攻击者。 ( 2 ) 节约资源 当前绝大多数安全组织所面临的另一个难题就是资源的限制，有的甚至是资源的耗尽， 这就意味着任何措施都已经失去了作用。如，当防火墙的状态检测表满的时候，它就不能接 受新的连接了，强迫防火墙阻断所有的连接。入侵检测系统或许会因为网络流量太大，探测 器的缓冲区适应不了这么大的