（计算机应用技术专业论文）蜜罐技术研究及蜜网设计.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 蜜罐技术是一种新兴的基于主动防御的网络安全技术，目前日益受到人 们的关注，发展前景广阔。蜜罐是一种网络安全资源，它通过监视入侵者的 活动，使我们能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动 机，从而提高我们的网络安全防御能力。蜜罐网络简称蜜网，是蜜罐技术的 一种高级实现形式。蜜网一般是由防火墙、入侵检测系统和蜜罐主机等多个 设备组成的网络系统，但也可以借助子虚拟机软件在一台物理主机上实现虚 拟蜜网。 本文分析研究了蜜罐技术的基本原理，重点对蜜网进行了深入地研究。 作者在论文中所做的主要工作如下： ( 1 ) 在分析了国内外同类研究成果的基础上，构建了一个以研究为主要 目的的虚拟蜜网，设计并实现了该蜜网的数据控制、数据捕获、报警等功能。 ( 2 ) 在蜜罐本身的数据捕获方面，在分析比较现有解决方案的基础上， 开发了m y b a s h 作为蜜罐本身数据捕获的解决方案。m y b a s h 综合了现有解决 方案的众多优点，不仅可以记录入侵者的击键信息，还可以记录击键回复， 并通过串1 3 将捕获的数据转储到臼志服务器。m y b a s h 为蜜网的研究人员提 供了实现蜜罐数据捕获的种解决方案。 ( 3 ) 对蜜网的报警机制进行了改进，提出了通过手机短信报警的恩路。 通过对现有发送手机短信软件s m m 的协议分析，采用模拟该软件数据包的 方法，验证了蜜网使用手机短信报警的可行性。 ( 4 ) 对所设计的蜜网的数据控制、数据捕获、报警和i p 空间欺骗等功能 进行了系统的测试。 关键词：网络安全；入侵检测；蜜罐；蜜网 西南交通大学硕士研究生学位论文第1 i 页 a b s tr a c t a n e w l ye m e r g i n gn e t w o r ks e c u r i t yt e c h n o l o g yb a s e do na c t i v ed e f c n s e h o n e y p o tt e c h n o l o g yi sn o ww i d e l yc o n c e r n e da n d w i l lh a v eab r i g h tf u t u r e a h o n e y p o ti s an e t w o r ks e c u r i t yr e s o u r c e ，w h i c hc a nf a c i l i t a t eu st oa n a l y z ea n d s t u d yt h et e c h n o l o g y , t o o l sa n dt h em o t i v eo ft h ei n t r u d e r sb ym o n i t o r i n gt h e i r a c t i v i t i e s ，a n dt h u se n h a n c eo u ra b i l i t yt os a f e g u a r dt h en e t w o r k h o n e y n e t ，s h o r t f o rh o n e y p o tn e t w o r k ，i sah i g hi m p l e m e n t a t i o no fh o n e y p o tt e c h n o l o g y a sa n e t w o r ks y s t e m ，h o n e y n e t g e n e r a l l y c o n s i s t so ff i r e w a l l ，i n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) ，o n e o rm o r e h o n e y p o tm a c h i n e s ，b u t i tc a na l s ob ec o n s t r u c t e do na p h y s i c a lh o s t v i av i r t u a lm a c h i n es o f t w a r e w i t ht h eh o n e y n e th i g h l i g h t e d ，t h ef u n d a m e n t a l so f h o n e y p o tt e c h n o l o g ya r e e l a b o r a t e di nt h et h e s i s t h em a i nw o r kc o n c e r n e di n c l u d e s ： ( 1 ) b a s e do nt h ee x i s t i n gr e l e v a n tt e c h n o l o g yh o m e a n da b r o a d ，av i r t u a l h o n e y n e tw i t ht h ep u r p o s eo fs t u d yi s c o n s t r u c t e da n dt h ef u n c t i o n sc o n c e r n e d s u c ha sd a t ac o n t r o l ，d a t ac a p t u r ea n da l a r m i n ga r ed e s i g n e da n d i m p l e m e n t e d ( 2 ) i nt e r m so ft h ed a t ac a p t u r eo ft h eh o n e y p o ti t s e l f , an e ws o l u t i o na s m y b a s h i sd e v e l o p e db a s e do nt h ea n a l y s i sa n dc o m p a r i s o no ft h ee x i s t i n go n e s i n t e g r a t e dt h ev a r i o u sm e r i t s o ft h ee x i s t i n gs o l u t i o n s ，m y b a s hn o to n l yc a n r e c o r dt h ea t t a c k e r sk e y s t r o k e s ，b u tc a nr e c o r dt h ec o r r e s p o n d i n gr e p l ya n d t r a n s f e rt h ed a t ac a p t u r e dt ot h el o gs e r v e rv i aas e r i a lp o r t t h u sas o l u t i o nt o d a t ac a p t u r eo fh o n e y p o tv i am y b a s hi sp r o v i d e df o rt h er e s e a r c h e r si nh o n e y n e t ( 3 ) a n e wm e t h o do fa l a r m i n gv i am o b i l es h o r tm e s s a g ei s p u tf o r w a r d ， w h i c hi m p r o v e st h ee x i s t i n ga l a r m i n gm e c h a n i s mo fh o n e y n e t b ya n a l y z i n gt h e p r o t o c o l s o f e x i s t i n g s h o r t m e s s a g es o f t w a r es m ma n ds i m u l a t i n gt h e d a t a p a c k e to f i t t h ef e a s i b i l i t yo fa l a r m i n gb ym o b i l es h o r tm a s s a g ei nh o n e y n e ti s v e r i f e d ( 4 ) t h es y s t e m a t i ct e s to ft h eh o n e y n e tf u n c t i o n ss u c ha sd a t ac o n t r o l ，d a t a c a p t u r e ，a l a r m i n ga n d i pa d d r e s sd e c e i v i n gi sa c h i e v e d 西南交通大学硕士研究生学位论文第| ii 页 k e y w o r d s ：n e t w o r k s e c u r i t y ；i n t r u s i o nd e t e c t i o n ；h o n e y p o t ；h o n e y n e t 西南交通大学硕士研究生学位论文第1 页 第1 章绪论 1 1 课题的背景和意义 随着计算机网络应用的日益广泛，企业和人们的日常生活对计算机网络 的依赖性越来越大，但是网络安全事件时常发生，给受害企业和个人造成了 极大的损失。我国的信息安全技术发展相对滞后，信息安全事件所造成的影 响处于全球的前列，这种现状严重地影响着我国信息技术的发展与推广，从 而影响着国民经济的发展。因此，发展信息安全防护技术对我国的国民经济 发展具有深远的意义。 目前，传统的网络安全系统多是建立在防火墙、入侵检测、漏洞扫描等 技术之上，然而这些技术在越来越多的未知攻击谣前显褥力不从心，总是处 于一种被动防御的局面。蜜罐( h o n e y p o t ) 系统作为一种新型的网络安全工 具在检测、分析、研究网络攻击，尤其是未知攻击方面日益显示出其优越性。 蜜罐本身是一种安全资源，它并不向外界用户提供任何服务，它的核心价值 在于对攻击活动进行监视、检测和分析，从而使我们能够研究、学习黑客的 工具、技术和动机，提高自身的网络安全防御能力。显然，蜜罐技术并不是 传统安全防御技术的替代晶，而是它们的辅助和补充。相对于传统安全技术 的被动防御，蜜罐技术最大的优势在于它是主动地检测和响应网络入侵和攻 击，将蜜罐技术与传统的安全防护技术相结合，可以构建一个基于主动的网 络安全防护体系。目前，蜜罐技术的研究已经成为信息安全领域的研究热点， 具有重要的理论意义和实用价值。 西南交通大学硕士研究生学位论文第2 页 1 2 蜜罐技术国内外发展动态 1 2 1 国外研究状况 蜜罐技术作为一种新型的网络安全技术，已经得到国外很多研究机构和 公司的重视，国外市场上也已经出现了一些免费的和商业化的蜜罐系统。目 前，国外致力于蜜罐技术研究的组织主要有“蜜网项目组”( h o n e y n e t e r o j e c t ) 和“蜜网研究联盟”( h o n e y n e tr e s e a r c h a l l i a n c e ) ( 蜜网即蜜罐网络， 是蜜罐技术的一种高级实现形式) 。“蜜网项目缎”是一个非赢利性的研究组 织，其目标是学习、研究黑客社团所使用的工具、技术和动机，并将研究的 成果共享给安全人员【8 l 。“蜜网项目组”前身为1 9 9 9 年由l a n c es p i t z n e r 等人 发起的一个非正式的蜜网邮件组，到2 0 0 0 年6 月，此邮件组演化成“蜜网项 目组”，开展对蜜网的研究。为了联合和协调各国的蜜网研究组织共同对黑客 社团的攻击进行追踪和学习，2 0 0 2 年1 月，“蜜网项目组”倡议成立了“蜜 网研究联盟”，到2 0 0 5 年3 月为止，该联盟已经拥有了2 0 个来自不同国家和 地区的研究组织1 1 4 1 。 “蜜网项目组”目前的规划分为四个阶段：第一个阶段即1 9 9 9 年- - 2 0 0 1 年，主要针对蜜罐技术进行一些原理证明性的实验，提出了第一代蜜网架构； 第二阶段从2 0 0 1 年到2 0 0 3 年，对蜜罐技术进行发展，并提出了第二代蜜网 架构。第三阶段从2 0 0 3 年到2 0 0 4 年，其任务着重于将所有相关的数据控制 和数据捕获工具集成到一张自启动的光盘中，使得部署第二代蜜网更加容易。 第四阶段从2 0 0 4 年到2 0 0 5 年，主要目标为将世界各地部署的蜜网所采集到 的黑客攻击信息汇总到一个中央管理系统中，并提供友好的人机交互界面， 方便研究人员对黑客攻击信息的分析，以便从中获得一些有价值的信息。目 前“蜜网项目组”已经完成了前三个阶段的任务。 1 2 。2 国内研究状况 我国对蜜罐技术领域的研究起步较晚，2 0 0 1 年国家自然科学基金信息安 全项目正式对该领域进行了立项研究，目前还没有相关成果和产品的报道。 西南交通大学硕士研究生学位论文第3 页 虽然在某些安全产品中也提到了蜜罐系统，但只是采用了些初级的蜜罐技 术，缺乏对蜜罐技术尤其是蜜罐技术的高级实现形式蜜网进行全面的研究。 但令人振奋的是2 0 0 4 年9 月北京大学计算机研究所正式成立了蜜网项目研 究组，该研究组于2 0 0 5 年2 月2 2 日正式被世界“蜜网研究联盟”接受成为 其中的一员。这一事件标志着我国蜜罐技术研究正式与世界接轨。 1 3 研究内容 本论文主要研究内容如下： ( 1 ) 蜜罐技术基本原理，尤其是蜜罐技术高级实现形式蜜网的相关技术。 ( 萄虚拟蜜网的构建以及l p 空间欺骗技术。 ( 3 ) 蜜网数据控制的实现。 ( 4 ) 蜜网的数据捕获，尤其是蜜罐系统本身的数据捕获机制 ( 5 ) 蜜网的报警机制 1 4 论文结构 本论文共六章，按照如下方式组织： 第1 章：绪论，介绍了本课题的背景、意义和研究现状，说明了作者的 研究内容和论文结构。 第2 章：蜜罐技术原理，对蜜罐系统的定义、交互级剐、优缺点进行了 阐述，给出了蜜罐技术的两种实现形式：单机蜜罐系统和蜜罐网络系统。 第3 章：蜜罐网络中的关键技术，对蜜网的核心需求、发展演变和虚拟 蜜网技术进行了阐述，介绍了几种实现虚拟蜜网的工具。 第4 章：虚拟蜜髓总体设计，提出了虚拟蜜网设计目标，对整个蜜网系 统的数据控制、数据捕获、报警机制进行了总体设计，提出了一些改进方案。 第5 章：虚拟蜜网详细设计与实现，主要包括构建虚拟蜜网的重要配置 说明、m y b a s h 和s e n d m o b i l e m s g 的详细设计与实现。 第6 章：系统测试与结果分析，对作者所设计的虚拟蜜网进行了系统的 测试，并对测试结果进行了分析。 最后对整个论文的工作进行了总结，对下一步的工作进行了规划。 西南交通大学硕士研究生学位论文第4 页 第2 章蜜罐技术原理 2 1 蜜罐系统的定义及其发展历程 “蜜罐”一词最早出现在1 9 9 0 年出版的c l i f f o r ds t o l l 所写的( ( t h e c u c k o o se g g ) 一书中，该书记录了作者作为一名网络管理员，如何追踪、 监视黑客的一系列真实事件。国际蜜罐技术研究组织h o n c y n c tp r o j e c t 的创 始入l a n c es p i t z n e r 给出了蜜罐的权威定义：蜜罐是一种安全资源，其价值 在于被扫描、攻击和攻陷【9 1 。蜜罐并不向外界用户提供任何服务，所有进出 蜜罐的网络流量都可能预示着一次扫描、攻击和攻陷，蜜罐的核心价值在于 对这些非法活动进行监视、检测和分析。 蜜罐技术的发展历程可以分为以下三个阶段： 从九十年代初蜜罐概念的提池直到1 9 9 8 年左右，“蜜罐”还仅仅局限于 一种思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一 阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。 从1 9 9 8 年开始，蜜罐技术逐渐吸引了一些安全研究人员的注意，并开发 出一些专门用于欺骗黑客的开源工具和一些商业蜜罐产品。这一阶段开发的 蜜罐工具能够模拟某些操作系统和网络服务，对黑客的攻击行为能做出一些 简单的回应并记录他们的相关信息。这些蜜罐工具的出现也使得部署蜜罐变 得比较方便。 但是由于上述的蜜罐工具存在着交互程度低，较容易被黑客识别等问题， 从2 0 0 0 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程 序搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数 据控制的工具，使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他 们的攻击行为进行分析。 西南交通大学硕士研究生学位论文第5 页 2 2 蜜罐系统的交互级别 交互级别是蜜罐系统的一个重要特征，它体现了攻击者与实现这个蜜罐 的操作系统之间交互的程度。按照蜜罐系统的交互级别可将蜜罐分为低交互 蜜罐系统、中交互蜜罐系统和高交互蜜罐系统。 2 2 1 低交互蜜罐系统 一个典型的低交互蜜罐系统通常只是在一些特定的端口上摸拟一些特定 的服务。然后对这些端口进行监听，并把监听到的所有信息记录到指定的文 件。比如： n c t c a t - 1p 8 0 1 0 9 h o n e y p o t p o a 8 0 1 0 9 这样就会把8 0 端口上所发生的所有事件都记录到日志文件p o r t8 0 1 0 9 。 通过这种简单的方法。所有进入的通信都可以被识别和存储。然而，对于一 些比较复杂的协议来说，这种简单的监听方法就不能够得到有效的数据信息 了。 圈2 1 低交互蜜罐系统 在低交互的蜜罐中，不存在攻击者可直接操作的真实操作系统。这样由 操作系统而带来的复杂性就被消除了，当然也就最大限度地减少了系统可能 带来的风险。然而从另外一个角度来看，这种实现方式也具有一个很明显的 缺点：它不能够观察到入侵者和操作系统之间的进一步交互操作，而得到这 西南交通大掌硕士研究生学位论文第6 页 些交互信息正是设计蜜罐的初衷。在某种意义上，这种低交互的蜜罐和单向 连接非常相似，只是简单的对特定端i e i 进行监听，而不对相应的请求作出逑 一步的应答。因此，这种蜜罐的实现方式是非常被动的。 2 2 2 中交互蜜罐系统 和低交互蜜罐系统相比，中交互蜜罐系统向入侵者提供了更多的与操作 系统进行交互的机会，能对入侵者发出的请求做出简单的回应。通过这种较 高的交互行为，可以更加详细地记录并分析入侵者的行为。然而，在中交互 蜜罐中，仍然没有给入侵者提供进行交互的实际操作系统。它只是把那些模 拟某种服务的守护程序祓的更加成熟，使那些模拟的服务看起来更加逼真。 随着服务真实性的提高，系统所面l 临的风险也变得越大。这是因为随着系统 复杂程度的增加，入侵者找到系统安全漏洞的可锈性也随之增加。 2 2 3 高交互蛮罐系统 图2 - 2 中交互蜜罐系统 高交互蜜罐系统与前两种蜜罐的最大不同在于它给入侵者提供了一个真 实的操作系统，在这种环境下一切都不是模拟的或者受限的。这样所带来的 好处是这种蜜罐可以收集到更加丰富的入侵者的信息。然而与此同时，操作 西南交通大学硕士研究生学位论文第7 页 系统的介入将会使系统的复杂度大大增加，相应地系统所面临的威胁也就更 大。黑客入侵的目的之一是要得到系统的r o o t 权限和s h e l l 的访问权。对于 一个高交互的蜜罐来说，因为它向黑客提供了一个真实的操作系统，所以一 旦入侵者获得这些权限以后，蜜罐中真实的网络环境和其他一些入侵者感兴 趣的数据都将暴露在他面前，图2 3 中的虚线部分示意了这种潜在的威胁。 如果对这些资源不加以控制，可能会带来不可预计的后果。 构建一个高交互的蜜罐将是一个十分费时的过程。蜜罐正常运行的大多 数时间都应该处于严格的监视之下。一个不受控制的蜜罐是不具有太多价值 的，甚至蜜罐本身还可能成为系统中的一个安全漏洞。对蜜罐访问i n t c r n e t 的权限进行控制是非常有必要的，因为一旦蜜罐被攻陷，入侵者有可能将蜜 罐作为一个傀儡主机攻击其它系统。在正常情况下，蜜罐只会接收外部主机 的连接请求，不会主动向外部主机发出连接请求，因此可以通过对蜜罐发出 的连接请求进行限制的方法，降低鬣罐被入侵后所带来的风险。 图2 - 3 高交互蜜罐系统 疆南交通大学硕士研究生学位论文第8 页 2 3 蜜罐技术的优势 2 3 1 数据价值 当前，众多的安全组织所面临的一个挑战就是如何从收集到的数据中获 得有价值的信息，他们每天都收集到大量的数据，包括防火墙日志、系统日 志以及入侵检测系统告警信息等。这些信息的数是非常大，从而使得从数据 中提取有价值的信息变得极为困难。然而，蜜罐通常只会收集非常少量的数 据，但这些数据的含金量却很高。蜜罐的特征之是它没有任何产品型的功 能，任何对他的访问都是非法的、可疑的，它的这种特征大大降低了噪声级 别。大多数蜜罐每天只会收集到几兆字节的数据，甚至比这还要少，而不是 数g b 的数据，而它们所载八日志的任何数据都很可能是一次扫描、探测或 者攻击。同时通过分析蜜罐所收集的数据，很有可能发现新型的攻击方法和 攻击工具，而不像目前的大部分入侵检铡系统只能根据特征匹配的方法检测 到已知的攻击。 2 3 2 资源 当前绝大多数安全组织所面临的另一个难题就是资源的限制，有的甚至 是资源的耗尽。当资源耗尽时就意味着任何安全措施都已经失去了作用。例 如，一个入侵检测系统( i d s ) 可能要对大量的网络活动进行监视，有可能 是每秒数百兆字节的数据。在这种情况下，i d s 探测器的缓冲区可能就会被 填满，这样就造成了丢包的现象，从而就很可能错过对攻击的检测。然丽由 于蜜罐只会对少量活动进行捕获和监视，所以在它们身上通常不会发生资源 枯竭的问题。这就意味着我们不需要在充当蜜罐的主机的硬件上投入大量的 资金，只需要一些相对便宜的计算机就可以完成蜜罐的部署。 2 3 3 简单性 简单性是蜜罐的一大优势。部署一个蜜罐，不需要开发复杂新奇的算法 西南交通大学硕士研究生学位论文第9 页 不需要维护特征数据库，不需要配置规则库。你只要配置好蜜罐，把它部署 在网络中，然后静观其变。当然，对于高交互的蜜罐可能会相对复杂些，它 们本身需要和攻击者进行交互，可能会给第三方带来风险，需要我们严密监 视。正如那些经验丰富的安全专家们所说的那样，越是简单的概念，就越可 靠，系统复杂性越高，出现错误配置的概率就越大。 2 4 蜜罐技术的缺点 蜜罐具有如此多的优点，也许会有人认为蜜罐是安全界的最终解决方案， 但不聿的是，情况并非如此，它也有缺点，正是因为这些缺点，蜜罐不能取 代其他的任何安全机制，它只能够作为现有安全策略的补充。 2 4 1 视野狭窄 蜜罐的最大缺点就是视野狭窄，它只能看见针对它的行为。如果攻击者 闯入了你的网络，攻击了多个系统，但是由于没有直接攻击蜜罐本身，蜜罐 就不能够发现这次攻击。如果攻击者识别出了蜜罐的本质所在，他就会避开 这个系统而渗入到你的网络中，那么蜜罐永远也不知道他已经闯入了你的网 络。蜜罐对所收集到的数据如同显微镜，集中发现其中的价值。然而，蜜罐 的视野也像显微镜一样，只能观察到它镜头下的- - 4 部分，其余的就爱奠能 助了。 2 4 2 指纹 指纹是蜜罐的另外一个缺点，尤其是许多商业蜜罐。指纹使得攻击者能 够鉴别出蜜罐的存在，因为蜜罐会有一些专业特征和行为。例如，一个蜜罐 本想模拟n ti i sw e b 服务器的，但是蜜罐却有着u n i xs o l a r i s 服务器的特征， 这些不匹配的特征就成了蜜罐的指纹。一旦蜜罐被攻击者识破，他们很可能 会故意制造大量虚假数据或者立刻逃之天天，那么蜜罐就失去了收集攻击者 相关信息的作用，也就失去了存在的意义。 西南交通大学硕士研究生学位论文第1 0 页 2 4 3 风险 蜜罐的第三个缺点就是它们可能会将风险引入其所在的环境。这里所说 的风险，指的是一旦蜜罐被攻陷，它就有可能被攻击者利用作为攻击、渗透 其他系统的跳板。不同交互级别的蜜罐会有不同的风险，蜜罐的交互级别越 高，它所带来的风险也就越大。为了尽量降低这种风险，高交互蜜罐通常都 采取了多个层次的数据控制措埯，必要的时候还有管理人员的人工干预。 2 5 蜜罐技术的实现形式 2 5 1 单机蜜罐系统 单机蜜罐系统是由一台主机实现，这里的“单机”是指逻辑上的一台计 算机，即仅运行一个操作系统。单机蜜罐系统通常是低交互或中交互级别的 蜜罐系统，由于它们提供给入侵者的交互程度有限，相应地捕获的数据量比 较少，因此它们通常用于对未授权活动进行检测和预警，也可以用于对正常 主机提供一定的保护。 目前，国外已经出现的单机蜜罐系统包括可提供技术支持的商业化蜜罐 和开放源代码的蜜罐。下面对其中有代表性的蜜罐进行简单的介绍。 ( 1 ) b a c k o f f i c c rf r i e n d l y b a c k o f f i c e r f r i e n d l y 通常称作b o f ，它是个简单的免费蜜罐解决方案， 其开发者为m a r c u s r a n u m 和n e t w o r k f l i g h t r e c o f d e f 公司的员工。b o f 是一 种低交互蜜罐，可以运行于几乎所有的w i n d o w s 系统中。其安装和配置都极 为简单，并且所需的维护也很少。不过，这种简捷性也是有代价的：其功能 非常有限。它哭提供了进行端口侦听的很小的服务集合以及特别有限的模拟 功能。 ( 2 ) s p e c t e r s p e c t e r 是一种具有商业支持的蜜罐，由n e t s e c 公司开发和销售。与b o f 相似，s p e c t e r 也是一种低交互的蜜罐。不过，与b o f 相比s p e c t e r 所具备的 功能强大得多。s p e c t e r 不仅可以模拟更多的服务，而且可以模拟不同的操作 西南交通大学硕士研究生学位论文第11 页 系统和漏洞。它还具有大量的预警和同志功能。由于s p e c t e r 只模拟了具有 有限交互的服务，因此很容易部署，维护也很方便，并且风险也很低。不过， 与中等和高交互的蜜罐相比，它受限于所能收集到的信息量。 ( 3 ) d t k d t k ( d e c e p t i o nt o o l k i t ) 是1 9 9 7 年蘑世的首个开放源码的蜜罐系统， 它是由p e r l 和c 语言编写。d t k 旨在使运行d t k 的系统在攻击者看来好像 存在许多已知的漏洞，d t k 监听输入并做出似乎真的存在某些漏洞的反应。 在这个过程中它记录所有动作，提供相应的应答，使攻击者产生系统不安全 的错觉。d t k 的主要目的是引诱攻击者【1 3 】。 ( 4 ) h o n e y d h o n e y d 是一种开发源码的低交互蜜罐。其主要目的在于对可疑活动进行 检测、捕获和报警。h o n c y d 由n i d sp r o v o s 开发于2 0 0 2 年4 月，它为蜜罐 引入了几个新概念。首先，它并不是对单个i p 地址进行活动监视，而是对具 有数以百万计系统的网络进行监视。当它检测到对并不存在的系统的探测时， 就会动态地承担起这个系统的角色，然后与攻击者进行交互，这就指数级地 增加了蜜罐检测和捕获攻击的能力。它可以在应用程序层和口堆栈层上模拟 数百个操作系统。作为一种开放源码的解决方案，h o n e y d 是一项免费技术， 可以完全访问到其源代码，我们可以定制自己的解决方案或者使用由安全界 其他成员所开发的那些方案。h o n e y d 是为u n i x 平台设计的，其安装和配置 都相对简单，主要依赖于一种命令行形式的接口【吼。 2 5 2 蜜罐网络系统 蜜罐网络系统简称蜜网( h o n e y n e t ) ，它是由多个系统组成的一个高度受 控的网络，借助予虚拟机软件整个蜜羽系统也可以在一台物理主机上浓缩实 现。该网络位于防火墙之后，所有进出的数据都会被捕获和控制，然后通过 分析捕获的数据，获取关于入侵者的相关信息。蜜网中可以使用各种不同的 操作系统和硬件设备，不同的系统平台运行各种不同的服务如f t p 、w w w 等，使网络环境更加真实可信。蜜网这种多样化特性，使我们能够更多地了 解攻击者使用的工具、所掌握的技术以及攻击的动机。所有置于蜜网中的系 统都是标准的产品系统，其上运行的操作系统和应用程序与互联网上的系统 西南交通大学硕士研究生学位论文第12 页 没有任何区别。蜜网中的这些标准系统也被称为蜜罐，从本质上讲，这些系 统之所以会成为蜜罐，是因为它们的价值体现于被探测和被攻击。处于蜜网 中的蜜罐与单机蜜罐系统不同的是，前者都是高交互级别的蜜罐系统，它们 向入侵者提供了完整的操作系统供其交互。本论文的后续部分所讨论的蜜罐 均是指位于蜜网内部的蜜罐。 按照蜜网的用途可以将它们划分为产品型蜜网和研究型蜜网。 产品型蜜网的目的在于为一个组织的网络提供安全保护，包括检测攻击、 防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产 品型蜜网比较容易部署，而且不需要管理员投入大量的工作。 研究型蜜网则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜 嘲，对黑客攻击进行追踪和分析，能够捕获黑客的击键记录，了解到黑客所 使用的攻击工具及攻击方法，甚至能够监听到黑客之间的交谈，从而掌握他 们的心理状态等信息。研究型蜜网需要研究人员投入大最的时间和精力进行 攻击监视和分析工作。 西南交通大学硕士研究生学位论文第13 页 第3 奄蜜罐网络中的关键技术 3 ，1 蜜网的核心需求 蜜网有三大核心需求：即数据控制、数据捕获和数据采集。 ( 1 1 数据控制 数据控制目的是确保蜜网中被攻陷的蜜罐主机不会被用来攻击蜜网之外 的主机。这一点要求必须在不被入侵者察觉的情况下，对出入蜜网的数据进 行控制。 ( 2 ) 数据捕获 数据捕获目的是秘密捕捉与入侵者相关的所有流量，包括击键序列及其 发送的数据包，以便分析他们使用的技术、工具及策略。蜜两区别于单枫蜜 罐系统，它采用基于网络的信息收集方式。 0 ) 数据采集 如果公司组织有多个逻辑的或物理的蜜网分布于广域网之中，比如蜜网 研究联盟就是这种情况，那么每个蜜网还要实现第三个核心需求数据采 集。这要求各个蜜网捕获的数据能够安全地汇集到菜中央数据收集点，供以 后分析和存档。 3 2 蜜网的发展演变 3 2 1 第一代蜜网( b e n ih o n e y n e t ) g e n i 蜜网发展于1 9 9 9 年，其主要目的是为了捕获黑客的活动，但当时 已经有了实现该目的的几个解决方案，包括前面介绍过的几个蜜罐。然而， g e m 蜜网在两个方面胜过了大多数蜜罐方案：它能捕获大量的信息，并且能 捕获到未知的攻击。g e m 蜜网是第一个真正的高交互蜜罐解决方案，它简单 西南交通大学硕士研究生学位论文第14 页 高效地实现了数据控制和数据捕获两种基本功能。圈3 1 给出了第一代蜜刚 的拓朴结构。 3 2 1 1 数据控制 图3 - 1g e n lh o n e y n e t 拓扑结构 数据控制是在不引起入侵者怀疑的情况下对入侵者行为规则进行定义， 允许或者限制他们做某些事情，从而尽量降低与入侵者周旋的风险。入侵者 攻入系统之后，首先需要从网络上下载他们所需的工具包、打开i r c 连接( 黑 客常用的一种聊天工具) 等等，必须使他们具有这种权跟这正是蜜弼所 耍分析的内容。早期设计的蜜网曾经错误地禁止任何数据包外出，入侵者对 这一点非常敏感，往往进入蜜罐系统后马上就察觉到了系统的异常，删除所 有入侵证据后就溜之大吉了。所以，数据控制必须允许入侵者做大部份事情， 但是对攻击其它系统的“需求”，比如发起拒绝服务攻击、对外部进行扫描以 及使用漏洞利用程序攻击他人，刚一概拒绝。 g e m 蜜网通过建立一个独立的专用网络，并使用防火墙和路由器作为访 问控制设备实现对整个蜜网的数据控制。防火墙采取“宽迸严出”的策略， 允许任何入境连接。但严格控制出境连接。当蜜罐试图进行出境连接时，由 西南交通大学硕士研究生学位论文第15 页 于防火墙是状态表示的，它依赖于计算最新启动的连接数量而不是计算数据 包的个数实现“宽进严出”的策略。因此，一个下载2 0 0 m b 文件的出境f t p 连接被认为是一个连接，而一个被攻陷的蜜罐浏览了1 0 个不同的网页则被认 为是1 0 个不同的连接。防火墙的出境连接数达到某个闽值时，防火墙就会阻 断与蜜罐的任何通信。出境连接的数目取决于你想了解多少信息及能够承担 多大的风险。h o n e y n e tp r o j e c t 的成员经过研究发现，每天允许5 1 0 个出境 连接是最佳的。允许5 1 0 个连接给了攻击者很大的灵活性，他们可以启动 出境连接来下载工具包或建立i r c 通信。同时，这个连接数目也起到了足够 的限制作用，可以阻断大多数攻击，如拒绝服务和扫描等。 为了增加数据控制的冗余机制，避免单点故障，g e n lh o n e y n e t 在防火墙 和蜜罐之间还放置了路由器，如图3 - 1 所示。该路由器可以使防火墙具有“不 可见”性。一旦某个蜜罐被攻破，攻击者就会发起出境连接，但他们只能“看 到”路由器，并不能“看到”控制他们的防火墙。作为数据控制的第二种手 段，可以使用路由器对流出的数据包进行过滤，如丢弃所有i c m p 数据包、 丢弃源地址非蜜网内部i p 的数据包等。这样可以防止i c m p 类攻击、伪造源 l p 地址的攻击，大大减轻了防火墙的工作负载。 3 2 。1 2 数据捕获 数据捕获的目的是在不被入侵者发现的情况下，获得尽可能多的入侵者 的信息。实现蜜网数据捕获的关键是要分层捕获数据，这样不仅可以使所收 集的信息量最大化，而且还可以降低失败的概率。 第一层数据摘获机制是防火墙日志。防火墙不但具有重要的数据控制功 能，还可以记录所有出入蜜网的数据连接，并及时发出报警信息。虽然防火 墙能记录的信息是有限的，它主要记录所有数据包的包头信息，如攻击的日 期时间、源和目的i p 地址以及源和目的端口。然而，这些信息可能是非常 关键的。例如，如果某人尝试t e l n e t 登录到蜜网中的某台主机，防火墙就会 记录并报警。另外，它还可以记录对后门及非常规端口的连接企图。多数攻 击的漏洞利用程序都会创建新的s h e l l 或者打开某个端口等待外来连接，防火 墙可以轻易判断出对这些端口的连接企图并且报警。 第二层数据捕获是入侵检测系统0 d s ) 。图3 - 1 的g e mh o n e y n e t 中部署 西南交通大学硕士研究生学位论文第16 页 的入侵检测系统具有两个网络接口，一个与h o n e y n e t 连接，一个与产品网络 连接。通常，这样的设备是非常危险的，因为它给攻击者提供了蜜网与正常 网络之间的直接连接。然而，i d s 与h o n e y n e t 连接的网络接口工作于数据链 路层，并不具有i p 地址( 图中用虚线表示) ，所以攻击者很难实施攻击。而 且，这是一个被动的网络接口，工作于混杂模式，能够捕获网络上的所有数 据包。i d s 的第二个网络接口与产品网络连接，它允许i d s 的远程管理和数 据采集。 入侵检测系统的第一个重要的角色是捕获所有的网络活动，完整地记录 每一个数据包的内容。通常，捕获如此多的信息要耗费相当多的资源，大多 数组织都无法承受。然而，蜜两的活动很少，往往是菜种形式的探禊j 和攻击， 因此完全地记录这些数据包并不会耗费太多的资源。i d s 所收集的这些数据 包是非常关键的，因为它不仅能使我们对蜜两在网络层进行分析，而且可以 捕获击键序列、工具包，甚至黑客之间的会话。捕获到的这些信息通常被i d s 以二进制文件保存。 i d s 系统的第二个功能是对所有可疑行为发出警报。大多数i d s 系统都 有签名数据库，包括了所有已知的探测或攻击。当网络上的某个数据包与其 中一个签名匹配时，i d s 就会发出警报。对大多数公司组织来说，对数据包 进行检测是部署i d s 的主要目的。然而对于蜜网而畜，这并非关键所在，因 为所有入境和出境连接都被默认为是可疑的或恶意的，防火墙已经向我们发 出了预警，并且i d s 只能检测到已知的攻击。然而，与防火墙相比，i d s 系 统的报警信息更加细致，尤其是对已知的攻击它可以提供特定连接的详细信 息，有助于我们更深入地了解关于攻击的信息。 第三层数据捕获是蜜罐系统本身自带的日志功能。为了保证实时记录入 侵行为，并且记录文件不被入侵者破坏，首先需要考虑的是不仅实现本机日 志，而且应该在远程目志服务器上进行远程日志记录。对于大多数类u n i x 系统来说，可以通过修改远程s y s l o g 服务器的曰志配置文件实现远程日志。 但在w i n d o w s 系统上，一般还需要借助第三方的远程日志记录工具。 综上所述，防火墙在i p 层记录所有出入蜜网的连接，并且及时向系统管 理员发出警告信息；i d s 在数据链路层对蜜网中的网络流量进行监控、分析 和抓取数据包以便将来能够重现攻击行为，同时在发现一些可疑活动的时候 报警，它属于被动监听，不易被入侵者发现；蜜罐主机除了使用操作系统自 西南交通大学硕士研究生学位论文第17 页 身提供的日志功能以外，还可以采用第三方软件加强曰志功能，并且传输到 安全级别更高的远程日志服务器备份。三重目志记录机制充分体现了基于厣 络的信息收集策略，互为补充，为蜜网提供了安全强大的数据捕获功能。 3 2 2 第二代蜜网( g e n iih o n e y n e t ) g e n l lh o n e y n e t 开发于2 0 0 2 年，是为了解决g e n lh o n e y n e t 中存在的各 种问题而提出的。第二代蜜网大大增加了蜜网的灵活性，可管理性和系统安 全性。不同予第一代蜜网，第二代蜜网在一台被称为h o n e y w a l l 的二层网关 或者称作网桥上实现了蜜网所有的关键功能，即数据控制、数据捕获和数据 采集。所有功能都由单一资源实现，方便了蜜网的配置管理。使用网桥有几 个优点：首先由于网桥没有l p 协议栈也就没有i p 地址、路由通信量以及r r l 缩减等特征，入侵者难以发现网桥的存在，也就不知道自己正处于控制之中； 二是，所有出入蜜网的通信蠢必须通过网关，这意味着在单一的网关设备上 就可以实现对全部出入通信量豹控制和捕获。图3 2 给出了第二代蜜网的一 般网络拓朴结构，其中网络接口c t h 0 和e t h l 组成网桥，用虚线表示。 圈3 - 2g e n i ih o n e y n e t 拓扑结构 西南交通大学硕士研究生学位论文第18 页 3 2 2 1 数据控制 g e n i ih o n e y n e t 提高了g e mh o n e y n e t 中控制入侵者行为的能力。第一代 蜜网仅仅通过计算夕 出连接数目来限制入侵者的外连行为，而第二代蜜网更 加智能化，它采用了连接数限制和攻击包抑制相结合的机制来对入侵者行为 进行控制。连接数限制防止入侵者对外界进行大规模的扫描或发起拒绝服务 攻击，而攻击包抑制主要是防止入侵者发起些少量数据包即可奏效的攻击。 攻击包抑制是通过在二层网关上安装一个网络入侵防护系统( n i p s ) 来实现 的。由于该网络入侵防护系统只能根据已知的签名数据库检测攻击行为，不 能检测未知攻击，因此，我们必须使其与出境连接数限制相结合。但与g e n i h o n e y n e t 相比，g e n i ih o n e y n e t 的外出连接数的阈值要大得多，如5 0 个出境 连接，这样有助予减少蜜网的指纹。 攻击包抑制主要体现在可以对通过二层网关的含有恶意代码的数据包进 行修改或丢弃。在入侵者看来，他向外发起的攻击似乎成功了，但却不会真 正生效，他很难意识到究竟是什么原因。通过这种响应措施，就可以更好地 控制入侵者的行为。 3 2 2 2 数据捕获 g e n i i 蜜网在数据捕获方面使用的技术与g e n i 蜜弼大体相同，捕获到的 信息大部分来自予防火墙日志和嗅探器捕获的网络数据。在大多情况下，网 络数据捕获被认为是检查攻击的最关键的信息。然而现在越来越多的黑客开 始使用加密工具保护和稳藏他们的通信。对于加密的数据通信，通过嗅探器 捕获的数据将变得毫无价值。为了观察入侵者经过加密的会话，就必须从蜜 罐系统本身捕获他们的相关活动信息，因为任何加密的通信在终端都是以明 文形式存在的。而击键记录最能体现入侵者在蜜罐中的活动，因此g e n i i 蜜 网通常使用击键记录从蜜罐系统捕获黑客入侵活动信息。实现击键记录，需 要对系统进行修改，但要求系统改变尽可能的少，因为对系统的任何修改都 像指纹一样可能会被黑客发觉。同时捕获到的击键记录不能存储于蜜罐主机， 这很可能会被入侵者发现，使他意识到该系统是一个蜜罐：另一方面，黑客 入侵成功后可能会篡改这些数据，因此必须把捕获的击键记录进行远程存储。 西南交通大学硕士研究生学位沦文第19 页 3 2 。2 3 数据采集 与g e n ih o n e y n e t 相比，g e n i ih o n e y n e t 是面向分布式环境设计开发的， 在该环境中，多个蜜网亩个组织控制，因此必须考虑到数据采集的问题。 对于单个蜜网部署，数据采集发生在蜜网本身或管理网络中。然而，对于分 布式部著，必须有对系统进行远程管理和采集所捕获数据的方法。 数据采集最关键是要保证信息以一种安全的方式采集，数据采集的重点 在于必须保证信息的完整性、真实性和保密性。这意味着必须采取某些加密 措施如从每个分布式h o n e y n e t 到中央位置点的i p s e c 隧道。加密保证传送 的数据不会被篡改，每个蜜网都要向中央服务器验证身份，并且要保证没有 第三方能够看到这些数据。在图3 - 2 中，在蜜网的h o n e y w a l l 上有第三个网 络接口e t h 2 ，该接口专用于数据采集和远程管理。通过该接口，所有的数据 都可以远程发送给中央采集点，并实现对所有分布式蜜网的管理。 数据采集的另一个关键是对发送数据的格式标准化。这保证了从不同组 织的蜜网采集到的数据能够简单地实现共享和聚合。h o n e y n e tp r o j e c t 制定的 “h o n