（计算机应用技术专业论文）基于vmware的虚拟蜜网技术的研究与实现.pdf

哈尔滨理工人学工学硕上学位论文 基于v m w a r e 的虚拟蜜网技术的研究与实现 摘要 蜜罐是近几年兴起的一种主动安全技术。它是一种安全资源，它的价值 在于被扫描、攻击和攻陷。蜜网是在蜜罐的基础上发展起来的欺骗性网络， 一般是由防火墙、入侵检测系统和蜜罐主机等多个设备组成的网络系统，但 也可以借助于虚拟机软件在一台物理主机上实现虚拟蜜网。到目前为止己经 从蜜罐系统经历了第一代蜜网技术，第二代蜜网技术到第三代蜜网的发展历 程，甚至出现了大规模的蜜场技术。但是蜜网作为一种新的技术，和其他新 兴技术一样，也同样存在着缺陷。 本文对蜜罐技术的相关原理进行研究和概述，从数据捕获、数据分析和 数据控制三个方面对蜜网实现的关键技术进行研究，提出了多层次数据捕获 和数据控制的思想，并结合现有的工具和技术成功部署了一个虚拟蜜网系 统，并满足了蜜网的核心需求，有效地实现了多层次的数据捕获和控制功 能，也使得部署蜜网的作用得到充分发挥。同时，在具体实现蜜网系统时， 充分考虑了对于日志信息的安全可靠性，设计了异地存储模式，并采用重定 向器将黑客发起的攻击重定向到蜜罐系统中，有效地阻止了黑客的进一步攻 击行为，并且利用网桥的思想加强了网络管理模块的安全性。最后对虚拟蜜 网的设计进行了测试，测试结果经分析表明各功能基本实现。 关键词蜜罐；虚拟蜜网；数据控制；数据捕获 哈尔滨理工人学工学硕上学位论文 r e s e a r c ha n di m p l e m e n t a t i o nb a s e do nv m w a r ei n v i r t u a lh o n e y n e tt e c h n o l o g y a b s t r a c t h o n e y p o tt e c h n o l o g yi san e we m e r g i n gt e c h n o l o g yi nr e c e n ty e a r s ，i ti so n e k i n do fs e c u r i t yr e s o u r c e s ，w h o s ev a l u el i e si nb e i n gs c a n n e d ，a t t a c k e da n d c o m p r o m i s e d h o n e y n e ti sa s o r to ft h ef r a u d u l e n tn e t w o r kw h i c hd e v e l o p e do n t h eb a s i so ft h eh o n e y p o tt e c h n o l o g y a san e t w o r ks y s t e m ，h o n e y n e tg e n e r a l l y c o n s i s t so ff i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，o n eo rm o r eh o n e y p o t m a c h i n e s ，b u ti tc a na l s ob ec o n s t r u c t e do nap h y s i c a lh o s tb yv i r t u a lm a c h i n e s o f t w a r e s s of a ri th a sa l r e a d ye x p e r i e n c e df r o mt h ef i r s tg e n e r a t i o no fh o n e y n e t t e c h n o l o g y ，s e c o n dg e n e r a t i o no fh o n e y n e tt e c h n o l o g yt ot h et h i r dg e n e r a t i o n h o n e y n e t sd e v e l o p m e n tp r o c e s so nt h eh o n e y p o tt e c h n o l o g y ，e v e np r e s e n t e dt h e l a r g e - s c a l eh o n e yf a r mt e c h n o l o g y b u tt h eh o n e y n e t i so n ek i n do fn e w t e c h n o l o g y ，a l s oh a st h el i m i t a t i o n sa so t h e rn e wt e c h n o l o g i e s t or e a l i z et h eh o n e y p o tt e c h n o l o g y ，t h i st h e s i sf i r s t l ys t u d i e st h et h r e ek e y d a t ac a p t u r e ，t e c h n o l o g i e si n c l u d i n gf o l l o wa s p e c t s ：d a t ac a p t u r ed a t aa n a l y s i s a n dd a t ac o n t r 0 1 a tl a s tt h et h e s i sr e p r e s e n t san e wm e t h o do fm u f t i l e v e ld a t a c a p t u r ea n dd a t ac o n t r 0 1 c o m b i n e dw i t ht h ec u r r e n tt e c h n o l o g ya n dt o o l s ，t h i s t h e s i sh a ss u c c e s s f u l l yd e p l o y e dah o n e y n e ts y s t e m ，w h i c hm e e t sa p a r tf r o mt h e d a t ac o n t r o l ，t h ed a t ac a p t u r e ，t h ed a t aa n a l y s i sd e m a n d i tc a ne f f e c t i v e l yf u l f i l l t h ef u n c t i o no fd a t ac a p t u r ea n dd a t ac o n t r 0 1 a n di ta l s oe n a b l e st h ed e p l o y m e n t h o n e y n e t sf u n c t i o nt oo b t a i nt h ef u l ld i s p l a y a tt h es a m et i m e ，w h e nr e a l i z i n g t h eh o n e y n e ts y s t e ms p e c i f i c a l l y ，t h es y s t e mh a sd e s i g n e dt h ed i f f e r e n ts t o r a g e p a t t e r no nt h eb a s ef u l l yc o n s i d e r i n gt h el o gi n f o r m a t i o n ss e c u r i t ya n dr e l i a b i l i t y ， a n du s i n gb r i d g e st h o u g h tt os t r e n g t h e ns e c u r i t yo ft h en e t w o r km a n a g e m e n t m o d u l e k e y w o r d sh o n e y p o t ，v i r t u a lh o n e y n e t ，d a t ac o n t r o l ，d a t ac a p t u r e - i i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于v m w a r e 的虚拟蜜网技术 的研究与实现，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独 立进行研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人 已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均己在文 中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名： 日期：呷私月枷 哈尔滨理工大学硕士学位论文使用授权书 基于v m w a r e 的虚拟蜜网技术的研究与实现系本人在哈尔滨理工大学攻 读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨 理工大学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈 尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交 论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影 印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密口。 ( 请在以上相应方框内打d ) 作者签名： f t 其i i ：叩年湖v 日 聊虢翩瓢嗍训7 年 月7 日 哈尔滨理工人学工学硕上学位论文 第1 章绪论 1 1 论文选题的背景和意义 随着计算机网络技术的迅速发展及广泛应用，全球信息化已经成为社会发 展的必然趋势，由于计算机网络分布的广域性、体系结构的开放性、资源共享 性和信道的共用性等特点而增加了网络的实用性，但同时也不可避免地带来了 网络的脆弱性和被攻击性，网络安全问题也变得越来越重要。病毒、黑客几乎 每时每刻都在困扰着互联网的用户，当网络被攻陷后，人们甚至还不知道攻击 者是谁，对他们使用了哪些工具，以何种方式攻击目标，以及攻击目的更是一 无所知针对如此严重的威胁，网络安全问题已经引起广泛的关注和研究。 目前，传统的网络安全方面主要采取被动的防御策略，如防火墙、入侵检 测系统( i d s ) 、数据加密和身份认证等，它们一般都是基于规则和特征匹配方 式，只能防范已知攻击，然而，黑客的攻击技术在不断更新变化，对于越来越 多的未知攻击，传统的防御策略方式就显得力不从心。为了研究黑客的行为， 并对他们的行为进行防范，蜜罐( h o n e y p o t ) 及蜜网( h o n e y n e t ) 技术作为近年来出 现的一种新型的主动防御技术，在检测、分析和研究网络攻击，尤其是未知攻 击方面日益显示出了优越性。与通常使用的安全防御设施不同，蜜网技术只有 在受到入侵和攻击的情况下才。能展现出价值。一直以来，黑客的攻击工具、技 术、策略和动机都很少为人所知，但是蜜网技术的出现使安全领域的专家及用 户不但可以了解到这些信息，甚至能够从中发现规律和趋势，为捕获黑客的攻 击行为，并深入分析黑客提供了基础。使用者可以利用蜜网技术开展主动的研 究活动，也可以通过蜜网技术对攻击者进行控制和引导。 1 2 国内外发展动态综述 1 2 1 国外研究状况 第一次出现h o n e y p o t ( 蜜罐) 的概念是在c l i f f o r ds t o l l 的( ( t h ec u c k o o s e g g ) ) 【1 1 中，但是对于蜜罐的权威定义则是由蜜网项目组 的创始入l a n c e s p i t z e r 给出的：蜜罐是一种安全资源，其价值在于被扫描、攻击和功陷2 1 。 哈尔滨理工大学_ t 学硕十学位论文 h o n e y n e t ( 蜜网) 是h o n e y p o t ( 蜜罐) 领域一相对较新的概念，1 9 9 9 年8 月发 表的一篇文章如何构建h o n e y n e t ) ) ，首先提出了h o n e y n e t 的概念。简单的说 就是一个或者多个蜜罐组成的网络系统。 研究蜜网技术的组织机构主要有：h o n e y n e tp r o j e c t ( 蜜网项目组) 和 h o n e y n e tr e s e a r c ha l l i a n c e ( 蜜网研究联盟) 。2 0 0 0 年6 月，成立了h o n e y p o t p r o j e c t ( 蜜网工程组) ，它是一个由众多志愿者组成的致力于研究网络安全的非 赢利性组织，该组织成立的宗旨是通过提供必要的网络安全知识、提供该组织 开发的开源的工具软件的方法来共享经验教训和提高人们的网络安全意识。为 了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习， 2 0 0 1 年1 2 月，蜜网研究联盟成立，该联盟致力于对h o n e y n e t 技术的提高和进 一步开发，促进不同研究组织对h o n e y n e t 的研究和部署。蜜网研究联盟章程规 定了成员组织研究和共享信息的原则，并规定了数据共享的标准文档格式【3 j 。 该联盟使得各成员组织之间能够共享成果，对网络威胁的认识能力。在很多方 面，联盟代表了技术的最新发展动向。截止到2 0 0 7 年1 月初，已经有个来自 2 3 个不同国家和地区的组织加入到该联盟。 蜜网项目组初期( 1 9 9 9 年至2 0 0 1 年) 就提出了第一代蜜网的结构模型，主 要研究蜜罐系统模型的试验和蜜罐理论的验证，并且验证了蜜网的可行性和有 效性。蜜网中期( 2 0 0 2 年至2 0 0 4 年) 的研究提出了第二代蜜网结构模型，研究 的核心放在简化蜜网的应用上，着重考虑了数据控制、数据捕获、数据分析。 初期的蜜网功能虽然强大，但是实用性较差，有很多版本都是基于命令行的安 装，有些功能具体到用户来说不实用或者是根本就不需要的，所以经过中期的 研究，在延续了蜜网初期的强大功能基础上，将蜜网所需要的工具软件都集中 在一张自启动盘上，使得蜜网的应用扩展到教育、商业、军事等领域。从2 0 0 5 年至今，蜜网项目组研究的重点转移到数据捕获和数据分析上，并且直致力 于提高蜜网的易用性，同时随着研究的深入提出了第三代蜜网结构模型。研究 组主要目标为将世界各地部署的蜜网所采集到的黑客攻击信息汇总到一个中央 管理系统中，并提供友好的人机交互界面，方便研究人员对黑客攻击信息的分 析，以便从中获得一些有价值的信息。目前，对蜜罐及蜜网技术的研究集中在 以下三个方面【4 j ：动态蜜罐技术( d y n a m i ch o n e y p o t ) ：能自动配置一些虚拟蜜 罐，并根据网络状态，动态地进行自适应；蜜场技术( h o n e yf a r m ) ：用于大型分 布式网络，蜜场是安全操作中心，控制操作所有的蜜罐；蜜标技术( h o n e y t o k e n ) ：蜜罐概念的扩展，使用一些正常情况下永远都不会使用的信息内容作 为诱饵。 哈尔滨理t 大学工学硕上学位论文 1 2 2 国内研究状况 在国内，目前蜜罐相关产品还没出现，对蜜罐研究仍处于初期阶段。国内 对蜜罐的研究以a r t e m i s ( 狩猎女神) 为代表。狩猎女神项目是北京大学计算机研 究所信息安全工程研究中心推进的蜜网研究项目。该中心已于2 0 0 5 年1 月向 世界“蜜网研究联盟 提出加入申请，并于2 0 0 5 年2 月2 2 日正式成为该联盟 组织的中国第一支研究团队。 狩猎女神项目目前的实践和研究方向包括如下三个方面： 1 跟进最新的蜜罐与蜜网技术发展，实际部署和维护蜜网，并对蜜网捕获 的黑客攻击及恶意软件进行深入分析，增进对蜜罐与蜜网技术的理解，了解互 联网最新的安全威胁。 2 通过物理蜜罐和自动恶意软件收集软件两种途径对互联网上传播的恶意 软件进行捕获，并对其进行深入分析，研究恶意软件捕获和分析的规范化及自 动化流程。特别针对僵尸网络进行发现、追踪及反制的研究。 3 针对蜜网的核心功能一数据分析，研究蜜网攻击数据统计分析及关联分 析技术，并进行实用化工具研发。 目前狩猎女神项目部署的蜜网融合了“蜜网项目组”最新提出的第三代蜜网 框架、h o n e y d 虚拟蜜罐系统、以及m w c o l l e c t 和n e p e n t h e s 恶意软件自动捕获 软件。 1 3 论文的主要研究内容 论文首先分析了当前网络面临的安全威胁，论述蜜罐和蜜网技术在网络安 全防御中的作用与当前研究状态，并对蜜罐和蜜网技术的发展历程及相关原理 进行研究和概述。并从数据控制、数据捕获、和数据分析以及蜜罐自身等方面 对蜜网实现的关键技术进行研究，提出了多层次数据捕获和数据控制的思想。 并结合现有的工具和技术实现了一个虚拟蜜网的总体设计，在蜜网的实现过程 中借助蜜场的设计思想在虚拟蜜网的体系设计中运用重定向器，把攻击者对业 务网络的攻击行为重定向到蜜罐网络中，从而更充分的实现了对入侵数据的控 制、捕获和分析。最后对蜜罐和蜜网技术进行展望，提出了下一步的研究方 向。 哈尔滨理- t 大学t 学硕十学位论文 1 4 论文结构 本论文共分五部分，按照如下方式组织： 第一章：绪论，介绍了本文选题的背景、意义和研究现状，说明了作者的 主要研究内容和论文结构。 第二章：蜜罐和蜜网及其关键技术，详细介绍了蜜罐技术，着重指出了蜜 网技术的特点和核心需求，给出了第一、二、三代蜜网的网络拓扑结构。 第三章：蜜网系统体系结构，以第二代蜜网体系结构为基础，逐一介绍了 体系结构中的数据控制模块、数据捕获模块、自动告警和数据分析以及蜜罐模 块。 第四章：虚拟蜜网系统的设计与实现，虚拟蜜网的总体设计，主要包括构 建虚拟蜜网的重要配置，安全策略等，并对蜜网的数据控制和数据捕获机制在 功能上进行初步的测试。 结论：最后对整个论文的工作进行了总结，对下一步的工作进行了规划。 哈尔滨理工人学工学硕士学位论文 第2 章蜜罐和蜜网及其关键技术 2 1 蜜罐技术 2 1 1 蜜罐的概念和发展历程 “蜜罐 这一概念最初出现在1 9 9 0 年出版的一本小说mc u c k o o s e g g 中，在这本小说中描述了作者作为一个公司的网络管理员，如何追踪并 发现一起商业间谍案的故事。 “蜜网项目组 ( t h eh o n e y n e tp r o j e c t ) 的创始人l a n c es p i t z e r 给出了对 蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。在 实际应用中，蜜罐系统一般都由专门的硬件环境构成，它们不参加同常业务， 所以也并无其他实际作用，因此所有流入流出蜜罐的网络流量都可能是与攻击 行为有关的扫描、攻击和攻陷。蜜罐的核心价值就在于对这些攻击活动进行监 视、检测和分析。这种方法很好的实现了攻击信息和业务信息的分离，使得攻 击者的行为可以更好地为安全人员所分析。 蜜罐技术，即h o n e y p o t 是近年来兴起的一种全新的主动防御技术【5 j 。与传 统的被动防御不同，这种技术从战争欺骗思想发展而来，它通过引诱和欺骗等 手段，诱使攻击者进行攻击，从而捕获其攻击行为，使得网络安全人员可以充 分的了解对手的攻击方法、工具，以及已知或未知的漏洞，以便全面深入的分 析黑客的攻击行为，更有效的维护网络安全。 蜜罐技术的发展历程可以分为以下三个阶段。 九十年代初蜜罐概念的提出直到1 9 9 8 年左右，“蜜罐”还仅仅限于一种 思想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的 蜜罐实质上是一些真j 下被黑客所攻击的主机和系统。 从1 9 9 8 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发 出一些专门用于欺骗黑客的开源工具，如f r e dc o h e n 所开发的d t k ( 欺骗工 具包) 、n i e l sp r o v o s 开发的h o n e y d l 6 , 7 j 等，同时也出现了像k f s e n s o r 、 s p e c t e r 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐峭j ，即开 发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行 为做出回应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较 哈尔滨理工大学工学硕f j 学位论文 方便。 但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从 2 0 0 0 年之后，安全研究人员更倾向于使用真实的主机、操作系统和应用程序 搭建蜜罐，但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控 制的工具【9 】并且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更 方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。 2 1 2 蜜罐的分类 蜜罐系统一般有两种常见的分类方式，即按照部署目的分类和按照交互性 分类【10 1 。 2 1 2 1 按照部署目的分类按照部署目的来分类，蜜罐系统可以分为产品型 蜜罐和研究型蜜罐两大类。 1 产品型蜜罐产品型蜜罐建立目的在于为一个组织的网络提供安全保 护。它包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的 响应等功能。一般产品型蜜罐较容易部署，而且不需要管理员投入大量的工 作。较具代表性的产品型蜜罐包括d t k 、h o n e y d 等开源工具和k f s e n s o r 、 m a n t r a p 等一系列的商业产品。 2 研究型蜜罐研究型蜜罐专门用于对黑客攻击的捕获和分析。通过部署 研究型蜜罐，对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，了解到 黑客所使用的攻击工具及攻击方法。研究型蜜罐需要研究人员投入大量的时间 和精力进行攻击监视和分析工作。h o n e y n e t 就是一种典型的研究型蜜罐。 2 1 2 2 按照交互程度分类交互程度是蜜罐系统一个重要的特征，反应了黑 客在蜜罐上进行攻击活动的自由度，体现了攻击者与蜜罐系统之间的可交互 性。一般把蜜罐系统分为低交互蜜罐系统和高交互蜜罐系统。 1 低交互型蜜罐为虚拟蜜罐，即通过模拟服务和操作系统达到诱骗的目 的。在这类系统中不存在攻击者可直接操作的真实操作系统和服务，这样由操 作系统所引入的复杂性就被消除了，具有容易部署，j x l 险小的特点。但同时这 种系统的缺点也很明显，由于其不存在足够的与攻击者的交互性，只能捕获少 量信息，而且易被攻击者所发现。尽管很多虚拟蜜罐系统已经开始可以比较全 面详细的模拟真实服务，但是它的模拟特性还是使得攻击者较易发现这类系 统。典型的低交互型蜜罐的例子是h o n e y d 和s p e c t e r 。 2 高交互型蜜罐为物理蜜罐，它提供真实的操作系统和服务，而不是仅 哈尔滨理工大学工学硕十学位论文 仅模拟。因此对有经验的黑客来说具有更高的可信度，同时可以捕获更多的信 息。但是，由于系统规模的急剧成长，系统的复杂性大幅度的增大，相应的也 面临更高的威胁【1 1 l 。高交互蜜罐在提升黑客活动自由度的同时，自然地加大了 部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐，也有 部分蜜罐产品，如m a n t r a p 属于高交互蜜罐。蜜网就是一种典型的高交互型 蜜罐。 2 1 3 蜜罐的优缺点 2 1 3 1 蜜罐技术的优点 1 收集数据的保真度，由于蜜罐不提供任何实际的作用，因此其收集到的 数据很少，同时收集到的数据很大可能就是由于黑客攻击造成的，蜜罐不依赖 于任何复杂的检测技术等，因此减少了漏报率和误报率。 2 使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部 分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。 3 蜜罐技术不需要强大的资源支持，可以使用一些低成本的设备构建蜜 罐，不需要大量的资金投入。 4 相对入侵检测等其他技术，蜜罐技术比较简单，使得网络管理人员能够 比较容易地掌握黑客攻击的一些知识。 2 1 3 2 蜜罐技术也存在着一些缺陷 1 需要较多的时间和精力投入。 2 蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图较为有 限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 3 蜜罐技术不能直接防护有漏洞的信息系统。 4 部署蜜罐会带来一定的安全风险。 部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为 跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后，他将可能通知黑客社 团，从而避开蜜罐，甚至他会向蜜罐提供错误和虚假的数据，从而误导安全防 护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹，并使得蜜 罐与真实的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术( a n t i h o n e y p o t ) 之间相当于一个博弈问题，总是在相互竞争中共同发展u2 。另外， 蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限，并跟踪其攻破蜜 罐、在蜜罐潜伏等攻击行为，但我们必须防止黑客利用蜜罐作为跳板对第三方 哈尔滨理t 大学t 学硕上学位论文 网络发起攻击。为了确保黑客活动不对外构成威胁，必须引入多个层次的数据 控制措施，必要的时候需要研究人员的人工干预。 2 2 蜜网技术 2 2 1 蜜网的概念 蜜网( h o n e y n e t ) ，也即蜜罐网络，是在蜜罐技术上逐步发展起来的一个新 的概念【l3 。通过将多台高度受控的蜜罐主机组成网络，并对网络流量进行监 控，可以比分析单一蜜罐主机更有效地了解攻击者的攻击行为。蜜网构成了一 种诱捕网络体系架构，通过多台蜜罐主机的引入，还可以给黑客以更大的欺骗 性，同时保证了网络的高度可控性。蜜网技术从整体上来说是一类研究型的高 交互蜜罐技术，其主要目的是收集黑客的攻击信息。 蜜网这一概念是由蜜网项目( h o n e y n e tp r o j e c t ) 这一组织所提出，是目前 发展最好，影响力最广的蜜罐系统，其主要目的是研究黑客所使用的工具，战 术和动机，为网络安全人员提供全面广泛的信息。“蜜网项目组”的前身是 1 9 9 9 年l a n c es p i t z e r 等人发起的蜜网技术邮件列表，到2 0 0 0 年6 月左右演变 为现在的“蜜网项目组( h o n e y n e tp r o j e c t ) ，开展对蜜网技术的研究。目前 l a n c es p i t z e r 任职于s u n 公司，依然是蜜网项目的主要领导者，并担任了后来 成立的蜜网研究联盟( h o n e y n e tr e s e a r c ha l l i a n c e ) 主席。 2 2 2 蜜网的核心需求 蜜网体系结构具有三大关键需求：即数据控制、数据捕获和数据分析【l4 1 。 数据控制是对攻击者在蜜网中对第三方发起的攻击行为进行限制的机制，用以 降低部署蜜网所带来的安全j x l 险。最大的挑战在于对攻击数据流进行控制而不 能让攻击者怀疑：我们必须要给攻击者一定的自由度，允许他们做大部分“合 法”的事情，比如从网络上下载入侵工具包等，这样才能获取信息，学习他们 的攻击方法，但是要拒绝所有攻击其它机器的行为，这就需要一个自由度和安 全性的权衡。数据捕获，即监控和记录攻击者在蜜网内的所有行为，最大的挑 战在于要搜集尽可能多的数据，而又不被攻击者所察觉。数据分析则是对捕获 到的攻击数据进行整理和融合，以辅助安全专家从中分析出这些数据背后蕴涵 的攻击工具、方法、技术和动机，在分布式部署的蜜网体系中，还存在着将多 哈尔滨理t 大学t 学硕+ 学位论文 个蜜网中捕获数据进行安全地传输到一台中央服务器，并进行集中化分析的分 布式数据收集需求。 2 2 3 蜜网技术与蜜罐技术比较 蜜网技术实质上仍是一种蜜罐技术i l5 1 ，但它与传统的蜜罐技术相比具有两 大优势：首先，蜜网是一种高交互型的用来获取广泛的安全威胁信息的蜜罐， 高交互意味着蜜网是用真实的系统，应用程序以及服务来与攻击者进行交互而 与之相对的是传统的低交互型蜜罐，例如d t k 和h o n e y d ，它们仅提供了模拟 的网络服务。其次，蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为 记录、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构，这 种体系结构创建了一个高度可控的网络，使得安全研究人员可以控制和监视其 中的所有攻击活动，从而去了解攻击者的攻击工具、方法和动机。 2 2 4 蜜网的特点 1 有机性由上可知，蜜网( h o n e y n e t )是一种蜜罐( h o n e y p o t ) ，但它 跟普通h o n e y p o t 有着很大的区别【l6 1 ：普通的h o n e y p o t 都是一台机器，但是 h o n e y n e t 则是一个有机网络，一般来说由数台电脑组成( 除了在一台电脑上通 过虚拟机来模拟数台电脑的情况) ，并配以各种必要的软、硬件，使它看起来 象是一个真实的产品系统网络，这个“产品系统”网络包括各种服务和操作系 统，这里的服务可以包括h t t p 、f t p 、m a i t 等服务，而操作系统则可以包括 w i n d o w s 、l i n u x t l 。7 l 、b s d 、s o l a r i e s 等流行系统。所以h o n e y n e t 可以称为一 个体系结构【i8 1 ，或者说是一个解决方案。 2 高交互性高交互性是相对于d t k 、h o n e y d 等低交互性的h o n e y p o t 来说的，d t k 、h o n e y d 等低交互性h o n e y p o t 通过模拟服务和操作系统【l 9 。， 而不真正的装上真实的服务和操作系统来捕获黑客行动记录，而h o n e y n e t 则 通过各种真实的服务和操作系统来提供“服务”以获取黑客行动记录，黑客面 对的是一个完整的“产品系统”网络，而不是虚拟的网络。 3 低风险高收益在这个网络内安装有各种数据控制工具，把黑客的行为 控制在允许的范围内，但又保证不让黑客知道他的行为已经收到监视和约束， 这样黑客就有可能在这个网络内放心的采用各种他已掌握但未公开的技术、工 具试图攻击其他网络【2 训。但是由于这个网络采用了严密的数据控制，黑客忙乎 了半天，用尽了他掌握的各种技术、工具，不仅没能达到攻击目标，却让部署 哈尔滨理1 = 大学t 学硕十学位论文 者轻松的获取了这些信息。一旦黑客的行为的后果超出了部署者可承受的范围 内之后，可以马上中断联接，由于这个网络不是一个真实的产品系统网络，即 使h o n e y n e t 受到破坏，部署者最大的损失至多是重装系统而已。 由于h o n e y n e t 的特殊性质，任何对h o n e y n e t 网络的链接基本上都是可 疑的探测、扫描等攻击行为；任何从h o n e y n e t 网络出去的链接都意味着网络 内某主机已经遭到攻陷，因此，网络内的任何活动，均是有价值的、值得部署 者关注的信息。 4 可伸缩能否捕获更多的黑客行动记录，在于h o n e y n e t 的控制程度。 控制程度越高，黑客可进行的活动就越少，部署者可获取的信息就越少；控制 程度越低，黑客可进行的活动就越多，部署者可获取的信息就越多。这样，部 署者可以在自己可以承受的范围内灵活地部署h o n e y n e t 。 5 省时高效其他各种安全防御措施，如i d s 【2 l ，2 引、防火墙，部署者要么 需要在大量的日志中搜索有价值的少数信息，要么只有在系统遭到破坏后才能 知道系统已经遭到黑客入侵。而由于h o n e y n e t 在正常情况下的任何数据包都 是异常数据包，所以它记录的内容相对于i d s 非常少。通过日志记录， h o n e y n e t 可以把部署者感兴趣的事件以各种方便的途径发送给部署者，可以 让部署者不需要2 4 小时全天候的守候着系统，在节省大量时问的同时掌握各 种关键信息。 2 2 5 蜜网的发展历程 蜜网项目的发展经历了几个阶段，即1 9 9 9 年至2 0 0 1 年，主要针对蜜网技 术进行一些原理证明性( p r o o fo fc o n c e p t ) 的实验，提出了g e ni 第一代蜜网 架构，它是第一个真正的高交互蜜罐解决方案，可以同时捕获已知攻击和未知 的攻击。第一代蜜网是简单地使用防火墙、入侵检测系统和日志控制服务器 所构建的受控环境，使用路由器转发会消耗数据包的t 吼值( 路由跳数) ， 因此对攻击者来是可见的，容易被攻击者所察觉r2 0 0 1 年到2 0 0 3 年，对蜜网 技术进行发展，项目组在对第一代蜜网研究实践基础上，提出了g e ni i 第二代 蜜网架构1 2 引，并开发了关键性的工具h o n e y w a l l 和s e b e k ，分别用于蜜网的数 据控制和采集；随后在2 0 0 4 年推出了集成部署第二代蜜网所需的所有数据控 制和捕获工具的一张自启动光盘( 名为e e y o r e ) ，使得第二代蜜网技术趋于成 熟。2 0 0 4 年至2 0 0 5 年，蜜网项目组主要集中开发k a n g a 中央管理服务器， 能够将各个研究团队部署蜜网所获得的数据集中上传，并提供攻击趋势分析功 哈尔滨理工大学工学碗士学位论文 能。2 0 0 5 年5 月】8 目，蜜网项目组发布了最新的h o n e y w a l lr o o 光盘以及 s e b e k3 0 版，在r o o 版本中提供了一个基于w e b 界面的非常友好的数据 辅助分析工具w a l l e y e 。这使得蜜网技术更加完整，因此g o o 的发布标志着 蜜网技术进入了第三代g e n i i l j 2 q 。下面将分别详细介绍三代蜜网技术的发展。 蜜网技术的发展，可以说都是围绕着蜜网的三大斋求机制的不断进步而发 展的。 22 51 第一代蜜网技术第代蜜阿只是简单的实现了数据控制和数据捕获 两种基本功能，如图2 - 1 所示给出了第一代蜜网拓扑结构。 图2 1 第一代蜜网拓扑结构 f i 9 7 , - 1t o p o l o g i cg r a p ho f g e nih o n e y n e t 在该体系结构中，防火墙的作用显得尤其重要。它把网络陷阱分割成三个 部分是陷阱部分，二是互联网，三是管理控制平台。所有进出蜜网的数据包 都必须经由防火墙过滤，路由器进行补充过滤【筇】。防火墙实行“宽进严出” 策略对来自外来的连接不做任何限制，但对源自蜜罐主机向外的链接的数量做 了限制。一般连接数是5 到l o 个。 1 数据控制在数据控制方面，防火墙是由控制输入和输出连接的主要工 具。防火墙允许任何输入连接，但控制输出连接，记录有多少连接是从蜜罐发 起连到外部因特网的一旦对外的连接达到了一定数量，网关就阻塞任何多余 哈尔滨理工人学工学硕十学位论文 的请求。这在一定程度上给了入侵者执行所需行动的自由，但是却是有限的连 接。这也是出于网络欺骗的真实性和网络安全的折中策略。 而路由器放置在防火墙和蜜网之间则可以起到隐藏防火墙和访问控制的作 用。蜜网中的路由器仅允许源地址是蜜网内部的的i p 机器向外部发送数据 包，使得一旦一个蜜罐被攻破，攻击者会发现在网络外有一个产品路由器，这 就更加像一个真实的网络环境，同时又能保证不被用来攻击其他业务主机作为 第二层访问控制工具，路由器可以用来防止i c m p 攻击、d e a d p i n g 、s y n 、 f l o o d i n g 、s m u r f 攻击等一些利用伪造i p 欺骗的攻击。 2 数据捕获数据捕获是在不被入侵者发现的情况下捕获尽可能多的数据 信息。否则被入侵者发现的话就会导致入侵者毁掉证据然后偷偷溜掉。为了实 现这个目的，需要对系统进行修改，但要求系统改变尽可能少。而且捕获到的 数据出于安全的考虑不能保留在蜜罐主机上，应该实现异地存储。 在数据捕获方面采取了三层的捕获机制：第一层是防火墙，记录所有出入 到蜜网的连接；入侵检测系统作为第二层，捕获和记录每个分组和有效载荷； 蜜网本身作为第三层，将捕获到的击键和显屏操作远程传输到其他系统。 2 2 5 2 第二代蜜网技术第二代蜜网不同于第一代蜜网，第二代蜜网最大的 改进就是可以在一台电脑上实现了蜜网所有的关键功能，即数据控制、数据捕 获和数据采集。这个宿主机被称为h o n e y w a l l 的二层网关或者称作网桥，方便 了蜜网的配置管理，大大增加了蜜网的灵活性、可管理性和系统安全性。使用 网桥有几个优点：首先由于网桥没有i p 协议栈也就没有i p 地址、路由通信量 以及t t l 缩减等特征，入侵者难以发现网桥的存在，也就很难意识到自己正 处于被控制之中；二是所有出入蜜网的通信量必须通过网关，这意味着在单一 的网关设备上就可以实现对全部出入通信量的控制和捕获。图2 2 给出了第二 代蜜网的一般网络拓朴结构，其中网络接口e t h 0 和e t h l 组成网桥。 1 数据控制第二代蜜网在数据控制方面更加智能化，改进了第一代蜜网 仅仅通过计算外出连接数目来限制入侵者的外连行为，采用了连接数限制和攻 击包抑制相结合的机制来对入侵者行为进行控制：连接数限制防止入侵者对外 界进行大规模的扫描或发起拒绝服务攻击，但与第一代蜜网相比，第二代蜜网 的外出连接数的阈值要大得多，如5 0 个出境连接，这样有助于减少蜜网的指 纹。而攻击包抑制主要是防止入侵者发起一些少量数据包即可奏效的攻击，是 通过在二层网关上安装一个网络入侵防护系统( n i p s ) 来实现的。由于该网络 入侵防护系统只能根据己知的签名数据库检测攻击行为，不能检测未知攻击， 因此我们采取了与出境连接数限制相结合的方法。攻击包抑制主要体现在通过 兰至釜：三查兰三兰堡圭兰些兰兰 监罐蜜罐 篮罐 1 9 2 1 6 0 1 _ 1 0 3 图2 - 2 第二代蜜网拓扑结构 t 1 9 2 2 t o p o l o g i cg r a p ho f g e n h o n c y n e t 对二层网关的含有恶意代码的数据包进行修改或丢弃，使得入侵者攻击无效 化。在入侵者看来，他向外发起的攻击是成功的，但实际上不会真正生效。通 过这种响应措施，可以更好地控制入侵者的行为。 2 数据捕获第二代蜜网在数据捕获方面使用的技术相对于第一代蜜网没 有太大改变，捕获到的信息大部分来自于舫火墙日志和嗅探器捕获的网络数 据。在大多情况下，网络数据捕获被认为是检查分析攻击的晟关键的部分。然 而伴随着网络安全技术的进步，黑客们也丌始越来越多地使用加密工具保护和 隐藏他们的通信。对于加密的数据通信，通过嗅探器捕获的数据将变得毫无价 值。为了观察入侵者经过加密的会话，就必须从蜜罐系统本身捕获他们的相关 活动信息，因为任何加密的通信在终端都是以明文形式存在的。而击键记录最 能体现入侵者在蜜罐中的活动，因此第二代蜜网通常使用击键记录从蜜罐系统 捕获黑客入侵活动信息。实现击键记录，需要对系统进行修改，但要求对系统 哈尔滨理工人学工学硕十学位论文 改变尽可能的少，因为对系统的任何修改都像指纹一样可能会被黑客发觉。同 时捕获到的击键记录不能存储于蜜罐主机，这很可能会被入侵者发现，使他意 识到该系统是一个蜜罐；另一方面，黑客入侵成功后可能会篡改这些数据，因 此必须把捕获的击键记录进行远程存储。 3 数据采集与第一代蜜网相比，第二代蜜网在设计时是面向分布式环境 设计开发的，对于分布式设计环境，多个蜜网由一个管理平台控制，必须有对 系统进行远程管理和采集所捕获数据的方法。因此必须考虑到数据采集的问 题。而对于单个蜜网部署，数据采集发生在蜜网本身或管理网络中。数据采集 最关键是要保证信息以一种安全的方式采集，必须保证信息的完整性、真实性 和保密性。因此我们可以采取某些加密措施，保证传送的数据不会被篡改。每 个蜜网都要向中央服务器验证身份，并且要保证没有第三方能够看到这些数 据。如可以利用i p s e c 隧道连接每个分布式h o n e y n e t 到中央位置点。在图2 2 中，在蜜网的h o n e y w a l l 上有第三个网络接口e t h 2 ，该接口专用于数据采集和 远程管理。通过该接口，所有的数据都可以远程发送给中央采集点，并实现对 所有分布式蜜网的管理。 针对各个数据采集点对数据发送格式的不统一问题，数据采集的另一个关 键是对发送数据的格式标准化。这也为从不同组织的蜜网采集到的数据能够简 单地实现共享和聚合提供便利条件。h o n e y n e tp r o j e c t 规定了采集数据的格式， 这保证了各个数据采集点发送数据的统一格式，从而保证了蜜网能方便地共享 所捕获的信息。 2 2 5 3 第三代蜜网技术第三代蜜网的体系结构与第二代蜜网相同，不同之 处在于核心操作系统改为开源的f e d o r ac o r e3l i n u x ，并且实现了自动化的更 新功能和基于浏览器的数据分析工具( w a l l e y e ) ，而且支持最新的内核级捕获 工具( s e b e k ) 。这些改进都增强了蜜网的易用性，使蜜网更容易安装和维护。 第二代蜜网的数据控制包含两个方面，一是防火墙i p t a b l e s 对出境连接数 的控制，二是s n o r ti n l i n e l 2 6 j 对出境异常数据的限制。第三代蜜网对数据控制 也是只有这两个方面，但在防火墙规则内容上做了改进，主要是增加了黑名 单、自名单、防护名单功能。 在数据捕获方面，第三代蜜网仍是通过三个层次实现数据捕获的，是防 火墙日志记录；二是嗅探器记录的网络流；三是捕获的系统活动。 此外，为了更好地对捕获的数据进行分析以提高攻击分析能力，项目组搭 建了一个虚拟蜜网。虚拟蜜网是一种借助虚拟操作系统软件( 如v m w a r e 和 u s e rm o d el i n u x ) 的并可以在单台计算机上部署和运行整个蜜网的解决方案。 哈尔滨理t 大学t 学硕上学位论文 虚拟蜜网较物理蜜网有着所需资源少，容易管理的优势，但也具有可扩展性 低，虚拟操作系统存在可被攻击者识破的指纹等缺陷m 2 8 1 。 2 3 本章小结 本章介绍了蜜罐技术和蜜网技术，着重阐述了蜜网的三大核心需求，即数 据控制、数据捕获和数据分析，并且以三大核心需求的发展为主线介绍了第 一、二、三代蜜网的网