（计算机科学与技术专业论文）分布式虚拟陷阱网络系统的设计与实现.pdf

国防科学技术大学研究生院学位论文 摘要 目前，绝大部分的安全技术被设计用来阻止未授权的可疑行为获取资源，并且安全工 具仅是作为一种防御措施被布置，所以它们对网络的保护有限。而h o n e y p o t 作为一种动态 安全防御机制，可以有效地提高大规模网络的整体安全性，是传统安全机制的有力补充。 本文在分析国内外有关网络陷阱研究现状的基础上，针对现有网络安全工具在入侵检测以 及防护等方面的不足，围绕网络陷阱技术以及分布式虚拟陷阱网络系统的设计与实现开展 研究工作，本文所做的工作主要集中在： 1 ) 提出了可疑度模型。该模型综合考虑了主机访问诱饵的次数、访问的范围、事件 发生的频率、访问的数据长度以及访问端口的性质等因素，较好地解决了网络攻击判定问 题； 2 ) 提出了分布式虚拟陷阱网络系统的体系结构。将分布在各个网段内虚拟陷阱网络 分为一级代理( f a g e n t ) 和二级代理( s a g e n t ) ，级代理( f a g e n t ) 具有真实操作系统 的特性，二级代理( s a g e n t ) 能模拟大量的主机和网络服务。该体系结构适用于大规模的 网络环境，它不仅能够弥补单一h o n e y n e t 的不足。而且它的实际开销也比真实的h o n e y n e t 要低： 3 ) 设计与实现了分布式虚拟陷阱网络系统原型。该原型系统由基于l i n u x 系统的代理 端和基于w i n d o w s x p 的总控制中心组成，分布在各网段内的代理由自包含虚拟h o n e y n e t 和低交互的h o n e y p o t 构成，降低了h o n e y p o t 固有的风险，增加了模拟的真实性，弥补了 目前己存在的各类h o n e y p o t 的不足。 4 ) 系统的测试与分析。选取具有代表性的各种攻击类型的攻击工具，对系统进行了 测试与分析。测试结果表明：系统对主机和网络的模拟起到了一定的欺骗作用，降低了网 络内真实主机被攻击的风险，通过对外部主机可疑度的判定可以初步确定外部主机是否为 可疑主机。 本文研究成果已经在“分布式网络监控与预警系统”( 2 0 0 3 a a l 4 2 0 1 0 ) 中得到应用， 为有效识别网络攻击提供了强有力的工具与手段。 关键词：网络安全，入侵检测，黑客攻击，蜜罐，蜜网，可疑度 国防科学技术大学研究生院学位论文 a b s t r a c t m o s ts e c u r i t yt e c h n o l o g i e sa r ed e s i g n e dt op r e v e n tu n a u t h o r i z e da c t i v i t yt or e s o u r c e s ， a n ds e c u r i t yt o o l sa r ep u ti n t op l a c ea sad e f e n s i v em e a s u r e t h e r e f o r et h e r ei ss o m es h o r t c o m i n g i np r o t e c t i n gn e t w o r k h o w e v e ra sad y n a m i cs e c u r i t yd e f e n s i v em e c h a n i s m ，h o n e y p o tc a r l i m p r o v ee f f e c t i v e l yi n t e g r a t es a f e t yo fl a r g es c a l eo fn e t w o r k ，b a s e do na n a l y z i n gt h er e s e a r c h s i t u a t i o no fh o n e y n e tt e c h n o l o g y ，a st ot h es h o r t c o m i n go fs e c u r i t yt o o l si ni n t r u s i o nd e t e c t i o n a n di np r o t e c t i n gs y s t e m ，t h ed i s t r i b u t e dv i r t u a lh o n e y n e ts y s t e m ( d v h s ) i sd e s i g n e da n d i m p l e m e n t e d o u rw o r kf o c u s e so nt h ef o l l o w i n gc o n t e n t s f i r s t l y ，a na n o m a l yd e g r e em o d e l ( a d m ) i sp r o p o s e d t h em o d e lc o n s i d e r e dt h ef o l l o w i n g f a c t o r s ：t i m e so fb a i t sa c c e s s e d ，r a n g eo fb a i t sa c c e s s i n g ，f r e q u e n c yo fv i s i t i n g ，a v e r a g ep a y l o a d l e n g t h ，a v e r a g ep o r t r i s ka n d s oo n ，a n di ts o l v e dt h ep r o b l e mo f j u d g i n gn e t w o r ka t t a c k s e c o n d l y ，t h ea r c h i t e c t u r eo fd v h s i sp r e s e n t e d v i r t u a lh o n e y n e t si nd i f f e r e n tn e t w o r k sa r c d i v i d e di n t of i r s ta g e mc a l l e df a g e n ta n ds e c o n da g e n tc a l l e ds a g e n t f a g e n t sc h a r a c t e r i s t i ci s t oo w nr e a lo p e r m i o ns y s t e m 、；v h i l es a g e n tc a l ls i m u l a t em a n yh o s ta n dn e t w o r ks e r v i c e s t h e a r c h i t e c t u r ei sf i t t e df o rt h el a r g es c a l eo fn e t w o r ke n v i r o n m e n t ，n o to n l yi tc a nm a k eu pt h e s h o r t c o m i n go fs i n g l eh o n e y n e t ，b u ta l s oi t sp r a c t i c a le x p e n di sf e w e rt h a nr e a lh o n e y n e t t h i r d l y t h ed v h sp r o t o t y p ei sd e s i g n e da n di m p l e m e n t e d t h ep r o t o t y p ei sc o m p o u n do f a g e n ti nl i n u xp l a t f o r ma n da g e n tc o n s o l ei nw i n d o w sx p a g e n t si nd i f f e r e n tn e t w o r k sa r e c o m p o s e do fs e l f - c o n t a i n e dv i r t u a lh o n e y n e ta n dl o w i n t e r a c t i o nh o n e y p o t ，w h i c hr e d u c e st h e i n h e r e n tr i s ko fh o n e y p o t 。a n da d d st h es i m u l a t i o n st r u e n e s s ，t h ep r o t o t y p em a k e su pt h e s h o r t c o m i n go fe x i t i n gd i f f e r e n tt y p eh o n e y p o t s a tl a s t ，t h et e s t i n ga n da n a l y s i so fp r o t o t y p ei sp r e s e n t e d t y p i c a lh a c k e rt o o l sa r ec h o o s e d f r o md i f f e r e n tt y p ea t t a c kt o o l sa n dm a k et h et e s ta n da n a l y s i st op r o t o t y p es y s t e m t h er e s u l t so f t e s t i n gi n d i c a t et h es i m u l a t i o nt oh o s ta n dn e t w o r ko fp r o t o t y p eh a sd e c e p t i o nf u n c t i o nt os o m e e x t e n t ，r e d u c e st h er i s ko f r e a lh o s tt ob ea t t a c k e d ，a n dt h ea n o m a l yd e g r e ej u d g e m e n to fe x t e r n a l h o s tc a nc o n c l u d ep r i m a r i l yw h e t h e re x t e r n a lh o s ti sa n o m a l yh o s t o u rw o r kh a sb e e na p p l i e di nt h ep r o j e c to f d i s t r i b u t e dn e t w o r km o n i t o r i n ga n dw a r n i n g s y s t e m ( 2 0 0 3 a a l 4 2 0 1 0 ) ，w h i c hp r o v i d e ss t r o n gt o o la n dm e a s l l r et or e c o g n i z ee f f i c i e n t l y n e t w o r ka t t a c k ， k e y w o r d ：n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，h a c k e ra t t a c k ，h o n e y p o t ，h o n e y n e t ， a n o m a l yd e g r e e i i 国防科学技术大学研究生院学位论文 1 l l 里堕型堂垫查查兰竺窒生堕兰垡丝苎 表目录 表5 1 连接建立日志记录格式 表5 2 连接结束的日志记录格式 表5 3 其他情况日志记录格式 表5 4 报警内容 表6 1 模拟的操作系统及其端口服务 4 6 5 1 “甜 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目： 佥生盎虐型陷吐圜签歪统鲍遮j 土当塞理 学位论文作者签名： ：!i ； 日期：扣。牛年月日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的垒部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书) 学位论文题目： 佥查盍虐拟睦逃圜缝盘统煎遮盐生塞趣 学位论文作者签名： 王i过日期：o 口u 中年 f 月目 作者指导教师签名：j 雌日期：2 y 年jj 月i 严日 国防科学技术大学研究生院学位论文 第一章绪论 1 - 1 课题背景 1 1 1 网络安全状况 随着计算机网络的不断发展，信息全球化已成为人类发展的必然趋势。但由于计算机 网络自身的特点，如联结形式的多样性，终端分布的不均匀性以及网络的开放性、互连性 等，使得网络容易受到黑客、恶意软件和其他形式的攻击。这使得网上信息的安全和保密 问题成为一个重要而热点的问题。因此，网络在某一种意义上说也是一把双刃剑，一方面， 它不仅可以有效的促进各个行业的发展，发挥好信息革命带来的高效率、高效益，而且是 对抗霸权主义，抵御信息侵略的重要屏蔽：另一方面它也有可能使得小到个人大到国家、 世界蒙受巨大的损失。 但是审视我国的信息安全状况，形势还很不尽如人意：信息安全技术起步较晚，安全 意识普遍相对薄弱，技术水平良莠不齐，软硬件基础设施建设还相对落后。这些都给一些 病毒、恶意工具、黑客等带来可乘之机。2 0 0 1 年的中美黑客大战可以说是中美黑客第一次 正面交锋，在这次双方被攻克的网站中，美国的政府网站只占5 ，而我国则占到3 7 。 我国的网络安全状况也由此可窥一斑。 信息安全的重要地位也已经被国家领导人所重视，已经投入了大量的人力、物力进行 信息安全基础设施和安全综合技术的研究，改善我国目前的安全状况刻不容缓。也许，设 计具有自主产权的硬件设麓和安全的操作系统是一种理想的应对策略，但是在实际情况 中，这些也是不完善的，原因主要是： 第一，网络安全是一个综合的全方位的体系，从底层的硬件设施，中间层的操作系统， 到上层的应用程序，哪一个环节出现问题，都会导致漏洞的产生，从而威胁整个系统的安 全： 第二，网络的发展，使得黑客攻击技术也在相应的发展，攻击手段越来越高明，攻击 工具也越来越智能化，这些动态的变化是静态的硬件设施和操作系统难以适应的； 第三，操作系统和硬件设施的设计作为个大型的系统，其测试方面肯定存在有不足 的地方，结合生命周期的缩短，软硬件本身的复杂性，很难保证其安全性； 第四，操作系统本身容易受到内部用户滥用特权的攻击。 综合起来看，对网络信息安全与保密造成的威胁主要有以下四个方面： 恶意攻击 软件漏洞 国防科学技术大学研究生院学位论文 安全缺陷 结构隐患 1 1 2 传统安全工具及其不足 传统的安全工具( 例如防火墙和i d s ) 能够在一定程度上有效的保护网络，但是它们 是静态而且被动的来对网络进行保护。而对网络进行的攻击往往都是主动的，因此被动的 防御措施就没有办法保证网络的安全运转。 在传统的安全工具中，防火墙被用来控制局域网和i n t e r n e t 之间的通信。它可以被称 作是网络上的“交通警察”。在基于个人主机的系统里经常使用防火墙。防火墙根据固有 的服务端口来控制进出系统的连接，所以对保护网络和系统有一定的作用，但是它对于使 用固有服务端口的攻击却无能为力【l 】。而且防火墙还有许多其他方面的不足： 防火墙是静态安全技术，对网络环境下日新月异的攻击手段缺乏主动的反应； 防火墙不能防范绕过防火墙的攻击( 例如：内部提供拨号服务) ； 防火墙不能防范来自内部人员恶意的攻击； 防火墙不能阻止被病毒感染的程序或文件的传递； 防火墙不能防止数据驱动式攻击( 特洛伊木马) 。 入侵检测系统( i d s ) 是另一个被广泛使用的安全安全防护工具。它能够对系统或网络资 源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户对资源的误操作。 i d s 传感器可以放在网络上的各个点上，包括局域网和i n t e m e t 之间的接口，局域网内部重 要的点上，或者是个人主机系统上。i d s 通过对系统或网络日志分析，获得系统或网络目 前的安全状况，发现可疑或非法的行为。当对于未知的攻击，基于规则的i d s 就无能为力 了。甚至更糟糕的是，有时候当黑客对系统进行入侵时，因为还有许多在线用户正在处理 业务，所以我们还不能关闭服务系统来进行全面的检查。在不干扰正在运行的系统的前提 下，检测、阻止网络入侵或者对入侵采取相应的措施是w e b 应用和网络安全的又一个严重 的问题。传统的安全技术已很难胜任。 i d s 对于已知攻击能够很好地进行检测和报警，大部分的i d s 不能检测未知的攻击。 尽管通过使用干净的数据集对一些i d s 进行训练，使它们能够进行异常检测，但是干净的 数据集是很难获得的。对于攻击的规则和信息，除非已经对这些攻击进行过分析，否则这 些信息未知的。对于未知规则获取的缓慢性和基于规则匹配的i d s 是互相矛盾的 2 】。 因此i d s 作为种网络安全防护的工具，也存在着不足，如过高的误报率( f a l s ep o s i t i v e ) 平d 漏报率( f a l s en e g a t i v e 、。 与此同时，人们发现越来越需要关于i n t e m e t 攻击的真实的数据和信息。因为： 设计好的网络安全产品需要真实的攻击数据； 国防科学技术大学研究生院学位论文 攻击数据的发展趋势可以帮助人们预计i n t e r n e t 可能出现的攻击，从而提前做好保 护措施。 而在现实中，关于黑客攻击的这种数据和信息都比较少。主要是因为网络攻击的检测 率比较低，而很多攻击又很少发生，故一些攻击很少能够检测到。所以攻击信息的缺乏使 得人们难以设计和开发优秀的安全产t 3 。因此必须采用新的策略同时开发动态防御机制。 欺骗和诱骗可以作为一种新的防御方法被采用h ，5 1 ，国内在这方面也进行了一些研究6 ，7 ，”。 1 2 利用h o n e y p o t 进行主动的防御 目前传统的安全技术和网络安全防御系统开始显得有些不足，与此同时，人们发现越 来越需要关于i n t e r a c t 攻击的真实的数据和信息。因为： 设计好的网络安全产品需要真实的攻击数据； 攻击数据的发展趋势可以帮助人们预计i n t e r a c t 可能出现的攻击，从而提前做好保 护措施。 而在现实中，关于黑客攻击的这种数据和信息都比较少。主要是因为网络攻击的检测 率比较低，而很多攻击又很少发生，故一些攻击很少能够检测到。所以攻击信息的缺乏使 得人们难以设计和开发优秀的安全产品【3 】。因此必须采用新的策略，来对网络进行积极主 动的防御，而主动诱骗攻击者可以作为一种新的方法来保护网络和主机的安全m ，5 j 。 陷阱网络h o n e y p o t 采用诱骗技术，是一种主动的保护网络的手段，对它的研究主要在 于如何设计一个严格的欺骗环境( 受控网络、主机或用软件模拟的网络和主机) 。诱骗入侵 者对其进行攻击或在检测出对实际系统的攻击行为后，作出预警从而保护实际运行的系 统：它可以检测到未知的攻击，同时收集入侵信息，借以观察入侵者的行为，记录其活动， 以便分析入侵者的水平、目的、所用工具、入侵手段等。可以被利用来在网络内部提供另 外一种层次上的网络安全，同时作为防火墙和i d s 使用的一种补充，来克服它们所存在的 不足【9 1 。 1 2 1h o n e y p o t 的基本思想 h o n e y p o t 也称为蜜罐。它是一个安全概念，是由l s p i t m e r 提出来的l l 。当计算机 安全一直以来聚焦在使用像防火墙和i d s 一样的安全工具和静态的观念来进行被动防御 时，h o n e y p o t 则使用动态防御策略来防御黑客【l ”。h o n e y p o t 是一种计算机资源，它的目的 就是用来监视和记录那些对它们进行探测、攻击和危害的主体的行为【l2 ，”j 。例如，h o n e y n e t p r o j e c t 通过使用h o n e y p o t 学习了许多关于黑客团体的攻击工具、策略以及攻击的动机【i “。 而且h o n e y p o t 可以检测或者减慢黑客的攻击速度甚至阻止黑客的攻击行为 15 1 。n a t h a l i e 第3 页 国防科学技术大学研究生院学位论文 w e i l e r 曾经研究开发h o n e y p o t 来保护网络免受d d o s 的影响i l “。 h o n e y p o t 可以分为两类：产品化的h o n e y p o t 和研究型的h o n e y p o t t 2 】。产品化的 h o n e y p o t 能够保护网络和主机使其避开危险，而研究型的h o n e y p o t 则是尽可能多地搜集 信息。虽然研究型h o n e y p o t 不会保护网络和主机的安全，但是它们能够帮助我们了解黑客 团体的攻击行为，从而建立更好的防御体系。工业界和学术界都对h o n e y p o t 及其相关技术 有很大的兴趣。在工业领域，出现了各种不同交互程度的h o n e y p o t 出现了，包括b o f 【l “， s p e c t o r 【1 8 】，c y b e r c o ps i n g e l 9 1 ，h o n e y n e t 20 1 ，开源的h o n e y d 2 1 等等。在学术上，有许多组 织对h o n e y p o t 进行研究，如h o n e y p o t 工程等。总之，h o n e y p o t 是个具有高价值的工具。 1 2 2h o n e y p o t 的价值 h o n e y p o t 的价值有两个方面，作为产品的价值和作为研究内容的价值。当把它作为一 种产品时，它可以保护一个网络，包括阻止、检测或者对攻击作出响应。当它作为一项研 究内容时，它可以用来收集信息。h o n e y p o t 收集的信息有些可以用来研究黑客行为的发展 趋势，有些可以作为早期的报警和预测。但是不同的h o n e y p o t 有不同的价值。 当h o n e y p o t 被用来作为保护网络安全的工具时，它可以在预防、检测和响应三个方面 超到保护作用。在预防方面，首先是面对自动发起的攻击。例如蠕虫等，这类攻击基于专 门的工具，它会随意的扫描整个网络寻找具有漏洞的系统。一旦发现这类系统，这些工具 就会自动发起攻击然后接管这台主机。h o n e y p o t 预防这种攻击的个方面就是减慢它们的 扫描速度，甚至于最终阻止扫描：其次h o n e y p o t 可以预防人为的攻击，即采取诱骗的手段， 将黑客诱骗到h o n e y p o t ，通过与h o n e y p o t 交互来浪费他的时间和资源，为攻击行为的检测 与阻断提供充足的时间。 h o n e y p o t 对网络和主机的保护作用不仅表现在能够预防攻击，而且还能够检测攻击。 检测是否发生攻击是非常重要的，它的目的就是在预警的过程中能够识别网络或者主机是 否出现故障或者遭到破坏。通过h o n e y p o t 的检测，能够及时对攻击作出响应，阻止破坏的 发生或者减轻所受的危害程度。对于未知攻击的检测目前是比较困难的，有些技术例如i d s 等在很多时候都证明是无效的，他们产生了太多的数据，很高的误报率，不能检测到新的 攻击，而且还不能在p v 6 环境下工作。而h o n e y p o t 擅长于进行攻击检测，通过收集高价 值的小数据集，有效地减少了误报率，能够检测未知的攻击。一般情况下低交互的h o n e y p o t 更有益于检测攻击，它们比高交互的h o n e y p o t 更容易配置和维护，而且风险也比较小。 h o n e y p o t 在对攻击进行预防和检测的同时还能作出响应。当个管理员发现网络或者 系统遭受攻击时，他应该作出什么样的响应，这是一个很棘手的问题。这个时候，管理员 可能会面临两种情况：其一，系统已经受到了攻击，而且攻击已经造成了一定的危害，但是 这个受到攻击的系统不能被离线进行分析，例如邮件服务器遭受攻击，因为邮件服务器很 国防科学技术大学研究生院学位论文 重要，就算是服务器被攻击也不能将它离线进行全箍分析；其二，遭受攻击的系统可以进 行离线分析，但是由于被改动的数据过多而没有办法检查出哪些是属于黑客的行为，哪些 是属于正常用户的行为，例如用户登陆，读邮件，写文件到数据库等，就很难发现这些行 为中哪部分是每天正常的用户行为，哪一部分是黑客的破坏行为。当管理员面临以上两种 情况时，就没有办法获取黑客的任何信息。h o n e y p o t 可以帮助解决以上这两个问题。 h o n e y p o t 是一个很好的事件响应工具，因为它们比较容易而且迅速的进行离线、全面的分 析，同时在它的系统里没有每天的商业操作数据进行干扰。h o n e y p o t 捕获的行为都是没有 获得认证的恶意的行为，从它这里获得的数据更可能与黑客有关，所以这就使得被攻击的 h o n e y p o t 比实际的产品系统更加易于分析。h o n e y p o t 在这里的作用就是它能够提供更深层 次的信息，从而使得管理员能够更快更有效的对一个攻击事件作出响应。在这种情况下， 高交互的h o n e y p o t 能够起到更大的作用。 1 3 本文的主要研究内容 本文所做的工作主要集中在： 1 ) 提出了可疑度模型。该模型综合考虑了主机访问诱饵的次数、访问的范围、事件 发生的频率和属性、访问的数据长度以及访问端口的性质等因素，较好地解决了网络攻击 判定问题； 2 ) 提出了分布式虚拟陷阱网络系统的体系结构。将分布在各个网段内虚拟陷阱网络 分为级代理( f a g e n t ) 和二级代理( s a g e m ) ，一级代理( f a g e n t ) 具有真实操作系统的 特性，二级代理( s a g e m ) 能模拟大量的主机和网络服务。该体系结构适用于大规模的网 络环境，它不仅能够弥补单一h o n e y n e t 的不足，而且它的实际开销也比真实的h o n e y n e t 要低： 3 ) 设计与实现了分布式虚拟陷阱网络系统原型。该原型系统由基于l i n u x 系统的代理 端和基于w i n d o w s x p 的总控制中心组成，分布在各网段内的代理由混合h o n e y n e t 和低交 互的h o n e y p o t 构成，降低了h o n e y p o t 固有的风险，增加了模拟的真实性，弥补了目前已 存在的各类h o n e y p o t 的不足。 4 ) 系统的测试与分析。选取具有代表性的各种攻击类型的攻击工具，对系统进行了 测试与分析。测试结果表明：系统对主机和网络的模拟起到了一定的欺骗作用，降低了网 络内真实主机被攻击的风险，通过对外部主机可疑度的判定可以初步确定外部主机是可疑 主机还是正常用户。 全文共分为七章，第一章为绪论部分，主要介绍了i n t e m e t 的安全状况，传统安全工 具及其不足，以及本课题的主要研究内容；第二章为原理阐述部分，阐述了h o n e y p o t 的分 第5 页 国防科学技术大学研究生院学位论文 类和发展现状，并介绍了第一代和第二代h o n e y n e t 网，重点阐述了分布式虚拟陷阱网络的 必要性；第三章提出了可疑度模型，对外部主机的可疑度进行判定：第四章阐述了分布式 虚拟陷阱网络系统的体系结构的研究；第五章内容是设计和实现了分布式虚拟陷阱网络系 统的一个基本原型：第六章介绍了系统的测试和数据分析：第七章为结束语部分，总结了 本文所作的工作和今后的研究方向。 1 4 本文的研究成果 本文的研究成果主要是：在提出可疑度模型的基础上，设计并实现一个分布式虚拟陷 阱网络系统的基本原型，该原型系统能够较好保护网络和主机的安全，能够对攻击行为进 行判定。 以第一作者发表论文l 篇( 见本文附录) 。 第6 页 国防科学技术大学研究生院学位论文 第二章h o n e y p o t 技术发展现状研究 2 1h o n e y p o t 的定义 与防火墙和入侵检测系统不同，h o n e y p o t 没有解决一个具体的问题。然而它们是一类 高灵活性的工具，具有许多种形式和规模。它们既能够检测出在i p v 6 下加密的攻击，也能 够捕获最新的网上信用卡诈骗。正是这种高灵活性给h o n e y p o t 非常强大的功能。 h o n e y p o t 也叫蜜罐，是指“一种安全资源，它的价值就在于被探测，被攻击或被攻陷”【1 们。 h o n e y p o t 没有被授权任何行为，它仅仅是一种资源，没有任何产品价值，这就意味着任何和 h o n e y p o t 交互的行为都可被认为是未授权或恶意行为。 h o n e y p o t 与传统的安全技术和安全工具相比有许多的优点： 1 ) 能够收集具有很高价值而数量又较少的信息。这就意味着更容易分析h o n e y p o t 收 集的数据从而获利； 2 ) h o n e y p o t 检测到的攻击较少会有误报，从而降低了误报率； 3 ) 能够捕获新的攻击，而且能够降低漏报率； 4 ) 能够在加密或i p v 6 环境下较好的工作； 5 ) h o n e y p o t 的概念和技术都非常简单，技术越简单，它的误用和错误配置就越少。 和任何其它的技术一样，h o n e y p o t 也有它的不足： 1 ) h o n e y p o t 只能检测和捕获那些和它进行交互的探测和攻击行为： 2 ) 几乎所有的安全工具都存在风险，h o n e y p o t 也不例外，也存在着风险，它有可 能被黑客攻陷而用来攻击其他的系统。不同的h o n e y p o t 类型有着不同级别的风险。 2 2h o n e y p o t 的分类 h o n e y p o t 有很多种分类方法b o ，为了更好地理解，我们将其分为两种类型：低交互型 h o n e y p o t 和高交互型h o n e y p o t 。交互性就是指一个h o n e y p o t 所允许黑客活动的级别。低交 互的h o n e y p o t 有比较有限的交互作用，他们一般通过模拟服务和操作系统来实现，黑客的 行为被h o n e y p o t 局限在模拟的级别。例如，一个模拟的f t p 服务，在2 l 端口监听，它可能 仅仅模拟了一个f t p 登陆请求，或者还支持几个附加的f t p 命令。低交w h o n e y p o t 的优势就 在于它们的简单性。这些h o n c y p o t 容易配置和管理，而且它们的风险也比较小。通常他们 只需要安装软件，选择你想要模拟和监控的服务。这种即插即用的结构使得低交互的 h o n e y p o t 配置起来更加简易，而且这种模拟的服务通过牵制攻击者的活动而降低了风险， 攻击者永远也不可能通过这种被攻陷的模拟主机来攻击或者破坏其他的操作系统。低交互 第7 页 国防科学技术大学研究生院学位论文 h o n e y p o t 的主要的缺点是它们记录的信息有限，因为它们模拟的服务只能是那些己知的服 务，所以只能捕获一些己知的行为。对于攻击者来说检测出一个低交互的h o n e y p o t $ 目对而 言不是很难，不管服务模拟是多么的完善，熟练的攻击者最终都能够检测h o n e y p o t 的存 在。低交互h o n e y p o t 的例子有s p e c t e r 1 8 】，h o n e y d ：“ 和k f s e n s o r ：翻。 高交互型h o n e y p o t 与低交互型h o n e y p o t 相比有很多不同之处，他们采用了真实的操 作系统和应用软件，给予黑客真实的信息。如果你需要配置一个高交互h o n e y p o t ，它是一 个运行f t p 服务器的l i n u x 操作系统，你就必需构造一个真实的l i n u x 系统来运行f t p 服 务器。这种h o n e y p o t 有两个优点：第一，你能捕获更多的信息。通过使用一个真实的系 统与黑客进行交互，就能够获取他们整个攻击过程的信息，无论是新的攻击工具或是网上在 线的通话信息，都可以获得：第二个优点就是高交互的h o n e y p o t 不需要预先设想黑客将会 有什么样的行为。它们提供一个开放的环境，以便捕获黑客所有的行为。这样使得高交互 的h o n e y p o t 能够很容易的检测耨的攻击工具和发现新的攻击行为。然而，高交互的 h o n e y p o t 难以配置和维护，风险较高，容易被黑客攻陷用来作为新的攻击据点。因此需要 在高交互h o n e y p o t 上执行很多附加的技术用来阻止黑客利用h o n e y p o t 危害其他的非 h o n e y p o t 系统。一般而言，高交互的h o n e y p o t 能够完成低交互h o n e y p o t 所能完成的工作， 甚至更多。然而，它们的配置和维护更加的复杂。h o n e y n e t 就是一个高交互的h o n e y p o t 。 1 ) 低交互型h o n e y p o t - - h o n e y d 1 h o n e y d 是一款小型的d a e m o n 程序，由n i e l sp r o v o s 开发，用来在网络上创建虚拟的主 机，它主要是监视未使用的口地址空间。任何时候当一个连接企图与一个未使用的i p 地 址进行通信时，h o n e y d 都会截取这个连接然后与黑客进行交互，假装它就是那台受害主机。 h o n e y d 能够检测和记录与任何u d p 和t c p 端口的连接。而且能够配置一些模拟的服务来 监视一些具体的端口。例如，可以使用一个模拟的f t p 服务来监视t c p 协议的2 1 端口。 当黑客与这些模拟的服务进行连接时，h o n e y p o t 不仅能够检测和记录这些活动，而且它还 能够捕获黑客与模拟服务的交互过程。当模拟的是f t p 服务器时，我们就能够捕获黑客的 登陆和其密码，通过它们输入的命令，甚至还可以了解到他们正在寻找什么，或者可以知 道他们有什么动机。这些都要依赖于h o n e y p o t 模拟的程度。大部分的模拟服务的运行方式 都是相同的。它们会首先预计一个具体的行为类型，然后模拟这种行为。如果一次攻击与 这个模拟的服务进行连接时，h o n e y p o t 将作出一个响应，当另一个攻击与这个模拟服务进 行连接时，它将作出同样的响应。这种局限性使得当攻击者所作的行为超出了模拟的范围 时，模拟的服务就不能作出相应的回复了。大部分的低交互h o n e y p o t 包括h o n e y d 在内， 面对这种情况时，都只是仅仅产生一条错误信息。 一些低交互的h o n e y p o t 不仅能够模拟服务，而且还能够模拟不同的操作系统类型。对 操作系统的模拟使得低交互的h o n e y p o t 更加真实。首先，模拟的操作系统能够和模拟服务 国防科学技术大学研究生院学位论文 结合在一起表现出共同的特性，这样就更能够很好地欺骗攻击者。其次，操作系统和具体 的服务结合在一起能够更有针对性地去捕获一些黑客以便获得你想了解的系统或者服务 的信息。图2 。1 是一个简单的使用h o n e y d 配置的h o n e y p o t 。 图2 1 低交互h o n e y p o t 示意图 2 ) 高交互型h o n e y p o t - - h o n e y n e t 一个h o n e y n e t 是一个网络系统，具有多台主机可能安装了不同的操作系统和应用程序 供黑客探测和攻击，从而获得黑客的信息以及黑客进行攻击的工具等。在一个h o n e y n e t 中，可以使用各种不同的操作系统及设备，如s o l a r i s ，l i n u x ，w i n d o w s n t ，c i s c os w i t c h ，等 等。这样建立的网络环境看上去会更加真实可信，同时可以在不同的系统平台上运行不同 的服务，比如l i n u x 的d n ss e r v e r ，w i n d o w sn t 的w e b s e r v e r 或者一个s o l a r i s 的f t ps e r v e r ， 使用者可以学习不同的工具以及不同的策略或许某些入侵者仅仅把目标锁定在几种 特定的系统漏洞上，而这种多样化的h o n e y p o t 系统，就可能更多的揭示出黑客的一些特性。 在h o n e y n e t 中的所有主机系统都是正常的，上面运行的都是真实完整的操作系统及应 用程序。我们没有刻意地模拟某种环境或者故意地使配置的主机系统具有某种漏洞。在 h o n e y n e t 里面找到的存在风险的主机系统，与在互联网上一些公司内部网络的主机毫无二 致。你可以简单地把你的主机放到h o n e y n e t 中，并不会对整个网络造成影响。 为了成功地构建h o n e y n e t ，需要解决数据控制和数据捕获问题。尽管许多h o n e y n e t 是不一样的，但是它们都必须满足数据控制和数据捕获两个要求。数据控制就是指对 h o n e y n c t 行为的控制。也就是要确保一旦h o n e y n e t 被攻陷时，它中间的h o n e y p o t 不会被用 来攻击其它任何非h o n e y n e t 系统的主机。这里最大的挑战就是怎么控制数据流而又不让黑 客起疑心。当一个系统被攻陷时，黑客常常要求进行网络连接，例如进行i r c ( i n t e m e t 在线聊天系统) 连接，或者发送e m a i l 等。我们必须要给黑客一定的弹性使他能够进行一 国防科学技术大学研究生院学位论文 定的活动，这样我们才能够进行学习和分析。如果黑客在h o n e y p o t 内不能初始化任何连接， 那么他将会怀疑，一般在1 5 分钟内黑客就会发现问题然后离开所在网络。因此，目前的 h o n e y n e t 设计允许h o n e y n e t 进行他所要的连接， 系统来攻击其他的系统，例如进行拒绝服务攻击， 连接越多，风险就越大。 但是不允许它们使用被攻陷的h o n e y p o t 系统扫描等。一般来说，允许黑客往外 数据捕获是指能够在不被黑客察觉的情况下捕获对h o n e y n e t 进行攻击的黑客的所有 信息，通过分析这些信息可以了解黑客的行为，黑客进行攻击的工具，他们的攻击策略以 及黑客的动机等。这个问题主要的挑战就是怎样在黑客不知道他们的活动被捕获的情况下 获得较多的黑客信息。这就要求尽可能少的改动h o n e y p o t 上的数据。不能将捕获的数据储 存在本地h o n e y p o t 系统上。如果信息存放在本地就很可能被黑客发现，从而提醒他们这是 一个h o n e y n e t ，以至于使得存放的数据丢失或者被破坏。配置一个h o n e y n e t 不仅需要捕获 黑客的所有行为而不被黑客察觉，而且需要将捕获的信息远程存储。这里的关键就是收集 的数据要是深层次的而且包括很多方面，这样才可能对黑客的行为进行全面的分析。 2 3 几种典型的h o n e y p o t 产品和h o n e y n e t h o n e y p o t 是一个可以模拟具有一个或多个攻击弱点的主机系统，为攻击者提供一个易 于被攻击的目标。h o n e y p o t 中所有的模拟的终端和子网都经过精心设计，以吸引黑客的攻 击。用户会觉得这种方法十分有趣，如把计算机命名为l o v e m o n e y c o m 或 a c c o u n t i n g b a n k ，c o m 等，用令人印象深刻的账户和文件伪装它们，同时对它们严加保护。 当攻击者闯入网络时，最吸引他们的就是h o n e y p o t ，因为那里看上去最有趣。于是便引发 警报告警，h o n e y p o t 监视攻击者的行径，收集相关的数据。很多公司已经在出售此类蜜罐 产品，并使用了更加诱人动听的名称。 h o n e y n e t 也称为蜜网，是一个公开的蜜罐项目。在h o n e y n e t 的黑客跟踪行动中，计 算机专家发现，很多黑客其实并不是计算机高手，它们只是能够使用简单的自动攻击软件 的新手而已。而对于广大没有基本防范能力的互联网用户来说，这些机械的攻击程序也能 够成为安全的杀手。 b o f t 2 4 1 ( b a c ko r i f f i c ef r i e n d l y ) 是一种简单但又十分实用的蜜罐，是由m a r c u sr a n t m a 和n f r ( n e t w o r k f l i g h t r e c o r d e r ) 公司开发的一种用来监控b a c k o r i f f i c e ( 后门) 的工具。 n f rb a c ko r i f f i c ef r i e n d l y 可以运行在w i n d o w s9 5 、w i n d o w s9 8 、w i n d o w sn ts e r v e r4 0 和w