（计算机应用技术专业论文）基于蜜网技术联动性的研究与设计.pdf

西南交通大学硕士研究生学位论文第l 页 摘要 蜜罐是近几年兴起的一种主动安全技术。它是一种安全资源，它的价值 在于被扫描、攻击和攻陷。蜜网是在蜜罐的基础上发展起来的欺骗性网络， 一般是由防火墙、入侵检测系统和蜜罐主机等多个设备组成的网络系统，但 也可以借助于虚拟机软件在一台物理主机上实现虚拟蜜网。到目前为止已经 从蜜罐系统经历了第一代蜜网技术，第二代蜜网技术到第三代蜜网的发展历 程，甚至出现了大规模的蜜场技术。但是蜜网作为一种新的技术，和其他新 兴技术一样，也同样存在着缺陷。 蜜网系统内部的蜜罐与传统的防火墙、入侵检测技术的联动性不够，不 具有对入侵规则的自我学习能力。本文针对这个问题设计了一种新的蜜网体 系架构，该体系结构增加了数据分析模块，也使得部署蜜网的作用得到充分 发挥。并且本文成功部署了一个蜜网系统，除了满足数据控制、数据捕获、 数据分析基本需求外，还把数据挖掘技术运用到数据分析模块，具体过程是 采用数据挖掘里经典的无监督聚类算法k m e a n s 算法对数据进行标记分 类，用分类算法c 4 5 算法对已标记的数据提取入侵规则，并将入侵规则存放 到入侵检测规则库中，从而真正意义上实现蜜网的联动性和学习性。同时， 在具体实现蜜网系统时，充分考虑了对于日志信息的安全可靠性，设计了异 地存储模式，并且利用网桥的思想加强了网络管理模块的安全性。 关键词：蜜网；防火墙；入侵检测；数据挖掘 西南交通大学硕士研究生学位论文第li 页 a b s tr a c t h o n e y p o tt e c h n o l o g yi san e wm e r g i n gt e c h n o l o g yi nr e c e n ty e a r s ，i ti so n e k i n do fs e c u r i t yr e s o u r c e s ，w h o s ev a l u el i e si nb e i n gs c a n n e d ，a t t a c k e da n d c o m p r o m i s e d h o n e ) n e ti sas o r to ft h ef r a u d u l e n tn e t w o r kw h i c hd e v e l o p e do n t h eb a s i so ft h eh o n e y p o tt e c h n o l o g y a san e t w o r ks y s t e m ，h o n e ) n e tg e n e r a l l y c o n s i s t so ff i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，o n eo rm o r eh o n e y p o t m a c h i n e s ，b u ti tc a na l s ob ec o n s t r u c t e do nap h y s i c a lh o s tb yv i r t u a lm a c h i n e s o r w a r e s s of a ri th a da l r e a d ye x p e r i e n c e df r o mt h ef i r s tg e n e r a t i o no fh o n e ) n e t t e c h n o l o g y , s e c o n dg e n e r a t i o no fh o n e ) n e tt e c h n o l o g yt ot h et h i r dg e n e r a t i o n h o n e ) n e t sd e v e l o p m e n tp r o c e s so nt h eh o n e y p o tt e c h n o l o g y , e v e np r e s e n t e dt h e l a r g e s c a l eh o n e yf a r mt e c h n o l o g y b u tt h eh o n e ) n e ti so n ek i n do fn e w t e c h n o l o g y , a l s oh a st h el i m i t a t i o n sa so t h e rn e wt e c h n o l o g i e s t h eh o n e ) n e ts y s t e mh a st h ed i s a d v a n t a g eo fi n f i r m n e s sl i n k a g eb e t w e e n h o n e y p o t ，f i r e w a l la n di d s ，w h i c hd o e sn o th a v es e l f - l e a r n i n gc a p a b i l i t yt ot h e i n t r u s i o nr u l e s t h i st h e s i sh a s d e s i g n e d as o r to fn e wh o n e ) n e t s y s t e m a r c h i t e c t u r ei nv i e wo ft h ep r o b l e m ，t h i sa r c h i t e c t u r ea d d e dt h ed a t aa n a l y s i s m o d u l e ，a n di ta l s oe n a b l e st h ed e p l o y m e n th o n e ) n e t sf u n c t i o nt oo b t a i nt h ef u l l d i s p l a y t h i st h e s i sh a ss u c c e s s f u l l yd e p l o y e dah o n e ) n e ts y s t e m ，w h i c hm e e t s a p a r tf r o mt h ed a t ac o n t r o l ，t h ed a t ac a p t u r e ，t h ed a t aa n a l y s i sd e m a n d a n da l s o t h ed a t aa n a l y s i sm o d u l ei sr e a l i z e dw i t ht h ed a t am i n i n gt e c h n o l o g y , s p e c i f i c a l l y u s i n gt h ec l a s s i c a ln o n - s u r v e i l l a n c ec l u s t e ra l g o r i t h mo fk m e a n st oc a r r yo n t h em a r kc l a s s i f i c a t i o ns p e c i f i c a l l yt ot h ed a t a ，a l s ou s i n gt h es o r t i n ga l g o r i t h mo f c 4 5t op i c ku pi n t r u s i o nr u l eo ft h ed a t aw h i c hi sa l r e a d ym a r k e d a n di tw i l l k e e pt h ei n t r u s i o nr u l ei n t oi d sr u l es e t s ，t h u sr e a l i z e st h eh o n e ) n e t sl i n k a g ea n d t h et r a i n i n ga b i l i t yi nt h et r u es e n s e a tt h es a m et i m e ，w h e n r e a l i z i n gt h e h o n e y n e ts y s t e ms p e c i f i c a l l y , t h es y s t e mh a sd e s i g n e dt h ed i f f e r e n ts t o r a g e p a t t e r no nt h eb a s ef u l l yc o n s i d e r i n gt h el o gi n f o r m a t i o n ss e c u r i t ya n dr e l i a b i l i t y , a n du s i n gb r i d g e st h o u g h tt os t r e n g t h e ns e c u r i t yo ft h en e t w o r km a n a g e m e n t m o d u l e k e y w o r d s ：h o n e y n e t ；f i r e w a l l ；i d s ；d a t am i n i n g 西南交通大学四南父逋大罕 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复印手段保存和汇编本学位 论文。 本学位论文属于 1 保密口，在一年解密后适用本授权书； 2 不保密酣使用本授权书。 ( 请在以上方框内打“4 ) 学位论文作者签名：冰音荤 日期：删缉7 月l 歹日 指导老师签名：易彳( 匆 e l 期：础9 多年7 月6e l 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作 所得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。 本学位论文的主要创新点如下： 把数据挖掘算法成功运用到蜜网系统中，分析得到的入侵特征被防火墙 及入侵检测学习、吸收，运用到新的阻断，从而实现真正的联动。 西南交通大学硕士研究生学位论文第1 页 第1 章绪论 1 1 课题的提出及其意义 随着计算机网络的发展和普及，政府机关、军事机构、企事业单位已经 越来越多地利用计算机网络开展日常工作和业务，以充分共享和利用网络带 来的信息资源。计算机网络已经像人类生命的一部分一样不可或缺，整个社 会对计算机网络的依赖程度已经越来越高。但是与之俱来的网络安全问题也 随着计算机网络规模的不断壮大也不断的凸现出来，越来越多的困绕着每个 与网络相关的人们。 而防火墙技术和入侵检测技术，都属于传统的安全模型，存在很多的缺陷 和不足【i 3 】。如防火墙不能防止绕过它的、人为因素的攻击。另外防火墙只能 对网络安全进行单点控制，不能保证数据的秘密性，不能对数据进行鉴别， 也不能保证网络不受病毒的攻击。当然入侵检测技术也存在着很多的问题， 如会产生大量警报，而这些警报中大部分都是误警，这使得发现问题的真正 所在非常困难。另外入侵检测还缺乏与其他安全工具足够的集成能力；不能 协调、适应多样性的网络环境中的不同安全策略；通常无法检测新的攻击方 式和已有攻击方式的新变种，因而需要不断升级、不断增大的网络流量对入侵 检测技术的数据提取能力和实时报警也是个严峻的考验。 从防火墙技术、入侵检测技术出现上述问题而言，说明它们不是万能的。 而且它们的问题还在于所采取的安全策略是先考虑系统可能出现哪些问题， 然后对问题进行分析解决。而采取这样的安全策略的主要原因又在于它们所 遵循的理论体系：主体对客体的访问符合预定的控制规则，便允许其进入或认 为其合法。从控制论角度来看，这是一个开环控制系统，没有反馈，是一种 静态的、被动的安全策略，不能对出现的远程攻击和威胁做出必要的快速反 应。就防火墙和入侵检测目前的技术水平而言，上面这些问题大多很难在现 有的理论体系框架下解决，于是必须引入一种新的、不同于现有的理论的技 术以弥补他们的不足，进而解决他们的问题，这就是蜜网技术【4 j 。 西南交通大学硕士研究生学位论文第2 页 1 2 蜜网技术的国内外现状 1 2 1 国外研究状况 从1 9 8 8 年开始，蜜罐技术逐渐引起了一些安全研究人员的注意，并且一 些专门用于欺骗黑客的蜜罐工具也陆续被开发出来，最为有名的由著名的计 算机安全专家f r e dc o h e n ( 1 9 8 3 年给出计算机病毒定义并且证明了计算机病 毒的存在) 所开发的d t k ( 欺骗工具包) 。同时一些公司也开始对蜜罐技术 进行实际应用，出现了k f s e n s o r , s p e c t e r , m a n t r a p 等一些商业蜜罐产品。蜜 罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱 骗技术，但是对于蜜罐的权威定义是由“蜜网项目组刀的创始人l a n c es p i t z e r 给出的：蜜罐是一种安全资源，其价值在于被扫描、攻击和功科卯。 蜜网技术则是在蜜罐技术基础上逐步发展过来的。在蜜网体系架构中， 可以部署一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具 以方便对攻击信息的采集和分析。研究蜜网技术的组织机构主要有：蜜网项 目组( h o n e y n e tp r o j e c t ) 、蜜网研究联盟( h o n e y n e tr e s e a r c ha l l i a n c e ) 。其中 蜜网项目组是一个由众多志愿者组成的致力于研究网络安全的非盈利性组 织，该组织成立的宗旨是：通过提供必要的网络安全知识、提供该组织开发 的开源的工具软件的方法来提高人们的网络安全意识【6 】。蜜网研究联盟是由 各个研究蜜网的组织组成的，独立于蜜网项目组，拥有自己的组织结构，它 的主要目的是：最大程度的共享各个成员组织的研究、开发、部署蜜网的相 关技术及研究成果，并且完全免费向外界公布这些成果。截止到2 0 0 7 年1 月初，已经有2 3 个来自不同国家和地区的组织加入到该联盟【7 】。 蜜网项目组初期( 1 9 9 9 年至2 0 0 1 年) 就提出了第一代蜜网的结构模型，主 要研究蜜罐系统模型的试验和蜜罐理论的验证，并且验证了蜜网的可行性和 有效性。蜜网中期( 2 0 0 2 年至2 0 0 4 年) 的研究提出了第二代蜜网结构模型，研 究的核心放在简化蜜网的应用上，着重考虑了数据控制、数据捕获、数据分 析。初期的蜜网功能虽然强大，但是实用性较差，有很多版本都是基于命令 行的安装，有些功能具体到用户来说不实用或者是根本就不需要的。所以经 过中期的研究，在延续了蜜网初期的强大功能基础上，将蜜网所需要的工具 软件都集中在一张自启动盘上，使得蜜网的应用扩展到教育、商业、军事等 领域。从2 0 0 5 年至今，蜜网项目组研究的重点转移到数据捕获和数据分析上， 并且一直致力于提高蜜网的易用性，同时随着研究的深入提出了第三代蜜网 西南交通大学硕士研究生学位论文第3 页 结构模型。 1 2 2 国内研究状况 尽管蜜网技术在国外起步较早，但是在我国对该领域的研究起步则比较 晚，直到2 0 0 1 年国家自然科学基金信息安全项目才正式对蜜罐技术进行立项 研究。然而从2 0 0 2 年起，蜜网技术在我国已经得到了学者的广泛研究，也出 现了很多针对蜜网技术的研究组织。其中最具代表性的是北京大学的“狩猎 女神 项目，该项目组在蜜网技术领域的研究取得了较为突出的成就，并于 2 0 0 5 年2 月正式发展成为蜜网研究联盟中的第一支中国研究团队，2 0 0 5 年9 月发布了网络环境感知工具n - e y ev 0 1 、2 0 0 6 年1 2 月发布了h o n e y b o w 恶 意代码捕获工具。 狩猎女神项目组目前的实践和研究方向包括如下三个方面【8 】： ( 1 ) 跟进最新的蜜罐与蜜网技术发展，实际部署和维护蜜网，并对蜜网 捕获的黑客攻击及恶意软件进行深入分析，增进对蜜罐与蜜网技术的理解， 了解互联网最新的安全威胁。 、 ( 2 ) 通过物理蜜罐和自动恶意软件收集软件两种途径对互联网上传播的 恶意软件进行捕获，并对其进行深入分析，研究恶意软件捕获和分析的规范 化及自动化流程。特别针对僵尸网络进行发现、追踪及反制的研究。 ( 3 ) 针对蜜网的核心功能数据分析，研究蜜网攻击数据统计分析及 关联分析技术，并进行实用化工具研发。 目前狩猎女神项目部署的蜜网融合了“蜜网项目组 最新提出的第三代 蜜网框架、h o n e y d 虚拟蜜罐系统、以及m w c o l l e c t 和n e p e n t h e s 恶意软件自 动捕获软件。 1 3 主要完成的工作 本论文所做的主要工作如下： ( 1 ) 详细分析蜜罐及蜜网技术、联动技术、防火墙技术，入侵检测技术 以及实现蜜网中实现数据分析模块相关的技术数据挖掘技术。 ( 2 ) 针对蜜网系统不具有入侵知识的自动学习能力，利用数据挖掘技术 实现数据分析模块，并结合防火墙与入侵检测技术，实现蜜罐与传统安全技 术的联动，同时达到知识吸收的目的。 西南交通大学硕士研究生学位论文第4 页 i i ( 3 ) 针对联动系统的系统架构，设计并实现蜜网系统的网关模块、h o n e y d 远程日志模块；增加数据挖掘数据分析模块：结合现有软件技术实现数据控 制、数据捕获、数据分析。 ( 4 ) 对部署的网络系统进行测试，对部署的网络系统进行评估。 1 4 各章节内容安排 论文共分五章，可以概括如下： 第一章：绪论部分，介绍了本课题的背景、研究意义以及现状，并说明 了作者的研究内容和论文结构。 第二章：蜜网及相关技术研究，分析研究蜜网技术、联动技术及其相关 技术，比如入侵检测技术、防火墙技术以及数据挖掘技术。介绍蜜罐及蜜网 的的相关概念，重点分析蜜罐的优缺点；还着重分析蜜网的关键技术。引入 联动技术，并对涉及到的相关技术进行详细分析。 第三章：蜜网系统的联动性体系结构设计，将联动思想引入到蜜网体系 结构中来，详细介绍部署蜜网的设计思想；采用分块的思想对各个模块进行 分析。在数据分析模块采取数据挖掘的方法。 第四章：蜜网系统的设计与实现，对第三章提出的联动式蜜网体系结构 进行详细实现。 第五章：蜜网系统的测试，对整个蜜网系统进行功能测试。 最后是结论，对本文进行总结，概述系统特色，并提出对系统进一步研 究和完善的建议。 西南交通大学硕士研究生学位论文第5 页 第2 章蜜网及联动相关技术研究 本章首先介绍了蜜罐及蜜网技术，并且对其优缺点进行深入分析研究； 在此基础上，引入了联动技术，并且对相关的技术如入侵检测、防火墙、数 据挖掘等技术进行理论分析。 2 1 蜜罐及蜜网技术 2 1 1 蜜罐技术 2 1 1 1 蜜罐的基本概念 从九十年代初蜜罐概念的提出到1 9 9 8 年左右，蜜罐还仅仅是一种思想， 通常由网络管理员所应用，通过欺骗黑客达到追踪的目的。而蜜罐的权威定 义则由h o n e y n e tp r o j e c t 组织的创始人l a n c es p i n n e r 在“h o n e y p o t s d e f i n i t i o n sa n dv a l u eo f h o n e y p o t s 中给出：蜜罐是一种安全的信息资源，其 价值在于被扫描、攻击和攻吲5 1 。这个定义表明，蜜罐并不提供具备信息价 值的服务，所有出入蜜罐的网络流量都预示了扫描、攻击和攻陷。而蜜罐的 核心价值就在于对那些攻击活动进行监视、监测和分析。 蜜罐与大部分的安全工具不同之处在于：它是一种通过伪装成真实的目 标系统来诱骗攻击者攻击或损害的网络安全工具。已经使用的大部分安全技 术都是针对特定问题的解决而设计的，是一种被动的防御。与防火墙和入侵 检测系统相比，蜜罐并不局限于解决某个具体的问题，它是一个可以应用于 不同场合的高度灵活的工具。比如蜜罐可以用于阻止攻击( 类似于防火墙) 、 检测攻击( 类似于入侵检测系统) 、捕获和分析自动化的攻击( l t 如蠕虫) ；另外 蜜罐还可以充当先期的安全预警，还具有研究黑客的活动、捕获入侵者的击 键信息或者对话的能力。 因此，可以说蜜罐就是一种主动的防御，它容忍攻击者入侵，甚至是诱 惑攻击者入侵，从而记录攻击者的攻击工具、手段、动机、目的等行为信息， 尤其是未知行为信息，进而调整网络安全策略，提高系统的安全性能。同时 蜜罐还可以转移攻击者的注意力，使攻击者尽可能长时间地被绑定在蜜罐系 统中，从而达到间接保护真实目标系统的作用。使用蜜罐的具体方式完全取 西南交通大学硕士研究生学位论文第6 页 决于部署蜜罐的本人和所要蜜罐完成的目标。不过，不管蜜罐的表现形式有 哪些，它们都有一个共同的特点：它们的价值在于被探测、攻击或者攻陷时 体现【9 1 。 2 1 1 2 蜜罐的优缺点分析 任何事情都有两面性，蜜罐也有优点和缺点这两方面。 ( 1 ) 蜜罐的优势 蜜罐具有以下几个方面的优势【9 】： 1 ) 数据价值 由于防火墙、入侵检测系统自身的技术特点，每天都会产生大量的日志 信息，从这些数量巨大的信息里提取有价值的信息是十分困难的。而蜜罐是 一种没有任何预期产品活动的系统，所有对它的访问都是可疑的、非法的， 从而降低了噪声级别。大部分蜜罐每天只收集到几兆字节的数据，但是由于 蜜罐自身不提供产品服务的特点使得收集到的这几兆字节的数据都可能是一 次扫描、探测或者攻击。所以这些少量的数据，有可能涵盖了主要的恶意性 活动，而对这些数据的研究极有可能发现新的攻击方法、攻击工具。 2 ) 资源 、 大多数安全机制所面临的另一个难题是资源限制，甚至是资源枯竭。资 源枯竭，指的是由于安全资源的过度使用导致其无法继续起作用的情况。由 于蜜罐只会对少量活动进行监视和捕获，所以蜜罐通常不会出现资源枯竭的 问题。 3 ) 简便性 简便性是蜜罐最大的一个优点。相比其他技术来说，蜜罐的部署并不是 通过开发复杂的精密算法，而是只需要配置好蜜罐，把它放在网络上，然后 静观其运行状态。如果有连接连入蜜罐，就把这些连接检测出来。 ( 2 ) 蜜罐的劣势 蜜罐与其他技术一样，蜜罐技术在具备了上述的优点的同时，其缺点也 不可避免。所以说蜜罐的出现并没有淘汰其它的安全技术，而是与其它安全 技术协同工作。蜜罐的劣势主要表现在以下几个方面【9 】： 1 ) 视野有限 蜜罐最大的缺陷就是视野的有限性。它的视野就像一台显微镜一样，只 能观察到它镜头下的一小部分。具体表现为：只是对针对它自身的活动起到 响应、记录信息的作用，而不能对同一个网络中其它系统的攻击起到任何的 作用。另外如果黑客发现蜜罐的存在，就会绕开蜜罐，对其他主机进行攻击， 西南交通大学硕士研究生学位论文第7 页 这同样使得蜜罐失去了部署的初衷。 2 ) 指纹识别 “指纹识别”是指蜜罐具有一些特定的预期特征或者行为，一旦入侵者 根据蜜罐的预期特征或者行为识别出了蜜罐的存在，就会避开该蜜罐系统， 去入侵其它的非蜜罐系统，从而使蜜罐失去了原有的部署目的。由此蜜罐系 统的反识别技术也随之而出现。 3 ) 风险 使用蜜罐同样具有一定的风险，因为蜜罐主机具有与其他业务主机同等 甚至更多的被攻击的机会，一旦一个蜜罐遭受到了攻击并被成功攻破，入侵 者就可以选用它去攻击、危害系统内其他主机或其它网络。而且这种风险随 着蜜罐交互程度的提高而提高。 2 1 2 蜜网技术 2 1 2 1 蜜网概念 蜜网技术实质上仍是一种蜜罐技术，是一种对攻击者进行欺骗的技术， 通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对他们进行攻 击，减少对实际系统所造成的安全威胁【l o 】。 当然，蜜网也有其自身特点：首先，蜜网是由多个蜜罐以及防火墙、入 侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组 成的一整套体系结构，这种体系结构创建了一个高度可控的网络，使得安全 研究人员可以控制和监视其中的所有攻击活动，从而去了解攻击者的攻击工 具、方法和动机；其次，蜜网是一种高交互型的用来获取广泛的安全信息的 蜜罐，高交互意味着蜜网是用真实的系统，应用程序以及服务来与攻击者进 行交互。 2 1 2 2 蜜网的核心需求 蜜网有三大核心需求：即数据控制、数据捕获和数据采集【l o 】。 ( 1 ) 数据控制 数据控制目的是确保蜜网中被攻陷的蜜罐主机不会被用来攻击蜜网之外 的业务主机。这一点要求必须是在不被入侵者察觉的情况下，对出入蜜网的 数据进行控制。 ( 2 ) 数据捕获 数据捕获目的是秘密捕捉与入侵者相关的所有流量，包括击键序列及其 发送的数据包，以便分析他们使用的技术、工具及策略。蜜网区别于单机蜜 西南交通大学硕士研究生学位论文第8 页 罐系统，它采用基于网络的信息收集方式。这一点同样要求是在入侵者毫无 察觉的情况下进行。 ( 3 ) 数据采集 如果公司、组织有多个逻辑的或物理的蜜网分布于广域网之中，比如蜜 网研究联盟就是这种情况，那么每个蜜网还要实现第三个核心需求一一数据 采集。这要求各个蜜网捕获的数据能够安全地汇集到某中央数据收集点，供 以后分析和存档。 2 1 2 3 蜜网的发展历程 蜜网技术的发展，可以说都是围绕着蜜网的三大需求机制的不断进步而 发展的，以下是详细介绍及分析。 ( 1 ) 第一代蜜网技术 第一代蜜网只是简单的实现了数据控制和数据捕获两种基本功能，图2 1 所示给出了第一代蜜网拓扑结构【l l 】： g e l 1 ih o n e y n e t ( ) 图2 1 第一代蜜网拓扑结构 在该体系结构中，防火墙的作用显得尤其重要。它把网络陷阱分割成三 个部分：一是陷阱部分，二是互联网，三是管理控制平台。所有进出蜜网的 数据包都必须经由防火墙过滤，路由器进行补充过滤。防火墙实行“宽进严 出”策略：对来自外来的连接不做任何限制，但对源自蜜罐主机向外的链接 的数量做了限制。一般连接数是5 到1 0 个。 1 ) 数据控制 在数据控制方面，防火墙是由控制输入和输出连接的主要工具。防火墙 允许任何输入连接，但控制输出连接，记录有多少连接是从蜜罐发起连到外 部因特网的，一旦对外的连接达到了一定数量，网关就阻塞任何多余的请求。 这在一定程度上给了入侵者执行所需行动的自由，但是却是有限的连接。这 西南交通大学硕士研究生学位论文第9 页 也是出于网络欺骗的真实性和网络安全的折中策略。 而路由器放置在防火墙和蜜网之间则可以起到隐藏防火墙和访问控制的 作用。蜜网中的路由器仅允许源地址是蜜网内部的口的机器向外部发送数据 包，使得一旦一个蜜罐被攻破，攻击者会发现在网络外有一个产品路由器， 这就更加像一个真实的网络环境，同时又能保证不被用来攻击其他业务主机； 作为第二层访问控制工具，路由器可以用来防止i c m p 攻击、d e a d p i n g 、s y n 、 f l o o d i n g 、s m u r f 攻击等一些利用伪造m 欺骗的攻击。 2 ) 数据捕获 数据捕获是在不被入侵者发现的情况下捕获尽可能多的数据信息。否则 被入侵者发现的话就会导致入侵者毁掉证据然后偷偷溜掉。为了实现这个目 的，需要对系统进行修改，但要求系统改变尽可能少。而且捕获到的数据出 于安全的考虑不能保留在蜜罐主机上，应该实现异地存储。 在数据捕获方面采取了三层的捕获机制：第一层是防火墙，记录所有出 入到蜜网的连接；入侵检测系统作为第二层，捕获和记录每个分组和有效载 荷；蜜网本身作为第三层，将捕获到的击键和显屏操作远程传输到其他系统。 ( 2 ) 第二代蜜网技术【1 2 】 第二代蜜网( g e n i ih o n e y n e t ，2 0 0 2 2 0 0 3 ) 1 2 , 1 3 】不同于第一代蜜网，第 二代蜜网最大的改进就是可以在一台电脑上实现了蜜网所有的关键功能，即 数据控制、数据捕获和数据采集。这个宿主机被称为h o n e y w a l l 的二层网关 或者称作网桥，方便了蜜网的配置管理，大大增加了蜜网的灵活性、可管理 性和系统安全性。使用网桥有几个优点：首先由于网桥没有口协议栈也就没 有口地址、路由通信量以及t t l 缩减等特征，入侵者难以发现网桥的存在， 也就很难意识到自己正处于被控制之中；二是所有出入蜜网的通信量必须通 过网关，这意味着在单一的网关设备上就可以实现对全部出入通信量的控制 和捕获。图2 2 给出了第二代蜜网的一般网络拓朴结构，其中网络接口e t h 0 和e t h l 组成网桥，用虚线表示。 西南交通大学硕士研究生学位论文第10 页 i 篡1 l i r - - - - - - iii 二 i - 曩啼舅奠舅婚 l i 畦氢“出 图2 2g e n i ih o n e y n e t 拓扑结构 1 ) 数据控制 g e n i ih o n e y n e t 在数据控制方面更加智能化，改进了第一代蜜网仅仅通 过计算外出连接数目来限制入侵者的外连行为，采用了连接数限制和攻击包 抑制相结合的机制来对入侵者行为进行控制。连接数限制防止入侵者对外界 进行大规模的扫描或发起拒绝服务攻击，但与g e n ih o n e y n e t 相比，g e n i i h o n e y n e t 的外出连接数的阈值要大得多，如5 0 个出境连接，这样有助于减 少蜜网的指纹。而攻击包抑制主要是防止入侵者发起一些少量数据包即可奏 效的攻击，是通过在二层网关上安装一个网络入侵防护系统( n i p s ) 来实现 的。由于该网络入侵防护系统只能根据已知的签名数据库检测攻击行为，不 能检测未知攻击，因此，我们采取了与出境连接数限制相结合的方法。攻击 包抑制主要体现在通过对二层网关的含有恶意代码的数据包进行修改或丢 弃，使得入侵者攻击无效化。在入侵者看来，他向外发起的攻击是成功的， 但实际上不会真正生效。通过这种响应措施，可以更好地控制入侵者的行为。 2 ) 数据捕获 g e n i i 蜜网在数据捕获方面使用的技术相对于g e n i 蜜网没有太大改变， 捕获到的信息大部分来自于防火墙日志和嗅探器捕获的网络数据。在大多情 况下，网络数据捕获被认为是检查分析攻击的最关键的部分。然而伴随着网 络安全技术的进步，黑客们也开始越来越多地使用加密工具保护和隐藏他们 的通信。对于加密的数据通信，通过嗅探器捕获的数据将变得毫无价值。为 了观察入侵者经过加密的会话，就必须从蜜罐系统本身捕获他们的相关活动 信息，因为任何加密的通信在终端都是以明文形式存在的。而击键记录最能 体现入侵者在蜜罐中的活动，因此g e n i i 蜜网通常使用击键记录从蜜罐系统 捕获黑客入侵活动信息。实现击键记录，需要对系统进行修改，但要求对系 i 占i 节 ，。 ! 嚣 西南交通大学硕士研究生学位论文第”页 统改变尽可能的少，因为对系统的任何修改都像指纹一样可能会被黑客发觉。 同时捕获到的击键记录不能存储于蜜罐主机，这很可能会被入侵者发现，使 他意识到该系统是一个蜜罐；另一方面，黑客入侵成功后可能会篡改这些数 据，因此必须把捕获的击键记录进行远程存储。 3 ) 数据采集 与g e n ih o n e y n e t 相比，g e n i ih o n e y n e t 在设计时是面向分布式环境设计 开发的，对于分布式设计环境，多个蜜网由一个管理平台控制，必须有对系 统进行远程管理和采集所捕获数据的方法。因此必须考虑到数据采集的问题。 而对于单个蜜网部署，数据采集发生在蜜网本身或管理网络中。 数据采集最关键是要保证信息以一种安全的方式采集，必须保证信息的 完整性、真实性和保密性。因此我们可以采取某些加密措施，保证传送的数 据不会被篡改。每个蜜网都要向中央服务器验证身份，并且要保证没有第三 方能够看到这些数据。如可以利用i p s e c 隧道连接每个分布式h o n e y n e t 到中 央位置点。在图2 2 中，在蜜网的h o n e y w a l l 上有第三个网络接口e t h 2 ，该 接口专用于数据采集和远程管理。通过该接口，所有的数据都可以远程发送 给中央采集点，并实现对所有分布式蜜网的管理。 针对各个数据采集点对数据发送格式的不统一问题，数据采集的另一个 关键是对发送数据的格式标准化。这也为从不同组织的蜜网采集到的数据能 够简单地实现共享和聚合提供便利条件。h o n e y n e tp r o j e c t 制定的“h o n e y n e t 定义、需求和标准f l o 】一文档规定了采集数据的格式，这保证了各个数据采集 点发送数据的统一格式，从而保证了蜜网能方便地共享所捕获的信息。 ( 3 ) 第三代蜜网技术 第三代蜜网( g e n i i ih o n e y n e t ，2 0 0 4 2 0 0 5 ) 的体系结构 1 3 , 1 4 】与第二代蜜 网相同，不同之处在于核心操作系统改为开源的f e d o r ac o r e3l i n u x ，并且 实现了自动化的更新功能和基于浏览器的数据分析工具( w a l l e y s ) ，而且支 持最新的内核级捕获工具( s e b e k3 x ) 。这些改进都增强了蜜网的易用性，使 蜜网更容易安装和维护。 第二代蜜网的数据控制包含两个方面，一是防火墙i p t a b l e s 对出境连接 数的控制，二是s n o r t _ i n l i n e 对出境异常数据的限制。第三代蜜网对数据控制 也是只有这两个方面，但在防火墙规则内容上做了改进，主要是增加了黑名 单、白名单、防护名单功能。 在数据捕获方面，第三代蜜网仍是通过三个层次实现数据捕获的，一是 防火墙日志记录：二是嗅探器记录的网络流；三是s e b e k 捕获的系统活动。 西南交通大学硕士研究生学位论文第12 页 2 2 联动技术 z 2 2 1 联动的概念及现状 现在复杂的网络应用环境和多样的攻击与入侵手段使信息系统的安全威 胁越来越大，安全问题日益突出使得孤立的安全设备难以有效应付。要消除 日益复杂的网络安全威胁，就需要从系统全局出发，从整体和设备联动的角 度去解决网络安全问题，依据统一的安全策略，以安全管理为核心，形成完 整的系统安全防护体系。联动技术【l5 】也正是基于这种整体的安全防护体系思 想和需求出现的。联动技术的提出体现了智能化网络安全管理的潮流，能够 有机整合各种网络安全技术，全面部署网络安全防御体系，有效提升网络性 能。通过联动使各安全设备做到资源整合，协同工作，产生“1 + 1 ) 2 的合 力效果，避免了木桶效应的产生。 联动从本质上来说，是安全产品之间一种信息互通的机制，其理论基础 是：安全事件的意义不是局部的，将安全事件及时通告给相关的安全系统【1 5 】， 有助于从全局范围评估安全事件的危险，并在适当的位置采取动作。它不仅 仅局限于防火墙与入侵检测之间，还涉及很多其他的安全部件，如报警与审 计系统、需要安全保护的主机系统、业务系统、甚至网络设备等，只要在某 个节点发生了安全事件，无论是一个简单系统捕捉到的原始事件，还是一些 具有分析能力的系统判断出来的，都可能需要将这个事件通过某种机制传递 给相关的系统。这里的机制即为能被众多安全设备所支持的某种开放协议等 虚盘 守。 目前，国内外的一些厂家实现了开放网络安全联动协议集，如天融信公 司的t o p s e c 、c h e c k p o i n t 公司的o p s e c ；同时也出现了某些安全联动产品， 如s y m a n t e c 公司的i n t r u d e ra l e r t 系统、i s s 公司的r e a l s e c u r e 系统、 北京安软科技有限公司的分布式防火墙e v e r l i n k 、t r u s t e di n f o r m a t i o n s y s t e m 公司的s t a l k e r s 系统等产品都集成了防火墙与入侵检测系统的功能。 联动技术现已成为网络安全研究的热点，重点考虑如何有效地整合各种网络 安全产品，实施全面的网络安全防御。 西南交通大学硕士研究生学位论文第13 页 2 2 2 常见的联动体系结构 防火墙和i d s 之间互动的实现有两种模式： ( 1 ) 通过开放接口实现互动 防火墙或者i d s 开放一个接口供对方调用，按照一定的协议进行通信、 传输警报。这种方式比较灵活，防火墙可以使用它的访问控制功能；i d s 可 以行使它的检测入侵功能，丢弃恶意通信，确保这个通信不能达到目的地， 并通知防火墙进行阻断。 ( 2 ) 紧密集成实现互动 这种方法是把i d s 技术与防火墙技术集成到统一硬件平台上，在统一的 操作系统管理下有序的运行。这种方式把两种产品集中到一起，所有通过这 个硬件平台的数据不仅要接收防火墙规则的验证，还要被检测是否有攻击性， 以达到实时的阻断。对于这种紧密集成的安全平台，由于i d s 产品和防火墙 本身都是很庞大的系统，所以实施难度很大，集成后的性能也会受很大的影 响。 而目前关于联动的内容主要集中在以防火墙为中心，联合其他安全设备 或产品形成安全平台的研究上。文献 1 6 讨论了i d s 和防火墙的联动，如图 2 - 3 所示。当i d s 检测到需要阻断的入侵行为时，迅速启动联动机制，并且 自动通知防火墙立刻做出相关策略的动态修改，对攻击源进行阻断。动态产 生的规则具有动态性，攻击阻断或者消失后，规则自动超时退出。 f i r e w a l l 梭瓣入经 瓶晦 l 一 t 舔抽烂嘲阻新j、停 i 发现 俊 j i j r i 卺冀a 难晰 入侵者 图2 - 3i d s 与防火墙联动系统架构 文献 1 7 提出了一种基于策略的智能联动模型，如图2 - 4 所示。底层的 安全部件形成网络事件，经过智能代理进行融合，再经过关联之后传送给联 动策略引擎，然后依据设定好的策略进行联动，策略最终应用到各安全部件 上。 西南交通大学硕士研究生学位论文第1 4 页 图2 - 4 基于策略的智能联动模型 蜜罐和入侵检测系统以及防火墙的安全联动框架如图2 - 5 所示。蜜罐和 和入侵检测系统以及防火墙的安全联动的过程为蜜罐系统对其捕获的入侵者 的信息进行分析以后，如果发现了未知的入侵行为，则提取入侵特征，通过 联动控制中心调用入侵检测可视化工具，生成新的规则。之后通过联动控制 中心使入侵检测系统加载新规则，并在该规则的策略中将该攻击事件设为防 火墙阻断，由i d s 给防火墙发出一个动态的阻断策略，动态策略可以设置相 应阻断、阻断时间、时间间隔、源端口、目的端口、源i p 以及目的i p 等信 息，随后防火墙根据策略设置进行相应的阻断。 图2 - 5 蜜罐与入侵检测及防火墙的联动系统架构 西南交通大学硕士研究生学位论文第15 页 i ii l ln 本文主要是参照如图2 5 所示的联动体系框架，蜜罐捕捉数据后，利用 数据挖掘技术分析入侵数据，如果发现了未知的攻击行为，则提取出入侵规 则，并且添加到入侵检测和防火墙规则库中，然后防火墙再执行新的安全策 略进行对连接阻断，从而实现真正的联动。 2 3 防火墙技术 2 3 1 防火墙概念及分类 防火墙( f i r e w a l l ) 是指设置在不同网络或网络安全域之间的一系列部件或 组合，它是不同网络或者网络安全域之间信息的唯一出口，能根据预先定义 好的安全策略控制( 允许、拒绝、检测) 出入网络的信息流。并且防火墙本 身要具有较强的抗攻击能力，是提供信息安全服务、实现网络和信息安全的 基础设施。防火墙可以根据防范的方式和侧重点的不同而分为很多种类型， 但通常可分为包过滤、应用层网关和代理服务器等几大类型【l 】。 ( 1 ) 包过滤型防火墙 包过滤又称“报文过滤 ，是一种简单有效的方法，通过拦截数据包，读 取包头信息，然后根据系统内设置的过滤逻辑，即访问控制表( a c c e s sc o n t r o l t a b l e ) 来对数据包进行选择。通过检查数据流中每个数据包的源地址、目的 地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数 据通过。 包过滤作为第一代防火墙技术，其优点是不用改动客户端和服务器端的 应用程序，因为它们工作在网络层和传输层，与应用层无关，但其弱点也显 而易见，比如过滤判别的依据只是网络层和传输层的有限信息、过滤规则的 数目是有限制的、缺少上下文关联信息、不能有效过滤( 如u d p 和r p c 一 类的协议) 、缺少审计和报警机制等。所以在实际应用中通常把包过滤与应用 网关配合使用或与其它防火墙技术揉合在一起使用。 ( 2 ) 应用层网关型防火墙 应用层网关是在网络应用层上建立协议过滤和转发功能，针对特定的网 络应用服务协议使用指定的数据过滤逻辑，同时对数据包进行必要的分析、 登记和统计，形成报告。 数据包过滤和应用网关防火墙的一个共同特点，就是它们仅仅依靠特定 的逻辑判定是否允许数据包通过。只要满足逻辑，防火墙内外的计算机系统 西南交通大学硕士研究生学位论文第16 页 就建立直接联系，而防火墙外部的用户完全可以直接了解防火墙内部的网络 结构和运行状态，这也可能导致外部用户的非法访问和攻击。 ( 3 ) 代理服务型防火墙 代理型防火墙工作于应用层，利用代理服务器主机将外部网络和内部网 络隔离，掌握着应用系统中可用作安全决策的全部信息。从内部发出的数据 包经过防火墙处理后，如同源于外部的网卡一样，可以达到隐藏内部网络结 构的作用。它通过编程来弄清用户应用层的流量，并能在用户层和应用协议 层间提供访问控制，而且还可以用来保持一个所有应用程序使用的记录。记 录和控制所有进出流量的能力是应用层网关的主要优点之一。 ( 4 ) 复合型防火墙 复合型防火墙是将几种防火墙技术结合起来，经常用来在现有的防火墙 上快速添加新的服务。通常是在代理型防火墙上增加包过滤过功能，构成复 合型防火墙系统，所用主机成为堡垒主机，提供代理服务。也可以通过增加