（计算机软件与理论专业论文）基于honeyd的大学蜜网研究及应用.pdf

郑州大学硕士研究生学位论文基十h o n e y d 的人学蜜刚研究发应用 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄袭等违 反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切法律责任和法 律后果，特此郑重声明。 学位论文作者。签铷卯怠弧 佃f 年j f 月”日 郑州大学硕士研究生学位论文基于h o n e y d 的大学蜜嗍研究及应用 摘要 蜜罐是一种资源，其价值体现在被探测、攻击或损害，它能够转移攻击者视线，使 之远离有价值的主机，对于新型的攻击和探钡提供早期预警，并能够对收集到的攻击信 息事后进行深入分析，是网络安全的重要辅助手段。本论文的目的之一就是介绍蜜罐( 蜜 网) 的各种类型及其在教育行业的实际应用。 本文首先从当前的网络安全现状进行描述，进而对蜜罐产生的历史、蜜罐作用、其 优势与劣势进行了介绍。按照交互程度的不同，蜜罐可分为低交互度、中交互度和高交 互度蜜罐，低交互度的蜜罐主要是用于保护特定组织，它安装简单，功能有限，但风险 较低。高交互度的蜜罐安装、配簧繁杂，但功能强大，能够收集更多和黑客交互的信息， 风险较大。从另一个角度分，蜜罐可分为物理蜜罐与虚拟蜜罐，物理蜜罐带有真实的操 作系统，虚拟蜜罐则使用仿真技术。虚拟蜜罐比较廉价，风险低，但记录的信息种类有 限，在抓住黑客方面做得没有真实的h o n e y p o t 好。而物理蜜罐对于黑客的操作响应与网 络上其它主机完全一样，但有可能被高级黑客征服而变为进攻其他正常网络的跳板。 本文中还介绍了蜜网的概念，到今天，蜜网技术已发展到第三代，成功部署蜜网需 要三个严格需求：数据控制、数据捕获和数据收集。 本文的中心是建立基于h o n e y d 的虚拟蜜网技术的大学蜜网网络，文中对整个应用 的实现进行了系统详细的介绍。具体介绍了h o n e y d 的思想、h o n e y d 及其相关套件的安 装、配置与管理，及其他辅助h o n e y d 工作的软件工具。首先介绍了学校蜜网应用的背 景，给出了虚拟蜜网的框架结构，在网络设备上对蜜网监听范围的i p 进行了数据控制， 采用l i n u x 操作系统下的软件工具进行了数据捕获，最后对收集到的数据进行了总结分 析。此应用达到了预期的设计效果，但还存在许多不足之处，并在总结中提出了改进方 向。 分析 关键字：蜜罐，蜜网，h o n e y d ，h o n e y p o t ，h o n e y n e t ，数据控制，数据捕获，日志 郑州大学硕士研究生学位论文基于h o n e y d 的人学蜜网研究及应用 a b s t r a c t a h n n e y p o ti sab n do f r e s o u r c ew h o s ev a l u el i e si np r o b e d a t t a c k e do rc o m p r o m i s e d i t c a l ld i s t r a c ta d v e r s a r i e sf r o mm o r ev a l u a b l em a c h i n e so nan e t w o r k ，c a l lp r o v i d ee a r l y w a r n i n ga b o u tn e wa t t a c k sa n de x p l o i t a t i o nt r e n d s ，o ra l l o wi n - d e p t he x a m i n a t i o no f a d v e r s a r i e sd u r i n ga n da f t e re x p l o i t a t i o no f ah o n e y p o t s oi ti sa ni m p o r t a n tm e t h o dt h a ta i d s i nn e t w o r ks e c u r i t y o n eg o a lo f t h i sp a p e ri st os h o wt h ev a r i e t i e so f h o n e y p o t s ( h o n e y n e t s ) a n dt h e i ru i na ne d u e a t i o n a l f r o md e s c r i p t i o no f t o d a y sn e t w o r ks e c u r i t y , i td e s c r i b e st h eh i s t o r y , r o l e s ，a d v a n t a g e sa n d d i s a d v a n t a g e so fh o n e y p o t a c c o r d i n gt ot h ei n t e r a c t i v i t y , h o n e y p o tc a nb ec l a s s e da sl o w i n t e r a c t i v i t yh o u e y p o t , m i d d l ei n t e r a c t i v i t y , h i g hi n t e r a c t i v i t yh o n e y p o t t h el o wi n t e r a c t i v i t y h o n e y p o tm a i n l yb eu s e dt op r o t e c ts p e c i a lo r g a n i z a t i o n s ，i t si n s t a l li ss a m p l e ，r i s ki sl o w e r , b u t t h ef u n c t i o ni sl i m i t e d ，o nt h ec o n t r a r y , h i g hi n t e r a c t i v i t yh o n e y p o t sr i s ki sh i 【g h e r , b u ti tc a ng e t m u c hv a l u ei n f o r m a t i o na b o u ta t t a c k e r s ，s oi t sf u n c t i o ni sf o r m i d a b l e f r o ma n o t h e rp o i n to f v i e w , h o n e y p o tc a nb ec l a s s e da sp h y s i c a lh o n e y p o ta n dv i r t u a lh o n e y p o t ，p h y s i c a lh o n e y p o ti s ar e a lo p e r a t i n gs y s t e mw h i c hc a nb eo p e r a t e db ya t t a c k e r sa n dv i r t u a lh o n e y p o to n l y e m u l a t e ss e r v i c e so fo p e r a t i n gs y s t e m b u tt h ep r i c ea n dr i s ko fv i r t u a lh o n e y p o ti sl o w e rt h a n p h y s i c a lh o n e y p o t ，i nt r a p i n ga t t a c k e r , p h y s i c a lh o n e y p o td o e sw e l lt h a nv i r t u a lh o n e y p o t ，b u t o n ep o s s i b i l i t ym a yh a p p e nt h a ti st h ep h y s i c a lh o n e y p o tc a l lb ec o m p r o m i s e db ys o m e a t t a c k e r sa n dc h a n g e dt oas t e p - s t o n ef o ra t t a c k i n go t h e rm a c h i n e s t h ep a p e ri n t r o d u c e st h ec o n c e p to fh o n e y n e t ，t h eh o n e y n e tt e c h n o l o g yh a sd e v e l o p e d t h r e ep h a s e s t od e p l o yah o n e y n e ts u c c e s s f u l l y , t h r e ed e m a n d ss h o u l db es a t i s f i e d ，t h e ya r e d a t ac o n t r o l ，d a t ac a p t u r ea n dd a t ac o l l e c t i o n t h em a i np o i n to ft h ep a p e ri st oe s t a b l i s hah o n e y n e tb a s e dh o n e y dt e c h n o l o g yi na n a n i v e r s i t y , aa p p l i c a t i o ni sd e s c r i b e di nd e t a i lf r o mb e g i nt oe n d t h ea p p l i c a t i o nc o n s i s t so f c o n c e p t ，i n s t a l l ，c o n f i g u r a t i o na n dm a n a g e m e n to fh o n e y p o t a tf i r s t , t h ep a p e rg i v e st h e s c e n a r i oo ft h ep r o j e c t , p r o p o s e saf r a m ei n s t m c t u r e i nt h ew i l d ，w ea c c o m p l i s ht h ed a t a c o n t r o li nt h ei pr a n g ew i t i lt h en e t w o r kd e v i c ew h i c ha r er o u t i n gs w i t c ha n df i r e w a l l w i t l lt h e l i n u xs o f d c a r et o o l ，w ea c c o m p l i s ht h ed a t ac a p t u r e ，a n da n a l y z et h ed a t aw ec o l l e c t t h e p r o j e c td o e sw h a tw ew a n t ，b u ti th a sm u c hs h o r t a g e ，i nt h ep a r to fs u m m a r y , i m p r o v e m e n t so f t h i sp r o j e c ta r ew i l l e d k e y w o r d s ：h o n e y p o t , h o n e y n e t ，h o n e y d ，d a t ac o n t r o l ，d a t ac a p t u r e ，l o ga n a l y s i s 4 郑州大学硕士研究生学位论文 基于h o n e y d 的大学蜜网研究及应用 引言 目前的互联网安全面临着巨大的考验，导致互联网目前如此糟糕的安全状况的原因 有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多 安全漏洞和缺陷；同时，大部分的网络使用者还未真j 下拥有安全意识，也还很少进行安 全加强工作。另一方面，随着网络攻击技术的发展，互联网上的每一台主机都已经成为 攻击的目标：同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联 网上找到所需的最新攻击脚本和工具。还有，新病毒( 蠕虫、木马) 产生的频率加快， 危害性增强，在数分钟内能感染百万台主机。 针对如此严重的安全威胁，而我们却仍然对黑客所知甚少。当网络被攻陷破坏后， 我们甚至还不知道对手是谁，对他们使用了哪些工具、以何种方式达成攻击目的，以及 为什么进行攻击更是一无所知。 “知己知彼，百战不殆”，安全防护工作者，需要首先对黑客有深入的了解，包括 他们所掌握的攻击技术、技巧，甚至心理和习惯等。只有在充分了解对手的前提下，才 能更有效地维护互联网安全，而蜜罐和蜜网技术为捕获黑客的攻击行为，并深入分析黑 客提供了基础。 目前国内外对蜜罐、蜜网的研究侧重于其思想理论的论述，真正在实践中部署、验 证的则很少。 本论文介绍了蜜罐、蜜网技术，并在实际环境中对此进行了验证和应用，在应用中 所建立起来的基于h o n e y d 的蜜网与传统的网络安全策略相比有其独特的优势，建立过 程在本论文中进行了详细具体的描述，同时也对本应用的不足及改进方向进行了总结。 论文共分四章，第一章为h o n e y p o t ，介绍了h o n e y p o t 的概念、历史及其分类；第二 章为h o n e y n e t ，介绍了h o n e y n e t 的概念、发展及部署需求；第三章为基于h o n e y d 的虚 拟蜜网应用，详细介绍了蜜网技术在校园网络中的构建；第四章为总结。 7 郑州大学硕士研究生学位论文 基于h o n e y d 的大学蜜网研究及应用 第一章h o n e y p o t 1 1 h o n e y p o t 的历史 h o n e y p o t ( 蜜罐) 这个概念来自十几年前，那时候网络管理员希望有一种方法来找 出到底是谁在探测网络。有句名言说“要想人不知，除非己莫为”，如果有人在探测网 络，只要他向外发送数据，就一定会被察觉。因此有人利用了这个道理，在网络中建立 了一个诱饵系统，它可以不时地向外发送与w i n d o w s 网络服务有关的数据包，而那些 监听网络的黑客获取数据包后，肯定会通过d n s 查询来确定这个诱饵系统的更多资料。 一旦d n s 查询完成，则发送查询的主机名和i p 地址包括查询时间就都会被记录下来。 下面是h o n e y p o t 发展历史的一些关键事件： 1 9 9 0 一1 9 9 1 年，第一本阐述h o n e y p o t 概念的公开发表的著作- - c l i f f o r ds t o l l 的 t h ec u c k o o se g g ) ) 1 及b i l lc h e s w i e k 的( a ne v e n i n gw i t hb e r f e r d ) ) 2 。 1 9 9 7 年一f r e dc o h e n 的d e c e p t i o nt o o k i t 3 10 1 版本发行，这是可为安全界所 用的首批h o n e y p o t 解决方案之一。 1 9 9 9 年- - h o n c y n e tp r o j e c t 4 形成，“k n o wy o u re n e m y ”系列论文发表，这项 工作使人们加深了对h o n e y p o t 的认识并验证了h o n e y p o t 及其相关技术的价值。 2 0 0 0 2 0 0 1 年一使用h o n e y p o t 来捕获和研究蠕虫活动，更多的组织采用 h o n e y p o t 来检测攻击和研究新威胁。 2 0 0 2 年一一个h o n e y p o t 当场检测并捕获到了一种新型的未知攻击，即s o l a r i s d t s p c de x p l o i t 5 。 1 1 1 关于h o n e y p o t 的出版物 1 9 9 0 年以前h o n e y p o t 的出版物比较少，第一次阐述h o n e y p o t 概念的公开发表的著 作是c l i f f o r ds t o l l 的1 kc u c k o o se g g ) ) 及b i l lc h e s w i e k 的 a ne v e n i n gw i t hb e r f e r d 。 1 1 1 ec u c k o o se g g ) ) 这本书以类似小说的体载记录了名为s t o l l 的天文学家，在其 受到侵入的系统中了解和诱骗攻击者的故事。 b i l lc h e s w i c k 所写的“a ne v e n i n gw i t hb e r f e r di nw h i c hac r a c k e ri s l u r e d ，e n d u r e d ，a n ds t u d i e d ”的论文更多地在技术角度对蜜罐的概念进行了探讨。这两个 作品第一次完整而有目的的探讨了蜜罐的概念，但都没有对蜜罐的含义进行准确的界 定，也没有探讨蜜罐对于安全领域的价值。 8 郑州大学顾i ：研究生学位论文基于h o n e y d 的大学蜜网研究及应用 1 1 2h o n e y p o t 现状 s a n s l 、s e c u r i t y f o c u s 2 等知名的安全组织都通过部署模拟某些w i n d o w s 系统漏洞的 蜜罐捕获蠕虫病毒，并深入的对其进行分析。 2 0 0 2 年1 月8 日，一个未知e x p l o i t 被一个s o l a r i s 蜜罐捕获，这是第一个有书面记 载的未知e x p l o i t 捕获，表明蜜罐技术在防御未知威胁方面大有用武之地。 至今为止，蜜罐已经以很多种不同的形式获得了实际应用，并在安全领域中担当起 越来越重要的作用。 目前国内外对蜜罐及蜜网技术的研究集中在以下三个方面： ( 1 ) 动态蜜罐( d y n a m i ch o n e ) p o t ) 技术：能自动配置些虚拟蜜罐，并根据网络状 态，动态地进行自适应。 ( 2 ) 蜜场技术( h o n e yf a r m ) ：用于大型分布式网络，蜜场是安全操作中心，控制操 作所有的蜜罐。 ( 3 ) h o n e y t o k e n 技术：蜜罐概念的扩展，使用一些正常情况下永远都不会使用的信 息内容( 称为h o n e y t o k e n ) 作为诱饵。 a r t e l i l i s ( 狩猎女神) 项目是北京大学计算机研究所信息安全工程研究中心推进的蜜 网研究项目，2 0 0 5 年1 月向世界“蜜网研究联盟( h o n e y p o tr e s e a r c h a i l i a n c e ) ”提出加 入申请，并于2 0 0 5 年2 月正式成为该联盟组织的中国第一支研究团队。 狩猎女神项目提供了虚拟蜜网作为学生的网络攻防对抗技术实验平台 3 j 。 1 2h o n e y p o t 的定义 在安全界，每个人都有自己对h o n e y p o t 的定义。 l a n c es p i t z n e r 6 3 对蜜罐所下的定义是： “ah o n e y p o ti sa ni n f o r m a t i o ns y s t e mr e g o u l e c ew h o s ev a l u el i e si nu n a u t h o r i z e do r i l l i c i tt l s eo f t h a tr e s o u r c e ”。 本论文中，对蜜罐所下的定义为：“蜜罐是一种资源，其价值体现在被探测、攻击 或损害”。 与通常使用的安全防御设施不同，蜜罐只有在受到攻击的情况下才能展现出价值。 一直以来，攻击者通过什么方法、使用什么工具展开攻击以及他们攻击的出发点都很少 为人所知。但是蜜罐系统的出现使安全领域的专家及用户不但可以了解到这些信息，甚 至能够从中发现规律和趋势，从而提供具有意义的结论。使用者可以利用蜜罐系统开展 主动的研究活动，也可以通过蜜罐系统对攻击者进行控制和引导。 b 娅；丛型生s 垫s ：q 型，s a n s 代表s y s a d m i n 、a u d i t 、n e t w o r k 、s a m t y ，一个计算机信息安全培训及认证基地。 2httd：wwwseoldtvfoeuseom，intemct上的安全信息站点。 9 郑州大学硕上研究生学位论文 基于h o n e y d 的大学蜜网研究及应用 h o n e y p o t 并不限于解决某个具体问题，它是一种可以应用于大量不同场合的高度灵 活的工具，它可以实现许多不同的目标。它可以实现i d s 检测攻击的功能，也可实现防 火墙阻止攻击的功能，还可以用于捕获和分析自动化的攻击( 如m a s s - r o o t e r 及其它蠕 虫) ，充当先期预警作用。最主要的一点，h o n e y p o t 主要用来研究黑客的活动，研究攻 击者的动机、行为，捕获攻击者的击键动作及强大的收集信息的能力，这些信息能够辅 助管理员进行网络的安全管理。 h o n e y p o t 是一种安全资源，上面不存在任何有价值的产品信息，常理下，没有任何 人或者资源应该和它们通信。因此，任何流向h o n e y p o t 的流量都是可疑的，意味着 h o n e y p o t 可能被扫插、探测或被攻击，相对地，从h o n e y p o t 流出的流量意味着h o n e y p o t 本身可能被摧毁，正被用来进行出境连接。 1 3h o n e y p o t 的优势 h o n e y p o t 在检测非法、未授权行为方面是一个简单、经济的解决方案，本节介绍检 测技术在整个安全策略方面的作用，介绍传统的检测手段及其存在的问题 7 3 。 1 3 1 什么是检测? 安全定义为三个层次：预防、检测和反应。预防是把攻击者排除在外：检测是找出 预防环节中存在的故障并通知管理员；而反应是对发生的安全事件采取的行动。在三个 层次中，检测是最重要的。 1 3 2 传统的检测手段 传统用于检测技术最通用的方法是n i d s ( n e t w o r ki d s ) ，n i d s 被动监测网络流量， 当检测出可疑或非授权行为时，系统就产生一个警报。 有两种主要方法定义可疑或非授权行为：基于规则的检测和基于异常的检测。 基于规则的检测是基于一系列的模式或签名，如果一个流入网络的流量包含有这些 已知的模式，就认为发生了非授权行为并产生警报，但n i d s 有众所周知的缺点：假阳 性一对正常网络流量产生警报。 基于异常的检测同基于规则的检测不同，它尝试学习理解正常网络行为，对异常行 为发出警报。这种检测手段的挑战来自于对正常网络行为的定义，新技术、新的应用会 不断地加入到网络中，所有这些都会使建立一个衡量网络正常行为的标准变得异常困 难。 h o n e y p o t 与传统的检测手段相比，克服了这些缺点，体现出其独特的优势。它产生 1 0 郑州大学硕i ：研究生学位论文 基于h o n e y d 的大学蜜网研究及应用 的r 志数据量小、没有假阳性和假阴性，捕获已知和未知攻击行为并产生早期预警。 1 4h o n e y p o t 的缺点 h o n e y p o t 就像所有其它技术一样，有其缺点，最大的便是其“眼界”的局限性。 h o n e y p o t 只能直接针对它们本身的活动，而无法捕获针对其它系统的攻击活动。如果 某个攻击者识别出了h o n e y p o t ，就会避开它而进入其它系统，h o n e y p o t 却不知他们已经 进来了。 h o n e y p o t 同其它系统一样，也是可以被攻破的，一旦被摧毁，可被用于作为第三方 攻击的跳板，所有带来的损失、法律问题可能由部署h o n e y p o t 的单位承担。 因此，并不建议用这些系统取代原有的安全技术，相反的，将h o n e y p o t 视为网络型 与主机型入侵防护的辅助技术。 1 5h o n e y p o t 的分类 h o n e y p o t 的其中一个特点是“交互级别”，它是攻击者和h o n e y p o t 之间交互程度的 一种度量，是攻击者可能控制系统带来风险的一种度量，及收集信息能力的一种度量。 在h o n e y p o t 中，有三种级别的交互：低交互、中交互、高交互。 1 5 1 低交互度的h o n e y p o t 大部分的低交互度h o n e y p o t 设计简单、功能有限，仅仅给出黑客行为的基本信息， 但也最容易安装、配置和维护。这种h o n e y p o t 只提供有限的几种模拟服务，如常用的 f t p 、h r r p 或t e l n e t 服务。 这样简单的解决方案，不可能捕获到复杂通讯协议之间的通信，如s m t p 握手连接。 郑州大学硕上研究生学位论文基于h o n e y d 的大学蜜网研究及应用 1 5 2 中交互度的h o n e y p o t 中交互度的h o n e y p o t 提供的交互能力比低交互度h o n e y p o t 高，能预期一些活动， 并给予响应。譬如，可以构建一个h o n e y p o t ，模拟特定的i i s 漏洞，这种级别的交互比 那季孛只出现一个h r 印标识的低交互度h o n e y p o t 更商些。但并没有提供个真实约操作 系统和攻击者交互，称不是一个高级别交互。 中交互度的h o n e y p o t 通常要花费更多的时间部署、安装、配置和维护。并要开发一 些相应的安全机制。以确保攻击者不会危害其它的系统。随着中交互度h o n e y p o t 复杂度 的增加，就增大了可能出错的风险，但同时能收集到更多的信息。 围1 2 中交互度h o n e y p o t 1 5 3 高交互度的h o n e y p o t 离交互度h o n e y p o t 是h o n e y p o t 技术的极限，撵供大量关于攻击者的信息，但构建 和维护极为费时，及随之而来的高安全风险。 图1 3 高交互度h o n e y p o t 高交互度h o n e y p o t 为攻击者提供了对实际操作系统的访问权，在这种环境下没有任 郑州大学硕e 研究生学位论文基于h o n c y d 的火学蜜网研究及应用 何东西是模拟或受限的。 高交互度的h o n e y p o t 通常被部署在一种受控环境中，比如防火墙之后。高交互度的 h o n c y p o t 风险最大，但能够识别其它种类的h o n e y p o t 所无法察觉的攻击。 1 5 4 交互级别之间的选择 不同级别的h o n e y p o t 各有其实现方式，完成的功能不同，利弊也不一样。选择何种 级别的h o n e y p o t ，可以在下列一些范畴中进行权衡。 安装和配置的复杂度：定义安装和配置h o n e y p o t 时所花费的时间与精力。 部署和维护的难度：定义对系统进行维护所花费的时间和精力。 收集信息的能力：h o n e y p o t 在和攻击者交互的过程中收集信息能力的大小。 引入风险的强度：h o n e y p o t 由于是一个有漏洞的系统，因为它模拟或真实存在 着相关操作系统的服务或软件漏洞，有被攻克的可能性，由此而作为第三方攻 击的跳板的可能性也会存在。 1 3 郑州人学硕上研究生学位论文基于h o n e y a 的大学蜜网研究及应用 第二章h o n e y n e t 蜜网项目组( t h eh o n e y n e tp r o j e c t ) 是个自发、非营利的研究组织，该组织专注 于对黑客所使用的各种攻击工具、策略及动机进行研究，并且分享学到豹经验，而收集 这些信息的基本工具就是蜜网。 传统意义上的信息安全只是纯粹的防守，防火墙、入侵检测系统、加密等等，所有 这些机制都被用来防御性地保护人们的资源。这种方法的问题是：它只是纯粹的防守， 而敌人掌握着主动权。蜜网技术尝试着去改变这种局面，h o n e y n e t 最基本的目的就是收 集潜在的威胁信息、发现新的工具、确定攻击特征、以及研究攻击者的动机。 2 j fh o n e y n e t 介绍 h o n e y n c t ( 蜜网) 是h o n e y p o t 领域一相对较新的概念，1 9 9 9 年8 月发表的一篇文 章如何构建h o n e y n e t ) ，首先提出了h o n e y n e t 的概念。 2 0 0 0 年6 月，h o n e y n e tp r o j e c t ( 蜜网工程) 成立，这是一家非赢利性组织，该组织 的宗旨和宣言是：研究黑客使用的工具、战术和动机，并共享经验教调。 h o n e y n c t p m j e c t 通过发表系列论文“k n o w y o u r e n e m y 8 ”证明h o n e y n e t 的价 值，在这些文章中，专家们一步步地论证了攻击者是如何识别有漏漏的系统并对其发起 攻击的，以及黑客攻破系统后的所作所为和他们攻击系统的动机。 2 0 0 1 年1 2 月，蜜网研究联盟成立，该联盟致力于对h o n e y n c t 技术的提高和进步 开发，促进不同研究组织对h o n e y n e t 的研究和部署。 蜜网联盟章程规定了成员组织研究和共享信息的原则，并规定了数据共享的标准文 档格式。该联盟使得各成员组织之间能够共享成果，提高对网络威胁的认识能力。在很 多方面，联盟代表了h o n e y n e t 技术的最新发展动向。 2 2h o n e y n e t 的价值 蜜网实质上是一种蜜罐( h o n e y p o t ) 技术，特别的是，它是一种高交互度的用来获 取广泛威胁信息的蜜罐，高交互意味着一个蜜网用真实的操作系统、应用程序以及服务 与攻击者进行交互。 与多数蜜罐不同的是，蜜网是由多个计算机系统组成的一整套网络体系。个蜜网 是由许多用来与攻击者进行交互的蜜罐组成的。 1 4 郑州人学硕上研究生学位论文 基于h o n 斜d 的大学蜜网研究及应用 2 2 1 对攻击者的研究 使用h o n e y n e t 的好处在于它所提供的信息是基于黑客的秘密行为，我们可以一步步 地了解h o n e y n e t 是如何动作的以及为什么这样做，并且将研究结果在联盟成员内共享。 2 2 2 对网络安全的趋势分析 通过分析h o n e y n e t 收集的信息，寻找特定模式的变化，就可以建立攻击的预测模型， 对网络攻击趋势进行预测，作用相当于一个早期预警系统。 用h o n e ) m e t 捕获到的数据有较低的错报，因为进入h o n e y n e t 的几乎所有流量都反 映了某种类型的恶意活动，对这样的数据进行分析的可靠性就大大增加了。 更重要的，h o n e y n e t 不仅捕获己知的攻击，而且捕获未知的攻击，它不使用签名数 据库。 2 2 3 新技术测试 当使用一种新技术时，会带来不可预知的安全危险。一种产品在经过a l p h a 、b e t a 等测试后，才有可能投入市场。使用h o n e y n e t ，可以建立一个测试台一即一种受控环境， 用来分析应用软件、操作系统及安全机制的漏洞。如使用h o n e y n e t ，结合虚拟机技术， 可以对互联网的间谍软件进行研究 1 0 。 微软的s t r i d e rh o n e y m o n k e y 1 1 技术，是h o n e y n e t 的另类应用。h o n e y m o n k e y 是一种模仿用户上网冲浪的计算机或虚拟p c ，它模仿用户的上网行为，去浏览能感染 特定浏览器漏洞的w e b 站点，然后对这些w e b 站点进行分析，对浏览器脆弱点进行加 固，并对用户发布安全警告。 2 3h o n e y n e t 的工作方式 蜜网从概念上说是简单的，它是仅仅包含了一个或多个蜜罐的网络。许多时候，蜜 网就像一个玻璃鱼缸，所创建的是一个可以完全看清内部所有东西的环境，只不过向蜜 网体系中添加的是服务器、打印机、路由器等。同时，就像鱼儿与鱼缸中的物体互动 一样，入侵者也会与蜜网中的系统交互。 蜜网只是一个体系结构，为了成功的部署一个蜜网环境，有三个严格的需求：数据 控制、数据捕获和数据收集。数据控制定义了怎样将把攻击者的活动限制在蜜网中而同 时不让攻击者察觉：数据捕获则是在攻击者不知情的情况下捕获其所有攻击活动。 郑州人学硕士研究生学位论文基于h o n e y d 的大学蜜网研究及应用 2 3 1 数据控制 图2 1 第二代蜜网架构图示 数据控制就是限制攻击者活动的机制，它可以降低安全风险。确保攻击者进入蜜网 后，不可能偶然或刻意危害蜜网之外的系统。 首先，必须让攻击者有一定限度的活动自由，允许攻击者的活动越多，就越有可能 了解他们越多。但给攻击者的自由度越高，攻击者绕过数据控制危害蜜网之外系统的风 险就越大。 其次，必须在攻击者不知情的情况下控制攻击者的活动。数据控制只能最小化风险， 不可能完全消除潜在的攻击者利用蜜网危害其他系统的可能性。 2 3 2 数据捕获 数据捕获就是监控和记录所有攻击者在蜜网内部的活动，这些捕获的数据将会被用 于分析，从中学习黑客使用的工具、策略以及动机。其中的难点就是要在黑客无法侦测 到这个进程的同时搜集尽可能多的数据。 数据捕获面临的一个挑战是：大部分的攻击者的活动是在加密的通道( i p s e c 、s s h 、 s s l 等) 上进行的，数据捕获机制必须将加密纳入考虑范围。 2 3 3 数据收集 部署蜜网还有第三个需求：数据收集，这只针对拥有分布式蜜网环境的组织。如果 只有一个蜜网，只需做到控制和捕获数据。但是，有些组织的多个蜜网逻辑或者物理分 布在世界各地，比如蜜网研究联盟必须将所有捕获到的数据收集到一个中心点，这样捕 获的数据可以被结合，极大地增加了它们的价值。 郑州大学硕上研究生学位论文 基于h o n e y d 的大学蜜嗍研究及应用 第三章基于h o n e y d 的蜜网研究及应用 3 1h o n e y d 3 1 1 虚拟蜜罐思想的引入 由前所述，h o n e y p o t 是一种密切监视网络资源的诱饵，它服务于以下几个目的：转 移攻击者视线，使之远离有价值网络；为新的攻击行为和探测扫描提供早期预警；在攻 击实施进行中和实施后能够对攻击者进行深入细致的分析。 蜜罐按其实现分成物理蜜罐与虚拟蜜罐。物理蜜罐是网络上存在的真实主机，运行 着真实的操作系统，提供真实的服务，拥有自己的m 地址；虚拟蜜罐则是由一台机器 模拟的，这台机器会响应发送到虚拟蜜罐的网络数据流，提供模拟的网络服务等。 部署一个物理蜜罐常常是费时并且昂贵的，因为这样的蜜罐需要不同的操作系统协 同工作，每种操作系统都需要专有的硬件来实现一个标准的h o n e y p o t 。虚拟蜜罐工具的 出现，使得部署蜜罐变得比较方便，h o n e y d 就是虚拟蜜罐的一种。 3 1 2h o n e y d 介绍 h o n e y d 是由密歇根大学的n i e l s p r o v o s 1 2 开发和维护的，其设计定位为一种低 交互度的解决方案，没有为攻击者提供可以获得访问权的操作系统。 h o n e y d 的首要目的是检测，特别是在组织内部检测未授权行为。它监视网络上所 有未使用的i p 地址，任何连接到这些口的企图都被认为是未授权或恶意的。 h o n e y d 能够同时监视所有这些未使用的i p 地址，无论何时对这些地址有连接企图， h o n e y d 都会自动充当这些未用i p 地址的主机身份并与攻击者交互。 h o n e y d 本身没有采用高级的算法，安装和维护比较容易。它不仅检测己知类型的 攻击( 如旧式的i i s 攻击) ，对于未知类型的攻击( 如0 日攻击) 也是如此。 h o n e y d 能够在一台机器上模拟不同的操作系统和服务，这是通过模拟不同操作系 统网络层的l p 栈特点，而不仅仅是应用程序级，并通过把特定脚本绑定到对应端口来 模拟服务。h o n e y d 能够欺骗网络指纹识别工具使它们相信正在和一个真实的操作系统 交互。在模拟操作系统个性时，h o n e y d 使用了n m a pe 2 s 的指纹数据库来定义操作系 统的不同特点及i p 栈特征。当h o n e y d 把一个包插入m 流时，包的特征如t c p i p 标志 就会根据所模仿的操作系统而作相应的调整。 利用h o n e y d 还可以在一台机器上模拟一个完整网络的拓扑一这些网络拓扑包括多 1 7 郑州大学硕研究生学位论文 基于h o n e y d 的大学蜜嘲研究及应用 个跳点( h o p ) 、包丢失率及相应的延迟。 3 1 3h o n e y d 的价值 作为一种低交互度的h o n e y p o t ，h o n e y d 主要是一种用于对攻击进行检测的产品型 h o n e y p o t 。它有两个优点：其一，能够检测任意t c p 端口上的连接，不需要模拟服务的 参与，模拟服务只是用于和攻击者进行交互和获取信息，这就简化了h o n e y d 的部署， 增加了其检测功能；其二，h o n e y d 能够修改所模拟的服务以及交互的级别，由于是一种 开源解决方案，模拟服务的代码可以由安全界共享。 h o n e y d 最大的价值并不在于它所监听的端口，也不在于其模拟级别，而在于其能 够同时对数百万个m 地址进行监视的能力，h o n e y p o t 只能监视分配给h o n e y p o t 的邛地 址，而h o n e y d 则没有这种局限性。它具有对数百万个讲地址进行监视的能力及主动担 当起成千上万个i p 地址的能力，并且所有这些都是同时进行的。h o n e y d 对此的解决方 案为不对特定的i p 地址进行监听，而是监听整个网络块中未被使用的m 地址。当有连 接企图发往系统不存在的i p 地址时，这次连接就会转发给h o n e y d ，然后h o n e y d 就会接 收到这次连接，担当起受害者的i p 地址，并对攻击者作出回复 1 3 。 3 1 4a r p 代理( 欺骗) h o n e y d 运作的方式如下：当它接收到一次对并不存在系统的探测或连接时，在假 定连接企图敌对的前提下，会使自己的m 地址充当受害者的i p 地址。 如果想要h o n e y d 对不存在系统的尝试连接作出反应，就要使用一个工具一鲫d 1 4 。a r p d 是由d u gs o n 9 1 所开发的一个软件工具，这个工具能够识别非存在系统( 指 不具有i p 地址的系统) ，然后对这些不存在系统的探测或扫描作出反应并将所有发往这 些不存在系统的流量转发给h o n e y d 。 3 1 4 1a r p 协议 a r p ( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 是地址解析协议，负责将m 地址与网络物理地 址( m a c ) 对应，a r p 表，用来支持在m a c 地址和m 地址之间提供相互转换。 在以太网中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备 的网络层逻辑地址( i p 地址) 外，还要知道目标设备的第二层物理地址( m a c 地址) 。 a r p 协议的基本功能就是通过目标设备的i p 地址，查询目标设备的m a c 地址，以保 证通信的顺利进行。 d u gs o n g 是a r b o r 的首席安全架构师，负责a r b o r 网络的安全监控，反跟踪及信息安全加强技术。 1 8 郑州大学硕士研究生学位论文基于h o n e y d 的大学蜜网研究及应用 3 1 4 2a r p 欺骗 主机在实现刖冲缓存表机制中有一个不完善的地方，当收到一个a r p 的应答报文 后，并不验证自己是否发送过这个a r p 请求，而是直接将应答包里的m a c 地址与m 对应的关系替换掉自己原有的a r p 缓存表里的相应信息，这就导致主机c 截取主机a 与主机b 之间的数据通信成为可能。 3 1 4 3a r p d 的工作方式 图3 1a r p 欺骗图示 枷运行在与h o n e y d 相同的系统上，是h o n e y d 众多协作工具中最重要的一个。 a r p d 工作时监视局域网内的流量，并通过查看h o n e y d 系统的a r p 表判断其它系统的活 跃与否。 当一次企图对局域网内系统的连接发生时，a r p d 通过查找a r p 表得知目的m 地址 不存在后，就会尝试对受害者的口地址进行a r p 广播，如果h o n e y d 得到了响应，说明 目标系统确实存在，于是把目标系统的p 地址与m a c 地址的对应写入h o n e y d 的a r p 表，并对这次连接尝试不动作，因为这可能是合法流量。 然而，如果a r p d 没有从目标接收到a r p 响应，那么它就认为目标系统并不存在， 假设这是一次攻击行为，于是就尝试充当受害者的碑地址并对攻击者作出回应。 假定a r p d 和h o n e y d 的主机地址为1 9 2 1 6 8 0 2 2 2 ，对应的m a c 地址为 0 0 ：0 c ：2 9 ：2 4 ：b d ：3 3 ，在h o n e