（计算机软件与理论专业论文）智能蜜网体系结构及其关键技术的研究与实现.pdf

摘要 摘要 随着信息技术的发展，互联网用户与日俱增，用户在使用网络过程中会遇到 自己的敏感信息被泄露、银行卡密码被盗、机器被种植木马等一系列安全问题， 但是用户一般在财产受到损失后才会意识到自己受到了黑客的攻击，想追查黑客 身份时，黑客早就逃之天天，虽然传统的防御手段，如防火墙、内容检测可以防 止用户不受黑客侵害，但是这些防御手段只能抵御已知攻击，对于未知攻击毫无 办法，因此，蜜网的概念应运而生，它是基于主动防御理论提出的，蜜网通过精 心部署的诱骗环境吸引黑客入侵，进而了解他们的攻击思路、攻击途径、攻击工 具和攻击目的等信息，特别是对各种未知攻击行为的学习。根据这些获取的信息， 安全组织就能更好的了解网络系统当前面临的威胁，并且知道如何阻止这些危险 的发生。 本文首先全面深入地综述了蜜网的相关研究工作，介绍了蜜罐的基本概念以 及蜜罐发展到蜜网过程，分析它们之间的区别，介绍了蜜网第一二代技术的发展， 对比它们的优缺点，分析现有蜜网系统的不足之处，然后结合项目需求设计了智 能蜜网的体系结构，并对其中的关键技术进行研究分析，如连接控制决定了蜜网 承担的风险与价值；数据捕获决定了智能蜜网捕获的数据量、数据类型，并且为 了增加蜜网的数据捕获能力，采用了主动数据捕获，这种方法主动在网络上捕获 恶意数据；诱骗攻击技术增加了蜜网的访问量，吸引攻击者，让攻击者对蜜网创 造价值，如果没有人访问蜜网，蜜网就是一堆昂贵的破铜烂铁，最后，本文根据 所提出的智能蜜网体系结构以及相关关键技术的解决方案，具体设计并实现了智 能蜜网系统，对智能蜜网进行了功能测试。 关键字：主动防御，体系结构，蜜网，诱骗攻击 i n a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , i n t e r n e tu s e r si n c r e a s e p e o p l e w h oa r ei nt h eu s eo ft h en e t w o r kw i l le n c o u n t e ras e r i e so f s e c u r i t yt h r e a t ，f o re x a m p l e 。 s e n s i t i v ei n f o r m a t i o nf r o mb e i n gl e a k e d ，s t o l e nb a n kc a r dp a s s w o r d ，t h em a c h i n ew a s t h et r o j a np l a n t h o w e v e r , u s e r st y p i c a l l yo n l ya f t e rl o s so f p r o p e r t yh a sb e e na w a r eo f t h e i rh a c k e r s ，w h e nt h e yw a n tt ot r a c et h eh a c k e r s ，t h eh a c k e r sh a v eg o n e a w a y , a l t h o u g ht h et r a d i t i o n a lm e a n so fd e f e n c e ，s u c ha sf i r e w a l l ，c o n t e n td e t e c t i o nc a i l p r e v e n tu s e r sf r o mh a c k e sa g a i n s t ，b u tt h e yc a no n l ya g a i n s tk o w na t t a c k sa n du n k o w i l a t t a c k sf o rn o t h i n g s o ，t h ec o n c e p to f h o n e y n e te m e r g e d ，i ti sb a s e do na c t i v ed e f e n s e t h e o r y h o n e y n e tp r i m a r i l yl u r e st h ea t t a c k e r sb yu s i n gas e e m l yv u l n e r a b l eb u tw e l l a r r a n g e da n do b s e r v e de n v i r o n m e n tt ot o l e r a n c ei n v a s i o n ss ot h a tw ec a ns t u d yt h e i r b e h a v i o ri n f o r m a t i o n se s p e c i a l l yt h a to fn e wu n k o w n a t t a c k s a c c o r d i n gt ot h ee n e m y i n t e l l i g e n c eo b t a i n e d ，s e c u r i t yo r g a n i z a t i o n sc a nb e t t e rk n o wd a n g e r st h a tt h e i rs y s t e m s a r ef a c i n gc u r r e n t l ya n dk n o wh o wt op r e v e n tt h ed a n g e r so c c u r r i n g ， a tf i r s t , t h i st h e s i s s u r v e y st h er e l a t e dw o r ko fh o n e y n e t ，i n t r o d u c e st h eb a s i c c o n c e p t so fh o n e y p o ta n dh o n e y n e ta n da n a l y s e st h ed i f f e r e n c eb e t w e e nt h e m ， i n t r o d u c e st h ef i r s ta n dt w o g e n e r a t i o nh o n e y n e tt e c h n o l o g ya n dc o p a r i e st h e i r a d v a n t a g e sa n dd i s a d v a n t a g e s ，a n a l u s e st h ee x i s t i n gh o n e y n e ts y s t e mi n a d e q u a c i e s t h e nc o m b i n e dw i t ht h ep r o j e c tn e e d st h ea r c h i t e c t u r eo fh o n e y n e ti s d e s i g n e d t h i s p a p e rr e s e a r c h st h ek e yt e c h o n o l o g yo fh o n e y n e t ，s u c ha sc o n n e c t i o nc o n t r o ld e t e n n i n e s t h eh o n e y n e tt oa s s u m et h er i s k sa n dv a l u e ，d a t ac a p t u r ed e t e r m i n e sd a t av o l u m ea n d d a t at y p e s ，p h i s h i n ga t t a c k si n c r e a s e st h eh o n e y n e t t r a f f i c ，a t t r a c t sa t t a c k e r sa n da l l o w s a na t t a c k e rt ot r e a tv a l u ef o rt 1 1 eh o n e y n e t , i ft h e r ea r en o p e o p l et ov i s i th o n e y n e t i ti sa p i l eo fe x p e n s i v er u b b i s h a tl a s t , t h i sp a p e rd e s i g n e sa n dr e a l i z e sah o n e y n e tb a s e do i l t h ea r c h i t e c t u r ep r o p o s e da n ds o m er e l a t e dk e yt e c h n i q u e sa n dt e s t e st h eh o n e y n e t f u n c t i o n k e y w o r d s ：a c t i v ed e f e n s e ，s y s t e ma r c h i t e c t u r e ，h o n e y n e t ，p h i s h i n ga t t a c k s i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 如孵乡, q2 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：至篁i 鳘导师签名：，垒兰翌 日期：肋降石月2 日 第一章引言 1 1 研究背景 第一章引言 现在互联网上的威胁越来越多，也越来越严重，然而产生这些威胁的原因是 多方面的，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置 存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识， 也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从 而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发 展，特别是分布式拒绝服务攻击、跳板攻击及互联网蠕虫的盛行，互联网上的每 一台主机都已经成为攻击的目标【l j 。此外，黑客社团也不像互联网早期那么纯洁， 不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗 心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技 术和技巧，可以很方便地从互联网上找到所需的最新攻击脚本和工具。而这些由 高级黑客们开发的攻击脚本和工具越来越容易使用【2 】，功能也越来越强，能够造成 的破坏也越来越大。 但总是在这些危险发生并且产生重要损失后才意识到自己受到了攻击，才会 尽一切可能去挽回损失，可下次又会遭受同样的情况，对攻击者毫无办法，因为 在互联网上攻击者的行踪难以捕捉，我们不知道攻击者的身份，不知道他们使用 了哪些工具，采用什么攻击方式，何时发起的攻击，怎样选择攻击目标以及攻击 者的攻击目的也是一无所知。正所谓“知己知彼，百战不殆，我们首先需要对这 些攻击者或黑客社团有深入的了解，包括攻击者掌握的攻击技术、技巧和战术， 甚至攻击者的心理及一些攻击行为习惯，只有在对攻击者充分了解后，我们才能 更好的保护用户，蜜网技术正好为捕获攻击者的行为提供了基础，我们可以基于 蜜网分析攻击者从而更好保护用户【3 】。 1 2 课题的研究现状 “蜜罐”【4 1 的思想最早是由c l i f f o r ds t o l l 于1 9 8 8 年5 月提出。它的基本思想 是在网络上设置一个专门供黑客攻击的带有漏洞的系统，研究人员在蜜罐上收集 电子科技大学硕士学位论文 黑客活动的数据并加以研究，同时又要避免黑客以蜜罐为跳板攻击其他机器。蜜 网项目组( t h eh o n e y n e tp r o j e e t ) 的创始人l a n c es p i t z n e r 给出了对蜜罐的权威定 义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐 并无其他实际作用，因此所有流入流出蜜罐的网络流量都可能预示了扫描、攻击 和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 蜜罐技术的发展历程可以分为以下三个阶段【5 】。 从九十年代初蜜罐概念的提出直到1 9 9 8 年左右，“蜜罐”还仅仅限于一种思 想，通常由网络管理人员应用，通过欺骗黑客达到追踪的目的。这一阶段的蜜罐 实质上是一些真正被黑客所攻击的主机和系统。 从1 9 9 8 年开始，蜜罐技术开始吸引了一些安全研究人员的注意，并开发出 一些专门用于欺骟黑客的开源工具，如f r e dc o h e n 所开发的d t k ( 欺骗工具包) 、 n i e l sp r o v o s 开发的h o n e y d 等，同时也出现了像k f s e n s o r 、s p e c t e r 等一些商业蜜 罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些蜜罐工具能够模拟 成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回应，从而欺骗黑客。 虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。 但是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题，从2 0 0 0 年之后，安全研究人员倾向于使用真实的主机、操作系统和应用程序搭建蜜罐， 但与之前不同的是，融入了更强大的数据捕获、数据分析和数据控制的工具，并 且将蜜罐纳入到一个完整的蜜网体系中，使得研究人员能够更方便地追踪侵入到 蜜网中的黑客并对他们的攻击行为进行分析。 蜜网技术实质上是一种蜜罐( h o n e y p o t ) 技术，特别的是，它是一种高交互 的用来获取广泛的威胁信息的蜜罐，高交互意味着一个蜜网用真实的系统，应用 程序以及服务来与攻击者进行交互( 与之相对的是低交互蜜罐，例如h o n e y d ， 就只提供了模拟的服务和操作系统) 。但与传统蜜罐技术的差异在于，蜜网构成了 一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保 证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。 此外，虚拟蜜网通过应用虚拟操作系统软件( 如w v “v a r e 和u s e rm o d el i n u x 等) 使得可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架 设蜜网的代价大幅降低，也较容易部署和管理，但同时也带来了更大的风险，黑 客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获 得对整个虚拟蜜网的控制权。 “蜜网项目组”是一个非赢利性的研究蜜网的组织，其目标为学习黑客社团 2 第一章引言 所使用的工具、战术和动机，并将这些学习到的信息共享给安全防护人员。“蜜网 项目组 前身为1 9 9 9 年由l a n c es p i t z n e r 等人发起的一个非正式的蜜网技术邮件 组，到2 0 0 0 年6 月，此邮件组演化成“蜜网项目组”，开展对蜜网技术的研究。 为了联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习， 2 0 0 2 年1 月成立了“蜜网研究联盟 ( h o n e y n e t r e s e a r c h a l l i a n c e ) ，到2 0 0 2 年1 2 月为止，该联盟已经拥有了1 0 个来自不同国家的研究组织。 “蜜网项目组”目前的规划分为四个阶段，第一个阶段主要针对蜜网技术进 行一些原理证明性( p r o o f o f c o n c e p t ) 的实验，提出了第一代蜜网架构；第二阶段 对蜜网技术进行发展，并提出了第二代蜜网架构，开发了其中的关键工具一 h o n e y w a l l 和s e b e k 。第三阶段着重于将所有相关的数据控制和数据捕获工具集成 到一张自启动的光盘中，使得比较容易地部署第二代蜜网，并规范化所搜集到的 攻击信息格式。第四阶段主要目标为将各个部署的蜜网项目所采集到的黑客攻击 信息汇总到一个中央管理系统中，并提供容易使用的人机交互界面，使得研究人 员能够比较容易地分析黑客攻击信息，并从中获得一些价值。 目前“蜜网项目组已经完成了前三阶段的任务，即已经开发出较为完善的 第二代蜜网架构，并以一张可启动光盘的形式提供部署和维护第二代蜜网所需的 关键工具：h o n e y w a l l 和s e b e k 。 在国内，主要有北大的狩猎女神项目在从事蜜网的研究。狩猎女神项目目前 的实践和研究方向包括如下三个方面： 跟进最新的蜜罐与蜜网技术发展，实际部署和维护蜜网，并对蜜网捕获的黑 客攻击及恶意软件进行深入分析，增进对蜜罐与蜜网技术的理解，了解互联网最 新的安全威胁。 通过物理蜜罐和自动恶意软件收集软件两种途径对互联网上传播的恶意软件 进行捕获，并对其进行深入分析，研究恶意软件捕获和分析的规范化及自动化流 程。特别针对僵尸网络进行发现、追踪及反制的研究。 针对蜜网的核心功能一数据分析，研究蜜网攻击数据统计分析及关联分析技 术，并进行实用化工具研发 1 3 论文主要工作 作者参与了“智能蜜网研究 项目全部的设计与开发过程，深入系统地研究 了蜜网概念，蜜网数据捕获、数据控制、数据诱惑等技术，分析了现有蜜网体系 电子科技大学硕士学位论文 结构，结合项目的需求，设计并实现了智能蜜网体系结构，搭建部署了一套蜜网 系统。完成的工作主要包括以下几个部分： ( 1 ) 研究蜜网原理，分析现有蜜网架构。 ( 2 ) 分析项目需求，设计了智能蜜网体系结构。 ( 3 ) 研究智能蜜网关键技术连接控制，并设计与实现智能连接控制器。 ( 4 ) 总结现有蜜网的不足，设计并实现了智能蜜网管理系统。 ( 5 ) 对智能蜜网系统进行功能测试。 1 4 论文章节安排 论文一共分为六章。 第一章，引言。介绍研究蜜网的背景，分析国内外蜜网发展现状，简述论文的 主要工作。 第二章，蜜网相关技术研究。介绍蜜罐，蜜网相关概念及蜜网技术的发展，并 且对现有蜜网系统进行简单比较，分析现有蜜网系统存在的不足，为论文的研究 指明方向。 第三章，智能蜜网体系结构研究。介绍智能蜜网的设计原则和相关技术研究， 设计智能蜜网的逻辑结构，对智能蜜网的逻辑结构的功能进行简单的分析，并结 合具体的环境设计了智能蜜网的物理结构。 第四章，智能蜜网关键技术分析。为了更好的设计智能蜜网系统，对智能蜜网 的关键技术进行了详细的分析，智能蜜网连接控制技术，智能蜜网数据捕获技术， 智能蜜网诱骗攻击，智能蜜网监控管理。 第五章，智能蜜网设计与实现。根据第三章提出的智能蜜网体系结构和第四章 的智能蜜网关键技术分析实现了蜜网，并对蜜网的功能进行测试。 第六章，结论。对本文的工作进行总结，并对下一步工作进行展望。 4 第二章蜜网相关技术研究 第二章蜜网相关技术研究 本章从蜜网的基本概念入手，主要介绍蜜罐、蜜网的相关概念，并且对第一 代和第二代蜜网进行简单介绍比较，分析不足，为论文的研究指明方向。 本章的安排如下：第一节，介绍蜜罐的相关概念；第二节，介绍蜜网的相关 概念；第三节，介绍蜜网技术发展；第四节，分析现有蜜网系统存在的不足；第 五节，对本章进行小结。 2 1 蜜罐简介 2 1 1 基本概念 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网 络安全防护涉及面很广，从技术层面上主要包括防火墙技术、入侵检测技术、病 毒防护技术、数据加密和认证技术。在这些安全技术中，大多数都是在攻击者对 网络进行攻击时对系统进行被动的防护，而蜜罐可以采用主动的方式，即使用特 殊的安全漏洞吸引攻击者。美国的l s p i z n e r 是著名的蜜罐技术专家，他曾经对蜜 罐做了这样一个定义：蜜罐是一种资源，它的价值在于被攻击或攻陷。这就意味 着蜜罐是用来被探测、被攻击甚至是最后被攻陷，蜜罐不会修补任何东西，这样 就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全， 但是它确实其他安全策略所不可替代的一种主动防御技术f 6 】。具体的来讲，蜜罐系 统最为重要的功能是对系统中所有操作和行为进行监视和记录，可以网络安全专 家通过精心的伪装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已 经处于系统的监视下。为了吸引攻击者，通常在蜜罐系统上留下一些安全后门以 吸引攻击者上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息 都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录，管理员通过 研究和分析这些记录，可以得到攻击者采用的攻击工具、攻击手段、攻击目的和 攻击水平等信息，还能对攻击者的活动范围以及下一个攻击目标进行了解。同时 在某种程度上，这些信息将会成为对攻击者进行起诉的证据。不过，它仅仅是一 个对其他系统和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以 电子科技大学硕士学位论文 是一个标准的产品系统。无论使用者如何建立和使用蜜罐，只有它受到攻击，它 的作用才能发挥出来。 2 1 2 蜜罐的分类 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类 【7 1 。产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻受组织将受到的攻 击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对 付恶意的攻击者。这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击 的入侵者拒之门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在 系统之外，实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。 虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织而言， 想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系 统( i d s ) 的存在，但是，i d s 发生的误报和漏报，让系统管理员疲于处理各种警 告和误报。而蜜罐的作用体现在误报率远远低于大部分i d s 工具，也务须当心特 征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，从原理上来讲， 任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种，这样就可以极大的 减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为 一个越来越复杂的安全检测工具了。如果组织内的系统已经被入侵的话，那些发 生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务 都将被停止，同时，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入 侵进行响应，它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机 工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的结果和经 验运用于以后的系统中。而研究型蜜罐专门以研究和获取攻击信息为目的而设计。 这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面 队各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就 是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。 根据蜜罐与攻击者之间进行的交互，蜜罐可以分为3 类【8 】：低交互蜜罐，中交 互蜜罐和高交互蜜罐。低交互蜜罐最大的特点是模拟，蜜罐为攻击者展示的所有 攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的 模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能 对攻击者进行简单的应答，它是最安全的蜜罐类型；中交互是对真正的操作系统 6 第二章蜜网相关技术研究 的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获 得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系 统没有区别。它们是真正系统还要诱人的攻击目标；高交互蜜罐具有一个真实的 操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得r o o t 权限 后，受系统，数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被 入侵的可能性很高，如果整个高蜜罐被入侵，那么它就会成为攻击者下一步攻击 的跳板。目前在国内外的主要蜜罐产品有d t k ，空系统，b o f ，s p e c t e r ， h o m e m a d e 蜜罐，h o n e y d ，s m o k e d e t e c t o r ，b i g e y e ，l a b r e a t a r p i t ， n e t f a c a d e ，k f s e n s o r ，t n y 蜜罐，m a n t r a p ，h o n e y n e t 等十四种。 2 1 3 蜜罐的功能 2 1 3 1 诱骗服务 诱骗服务是指在特定的m 服务端口帧听并像应用服务程序那样对各种网络请 求进行应答的应用程序。d t k 就是这样的一个服务性产品。d t k 吸引攻击者的诡 计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的 系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记 录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。 例如，当我们将诱骗服务配置为f t p 服务的模式。当攻击者连接到t c p 2 1 端口的 时候，就会收到一个由蜜罐发出的f t p 的标识。如果攻击者认为诱骗服务就是他 要攻击的f t p ，他就会采用攻击f t p 服务的方式进入系统。这样，系统管理员便 可以记录攻击的细节。 2 1 3 2 用户模式服务器 用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个 真实的服务器。在真实主机中，每个应用程序都当作一个具有独立i p 地址的操作 系统和服务的特定实例。而用户模式服务器这样一个进程就嵌套在主机操作系统 的应用程序空间中，当i n t e r n e t 用户向用户模式服务器的p 地址发送请求，主 机将接受请求并且转发到用户模式服务器上。这种模式的成功与否取决于攻击者 的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。 即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么a d m i n i s t r a t o r 只要 关闭该进程就可以了。另外就是可以将f i r e w a l l 、i d s 集中于同一台服务器上。 当然，其局限性是不适用于所有的操作系统。 7 电子科技大学硕士学位论文 2 2 蜜网简介 2 2 1 基本概念 传统的信息安全主要采取防守政策， 些策略都是采用防守来保护用户的资源， 防火墙，入侵检测系统，密码，所有这 虽然这种策略可以尽可能的保护用户， 侦测任何失误，然后响应，但是这种方法的最大的缺点就是它只是一味的防守， 而攻击者具有主动性。蜜网却尝试改变这种被动的局面，蜜网主要的目的是收集 恶意数据，这些数据对不同的使用者有不同的价值【9 以。比如，学术研究机构可能 会使用蜜网收集数据以作研究用，就像研究蠕虫的活动；安全组织可能会为了反 病毒、i d s 签名、或者新威胁数据的行为使用蜜网去捕获和分析恶意软件；政府组 织可能会使用蜜网去了解谁在攻击他们以及为什么 1 2 - 1 3 ；i s p 可以使用蜜网去捕 获、分析、终结他们网络的僵尸主机群。蜜网最重要的价值就是数据信息，这些 数据对于使用目的的不同有不同的价值。 2 2 2 蜜网概述 蜜网是一种特殊的蜜罐，准确的说，蜜网是种高交互的蜜罐，为了捕获更大 规模的恶意数据【l 5 1 。高交互意味着蜜网给提供了真实的系统、应用和服务以便 和攻击者交互，相对于交互蜜罐来说，低交互蜜罐只是提供一些模拟的服务和操 作系统。蜜网与蜜罐最大的区别就是蜜网是有真实计算机组成的网络，可以和攻 击者交互。这些受害者系统，即在蜜网中的单个蜜罐，可以是任何类型的系统， 服务，信息。即使你想在s l o a r i s 服务器上创建一个o r a c l e 数据库，或者创建一个 w i n d o w s2 0 0 3 商务网站。从概念上讲，蜜网很简单，只是一个包含许多蜜罐的网 络。因为蜜罐不是产品系统，所以蜜网没有产品的活力，没有授权的服务，蜜网 包含的任何活动都可能是恶意和未授权的。任何主动连接到蜜网的链接都有可能 是探测、扫描或者攻击。任何未授权的外出链接都可能暗示着你的蜜网有可能已 被攻破，攻击者在向外发起连接，这使分析在蜜网中的活动非常简单。通过使用 传统的安全技术，比如防火墙日志或者i d s 传感器，必须筛选大量的数据，因此 许多的时间与精力都花在了检查这些信息上【l6 1 。当你在这些大量的信息量中找出 关键的数据那就是大海捞针，因为蜜网是一个蜜罐的网络，在蜜网中的所有操作 都被认为是恶意的或者未授权的。蜜网是一种体系架构，这种架构组建了一个高 度可控的网络，可以监视和控制蜜网里面的任何行为，可以更换目标系统，蜜网 第二章蜜网相关技术研究 就像一个玻璃鱼缸，你创造了一个环境，可以看见里面发生的所有一切。不同的 是你不是放石块、珊瑚、草在你的鱼缸中，而是放l i n u xd n s 服务器、h p 打印机、 j u n i p e r 路由器在蜜网中。 2 2 3 蜜网与蜜罐的区别 一个h o n e y n e t 是一个网络系统，而并非某台单一主机，这一网络系统是隐藏 在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据 可以用来研究分析入侵者们使用的工具、方法及动机。在h o n e y n e t 中，可以使用 各种不同的操作系统及设备，如s o l a r i s ，l i n u x ，w i n d o w sn t ，c i s e os w i t c h ，等等。 这样建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行 着不同的服务，比如l i n u x 的d n ss e i v e r ，w i n d o w sn t 的w e b s e r v e r 或者一个s o l a r i s 的f t ps e r v e r ，可以学习不同的工具以及不同的策略或许某些入侵者仅仅把目 标定于几个特定的系统漏洞上，丽这种多样化的系统，就可能更多了揭示出他们 的一些特性。 在h o n e y n e t 中的所有系统都是标准的机器，上面运行的都是真实完整的操作 系统及应用程序就象在互联网上找到的系统一样。没有刻意地模拟某种环境 或者故意地使系统不安全。在h o n e y n e t 里面找到的存在风险的系统，与在互联网 上一些公司组织的毫无二致。你可以简单地把你的操作系统放到h o n e y n e t 中，并 不会对整个网络造成影响。 2 3 蜜网技术发展 2 3 1 第一代蜜网 第一代蜜网简单高效的实现了数据控制和数据捕获两种基本功能，图2 1 绘出 了第一代蜜网的拓扑。 9 电子科技大学硕士学位论文 图2 1 第一代蜜网拓扑图 2 3 1 1 数据控制 数据控制就是限制攻击者活动的机制，它可以降低安全风险。对于风险，我 们是指一种随时存在的，攻击者利用蜜网环境去攻击蜜网环境之外系统的潜在可 能性【1 7 以8 1 。我们要尽力确保的是，一旦攻击者进入了我们的蜜网，他们就不可能 偶然或刻意地危害蜜网之外的系统。做到这点远比看起来要难。首先，我们必须 让攻击者用有一定限度的活动自由。我们允许攻击者的活动越多，我们就越有可 能了解他们越多。但是，我们给攻击者的自由度越高，攻击者绕过数据控制从而 危害蜜网之外系统的风险就越大。每个组织都必须在给攻击者自由和限制他们活 动之间的平衡点做出自己的决定。每个组织都有不同的需求和风险承受度。其次， 我们必须在攻击者不知情的情况下控制攻击者的活动。实现数据控制最好不要仅 仅依赖于一种单独的实现机制，而要实现多层次的控制机制，如限制连出的连接 数，入侵防御网关，或者是带宽限制等等。多种不同机制的组合能够避免单点失 效，特别是在面对新的未知攻击的时候。同时，数据控制应该运行在一种失效及 关闭的方式中，这意味着如果你的机制发生错误( 一个进程死亡，硬盘满，错误 设置的规则) ，蜜网应该阻截所有连出的活动。关于数据控制有一件事要考虑：它 只能最小化风险，我们永远不可能完全消除潜在的攻击者利用蜜网危害其他系统 的可能性。不同的数据控制的技术和方法有不同程度的风险，没有谁能够完全消 1 0 第二章蜜网相关技术研究 除风险。 2 3 1 2 数据捕获 数据捕获就是监控和记录所有攻击者在蜜网内部的活动，这些捕获的数据将 会被用于分析，从中学习黑客界成员们使用的工具，策略以及他们的动机。这其 中的难点就是要在黑客无法侦测到这个进程的同时搜集尽可能多的数据。数据捕 获可以从数据控制机制借鉴的最基本的一点就是多层次性。对于捕获活动来说， 多层机制的使用是极其关键的。多层次的捕获机制不但可以将攻击者的活动步骤 拼接起来，同时也防止了单个机制的失败【1 9 珈】。在网络和主机上捕获到越多层次 的信息，那我们学到的东西也就可以越多。数据捕获面临的一个挑战是：大部分 的攻击者的活动是加密的通道上进行的( i p s e c ， s s h ， s s l ，等等) ，数据 捕获机制必须将加密纳入考虑范围。同时，和数据控制一样，我们必须尽量减小 攻击者侦查到我们的捕获机制的能力。这一点可以有几种方法实现，首先，尽量 少对蜜罐进行修改，你进行越多修改，就越有可能被侦查到。其次，最好不要把 捕获的数据保存在蜜罐机器上，不仅这些数据容易被攻击者发现，甚至可能被修 改或删除，因此，捕获的数据必须被记录及存储在一个单独的安全的系统上。同 样就像数据控制一样，数据的捕获并不能得到完全保证。攻击者有可能找到检测 数据捕获机制的方法，并想出办法来绕过它或者使它失效，下面将讨论这些技术： 第一是防火墙日志，可以记录所有的进入和外出的连接。这些信息非常重要， 因为这是我们第一个指示信息能判断攻击者到底要做什么，当攻击者发起外出连 接时也是第一个警告的地方。基于经验，防火墙日志能很快的识别新或未知行为， 脚本能识别四种不同的通信：t c p , u d p , i c m p , 和o t h e r ，就象数据控制中， o t h e r 代表任意非i p p r o t ol ，6 ，或1 7 通信，当某些人使用非标准i p 通信时，很 可能是攻击者在尝试新的攻击或没有公开的方法。 第二个元素是捕获每个出入的包及包的负载，s n o r t 进程当然可以完全处理此 任务，但是我们不想把所有鸡蛋放到一个篮子里，相反的是我们配置和运行另外 一个进程来捕获所有这种活动。这个配置文件捕获所有p 通信并生成t e p d u m p 日 志文件以便以后的进一步分析。我们也需要每天交替捕获的日志，这个可以通过 s n o r t s h 启动脚本来完成，注意这里重要的是我们把启动脚本绑定在内部接e t h l 上， 如果错误的把它绑定在外部接1 2 i 上，不仅会记录h o n e y n e t 数据，也会记录所有相 关外部网络的其他通信。这一定程度上会混乱你捕获的数据。通过内部接口进行 捕获，你就会仅仅获得h o n e y n e t 上的你所需要的通信。另外一个启动脚本有利之 电子科技大学硕士学位论文 处是标准化记录数据的位置，如果你有多个h o n e y n e t s 进行日志记录，这将会变的 比较重要。 第三方面是最具挑战性，在蜜罐中攻击者的所有活动，几年前这工作非常简 单，因为远程交互全是通过明文协议如f t p ，h t t p 或t e l n e t ，你只不过只要嗅 探连接的击键记录，但是攻击者采用了加密手段，现今他们使用了如s s h 或3 d e s 通道对入侵的计算机进行通信，我们不能再直接从线上记录击键，而需要从系统 自身获得。此系统有利的一点是多数加密是在系统末端进行解密，如在我们的蜜 罐上进行解密。如果我们从蜜罐上捕获这些解密的数据，我们就可以绕过加密通 信。 2 3 2 第二代蜜网 第二代蜜网技术大大增加了蜜网使用的灵活性，可管理性和系统安全性。不 同于第一代蜜网，第二代蜜网在一台二层网关上实现了蜜网所有的关键功能，即 数据控制、数据捕获和数据集中功能都由单一资源实现，方便了蜜网的配置管理。 使用网桥有几个优点：首先由于网桥是o s i 协议栈物理层和数据链路层的连接， 没有协议栈也就没有口地址，攻击者很难发现网桥的存在；无从攻击网桥，进 而保护了蜜网被发现的可能性；二是，所有出入蜜网的连接必须通过防火墙，可 以对这些链接进行控制，保证蜜网高效率运行，第二代蜜网拓扑图如图2 2 所示。 图2 2 第二代蜜网拓扑图 1 2 第二章蜜网相关技术研究 2 3 3 1 数据控制方面的改进 数据控制首先改进了蜜网检测攻击行为的能力。比第一代通过限制外出连接 数目更加智能化，开始通过追踪分析入侵者行为内容和目的来鉴别控制越权行为 【2 1 1 。例如，允许入侵者与第三方进行h t t p 请求连接，但是如果发现他们企图使 用蜜网作为跳板对外界系统运行漏洞探索程序，蜜网将对这些行为进行限制。第 二个进步体现在蜜网对攻击行为的处理策略。第一代蜜网只是简单的限制蜜网能 对外发起的连接，第二代蜜网能够修改数据包内容来迷惑入侵者，攻击者的数据 包虽然能够通过蜜网，但却不会产生任何攻击效果，从而防止蜜网被作为跳板。 二层网关可以修改黑客惯用的漏洞利用程序代码中的若干字节，使攻击程序无效， 然后按其目的地址转发该攻击包。入侵者可以观察到攻击成功并且对方有数据包 返回，却永远不会明白他们的程序为什么失效。通过这种响应措施，就可以更好 的控制入侵者行为并且不被察觉。 2 - 3 3 2 数据捕获方面的改进 为了捕获更多的数据，让蜜网更有价值，第二代蜜网提高了数据捕获能力。 第一代蜜网中大部分数据是通过在网络层防火墙和数据链路层上嗅探收集的，然 而，入侵者常使用s s h 等加密技术，大大削弱了蜜网的网络数据收集功能。二代 技术通过在系统内核空间捕获数据来解决这些难题，不必考虑入侵者采用何种通 信方式，比如s s h 、s s l 或i p s e c 等，照样能够捕获这几类加密通信。然而，真 正的挑战不在于收集信息，而在于如何进行远程日志。必须采用入侵者难以察觉 的方法。一种是通过串行电缆，但要求蜜网中每个蜜罐都配备一条串行电缆；另 一种好方法是使用蜜网自身来转移数据，即将捕获的各种入侵行为信息封装成某 种形式的数据包在蜜网中进行传输，由二层网关被动地嗅探并重组这些数据包。 由于这些哄骗数据包具有来自于网络其它系统的正常数据包同样的特征，入侵者 很难意识到这些数据包正是自己行为的日志。 2 。4 现有蜜网系统存在的不足 第二代蜜网虽然在数据捕获和数据控制方面得到加强，但还是存在如下缺点： ( 一) 数据捕获能力不高。现有蜜网搭建些有漏洞的服务器，等待攻击者发现 蜜网，对蜜网发起攻击，但是一旦攻击者发现不到，那蜜网就是一堆无用的设备， 因为捕获不到任何数据。 电子科技大学硕士学位论文 ( - - ) 蜜网缺乏管理。现有蜜网部署后，就不再进行任何交互，等待蜜网被攻击 者破坏，但是使用者不知道蜜网的运行情况，不知到服务器是否当机了，不知道 蜜网捕获了多少数据，什么类型的数据，甚至不知道服务器是否被破坏等等。 2 5 小结 如今的互联网发展越来越快，许多安全问题随之出现，现在的攻击者不再是 单纯的炫耀技术，而是有很强的经济目的，普通用户完和攻击者完全处于一个不 对等的局面，攻击者可以随时攻击用户，而用户一般要在财产受到损失后才会意 识到自己遭到了攻击，并且还不知道谁攻击自己，发展蜜网技术就是为了改变这 种局面，让攻击者自己暴露出来，研究它们的技术从而更好的保护用户。 本章先从组成蜜网最基本的蜜罐的概念入手，介绍了什么是蜜罐，蜜罐的分 类和功能，其次介绍了蜜网的概念，蜜网的技术发展，最后分析现有蜜网系统的 不足。 现有蜜网最大的缺点在于数据捕获能力和蜜网缺乏监控管理，使用者对部署 后的蜜网没有任何有效的方法去调整以让蜜网运行的更好。 本文将针蜜网技术展开进一步的研究工作。首先在第三章提出了一种智能蜜 网系统体系结构。在此体系结构下，能够实现大量的捕获数据；能够有效的监控 管理蜜网，可以随时修改蜜网的运行参数，蜜网出现错误及时报告；能够对蜜网 捕获的数据进行分类处理，分析蜜网捕获数据的数据量，不同的策略捕获到的数 据不同；分析蜜网捕获的数据，如e x e 、j p g 、h t m l 等等。然后在第四章对智能蜜 网关键技术进行研究，分析关键技术的实现方法。最后，本文设计并实现了一个 智能蜜网系统，并且对智能蜜网功能行了测试。 下一章将首先讨论智能蜜网体系结构及相关技术。 1 4 第三章智能蜜网体系结构研究 第三章智能蜜网体系结构研究 本文在第二章对现有蜜网系统进行了介绍比较，分析了现有蜜网系统存在的 不足。为了解决现有蜜网系统捕获数据单一，不易管理等问题，本文提出了一种 智能蜜网系统设计的方案。本章将对智能蜜网体系结构及其相关技术进行研究。 本章的安排如下：第一节，提出智能蜜网系统的设计目标；第二节，介绍智 能蜜网的设计原则；第三节，智能蜜网的相关技术介绍；第四节，提出智能蜜网 逻辑结构；第五节，分析单点智能蜜网物理结构；第六节，分析多点智能蜜网物 理结构，第七节，对本章进行小结。 3 1 引言 为了解决现有现有蜜网缺乏管理，数据捕获等问题，首先要明确智能蜜网系 统的设计目标。 智能蜜网系统的设计目标应该遵循以下几个方面： ( 1 ) 应该能够利用现有的网络基础设施，实现蜜网的部署。 ( 2 ) 应该能够随时反应蜜网的运行状况。 ( 3 ) 应该能够搭建不同类型的蜜网组成一个大型的蜜网。 ( 4 ) 应该能够随时了解蜜网的历史数据，供使用者做策略分析。 ( 5 ) 应该具有良好的可扩展性，蜜网可以随时添加蜜网服务器，撤换瘫痪的服 务器，可以随时添加设备实现新的功能。 3 2 智能蜜网系统设计原则 智能蜜网是利用服务器、多台计算机以及相应的网络通信设备，构建了一套 蜜网系统，并