（计算机软件与理论专业论文）网络入侵诱控技术的研究与实现.pdf

网络入侵诱控技术的研究与实现 摘要 互连网络受到越来越多的入侵者和蠕虫攻击，防火墙与入侵检测等网络安全技 术只能被动的响应入侵行为。网络入侵诱控是一种可以检测分析并对入侵行为做出 主动控制的安全新技术。论文在分析已有网络入侵诱控研究成果的基础上，将网络 诱骗技术、主机诱骗技术及动态配置技术相结合，提出了一种新型的网络入侵诱控 平台模型- - h o n e y g a t e ，目的是利用虚拟爵控技术的灵活性和动态配置技术的先进特 点来提高网络入侵诱控的效能，详细阐述了模型的整体架构以及封包截获、欺骗网 络、欺骗主机、动态配置等模块的设计与实现，并通过实验对各关键实现进行了测 试。使用w i n p c a p 进行系统级程序实现，在欺骗网络模块中，采用树形数据结构构 建虚拟路由，在欺骗主机模块中，引入操作系统指纹模拟方法增加了模型的欺骗能 力，同时，在整个模型中引入动态配置概念，提出一种主动探测与被动探测相结合 的动态配置方法，当受保护的内部网络状态发生变化时，能够调整自身配置，增加 适应性。通过实验验证，h o n e y g a t e 模型能够有效地诱骗入侵者并对其入侵行为加 以控制，对保护目标系统的安全具有明显的促进作用。 关键词：网络安全；入侵诱控；动态配置；虚拟路由 r e s e a r c ha n d i m p l e m e n t a t i o no ni n t r u s i o nd e c e p t i o na n dc o n t r o l t e c h n o l o g y a b s 譬r a c t i n t e m e th a sb e e na t t a c k e db ym o r ea n dm o r ei n t r u d e r sa n dw o r m s ，n e t w o r k s e c u r i t y t e c h n o l o g i e sl i k ef i r e w a l la n d i n t r u s i o nd e t e c t i o ns y s t e mc a r lo n l y r e s p o n dt ot h ei n t r u s i o n p a s s i v e l yi n t r u s i o nd e c e p t i o na n dc o n t r o lt e c h n o l o g yi san e ws e c u r i t yt e c h n o l o g yw h i c h c a nd e t e c t ，a n a l y z ea n de v e nc o n t r o lt h ei n t r u s i o na c t i v e l y t h i sp a p e r a n a l y z e sd i f f e r e n t a v a i l a b l ei n t n l s i o nd e c e p t i o na n dc o n t r o lt e c h n o l o g i e s ，c o m b i n e ss e v e r a lt e c h n o l o g i e sl i k e n e t w o r k d e c e p t i o nt e c h n o l o g y , h o s td e c e p t i o nt e c h n o l o g y a n d d y n a m i cc o n f i g u r e t e c h n o l o g y , a n d t h e np r o v i d e san e wi n t r u s i o nd e c e p t i o na n dc o m r o lm o d e l t t o n e y g a t e , w h i c ht a k e st h ef l e x i b i l i t yo fv i r t u a l d e c e p t i o nt e c h n o l o g y a n dt h ea d v a n c e m e n to f d y n a m i cc o n f i g u r et e c h n o l o g y t o i m p r o v et h ee f f i c i e n c y o fi n t r u s i o nd e c e p t i o n w e d e s i g nt h ew h o l ea r c h i t e c t u r eo ft h i sm o d e l ，e x p l i c a t ec h i e f l yp a c k e tc a p t u r em o d u l e ， n e t w o r kd e c e p t i o nm o d u l e h o s td e c e p t i o nm o d u l ea n dd y n a m i cc o n f i g u r em o d u l e ，a n d t e s tt h ek e yi m p l e m e n t a t i o nt h r o u g he x p e r i m e n t w i n p c a pi su s e dt oi m p l e m e n tt h e s y s t e ml e v e lp r o g r a m i nn e t w o r kd e c e p t i o nm o d u l e ，w e u s eb i n a r yt r e et oc o n s t r u c tt h e v i r t u a l r o u t i n g t o i n c r e a s et h em o d e l s d e c e p t i o nc a p a b i l i t y , w e i n t r o d u c et h eo s f i n g e r p r i n t ss i m u l a t i n gm e t h o d t oh o s td e c e p t i o nm o d u l e a n di nt h ew h o l em o d e l ，an e w d y n a m i cc o n f i g u r em e t h o dw h i c hc o m b i n et h ea c t i v e d e t e c t i o na n dp a s s i v ed e t e c t i o n t e c h n o l o g yi sp r o v i d e dt oa d j u s t t h em o d e l sc o n f i g u r a t i o n ，t h r o u g ht h ee x p e r i m e n t , h o n e y g a t em o d e l h a sb e e n p r o v e d t h a ti tc a nd e c e i v et h ei n m l d e r se f f e c t i v e l ya n d p r o t e c t 氇en e t w o r k ss e c u r i t y k e y w o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e c e p t i o na n dc o n t r o l ，d y n a m i cc o n f i g u r e ， v i r t u a lr o u t i n g 。篓= 堡! ! 室 1 。i 课越的研究背鼹 第耄孳l 言 随蔻i n t e r n e t 豹飞遴发震，诗菸襁瓣络霾盏渗透戮社会生添的各个领域。鸯此 同时，各种网络攻击搴件逐年增加，滁意攻击对计辫机网络的瑜辫程度以及赢接或 河按给社会经济造成的影响也逐年扩大，网络安垒阀题已经引起丁广泛的关洼和研 究。 露前的髓络安全解决方案太多采璃被动防御策略，般将防火墙俸为安全黥第 一道防线，通过防火墒对外部非授权用户的访问谶行有效控制，在内外网之间撼供 安全擐护，在不安全的掰络巧境下掬建一个槌对安垒的内部网络环境，降低内韶网 络麓安全风陵。尊冬天稷检测系统( i d s ) 痒为第二遂防绫，实霹努褥帮检测流缀鼹蜒 的数据龟，即时发现攻密行为并做出响应，弥补防火墙的不足，对被动防御策略进 行了一定的逻辑补偿“”。 瑶澍 j 薤复杂和交他万千豹备秘入侵事件，被动爨獭蒙路越采越显褥力不从心。 熟舞更好的积顿静黪转我稻翦霹臻，鑫经成受姿今研塞翡一令热点。近年寒，耱 新型的主动防御技术一入侵诱控技术，逐渐引起时烙安全工作蒲的关注。入侵诱控 技术将传统攻击手段中的欺骗技术引入安全防卫领域，从一个新的角度去解决网络 安全勰题，艇够牵割窝转移人搜尝麴缓秘，薄久艇蠹靛竣壹手段逡嚣鼓零分辑，辩 隧缮入侵避行取证甚至对入侵者遘静鼹踩，充分褡琉了主动赛释的惑慈，窭蕊了黯 传统被动防御策略质的突破。 。2 谍题酶辑寰内窭 本课艇在分析已礴入侵诱控技术骈究成果的蒸础上，重点研究了虚拟诱控技术 和动态配鼹技术在提商入侵诱控效能上的作用，以驶在入侵诱控中将网络诱骗技术、 主撬诱端技术与毯态溅餐技术稳结合凝产生豹技拳效聚。结会务释投零，提出一静 薪羹的萄翡态配置的虚揪题终天橙诱控乎台蒺鹫，菸对嚣包截获横块、圈臻诱骟模 块、主机诱骗模块、劝态配置模块谶行了详细设计和部分实现。 具体研究内容主臻包括以下几个方面： l + g 蠢热a 稷诱控醑究痰象及箕锭镶点。 2 耢鍪入 曼诱拣平台模垄及其体系结褥。 3 网络封包截获技术。 4 网络诱骗实现的关键技术；艨拟路由。 青岛大学璐士学莅论文 5 主机诱骗实现的栩关技术：操作系统指纹模拟、网络协议处理。 6 入侵蹯控平台的动态配置方法。 3 论文豹结擒与耄蔫安撵 论文共分为七章： 第一耄，；l 富，辩潆蘧豹臻究鹜豢、磅衮内容耧论文结褥遴镗了麓革会绥。 第二章，入侵诱控技零，主簧分缓与入侵诱控稠荚的毂念郛技术。酋兔奔缁了 传统的网络安全防卫技术及其优缺点，然后是主动的网络安全防卫的相关概念，娥 后对入侵诱控技术的发展及其体系结构进行了分析、研究。 第三章，瓣终凌态瑟受技拳，爻季潮络动态酝鏊弱籀关壤念避季j 二了分绍，努耩了 确态配置技术蘸产生毅及糖关技术豹研究与发艘欹况。 第四章，网络入侵诱控平台模型设计，提出瓤型网络入侵诱控平台模型，并对 模烈的设计思想、体系结构以及工作流程进孳亍了说明。 第五章，平螽模块设诗与实现，按照囊壁潮终入侵诱控乎套搂整，臻攘块纯弱 设谴+ 方法对模螫鹣各功能模块及葵予模块逶粒洋绩浚诗，对蕊实溪簌理帮技术避行 详细的讨论。 第六章，平台熬测试与分掇，介绍了模型黢绞的测试与结果分攒，确认达到了 竣诗嚣搽，l 够鸯效的诱骗人餐者势辩荬入餐褥为趣藏控翻，慰繇护嚣蠡系统豹安 全凝骞明显静键邋侔爱。 第七章，总结与展望，对论文工作进行总结，说明新模溅的特点，同时提出该 模激有待进一步完善之处和继续研究的方向。 2 篁三鲎垒堡垩鳖垫蕉 第二耄入侵诱控技零 2 。 传统豹瓣络安全防糙技术 2 。 。 稽绫豹弱缀安全黪踅技术凝述 传统的网络安全防卫研究主要熊中在系统自舟的加网和防护技术上，几种典型 瓣技术楚“3 ： 加密技术：用于保证通信过程中信息的机密性，采用加密算法对数据或通信业 务流遴杼耱密。它可戳单独傻爱，瞧毒戳与其毪辍到缝合起寒使用。翔密辊镶l 酉分 成对称加密机制和非对称加密机制两种类烈。 数字签名技术：爝于稼涟透信过程中撵作静不可否认牲，发送者在报文中转掘 使用自已私钥加密的签名信息，接收者使用签名者的公钥对签名信息进行验证。 数据完整经技术：用予徐证透信过程巾信息黥完整经，发送耆在掇文中辩船使 用单向数列算法加密的认证信息，接收者对认证信息进行验证。使用单向散列算法 加密的认证信息其有不可逆向恢复的单向链。 实体认证技术：用于保证实体身份的真实性，通信双方相互交换实体的特征信 怠来声明实体的身份，如口令、证书以及生物特征等。 访姆控巷4 技术：熙于控接8 实体对目标系统资源的访闽，根据实体的身份及有关 属性信息确定该实体对目标系统资源的访问权。 接怒过滤技本：用于控臻l 有骞信息流入网络，根摄蜜全规则允许或禁止蔡些信 息流入网络，防止有窖信息对网络系统的入侵和破坏。 另乡 还毒一些融台上逃几零孛技零于一是豹综合性传统网络安全防卫技术，如： 防火墙技术等。 2 。 。2 跨灭墙技拳 防火墙是指设鬣在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络 安全城之闻酌一系确部佟麴组台。爨灾壤靛组袋霹疆表示为：醣吠壤= 过滤嚣+ 安全 策略。它是不同网络或网络安全域之间信息的唯出入口，能根据制定的安全策略 控秘( 允诲、糖缝、籁溅) 溶入鼹终鹣痿患漉，虽本身冀骞较强豹抗玫爨能力。它是 提供储息安全服务，实现网络和信息安全的基础设施。 芟滤技术是防灾墙技术静棱，整，己窝靛过滤技术圭螫舂戳下a 季孛类鍪8 1 ： l 、数据包过滤( p a c k a g ef i l t e r i n g ) 数据包过滤技术是在网络层对数据餐迸拿亍分街、选择。箕依据楚系统螽淀置熬 过滤逻辑，称为访问控制袭( a c c e s sc o n t r o lt a b l e ) 。通过检查数据流中的每一个 数据包的源地址、礴的连城、所稍端口譬、协议状态，或它们的缝合亲确定是否允 青岛大学硕士学位论文 许该数据包通过。 2 、应用层网关( a p p l i c a t i o nl e v e lg a t e w a y ) 应用层网关技术是在应用层上实现协议过滤和转发功能。针对特定的网络应用 服务协议使用指定的数据过滤逻辑，并在过滤的同时对数据包进行必要的分析统计 等。一般安装在专用工作站上。 应用层网关技术和数据包过滤技术有一个共同点就是仅仅依靠特定的逻辑来判 断是否允许数据包通过。一旦符合条件，防火墙内外的计算机系统便可建立联系。 3 、应用层代理服务器( a p p l i c a t j o nl e v e lp r o x ys e v e r ) 应用层代理服务器技术能将所有跨越防火墙的网络通信链路分为两段，防火墙 内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现，外部计算机 的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用。另 外，代理服务器也对过往的数据包进行分析和记录。 4 、状态检测防火墙( s t a t ed e t e c t i o nf i r e w a l l ) 状态检测又称动态包过滤，是在网络层由一个检查引擎截获数据包井抽取出与 应朋层状态有关的信息，并以此作为依据决斑对该连接是接受还是拒绝。检查引擎 缭妒个动态豹狡态信息表莠辩蓐续豹数掇畿送行检查。一星发褒珏赣连接豹参数 有意外的变化，该连接就被中止。这种技术掇供了高度安全的解决方案，同时也具 有较好的性能、适应性和扩展性。 实际构筑防火墙时一般选用上述一秘或几釉过滤技术，综合运用多种簸略，将 多个不同酌帮传缀合在一起秘簸不同的薅火壤体系结毒每，葵中每个部终鄂蠢其瓣决 问题的侧重点。根据体系结构的不同可以将防火墙分为双宿主机防火墙、屏蔽主机 防火墙、屏蔽予网防火墙和其他些变体防火墙”1 。 1 、双密主规防火墙 敢宿主辊防灾墙戳一台致宿主梳为核心，该主瓿捐备两个连接到不瀚随络土静 网络接口：通过该双宿主机隔断被保护网络与外部网络之间的t c p i p 传输，是最基 本、最简单的一种肪火墙形式。 2 、鬓菠主撬耱火壤 该种形式的防火墙由一个过滤路由器和一台堡垒主视维成。过滤路国器位于被 保护网络和外部网络之间，提供数据包过滤功能，并将所有外部到内部的连接都路 出列堡垒主机：。堡垒主机位于被保护网络上，作为连接内外部网络的用户，暴露 予努嫠攻击之下，缀容娶受裂入侵。透露交避滤臻壶器辩镶堡垒主瓿黪黪定臻强， 只允许一定数据麓的通信服务。 3 、屏蔽子网防火墙 它在屏蔽主搬体系结构的耩础上，在被保护网络和外部网络之间增加了一层保 铺二二帮入侵诱控技术 护体系周边醋络( 瞧称为“停火速”、“菲军事区”残d 醚z ) ，毽垒主枫位予羯迭 网络上。该体系结构有两个过滤路由器：个位于外部网络和闶边猎络之间，称为 外部过滤路由器；另一个位于周边网络和被保护网络之间，称为内部过滤路由器。 位于周边网络中的堡垒主机是整个防御体系的核心。外部过滤路由器可以将所有外 部到内郄越逡接都路由列堡垒主规土，势在一定程度上起刭探护照垒主规的终用。 孺内部避滤路由器爨嗣子绦护内鄹弼络苓受弱边潮终和辨都鄹络麴侵害。 4 、其他交体防火墙 其德防火墙体系结擒多楚逶过改变过滤路出器葶毽堡垒主粳t 熬键鐾等方式来实 现，可以从不同盼方面对防火墙瀚陡榔往能进行谲整或加强。 2 。1 。3 传统网络安全防卫技术存拄的问题 随麓网络技术的飞速发展，备种传统安奎防卫技术已趋予成熟，然而，面对同 横飞速发装弱攻击技术，传统防卫技拳存在灼阚题也目渐暴鼷。传统的网络安全防 卫技术主餮采霜簿态祭鼹，辩慰络袭毒主要慕取被魏爨卫麴手段，其手段靼方法对 于千交万他的攻击方式越来越显褥力不扶心，弱时，弼络环壤复杂经敬不叛增麴使 得网络管理蠡的工伟麓来趣繁重，一辩豹巯葱便掰能留下严熏酶安全爨患，翔髂健 两络安全的赫卫谇系由静态转为渤态，防涩掺施妇被动转为主动，改变传统院里楚 处被动挨打的局面，积极有效的保护舀标系统的安垒已成为露待研究的课越。 2 ，2 主动的网络安全防妲技术 2 2 1 两络安全主动黼卫的襁念 网络安全主动防卫是指在增强和保证本地网络嶷全性的同时，还要及时发现芷 在邋受妁攻击并及时采取各种措施使攻击者不能达浏其目的，使己方的损失降到最 低。其疆拣是熊够在动态过程中，囊接对鼹瞎萤息进行监控，主动地对入侵蠹进行 诱骗帮予撬，增掘入餐卷黪入覆难度，宠戒牵测稻转移入侵鬻黪攻壹，对入缦蠢麴 入侵方法进行技术分析，黯黼络入侵德行取证甚至辩入侵者遴嚣鼹踪。主动豹嬲络 安全防卫技术即是在网络安全主动防卫过程中所使糟的酌各稀方法与技术构慧称。 主动的瓣络安全防_ 卫技术执总体上可敬分为酒大类。 1 、敷入侵检测为代表的各种动态潮络安全技术 此类技术主要包攒各种漏浏检测技术、数攒鉴别技术、流量分析技术、日志审 诖+ 技术等。这类动态网终安全技术主骚足以入侵者蔗在攻击为煎提，实时她或准实 对避检测翔羧毒哲为。入侵检测按零叛在入授毒援在遴孬攻拳黟致赘之嚣及黩发 现攻击行：翱翔掌在，诵熬安全策略，熨稔主动静翌。 2 、以入侵诱狠为代寝的各种变动的两络安垒技术 此类技术主要包括备种嘲络诱骗技术、生梳诱骗技术以及欺骗部署按术等。入 s 诲岛大学硕士学位论文 缓诱掩技术越一琴孛受热主动黪跨蔓技术，拣耱瓣里毅拳憝在入寝喾没有实藏玫卷秘 酸坏之翦，虢主动静设置了一黧获骟嚣境，通遘这些欺虢环境可以滋涛入稷者酌褪 线，使其对爱保护的阕标不能采取正确的竣击手段和玻海方法，或誊将那些正在寻 找鼹 荤的入俊赣吸弓 蚕8 欺骗环境中，或者邋过辩八搜行为实施主动控制褥篡重定问 銎l 欺虢强境，然嚣在簸骧垮撬中对入侵磐逡露薤控，辩入嫒愆麓遘 亍分爨，不蘩骚 联入侵者靛嵇惑，为研究缓髂入侵授拳歌累资料，著程京必要静时候对入授者邋舒 警告，甚至进行反击。 2 2 2 入镁梭测技术 侵捡溅( i n t r u s i o n d e t e c t i o n ) 朝廷豢霹入霞行为瓣羧燮，它遴l 霪双诗箕税瓣 络或计算机系统的美德点牧集信意并进李子分褫，从中发溅网络或系统中是否有造葳 安全策略的褥为和被攻击蚋遗黎。进行入侵棱溯的软件与硬悴的组台艇是入侵检测 鬣绕( b t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 。入 曼检测系统的作用雀予；识剐入镁 卷；识爨入侵行为：裣测帮簸褪已痰功瓣安全突簸；为对菝入稷及辩援供羹要售塞， 黻止入侵事件酌发生和事态鹩扩大。 已有的入侵检测系统按蕻输入数攒的来源可以分为基予主桃的入侵检榭系统 ( h o s tb a s e di d s ，h i d s ) 秘蒺予网络弱天挺狻溅系绞( n e t w o r kb a s e di d s ，n i d s ) 鼹大类辨。 1 、基于主机的入侵检测系统 纂予主税的入侵检测系统常常与操作系统纂密集成在一怒，鸯矮蓝视蒺所照的 计算机系统，通常安装在被重点检测的主机之上，主整是对该主机的网络实时连接 班及系统审计酲志进行智能分析釉判断。其优点是：稳涮效率高，分析代价小，分 析速度快，并可以结合操作系统和应用程序的行为特征对入侵进行避一步分析。它 存在的问题赡：在一定程度上依赖于系统的可靠性，凝求系统本身成该其备基本的 安全功能著避幸亍了合理的设置，然后才缝提取入侵信患；即使进行了正确的设置， 对操作系统熟悉的入侵者也有可能在入僚行为完成后及时地将系统豳志清除，从而 磋；被发瑰；势且主撬敬爱恋能够提供的信息有鞭，有的入侵学段霸途径不会在曩惑 中有所反映，例如利用网络协议栈的漏洞进行的攻击，或是利用a r p 欺骗来伪装成 其毪圭规遴褥透绩，这些手段郡不会被楚层戆翅恚系统记录下来。在数据撵取敦实 时性、充分性、可靠性方面基于燕机的入侵检测系统做得也不够好。 2 、基予耀终豹入侵捻溯系绫 撼于网络的入慢检测系统通过监听网络数据包来获取检测所需的输入数据。通 常部蓑在嚣络酶关键繁点上，对耩存滚缀该关键点蘸数据包蠛哥疑数磊包进行特槎 分析，如果数据包与其内凝的某些规则吻合，基于网络的入侵检测系统就囊发出警 报蔷歪直接切断蘸络连接。英优点是：疆论上w 醴获敬所有的随络倍惑数据，不泼 6 第二章入侵诱控控术 变系统和阑络的工作模式，不影响主机性能瓣网络性能，处于被动接收方式，缀滩 被入侵者发现。其存在的主要问题是：蕊对的监听流蹙过予庞大，难以络合操作系 统褥经来对溺络行为遵孬撵礴的裁断等。 对各种攀睡进行分析，从中发现造反囊垒策略的行为是入侵检测技术的核心。 躐阶段，入侵检测技术中爝来分柝事镩、梭测入侵纷为盼分析方法主要京两种：误 用检测和舅常检测。1 。误用检测的目标是发现已知的入侵模式，两异常检测则试隧 梭溺出系统哥亍为的异常模式。两种分褥方法备有垂蠢酌优靛点。 1 、误嬲捻溺稼i s u s ed e t e c t i o n ) 误用检测是指运稿已知的攻击方法，穰据己定义好静入侵模式，邋过判断逮皴 入侵模式是磷出现来检测入侵。这种方法由于依据具体特征库进行判断，所以检测 准确度很高，并且因为检测结果有明确的参照，也为浆统管理员制定相应措施提供 了方便。主癸软隆在于只旋捡揍l 已翔豹攻壶模式，当漤毽铮对毅潺灏静攻毒手段或 针对旧漏洞的耨攻击方式时，需要由人工或者其它机嚣学习系统褥溅新攻击的特征 模式，添加到误用模式库中，才能使系统具备检测新的攻击手段的能力。 2 、异常检测( a n o m a l yd e t e c t i o n ) 雾霉验涮蹩撵稷据捷鲻者豹行为或辫瀑建疆蘩嚣寒爨瑟是否发蹩了入浸，两不 依赖于具体行为是否出现来判断，所以也被称为基予彳予为的检测。群常检测基予统 计方法，使用系统或用户的活动轮廓( a c t i v i t yp r o f i l e ) 来检测入侵活动。活动 轮廓由一组统计参数组成，通常包括c p u 鞠i o 利用举、文件访润、出错率、网终 连接等。采羯髯零检测方法静a 霞裣羲l 装统先产生主傣豹活动轮辩，系统运行辩， 异常检测稔序产生当前活渤轮廓并同原始轮廓比较，同时更新原始轮廓，当发生照 著偏离时即认为是入侵。幽于基于行为的检测与系统相对无关，所以通用性较强， 甚至有可能梭测出以前从来出现过豹攻难方法，不像蒸予知识的检测那样受己知脆 弱筏筠瀑镪。毽困为不瑶黥辩整令系统内翡舞畜甬产行为遥露全面躺籀述，嚣盈镣 个用户的行为是经常改变的，所以它的主要缺陷在于谈检率很高。尤其在用户数圈 众多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果 辩道某系统农梭铡嚣鲢鼗撬之下，毯们搜馒逡训练梭测系统，以蹙予最初认为怒 异常的行为，经一段时阚硼练后也认为跫正常的了。 2 2 3 入侵诱控技术 入侵诱控，顾名思义，就是通过诱导、欺骗的方式对入侵行为进行牵制、转移 甚至控裁。茨鏊熬是嗣耱鸯豹耨惩敷弓| 入爱考，搜入稷者穗镕嫠息蓉绕存在毒纷镳 的、可利用的安全弱点，而且具有一些可攻击窃取的资源( 当然这熙资源是伪造的 或不重要的) ，并将入侵者引向这些错误的资源，同时对入侵者的各种攻击行为进杼 监控、分析磐找到有效的融付方法。 7 青岛大学硬士学位论文 入较诱控之所数有效是陶巍献缀理上讲， 点，而鼠这些弱点都有可能被入侵糟所利用， 滋增强两络静安全程； 每个有贽馕豹丽终系统都存在安全弱 而入侵诱控技术则能够从以下三个方 1 影响入侵者使之按照防卫者的意志进行选择 入侵诱控技术产生之前，入侵者面对瓣都是真实的系统，能够直接探测猁目标 系统的漏洞并进行入侵；入侵诱控技术产生后，骑卫者可以通道有效的方式将网络 系统部馨成虚实结合，影响旗至控制入侵者的选择。 2 迅速检测到入侵者的入侵行为并获知其攻击技术和意图 在成用入侵诱控技术的阔络环穗中，两络流鬣被分成两部分，一部分到达受保 护系统，另一部分到迭诱骗环境，因为所蠢进出诱骗环境的行为都是可疑的，质以 在其上进行入侵分析所需处理的信息量将大大减少，可以大大降低误辙率。 3 。消耗入侵袭弱滚滚 面对入侵诱控技术的产生，入侵者必须投入一定的资源来分析所收集的目标系 统信息，辨别信息的真伪，在没有察觉的情况下将大量甚至全部资源用于攻击诱骗 环境。从而为受保护系统修补漏洞、制定新的入侵响应策略争取到宝贵时间。 入侵诱控的核心不在于解决一个或几个安全问题，而是一种思想，一种化被动 防卫为主动防卫的思想。入侵诱控技术充分体现了网络安全主动防卫的思想，为网 络安全研究增加了一个利器，使传统网络安全防卫技术面临的被动挨打局面得以扭 转，因此，在网络安全研究深入开展的过程中，离不开入侵诱控技术的研究。 2 3 入侵诱控技术的发展 2 3 1 入侵诱控技术的起源 1 9 8 8 年5 月，c 1 i f f o r ds t o l l 在c o m m u n i c a t i o n so ft h ea c m 杂志上发表的一 篇题为“s t a l k i n gt h ew i l yh a c k e r ”9 1 的论文中最早提出了入侵诱控的思想。这 篇论文主要介绍了作者追踪入侵者的过程。作者发现系统被入侵者侵入，为了找到 入侵者，作者开始跟踪入侵者的活动。采取的方法是保持系统对入侵者开放，对系 统进行严密的监视，悄悄记录入侵者的活动并进行追踪。作者在文中介绍了追踪入 侵者的过程中所采取的一种技术手段，即伪造一些包含敏感信息的文件作为诱饵来 吸引入侵者。作者提到，如果使伪造的文件包含不同类型的信息，如财政、军事等 方面的信息，就可能试探出入侵者的兴趣。记录对这些文件的访问就起到了检测入 侵者的效果。这里面包含的对入侵行为进行欺骗和诱导的手段就是入侵诱控思想的 最初来源。 从c 1 i f f o r ds t o l l 的研究出发，对入侵诱控技术的研究逐渐展开，早期研究主 要集中于诱骗环境的实现方法上。1 9 9 1 年，b i l lc h e s w i c k 发表了一篇题为“a n 8 第二露入侵诱控技术 e v e n i n gw i t hb e r f e r di nw h i c hac r a c k e ri sl u r e d ，e n d u r e d ，a n ds t u d i e d ” “的论文。在论文中，传者指出，虽然已经翁一些安全工疑可以对入侵赣的攻击进 雩亍舱溅，毽傍鸯掰蘧溺。为了挺供更多豹倍慧， # 者在系统空闲的端嗣上，打开一 些伪造的服务吸引入侵者，避而记录下入侵者的活动。所谓伪造酌搬务鼹指模仿难 常服务器软件静一些行为，婶建立连接、提示访问者输入用户名牟n 口令镣。通过这 种方法可酷得到少量的入侵者信息。为了使入侵者鬃露熨多的信息，作赣建立了 个专门鹃搡律系统环境势骆入侵者弓| 入其中。这个利髑u n i x 驹c h r o o t ( 更改穰强 录) 机制建立的诱骗环境被作者称之为j a i l ( 牢笼) 。后来b i l lc h e s w i c k 在与s t e v e n m b e l l o v i n 台作的“f i r e w a t l sa n di n t e r n e ts e c u r i t y ：r e p e l l i n gt h ew i l y h a c k e r ”“”一零中再次提到伪造服务时，则傻惩了t t o n e y p o t 一词来命名诱骗琢境。 在粥中作者褥刘搔出，h o n e y p o t 记录入侵者信息的功糍砑翔于检测龅秘躺。 眺诱骗环境的实现方法研究为带动，针对入侵诱控技术各相关方面的研究逐渐 展开，1 9 9 6 年，f r e dc o h e n 在冀发表的论文“i n t e r n e th o l e s i n t e r n e tl i g h t n i n g r o d s “1 中掇如，霹竣遥羯藐火壤技术麴控镯愚怒将凑授投谤蝇“弓l ”爨h o n e y p o t ， 消耗入侵者的资源。作者认为，h o n e y p o t 除了可以检测入侵者的存在井，自身也起 到了将入侵行为g l 离受保护系统的效果。在1 9 9 8 年发表豹论文“an o t eo nt h er o l e o fd e c e p t i o ni ni n f o r m a t i o np r o t e c t i o n ”“3 1 中，f r e dc o h e n 设计了来用伪造服 务技术豹h o n e y p o t - - d t k ( d e c e p t i o nt o o l k i t ) “。d t k 籍寒接认凳憝第一令公嚣 发布的h o n e y p o t ，作者希凝d t k 的广泛使用可以使入侵者滚以分辨目标系统的真伪， 增加入侵者实臆有效攻击的滩魔。 在f r e dc o h e n 等人的研究推动下，入侵诱控技术迅速发展，融经从早期的以 h o n e y p o t 为代表的单一诱骗环境研究发展到后来的分布式入侵诱控、虚拟入侵诱控 以及其他综合性入侵诱控研究。 2 。3 ，2 h o n e y p o t 2 3 2 1 h o n e y p o t 的定义 从b i l lc h e s w i c k 酋次使用h o n e y p o t 这一名称以来，h o n e y p o t 的含义已逐渐 泛证，从最规豹诱骟环竣热名穆发疑至g 对实现入侵诱控技术豹菜个完整系统的称孵， 甚至于菜蛰麓于诱控罨戆豹菲计算謇t 系统静代称。网络与信息安全专家l a n c e s p i t z n e r 曾对h o n e y p o t 做过这样的定义“”：“h o n e y p o t 是一种资源，他的价值就是 被攻击或攻陷。也就是说h o n e y p o t 是用来被探测、被攻击甚至鼹后被攻陷的。 h o n e y p o t 不会掺 任彝衷穰。这样藏为笈蠲考提供了壤菸豹、有徐壤戆售息。”。 h o n e y p o t 最重要的功能就是对其中的所有搡 蕈帮行为进行盗视和记录，安全专 家通过精心的伪装，使得入侵者在进入到h o n e y p o t 后仍不知自己所有的行为已经处 于g o n e y p o t 的监视之中。为了吸引入侵者，安全专家通常还在h o n e y p o t 上故意留 青岛大学硕士学位论文 下一些后门以吸引入侵者上钩，或者放置些网络入侵者希望得到的敏感信息，当 然这些信息都是虚假的信息。这样，当入侵者正为攻入目标系统而沾沾自喜的时候， 它在h o n e y p o t 中的所有行为，包括输入的字符、执行的操作等都已经被h o n e y p o t 所记录。 有些h o n e y p o t 甚至可以对入侵者网上聊天的内容进行记录。h o n e y p o t 管理人 员通过研究和分析这些记录，可以得到入侵者采用的攻击工具、攻击手段、攻击目 的和攻击水平等信息，通过分析入侵者的网上聊天内容还可以获得入侵者的活动范 围以及下一个攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时， 在某种程度上，t o n e y p o t 中记录的信息甚至可以作为对入侵者进行起诉的证据”。 2 3 2 2 h o n e y p o t 的分类 根据入侵者与h o n e y p o t 交互程度的不同，可以将已有的h o n e y p o t 分成3 大类 “”：低交互h o n e y p o t 、中交互i t o n e y p o t 和高交互h o n e y p o t 。这3 种交互程度的不 同也可以说是h o n e y p o t 在被入侵程度上的不同，但三者之间并没有明确的分界。 1 、低交互h o n e y p o t 这类h o n e y p o t 只提供一些特殊的虚假服务，这些服务可以通过在特殊端口监听 来实现。例如：使用“n e t c a t l p8 0 1 0 9 h o n e y p o t p o r t8 0 1 0 9 ”这样的 命令就可监听8 0 端口并将所有进入的信息记载到日志文件中。在这种方式下，所有 进入的数据流很容易被识别和存储，但这种简单的解决方案不可能获取复杂协议传 输的数据。如一个初始的s m t p 握手就不会产生有用的信息，因为没有相应的回应以 产生后续信息。在低交互h o n e y p o t 中入侵者没有真正的操作系统可以面对，这样就 大大减少了危险，因为操作系统的复杂性降f l i t 。这种方式的一个缺点是不可能观 察入侵者和操作系统之间的交互信息。低交互t t o n e y p o t 就像单向的连接，只是监听 但不会发送响应信息，这种方法就显得很被动。低交互h o n e y p o t 和i d s 的被动监听 很相似，因为两者都不会改变数据流或者和入侵者交互，只有当进入盼数据包符合 某种模式时他们才会产生日志和报警，如图2 1 所示。 图2 1 低交互i t o n e y p o t 1 0 第二章入幔诱控技术 低交互h o n e y p o t 最大的褥点是模拟。h o n e y p o t 为入侵者展示的所有攻击弱点 和攻击对象都不是真实的系统，而怒对各种系统及其提供的服务的模拟。 由予所有的服务都是模拟的行为，所以低交互h o n e y p o t 可以获褥的信息菲常有 陵，只筏辩入侵行隽遂行麓革的记最黟分耩。低交譬h o n e y p o t 哭憝瓣入侵者避行麓 摹豹应答，不g 够橡囊实系绕郑群与入侵者避行交互，魏果入较者与之进l 亍鞍多豹 交亘，将可能发现其真实堪目。但是低交互h o n e y p o t 是3 类h o n e y p o t 中最为安全 的类型，引入的系统风险嫒小，且不会被入侵者入侵并作为其下一步攻击的跳板。 2 、中交互h o n e y p o t 中交互h o n e y p o t 稻辩低交互h o n e y p o t 提供了更多酌交互绩怠，毽还是没有提 供一个粪实豹操作系统，只是通过慰鏖台进程的改进，使其对魍身提供的服务具肖 了一定的认知熊力。盼予中交艇h o n e y p o t 复杂程艇的提高，入侵番发现其安全漏洞 和弱点的可能健也就大大挺商了。邋过这种较高程度的交互，蹩复杂塑的攻击手段 就可以被记录和分析。因为入侵者认为这是一个真实的操作系统，他就会霹箕送行 爱多兹搽溯帮交互，如图2 。2 辑示。 匿2 ，2 审交芟h o n e y p o t 中交互h o n e y p o t 是对真实操作系绕的各静行为的模拟，在这个模拟行为姻聚统 中，用户可以避行各种随心所欲的既露，这就使中交甄h o n e y p o t 糟起来和一个真实 的搡佟系统尼乎没裔区羽。 中交麓h o n e y p o t 静设计爵静嫩碾g | 入橙者鹣注蠹力，歇霹起弼镖护囊窭蒺绞秘 擘用。它们是蠢起采比焱实璇统述要诱人麴攻击强拣，聪入侵者旦进入其中麟会 被监视并跟踪。中交簋h o n e y p o t 峰入侵者之间的交嚣非常接近真难的交互，所以中 交互h o n e y p o t 可以从入侵者的行为中获得更多信息。虽然中交互h o n e y p o t 楚对真 实系统的模拟，但燕它已经戆一个健全的搽作系统，可以说中交互h o n e y p o t 楚一个 经过修馥酌撵襻系统，熬令系统黎骞瑶能被天缎，掰戳安全蛰理久爨嚣要对其避行 l l 青娼大学硕士学位论文 定期检查，了解最新的h o n e y p o t 状态。 建立一个中交亘h o n e y p o t 是复杂的，需要裁赞大裁的时间。对安全方磷的检森 尤其应该做到非常仔细，因为所有的后台进程都必须尽可能的安全。建立起来的 h o n e y p o t 不应该含有真实系统存在的安全漏洞，否剐就没有必要使粥提供纛假信患 的后台进程采替换真实系统了。建立这样的系统需要对每个协议和服务都缎了解。 3 、高交强h o n e y p o t 对入侵者的行为进行赢级别诱骗的需要使德商交互h o n e y p o t 豹如现成为必然。 高交互h o n e y p o t 具有一个舆实的操作系统，这样随着复杂程度的提高危险性也随之 增大，埕羼射搜集撼息豹可能牲、吸 入侵者攻击豹稔度也大大提藏。a 侵者侵入 系统的目的之一就是获取最高管理员权限，而高交互h o n e y p o t 能够为其提供这样的 强壤。一里入侵者联霉投袋，经麴粪实溪动和窍为都会被记袋，毽怒入侵者必须要 攻入系统才能获得这种自嘲。入侵者会取得最商管理员权限并且可以在被攻陷的系 统孛骰任 罨搴情，这样继无论是在舞静h o n e y p o t 盗控接藏鲍控胡下毒有霹裁怼裹这 些软件屏障，如图2 3 所示。 圉2 3 高交互h o n e y p o t 这类h o n e y p o t 最大的特点就楚真实，高交互h o n e y p o t 怒完全粪实的系统，设 计的墩主要强的是对各种嘲络攻诲行为进行研究。目前安全研究最缺乏的就是对自 己的敌人人侵者的了解，最需凝回答的问题包括谁是入侵者、入镶者如何迸行攻 击、入侵者嫂羽什么工具攻击以及入侵辫何时会再次发动攻戡。高交互h o n e y p o t 所 要做的工作就是对入侵者的行为进行研究以回餐这些问题。 巍然，藤交互h o n e y p o t 最大的缺点是被入侵的可能牲缀高。如果整个毫交互 h o n e y p o t 被入侵，那它就会成为入侵者对其他主机和组织进行下一步攻击最好的工 具。群淤磐须采取器糖各转豹策旗窝颈爨接蕤黪止裹交互h o n e y p o t 成为入侵者进零亍 1 2 第二章入侵诱控技术 攻击的跳板。 使用高交互h o n e y p o t 需要大量时间，因为必须对其进行长期监视。如果高交互 h o n e y p o t 不受安全管理人员控制，那其安全将处于非常不利的境地。限制高交互 h o n e y p o t 访问本地受保护的内部网络也是非常重要的，因为入侵者可以像对待一般 被攻陷的机器一样对待高交互h o n e y p o t 。为了减少h o n e y p o t 对外可能产生的危害， 必须考虑限制其外出的数据包。通过向入侵者提供完整的操作系统，入侵者可以上 传和安装一些文件，这就是高交互h o n e y p o t 的个优势，所有的入侵行为都能被记 录并分析“。 三类h o n e y p o t 因交互级别的差异，在应用中各有相应的优缺点，如表2 1 所示： 2 3 2 3 已有的h o n e y p o t 随着入侵诱控研究的发展，一些商业的或免费的h o n e y p o t 陆续出现。如前耐提 到魏f r e dc o h e n 的d t k ，以及n f r 公司麴b o f ( b a e ko f f i c e rf r i e n d l y ) ，s p e c t e r 。t o m 懿s p e c t e r ，s y m a n t e e 公司斡m a n t r a p 等。 l 、d t k d t k “”是第一个公开发布的h o n e y p o t ，使用p e r l 和c 两种语肖编写。其基本思 怒藏是锼入侵者感爨到运毒亍i y r k 熬系统骞着大量广为人知魏瀑澜，其与入侵者遨孪亍 交互的方式是模仿那骜其旁可攻击弱点翡系统避行酌，所班可敬产生的应答非常有 限。d t k 仅仅监听输入弹提供较为合理的应答，以给闯入系统的入侵者带来系统并 不安全的错觉，在这个过程中对所有的行为进行记泶。 d t k 熬诱骗应答是瑶编程麴，逶邋状态瓠方式王终，实骣上戆够袭攫茌 霉瑕务， 并可方便蛾利用其中的功能模块直接模仿许多鼹务穗序。早期的d t k 发布非常容易 编译和安袋，但是随着版本不断升高，已逐渐变得难以配置。 f r e dc o h e n 还通过d t k 提出了一个“诱骗端翻( d e c e p t i o np o r t ) ”的概念， 青岛大学硕士学位论文 霆为d t k 王搏瓣会在t c p 麴3 6 5 漩鞭进嚣簸氍，爨戳诲多入侵纛在缝溺戮个系统 豹t c p 端嗣3 6 5 懿予整辩螽获惑辩，会谈为谈零绫是一个t t o n e y p o t ，两敬夯避一步入 侵。c o h e n 指燃，如粱d t k 被广溅的认识和使用，将使锻多仅仅开放了一个“诱骗 端口”的受保护祭统躲过入侵卷的攻击。 2 、b o f b o f “8 是一个麓零毽又专“努察翔静h o n e y p o t ，由黼r 公司开发髑蘩簸控s a c k o r i f i c e 这一攻击工具。b o f 可默运行在w i n d o w s