（计算机科学与技术专业论文）基于代理的honeypot系统关键技术研究与实现.pdf

国防科学技术大学研究生院学能论文 摘要 h o n e y p o t 技零佟麓一秘动态安全防瓣檄制，是终统安全挽潮豹有力羚充。本文在分褥 强内夕 有关嚣o n e y 泌t 磺究囊获黪墓稿乏，针对 l o n e y p o 技术静体系结梅不逶合大麓模丽 络、不能有效控制风除和视野狭窄等三个主要问题，提出了一个基于代理的 f o n e y p o t 系 统模型，并对其关键技术进行了研究和实现。本文所做的工作主要集中在： 1 深入研究了各种h o n e y p o t 技术的原壤、体系结构及其优缺点，指出了h o n e y p o t 模型 存在貔主要闻题。 2 提窭了一个基予代理戆孙n e y p o t 分布式模型( 黼酸) 。该模登被定义为一个丸元缝， 由五个关键部分嘏成，采用了分布式结构，可扩展性好，有利于扩大视野、降低各子 网内的风险，提商数据的采集能力和价值，能用于各种规模的网络环境，最一个通用 的h o n e y p o t 模烈。 3 磷究了鼹务转发代毽豹关键技术，撼浅了一秘基于网络模羧的驻务转发钱璎豹诱导方 法。该技术霞予雯瑷分毒式噩。n e y p o t ，有羁予侠速、恣璜缝检测著枝集霹络子瓣孛静 攻击行为和有效地控制攻击行为。 4 提出了基于d h b a 的分布式网络诱骗系统的体系结构。该体系结构基于d h b a 并采用了 分布式结构、集中式管理的方法，可适用于大规模的网络环境，有利于共事资源和有 效她控制风险。 5 实瑗了基于器h 激豹分蠢式两络诱骗系绞搽鍪。溅试缝暴交骥，系统麓快速、漆镄建捡 测并收集子网中的攻击，能较好地欺骗甚至阻止攻击，谢敲地控制系统引入的风险， 扩大系统的视野，可用于大规模的网络环境。 本文研究成果已缀在“分布式网络赡控与预警系统”( 2 0 0 3 a a l 4 2 0 1 0 ) 中得譬6 应用， 为窍效检测帮研究嬲臻攻毒提供了有力的王具与手段。 关键谲；霹终安全，入侵检测，蜜骧，代理，模鍪，诱髯穷法 国防科学接术人学研究生院学位论文 k e y w o r d ：n e t w o r ks e c u r i t y ， i n t r u 8 i o nd e t e c t i o n ， h o n e y p o t ， a g e n t ，m o d e l ， i n d u c e 强e n tm e t h o d 塑堕翌堂茎查犬鲎堡窒竺堕堂照笙奎 圈目录 踅 。l 论文绫稳强。7 图2 1 虚越 o n e y p f ) t 示意图+ 。1 l 图2 2 高交互蜜网体系架构1 4 图2 3 自包含虑拟 l o n e y n e t 结构1 5 图2 4 混合虚拟h o n e y n e t 结构1 6 图3 1 明b a 模麓豹设计思想2 2 图3 。2 基予代毽瓣h o n e y p o 系统熬分蠢式模墼缍稳。2 4 图3 3 服务转笈代理虚拟霹络的拓拎结梅2 5 图4 ，l 服务转发代理的设计思想3 l 图4 2 服务转发代理的网络模拟的撼本思想3 2 圈4 3 服务转发代理诱导攻击的过糕3 5 圉4 4 鼹务转发代蓬豹数据控制掇翩。3 7 鍪5 1 基于豫瓢豹分毒式网络诱骗系统豹体系结秘。4 i 图5 2 基于d h b a 的分布式网络诱骗系统的网络拓扑结构4 l 图5 3 基于阴b a 的分布式网络诱骗系统的数据流4 2 图5 4 服务转发代理结构4 4 图5 5f a g e n t 和s a g e n t 的网络通讯掰手卜结构，4 4 嚣5 s 摄文楚瞬模块，。，4 5 整5 。7 服务转发滚疆銎，。6 图5 8 报文捕获流程图4 7 图5 9 安全控制中心的结构，5 3 图5 1 0d h b a 系统报警界面5 6 图5 1 l 测试的凝体环境。5 9 强5 1 2 娶h 熬系统擐警。6 l 匿5 1 3d h 醚系缓遴行蔚静扫播绩凝。6 l 图5 1 4d h b a 系统运行后的扫描情况6 2 国防科学技术大学研究生院学彼论文 表目录 表2 。l 嚣羧努方式如n e y p o t 比较1 6 表2 2h o n e y n e t 与 e y p o t 比较1 7 表5 1 连接建立e 1 志记录格式5 0 表5 2 连接结束的日志记录格式5 0 表5 3 其他情况日志记录格式5 0 表5 4 报警内察5 l 独创性声明 本人声明所慝交的学位论文是我本人在导师指导下进行的研究工作及取镡的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表移撰写过懿铹究成果，也不苞含麓获缮国跨辩学技术大学或其它教弯规鹅的学 位或证书而使鼹过姆材辩。与我一慝工俸静陵志对本研究所饿瓣任何贡献均已东论文 中作了明确的说明并表示谢意。 学位论文题嗣：基煎矍鲍! ! 嫩z q ! ! 薹麴差缝越盛缎巍复塞塑 学位论文律露签名：越 l 器蘩：膨，篾刁联 学位论文版权使震授权书 本人完全了解国防科学技术大学荫必保留、使用学位论交的规定。本人授权国 游辩学技术大学可以保留并淘国家有关部门或机构送交论文的复印俘和电子文档，允 译论文筏奎阕和僚黉；可淡将学位论文酶全部或部分蠹容缝入有关数据库遂孝亍捡黎， 可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文逡鬟：蓥量焦壅錾跫! 塑z 敬! 筮璧差建夔塞懋塞耋塞鍪 学位论文作者签名： 作者指导教师签名： 日期：哆年，瑚2 角 噍蚵年f 乙月7 日 国防科学技术火学研究生院学位论文 1 1 1 网络安全的现状 第一章绪论 1 1 研究背景 互联网是以计算机通信技术为基本工具，通过开放式的网络进行信息发布、信息交 换、信息获取而形成的一个方便快捷的庞大的信息传播平台。它一经出现，便迅速席卷了 整个世界。1 9 9 7 年1 1 月，中国互联网信息中心( c c n i c ) 第一次向世界发布中国互联网发展 状况统计报告，当时中国的互联网用户为6 2 万，上网计算机为2 9 9 万；到2 0 0 5 年7 月 2 l 曰，该中心第t 6 次发布同类报告时，我国互联网上网用户总数己增到1 0 3 亿，居世界 第二位，上网计算机达到了4 5 6 0 万台。目前，全世界已有1 8 0 多个国家和地区的数十亿 人使用互联网，并且联网主机数和上网人数还在快速增长。 在互联网发展浪潮的冲击下，人们的生产和生活方式正发生着巨大变化。信息技术在 经济、政治、军事，交通、电信、文教等社会各领域的应用越来越广泛。中国信息产业部 对外公布，2 0 0 5 年上半年中国网上购物成交额达1 0 0 亿元。 伴随着网络如此迅速的发展和广泛的应用，借助于网络来对各个方面所进行的攻击也 日益严重，网络安全与保密问题也已经成为人们要面对的首要问题。美国安全服务提供商 r i p t e c h 发表了有关2 0 0 2 年1 6 月计算机攻击状况的调查结果。调查结果显示，计算机 攻击事件正在以年6 4 的速度增加。2 0 0 5 年4 月，英国国家反高技术犯罪局公布的报告 指出，英国公司在过去一年间因电脑犯罪蒙受了超过2 4 亿英镑( 约合4 5 亿美元) 的损失， 在遭遇电脑犯罪的企业中，有9 0 的电脑系统被黑客闯入，8 9 的数据被盗。而且网络威 胁的频率、范围和复杂度还在日益增长。从大的方面来说，网络安全问题关系到一个国家 的安全和主权、社会的稳定、民族的文化等方面。从小的方面来说，网络安全问题也是人 们能否保护自己利益和隐私的关键。近十几年以来，网络上的各种安全性问题越来越多， 也越来越严重。 导致互联网目前的安全状况的原因有很多，主要原因是： 第一，互联网的开放性，如联结形式的多样性，终端分布的不均匀性以及网络的开放 性、互连性等，使得网络容易受到黑客、恶意软件和其他形式的攻击。网络安全是一个综 合的全方位的体系，从底层的硬件设施，中间层的操作系统，到上层的应用程序，哪一个 环节出现问题，都会导致漏洞的产生，从而威胁整个系统的安全。 第二，操作系统、软件及硬件存在安全漏洞和缺陷。操作系统和硬件设施的设计作为 一个大型的系统，其测试方面肯定存在有不足的地方，结合生命周期的缩短，软硬件本身 的复杂性，很难保证其安全性；同时，大部分的网络使用者还未真正拥有安全意识，也很 第1 页 豳坊科学技术太学研究生院学能论文 少进行安全加强工作，如及时升级软件、安装防火墙和其他安全工具等，从而导致了目前 的互联网具有巨大的安全隐患。 第三，操作系统本身窖易受到内部用户滥用特权的攻击。 筵图，黑套攻毒技零瞧在不薮琏袭溪，玫壶手段越来越惑甓，袭毒工其也越袋越警戆 张，能够造成的破坏t 照越来越大。这些动态的变诬是静态的硬件设施、操 乍系统粒软件难 以适应的。 第五，黑客社团不再是仅仅为了兴趣和炫耀能力而出动，更多是由于国家利濑、商业 利蕴及黑暗心理等因索促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业 鼓零j 皲技巧，瞧们可塔镀方便连蚨互联嬲上我到掰嚣鹣最耘玫港瓣本霸工具。 现有的网络安全掺魏主要骧跨火墙霸入餐硷溯系统( 1 菸) 淹核心，它 f 】在一定程度上 改蓉嘲络的安全保障。但防火墙和入侵梭测系统是静态网络寰全框架模型，它们静态而且 被动地保护网络。丽对网络进行的攻击谯键都是动态的、主渤的，因此静态的、被动的防 御措施就没有办法保诚网络的安全运转。 辚火墙防范的静擞楚对各静已识别炎激豹凌击进行正确瓣聚鹫。遮裁要求麓火墙翔谀 黪不赣更瑟鞋谖鞠备耱精类壅匏玫壹。这羧意味羞宅哭零搽浏翻有羧懿恶意滚爨，瑟量它 述存在以下不足； 夺防火墙是静态没全技术，对网络环境下日新月异的攻击手段缺乏主动的殿成； 夺防火墙不能防范绕过防火墙的攻击； 夺防火墙不能防藏来自内部人员恶意躺攻击： 夺辕炎臻不韪缀l 芝羧瘸毒感染豹程謦藏交臀筑簧递； 夺防火墙不髓防止数据驱动式攻毒； 夺防火墙不能阻止使用固有服务端翻的攻击”1 ； 夺防火墙很难阻炽复杂、快速的攻击。 入侵检测系统一万颟与防火墙一样需臻知识库不断更新，另一方面对有违反安全策略 麓瑟豢使零嚣为进行浚涮零豌痤。疆藩i 转s 主要是基予援掰捻测入侵，对未知致蠢豹捡溺 辘力汔较弱。尽管遥i ：妻键雳干净斡数据纂瓣些i 醛送行嚣练，使它髓靛够遘费器鬻检溺， 假魑干净、完全的数据集是很难获得的。对于攻击的规则和信怠，除非已经对遂魑攻击进 行过分析，否则这些储息未知的。对于求知规则获取的缓缀憾和基于规则匹配的i d s 是互 栩矛盾的”1 。此外，它述存在着以下不足： 夺i 蚤s 熬瀑掇率( 稳l s en e g a t i v e ) 秘谈缀率( f 甜s ep o s i t i v e ) 锯较高； 令对海量鼗舞入後硷测效率低； 夺入侵响应能力和实时性有限，电脑黑客留下的任何证獭容易丢失； 夺基于网络的i d s 对i p v 6 等数据加密的黑客攻击无能为力： 夺i d s 是被动检测技术，仍未有成熟的方案。 从根本上说，舫火墙j 鄹入侵检测系统滞矮子各嵇各样的爨客攻击。这就决定了以虢火 繁2 褒 国防科学技术大学研宄生院学位论文 墙和入侵检测系统为核心的网络安全体系不可能完全、有效地解决网络安全问题。这些安 全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护，而蜜罐 ( h o n e y p o t ) 技术的引入，可以将防护从被动方式变为主动方式。即在蜜罐中用特有的特 征吸引攻击者，同时对各种攻击行为进行分析并找到有效的对付方法。因此必须采用新的 策略同时开发动态防御机制。而密罐技术是一种新的主动式动态防御机制”。目前，国内 外在这方面进行了一些研究。 随着蜜罐技术的发展，出现了蜜网( h o n e y n e t ) 。蜜网可以采集更多的黑客攻击数据。 在现实中，关于黑客攻击的数据和信息都比较少，而人们发现越来越需要关于黑客攻击的 真实的数据和信息。因为设计好的网络安全产品需要真实的攻击数据，分析攻击的发展趋 势可以帮助人们预计i n t e r n e t 可能出现的攻击，从而提前做好保护措施。1 。 在本文中，没有特别的说明，本文把密罐和蜜网等诱骗或陷阱技术统称为密罐 ( h o n e y p o t ) 技术。下面阐述h o n e y p o t 的研究现状。 1 1 2h o n e y p o t 的发展现状 h o n e y p o t 技术是信息防御战中一种有力的动态防御性武器“1 。它可以在网络内部提供 另一种层次上的网络安全，同时作为防火墙和i d s 的一种有力补充，克服它们所存在的不 足。 “蜜网项目组”( t h e h o n e ”e t p r o j e c t ) 的创始人l a n c e s p i 七m e r 给出了对蜜罐的权 威定义：蜜罐是一种安全资源，其价值体现在被扫描、攻击和攻陷“1 。这个定义表明蜜罐 并无其他实际作用，因此所有流入流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。 而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类”1 ，产品型蜜罐的目的在 于为一个组织的网络提供安全保护，包括检测攻击、预警、防止攻击造成破坏，以及帮助 管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署，而且不需要管理 员投入大量的工作。较具代表性的产品型蜜罐包括b o f 2 “，c y b e r c o ps i n g o 、d t k 、 h o n e y d 等开源工具和k f s e n s o r 、s p e c t o r “、m a n t r a q 等一系列的商业产品。研究型蜜 罐则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜罐，对黑客攻击进行追踪和 分析，能够捕获黑客的键击记录，了解黑客使用的攻击工具、策略以及攻击的动机等“”。 研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析。具有代表性的工具 是“蜜网项目组”所推出的第二代蜜网技术0 1 。 蜜罐还可以按照其交互程度的等级划分为低交互蜜罐和高交互蜜罐，交互程度反应了 黑客在蜜罐上进行攻击活动的自由度。低交互蜜罐一般是模拟操作系统和网络服务，较容 易部署且风险较小，但黑客在低交互蜜罐中能够进行的攻击活动较为有限，密罐模拟的服 务也较为有限，因此通过低交互蜜罐能够收集的信息也比较有限，同时由于低交互蜜罐通 第3 页 国防科学技术大学研究生院学位论文 常是虚拟蜜罐，或多或少存在着一些容易被黑客所识别的指纹( f i n g e 甲r i n t i n g ) 信息。产 品型蜜罐一般属于低交互蜜罐。高交互蜜罐则提供真实的操作系统和网络服务，没有任何 的模拟，从黑客角度上看，高交互蜜罐完全是其垂涎己久的“活靶子”，因此在高交互蜜 罐中，能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时，自然地 加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般属于高交互蜜罐，也有部分产 品型蜜罐产品，如m a n t r a p ，属于高交互蜜罐。 h o n e y p o t 技术是一种可应用许多场合的灵活的工具，它不限于解决某个具体问题。它 可以用于发现和检测攻击，阻止攻击，捕获和分析攻击，充当预警传感器，欺骗攻击者以 研究其工具、策略和动机，或协助调查等方面“”。 目前h o n e y p o t 技术的主要体现了如下作用： 1 ) 检测攻击，发现未知的攻击； 2 ) 发现和抵抗d o s 攻击； 3 ) 检测蠕虫： 4 ) 产生报警和预警； 5 ) 研究攻击的特征和发展趋势，以帮助改善安全组织、检测和响应： 6 ) 欺骗，减慢攻击的扫描速度转移攻击者的注意力： 7 ) 协助调查，起诉。 h o n e y p o t 技术可以作为防火墙和i d s 很有意义的补充。它能及时发现闯入系统的入侵 者，以有效地降低安全防御系统的误报率和漏报率，并提高对系统或网络资源进行实时检 测监控能力。同时能收集大量的攻击信息，帮助安全研究人员统计攻击特性，提取攻击特 征，研究攻击的发展趋势，阻提高网络安全防护系统的检测和防御能力。 1 2 课题的学术价值和应用价值 h o n e y p o t 技术有利于探索防火墙和i d s 主动实时检测防御的方法和策略，建立计算机 系统安全模型，设计纵深防御安全系统。由于硬件、软件系统存在安全漏洞和互联网的开 放性，而给黑客带来了可乘之机，使得网络容易受到黑客、恶意软件和其他形式的攻击。 h o n e y p o t 技术是信息防御战中一种有力的动态防御性武器。通过研究h o n e y p o t 技术，可 以检测到未知的攻击，同时对黑客攻击进行追踪和分析，能够捕获黑客的键击记录，借以 观察入侵者的行为，以便分析入侵者的水平、目的、所用工具、入侵手段和心理状态等， 为研究破解黑客技术积累资料，并且在必要的时候对黑客以警告，甚至进行反击“9 1 ，同 时可以研究黑客行为的发展趋势，为设计好的网络安全产品打下基础0 1 。深入研究h o n e y p o t 原理尤其是模型和体系架构，可以克服当前防火墙和i d s 所存在的不足，从而建立更好的 主动的防御体系“。 h o n e y p o t 技术在预防、检测和响应三个方面对网络起到保护作用”“”1 。在预防方面， 第4 页 国防科学技术大学硼 冗生院学位论文 首先是面对自动发起的攻击。h o n e y p o t 预防这种攻击的一个方面就是减慢它们的扫描速 度，甚至于最终阻止扫描；其次h o n e y p o t 可以预防人为的攻击，即采取诱骗的手段，将 黑客诱骗到h o n e y p o t ，通过与h o n e y p o t 交互来浪费他的时间和资源，减慢攻击的扫描速 度，转移攻击者的注意力，为攻击行为的检测与阻断提供充足的时问。在检测方面，它的 目的就是在预警的过程中能够识别网络或者主机是否出现攻击或者遭到破坏。检测是否发 生攻击是非常重要的。通过h o n e y p o t 的检测，能够及时对攻击作出响应，阻止破坏的发 生或者减轻所受的危害程度。对于未知攻击的检测目前是比较困难的，有些技术例如i d s 等在很多时候都证明是无效的，他们产生了太多的数据，很高的误报率，不能检测到新的 攻击，而且还不能在i p v 6 环境下工作。而h o n e y p o t 擅长于进行攻击检测，能收集到高价 值的小数据集，有效地减少误报率和漏报率。在响应方面，当一个管理员发现网络或者系 统遭受攻击时，应该作出什么响应，这是个很棘手的问题。这个时候，管理员可能会面 临两种情况：其一，系统已经受到了攻击，而且攻击已经造成了一定的危害，但是这个受 到攻击的系统不能离线分析；其二，遭受攻击的系统可以进行离线分析，但是由于被改动 的数据过多而没有办法检查出哪些是属于黑客的行为，哪些是属于正常用户的行为，就很 难发现这些行为中哪部分是正常的用户行为，哪一部分是黑客的破坏行为。当管理员面临 以上两种情况时，就没有办法获取黑客的任何信息。h o n e y p o t 是一个较好的事件响应工具， 它可以帮助解决以上这两个问题。因为它们可以比较容易而且迅速地进行离线和全面地分 析，同时在它的系统里没有每天的商业操作数据的干扰。而且它大大减少了所要分析的数 据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没，而进出密罐的数 据大部分是攻击流量。因而浏览数据、察明攻击者的实际行为就容易多了。因此h o n e y p o t 能有效地降低当前i d s 的误报率和漏报率，提高对系统或网络资源进行实时检测监控和预 警，防止攻击造成破坏及帮助管理员对攻击做出及时正确地响应，加强安全管理纵深防御 能力。 h o n e y p o t 技术在军事、政府、商业、执法机关和科研部门等有着广泛的应用前景。信 息技术在经济、政治、军事、交通、电信、文教等社会各领域的应用越来越广泛，借助于 网络来对各个方面所进行的攻击也日益严重，网络安全与保密问题也已经成为人们要面对 的首要问题。面对日益流行的分布式、协同式攻击，任何单个的安全组件防御能力是有限 的，只有各安全组件实现有效的互动，构成整体安全解决方案，才能进行有效的检测和防 护。因此，近年来h o n e y p o t 技术作为一种新型的动态防御技术，逐渐成为了网络安全技 术研究者关注的焦点。h o n e y p o t 技术是一种主动式动态网络防御技术，在动态防御方面有 较好的技术优势，可以使网络安全的防御体系由静态转为动态，防御措施由被动转为主动， 改变传统防御总是被动挨打的处境。它与防火墙、i d s 等各种技术的结合使用，全方位地 实现网络安全纵深防御。 总之，h o n e y p o t 技术是主动式动态网络防御技术，可以对网络攻击活动进行监视、检 测和分析，使人们能够在一定范围和条件下掌握黑客入侵的规律，并能够主动地诱骗黑客 第5 页 国防科学技术人学研究生院学位论文 和干扰黑客，增加黑客的攻击难度，转移黑客的攻击目的，从而保护主机和网络。但是 h o n e y p o t 系统自身在体系结构、风险控制和视野等方面存在许多问题，本文针对一些主要 问题展开研究。 1 3 课题的研究目标和内容 本课题的研究目标是在分析国内外有关h o n e y p o t 研究现状的基础上，针对现有 h o n e y p o t 系统的一些不足，提出一个新的基于代理的h o n e y p o t 模型，并基于该模型设计 和实现一个系统原型，解决h o n e y p o t 技术的体系结构不适合大规模网络、不能有效控制 风险和视野狭窄等三个主要问题。 本课题研究内容包括以下几点： 1 剖析有代表性的h o n e y p o t 系统，深入研究h o n e y p o t 的原理及其体系结构，分析比 较各h o n e y p o t 模型的优缺点，总结出h o n e y p o t 技术存在的主要问题。 2 提出新的基于代理的分布式h o n e y p o t 模型，将模型定义为一个九元组，并论述其相 互关系和性能要求，对其结构中服务转发代理、伪装服务、数据融合、攻击分析和 攻击响应五个关键部分组成进行详细阐述。 3 研究服务转发代理的关键技术，提出新的基于网络模拟的服务转发代理的诱导方法， 给出服务转发、数据控制和攻击捕获的实现方法。 4 提出基于d h b a 的分布式网络诱骗系统的体系结构。采用分布式结构和集中式管理的 方法，设计服务转发代理、伪装服务、数据融合、攻击分析和攻击响应的整体结构。 5 实现基于d h b a 的分布式网络诱骗系统原型。采用基于l i n u x 系统的服务转发代理端、 基于w i n d o w sx p 的安全控制中心和多种操作系统的伪装服务，实现系统原型，并进 行测试和分析。 1 4 论文结构 本文共分六章。 第一章为绪论，阐述了网络安全现状和h o n e y p o t 技术的发展状况，以及课题的价值 和研究内容及成果。 第二章为现有的h o n e y p o t 模型的比较研究，揭示h o n e y p o t 的工作原理、体系架构及 其优点和不足。 第三章为个基于代理的h o n e y p o t 系统模型，针对h o n e y p o t 技术存在的主要问题， 提出了基于代理的h o n e y p o t 系统分布式模型( d h b a ) ，详细阐述模型的设计思想、工作 原理、体系结构和特点。 第四章为服务转发代理关键技术的研究，论述服务转发代理的设计思想和工作原理， 以及实现方法。 第6 页 国防科学技术大学研究生院学位论文 第五章为基于d h b a 的分布式网络诱骗系统的设计与实现，讲述了在d h b a 模型的基础 上，分布式网络诱骗系统的总体设计和系统原型的实现，以及系统的测试和分析。 第六章为结束语，在总结本文工作的基础上对未来工作进行展望。 全文结构如图1 1 所示。 提出和分析问题 i j i i 一一卜1 分析和解决问题 图1 1 论文结构图 1 5 主要研究成果 工作总结与展望 l f 厂 ；i | j j 第j i l 六i l l 章i 卜_ 一叫l o i 结f o i 束l l 语l ff l _ j 在对h 0 n e y p o t 技术的理沦研究和工程实践中，本文主要取得了以下几个方面的成果： 1 深入研究了各种h o n e y p o t 技术的原理、体系结构及其优缺点，指出了h o n e y p o t 模 型存在的主要问题。 2 提出了新的基于代理的h o n e y p o t 分布式模型( d h 队) 。该模型被定义为一个九元组， 由五个关键部分组成，采用了分布式结构，可扩展性好，有利于扩大视野、降低各 子网内的风险，提高数据的采集能力和价值，能用于各种规模的网络环境，是一个 通用的h o n e y p o t 系统模型。 3 研究了服务转发代理的关键技术，提出了新的基于网络模拟的服务转发代理的诱导 方法。该技术便于实现分布式h o n e y p o t 系统，有利于快速、准确地检测并收集网络 子网中的攻击行为和有效地控制攻击行为。 4 提出了基于d h b a 的分布式网络诱骗系统的体系结构。该体系结构基于d h 队并采用 了分布式结构、集中式管理的方法，可适用于大规模的网络环境，有利于共享资源 和有效地控制风险。 5 实现了基于d h b a 的分布式网络诱骗系统原型。测试结果表明，系统能快速、准确地 检测并收集予网中的攻击，能较好地欺骗甚至阻止攻击，有效地控制系统引入的风 险，扩大系统的视野，可适用于大规模的网络环境。 第7 页 国防科学技术大学研究生院学位论文 6 以第一作者发表论文l 篇。 本文研究成果已经在“分布式网络监控与预警系统”( 2 0 0 3 a a l 4 2 0 1 0 ) 中得到应用， 为有效识别和研究网络攻击提供了有力的工具与手段。 第8 页 里堕型主丝查厶竺婴壅尘坚堂垡堡苎 第二章现有h o n e y p o t 模型的比较研究 h o n e y p o t 技术的研究还处于早期阶段，当前h o n e y p o t 系统主要有两种模型。一种是蜜 罐( h o n e y p o t ) 。它主要有真实蜜罐和虚拟蜜罐两种类型。另一种是蜜网( h o n e y n e t ) 。 它主要有高交互蜜网和虚拟蜜网两种类型。本章将对各种h o n e y p o t 模型的工作原理、体系 结构进行了深入分析和比较，说明以往的模型的主要优点和存在的问题。 蜜罐( h o n e y p o t ) 是一种安全资源，其价值体现在被探测、攻击或者攻陷的时候“1 。 h o n e y p o t 是一种没有任何产品价值的安全资源，一种欺骗攻击者以监视并记录对h o n e y p o t 系统进行探测、攻击及危害的主体的行为和保护真实主机为目标的诱骗技术。1 。没有任何 人或者资源应该和它们通信。因此，从本质上说任何和h o n e y p o t s 交互的行为都可被认为 是攻击行为。 蜜网( h o n e y n e t ) 是在蜜罐技术上逐步发展起来的，是出若干个能收集和交换信息的 蜜罐构成的一个黑客诱捕网络体系架构。；其网络有高度可控性，提供多种工具对攻击信 息进行采集和分析。 因此，本文把密罐和蜜网等诱骗或陷阱技术统称为密罐( h o n e y p o t ) 技术。 与防火墙和入侵检测系统不同，h o n e y p o t 技术没有解决一个具体的问题，是一类高灵 活性的工具，具有许多种形式和规模。它既能够检测出在i p v 6 下加密的攻击，也能够捕 获最新的网络攻击行为。这种高灵活性给h o n e y p o t 强大的功能。 h o n e y p o t 与传统的安全工具相比有许多优点： 1 ) 能够收集少而精、噪音少的攻击数据。由于蜜罐不提供任何实际的作用，因此其 收集到的数据很大可能就是由于黑客攻击造成的。 2 ) 蜜罐不依赖于任何复杂的检测技术，攻击检测较少误报和漏报。 3 ) 能够捕获未知攻击，降低漏报率。使用蜜罐技术能够收集到新的攻击工具和方法， 而不像目前大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击： 4 ) 能够在加密或i p v 6 环境下较好的工作； 5 ) h o n e y p o t 的概念和技术都比较简单。相对入侵检测等其他技术，蜜罐的误用和错 误配置较少，使得安全人员能够比较容易地掌握黑客攻击的一些知识； 6 ) 蜜罐的构建成本较低。可以使用些低成本的设备构建蜜罐，不需要大量的资金 投入。 h o n e y p o t 技术也存在不足： 1 ) h o n e y p o t 只能检测和捕获那些和它进行交互的攻击行为，不能直接防护有漏洞的 信息系统。 2 ) h o n e y p o t 的部署会给网络引入一定的安全风险。 第9 页 国防科学技术大学研究生院学位论文 3 ) 对捕获的攻击数据的分析仍需要投入较多的精力和时间。 2 1 1 真实密罐 2 1 密罐技术原理及其体系结构的分析 真实蜜罐是由真实的主机、操作系统和应用程序构建的。它提供真实的操作系统和网 络服务，没有任何的模拟。 如果需要配置一个真实h o n e y p o t ，比如一个运行f t p 服务器的l i n u x 操作系统，就必 需构造一个真实的l i n u x 系统来运行f t p 服务器。这种h o n e y p o t 有两个优点：第一，能 捕获较多的攻击信息。通过使用一个真实的系统与黑客进行交互，就能够获取他们整个攻 击过程的信息，无论是新的攻击工具或是网上在线的通话信息，都可以获得：第二，它不 需要预先设想黑客将会有什么样的行为。它们提供一个开放的环境，以便捕获黑客所有的 行为。这样使得真实h o n e y p o t 能够很容易地检测新的攻击工具和发现新的攻击行为。然 而，真实h o n e y p o t 风险较高，维护较难，容易被黑客攻陷用来作为新的攻击据点。 真实蜜罐虽然可以检测攻击行为，但主要用于获取攻击行为，是研究型蜜罐。这种蜜 罐与攻击者的交互程度高，属于高交互蜜罐。真实蜜罐用于引诱并将入侵者牵制在网络上， 从而可以将攻击从重要系统上引开同时让安全专家研究了解在网络上发生了什么。在防范 内部攻击时，它被部署在数据服务器的旁边；在防范外部攻击时，它被布置在防火墙外。 由于真实蜜罐允许黑客自由活动，黑客攻陷蜜罐后，可以把它作为跳板对第三方发起 攻击从而引入了较高的安全风险，而且单一的密罐，收集的攻击信息很有限，视野狭窄。 为了检测攻击行为，降低网络风险，通常采用虚拟密罐。 2 1 2 虚拟密罐 虚拟蜜罐是由虚拟的操作系统和应用程序构建的，虚拟的操作系统和网络服务能够对 黑客的攻击行为做出回应，从而欺骗黑客。黑客的行为只能局限在模拟的级别。虚拟蜜罐 又可以分为手写脚本的h o n e y p o t 和学习服务的h o n e y p o t 。学习服务的h o n e y p o t 比手写脚 本的h o n e y p o t 有着更广阔的应用前景，但是实现难度很高。 1 ) 手写脚本的h o n e y p o t ：它是建立在真实系统基础上的，手工编写脚本，模拟一个真实 的系统。 2 ) 学习服务的h o n e y p o t ：它是建立在真实系统基础上的，通过机器学习由系统编写脚本， 模拟一个真实的系统。 虚拟蜜罐通常只需要安装软件，选择想要模拟和监控的服务。这种即插即用的结构使 得它配置起来比较简易，而且这种模拟的服务通过牵制攻击者的活动降低了风险，攻击者 很难用这种被攻陷的模拟主机来攻击或者破坏其他的主机系统。 第1 0 页 国防科学技术大学研冗生院学位论文 虚拟h o n e y p o t 较具代表性的产品型蜜罐有d t k 、h o n e y d ”等开源工具和k f s e n s o r 呦1 、 m a n t r a p 等一系列的商业产品。 h o n e y 铲0 1 是一款小型的d a e m o n 程序，由n i e l sp r o v o s 开发，用来在网络上创建虚拟 的主机，它主要是监视未使用的i p 地址空间。任何时候当一个连接企图与一个未使用的 i p 地址进行通信时，h o n e y d 都会截取这个连接然后与黑客进行交互，假装它就是那台受 害主机。h o n e y d 能够检测和记录与任何u d p 和t c p 端口的连接。而且能够配置一些模拟的 服务来监视一些具体的端口。大部分模拟服务的运行方式都是相同的。它们首先预计一个 具体的行为类型，然后模拟这种行为。如果一次攻击与这个模拟的服务进行连接时， h o n e y p o t 将作出一个响应，当另一个攻击与这个模拟服务进行连接时，它将作出同样的响 应。这种局限性使得当攻击者所作的行为超出了模拟的范围时，模拟的服务就不能作出相 应的回复了。大部分虚拟h o n e y p o t 包括h o n e y d 在内，面对这种情况时，都只能产生一条 错误信息。 图2 1 是一个简单的使用h o n e y d 配置的n e y p o t 。 一 h 耍 1 0 o o 1 o o 0 2 l j m 1 o 9f 枷s d 3 2 4 ow i n d o w s n t 4n 曲s d1 6 h 1 0 0 0 1 0 l1 0 o 0 1 0 21 0 0 o 1 0 3 l o o o 1 0 4 图2 1 虚拟h o n e y p o t 示意图 s p e c t e r 。”是一种商业化的虚拟蜜罐，由两部分组成：引擎部分和控制部分。引擎部 分进行数据包嗅探并对各种网络连接进行处理；而控制部分则提供图形用户界面供使用者 进行各项配置。所有的配置都可以在一个界面内完成，每个选项都有一个相关的帮助按钮。 目前，s p e c t e r 系统可以模拟九类操作系统( w i n d o w sn t 、w i n d o w s9 5 9 8 、c o s 、l i n u x 、 s u n o s 、d i g i t a lu n i x 、n e x t s t e p 、i r i x 和u n i s y su n i x ) 。s p e c t e r 还可以为受攻击的 主机提供伪造口令文件。s p e c t e r 可以模拟5 种不同的网络服务( s m t p 、f t p 、t e l n e t 、f i n g e r 和n e t b u s ) 和7 种陷阱。所有连接的记录都具有远程主机的i p 地址、时间、服务类型和 连接建立时引擎的状态等信息。它还提供一个用户自定义陷阱，系统管理员可以制定监控 的端口。 第l l 页 国防科学技术大学研究生院学位论文 虚拟蜜罐的主要目的在于为一个组织的网络提供安全保护，包括检测攻击、防止攻击 造成破坏及帮助管理员对攻击及时做出正确地响应等，属于产品型蜜罐。它仅仅模拟操作 系统和网络服务，较容易部署且风险较小，而且不需要管理员投入大量的工作。通常是低 交互蜜罐。大多数用户都将h o n e y p o t s 用于内部，以控制一些可疑的活动。 虚拟蜜罐通常是低交互蜜罐( 也有部分虚拟蜜罐产品，如m a n t r a p ，属于高交互蜜罐) ， 它所模拟的服务的程度有限。通常只能与黑客进行一两次交互，这样很容易让黑客发现是 个陷阱，而且它的日志都是记录在本地，这就提高了被黑客发现而且篡改日志的风险。而 且是单一的密罐。由于它们模拟的服务只能是那些已知的服务，所以只能捕获些已知的 行为。因此通过它能够收集的信息也非常有限。由于虚拟蜜罐是模拟操作系统和应用程序， 没有真正的应用程序与攻击者进行交互，所以它所完成的工作仅仅是一些有限的模拟功 能，受限于服务模拟的能力，而且或多或少存在着一些容易被黑客所识别的指纹 ( f i n g e r p r i n t i n g ) 信息。对于攻击者来说检测出一个低交互的h o n e y p o t 相对而言不是 很难，不管服务模拟是多么的完善，熟练的攻击者最终都能够检测出h o n e y p o t 的存在， 一旦被攻击者识别，它就可能成为攻击源。 由于虚拟蜜罐存在着交互程度低，较容易被黑客识别等问题，从2 0 0 0 年之后，安全 研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐，但与之前不同的是， 融入了更强大的数据捕获、数据分析和数据控制的工具，并且将蜜罐纳入到一个完整的蜜 网体系中，使得研究人员能够更方便地追踪入侵到蜜网中的黑客并对他们的攻击行为进行 控制和分析。 2 2 1 高交互蜜网 2 2 蜜网技术原理及其体系结构的分析 高交互蜜网是将蜜罐纳入到一个完整的蜜网体系中，并融入数据控制、数据捕获和数 据采集等元素。3 ，采用真实的操作系统和应用软件，给予黑客真实的信息。 高交互蜜网是一个网络系统，有多台可能安装了不同的操作系统和应用程序的主机供 黑客探测和攻击，从而获得黑客的信息以及黑客进行攻击的工具等。它可以使用各种不同 的操作系统及设备，如s o i a r i s ，l i n u x ，毗n d o w sn t ，c i s c os w i t c h 等等。这样建立的 网络环境看上去会更加真实可信，同时可以在不同的系统平台上运行不同的服务，比如 l i n u x 的d n ss e r v e r ，w i n d o w sn t 的w e b s e r v e r 或者s o l a r i s 的f t ps e r v e r ，使用者可 以学习不同的工具以及不同的策略。这种多样化的h o n e y p o t 系统，就可能更多地揭示出 黑客的一些特性。 在高交互蜜网中的所有主机系统都是正常的，运行的都是真实完整的操作系统及应用 程序。不需刻意地模拟某种环境或者故意地使配置的主机系统具有某种漏洞。在高交互蜜 第1 2 页 国防科学技术大学研究生院学位论文 网里面找到的存在风险的主机系统，与在互联网上一些公司内部网络的主机毫无二致。即 使简单地把一台主机放到h o n e y n e t 中，也不会对整个网络造成影响。 为了成功地构建高交互蜜网，需要解决数据控制和数据捕获问题。尽管许多高交互蜜 网是不一样的，但是它们都必须满足数据控制和数据捕获两个要求。数据控制就是指对高 交互蜜网行为的控制。也就是要确保当高交互蜜网被攻陷时，它的h o n e y p o t 不会被黑客 用来攻击其它任何非h o n e y n e t 系统的主机。这里最大的挑战就是怎么控制数据流而又不 让黑客起疑心。当一个系统被攻陷时，黑客常常要求进行网络连接，我们必须要给黑客一 定的弹性使他能够进行一定的活动，这样才能够进行学习和分析。如果黑客在h o n e y 口o t 内不能初始化任何连接，那么他将会怀疑，一般在1 5 分钟内黑客就会发现问题然后离开 所在网络。因此，目前h o n e y n e t 设计允许黑客进行他所要的连接，但是不允许它们使用 被攻陷的h o n e y p o t 系统来攻击其他的系统，例如进行拒绝服务攻击，系统扫描等。一般 来说，允许黑客往外连接越多，风险就越大。 数据捕获是指能够在不被黑客察觉的情况下捕获对h o n e y n e t 进行攻击的黑客的所有 信息，通过分析这些信息可以了解黑客的行为、黑客进行攻击的工具，以及他们的攻击策 略和黑客的动机等。这个问题主要的挑战就是怎样在黑客不知道他们的活动被捕获的情况 下获得较多的黑客信息。这就要求尽可能少的改动h o n e y p o t 上的数据。不能将捕获的数 据储存在本地h o n e y p o t 系统上。如果信息存放在本地就很可能被黑客发现，从而提醒他 们这是一个h o n e y n e t ，以至于使得存放的数据丢失或者被破坏。配置一个高交互蜜网不仅 需要捕获黑客的所有行为而不被黑客察觉，而且需要将捕获的信息远程存储。这里的关键 就是收集的数据要是深层次的而且包括很多方面，这样才可能对黑客的行为进行全面的分 析。 高交互h o n e y n e t 需要研究人员投入大量的时间和精力进行攻击监视和分析工作，具有 代表性的工具是“蜜网项目组”所推出的第二代蜜网技术一。 目前“蜜网项目组”已经开发出了第二代蜜网架构，并以一张可启动光盘的形式提供 部署和维护第二代蜜网所需的关键工具：h o n e y w a l l 和s e b e k 。 第二代蜜网方案的整体架构如图2 2 所示，其中最为关键的部件为称为h o n e y w a u 的 蜜网网关，包括三个网络接口，e t h o 接入外网，e t h l 连接蜜网，而e t h 2 作为一个秘密 通道，连接到一个监控网络。h o n e y w a l l 是一个对黑客不可见的链路层桥接设备，作为蜜 网与其他网络的唯一连接点，所有流入流出蜜网的网络流量都将通过h o n e y w a l l ，并受其 控制和审计。同时由于h o n e y w a l l 是一个工作在链路层的桥接设备，不会对网络数据包进 行t t l 递减和网络路由，也不会提供本身的姒c 地址，因此对黑客而言，h o n e y w a l