（计算机应用技术专业论文）基于linux平台的蜜罐识别系统的研究与实现.pdf

北京邮电大学硕士学位论文 基于l i n u x 平台的蜜罐识别系统的研究与实现 摘要 h o n e y p o t ，又称为蜜罐技术，是近年来兴起的一项全新的从战争欺 骗思想发展而来的网络安全技术，它是一个在网络上监视和跟踪非法 入侵者的系统。蜜罐技术的兴起和飞速发展，促成了蜜罐识别技术 ( a n t i h o n e y p o t ) 的兴起，这是个全新的研究领域。本课题主要研究 蜜罐识别技术。 在对l i n u x 系统、蜜罐技术以及现有的蜜罐识别技术的深入研究之 后，提出了从内核的角度对高交互级的蜜罐系统进行识别的原理和实 现方法，并且首次提出了将多种识别技术融合的基于l i n u x 系统开放平 台上的蜜罐识别系统的解决方案。 可加载内核模块技术是蜜罐识别系统的核心技术之一。它帮助蜜 罐识别系统能够深入到目标系统内部，从内核级角度对蜜罐进行识 别。识别子系统是蜜罐识别系统的最重要的一部分，它首先从系统调 用函数，系统文件，系统进程，系统模块以及系统对外的连接等几个 方面对蜜罐进行识别，最后对各个模块的识别结果进行综合分析，从 而对目标蜜罐系统进行全面的评估和判断，很大程度上的提高了蜜罐 识别的有效性和准确性。 本论文在讨论蜜罐技术和蜜罐识别技术的概念、分类和研究发展 现状，及其关键技术的基础上，深入解析了如何实现内核级别的蜜罐 识别技术。最后详细介绍了基于l i n u x 平台的蜜罐识别系统的功能模 块，识别流程，以及识别子系统的设计、实现和测试。 关键词蜜罐蜜罐识别可加载内核模块系统调用进程 北京邮电大学硕士学位论文 r e s e a r c ha n di m p l e m e n t a t i o no fl i n u xb a s e d a n t i h o n e y p o ts y s t e m a b s t r a c t h o n e y p o ti s ac o m p l e t e l yn e wn e t w o r ks e c u r i t yt e c h n o l o g yt h a ti s e m e r g i n gi n r e c e n ty e a r sb a s e do i lt h ei d e a so f c h e a t i n gi nt h ew a r i ti sar e s o u r c ew h i c hi si n t e n d e dt o b ea t t a c k e de n dc o m p r o m i s e dt og a i nm o r ei n f o r m a t i o na b o u tt h ea t t a c k e ra n dh i sa t t a c k t e c h n i q u e s t h ee m e r g i n ga n db o o m i n go fh o n e ) p o tt e c h n o l o d ya l s ot r i g g e r st h e d e v e l o p m e n to fa n o t h e rc o m p l e t e l yn e ws t u d ya r e a ：t h ea n t i h o n e ) p o tt c c h n o l o g y , w h i c hi sf o c u s i n go nt h em e t h o d su s e dt oi d e n t i f yh o n e ) p o t s t h i sp a p e rd i s c u s s e sa b o u t t h ea n t i h o n e y p o tt e c h n o l o g y a f t e rt h ed e e ps 伽d yo fl i n u xo p e r a t i n gs y s t e m ，h o n e ) p o tt e c h n o l o d ya n dc u r r e n t a n t i - h o n e y p o tt e c h n o l o g y , w ec o m eu pw i t ha n 圳一h o n e ) p o tp r i n c i p l ea n d i m p l e m e n t a t i o na p p r o a c hf r o ms y s t e mk e r n e ll e v e lt od e t e c th i 曲i n v o l v e m e n th o n e ) p o t a n dw ei n t r o d u c e dt h ef i r s tt i m e0 1 1 1 l i n u xb a s e da n t i h o n e ) p o ts o l u t i o nw i 也 c o m b i n a t i o no f m u l t i p l ed e t e c t i o nt e c h n i q u e s l o a d a b l ek e r n e lm o d u l ei so n eo fk e ya n t i - h o n e ) p o tt e c h n o l o g i e s i te n a b l e sa n t i h o n e ) p o ts y s t e mt or e a c ht h ec o r eo ft h et a r g e ts y s t e ma n di d e n t i f yt h eh o n e y p o tf r o m k e r n e ll e v e l d e t e c t i o ns u b s y s t e mi st h em o s ti m p o r t a n t p a r to f a n t i h o n e ) p o ts y s t e m i t f i r s t l yi d e n t i f i e st h eh o n e ) p o tf r o ms y s t e mc a l lf u n c t i o n s ，s y s t e mf l i e s ，s y s t e mp r o c e s s e s ， s y s t e mm o d u l e sa n ds y s t e mo u t b o u n di n t e r f a c e s ，a n dt h e na n a l y z e st h er e c o g n i t i o n r e s u l t so fe a c hm o d u l e s a sar e s u l t ，i tm a k e st h eo v e r a l le v a l u a t i o na n dj u d g m e n to ft h e t a r g e th o n e ) p o ta n dg r e a t l yi m p r o v e dt h ea c c u r a c yo ft h er e c o g n i t i o no fh o n e ) p o t 。 t h i sa r t i c l ee l a b o r a t e sh o wt oi m p l e m e n tt h ea n t i - h o n e ) p o ts y s t e mo nt h eb a s i so f d i s c u s s i n g a b o u tt h e c o n c e p t ，t h ec l a s s i f i c a t i o na n dc u r r e n tr e s e a r c hs i t u a t i o no f h o n e y p o ta n da n t i - h o n e ) p o tt e c h n o l o g y a tt h ee n do ft h ea r t i c l e , i ti n t r o d u c e st h e d e t a i l so ft h ef u n c t i o n a lm o d u l e s , i d e n t i f y i n gp r o c e d u r e s ，d e t e c t i o ns u b s y s t e md e s i g n ， i m p l e m e n t a t i o na n dt e s to f t h el i n u xb a s e da n t i h o n e y p o ts y s t e m i i i 北京邮电大学硕士学位论文 k e y w o r d s ：h o n c y p o t , a n t i h o n c y p o t ，l k i v i ，s y s t e mc a l l ，p r o c e s s 北京邮电大学硕士学位论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机 构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 南杰 日期：沙。占弓沙 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研 究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学 校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段 保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论文 注释：本学位论文不属于保密范围，适用本授权书。 本人签名：融日期：二。石专) 导师签名：瑚硝 日期： 6 、己 1 ， 。 7 北京邮电大学硕士学位论文 1 1 课题的背景和意义 第一章绪论 众所周知，互联网安全问题成为关注与研究的重点。 h o n e ) p o t ，又称为蜜罐技术，是近年来兴起的一项全新的从战争欺骗思想发 展而来的网络安全技术，是一种不同于防火墙、入侵检测系统的主动防御系统。它 建立了一个虚拟的环境，上面装有模拟或真实的操作系统和应用程序，故意留有各种 弱点或漏洞，引诱入侵者来攻击，从而监视、学习并分析攻击行为，进而提高自己 系统或网络的安全系数。 蜜罐技术的这些优点，使其被广泛地应用于计算机网络安全各个领域，得到 了飞快的发展。但是面对着如此的网络环境，入侵者开始思索如何能突破蜜罐的限 制，有效的攻击，而且又能有效的保护自己，他们开始了对蜜罐系统的探测。同时 虽然蜜罐技术飞速的发展，但是它仍然处于其幼年阶段，还未成熟，其设计思想和 设计策略都还存在许多缺漏，所有的这些促成了蜜罐识别技术( a n t i - - h o n e y p o t ) 的兴起，这是个全新的研究领域。 目前蜜罐识别技术的研究尚处于起步阶段，国内外相关的研究成果很少。通 过对现有的一些识别技术的研究，我们发现现有的蜜罐识别技术和工具针对性强、 功能有限，并不能用来检测一些未知的、更高级的蜜罐系统。所以随着计算机系 统、网络系统的飞速发展，蜜罐系统也越来越复杂化，功能更加强大，蜜罐识别技 术需要随之更加快速的发展。 本课题正是在这样的背景下提出来的。我们希望通过对蜜罐技术和l i n u x 系统 的深入研究，剖析蜜罐技术的工作原理，从而能从系统内核的层面上对蜜罐进行较 深层次的识别。抛开单识别的技术路线，将各种识别技术融合在一起，对已知 的、未知的蜜罐系统进行全方位的、系统化的识别。同时由于当今并没有一个组织 或者研究者将各种蜜罐识别技术系统化，所以我们希望搭建出一个基于l i n u x 平台 的专家级蜜罐识别系统，提供一个系统化的识别流程，将各种先进的识别技术融合 在一起，对每种技术的识别结果进行综合分析，使最终的结果更加直接、全面、准 确。 北京邮电大学硕士学位论文 我们希望我们的研究和实践可以为蜜罐识别技术的后续研究，提供一些有价 值的技术准备，从入侵者的角度，用真实的识别技术促进蜜罐技术的发展，使蜜罐 技术在未来的网络安全领域中，充分发挥它的优势，得到更加广泛的重视和应用。 1 2 主要完成的工作 本课题的目标是在对蜜罐技术以及蜜罐识别技术进行深入的研究的同时，设计 和构架蜜罐识别系统，并且在获得了超级用户权限的前提下，实现对已知的、未知 的蜜罐系统进行识别。 在课题的研究过程中，作者首先对l i n u x 操作系统有了深入的认识，包括操作 系统的基本知识、内核机制、进程机制、相关数据结构以及内核源码等等。其次对 现有的蜜罐技术和蜜罐识别技术做了深入研究，在这些理论知识的基础上，设计出 基于l i n u x 平台的蜜罐识别系统，并且实现了后台的识别技术。作者主要的工作包 括： l 、对l i n u x 操作系统作了深入的研究 2 、对现有的蜜罐系统和蜜罐识别技术的研究 3 、首次提出将蜜罐识别技术系统化的概念 4 、设计基于l i n u x 平台的蜜罐识别系统 5 、设计并实现了蜜罐识别子系统 6 、在模拟的环境下，对识别子系统进行了测试 7 、提出了蜜罐识别系统的下一步发展规划 1 3 各章节内容安排 本文详细的阐述了蜜罐识别技术的理论基础、关键技术以及实现方法，同时介 绍了蜜罐识别系统的功能模块、流程以及识别子系统的实现和测试。 这篇论文主要分为3 个部分： 第一部份由第一、二章构成，主要详细介绍了蜜罐技术和蜜罐识别技术的基本 原理。 第二部分由第三章构成，主要从蜜罐使用的关键技术出发，介绍了如何从系统 调用、进程、数据控制、通信连接、模块和文件等六个方面，实现对高级蜜罐系统 的识别。 北京邮电大学硕士学位论文 第三部分由第四、五章构成，提出了蜜罐识别技术系统化的概念，介绍了蜜罐 识别系统的功能模块和流程，详细介绍了识别子系统的实现和系统测试。最后对蜜 罐识别系统作出分析，并对蜜罐识别系统的下一步发展提出了一些建议和看法。 北京邮电大学硕士学位论文 2 1 蜜罐技术 第二章蜜罐及其识别技术的基本原理 众所周知，目前的互联网安全面临着巨大的考验，互联网安全问题成为关注 与研究的重点。h o n e y p o t ，又称蜜罐技术，是近年来兴起的一项全新的从战争欺骗 思想发展而来的网络安全技术，它通过监视和跟踪攻击者的行为，收集攻击者的信 息，以便分析真正网络系统所面临的威胁与脆弱性，进一步学习攻击者的攻击方 式、策略和动机，从而达到主动防御的作用。 2 1 1 蜜罐技术定义 h o n e y p o t ，又称为蜜罐技术，它建立了一个虚拟的环境，上面装有模拟或真实 的操作系统和应用程序，故意留有各种弱点或漏洞，引诱入侵者来攻击，从而监 视、学习并分析攻击行为，进而提高自己系统或网络的安全系数。 蜜网项( t h e h o n e y n e t p r o j e c t ) 的创始人l a n c es p i t z n e r 给出了对蜜罐的权威定 义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 2 1 2 蜜罐技术分类 按照蜜罐实现时，允许操作系统与入侵者交互的复杂程度，蜜罐系统可以划 分为低交互级蜜罐系统、中交互级蜜罐系统和高交互级蜜罐系统。 1 、低交互级蜜罐系统 典型的低交互级蜜罐仪提供一些简单的虚拟服务，例如监听某些特定端口。 此类蜜罐没有向入侵者提供可以远程登录的真实操作系统，因此使用蜜罐系统的风 险最低，但是蜜罐所扮演的角色是非常被动的，就像一个单向连接，只有信息从外 界流向本机，而没有回应信息发出，无法捕捉到复杂协议下的通讯过程。 北京邮电大学硕士学位论文 2 、中交互级蜜罐系统 中交互级蜜罐系统仍然没有提供真实的操作系统与入侵者交互，但是却为入 侵者提供了更多复杂的诱骗进程，模拟了更多更复杂的特定服务。 复杂服务的增加，加大了攻击者发现系统安全漏洞的可能性，同时也增加了 使用蜜罐的风险。但是中交互级蜜罐一般提供完善的日志系统来时刻监控着入侵者 行动，缓解了入侵者攻破蜜罐的威胁。中交互级蜜罐系统为攻击者提供一个更好的 真实系统的幻影，蜜罐学习攻击能力显著增强。 3 、高交互级蜜罐系统 高交互级蜜罐提供给入侵者的是一个真实的支撑操作系统。此类蜜罐复杂度 和甜度大大增加，收集入侵者信息的能力也大大增强。但同时蜜罐也具有高度危 险，入侵者最终目标就是取得r o o t 权限，自由存取目标机上的数据，然后利用已有 资源继续攻击其它机器。 因此，高交互级蜜罐系统部署的代价最高，并需要系统管理员的连续监控。 不可控制的蜜罐对任何组织来说都没有任何安全意义甚至可以成为网络中最大的安 全隐患。所以，必须严格限制蜜罐对本地局域网的访问。但是高代价意味着高受 益，有关入侵者的各种鲜为人知的复杂攻击行为却可以被日志系统收集记录下来， 比如上传并安装新文件等，这些正是高交互蜜罐的主要目标之。 2 1 3 蜜罐技术研究现状 蜜罐技术作为一种新型的网络安全技术，已经得到国外很多研究机构和公司 的重视。目前该领域较大型的研究项目有：致力于部署分布式蜜罐的研究项目 ( d i s t r i b u t e dh o n e y p o tp r o j e c t ) 和致力于蜜网技术的研究组织( h o n e y n e t p r o j e c t ，h o n e y n e t r e s e a r c h a l l i a n c e ) 。下面将对目前的一些蜜罐做个简要的介绍。 b a c k o 伍e e l f r i e n d l y ( b o f ) 是f l a n f r 公司的推出的轻量级的，很简单但很有用 的产品类蜜罐。它是一个运行于w i n d o w 操作系统的应用程序，它主要是模拟一些 基本的服务，比如h t t p ，f t p ，t e l n e t ，m a i l 等，然后对访问请求进行简单的欺骗性 的响应，同时监听这些提供网络服务的端口，并将向这些端口发起的连接写入日 志，b o f 可以用来检测入侵并向用户提供报警。b o f 只能监视有限的几个端口，但 这些端口最容易引起攻击者的兴趣。 北京邮电大学硕士学位论文 s p e c t e r 是与b o f 相似的一个低交互、模拟服务的低交互的产品蜜罐解决方 案。它运行于w i n d o w s 平台，能模拟5 个不同的服务，另外还能模拟9 个不同的操作 系统。s p e c t e r 有自动捕获攻击者活动的能力。所有连接的i p 地址、时间、服务类型 和引擎的状态都记录在远程主机上。它在有些方面的信息收集相对比较被动，比如 w h o i s 和d n s 查询；而在另一些方面则比较积极，比如利用端口扫描的攻击者。 m a n t r a p 是由r e c o u r s e 开发的比较复杂的商业产品，运行于s o l a r i s 操作系统平 台。它不是简单地模拟一些服务，而是在m a u t r a p 主机上创建了称为“牢笼”的四个 子系统，在每个“牢笼”中都运行与主机相同的操作系统，但为了维护欺骗功能会有 一些小小的改动。每个“牢笼”在功能上可以是独立的，也可以与其它的“牢笼”相关 联。可以在这些“牢笼”上安装应用程序、开启各种服务等，这使得它具有更大的灵 活性。对入侵者而言有一个完整的系统可以交互，并有许多应用程序可以攻击，所 有这些活动都被捕获和记录。这样不仅可以检测端口扫描和t e l n e t 登录，还可捕获 r o o t l d t 、应用级攻击、i r c 聊天会话、以及多种其它的威胁。m a n t r a p 可以收集针 对任何己知和未知漏洞的攻击，但它也有局限性，只能在s o l a r i s 系统平台上运行， 而且一旦系统被攻占，可以被入侵者利用来攻击其它的系统。m a n t r a p 可以作为产 品类蜜罐，以减轻工作网络的安全风险，也可作为研究类h o n e y p o t 以学习更多的威 胁。 将若干基于多种平台蜜罐，以及不同的设备，如交换器、路由器等，构成一 个网络，就是一个蜜网( h o n e y n e t ) 。蜜网是高交互的研究蜜罐，和上面介绍的系统 有所不同的是，它不模拟任何系统和服务，它向攻击者提供真实的系统和网络服 务，利用它我们能获取更多关于攻击者，关于网络攻击的信息，同时我们面i 临的风 险也更多。蜜网更象一个真实的网络环境，能够收集针对不同操作系统以及设备的 攻击，是一个最完备的研究工具，但部署比较复杂。 上述面前几种多是模拟型的蜜罐，很容易被经验丰富的入侵者识破，而且由 于交互程度低，攻击者入侵系统后所能做的操作有限，所以能收集和捕捉的信息有 限。但是对于高交互型的蜜罐，入侵者在系统中能拥有较高的操作权限，同时系统 也将承受最大的安全风险，如何避免蜜罐被攻占后可以作为跳板去攻击其它的系统 还没有得到很好的解决。 根据g l o b a li n t e g r i t y 的调查，很多公司和教育机构已经有了成功部署产品类 h o n e y p o t 的经验，收集了大量的内部和外部攻击，而且还发现一些攻击活动，如果 发生在实际的网络系统中，将会导致灾难性的损失。 北京邮电大学硕士学位论文 目前，世界上声势最浩大的h o n e y p m 行动是蜜网计划( h o n e y n e t p r o j e c t ) ， 他们构建蜜网来收集黑帽子团体的信息，学习黑帽子团体所使用的工具、策略和动 机，他们所学到的知识具有普遍性，对网络安全人员有很重要的意义。国内在公开 发表的资料上还未见成型的蜜罐产品。在某些安全产品中也提到了蜜罐，但只是采 用了一些初级的诱骗技术，缺乏对蜜罐的诱骗技术、安全技术、功能的全面研究。 2 1 4 蜜罐技术价值 目前主流的网络信息安全技术有防火墙、入侵检测等，但是防火墙要依赖于 现成的规则库，入侵检测系统需要现在的模式库，通过进行匹配来识别非法连接和 攻击，就是说这两种技术都是被动的手段，都依赖于事先对非法连接、非法访问有 一个清楚的认识，它们对已知的攻击将起到十分重要的作用，但是对于未知攻击， 还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的攻击、非法行 为，防火墙和入侵检测将一筹莫展。 为解决这一问题，蜜罐技术得到迅速发展。蜜罐技术的出现弥补了防火墙 和入侵检测的一些不足，受到了越来越多的重视和关注。它可以迅速检测并捕捉到 已知和未知的攻击，从而对攻击者的入侵行为进行分析和学习，还能够消耗入侵者 的资源，影响入侵者的意志。蜜罐在网络安全领域有着重要的意义。 蜜罐和传统的网络安全技术不是完全没有联系，蜜罐需要防火墙和入侵检测 系统的主要功能，是蜜罐系统不可或缺的功能模块，下面将详细介绍蜜罐的作用和 意义。 l 、简单、实效。将一个不加修饰的系统暴露在入侵者面前，再通过各种手段 收集入侵者的信息，监视他们的活动，就构成了一个简单的蜜罐。 2 、主动防御。传统的防御手段都是被动的防御手段，它们只限于对已知攻击 的响应。而对于各种新攻击，传统的被动防御手段起到的只能是亡羊补牢的作用， 只能在系统遭到破坏或造成了不可挽回的损失后才发现并认识新的攻击，因此主动 权掌握在攻击者手中。蜜罐正好可以改变这种局面，它能够诱惑或欺骗攻击者，让 他们优先攻击蜜罐而不是实际的工作系统。从捕获的数据中能够学习攻击者的工 具、方法和动机，了解他们入侵一个系统后会做什么，这样就能更好地理解面临的 威胁，而且赢得了研究对策的时间。 3 、提高事件检测、响应能力。当一个系统被入侵以后，机器上的数据和它的 网络连接也遭到侵害。对损害的程度进行评估并不是件简单的事，不知道入侵者是 北京郏电大学硬士学位论文 否窃取了用户的口令，是否侵害了其他的系统，是否安装了嗅探器等等，这些需要 一个训练有素的事件响应人员。通过对蜜罐所捕获数据的分析，可以大大提高事件 响应人员的业务水平，从而提高检测、响应、恢复和分析受侵害系统的能力。例 如，通过数据分析提取可疑的网络活动特征，将它存储在一个攻击特征库中，即可 扩充系统的检测范围，使系统能够应对未知的入侵活动。 4 、从法律上讲，蜜罐是主动的吸引入侵者来攻击，所以蜜罐收集到的数据和 信息不能用于入侵取证。但是对于产品型蜜罐，它不是主动的吸引入侵者的攻击， 而是在系统检测到网络攻击以后将攻击重定向到蜜罐中，这些攻击是以真实系统为 目的的，所以这时蜜罐收集到的数据和信息能用予入侵取证。 5 、蜜罐是很好的入侵者追踪环境。一般来说，对入侵的响应有两种选择：一 是切断入侵者与系统或网络的连接并恢复系统；二是继续开放系统，跟踪并收集更 多关于入侵者的信息。对于实际工作网络通常选择第一种，因为继续开放系统将会 面临系统被严重破坏的威胁，因此没有足够的时间去搜索入侵者的更多信息。由于 蜜罐中没有正常的网络访问，发现入侵后，不必断开连接，还可以利用各种网络攻 击诱骗技术迷惑他，让他在系统中长时间地逗留，这样就有充足的时间跟踪他，找 到他发起攻击的最初站点。 2 2 蜜罐识别技术 2 2 1 蜜罐识别技术定义 蜜罐技术是近年来兴起的一项全新的从战争欺骗思想发展而来的网络安全技 术，是一种不同于防火墙、入侵检测系统的主动防御系统。但是蜜罐系统存在着一 些先天和后天的不足，比如一些蜜罐系统是源码开放的，而且仍然在使用，等等， 促使了蜜罐识别( a n t i h o n e y p o t ) 技术的出现和发展。 蜜罐识别技术最根本的目的就是要分辨出一个真实的系统和一个蜜罐系统的区 别。 1 、针对蜜罐的几项主要技术指标，如数据捕获，数据控制，隐藏技术，等 等，研究其漏洞，进行逐项识别。不管蜜罐技术如何发展，这些技术是不会改变 的，也将一直是蜜罐识别技术的重要参考。 北京邮电大学硕士学位论文 2 、除了蜜罐使用的核心技术外，大部分的蜜罐系统都会使用到一些辅助的软 件，来帮助蜜罐系统完成某个部分的功能，比如s e b e k ，h o n e y w a l l 等等，研究这些 软件存在的漏洞，进行识别，当识别出它们的存在了，也可以判断目标系统的真伪 了。 3 、蜜罐是很难识别的，而且当试图探测或者禁止蜜罐时，入侵者的一举一动 都将被蜜罐监视并且记录下来。所以在识别的过程中，还要考虑到如何尽可能的避 免被蜜罐系统跟踪和记录。 4 、蜜罐技术的发展趋势越来越偏向于系统内核，技术更加成熟，与真实系统 的差别越来越小，对蜜罐的识别难度越来越高。所以蜜罐识别技术也同样向着系统 深层内核进军。对操作系统透彻地了解，从系统的角度去看待问题、分析问题、解 决问题，这将是蜜罐识别技术发展的方向。 2 2 2 蜜罐识别技术研究现状 伴随着蜜罐技术的不断发展，蜜罐识别技术也不断前进。在蜜罐技术刚刚出现 时，系统只是通过简单地增加一些专用软件来捕获攻击者的攻击行为。此时，当入 侵者在突破主机后，通常会看到一个完整的计算机系统，一切都是真实的，判断对 方是否会是一个蜜罐系统，主要依靠攻击者的一些自身的经验和素质。比如是否能 够发现一些数据记录软件或是日志文件等。此时的蜜罐识别技术还处于萌芽时期。 随着蜜罐技术的进一步发展，入侵者已经很难通过蜜罐提供的有限的系统交 互，去真正地控制一台计算机，而更多地是采用从外围，通过一些扫描、探测来了 解这是一个怎样的系统。这个时期，主要的识别方法是利用蜜罐实现上的一些漏洞 或缺陷。 l 、扫描 蜜罐一般都是通过模拟某种网络服务来诱骗攻击者发起攻击，并以此来捕获攻 击者攻击操作系统的有关信息。由于网络服务模拟程序由不同的机构来实现，有时 会存在一些特征或漏洞，攻击者可以通过开发专用的软件与其发生交互，从交互信 息中获取这些特征或漏洞，从而发现其为蜜罐系统。 2 、检测日志文件 日志文件是蜜罐系统用来记录用户对计算机进行操作的过程文档。从日志文件 中，我们可以发现许多攻击用户信息。为了加强自身的系统安全，系统管理员会安 北京邮电大学硕士学位论文 装一些安全软件，这样的软件有些具有h o n e y p o t 功能。通过发现相关日志可以推 断出被入侵的计算机是否具有h o n o y p o t 的功能，借此来判断所攻陷的计算机是否 为h o n e y p o t 系统。 3 、堆栈指纹识别 雄栈指纹是不同操作系统对网络协议栈实现的差异而形成的，它被用来实现对 操作系统的探测识别。对于h o n e y p o t 系统来说，不同机构在实现其通信过程中也 存在着差异性，这样就会形成h o n e y p o t 系统指纹。通过收集已知h o n e y p o t 的系统 指纹，就可以对一些已知h o n e y p o t 系统进行指纹识别。 4 、对蜜罐辅助软件的识别 通过检测是否包含有这些专用软件来进一步判断有没有安装蜜罐系统。例如最 常用的数据捕获工具- - s e b e k 。它在系统内核中会对两个系统调用函数进行替换 了，通过这两个替换了的系统调用函数来对数据进行捕获；同时s e b e k 为了不引起 攻击者的怀疑，修改了p r o c n e t d e v 中的输出值，用于掩饰对s e b e k 发送传输包的 统计。通过比较系统中的两个调用函数的地址及网络传输包总数是否被修改就可以 识别是否安装有s c b e k 。 同样的，蜜罐系统常用的虚拟软件- - v m w a r e ，它允许蜜罐在同一时刻在一台 计算机上启动和运行多个操作系统。由于v m w a r e 公司注册的m a c 地址范围都是 以0 0 0 5 6 9 、0 0 。0 c 一2 9 及0 0 。5 0 5 6 开头的，所以通过比较主机的m a c 地址就可以 判断其是否为v m v a r e 。同时v m w a r e 还存在其他漏涸。入侵者可以通过发现主 机上是否安装有v m w a r e ，来进一步推测自己进入的是否为一个蜜罐系统。 从上面可以看到现有的蜜罐识别技术和工具针对性强、功能有限，并不能用来 检测一些未知的、更高级的蜜罐系统。这些现有的识别技术所依赖的是人们在技术 实现上的差异性，当蜜罐技术越来越成熟、差异越来越不明显，这种检测也就渐渐 地失去了它的效力。 随着蜜罐系统不断完善，对蜜罐进行较深层次的检测渐渐地成为蜜罐识别技术 发展的趋势。过去只从外层进行识别的成功可能性越来越小。发展中的识别技术越 来越要求开发者对操作系统透彻地了解，能够从系统的角度去看待和考虑问题。通 过对操作系统中进程、通信、文件设备之间千丝万缕的联系来作出判断，从而能够 对那些未知的、高交互级的蜜罐系统进行有效的识别，这正是本课题研究的主要内 容。 o 北京邮电大学硕士学位论文 2 2 3 蜜罐识别技术价值 随着蜜罐技术越来越受到人们的重视，更多的研究团体参与到这项全新的网络 安全技术的研究和实现中来，同时也促成了蜜罐识别技术的出现和发展。 蜜罐的目的是为了引诱攻击者入侵记录并学习攻击者的攻击工具、手段、动 机、目的等行为信息，尤其是未知攻击行为信息，从而调整网络安全策略，提高系 统安全性能。同时蜜罐还具有转移攻击者注意力，消耗其攻击资源、意志，间接保 护真实目标系统的作用。 但是如果入侵者能够识别出蜜罐系统的存在，他们就可以绕过蜜罐系统，或者 有更新的技术绕过蜜罐的探测，继续自己的攻击行为。这一点就减弱了h o n c y p o t 系 统的价值，因为它探测不到任何新的技术，也收集不到任何有用的信息。 更重要的是，如果入侵者能够识别* , h o n c y p o t 系统的存在，那么他们就可以 攻击h o n c y p o t 系统。h o n e y p o t 系统往往被配置在一个独立的l a n q b ，同时与一个可 疑的网络相连。那么如果入侵者控制7 h o n e y p o t 系统，他们就可以利用蜜罐系统， 进行内部攻击。或者，利用h o n e y p o t 系统作为跳板，攻击网络中的另一个系统，或 者，利用h o n c y p o t 系统收集其他攻击者的信息，等等。 总之，蜜罐识别技术是蜜罐技术发展的产物，但同时，蜜罐识别技术的发展对 蜜罐技术的发展有着重大的影响。当一种蜜罐技术被识别出来时，它便减弱或者失 去了它的功效，揭露出这种蜜罐系统存在的漏洞，和系统的不成熟，需要继续推动 h o n c y p o t 技术的发展，来弥补这个漏洞。蜜罐技术和蜜罐识别技术之间是一个博弈 问题，将会在相互竞争中共同发展。 北京邮电大学硕士学位论文 第三章蜜罐识别技术的研究 3 1 蜜罐关键技术的研究 蜜罐系统为了实现其引诱、监视、学习并分析攻击行为的目的，采用了一些特 有的技术。通过对各种蜜罐系统的分析研究，可以把h o n e y p o t 系统中采用的主要 技术归纳为一下几种。 i 、欺骗技术 为了使蜜罐对入侵者更具有吸引力，就要采用各种欺骗手段。网络防御中的 欺骗技术是根据网络系统中存在的安全弱点，采用适当技术，模拟虚假的服务或漏 洞，并设置虚假的或不重要的信息资源，使入侵者相信网络系统存在可利用的安全 弱点，并具有可攻击窃取的资源，从而将入侵者引向这些资源。因此，防御方既能 影响攻击者选择攻击目标，又能迅速检测到入侵者的进攻并获知其进攻技术和意 图，还可消耗入侵者的资源，增加入侵者的工作量、入侵复杂度以及不确定性。常 用的网络欺骗手段主要有：模拟各种协议栈指纹、模拟不同的服务和漏洞以及d 地址空间欺骗等。通过这些办法，使蜜罐主机更象一个真实的工作系统，诱使入侵 者上当。 2 、入侵检测技术 入侵检测系统( s ) 是建立安全网络环境的必备工具，它可以检测可疑信息包 和己知攻击。在h o n e y p o t 系统中，同样需要入侵检测系统。尽管它简化了入侵检测 机制，所有迸出h o n e y p o t 的流量都可以怀疑是攻击行为，但若没有入侵检测系统 的帮助，就不能在第一时间确定攻击类型和可能的危害。因此需要基于特征的入侵 检测机制，一旦检测到己知的攻击，就能触发响应系统做出某种响应。 3 、响应技术 一旦h o n c y p o t 系统受到攻击，应根据具体情况及时做出响应。响应方式有以 下几种： 北京邮电大学硕士学位论文 告警：为了使管理员能够实时监视和跟踪网络中的入侵行为，系统中应设置 实时告警程序，当入侵行为发生时，它会根据所发生的网络安全事件，在用户自定 义的安全策略下以不同的事件等级及时、准确地产生控制台报警。 e m a i l ：提供了入侵警报实时通知功能，它可以自动向指定的邮箱中发送电子 邮件来报警，保证管理员能够及时发觉网络中的异常行为。 切断连接：根据安全策略的定义对攻击行为和违规行为进行会话终止响应， 制止攻击事件的延续。自动启动管理员定制的脚本或程序，主动收集攻击者的信息 或者实施反击。 4 、数据控制技术 h o n e y p o t 系统是专门用于被入侵的系统，它可能被攻击者彻底控制，防御方 不预知入侵者要干什么，可能会通过h o n e y p 0 6 ，壳 问工作网络，也可能利用这个被攻 占的系统对网络外部的其它系统发起另一次攻击，如拒绝服务攻击等。这是绝对不 允许的，因此必须在不被入侵者怀疑的基础上控制系统的数据流量。攻击者入侵一 个系统后，最需要的是网络连接，以便从网上下载工具包、建立i r c 连接等，这正 是h o n e y p o t 系统要分析的内容，因此必须赋予他这些权限。若不允许任何发往 i n t e r n e t 的包，入侵者会怀疑系统是h o n e y p o t ，使他不敢再作逗留，擦掉所有踪迹 溜之大吉。 可通过包过滤防火墙从以下几个方面控制从h o n e y p o t 到h e m e t 的连接： 给定时间段内只允许指定数量的数据包流出 限制指定时间段内s y n 数据包的数量 限制并行的t c p 连接 随机丢弃一个数据包 上述方法既允许入侵者连接i n t e m e t ，同时又使入侵者很难利用h o n e y p o t 系统 发起攻击。 5 、数据捕获技术 h o n e y p o t 的主要目的之一就是要在不被入侵者发现的情况下，捕获尽可能多 的信息，包括输入、输出信息包、键击和屏幕捕获，以便从中分析入侵者所使用的 工具、策略和动机。这可能要对系统进行一些修改，但要尽可能少，以免被入侵者 发觉。捕获的数据不能放在蜜罐主机上，否则容易被入侵者发现，让入侵者知道该 系统是一个蜜罐，这时入侵者会销毁证据。因此要把数据记录在远程安全的主机 e 。 北京邮电太学硕士学位论文 6 、数据分析技术 i - i o n e y p m n 收集信息的点很多，每个点收集的信息格式也不相同，依次打 开各个文件查看日志内容非常不便，而且也不能将它们进行有效的关联。因此应该 有一个统一的数据分析模块，在同一控制台对收集的所有信息进行分析、综合和关 联，这样有助于更好地分析攻击者的入侵过程及其在系统中的活动。 3 2 相关l i n u x 技术的研究 3 2 1l i n t t x 内核模块 l 、l i n u x 内核 l i n u x 操作系统是u n i x 操作系统家族中的一员，其独特的开放性和自由性赢得 了许多用户的青睐。l i n u x 内核源代码完全开放，任何用户都可以阅读并根据自己 的需要改变它，这对于那些渴望深入了解操作系统底层设计和实现的人来说无疑是 个好消息。 l i n u x 操作系统的内核是单一体系结构( m o n o l i t h i ck e r n e l ) ，也就是说，整 个内核是一个单独的非常大的程序。与单一体系结构相对的是微内核体系结构 ( m i c r o k e m e i ) ，比女n w i n d o w s n t 采用的就是微内核体系结构。微内核体系的结 构特点是操作系统的核心部分是一个很小的内核，实现一些最基本的服务，如创建 和删除进程、内存管理、中断管理等等，而文件系统、网络协议等其他部分都在微 内核外的用户空间里运行。这两种体系的内核各有优缺点。只用微内核的操作系统 具有很好的可扩展性而j i 内核非常的小，但这样的操作系统由丁二不同层次之间的消 息传递要花费一定的代价所以效率比较低。对单一体系结构的操作系统来说，所有 的模块都集成在一起，系统的速度和性能都很好，但是可扩展性和维护性就相对比 较差。为了弥补单一体系结构的这种缺陷，l i n u x 操作系统使用了一种全新的机制 一模块：用户可以根据需要，在不需要对内核重新编译的情况下，模块能动态地载 入内核或从内核移出。 2 、l k m 技术 模块机制的完整叫法应该是动态可加载内核模块( l o a d a b l ek e r n e l 北京邮电大学硕士学位论文 m o d u l e ，l k m ) ，一般简称模块。 模块( m o d u l e ) 是在内核空间运行地程序，实际上是一种目标对象文件，没有 链接，不能独立运行，但是其代码可以在运行时链接到系统中作为内核的一部分运 行或从内核中取下，从而可以动态扩充内核的功能。这种目标代码通常由一组函数 和数据结构组成，用来实现一种文件系统、一个驱动程序或其他内核上层的功能。 l k m 是动态扩充内核功能的一项技术。它使得l i n u x 操作系统内核在运行状态 就能对功能进行扩充。编写完一个i k m 程序，用编译器将其编译为目标文件，然 后就可以根据需要动态加载，在不需要其所提供的功能时卸载它。在l k m 程序编 写和编译的过程中无须对内核进行重新编译。 l k m 程序是作为内核的一部分动态加载到操作系统内核上的，因此，它的源文 件不像普通c 语言程序那样有m a i n 函数。因为整个操作系统的内核是作为一个 m a i n 函数运行的，所以在l 日崛序中不能有m a i n 函数。典型的l k m 程序主要由两 个基本的函数组成： i n ti n i tm o d u l e ( v o i d ) 8 用于初始化所有的数据8 v o i dc l e a n u p 产用于清除数据从而能有一个安全的退出8module(void) 加载一个模块( 常常只限于r o o t 能够使用) 的命令是： 捍i n s m o dm o d u l e o 这个命令让系统进行了如下工作：加载可执行的目标文件，调用 c r e a t em o d u l e 这个系统调用来分配内存。不能解决的引用由系统调用 g e t 进行查找引用。在此之后系统调用将会被调用用来初始化_ k e m e l _ s y s h i l tm o d u l e l k m 、执行h a ti n t im o d u l e ( v o i d ) 等等。 i ，k m 程序是针对单一大内核结构的操作系统的扩充内核功能的一种手段，它 在l i n u x 操作系统中的应用越来越广。l k m 程序主要用在设备驱动程序的编写上， 也可以用来实现某些特殊的内核功能。l 砌耀序的优点在于能够动态加载、卸载， 实现非常方便。在被课题中，l k m 技术作出了很大的贡献。 3 2 2l i n u x 进程 进程在操作系统中执行特定的任务。从内核的观点来看，一个进程只是进程表 中的一个条目而已。l i n u x 内核利用一个数据结构( t a s k _ _ s t r u c t ) 代表一个进程，是定 义在i n c l u d e l i n u x s c h e d h 中的非常大的数据结构。在t a s k s t r u c t 中保留着从低层 到高层的信息，范围从某些硬件寄存器的拷贝到进程工作目录的i n o d e 信息。代表 北京邮电大学硕士学位论文 进程的数据结构指针形成了一个t a s k 数组，这种指针数组有时也称为指针向量。 这个数组的大小由n r _ t a s k s ( 默认为5 1 2 ) ，表明l i n u x 系统中最多能同时运行的 进程数目。当建立新进