（计算机应用技术专业论文）基于Honeynet体系的诱骗网络管理系统研究.pdf

南京邮电学院硕士学位论文 摘要 传统的信息安全是单纯的防御。防火墙、入侵检测系统、加密等 技术用于防御式的保护某些资源。这种策略是尽力保护某组织的安 全，检测防护措施的任何失败并作出响应。这种方法的问题在于，它 是被动防御而攻击者是主动的。诱骗网络技术将试图改变这种局面。 诱骗网络的主要目的是收集网络现有威胁的信息，从而发现新的攻击 工具、攻击模式，并研究攻击者的动机。这些信息可用于更好的了解 和防御来自网络内部和外部的攻击。 本文首先介绍了诱骗网络技术的原理，探讨了诱骗网络的网络结 构和几种实现方法；然后基于第二代诱骗网络，分析其中各部分功能 和集中管理控制的可行性，给出了诱骗网络管理控制系统的设计方 案；并在l i n u x 环境下实现了该管理控制系统m a g i c n e t ，以及对该系 统进行了实验测试；最后探讨了诱骗网络的管理维护乖基本的数据分 析。 堕塞墅皇兰堕堡主兰堡堡壅 a b s t r a c t t r a d i t i o n a l l y , i n f o r m a t i o ns e c u r i t y h a sb e e n p u r e l y d e f e n s i v e f i r e w a l l s ，i n t r u s i o nd e t e c t i o ns y s t e m s ，a n de n c r y p t i o n ，a l lo ft h e s e m e c h a n i s m sa r eu s e dd e f e n s i v e l yt op r o t e c to n e sr e s o u r c e s t h eg o a li st o d e f e n do n e so r g a n i z a t i o na sb e s ta sp o s s i b l e ，d e t e c ta n yf a i l u r e si nt h e d e f e n s e ，a n dt h e nr e a c tt ot h o s ef a i l u r e s t h ep r o b l e mw i t ht h i sa p p r o a c h i st h a ti ti sp u r e l yd e f e n s i v ew h i l et h ee n e m yh a st h ei n i t i a t i v e h o n e y p o t a t t e m p t st oc h a n g et h a ts i t u a t i o nt h ep r i m a r yp u r p o s eo fah o n e y n e ti s t o g a t h e ri n f o r m a t i o na b o u tt h r e a t st h a te x i s t n e wt o o l sc a nb e d i s c o v e r e d ，a t t a c kp a t t e r n sc a nb ed e t e r m i n e d ，a n da t t a c k e r sm o t i v e s s t u d i e d t h i si n f o r m a t i o nc a nt h e nb eu s e dt ob e t t e ru n d e r s t a n da n d p r o t e c ta g a i n s tt h r e a t s ，b o t hi n t e r n a la n de x t e r n a l i nt h i st h e s i s ，w ei n t r o d u c ef i r s tt h e p r i n c i p l eo fh o n e y p o ta n d d i s c u s ss o m et o p o l o g y a n d i m p l e m e n t a t i o no fh o n e y n e t t h e n ，w e a n a l y z et h ef u n c t i o n so fe v e r yp a r t sa n dt h ef e a s i a b i l i t yo fc e n t r a l l y m a n a g e m e n t & c o n t r o li nt r a p 。n e t w o r kb a s e do ng e ni i h o n e y n e t a n d p r e s e n tad e s i g no ft h i sc e n t r a l l ym a n a g e m e n t & c o n t r o ls y s t e m a i s o w e r e a l i s et h e i m p l e m e n t a t i o no ft h em a n a g e m e n t & c o n t r o l s y s t e m m a g i c n e ti nt h el i n u xe n v i r o n m e n t ，a n dm a k e s o m et e s t s a b o u tt h e s y s t e m - f i n a l l y ，w ed i s c u s st h em a n a g e m e n t ，t h em a i n t a i n a n c ea n dt h e d a t a a n a l y s i so fh o n e y n e t 南京邮电学院 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向：计算机通信与网间互连技术 作 者：塑级研究生 戴云平 指导教师扬鏖 题目：基于h o n e y n e t 体系的诱骗网络管理系统研究 英文题目：t h er e s e a r c ho nm a n a g e m e n ts y s t e mo ft r a pn e t w o r k b a s e do nh o n e y n e t 主题词： 网络安全诱骗网络h o n e y n e th o n e y p o t 管理数据分析 k e y w o r d s ： n e t w o r k s e c u r i t yt r 印n e t w o r kh o n e y n e t h o n e y p o tm a n a g e m e n t d a t aa n a l y s i s 基金项目：江苏省自然科学基金项目“基于诱骗技术 的主动式网络安全新技术研究” ( b k 2 0 0 31 0 6 ) 南京邮电学院学位论文独创性声明 y7 6 5 2 0 6 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：日期： 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名： 日期： 南京邮电学院顾士学位论文 引言 传统的信息安全是单纯的防御。防火墙、入侵检测系统、加密等技术用于防 御式的保护某些资源。这种策略是尽力保护某组织的安全，检测防护措施的任何 失败并作出响应。这种方法的问题在于它是被动防御，而攻击者是主动的。诱骗 网络技术将试图改变这种局面。诱骗网络的主要目的是收集网络现有威胁的信 息，从而发现新的攻击工具：攻击模式，并研究攻击者的动机。这些信息可用于 更好的了解和防御来自网络内外的攻击。 h o n e y p o ti l 。3 j 是一种专门设计的被扫描、攻击和入侵的网络资源。它的主要 目的是分散攻击者的注意力、获取攻击和攻击者的信息。h o n e y p o t 不能直接地 提高网络的安全性能，但它能够吸引黑客的注意力，消耗黑客的时间和资源，同 时通过对黑客行为信息的捕获和分析，能够发现网络中潜在的安全漏洞和威胁， 使网络管理者能够在可能的攻击发生前修补安全漏洞，避免攻击。从而提高应用 网络的安全性。 本论文对诱骗网络技术进行了较深入的研究。首先介绍了诱骗网络技术的原 理，探讨了诱骗网络的网络结构和各种实现方法；然后基于第二代诱骗网络，分 析其中各部分功能和集中管理控制的可行性，给出了诱骗网络管理控制系统的设 计方案，并在l i n u x 环境下实现了该管理控制系统- - m a g i c n e t ，然后对该系统进 行了实验测试。最后对诱骗网络的管理维护和基本数据分析进行了讨论。 南京邮电学院硕士学位论文 第一章h o n e y p o t 技术概述 随着全球信息化的加速，计算机网络得到了飞速发展，网络通信和交流逐渐 取代了传统的通信和交流方式而成为人与人之间联系的主要方式。与此同时，网 络安全成为计算机网络中一个至关重要的问题。越来越突出地摆在了人们面前。 目前，普遍使用的网络安全技术是防火墙技术( f i r e w a l l ) 和入侵检测技术 ( i d s ) 。由于性能的限制，防火墙通常不能提供实时的入侵检测功能，而且在局 域网特别是企业网中，有相当大的安全威胁来自内部网络，入侵者就在防火墙内， 对此防火墙就无能为力了。入侵检测系统大多依靠已有的特征数据库进行工作。 由于应用网络合法的业务流量很容易与特征数据库相吻合，从而经常触发错误的 警报，而且对于新的或未知的攻击，入侵检测系统是无法检测的。 诱骗网络技术也即h o n e y p o t 技术【“3 】一定程度上弥补了上述缺陷。诱骗网络 技术具有实时监视功能，减少了虚假的警报可能性，并且通过对攻击者行为的观 察和信息的收集，可以预测可能的攻击，能够在应用系统遭受可能的攻击前阻止 它。 诱骗网络技术泛指各种具有诱骗和陷阱性质的网络安全技术。在本文中，对 诱骗网络的讨论集中于对h o n e y n e t 系统的讨论。h o n e y n e t 是h o n e y p o t 的一种 类型，是高交互h o n e y p o t ，属于h o n e y p o t 技术的范畴。h o n e y p o t 也特指诱骗网 络中的某个具体牺牲系统。本文在叙述过程中对“诱骗网络”和“h o n e y n e t ”不 作严格区分，两者都表示诱骗网络。 本章首先对h o n e y p o t 技术进行简要的介绍，然后介绍h o n e y p o t 的特点和交 互性，最后对h o n e y p o t 和h o n e y n e t 进行了比较。 1 1h o n e y p o t 概述 由于缺乏一个统一而明确的定义，安全社团对h o n e y p o t 的接受相当缓慢。 这也导致对h o n e y p o t 概念的错误理解和混淆。有入认为h o n e y p o t 是一种欺骗工 具，有人认为它是一种引诱黑客的武器，也有人认为它只是另外一种入侵检测工 具。有人认为h o n e y p o t 应该模拟系统漏洞，有人觉得它仅仅是一个牢笼，也有 人把它看作是一种受控的产品系统可以供黑客入侵。这些不同观点导致了对于 h o n e y p o t 是什么以及由此而来的对于它的价值的错误理解。 根据h o n e y n e tp r o j e e t 4 1 和l a n c es p i t z n c r 1 1 给出的定义： 2 南京邮电学院硕士学位论文 h o n e y p o t 是一种安全资源，它的价值在于被探测、攻击甚至侵入。 这意味着任何时候我们设计一个h o n e y p o t ，我们的目的和期望就是它会被 探测、攻击甚至侵入。这种资源是什么并不重要，重要的是这种资源的价值在于 被攻击。如果它从不被探测或攻击，那么它就没有任何价值。这与大多数的应用 系统正好相反，因为我们不希望它们被探测或攻击。 由定义可以看出，h o n e y p o t 与多数安全工具的区别在于它可以有不同的外 在形式。现在我们所用的多数安全技术都是为解决某一特定问题而设计的。 h o n e y p o t 与它们的不同在于它不局限于解决某一种特定的问题。相反，h o n e y p o t 是一种高度灵活的工具，可以被用于多种不同的环境中。这就是为什么h o n e y p o t 的定义乍看起来有些含糊不清，因为它能以多种不同的形式来实现不同的目标。 例如，h o n e y p o t 可以用来阻止攻击，实现防火墙的功能；也可以用来检测攻击， 实现与入侵检测系统相同的功能。它还可以用来捕获和分析自动攻击，比如蠕虫， 或者作为预警和告警装置，或者用来研究黑客的组织的行为，捕获黑客的击键和 会话信息- h o n e y p o t 的用途取决于如何使用它和想达到什么目的。然而，h o n e y p o t 的所有形式都有一个共同点：它们的价值在于被探测、攻击或侵入。 正如h o n e y p o t 的定义是最基本的，它的工作机胄4 也很简单。h o n e y p o t 是一 种安全资源，它没有生产价值，任何人和任何资源都不应该与它有信息交流。因 此，任何与h o n e y p o t 有关的行为本质上都是可疑的。任何指向h o n e y p o t 的数据 流都很可能是一次探测、扫描或攻击。任何由h o n e y p o t 发起的数据流都意味着 系统很可能已经被侵入，并且黑客正在向外发起连接。c 1 i f fs t o l l 在 t h e c u c k o o se g g ) ) 【5 i 中对这个概念进行了讨论。当分析一个被入侵的系统时，他 采用如下的方法：收集原始数据，从中剔除预期的，剩下的便是最有价值的数据。 对一个h o n e y p o t 来说，没有数据是我们所预期的。这就使得h o n e y p o t 具有独特 的优点和不足，在下一节我们将对其进行讨论。 1 2h o n e y p o t 的特点 1 2 1l - i o n e y p o t 的优点 h o n e y p o t 技术有如下几个独特的优点： 1 数据价值 获取h o n e y p o t 数据的价值是安全社团面临的挑战之一。企业组织每天收集 南京邮电学院硕士学位论文 大量的数据，包括防火墙日志，系统日志和入侵警报。这样大量的信息会让人难 以承受，从这些数据中获得有价值的信息将会非常困难。与之相反，h o n e y p o t 收集非常少量的数据，但是它收集的数据通常具有很高的价值。h o n e y p o t 没有 任何预期的网络行为，这一特征极大地降低了干扰数据量。多数h o n e y p o t 每天 只收集几兆数据，而不是记录好几吉字节的数据。h o n e y p o t 记录的任何数据都 很可能是一次扫描、探测或攻击，都具有极高的价值 1 3 】。 h o n e y p o t 能够以快速易读的方式提供所需要的准确信息，这使得进行数据 分析更加容易，对攻击作出反应的时间更短。例如，h o n e y n c tp r o j e c t 平均每天 收集的数据不超过1 m b 。尽管这只是非常少量的数据，但它却包含了主要的恶 意行为的信息。这些数据可以用来制作统计模型，进行趋势分析，检测攻击，甚 至对攻击者进行研究。这就如同显微镜的效果，所有捕获的数据都被放在显微镜 下详细审查。 2 资源 资源限制，甚至资源耗尽是多数安全机制面临的另一个挑战。资源耗尽是指 一种安全资源由于大量资源被占用，不能继续发挥其功能。例如，当防火墙的连 接表被占满时它将不能工作，因为它的资源被耗尽，不能继续对连接进行监控。 这将使防火墙阻塞所有的连接而不仅仅是阻塞非授权行为。入侵检测系统可能需 要监测太多的网络行为，可能每秒成百上千兆字节的数据。当出现这种情况时， i d s 嗅探器的缓冲区被占满，它将会丢弃接收到的所有数据包。它的资源被耗尽， 不能继续有效地监视网络行为，因此可能会漏掉对攻击的检测。另外一个例子是 中央日志服务器，它可能不能收集所有远端系统的事件信息，可能会丢弃或者未 能记录关键的事件信息。 因为h o n e y p o t 只捕获和监视少量的行为，它不会有资源耗尽的危险。作为 对比，大多数i d s 嗅探器都难以监视吉比特速率的网络。网络速度和数据流量 太大，以致于嗅探器不可能分析每个数据包。结果数据包被丢弃，攻击也可能没 被检测到。而在同一个网络中布置的h o n e y p o t 就不会有这样的缺陷。h o n e y p o t 仅仅捕获指向它自己的数据流量，因此系统不会数据流量太大而不能承受。当 i d s 因为数据流量太大而不能正常工作时，h o n e y p o t 却很可能没有任何问题。 h o n c y p o t 只需要有限的资源的另外一个好处是不需要对h o n e y p o t 的硬件作太大 南京邮电学院硬士学往论文 的投资。h o n e y p o t 不像很多安全机制比如防火墙或者i d s ，它不需要最新的强有 力的技术，大量的内存或高速的芯片，或者大容量的磁盘。可以用企业里废弃的 计算机。或者不再使用的微型电脑。这意味着h o n e y p o t 不仅可以安装在吉比特 的网络环境中，而且可以通过一台相当便宜的计算机来实现。 3 简单性 h o n e y p o t 最大的优点是简单。它不需要设计特别的算法，也不用维护特征 数据库，更不会错误地配置规则库。我们要做的仅仅是将h o n e y p o t 放置在企业 组织的某个地方，然后等待将要发生的事。尽管有些h o n e y p o t ，尤其是研究型 h o n e y p o t ”，会比较复杂，但它们都在同样简单的前提下工作，那就是如果有人 连接到h o n e y p o t ，那么就要对其进行查看。正如资深安全专家所说，概念越简 单，它就越可靠。因为复杂的概念会带来错误的配置、系统的崩溃或不能正常工 作。 4 对投资的回报 防火墙成功的将攻击者拒之门外，却反而会成为它自己的受害者。管理者会 怀疑他们的投资是否得到了应有的回报。因为他们觉得不再有危险：“三年前我 们投资安装了一个防火墙，但我们从没被攻击过。既然从不会遭受攻击，我们还 要防火墙做什么昵? ”事实上，他们从未遭受攻击的原因是防火墙帮助减少了这 种危险。对其他安全技术的投资，如增强的安全认证、加密、基于系统的防护等， 同样会有这样的问题。这些都是昂贵的投资，消耗了企业组织的时间、金钱和资 源，但是可能因为它们的成功而使自己成为受害者。 相反，h o n e y p o t 可以迅速而且反复始证明自己的价值。任何时候它被攻击， 人们都能够知道攻击者就在那里。通过捕获未授权行为，h o n e y p o t 不仅可以向 管理者证明自己是否有价值也能证明对其它安全资源的投资是否值得。当管理 者以为没有危险时，h o n e y p o t 能够有效地向他们证明确实存在很多危险。 l 。2 2h o n e y p o t 的缺点 虽然h o n c y p o t 有上述优点，但并不能认为它是最终的安全解决方案。 h o n c y p o t 有几个缺点，正是这些缺点使得h o n e y p o t 无法取代现有的任何安全机 制，它只是对现有安全体系的补充和增强。 1 视野狭窄 南京邮电学院硕士学位论文 h o n e y p o t 最大的缺点是它的视野狭小：它只能看到那些指向它的流量。如 果一令攻击者侵入某个网络并且攻击了几个系统，其中的h o n e y p o t 将不会察觉 到这些行为除非它被直接攻击。如果黑客识别出h o n e y p o t ，那么他可以避开这 个系统，在h o n e y p o t 毫不察觉的情况下渗x n 企业组织中。前面提及h o n e y p o t 对收集的数据有显微镜效果，使我们可以将注意力集中在有价值的数据上。然而， 就象显微镜一样，h o n e y p o t 非常狭窄的视野使得它无法察觉到周围发生的事情。 2 摧纹识别 h o n e y p o t 的另外一个缺点是指纹识别 6 1 。指纹识别是指攻击者可以根据 h o n e y p o t 特有的特征和行为来识别其真实身份。例如，可以用h o n e y p o t 模拟 个w e b 服务器。当攻击者连接到这种类型的h o n e y p o t 时，w e b 服务器用标准 h t m l 发送一个普通错误信息来应答。这是我们所期望的任何一个w e b 服务器 的正常应答。然而，h o n e y p o t 出现了一个错误，错拼了一个h t m l 命令，比如 将单词“l e n g t h ”拼成“l e g n h t ”。这个拼写错误就成了h o n e y p o t 的指纹，因为任何 攻击者都可以迅速地根据这个在w e b 服务模拟中的错误来识别h o n e y p o t 的真实 身份。一个没有正确配置的h o n e y p o t 也会暴露自己。例如，h o n e y p o t 可能被设 计来模拟一个n ti i sw e b 服务器，但是它却包含某些u n i xs o l a r i s 服务器的特征。 这种矛盾的身份就是h o n e y p o t 的标志。还有一些其他的方法可以用来对 h o n e y p o t 进行指纹识别，具体见文献【6 1 。 如果攻击者识别出一个组织在它的内部网中使用h o n e y p o t ，他可以冒充其 他应用系统的身份来攻击h o n e y p o t 。h o n e y p o t 会检测到这种欺骗攻击，并且错 误地通知管理员，一个应用系统正在攻击它，使得组织做一些徒劳的工作，而与 此同时，攻击者在这神混乱中集中进行真正的攻击。 对于研究型h o n e y p o t 来说指纹识别是一个更大的威胁。一个设计为获取黑 客信息的系统如果被检测到，会被毁坏。攻击者会为研究型h o n e y p o t 提供错误 的信息作为逃避检测的对策。这些错误的信息会误导安全社团对黑客社团作出错 误的结论。 这并不是说所有的h o n e y p o t 都必须避免被检测。某些组织可能想要吓跑或 者迷惑攻击者。一旦h o n e y p o t 遭到攻击，它会表明自己的身份告诫攻击者离开， 企图吓走攻击者。然而，在大多数情况下，企业组织不希望h o n e y p o t 被检测到 6 南京邮电学院硕士学位论文 u , 7 i 。 1 3h o n e y p o t 的交互性 1 3 1 低交互h o n e y p o t 低交互的h o n e y p o t 通常只提供某些特定的模拟服务。在一种基本的形式 中，这些服务能够通过监听一个特定的端口实现。例如一个简单的n e t c a t 命令 就可以监听h t t p 8 0 端口，并且将所有进入的网络流量记录到日志文件。 n e t c a t 一1 一p8 0 l o g h o n e y p o t p o r t _ 8 0 1 0 9 这样，所有进入的网络流量能够很容易地被识别并予以保存。这种简单的方 法不可能捕获复杂的协议间的通信。一个外界发起的s m t p 握手连接不会提供多 少有用的信息，因为没有内部的服务对它进行应答。 在低交互h o n e y p o t 中没有真实的操作系统让攻击者操作，这很大程度地减 小了h o n e y p o t 的风险。而另一方面，这也是它的一个弊端。它不能观察攻击者 与操作系统的交互，而这也许才是真正有价值的。低交互h o n e y p o t 就像一个单 向的对话，我们只是听，但是不提问题。这种方式是十分被动的【1 ，8 ，9 1 。 1 3 2 中交互h o n e y p o t 中交互的h o n e y p o t 提供更多的交互，但是仍然没有真正的底层操作系统， 开发者对模拟的特定服务具有更深刻的了解和更丰富的知识，h o n e y p o t 的风险 也相应地增加了。由于h o n e y p o t 的复杂性提高，攻击者发现安全漏洞和弱点的 可能性也相应增加。 通过更高级的交互，h o n e y p o t 有可能遭到更复杂的攻击也就有可能记录 和分析更复杂的攻击。攻击者面临的是一个更真实的操作系统环境。他与之进行 交互并扫描的可能性更大。 丌发中交互的h o n e y p o t 是十分复杂和耗费时间的。由于具有更高的交互性， h o n e y p o t 必须以种更安全的方式进行配置，所有模拟的服务必须尽可能的安 全。而且开发者必须有非常高深的知识，对所有的铸议和服务都必须了解得非常 透彻。 1 3 3 高交互h o n e y p o t 高交互的h o n c y p o t 有一个真实的底层操作系统。它可以提供大量关于攻击 7 堕室墅皇兰堕堕圭兰堡笙奎 者的信息。通过它可以发现新的攻击工具，识别操作系统和应用程序中新的安全 漏洞和弱点，甚至获得黑客间相互交流的信息。 多数高交互h o n e y p o t 放置于一个受控的环境中，例如在一个防火墙后面， 防火墙允许黑客攻击其中的h o n e y p o t ，但是不允许黑客用它来发起新的攻击。 这种结构难于布署和维护，因为必须不让黑客觉察到正在被监视a 高交互h o n e y p o t 的维护非常困难和耗时。必须经常更新防火墙规则和i d s 特征数据库，昼夜不停地对它进行监视。伴随着高复杂性的是很高的风险。任何 一个失误，都可能导致攻击者获得对整个操作系统的控制，用它来攻击其它系统 或者截取应用系统的信息。但是，如果能够恰当维护，高交互h o n e y p o t 能使我 们了解到其它h o n e y p o t 所不能了解到的黑客的信息 9 】。 1 3 4 交互性比较 三种交互级别的h o n e y p o t 各有其优缺点。图卜l 对它们的特点进行了比较。 选择最低交互级剐的h o n e y p o t ，相应的危险性就最低。h o n e y p o t 的维护也是选 择交互级别的一个考虑因素1 1 1 。 鳓i 低中 向 操作系境 风险低印高 信息搜集只对连接只对语粜所有的 远缸知识低 低向 一 歼靛姗识低局中、高 雏护时同低 低非幕商 图卜1h o n e y p o t 的交互性比较 1 4 h o n e y p o t 与h o n e y n e t 的联系和区别 h o n e y n e t 1 , 2 1 是一种h o n e y p o t ，尤指提供真实系统给黑客交互的高交互 h o n e y p o t 。h o n e y p o t 广义上指与诱骗网络技术同义的带有各种诱骗和陷阱性质 的网络安全技术，狭义上指用于遭受攻击的系统。h o n e y p o t 是一个系统，它的 价值在于被探测、攻击或攻陷一般希望攻击者与h o n e y p o t 进行交互。有许多 不同种类的h o n e y p o t ，具有各种不同用途和价值u , g l 。h o n e y n e t 设计具有的两个 独特功能是i l 眠 h o n e y n e t 不是个单独的系统而是一个网络。该网络位于一个防火墙之后， g 南京邮电学院硕士学位论文 在这里，所有的进出数据都会被容纳、捕获和控制。然后所捕获的信息会被 加以分析，以便获取关于敌方的一些情报。在h o n e y n e t 内部，可以放置任 何类型的系统来充当h o n e y p o t ，如s o l a r i s 、l i n u x 、w i n d o w sn t 、c i s c o 交换机等等。这样，就为入侵者创造了一个更具有真实“感觉”的网络环境。 同样，通过对不同的系统配置不同的服务，例如l i n u xd n s 、w i n d o w sn t 网 站服务器或者s o l a r i sf r p 服务器，就可以了解不同的工具和战术。可能具 有特定技术或者动机的某些攻击者会定位于一些特定的系统或者薄弱环节。 拥有了各种系统，就更有可能发现这些差别。 所有置于h o n e y n e t 内的系统都是标准的应用系统。这些系统都是真实的系 统和应用，等同于i n t e r n e t 上所能找到的系统。在这里一切都不是模拟的。 也没有对系统进行额外的改动而降低其安全性。通过使用这种系统，可以从 中获得很多信息。在h o n e y n e t 中所发现的风险和易受攻击环节，与目前很 多企业组织中存在的情况是一致的。 在h o n e y n e t 中对应用系统的使用是其独特之处。由于一切都不是模拟的， 这样就可以使用与企业组织中相同的系统和应用程序。在第二章中详细讨论 h o n e y n e t 。 在本文中，称h o n e y p o t 技术为诱骗网络技术。诱骗网络技术包括各种具有 诱骗和陷阱性质的网络安全技术，而本文中对诱骗网络的讨论集中于对 h o n e y n e t 系统的讨论。因此，本文在叙述过程中，对h o n e y n e t 和诱骗网络不作 严格区分，而h o n e y p o t 也泛指用于被黑客入侵的牺牲系统。 9 查塞塑皇兰堕璺主兰竺兰茎一一一 第二章诱骗网络原理 诱骗网络技术泛指各种应用诱骗和陷阱性质的网络安全技术。在本文中，对 诱骗网络的讨论集中于对h o n e y n e t 系统的讨论。h o n e y n e t 是h o n e y p o t 的一种 类型，是高交互h o n e y p o t ，属于h o n e y p o t 技术的范畴。 2 1h o n e y n e t 简介 传统的信息安全是单纯防御。防火墙、入侵检测系统、加密等等，所有这些 机制都用于保护某种资源。这种策略是尽可能保护某个组织，检测这种防御中的 任何失败，并对这些失败作出反应。这种方法的问题在于它是单纯防御，而敌人 是主动的。h o n e y n e t 尝试改变这种局面。h o n e y n e t 最主要的目的是搜集现存威 胁的信息，可以发现新的攻击工具，新的攻击模式，了解攻击者的动机 1 3 , 1 4 】。这 些收集的信息可以更好的了解和防御存在的威胁，包括内部的和外部的威胁。 h o n e y n e t 不是一种应用产品，不是可以在计算机上简单安装的软件，相反， 它是一种体系结构。这种体系结构产生高度受控的网络，在这样的网络中可以控 制和监视其中发生的所有行为，可以在这种体系结构中放置目标系统，这种目标 系统也称为h o n e y p o t 。 广义来说，h o n e y n e t 是h o n e y p o t 的一种类型。特别的，它是设计成捕获大 量有关威胁信息的高交互h o n e y p o t 。高交互意味着h o n e y n e t 提供了真实的系统、 应用、服务等给攻击者交互( 与低交互h o n e y p o t 不同，那些只提供了模拟服务 和模拟操作系统) 。通过这种高交互，可以获得关于某企业组织内部和外部威胁 的信息。与多数h o n e y p o t 的不同之处在于，h o n e y n e t 是包含多个系统的一个完 整网络。在h o n e y n e t 内部，可以放置任何类型的系统来充当h o n e y p o t ，如 s o l a r i s 、l i n u x 、w i n d o w sn t 、c i s c o 交换机等等。这样，就为入侵者创造了一 个更具有真实“感觉”的网络环境。 h o n e y n e t 概念上非常简单。它们只是包含一个或多个h o n e y p o t 的网络。既 然h o n e y p o t 不是应用型系统，h o n e y n e t 自身没有应用流量，没有授权服务。 h o n e y n e t 中的任何交互都可能是恶意的或非法流量。向h o n e y n e t 发起的任何对 内连接都可能是探钡4 、扫描或攻击。几乎h o n e y n e t 发起的任何对外连接都可能 表明，某人已经攻破了一个系统而发起对外连接。 这使得分析h o n e y n e t 中的行为非常简单。如果使用传统安全技术，例如防 南京邮电学院硕士学位论文 火墙日志或i d s 传感器，必须要从吉比特或者成千上万条警报中筛选数据。查看 这些信息、识别攻击和非法行为，需要耗费大量时间和精力。 既然h o n e y n e t 仅仅是由h o n e y p o t 组成的网络，因此所有捕获的行为都可以 认为是非法或者恶意的，所要做的只是捕获数据，还可以考虑按价值大小排定优 先级，然后详细分析它们。 2 1 1h o n e y n e t 体系结构需求 为了成功的部署一个h o n e y n e t ，必须正确的部署h o n e y n e t 体系结构。在部 署h o n e y n e t 体系结构时并没有简单的规则可以套用，其中的细节和技术都由实 际需要决定。由于h o n e y n e t 的复杂性，如果没有适当的部署，可能不能捕获攻 击者的行为，反而会使自身处于危险中。一般来说，要创建并维护一个成功的 h o n e y n e t ，主要取决于两大关键因素：数据控制和数据捕获。 数据控制就是限制攻击者的行为。这是为了降低攻击者使用h o n e y n e t 攻击 或危害其他非h o n e y n e t 系统。一旦攻击者处于h o n e y n e t 中，他将不能偶然的或 故意的危害其他非h o n e y n e t 系统。但数据控制的实际操作比理论更有难度。 首先，必须给予攻击者一定程度的行动自由。给予攻击者的行动自由越大， 他们突破数据控制机制并危害其他非h o n e y n e t 系统的风险也就越大。根据特定 具体情况，在给予攻击者行动自由和限制他们的行为之间取得平衡。每令企业组 织有不同的需求和风险门限。其次，必须在不被攻击者觉察的情况下控制攻击者 的行为。一种比较好的数据控制方法是部署数据控制不依赖于单一的机制，而是 在多个层次实现。例如对外连接计数，入侵防护网关，或者带宽限制。多种不同 机制的组合可以防止单一机制的失败，尤其当面对新型未知攻击时。而且，数据 控制必须以失败保护的方式运作。这是指，一旦数据控制机制失效( 进程死亡、 硬盘满、误配置规则等) ，h o n e y n e t 体系结构必须阻塞所有对外连接，而不是允 许通行。必须注意的一点是，数据控制只是减少风险，并不能完全消除攻击者使 用h o n e y n e t 危害非h o n e y n e t 系统的可能。不同的数据控制技术和方法有不同程 度的风险，但没有哪一种可以完全消除风险。 数据捕获是监视和记录h o n e y n e t 中所有的黑客行为。正是使用这些捕获的 数据才能学习黑客的攻击工具、策略、动机等。数据捕获是在不被黑客知道的情 况下捕获尽可能多的数据。数据捕获的关键是多个层次的捕获。多个层次的数据 塑塞塑皇堂堕堡主堂垡堕苎 捕获不仅可以完整捕获攻击者的所有行为，还可以防止单个层次的失效。 捕获数据的层次越多，那么可以从中了解和学习的内容也就越多。数据捕获 的一个难点是，大多数攻击者的行为都通过加密传送( 如i p s e c 、s s h 、s s l 等) ， 数据捕获机制必须考虑这些加密行为。而且，还必须减小攻击者检测到数据捕获 机制的可能。这可以通过几种方法实现。 首先，对h o n e y p o t 尽可能少改动。对h o n e y p o t 的改动越多，被攻击者检测 出的可能性就越大。其次，被捕获数据必须不能存储在h o n e y p o t 自身。不仅这 些数据会被攻击者检测到，而且还可以被修改或删除掉。因此捕获的数据必须存 储到一个独立的、安全的系统中。跟数据控制一样，也不能确保数据捕获完全没 有风险。攻击者可能识别出数据捕获机制，并开发出一些方法使数据捕获机制失 效。 对于构建h o n e y n e t 的具体要求，可蛆参考文献【1 4 】。 2 1 2h o n e y n e t 存在的风险 h o n e y n e t 是非常强大的工具，它可以对各种不同的威胁收集广泛的信息。 为了获得这些信息，必须允许攻击者访问系统和应用程序( 有些可能是具有特权 的访问) 。因此，提供这种允许攻击者访问的代价就是风险。风险对于不同的企 业组织有所不同。而且，各个企业组织对风险也有不同的门限。不能简单判定什 么是正确的什么是错误的。特定组织可能必须根据自身情况作出决定。但我们必 须意识到这些风险a 同时还存在使用h o n e y p o t 尤其是h o n e y n e t 的法律问题“i 。 风险问题大体包含四个方面：危害( h a r m ) 、检测( d e t e c t i o n ) 、失效( d i s a b l i n q ) 、 侵害( v i o l a t i o n ) b 6 。 危害是指h o n e y n e t 用于攻击和危害其他非h o n e y n e t 系统。例如，攻击者进 入h o n e y n e t ，然后发起从未出现过的对外连接，成功危害或攻破其目标受害者。 数据控制主要是用来减轻这类风险的。多个层次的数据控制使攻击者很难产生破 坏行为。但是并没有万无一失的方法确保h o n e y n e t 不被用于攻击和危害其他系 统。不管采用哪种机制，攻击者最终会突破它们。对于某个组织必须确定它愿 意承担多大的风险。对于低风险门限的组织，必须只允许最少量的对外连接( 可 能完全不允许) 。对于高风险门限的组织，可以允许更多的对外行为。 第二个是检测的风险。一旦h o n e y n e t 的真实身份被识别出，它的价值会大 南京邮电学院硬士学位论文 大降低。攻击者可以忽略或旁路h o n e y n e t ，消除它捕获信息的能力。更危险的 是，一旦h o n e y n e t 被识别，攻击者会向h o n e y n e t 发送错误的和伪造的信息，以 此误导数据分析。可以采取措施减小这种检测的风险。首先，如果具有真实应用 程序和真实服务，h o n e y n e t 就难以远程检测。但是，一旦攻击者获得了h o n e y n e t 中一个h o n e y p o t 的访问权限，h o n e y n e t 就很容易被检测出。本地访问h o n e y n e t 、 资深黑客、备有适当攻击的攻击者，都可能识别出h o n e y n e t ，并识别出h o n e y n e t 的数据控制、数据捕获机制。例如，如果h o n e y n e t 的策略是在1 0 个对外连接尝 试后阻塞连接，攻击者只需要发起2 0 个对外连接，无一例外都是在第1 1 个被阻 塞。如果修改了通过h o n e y n e t 的分组，攻击者只需发送已知载荷的分组到自己 控制的系统，这样就可发现分组在传送过程中是否被修改了。如果通过隧道技术 发送到“h o n e yf a r m ”u 6 ，额外的延时也会暴露h o n e y n e t 。或者攻击者也会检 测到h o n e y p o t 中数据捕获机制的存在。理想情况下可以通过自定义随机配置、 分层、菜种动态机制、或者其他创造性的方法使h o n e y n e t 尽量难以检测。如 果不知道如何实现隐藏，检测的风险就会增加。 第三个风险是h o n e y n e $ 功能的失效。这可能是针对数据控制或数据捕获程 序的攻击。攻击者可能不仅企图检测h o n e y n e t 的存在，还试图中止数据控制和 数据捕获功能，并且不让h o n e y n e t 管理员知道这些功能失效了。例如，攻击者 可能获得了h o n e y n e t 中h o n e y p o t 的访问权限，然后中止了h o n e y p o t 中的数据 捕获机制。攻击者会向h o n e y p o t 发送伪造网络流量，使管理员在数据控制功能 失效后仍然认为它正常工作并记录流量。采用多个层次的数据控制和数据捕获有 助于减轻这种风险。 最后一个风险是侵害。攻击者可能试图在被攻破的h o n e y n e t 中进行犯罪活 动，但并不攻击h o n e y n e t 外的其他人。例如，攻击者利用h o n e y n e t 上传并传播 违禁或非法材料，如非法视频、音乐、被盗信用卡或者色情内容。这些攻击者是 根据他们自己的意愿进入h o n e y n e t 系统的。安全专家们并没有进行这些触发法 律的活动。如果被检查到，这些非法行为会归结到借助于h o n e y n e t 系统进行的。 安全专家可能必须证明自己不对这些犯罪活动负责。 在所有四种情况中，最好的减少风险的方法是通过人为干预。所有用于数据 控制和数据捕获的技术都是胄动机制，对攻击行为进行响应并捕获攻击行为。诱 堕塞坚皇兰堕堡主鲎垒堡苎 一一 骗网络安全专家们正在研究开发新技术，力图提高h o n e y p o t 技术的能力和安全 性。但人工开发的任何技术都会被其他人工技术打败。为了对付多数h o n e y p o t 技术，攻击者会采取一些行动。任何时候如果怀疑攻击者成功的获得了h o n e y p o t 的访问权限( 例如，检测到对外连接，频繁建立对内连接，网络流量增加，文件 传输，异常系统行为等) ，安全专家都应该监视并分析h o n e y