（计算机应用技术专业论文）基于linux的高交互度蜜罐检测工具的研究及实现.pdf

北京邮电大学硕士学位论文 基于lin u x 的高交互度蜜罐检测工具的研究及实现 摘要 与传统的被动防御安全技术如防火墙、i d s 相比，蜜罐技术采用 了主动防御的策略，通过主动诱捕的方式监控攻击行为，更有效的保 护网络安全。现有的蜜罐技术还远未成熟，尤其是高交互度蜜罐，在 欺骗的复杂性、部署维护的难度及范围上都还存在着较大的缺陷，由 于蜜罐技术的终极目标是能够对高智商和反应敏捷的黑客进行欺骗， 所以形成成熟的蜜罐技术极具挑战性。 蜜罐检测技术就是在这样的环境下出现的。其主要目标是，研究 蜜罐运行机制和核心技术，发现其存在的漏洞和弱点，客观上促进蜜 罐技术的发展和完善。 通过分析高交互度蜜罐的设计思想和实现机制，研究高交互度蜜 罐的隐藏技术，首次提出一种通用的、以静态系统特征检测为主、动 态网络连接探测为辅的多点联动识别模型，该种检测方法有如下两个 主要创新点：一是对系统信息进行提取时，采用了直接从操作系统内 核中获取信息的手段，避开了现存的所有隐藏工具，很好地保证了获 取信息的真实性；二是采用了对网络数据进行动态监控分析的手段， 进一步保证了系统检测的准确性。 根据检测模型和系统设计，开发并完善了一个l i n u x 环境下的高 交互度蜜罐检测工具，并成功检测出某高交互度蜜罐产品。 经过分析和模拟验证，表明综合判别方法对未知蜜罐系统也具有 较强的预测性，可以用于对未知蜜罐系统进行检测识别研究。 关键词高交互度蜜罐隐藏技术检测技术综合识别模型 北京邮电大学硕士学位论文 r e s e a r c ha n dd e v e l o p m 匝n to f l i n u x b a s e dd e t e c t i o nt o o lo f h i g h 一斟t e r a c t i o nh o n e y p o t a b s t r a c t c o m p a r e dt h ek n o w np a s s i v ed e f e n s e - s e c u r i t yt e c h n o l o g i e s ，s u c ha s f i r e w a u 、 i d s 、i p s ，t h eh o n e y p o tp r o t e c tt h en e t w o r ks e c u r i t yb e t t e rb e c a u s ei tc a nm o n i t o rt h e a t t a c k i n ga c ta sat r a p h o n e y p o ti sg e t t i n gm o r ea n dm o l ep o p u l a r , b u ti t sn o tp e r f e c t a st h em o s tc o m p l e xh o n e y p o ts y s t e m ，t h eh i 曲- i n t e r a c t i o nh o n e y p o th a v et og i v et h e a t t a c k e r sm o r er i g h tt oc a p t u r ee n o u g ha c t i v i t ya n di n f o r m a t i o n s oi t sag r e a t c h a l l e n g et oi m p r o v et h eh i g h - i n t e r a c f i n nh o n e y p o t w i t ht h ed e v e l o p m e n to fh o n e y p o t , t h ea n t i - h o n e y p o tt e c h n o l o g ya l s oa t t r a c t s m a n yp e o p l e sa t t r a c t i o n i t sm a i n l ya i mi st or e s e a r c ht h es i g n i f i c a n tm e c h a n i s ma n d k e r n e lt e c h n o l o g yo fh o n e y p o t , f i n dt h ev u l n e r a b i l i t yo rw e a k n e s sa n di m p r o v et h e h o n e y p o ts y s t e m a r e ra n a l y z et h ed e s i g nt h o u g h ta n do p e r a t i n gm e c h a n i s m , w er e s e a r c ht h e h i d d e nt e c h n o l o g i e sw h i c hu s e db yh i g h i n t e r a c t i o nh o n e y p o t w eb n n ga ni n t e g r a t e d d e t e c t i o nm o d e lo nh i g h i n t e r a c t i o nh o n e y p o tw h i c hc o n s i s t e do fs y s t e mc h a r a c t e r s d e t e c t i o na n dd y n a m i cc o n n e c t i o na t t e m p t t h em a i n l ya d v a n t a g e so ft h i sd e t e c t i o n m e t h o da r e , f i r s t l y , i n f o r m a t i o nc a nb eo b t a i n e dd i r e c t l yf r o mo p e r a t i n gs y s t e mk e r n e l ， e n s u r i n ga u t h e n t i c i t yo ft h ea c q u i r e di n f o r m a t i o ni nt h em e a n w h i l e a v o i da l le x i s t i n g h i d i n gt o o l s s e c o n d l gd y n a m i cs u p e r v i s i o na n da n a l y z eo v e rt h en e td a t ag u a r a n t e e v e r a c i t yo f t h es y s t e mi n s p e c t i o nf u r t h e r d e v e l o pt h el i n u x b a s e dd e t e c t i o nt o o lo nh i g h i n t e r a c t i o nh o n e y p o ta n d d e t e c t t h es p e c i a lh i g h i n t e r a c t i o nh o n e y p o ts y s t e m a n a l y z ea n ds i m u l a t e dv a l i d a t i o n si n d i c a t e t h a tt h ei n t e g r a t e dr e c o g n i z i n g t e c h n o l o g yc a nb ea p p l i e dw e l lo nu n k n o w nh o n e y p o ts y s t e mf o rd e t e c t i o na n d r e s e a r c h 北京邮电大学硕士学位论文 k e yw o r d s ：h i 【曲i n t e r a c t i o nh o n e y p o t , h i d d e nt e c h n o l o g y , d e t e c t i o n t e c h n o l o g y , i n t e g r a t e dd e t e c t i o n m o d e l i l l 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料芤有不实之处，本人承担一切相关责任。 本人签名：飞獐歹乙锛日期：砷弓午 i f 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论 文注释：本学位论文不厣于保密范围，适用本授权书。、， 本人签名：碾潞嗍w 弓7 丝 导师签名：忙。旁s 日期：o7 5 岁少衫 北京邮电大学硕士学位论文 1 1 课题背景和意义 第一章绪论 古语有日：“魔高一尺，道高一丈”。 用“魔道之争”来形容互联网世界里的“攻防博弈”是再合适不过了。互联 网已经进入、影响、渗透到人们生活、思想、行为的每个角落，而从互联网诞生 之初，安全问题就始终处于焦点位置。 黑客( 或者说入侵者) 一直以来在扮演破坏者和窃取者的形象。但是，也许 黑客的存在并不是坏事。因为他们发现了不完美的地方，技术因此而获得进步。 黑客是破坏者，同时也是创造者。在普遍意义上，破坏可以说是创造的前奏。不 破除传统势力的阻碍，就没有新生事物的成长空间，就无所谓发展。从辨证法观 点看，“黑客”与“网络安全专家”所代表的网络安全技术，正是在相互对立、 相互斗争中相互发展、相互转化，直至相互统一。 在对付过去单一的网络攻击时，防火墙、防病毒软件、入侵检测系统等传统 网络安全工具发挥过巨大的作用，但是面对恶意代码( m a l w a r e ) 、僵尸网络 ( b o t n e t ) 、网络钓鱼( p h i s h i n g ) 等新兴攻击手段却显得束手无策。蜜罐 ( h o n e y p o t ) ，这一主动防御技术，应时而生。 蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标 的诱骗技术，“蜜网项目组”( t h e h o n e y n e t p r o j e c t ) 的创始人l a n c es p i t z n e r 给 出了对蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。 表面上看蜜罐是一个充满着漏洞和弱点的系统或网络，但实质上，是一个布满“机 关”的陷阱。 现有的蜜罐技术还远未成熟，在欺骗的复杂性、部署维护的难度及范围上都 还存在着较大的缺陷，为了解决这些问题，一些新的蜜罐技术概念也在不断地形 成和发展，其中，高交互度蜜罐获得了更多的关注。由于蜜罐技术的终极目标是 能够对高智商和反应敏捷的黑客进行欺骗，所以形成成熟的蜜罐技术极具挑战 性。 蜜罐检测技术就是在这样的环境下出现的。研究蜜罐运行机制和核心技术， 发现其存在的漏洞和弱点，( 主动的或客观上) 促进蜜罐技术的发展和完善，是 北京邮电大学硕士学位论文 蜜罐检测技术的主要目标。目前蜜罐检测技术研究尚处于起步阶段，国内外有关 的研究成果很少，且集中在对个别蜜罐系统的检测上。 本课题正是在这样的背景下提出来的。我们希望通过对高交互度蜜罐技术的 深入研究，剖析其工作原理和运行机制，从而对高交互度蜜罐进行全方位的检测。 抛开单一检测的技术路线，将各种检测技术融合在一起，从系统内核和外部组件 两方面，对已知的、未知的高交互度蜜罐系统进行全方位的、系统化的检测。同 时由于当今并没有一个组织或者研究者将各种蜜罐检测技术系统化，所以我们希 望搭建出一个基于l i n u x 平台的高交互度蜜罐检测系统，提供一个系统化的检测 流程，将各种先进的检测技术融合在一起，对每种技术的检测结果进行综合分析， 使最终的结果更加直接、全面、准确。 最后，希望我们的研究和实践可以为蜜罐检测技术的后续研究，提供一些 有价值的技术准备，从入侵者的角度，用真实的检测技术促进蜜罐技术的发展， 使蜜罐技术在未来的网络安全领域中，充分发挥它的优势，得到更加广泛的重视 和应用。 1 2 主要工作和贡献 本课题的目标是，在深入研究高交互度蜜罐的基础上，在获得l i n u x 系统r o o t 权限的前提下，实现对已知的和未知的高交互度蜜罐的识别。 本课题是实验室的合作型项目，项目组深入研究了高交互度蜜罐原理和技 术、l i n u x 系统内核技术，提出了一种综合的高交互度蜜罐检测模型，完成了高 交互度蜜罐检测系统的总体设计和技术方案，实现了检测子模块的设计和开发， 并进行了完整的测试。 本人负责并完成的工作主要包括： l 、对高交互度蜜罐运行原理和系统特征进行了深入研究，首次提出高交互 度蜜罐的综合识别模型； 2 、对l i n u x 操作系统内核和高交互度蜜罐检测技术进行了深入研究； 3 、根据系统框架要求，设计并实现了检测隐藏进程和隐藏通信子模块，加 入了检测特定组件的子模块； 4 、在模拟的环境下，对检测子系统各部分进行了功能测试； 5 、提出了蜜罐检测技术的下一步研究方向。 北京邮电大学硕士学位论文 1 3 本论文的组织 本文以l i n u x 平台下高交互度蜜罐检测技术的研究和检测系统的实现为中 心。全文分为三部分： 第一部分由第二章构成，主要详细介绍了高交互度蜜罐的运行原理和关键技 术； 第二部分以第三章为主，深入研究了高交互度蜜罐的系统特征，提出了一种 多点联动的综合识别模型，从内核和特定组件角度分别介绍了高交互度蜜罐的检 测技术； 第三部分由第四、五章构成，根据系统框架设计，完成了检测子系统，并在 实验环境下完成了功能测试。最后对蜜罐检测技术的进一步发展提出了一些建 议。 北京邮电大学硕士学位论文 第二章高交互度蜜罐技术研究 2 1 蜜罐技术概述 所谓“知己知彼，百战不殆”。在研究蜜罐这一网络安全防御技术之前，有 必要先了解一下网络攻击的常用技术和策略，只有真正的了解你的敌人( 或对 手) ，才能在面对攻击行为胸有成竹，泰然应对。 2 1 1 网络攻防常用技术 网络安全问题日益严重，反映出攻击技术的不断更新、不断进步。网络攻击 技术种类繁多，攻击动机和目的也各不相同。从攻击者的角度来说，按照攻击的 一般步骤，可以把攻击技术分为探测技术、攻击技术和隐藏技术三大类。 2 1 1 1 探测技术 探测是指在攻击开始前的情报收集工作。攻击者尽可能多的了解攻击目标安 全相关的信息，以确定攻击的方法和策略。探测技术的代表是扫描，即攻击者结 合各种工具和技巧，获取活动主机、开放服务、操作系统、安全漏洞等关键信息 的重要技术。扫描技术包括p i n g 扫描( 确定哪些主机正在活动) 、端口扫描( 确 定有哪些开放服务) 、操作系统辨识( 确定目标主机的操作系统类型) 和安全漏 洞扫描( 获得目标上存在着哪些可利用的安全漏洞) 。著名的扫描工具包括n m a p ， n e t c a t 等，知名的安全漏洞扫描工具包括开源的n e s s l 盥及一些商业漏洞扫描产 品如i s s 的s c a n n e r 系列产品。 2 1 1 2 攻击技术 通过前一阶段掌握的有关攻击目标的安全信息，攻击者会选择不同的攻击方 法来达成其攻击目的。 4 北京邮电大学硕士学位论文 在攻击阶段，攻击者通过探测阶段掌握的有关攻击目标的安全情况会选择不 同的攻击方法来达成其攻击目的。攻击方法多种多样，总的来说可以分为：窃听 技术、欺骗技术、拒绝服务( d o s ) 和数据驱动攻击。 窃听技术： 窃听技术指攻击者通过非法手段对系统活动的监视从而获得一些安全关键 信息。目前属于窃听技术的流行攻击方法有键击记录器、网络监听、非法访问数 据和攫取密码文件。 键击记录器是植入操作系统内核的隐蔽软件，通常实现为一个键盘设备驱动 程序，能够把每次键击都记录下来，存放到攻击者指定的隐藏的本地文件中。著 名的有w i r d 2 平台下适用的i k s 等。网络监听则是攻击者一旦在目标网络上获 得一个立足点之后刺探网络情报的最有效方法，通过设置网卡的混杂 ( 肿i i l i s c u o 璐) 模式获得网络上所有的数据包，并从中抽取安全关键信息，如 明文方式传输的口令。非法访问数据指攻击者或内部人员违反安全策略对其访问 权限之外的数据进行非法访问。攫取密码文件是攻击者进行口令破解获取特权用 户或其他用户口令的必要前提，关键的密码文件如w i n 9 x 下的p w l 文件、 w i n n t 2 0 0 0 下的s a m 文件和u n i x 平台下的e t c p a s s w o r d 和e t c s h a d o w 。 欺骗技术 欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键 信息的攻击方法，属于此类的有获取口令、恶意代码、网络欺骗等攻击手法。 获取口令的方式有通过缺省口令、口令猜测和口令破解三种途径。恶意代码 包括特洛伊木马应用程序、邮件病毒、网页病毒等，通常冒充成有用的软件工具、 重要的信息等，诱导用户下载运行或利用邮件客户端和浏览器的自动运行机制， 在启动后暗地里安装邪恶的或破坏性软件的程序，通常为攻击者给出能够完全控 制该主机的远程连接。网络欺骗指攻击者通过向攻击目标发送冒充其信任主机的 网络数据包，达到获取访问权或执行命令的攻击方法。具体的有欺骗、会话 劫持、a r p ( 地址解析协议) 重定向和r i p ( 路由信息协议) 路由欺骗等。 拒绝服务攻击： 拒绝服务攻击指中断或者完全拒绝对合法用户、网络、系统和其他资源的服 务的攻击方法，被认为是最邪恶的攻击，其意图就是彻底地破坏，而这往往比真 正取得他们的访问权要容易得多，同时所需的工具在网络上也唾手可得。因此拒 绝服务攻击，特别是分布式拒绝服务攻击对目前的互联网络构成了严重的威胁， 造成的经济损失也极为庞大。 北京邮电大学硕士学位论文 拒绝服务攻击的类型按其攻击形式划分包括导致异常型、资源耗尽型、欺骗 型。 其中，资源耗尽型拒绝服务攻击则通过大量消耗资源使得攻击目标由于资源 耗尽不能提供正常的服务。比较特殊并且出现较多的是分布式拒绝服务攻击，通 过控制多台傀儡主机，利用他们的带宽资源集中向攻击目标发动总攻，从而耗尽 其带宽或系统资源的攻击形式。d d o s 攻击的第一步是瞄准并获得尽可能多的傀 儡主机的系统管理员访问权，然后上传d d o s 攻击并运行，大多数d d o s 守护 进程运行方式的监听发起攻击的指令，收到后并向指定的目标网络发动f l o o d 攻 击。目前著名的d d o s 工具有t f n ( t r i b ef l o o d n e t w o r k ) 、t f n 2 k 、t r i n o o 、 w i n t r i n o o 和s t a c h e l d r a h t 等。 数据驱动攻击： 数据驱动攻击是通过向某个程序发送数据，以产生非预期结果的攻击，通常 为攻击者给出访问目标系统的权限，数据驱动攻击分为缓冲区溢出攻击、格式化 字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。 最常见的，缓冲区溢出攻击的原理是通过往程序的缓冲区写入超出其边界的 内容，造成缓冲区的溢出，使得程序转而执行其他攻击者指定的代码，通常是为 攻击者打开远程连接的s h e l l c o d e ，以达到攻击目标。最初的缓冲区溢出攻击仅 限于u n i x 平台，大量缓冲区溢出漏洞被发掘并给出攻击脚本，著名的一些服务 程序如a p a c h e 、w u t 砸t 、s e n d m a i l 、o p e n s s h 等都曾被发掘出缓冲区溢出漏洞。 2 1 1 3 隐藏技术： 攻击者在完成其攻击目标( 如获得r o o t 权限) 后，通常会采取隐藏技术来 消除攻击留下的蛛丝马迹，避免被系统管理员发现，同时还会尽量保留隐蔽的通 道，使其以后还能轻易的重新进入目标系统。隐藏技术主要包括日志清理、安装 后门、内核套件等。 日志清理主要对系统日志中攻击者留下的访问记录进行清除，从而有效地抹 除自己的行动踪迹。u n i x 平台下较常用的日志清理工具包括z a p ，w z a p ，w t e d 和 r e m o v e 。攻击者通常在获得特权用户访问权后会安装一些后门工具，以便轻易地 重新进入或远程控制该主机，著名的后门工具包括b o ( b a c k o r i f i c e ) 、n e t b u s 和 称为“t c p i p 瑞士军刀”的n o c a t 等；攻击者还可以对系统程序进行特洛伊木 马化，使其隐藏攻击者留下的程序、运行的服务等。内核套件则直接控制操作系 6 北京邮电大学硕士学位论文 统内核，提供给攻击者一个完整的隐藏自身的工具包，著名的有k n a r k f o r l i n u x 、 l i n u xr o o tk i t 及w i n 3 2 平台下的n t 2 0 0 0r o o t k i t 。 2 1 2 网络防护常用技术 面对网络攻击技术和行为的升级换代、步步紧逼，安全防护策略及技术也在 不断调整、不断进步，传统的“被动”防御已经显得力不从心。 一防火墙： 防火墙的主要防护对象是端口扫描等探测技术。防火墙对流经它的网络通信 进行监控，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还 可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。 最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 但是传统的网络防火墙，存在着以下不足之处：无法检测加密的w e b 流量， 于w e b 应用程序防范能力不足，无法扩展带深度检测功能，等等。 - 加密 主要针对窃听技术、欺骗技术。 在保障信息安全各种功能特性的诸多技术中，密码技术是信息安全的核心和 关键技术，通过数据加密技术，可以在一定程度上提高数据传输的安全性，保证 传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥，密 钥控制加密和解密过程，一个加密系统的全部安全性是基于密钥的，而不是基于 算法，所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过 加密系统把原始的数字信息( 明文) ，按照加密算法变换成与明文完全不同得数字 信息( 密文) 的过程。 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理， 使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后 才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的 目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。 但是任何加密算法都是存在不足的，比如说密码长度、强度问题等。 i d s ( 入侵检测系统) ： 作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了 系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了 信息安全基础结构的完整性。其功能大致分为： 检测并分析用户和系统的活动； 7 北京邮电大学硕士学位论文 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为： 统计分析异常行为； 对操作系统进行日志管理，并识别违反安全策略的用户活动。 它从计算机网络系统中的若干关键点收集信息，并分析这些信息。但入侵检 测系统也存在着“先天”的缺陷，即只能检测已知攻击特征库，误报率过高等等。 _ i p s ( 入侵防护系统) i p s 与i d s 在检测方面的原理相同，它首先由信息采集模块从入侵源实施信息 收集，内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信 息一般来自系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的 不期望行为、物理形式的入侵信息4 个方面；然后入侵防护系统利用模式匹配、 协议分析、统计分析和完整性分析等技术手段，由信号分析模块对收集到的有关 系统、网络、数据及用户活动的状态和行为等信息进行分析；最后由反应模块对 采集、分析厚的结果作出相应的反应。 该技术存在四大特征： ( 1 ) 只有以嵌入模式运行的i p s 设备才能够实现实时的安全防护，实时阻拦所 有可疑的数据包； ( 2 ) i p s 必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击 类型、策略等来确定哪些流量应该被拦截； ( 3 ) 高质量的入侵特征库是i p s 高效运行的必要条件； ( 4 ) i p s 必须具有高效处理数据包的能力。 i p s 比i d s 技术进步很多，但也只能检测已知的攻击行为，必须依赖于已有的 入侵特征库。 反病毒软件： 反病毒软件( 杀毒软件) 是对付计算机病毒的最有效方法，但是没有杀毒软 件能1 0 0 的保证系统不被病毒感染。那样的系统是不存在的，因为每种杀毒算 法都可能促使产生与之相对立的病毒的算法，随之制造的病毒对于这种特定的杀 毒软件可能检测不到( 当然：任何杀毒算法都可以开发成一个杀毒软件) 。而且， 已经证实“在有限理论的基础上不可能存在绝对的防毒，- 一试验者是f r e d c o h e n 。从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的 算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。如 北京邮电大学硕士学位论文 病毒扫描、启发式扫描、c r c 扫描等。 反病毒软件的理论基础是，首先要发现并确认一个病毒，然后再进行防范， 它的缺点是，对未知病毒的防范能力弱，我们没有有效的办法对付各种病毒的变 形，对融合了黑客技术的病毒，不能有效防范。一般是一种新病毒发作后，大家 才能开发出查杀该病毒的软件，用户还需要尽快升级自己的反病毒软件，也就是 说，永远落后攻击者“一步”。 2 1 3 蜜罐概念和意义 上述的安全防护机制虽然侧重点各不相同，但根本策略是相同的，都属于被 动防守。但是，由于攻防双方博弈的不对称性，“纯粹”防守攻击者可以在任何 时间、任何地点发起攻击行为，而防御者必须确保系统不存在任何漏洞，并且拥 有全天候的监控机制才能保证系统的绝对安全；攻击者可以利用扫描、查点等一 系列技术手段全面获取攻击目标的信息，而防御者即使在被攻陷后还很难了解攻 击者的来源、攻击方法和攻击目标：而一旦攻击失败，攻击者在更多情况下仅仅 是浪费了一些他们无聊的时间，积累了一些宝贵的经验值，而防御者却将面l 临他 们的系统以及信息将被破坏和窃取的危险。 蜜罐技术，正是防御方尝试改变攻防博弈不对称性而提出的一种主动防护技 术。它的目的和意义在于以下三方面： 对攻击者的欺骗技术一增加攻击代价、减少对实际系统的安全威胁； 了解攻击者所使用的攻击工具和攻击方法； 追踪攻击源、攻击行为审计取证； 蜜罐定义为一种安全资源，它并没有任何业务上的用途，它的价值就是吸引 攻击者对它进行非法的使用，蜜罐技术本质上是一种对攻击者进行欺骗的技术， 通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对他们进行攻击， 减少对实际系统所造成的安全威胁，更重要的是蜜罐技术可以对攻击行为进行监 控和分析，了解攻击者所使用的攻击工具和攻击方法，推测攻击者的意图和动机， 在此基础上尽可能地追踪攻击者的来源，对其攻击行为进行审计和取证，从而能 够让防御者清晰地了解他们所面对的安全威胁，并通过法律手段去追究攻击者的 责任，或者通过技术和管理手段来增强对实际系统的安全防护能力。 与传统的安全防护手段相比，蜜罐的最大优势在于原理简单，即没有任何业 务用途，从而没有任何的正常活动，这样可以认为蜜罐中所有的活动、行为都是 恶意的，不用再区分正常业务和攻击行为，降低了系统的复杂性，提高了可操作 性。 9 北京邮电大学硕士学位论文 基于蜜罐技术的原理，蜜罐技术具有以下优势： 具有高度分析价值的小数量集 极低( 近乎为零) 的误报率 对未知攻击的发现能力 对加密通讯、口v 6 等环境具有同样的适应性 资源需求低，投入产出比大 原理简单，“简单往往意味着实用” 2 1 4 蜜罐分类及发展方向 从蜜罐概念首次提出起，十几年来，蜜罐系统不仅在理论上不断发展，在产 品上也日益丰富。根据不同的划分标准，可以分成如下几类： 按照部署目的可分为产品型蜜罐和研究型蜜罐两类，产品型蜜罐的目的在于 为一个组织的网络提供直接的安全保护。一般产品型蜜罐较容易部署，而且不需 要管理员投入大量的工作。较具代表性的产品型蜜罐包括d t k 开源工具以及 k f s e n s o r 、m a n t r a q 等一系列的商业产品。研究型蜜罐则是专门用于对恶意软 件及黑客攻击的捕获和分析，通过部署研究型蜜罐，对攻击行为进行追踪和分析， 能够捕获键击记录，了解到攻击者所使用的攻击工具及攻击方法，甚至能够监听 到黑客之间的交谈信息，从而掌握他们的心理状态，需要研究人员投入大量的时 间和精力进行攻击监视和分析工作。 按照蜜罐为攻击者提供的交互度等级可分为零交互度蜜罐、低交互度蜜罐和 高交互度蜜罐。 一、零交互度蜜罐 零交互度蜜罐利用未分配未使用的口地址资源，也就是“黑洞”，与数据 包源没有任何交互，只是被动监听信息。根据“蜜罐公理”，任何流向未使用i p 地址的数据包都预示着攻击或异常，监听到的所有信息都是攻击活动。 零交互度蜜罐典型代表有：d a r k n e t t p r o j e c t t e a mc y m r u 和n e t w o r k t e l e s c o p e - c a i d a 。后者常用于随机扫描攻击( 恶意代码扫描传播) ，如c o d er e d ， s l a m m e r , w i t t y 等，和伪造源地址d d o s 攻击，如b a c k s c a t t e ra n a l y s i s ( 未请求 反向包分析) 。 二、低交互式蜜罐 低交互度蜜罐具有与攻击源主动交互的能力，一般仅仅模拟操作系统和网络 服务，较容易部署且风险较小，但由于模拟能力有限，攻击者在其中能够进行的 攻击活动非常有限，因此能够收集的信息比较少，数据获取能力和伪装性较弱， 0 北京邮电大学硕士学位论文 一般仅能捕获已知攻击，同时由于低交互度蜜罐通常是模拟的虚拟蜜罐，或多或 少存在着一些容易被黑客所识别的指纹信息。 低交互度蜜罐典型代表有： i s i n k ：威斯康星州立大学； i n t e m e tm o t i o ns e n s o r ：密歇根大学，a r b o rn e t w o r k s ； h o n e y d ：由g o o g l e 公司软件工程师n i e l s p r o v o s 提出，一款非常强大的、 低交互度开源蜜罐，由n i e l sp r o v o s 于2 0 0 2 年发布。由c 语言编写，用于u n i x 平台。它首次提出了许多概念，包括监视上百万的未用坤的能力、i p 栈欺骗， 以及同时模拟成百上千的操作系统，另外它还能监听所有的u d p 和t c p 端口； n e p e n t h e s ：德国蜜网项目组n e p e n t h e s 团队： b a c k o f f i c e rf r i e n d l y ：b o f 是一款基于w i n d o w s 系统的免费蜜罐，简单的 说，就是入侵警报器。b o f 操作非常简单，可用于所有w i n d o w s 平台。但是， 它的不足之处是只能监听7 个端口； k f s e n s o r ：商用产品，功能强大，易于操作的低交互度蜜罐，主要用于检 测。利用h o n e y d 脚本来扩展性能，如n e t b i o s 仿真和互操作性； s p e c t e r ：商用，w i n d o w s 系统上的一款低交互度蜜罐，可以模拟1 3 种不 同的操作系统，监视多达1 4 个t c p 端口，并且配置和通知功能丰富，非常易于 上手。 三、高交互度蜜罐技术 高交互度蜜罐则完全提供真实的操作系统和网络服务，没有任何的模拟，从 攻击者角度上看，完全是其垂涎已久的“活靶子”，因此在高交互度蜜罐中，交 互等级最高，对未知漏洞、安全威胁具有天然的可适应性，数据获取能力、伪装 性均较强，能够获得更多的攻击活动信息。但高交互度蜜罐也存在着不利的一面， 资源需求较大，可扩展性较弱，在提升攻击者活动自由度的同时，也加大了部署 和维护的复杂度及安全风险。通常，为了降低成本和部署难度，高交互度蜜罐会 使用虚拟机( v i r t u a lm a c h i n e ) 或仿真器( e m u l a t o r ) 技术，节省了硬件资源、易于部 署和控制，但也带来了更多的指纹信息，提高了安全风险。 高交互度蜜罐代表： 、 h o n e y n e t 蜜网项目组( t h eh o n e y n e tp r o j e c t ) h o n e y b o w ( 基于高交互度蜜罐的恶意代码捕获器) ，北京大学狩猎女神项目 组 a r g o s 荷兰阿姆斯特丹大学( v r i j eu n i v e r s i t e i ta m s t e r d a m ) ) 欧盟分布式蜜 罐项目( n o a h ) 参与方 北京邮电大学硕士学位论文 m a n t r a p ：现改名为d e c o ys e r v e r ，是s y m a n t c e 公司的一款高交互度蜜罐产 品。m a n t r a p 的特殊之处在于，它提供了完整的操作系统与攻击者相交互，捕 捉他们所有的动作。它的数据收集能力非常强大，目前只能运行于s o l a r i s 系统。 目前，高交互度蜜罐还处于高速发展阶段，新的理论和新的技术不断提出， 整体来说，发展方向主要有以下几方面： 、分布式蜜罐蜜网技术 分布式蜜罐技术克服了现有蜜罐监测面小的缺陷，通过分布式部署提高安全 威胁监测的覆盖面。引入的技术有：分布式蜜罐捕获数据的汇总；分布式蜜罐的 有效部署、配置与管理；对大规模原始攻击数据的深入分析。 目前进行的分布式蜜罐项目有巴西蜜罐联盟分布式蜜罐项目和l e u r r e 分 布式蜜罐项目。分布式蜜网技术有蜜网研究联盟的k a n g a 分布式蜜网项目，它基 于高交互式蜜罐技术，由多个蜜网站点构成；另外还有低交互度、高交互度蜜罐 相结合的分布式蜜网，如n o a h 欧盟分布式蜜罐项目，m a t r i x 中国分布式蜜网项 目( 狩猎女神项目组、c n c e r t c c ) 。 、应用层蜜罐技术 当前针对应用层攻击越来越普遍，如针对w 曲应用的攻击、针对数据库的攻 击( s q l 注入) 等。应用层蜜罐技术正是针对特定应用，构建对应用层攻击的诱 骗环境。 针对w e b 应用的，b 1 w e bd e c o yh o n e y p o t ，主要有g o o 翻eh a c k i n gh o n e y p o t 和p h ph o n e y p o t 等；针对e m a i l 应用的，有s m t pd e c o yh o n e y p o t 和j a c k p o ts m t p f a k es e r v e r 等。 、客户端蜜罐技术 传统蜜罐蜜网技术比较关注服务器端的安全威胁，而互联网客户端面临的 安全威胁却越来越严重，如浏览器( i e ，f i r e f o x , ) ：恶意网站、间谍软件：邮件客 户端( o u t l o o k , f o x m a i l ，) ：垃圾邮件、病毒邮件：i r c 、i m 、p 2 p 客户端蜜罐( c l i e n t - - s i d e h o n e y p o t ) 通常模拟为普通的互联网客户端，主动了 解互联网上针对客户端的安全威胁。 、蜜场技术 可以看出，蜜罐正沿着“蜜罐一蜜网一蜜场”的技术进程在演变、进化中。 蜜场技术结合传统检测技术和蜜罐诱骗技术，核心思想是：通过部署检测器发现 1 2 北京邮电大学硕士学位论文 针对业务网络的安全威胁，将安全威胁重定向到蜜罐诱骗环境，然后实施深入的 取证分析。蜜场环境的部署方式也不相同，既有独立的集中式蜜场，也有分布式 部署探测器+ 集中式部署蜜场形式。前者是指在s o c 安全操作中心集中部署，通 过重定向器将安全威胁透明地诱骗到蜜场中，便于部署、维护和攻击取证分析蜜 场；后者主要面向大规模网络的新型主动防护技术，结合蜜罐技术和攻击检测技 术，将分布式的探测器和集中式的蜜场整合成一体。 2 2 高交互度蜜罐基本思想和体系框架 高交互度蜜罐由于部署复杂、数据捕获和收集能力最强，目前应用范围最广、 受到的关注也最大，这也正是本课题选定高交互度蜜罐作为研究对象的原因和目 的。 高交互度蜜罐的基本思想包括： 一 对攻击者的欺骗技术 _ 没有业务上的用途，不存在区分正常流量和攻击的问题 _ 所有流入，流出蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击 高交互度蜜罐是一个诱骗系统，它的根本思想是“欺骗”，由此引申出的“伪 装”和“引诱”，都是为了让入侵者在毫无防备的情况下掉进“陷阱”。“伪装” 是指，网络安全专家为了吸引黑客，通过在诱捕系统上故意留下一些安全后门， 或者放置一些入侵者希望得到的敏感信息来吸引入侵者上钩。当入侵者正为攻入 目标系统而沾沾自喜时，他在目标系统中的所有行为，包括输入的字符、执行的 操作都被诱捕系统所记录。网络陷阱和诱捕系统中的伪装技术包含很多种，主要 有操作系统伪装、数据和文件的伪装、应用程序运行和服务的伪装、目录系统伪 装和信息伪装等。 对于网络陷阱和诱捕系统来说，如果单纯地依靠被动吸引的方式，不能充分 发挥网络陷阱与诱捕系统的效力。可利用网络中现有的安全设备，如防火墙、入 侵检测系统等，依靠主动引入的方式，在网络中建立相应的转发机制，将入侵者 或可疑的连接主动引入网络陷阱，由网络陷阱进行甄别。 北京邮电大学硕士学位论文 2 3 高交互度蜜罐关键机制 高交互度蜜罐体系结构具有三大关键需求：即数据控制、数据捕获和数据分 析。首先，要成功的建立一个高交互度蜜罐系统，面临着两个问题：确保不危及 第三方和收集入侵者信息。这两个问题，也就是数据控制和数据捕获的要求。只 要有一个不符合要求，那么蜜罐系统就算是失败了。其次，设置高交互度蜜罐的 最终目的，是对所收集的信息进行分析、研究，了解入侵者的身份、技术、手段、 目的和动机，对于性质特别恶劣、危害特别大的，甚至可以作为司法举报的证据。 三大机制互相依赖、互相利用，缺一不可。 2 3 1 数据控制机制 数据控制是对攻击者在蜜网中对第三方发起的攻击行为进行限制的机制，用 以降低部署蜜网所带来的安全风险。最大的挑战在于对攻击数据流进行控制而不 能让攻击者怀疑：必须要给攻击者一定的自由度，允许他们做大部分“合法”的 事情，比如从网络上下载入侵工具包等，这样才能获取信息，学习他们的攻击方 法，但是要拒绝所有攻击其它机器的行为，这就需要一个自由度和安全性的权衡。 利用i p t a b l e s 实现连接数限制： 网络连接数限制 对内部发起到外部的网络连接进行数量限制 1 c p m d p i c m p o t h e ri p e t c i n i t d r c f i r c w a l l 通过口t a b l 鼯进行配置实现 r o a c hm o t e lm o d e - - 一“黑店模式” 反接”防火墙，只进不出 允许外部发起到内部的网络连接 阻断内部发起到外部的网络连接 北京邮电大学硕士学位论文 2 3 2 数据捕获机制 图2 1 常见的数据控制机制示意图 数据捕获，即监控和记录攻击者在蜜网内的所有行为，最大的挑战在于要搜 集尽可能多的数据，而又不被攻击者所察觉。 通常恶意软件活动的行为数据包括两类，分别是网络行为数据，如网络连接、 网络流等，和系统行为数据，包括进程、命令、打开文件、发起连接等。如下图 所示： 北京邮电大学硕士学位论文 关系型数据库访问 原始流量 e 。砌a s e 数据捕捉器l l - j i 数据融合 _ tj_li i 荨悲砂茎叫 寸伊近程 l i b p c a p f 内核 r a ws o c k e t f 以太网络i 图2 2 典型的数据捕获机制体系结构图 攻击数据包过滤： s n o r t i n li n e ：n i p s 过滤模式： 丢弃( d r o p ) ：简单丢弃攻击数据包 拒绝( r e j e c t ) ：丢弃r s t 替换( r e p l a c e ) ：替换攻击数据内容 6 北京邮电大学硕士学位论文 n e t w o r k i p t a b l e s w _ q u e u e s n o r t i n l l n e i p _ q u e u e 邛1 1 a b l e s n e t w o r k 图2 3 攻击数据包过滤示意图 快数据通道： 网络行为数据- - h o n e y w a l l 口网络流数据：a r g u s 网络流捕获工具 网络连接5 元组( s i p ，s p o r t ，d i p d p o r t ，p r o t o + 连接统计信息 * h t t p ：q o s i e n t c o m a r g u s 口入侵检测报警：s n o r t 网络入侵检测工具 给出网络流中己知攻击的报警信息”w w w s n