（计算机应用技术专业论文）网络入侵防御系统的研究与设计.pdf

摘要 计算机网络系统的安全威胁主要来自于黑客( h a c k e r ) 、计算机病毒( v i r u s ) 和拒绝服务攻击( ( d e n i a lo fs e r v i c e ) 三个方面。随着i n t e r n e t 的发展，现 代黑客从以系统为主的攻击转变到以网络为主的攻击。新的攻击手法包括：通 过网络侦听获取网上用户的账号和密码，监听密钥分配过程、攻击密钥管理服 务器以得到密钥和认证码，通过隐蔽通道进行非法活动，突破防火墙等。 入侵检测系统是当前流行的安全基础架构，是继防火墙之后信息安全产品 的另一个热点。但到目前为止，入侵检测系统还存在着一些重要的不足，如： 一般的i d s 解决方案很难管理和维护，需要大量的时间和精力以保持传感器的 安全策略的更新；更重要的是，基于混杂模式的被动侦听检测体系从本质上决 定了i d s 只能监控网络的健康状况，不能很好地抵御各种网络攻击和网络蠕虫 病毒，即使具有一定的防御能力，在时效上也往往有较大的滞后性，无法在入 侵产生危害之前将其有效、可靠地阻止。因此，如何有效地提高网络防御系统 的响应速度与效率、降低成本，是网络防御系统研发人员长期努力解决的问题。 本文着眼于提高网络防御系统的响应速度与效率，通过研究与分析，提出 了一个高效的综合型网络防御系统的设计方案。 文章首先阐述了入侵防御系统的基本概念以及分类，并对目前i p s 存在的问 题以及i p s 系统设计和实现的难点作了较深入的分析。 其次，阐述了蜜罐技术的技术原理，并介绍了现有的蜜罐产品。 第三，给出了一个入侵防御系统的设计方案，包括系统总体架构、设计模 型、模块划分、各模块功能实现等。 最后，阐述了d d o s 的攻击原理、攻击方法，并对检钡u d d o s 的算法进行了分 析和改进。 文章的最后部分指出了本研究的创新点与特点，需要继续努力的方向。 关键词：入侵防护；蜜罐；分布处理；d d o s ；检测算法；优化 a b s t r a c t 一一 a b s t r a c t t h es e c u r i t yi s s u eo fn e t w o r km a i n l ya r eh a c k e r sa t t a c k ， v i r u sa n dd e n i a l s e r v i c e w i t ht h ed e v e l o p m e n to fi n t e r n e t ，t o d a y sh a c k e rh a dt u r n e dt on e t w o r k f r o mo p e r a t i o ns y s t e m n e wa t t a c km e t h o d si n c l u d e ：g e t t i n gu s e r sa c c o u n ta n d p a s s w o r d b yn e t w o r kl i s t e n i n g ，l i s t e n i n gs e c u r i t yk e ya s s i g np r o c e s s ，a t t a c k i n g s e c u r i t yk e ym a n a g e m e n t s e r v e r t og e ts e c u r i t yk e ya n da u t h e n t i c a t i o nc o d e ， b r e a k i n gt h r o u g hf i r e w a l l ，e t c i n t r u t i o nd e t e c t i o ns y s t e m ( i d s ) i st o d a y sp o p u l a rs a f e t yb a s i cs t r u c t i o n ， i s a n o t h e rh o t p o i n to fi n f o r m a t i o ns e c u r i t yp r o d u c ta f t e rf i r e w a l l b u te x i s t i n gi d sh a s s o m es e r i o u ss h o r t c o m i n g ss of a r ， c o m m o ni d ss o l u t i o n sa r ev e r yd i f f i c u l tt ob e m a n a g e d m a i n t a i n e dm a n a g e m e n t i tt a k e sm u c ht i m ea n de n e r g yt o m a i n t a i n s e n s o r ss e c u r i t ys t r a t e g yu p d a t e i d sc a no n l ym o n i t o rn e t w o r k sh e a l t hs i t u a t i o n ，i t c a l l ，tp e r f e c t l yr e s i s tv a r i o u sn e t w o r ka t t a c ka n dn e t w o r kv i r u s ，a l t h o u g hi t h a s d e f e n s ea b i l i t y , i ti sa l w a y sd e l a y e dg r e a t l y ，i tc a nn o tp r e v e n ta t t a c k i n g h o wt o e f f e c t i v e l yi m p r o v en e t w o r kd e f e n s es p e e da n de f f i c i e n c y , a n dt or e d u c ec o s t ，i sa n i s s u et h a tn e t w o r kd e f e n s es y s t e mr e s e a r c h e r sh a v ew o r k e dl o n gt i m e t h i sp a p e re m p h a s i so ni m p r o v i n gn e t w o r kp r o t e c ts y s t e m sr e p o n s es p e e da n d e f f i c i e n c y i tp r o p o s ed e s i g np r o g r a mo f e f f i c i e n ts y n t h e s i z i n gt y p en e t w o r kp r o t e c t s y s t e m f i r s t l y ，t h i sp a p e re x p o u n d si p sb a s i cc o n c e p t a n di t sc l a s s i f i c a t i o n i t t h o r o u g ha n a l y z et o d a y si p si s s u ea n di p sd e s i g nd i f f i c u l t y s e c o n d l y ，t h ep a p e r e x p o u n d e sh o n e y p o tt e c h n o l o g yp r i n c i p l e ，a n di n t r o d u c e s t h ee x i s t i n gh o n e y p o t p r o d u c t s t h i r d l y ，t h ep a p e re x p o u n d e d d d o sa t t a c kp r i n c i p l e s ，m e t h o d s i ta n a l y z e d a n di m p m v e dd d o sd e t e c ta l g o r i t h m k e yw o r d s ：i p s ；h o n e y p o t ；d i s t r i b u t e ；d d o s ；d e t e c ta l g o r i t h m ；o p t i m i z e i i 学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得直昌太堂或其他教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确 的说明并表示谢意。 学位论文作者签名( 手写) ：牛壶专签字日期：撕厂月严日 学位论文版权使用授权书 本学位论文作者完全了解直昌太堂有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权南昌太堂可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编本学位论文。同时授权中国科学技术信息研究 所将本学位论文收录到中国学位论文全文数据库，并通过网络向 社会公众提供信息服务。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 擘盘砉导师签名： 签字日期：渺年多月，午日签字日酬年石 月f 乒日 第1 章引言 1 1 研究背景 第1 章引言 随着信息技术的迅速发展，计算机网络逐渐成为整个社会基础设施中最重 要的一部分，对计算机和网络系统的严重依赖使得如何增强计算机系统和网络 系统的安全已经成为研究热点。 计算机网络系统的安全威胁主要来自于黑客( h a c k e r ) 的攻击、计算机病 毒( v i r u s ) 和拒绝服务攻击( ( d e n i a lo fs e r v i c e ) 三个方面。防火墙和入侵 检测系统( i d s ) 是当前流行的安全策略，但它们都存在重要的不足。例如，防 火墙不能防御i p 地址欺骗攻击，很多攻击都可以绕过防火墙，只能提供粗粒度 的防御；i d s 是并联在网络上，在时效性上有很大的滞后，无法在入侵产生危害 之前进行有效地阻止等等。 入侵防御系统也称入侵防护系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) ， 是一种主动的、积极的入侵防范和嵌入式阻挡系统，当它检测到攻击企图后， 会自动地将攻击包丢弃或采取措施将攻击源阻断，因而成为近年来信息安全技 术的研究热点之一。 1 2 国内外研究现状 国外已经有一些公司提出相应的方案或开发出相应的产品，典型的有美国 网络联盟的m c a f e ei n t r u s h i e l d 网络入侵防护方案，思科公司推出的i p s 产品， n a i 公司基于主机的i p s 系统e n t e r c e p t ，n e t s c r e e n 公司推出的n e t s c r e e ni d p 系列产品等。这些产品能提供特征检测、异常检测和拒绝服务分析等。 国内在这方面的研究刚刚起步，目前也有许多学者对入侵防御技术作了一 些研究。主要的研究工作有：张立秋、常会友等提出的“基于检测和响应引擎 的入侵防御系统”、王斌提出的“一种基于人工免疫技术的入侵防御系统原型 j ，青华平、傅彦等提出的“基于模式匹配和神经网络的分布式入侵防御系统” p j ，康晓宁、蒋东兴等提出的“分布式高速网络入侵防御系统 【3 1 ，张孟洋提出 的“密罐技术在入侵检测系统中的应用”【4 】 第1 章引言 1 3 课题来源 导师指导下自选。 1 4 研究意义 本课题的研究旨在对当前i p s 的不足之处进行深入研究，提出一种将防火 墙、蜜罐技术、i p s 技术综合应用的网络入侵防御的综合解决方案，以提高防御 的效率。本研究课题具有如下主要意义： ( 1 ) 将防火墙、蜜罐技术、i p s 产品综合应用在入侵防御系统中，有效提 高了防御系统处理的效率，具有较强的实用价值。 ( 2 ) 针对当前所有的防御系统中普遍存在的处理速度问题提出了一种分布 处理的解决方案，对i p s 原理和技术的研究具有一定的参考价值。 ( 3 ) 本文是针对当前所有防御系统存在的不足而提出的，因而具有一定的 普适性。 ( 4 ) 针对目前网络攻击危害最严重的d d o s 攻击进行了深入研究，并提出 了自己的改进算法，提高了防御d d o s 攻击的效率。 1 5 论文主要工作 ( 1 ) 研究入侵防御系统的技术原理。包括基本概念、体系结构、检测技术 及现有的入侵防御方法。 ( 2 ) 研究分布式防御的技术原理。 ( 3 ) 研究密罐技术原理并应用到i p s 中。 ( 4 ) 研究d d o s 的攻击原理、行为特征，重点对d d o s 检测算法进行研究和 优化，以减少误报和漏报。 ( 5 ) 研究和设计一个高效、低误报、低漏报的入侵防御系统。 2 第1 章引言 1 6 论文组织结构 本文共分6 章，各章内容安排如下： 第1 章引言 介绍了本课题的背景、意义，课题来源。 第2 章入侵检测与入侵防御 详细讨论了网络入侵防御理论与技术。 第3 章蜜罐与通信协议 讨论和分析了蜜罐技术原理及网络安全联动通信协议。 第4 章系统设计 给出了网络防御系统的总体架构、设计模型、部分模块设计等。 第5 章d d o s 检测算法及其优化 介绍了d d o s 的攻击原理以及攻击方法，重点对d d o s 检测算法进行分析， 并提出对其进行优化的方案。 第6 章总结与展望 对本论文进行了总结，并提出了今后需要继续努力的方向。 论文最后部分是“致谢”、“参考文献 和“攻读学位期间的研究成果”。 3 第2 章入侵检测与入侵防御 第2 章入侵检测与入侵防御 2 1 入侵检测系统( id s ) 2 1 1 基本概念 入侵检测系统是用来检测未经授权对计算机资源进行非法使用行为的系 统。 由此定义可知，入侵检测系统不仅要求能够检测出来自于安全管理域外部的攻 击，而且要求能够检测出来自安全管理域内部的攻击，例如内部用户试图通过 堆栈溢出攻击获取超级用户权限等。9 3 2 1 2 系统分类 根据检测的数据来源，入侵检测可分为基于主机的入侵检测系统和基于网络 的入侵检测系统。w ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统通常采用系统日志、应用程序日志等审计数据作 为检测的数据源，然后从所在的主机收集这些信息进行分析。 基于主机的入侵检测系统一般只保护它所在的主机系统它监测系统事 件下的安全记录以及环境下的系统记录，当发生变化时，将新的记录与攻击标 记相比较，看它们是否匹配。如果匹配，说明出现攻击，系统就会向管理员报 警并向别的目标报告，以采取措施。目前很多类型的操作系统都有产生详细审 计记录的功能模块。 主机型入侵检测系统能对计算机系统做全面的监控，对用户行为的分析粒 度可以细到系统调用级。但不同系统产生的审计记录格式不同，这种类型的入 侵检测系统存在移植性的问题。为了解决这个问题，很多入侵检测系统将审计 记录收集作为一个单独的底层模块，仅通过使用不同的底层模块就可使系统在 多种平台上运行。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统使用网络上传输的数据包作为检测的数据源。通 4 第2 章入侵检测与入侵防御 常，它利用一个运行在“混杂”模式下的网络适配器来实时监视并分析网络上 传输的所有数据包，判断是否有入侵行为。一旦检测到了攻击行为，入侵检测 系统的报警部件就发出通知并对攻击采取相应的防御手段，通常包括通知管理 员、中断连接或为法庭分析和证据收集而做的会话记录。 2 1 3 检测方法 入侵检测系统的实现是通过对各种事件分析，从中发现违反安全策略的行 为，一般采用基于知识的检测方法和基于行为的检测方法。u u ( 1 ) 基于知识的检测方法 基于知识的检测指运用己知攻击方法，根据已定义好的入侵模式，通过判 断这些入侵模式是否出现来检测入侵行为。因为很大一部分的入侵是利用了系 统的脆弱性和网络协议的弱点，通过分析入侵过程的特征、条件、排列以及事 件间关系来具体描述入侵行为的迹象。 基于知识的检测也被称为误用检测，其核心是维护一个入侵规则库。对于 己知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有 限，而且入侵模式库必须不断更新。 这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为 检测结果有明确的参照，也为系统管理员采取相应措施提供了方便。其主要缺 陷在于与具体系统依赖性太强，不但系统移植性不好，维护工作量大，而且将 具体入侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是 难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没 有利用系统脆弱性。 ( 2 ) 基于行为的检测方法 基于行为的入侵检测是根据使用者的行为或资源使用状况来判断是否入 侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测。 该方法首先定义一组系统“正常”情况的数值，如利用率、内存利用率、 文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出 是否有被攻击的迹象，其核心在于如何定义“正常”情况。 基于行为的检测与系统相对无关，通用性较强。它有可能检测出更广泛的、 甚至未知的攻击行为。但由于不可能对整个系统内的所有用户行为进行全面的 第2 章入侵检测与入侵防御 描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。 尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不 断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测 系统，以至于最初认为是异常的行为，经一段时间训练后也认为是正常的了。 从上面对二种入侵检测方法的分析中，可以看出基于行为和基于知识的检测 方法各有优缺点，如果条件允许，两者结合的检测会达到更好的效果。 2 1 4 主要特点 ( 1 ) 主要优点 可以监视进出网络的用户，发现网络是否存在异常。 可以弥补防火墙的不足，发现绕过防火墙的入侵者，保护内部网的安全。 能够对网络入侵行为做到事先预防。 ( 2 ) 主要缺点 入侵检测系统要依赖系统的审计信息，这种依赖关系使得系统缺少灵活 性。比如，一个相同的入侵行为在不同的系统上也许会产生不同的行为特征， 造成同一个入侵行为有不同的匹配规则或模型，也就是适用于某一个系统上的 行为规则不一定适用于其他系统，这样在不同系统间的可移植性就会较差。 入侵检测系统不能在入侵行为发生之前，预先报警。 入侵检测系统不能在入侵行为发生之前，进行阻止。 入侵检测的规则和模型不易创建和维护。 2 2 防火墙 2 2 1 概述 防火墙实际上是一种隔离技术，它能够根据管理员设定的安全策略允许或 拒绝出入网络的数据流，并且本身具有较强的抗攻击能力，它是实现网络和信 息安全的基础设施。在网络拓扑结构中的位置，一般位于内部局域网与入口路 6 第2 章入侵检测与入侵防御 由器之间。防火墙在逻辑上是一个分离器，保证了内部网络的安全。瞄u 总的来说防火墙有以下功能特点： ( 1 ) 防火墙的过滤技术是网络安全的屏障。 防火墙通过安全配置，如限制i p 地址、端口，配置访问规则等手段，能够 过滤非法数据包。 ( 2 ) 对网络存取和访问进行审计 如果所有的访问都经过防火墙，那么防火墙的过滤引擎就能记录下这些访 问 行为，并做出相应的日志记录，同时也能为管理员提供网络使用情况的统计数 据， 防止内部信息的外泄。通过防火墙对内部网络的划分，可实现重点网段的隔离。 防火墙可以作为多个区域之间的网络数据包转发器。 2 2 2 现状与发展 防火墙技术从诞生时起到今天，随着人们对网络安全需求的日益迫切，无 论是在理论上还是实践上，都已经获得了较大的发展。 防火墙采用包过滤访问控制技术，检查所有通过其转发的信息包中的信息， 并按照系统管理员所给定的过滤规则进行匹配和过滤。包过滤防火墙的技术原 型来自于路由器，路由器在路由表中查找转发信息，根据安全策略的配置，检 查将要转发数据包的特征是否符合安全策略，如果符合就转发，否则抛弃。安 全策略描述数据包的特征主要有地址、协议类型端口、转发时间等来自于包头 部的信息。 防火墙作为网络隔离设备，不能提供实时的入侵检测能力其中尤其对来自 内部或已穿过防火墙的攻击束手无策。实际上，出于防火墙本身的系统漏洞， 以及升级换代速度远跟不上黑客攻击技术，使得它无法阻隔所有的攻击。 7 第2 章入侵检测与入侵防御 2 3i d s 与防火墙联动技术 ( 1 ) i d s 与防火墙的比较 入侵检测系统被定义为用来检测未经授权对计算机资源进行非法使用行为 的系统；而防火墙定义为不同网络之间的一种特殊的访问控制设施，用于隔离 不同网络之间的信息流动。从两者的定义中不难看出，防火墙的本质是一种访 问控制设施，而入侵检测系统重在检测，并不进行访问控制。防火墙可以看成 是一种被动防御系统，入侵检测系统则是一种主动防御系统。从实现的角度看， 防火墙由于串联在网络中，因而防火墙的性能是个关键问题，而入侵检测系统 通常与网络是一种并联关系，检测功能的强大与否是入侵检测系统的一个关键 问题。由上可知，防火墙与入侵检测系统是一种互补的关系，综合利用这两种 安全保障机制，可以达到一种更好的效果。 ( 2 ) i d s 与防火墙的联动 如果将防火墙作为一种被动防御设施使用串联方式接入网络中，而入侵检 测系统作为一种主动防御设施使用并联方式接入网络中。当来自外部的攻击发 生时，如果有入侵者绕过防火墙，被入侵检测系统检测出来，入侵检测系统可 以通过预先定义的接口将信息提交给防火墙。防火墙收到信息后，可以做适当 的配置调整，丢弃恶意连接会话的后续报文，并在一段时间内拒绝接受来自该 攻击源地址的报文。因此，如果将i d s 与防火墙联合部署应用，将可以获得良 好的安全性能。 2 4 网络入侵防御系统( ip s ) 2 4 1 基本概念 入侵防御系统也称入侵防护系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) ， 是一种主动的、积极的入侵防范系统。它部署在网络的进出口处，当检测到攻 击企图后，会自动将攻击包丢弃或采取措施将攻击源阻断。i p s 的检测功能类似 于i d s ，与i d s 不同的是，i p s 不是在攻击发生时，简单地发出告警，而是在攻击 产生之前立即采取行动阻止攻击，从而对内部网络提供实时的保护。可以说i p s 第2 章入侵检测与入侵防御 是基于i d s 的、建立在i d s 发展基础上的新生网络安全产品。i p s 弥补当今防火墙、 防病毒、i d s 、补丁管理等响应式的安全解决方案的不足，已成为网络安全中的 一支生力军。5 3 2 4 2 工作原理 i p s 通过检测流经的网络流量，提供对网络系统的安全保护。它是与受保护 网段串联部署的，受保护网段与其它网络之间交互的数据流都必须通过i p s 设 备。 i p s 至少有两个网络端口，一个连接到内部网络，另一个连接到外部网络。 当数据包流经任何一个网卡接口时，i p s 将把它们传递给检测引擎，在这一点上， i p s 的检测引擎同任何i d s 一样，将确定此包是否含有威胁网络安全的特征。 当检测到攻击数据包时，i p s 不但发出报警而且丢弃该包或阻断会话，当该 会话流的其它数据包到达i p s 时，数据包将被立即丢弃。 在技术上，i p s 吸取了i d s 所有的成熟技术，包括特征匹配、协议分析和异 常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于 状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避 免受到欺骗攻击。 i p s 的主要优点包括： ( 1 ) 能够在被保护的主机受到攻击之前，丢弃攻击包，使被保护主机免受 破坏。 ( 2 ) 具有比防火墙更强的检测能力，能够提供从三层到七层的检测。 传统的防火墙只能对网络层或传输控制层进行检查，不能检测应用层的内 容。防火墙的包过滤技术不会针对每一个字节进行检查，因而也就无法发现攻 击活动，而i p s 可以做到对流经的数据包的源地址、目的地址、端口号和应用 信息进行检查。通过检查的数据包可以继续前进，包含恶意内容的数据包就会 被丢弃，被怀疑的数据包则需要接受进一步的检查。 2 4 3 存在的主要问题 ( 1 ) 误报问题。 i p s 有可能引发误操作，这种主动性误操作会阻塞合法的网络事件，造成数 9 第2 章入侵检测与入侵防御 据丢失，最终影响到商务操作和客户信任度。 ( 2 ) 漏报问题。 i p s 有可能对某些攻击漏检，造成被保护的网络受到攻击。 ( 3 ) 速度瓶颈问题。 由于i p s 是串联在网络上，容易造成速度瓶颈，造成网络的延迟。 ( 4 ) 安全运行可靠性问题。 由于i p s 是串联在网络上，其可靠性直接影响网络的正常使用。 2 4 4 实现的主要难点 ( 1 ) 入侵检测功能的误报率必须控制在可以接受的范围之内 由于i p s 系统会根据入侵检测的结果实时对网络进行阻断，大量的误报会 严重影响网络的可用性。 ( 2 ) 响应引擎模块不能对网络性能造成影响 由于i p s 系统是直接串联在网络中，因此其响应引擎模块对网络的性能有 着直接的影响，i p s 本身不应成为网络流量的瓶颈。 ( 3 ) 入侵检测模块的性能和稳定性 入侵检测大多是基于特征检测的，计算量比较大，通常的系统在大流量冲 击下可能使入侵检测模块自身瘫痪或丢失报文，形成d o s 攻击。 1 0 第3 章蜜罐与通信协议 3 1 蜜罐 3 1 1 定义 第3 章蜜罐与通信协议 蜜罐( h o n e y p o t ) 是一种在网络上引诱黑客或蠕虫攻击的，带有漏洞的真 实或虚拟系统，其主要作用是模拟一个或多个易受攻击的主机，给黑客提供一 个容易攻击的目标。h 1 3 1 2 技术原理 蜜罐是诱导入侵远离重要系统的一个圈套，其主要功能： ( 1 ) 转移入侵者的视线； ( 2 ) 收集入侵者的活动信息； ( 3 ) 引诱入侵者在系统中逗留足够的时间，使管理员能对此入侵做出响应。 蜜罐技术使用的工具包括灵敏的监视器和事件日志。事件日志用以检测访 问和收集入侵者活动的信息。因为任何对蜜罐系统的访问，系统都给出入侵成 功的假象，所以系统管理员可以不暴露真实系统的情况下，有时间转移、记录、 跟踪入侵者。 蜜罐技术的出现填补了现有网络安全技术的不足，在某些方面具有较强的优 势，但该技术一般不单独使用，主要作为现有技术的辅助与补充，协同其他技 术一起维护网络的安全。蜜罐系统主要基于以下几种技术：u 刘 ( 1 ) 网络欺骗 为了使蜜罐可以引诱攻击者，使其成为首选的攻击目标，蜜罐使用了各式 各样的欺骗技术，目前蜜罐的网络欺骗技术主要有以下几种： 模拟服务端口。模拟服务端口是诱骗黑客攻击的常用欺骗手段，当黑客 通过端口扫描检测到系统打开了非工作的服务端口，黑客很可能主动向这些端 口发起连接，并试图利用己知系统或应用服务的漏洞来发送攻击代码。而蜜罐 系统就是通过端口响应来收集所需的信息。 第3 章蜜罐与通信协议 模拟系统漏洞和模拟应用服务。模拟系统漏洞和模拟应用服务为攻击者 提供了比端口模拟更强的交互能力，可以给出一些端口响应无法给出的响应。 ( 2 ) 数据控制 蜜罐作为入侵者的攻击目标也不可避免地被入侵者俘获，成为入侵者攻击 第三方的跳板。数据控制技术则是采取“宽进严出 的方法：对所有流入的信 息包一般不加以限制，但对流出的数据进行监控和追踪，设定某一对外的连接 上限，当网络连接数目超过该值时，便阻塞多余的信息包。这样既可以给予入 侵者足够的自由，又可以防止被攻占的蜜罐系统成为攻击第三方的跳板。 ( 3 ) 数据捕捉 蜜罐系统可以捕捉防火墙日志、网络流量、系统活动等重要数据，然后传 送至远端日志服务器并给予分析。通过分析所捕获的数据信息，可以明确入侵 者的攻击手段、攻击目的等有用数据，为管理员对付入侵者提供有力帮助。 ( 4 ) 早期预警 由于蜜罐系统预设的漏洞、陷阱等对于入侵者有着很大的吸引力，所以它 一般会成为首选的入侵对象。而蜜罐系统一旦被访问或是扫描，则可以根据实 际情况及早通知网络管理员，对网络实施监控。蜜罐系统的预警信息理论上比 i d s 要准确。 ( 5 ) 空间欺骗 空间欺骗利用计算机的多宿主能力在一块网卡上分配多个地址，来增加入 侵者的搜索空间，从而显著增加他们的工作量。这项技术和虚拟技术结合可以 建立一个大的虚拟网段，且花费极低。 ( 6 ) 流量仿真 入侵者侵入系统后，利用一些工具分析系统的网络流量，如果发现只有少 量的网络流量，那么系统的真实性势必会受到怀疑。流量仿真是利用各种技术 产生欺骗的网络流量，使流量分析工具不能检测到欺骗。主要方法包括： 采用实时或重现的方式复制真正的网络流量，这使得欺骗系统与真实的 系统十分相似。 从远程伪造流量，使入侵者可以发现和利用。 ( 7 ) 虚拟技术 蜜罐必须表现得像一个正常的工作系统，黑客才会对其进行攻击，并在蜜 罐上停留较长的时间，暴露出更多的信息。虚拟系统就是在一台真实的物理机 1 2 第3 章蜜罐与通信协议 上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台 上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机称为 虚拟机。通过对网卡的模拟，每一个虚拟机都可拥有自己独立的地址，可以让 一台真实的机器模拟出连接在网上的多台主机，形成一个局域网。虽然这些虚 拟机在一台机器上运行，但相互独立，可通过协议进行通信。且虚拟机都具有 各自独立的文件系统，能够独立地提供网络服务，并装备其他带有欺骗性的系 统属性，这些系统属性就是被设计用来模拟关键系统的外表表象和内容。 ( 8 ) 入侵行为重定向技术 入侵行为重定向功能基于防火墙的地址转换技术，它构建于网络入侵检测 系统基础之上，其重点不在捕获而在于欺骗。当入侵检测系统检测到入侵行为， 就把入侵数据流重定向到诱骗网络，并切断入侵者与实际网络的连接。此过程 对入侵者是不可见的，因为入侵者仍与一个行为特征类似于实际网络的诱骗网 络保持联系，并不能觉察至少不能立即觉察所入侵网络的的异样性。这样入侵 检测系统就可以没有安全顾虑地监视入侵者，观察他们如何攻击这个网络，研 究怎样在实际的系统中防止这样的攻击。 ( 9 ) 访问控制技术 蜜罐的访问控制应包括以下几个方面： 连接控制。为防止入侵者以蜜罐系统为跳板对其他系统进行攻击，必须 对蜜罐系统的连接加以限制，连接控制策略可以采用静态方法对外出连接的连 接频度或连接数设定阈值，检查每个蜜罐主机有多少个外发连接，当达到阈值 时，就配置防火墙发送报警信息并将超出的连接自动断开，这样就可以避免入 侵者利用蜜罐对第三方进行攻击。同时所有的外出和外来数据都被记录并保存 在远程日志服务器上，这些数据用来对入侵进行攻击分析和来源分析，并提取 新的规则。 路由控制。利用路由器的访问控制功能对外出的数据包加以控制，禁止 非蜜罐系统的源包路由，并对外出包进行流量限制，这样可以防止入侵者在控 制了蜜罐系统后伪造数据包对其它系统入侵，通过连接控制与路由控制相结合 的方法，给予入侵者灵活操作的同时又控制了入侵者的活动。 蜜罐系统作为网络攻击的目标，其自身的安全尤其重要。如果蜜罐系统被 攻破，不仅得不到任何有价值的信息，蜜罐系统甚至可能被入侵者利用作为攻 击其他系统的跳板。所以为保证蜜罐自身的安全，必须对其进行流量控制。在 第3 章蜜罐与通信协议 本系统中，采取流量控制策略允许所有对蜜罐的访问，但控制蜜罐对外发起的 连接。当蜜罐系统发起外出的连接，说明蜜罐系统被攻破了，这些外出的连接 很可能是入侵者利用蜜罐对其他系统发起的攻击连接。对外出连接的控制不是 简单的阻断蜜罐对外所有的连接，可以限制定时间段内外出的连接数，甚至 可以修改这些外出连接的数据包，使其不能到达目的地，同时又给入侵者网络 数据包己正常发出的假象。 蜜罐系统需要隐蔽地采集尽量全面的黑客活动信息。对黑客在蜜罐上的活 动，需要从系统级、网络级等多个层次进行记录，以完整认识黑客的活动。对 应用服务器的非工作端口采取重定向功能，将检测到的攻击数据流重定向到蜜 罐主机。对进出蜜罐主机的入侵行为进行详细的记录，收集原始数据，并进行 行为跟踪，以便于分析系统对可疑行为及入侵行为的进一步分析。同时向控制 台发送告警和日志信息，通过对这些信息的审计和抽取，系统对入侵检测知识 库进行更新，将新的模式添进去调整策略，以阻止攻击源的入侵。 3 1 3 主要产品 目前出现的蜜罐产品，有些是开源的产品，有些是蜜罐技术与i d s 相结合的 商品化高效防御系统，主要包括： ( 1 ) b a c ko f f i c e rf r i e n d l y ( b o f ) 一种伪装服务器的应用程序，是基于蜜罐技术的一种结构较简单的产品。 它通过模拟一些基本的服务，如h t t p 、f t p 、t e l n e t 、p o p 3 等伪装成一个系统， 并对开启的服务端口进行监视。b o f 的特点是资源占用低、执行效率高，比较适 合个人使用。 ( 2 ) h o n e y d h o n e y d 是g n ug e n e r a lp u b l i cl i c e n s e 发布的开源软件，可以用来创建虚 拟网络上的主机，这些主机摸拟某个特定版本的操作系统并对外提供虚拟服务。 1 4 第3 章蜜罐与通信协议 3 2 网络安全联动通信协议 3 。2 。1 定义与内容 当多个系统间需要进行协作和联动时，必然需要一组所有系统都要遵循的通 信协议，才能实现各系统之间的信息共享。一个完备的通信协议必须包含以下 几方面的内容：。 ( 1 ) 通信内容的定义和解析 为了使通信的双方或是多方能够理解彼此传送的数据表达的意思，通信的 各方必须对通信的内容作出统一的定义和统一的解释。对于本系统而言，由于 通信的各方可能是不同厂家的不同安全产品，而且考虑到新的网络安全事件不 断出现，因此通信协议必须具有简单性、完备性、可扩展性的特点。 ( 2 ) 通信各方的彼此定位 一个通信协议除了要定义通信数据的统一格式，还要想办法把通信数据传 送给想要通信的对方。在成功传递数据之前，通信各方必须先确定对方在网络 中所处的位置。根据通信协议所处层次的不同，所需要考虑的定位问题的程度 也有所不同。如果此协议处于应用层，可能只需要知道对方的u r l ，如果它处 于更低一点的层次，定位技术可能就要结合通信各方在网络上的布置和组合方 式。 ( 3 ) 出错检查和处理机制 由于现实的网络存在噪声，通信过程可能出现各式各样的错误，需要根据 协议所处的层次选择不同的错误检查和处理机制。 ( 4 ) 安全机制 数据在网络中传输时可能受到不同程度的攻击，这就需要某种安全机制来 保证数据安全传输给通信对方，而不被攻击者窃取、破坏和篡改。 3 2 2 主要功能 目前的安全技术趋向于分布式布置，有向标准化、主动化和智能化发展的 倾向，而且各种技术之间也越来越讲求联动，以取长补短。由于防火墙、i d s 和 蜜罐等安全技术采用不同的检测规则和不同的响应措施，为了使它们之间能够 第3 章蜜罐与通信协议 顺利地进行互操作，必须为它们制定一个通用的通信协议。当这些不同的系统 协作时，必须遵循此通信协议来构造彼此通信的数据包，从而可以在不改变协 作的各个安全部件内部实现方式的情况下，互补长短，互通有无，形成高效完 备的深层防御体系。 3 2 3 主要协议 目前提出的网络安全联动协议主要有：u w ( 1 ) c i r t a( c o o p e r a t i v ei n t r u s i o nt r a c e b a c ka n dr e s p o n s e a r c h it e t u r e ) c i r t a ( 协同入侵追踪及响应体系) ，该项目是由d a r p a 赞助，n a t ，u c d a v i s 等联合研究的，主要研究目的是将来自入侵检测系统、路由器、防火墙、安全 管理系统等的信息进行统一处理，发现和追踪跨网的攻击，阻止并降低攻击的 风险，在全网范围内协同入侵响应。c i t r a 还存在技术不成熟，存在大量误警 和误响应，不能轻易采取主动响应，容易被攻击者利用，造成拒绝服务攻击， 主要采取人工响应等问题。 ( 2 ) a i r c e r t ( a u t o m a t e di n c i d e n t r e p o r t i n g ) a i r c e r t 项目是由c e r t ( 安全应急响应小组) 和s a n s ( 系统管理及网络 安全) 研究机构共同承担，可以使得不同的安全管理系统自动而不是人工的向 c e r t 通报安全事件，此外c e r t 和s a n d i a 共同定义了一种计算机安全事件描 述语言( c l c s i ) 。 ( 3 ) o p s e c ( o p e np l a t f o r mf o rs e c u r i t y ) o p s e c 是由c h e c kp o i n t 公司倡导和发起的，它的目的就是解决目前各种 安全产品间的互操作性问题。o p s e c 联盟分为两大部分：一部分提供集成的应 用程序，它由许多i t 厂商组成，这些厂商提供了被c h e c kp o i n to p s e c 认可 的、并且与o p s e c 构架兼容的产品；另一部分提供基于c h e c kp o i n t 平台的 安全服务，这部分厂商向用户提供基于c h e c kp o i n t 解决方案的市场领先的硬 盒子产品( a p p l i a n c e ) 以及互联网设备和服务器。o p s e c 可以与多项功能联动， 这包括与内容安全联动、与w e b 资源联动、与入侵检测联动和与认证联动。 ( 4 ) t o p s e c ( t a l e n to p e np r o t o c o lf o rs e c u r i t y ) t o p s e c 网络安全体系平台是以n g f w 系列防火墙产品为核心，以自主设计 1 6 第3 章蜜罐与通信协议 的t o p s e c 协议为基础框架，以p k i c a 体系为安全支撑和保障，与各类网络 安全技术和优秀网络安全产品在技术上有机集成，实现安全产品之间的互通与 联动，是一个统一的、可扩展的安全体系平台。该联动协议的核心思想是要求 安全系统在防护、监测、审计、管理、服务五个环节之间联动，实现产品之间、 安全产品与集中管理平台之间，安全产品与集中审计平台之间，安全服务与其 它安全环节和安全产品之间的联动。 ( 5 ) c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) c i d f 是d a r p a 和i e t f 的i d w g 共同发起制定的，它详细定义了i d s 的 体系结构、a p i 、通信机制和语言格式等各个方面，是整个领域最具影响力的标 准。c i d f 是由在d a r p a 的i t o 部门工作的t e r e s al u n t 首先提出的，随即 它引起了广泛的关注，许多与d a r p a 无关的公司和组织也加入进来。它从提出 伊始就着眼于在全球范围内建立一个协作化的分布式入侵检测系统。 3 2 4lp s 的通信 由于c i d f 详细定义了i d s 的体系结构、a p i 、通信机制和语言格式，因此 本系统可以使用c i d f 网络通讯协议进行系统的通讯模块设计，把所有发生在不 同功能部件间的通信事件都用一种统一的方式去对待和处理。通过通讯模块， 可以将蜜罐收集到的信息，发往i p s 进行入侵规则的调整，i p s 检测到的入侵规 则也可以发往防火墙，从而修改防火墙的规则。 1 7 第4 章系统设计 4 ，1 系统部署结构 第4 章系统设计 外网 图4 1i p s 的网络拓朴 内部网 络 网络拓扑如图4 1 。i p s 系统被部署在防火墙与内部网络之间，蜜罐系统部 署在防火墙和路由器之后。蜜罐与内部网络平行放置，这使得蜜罐充分暴露给 外界，也造成蜜罐是内部网的假象，使蜜罐系统看起来更为真实。 防火墙作为防御系统的第一道防线，能够隔离大部分的外部入侵。防火墙 将蜜罐与真实的系统隔离开来，避免攻击者利用蜜罐作为攻击的跳板，阻止蜜 罐对内部网络的破坏，但是防火墙允许蜜罐与外部网络通信，这样可以使攻击 者难以觉察到被欺骗，从而吸引攻击者继续在蜜罐上停留。 在蜜罐和防火墙之间添加路由器的目的是为了很好地隐藏防火墙。因为当 黑客进入蜜罐后，将会发现蜜罐系统由路由器连着外网，这种布局也更符合一 个真实的网络配置。 防火墙把蜜罐配置为末节网络，在其出口处进行控制，允许所有进入的连 接，控制蜜罐对外部的连接，一旦蜜罐系统向外部的连接达到一定数目，防火 墙就会阻断所有的连接企图。 蜜罐系统中各个主机分别利用虚拟技术，模拟出多个操作系统，这样每台 第4 章系统设计 机器就变成了多台虚拟机。而且虚拟机都具有各自独立的文件系统，能够独立 地提供网络服务，并装备其他带有欺骗性的系统属性。通过模拟操作系统、服 务进程、应用软件的漏洞和脆弱性来引诱入侵者。 蜜罐、防火墙和i p s 系统进行联动。当i p s 检测到可疑攻击，通过防火墙 的转向功能将黑客转向到蜜罐中。蜜罐将记录的入侵行为实时发送到i p s 中， 加入新的入侵规则，从而使i p s 能检测到新的入侵攻击。 入侵防御系统通过与防火墙的合作防御，在很大程度上减轻了入侵防御系 统的压力。防火墙能够屏蔽掉很大一部分的非法通讯流量，因此，入侵防御系 统可以有针对性地对数据包进行检测，从而大大提高了入侵防御系统的效率。 入侵防御系统与防火墙之间的合作防御主要是利用相互传送政策规则来达到 的。网络入侵防御系统把自身阻塞率最高的安全事件