（计算机应用技术专业论文）关于蜜罐的两种机制研究和设计.pdf

哈尔滨理工大学工学硕士学位论文 关于蜜罐的两种机制研究和设计 摘要 蜜罐是一种网络安全技术，它主要目的是通过伪装成真实系统或服务来 诱骗攻击者攻击。蜜罐能主动诱惑攻击，克服了防火墙静态防御的缺点；又 因为只作为诱饵，没有其它用途，所有进出蜜罐的数据都是可疑的，这样就 弥补了入侵检测系统高误报率和高漏报率的缺陷。蜜罐有着许多其它网络安 全技术无法比拟的优点，已经成为当前网络安全领域里研究的热点。 本文提出欺骗端口系统( d e c o yp o r ts y s t e md p s ) 来解决蜜罐收集和研究 攻击行为只局限于自身而不适用于网络问题。该系统安装在非蜜罐主机上， 它能接收s n o r t 系统的入侵检测报警通知，响应通知来切断后续攻击，黑客 再次攻击时将攻击重定向到蜜罐；还能用欺骗端口模拟服务，吸引攻击并将 攻击重定向到蜜罐，给黑客以已成功攻陷该非蜜罐主机的假象；并改进重定 向避免了指纹识别等问题。本文设计了一种s n o r t 输出插件，该插件可以格 式化入侵数据形成通知发送给欺骗端口系统。实验结果表明，欺骗端口系统 有效地将s n o r t 系统检测到的和模拟服务端口吸引到的攻击平滑地重定向到 蜜罐。 本文提出动态连接重定向思想解决了传统连接限制方法在阻止黑客攻陷 蜜罐后向外入侵方面所带来的安全和效率问题。该思想描述了连接限制方法 带来的一些弊端；讨论蜜罐之问相互重定向存在的问题，并加以改进；然后 实例阐述了l i n u x 系统d n a t 实现重定向的原理。利用基于n e t f i l t e r i p t a b l e s 的 l i n u x 防火墙设置i p t a b l e s 规则，防火墙根据i p 和端口等包头特征将向外的 攻击流动态地转移到其他蜜罐上来实现该思想。实验结果表明，蜜罐之间有 效地重定向攻击流，并阻止黑客识别蜜罐的存在，一定程度上解决了外出连 接带来的问题。 关键词蜜罐；欺骗端口；动态连接；重定向 哈尔滨理工大学t 学硕一l ：学位论文 r e s e a r c ha n d d e s i g no nt w om e c h a n i s m s a b o u th o n e y p o t a b s t r a c t h o n e y p o ti sak i n do fn e t w o r ks e c u r i t yt e c h n o l o g ya n di t sm a i np u r p o s ei s t ol u r et h ea t t a c k e rt oa t t a c kb yd i s g u i s i n gi t s e l fa sa r e a ls y s t e mo ras e r v i c e i t c a l lt a k et h ei n i t i a t i v et oa t t r a c t a t t a c k sa n do v e r c o m e st h ed i s a d v a n t a g eo f f i r e w a l la ss t a t i cd e f e n s e ；a l s o ，s i n c ei to n l ys e r v e r sa sa b a i t ，t h e r ea r en oo t h e r p u r p o s e s ，a l ld a t at r a n s f e r r e dt oo rf r o mt h eh o n e y p o ti ss u s p i c i o u s ，i tf i x e st h e d i s a d v a n t a g e so fh i g hf a l s ea l a r mr a t ea n do m i s s i o nr a t eo fi n t r u s i o nd e t e c t i o n s y s t e m h o n e y p o th a sal o to fm e r i t sw h i c ho t h e rs e c u r i t yt e c h n o l o g yc a nn o t c o m p a r e t h es t u d ya b o u th o n e y p o th a sb e c o m eah o ts p o tc u r r e n t l y t h i sp a p e rp r o p o s e sd e c o yp o r ts y s t e m ( d p s ) t os o l v et h ep r o b l e mt h a t h o n e y p o tf o rc o l l e c t i n ga n dr e s e a r c h i n ga t t a c ka c t si sl i m i t e dt oi t so w no n l y , b u t d o e sn o ta p p l yt on e t w o r k t h es y s t e mi si n s t a l l e do nn o n - h o n e y p o th o s t ，i tc a n r e c e i v es n o r th t m s i o nd e t e c t i o ns y s t e ma l a r mn o t i f i c a t i o n ，b l o c kf o l l o w i n g a t t a c k sa sr e s p o n s et on o t i f i c a t i o n ，a n dt h e nr e d i r e c ta t t a c k st oa h o n e y p o t ；i tc a n a l s od i s g u i s ei t s e l fa ss e r v i c ep o r tt oa t t r a c ta t t a c k s ，r e d i r e c ta t t a c k st oah o n e y p o t ， a n dg i v e sh a c k e r st h ei l l u s i o nt h a tt h e yh a v es u c c e s s f u l l yc o m p r o m i s e dt h en o n h o n e y p o th o s t ；d p si m p r o v e st h er e d i r e c t i o nt oa v o i df i n g e r p r i n ti d e n t i f i c a t i o n a n do t h e ri s s u e s t h i sp a p e rd e s i g n sas n o r to u t p u tp l u g i n ，t h ep l u g i nc a nf o r m a t t h ei n s t r u s i o nd a t at of o r mt h en o t i f i c a t i o ns e n tt o d p s e x p e r i m e n t a lr e s u l t s s h o wt h a td p sc a ne f f e c t i v e l yr e d i r e c t sa t t a c k sd e t e c t e db yt h es n o r ts y s t e mo r a t t r a c t e db yt h ed e c o yp o a st ot h eh o n e y p o ts m o o t h l y t h i sp a p e rp r o p o s e sd y n a m i cc o n n e c t i o nr e d i r e c t i o ni d e at os o l v es o m e p r o b l e m sa b o u ts e c u r i t y a n de f f i c i e n c yt r a d i t i o n a lc o n n e c t i o nr e s t r i c t i o n m e t h o dw i l l b r i n ga b o u tt op r e v e n th a c k e r sf r o mo u t s i d ea f t e rt h ef a l l o f h o n e y p o ti n v a s i o n f i r s t l y , t h ei d e ad e s c r i b e st h ed r a w b a c k so fc o n n e c t i o n r e s t r i c t i o nm e t h o d ；t h e ni td i s c u s s e ss o m ep r o b l e m so fr e d i r e c t i n gb e t w e e n i i - 哈尔滨理工大学t 学硕士学位论文 i h o n e y p o t sa n di ts o l v e st h ep r o b l e m s ；t h e ni te l a b o r a t e st h ep r i n c i p l eo fd n a t r e d i r e c t i o ni m p l e m e n t a t i o no nl i n u xs y s t e mw i t hae x a m p l e f i n a l l y , t h i sp a p e r u t i l i z e sl i n u xf i r e w a l lb a s e do nt h en e t f i l t e r i p t a b l e st os e tt h ei p t a b l e sr u l e s 1 i n u x f i r e w a l lr e d i r e c t so u t w a r da t t a c kf l o w st oo t h e rh o n e y p o t sa c c o r d i n gt oi pa n d p o r ti nt h ep a c k e th e a d e rt oi m p l e m e n tt h ei d e a t h ee x p e r i m e n t a lr e s u l t ss h o w t h a tt h eh o n e y p o tc a ne f f e c t i v e l yr e d i r e e ta t t a c kf l o w st oe a c ho t h e ra n d p r e v e n t h a c k e r sf r o mi d e n t i f y i n gt h ee x i s t e n c eo ft h eh o n e y p o t ，i tt os o m ee x t e n ts o l v e s m a n yp r o b l e m sc o n n e c t i o nr e s t r i c t i o nm e t h o dc a b s e s k e y w o r d s h o n e y p o t ，d e c o yp o r t ，d y n a m i cc o n n e c t i o n , r e d i r e c t 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文关于蜜罐的两种机制研究和 设计，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独立进行 研究工作所取得的成果。据本人所知，论文中除己注明部分外不包含他人己发 表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文中 以明确方式注明。本声明的法律结果将完全由本人承担。 储虢首显炱嗍帅弓月忉日 哈尔滨理工大学硕士学位论文使用授权书 关于蜜罐的两种机制研究和设计系本人在哈尔滨理工大学攻读硕士学 位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大 学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈尔滨 理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交论 文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影 印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内容。 本字位论又属于 保密口，在年解密后适用授权书。 不保密面。 ( 请在以上相应方框内打) 作者签名：译r日期：油叩年月印日 刷磁铄1 协趴肌叼鹎月谰 f 哈尔滨理工大学工学硕士学位论文 1 1 研究的背景及意义 第1 章绪论 计算机网络应用的日益广泛，网络安全事件时常发生，给受害企业和个人 造成了极大的损失。随着攻击手段和手法的日趋复杂多样，仅仅依靠传统的安 全防范措施已经无法满足对安全高度敏感的部门的需要。目前网络安全防护采 用的技术主要有防火墙、入侵检测、病毒防护、访问控制、密码技术等。它们 在网络安全应用中都发挥着各自的作用。然而传统的这些网络安全技术大多是 被动的，各自有着致命的弱点，例如防火墙，它无法防御通过防火墙以外的其 他途径进入的攻击；不能抵抗未知的漏洞攻击；无法防御内部攻击等川。入侵 检测系统则可能产生大量的错误报警信息，忽视真正的恶意行为，而且高速的 网络数据包处理对硬件要求相当高。这些技术越来越为黑客们所熟悉，如何绕 开这些防护手段己经是黑客们经常研究的课题。 要避免攻击，就要了解自己面临的威胁和攻击者的情况。蜜罐就是为研究 攻击者而发展起来的一项新技术，蜜罐是一种信息系统资源，其价值在于被扫 描、攻击和攻陷。这个定义表明蜜罐并不提供具备信息价值的服务，因此所有 流入、流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷等活动。蜜罐对这 些攻击活动进行监视、检测和分析。通过部署h o n e y d 等工具模拟真实服务和操 作系统，蜜罐能吸引黑客来攻击它，延缓了对受保护主机的攻击；它能利用高 交互性和开放服务吸引自动恶意代码攻击并加入僵尸网络，方便跟踪僵尸网 络，类似地还能追踪网络钓鱼等，这些都是防火墙等安全手段所办不到的。使 用蜜罐的具体方式完全取决于自己，取决于要完成的目标伫1 。现在很多公司的 网络环境部署中采用了蜜罐作为网络防御手段的补充，也有专门的联盟研究蜜 罐相关的技术，它必将越来越成熟，也必然发挥着越来越重要的作用。 虽然蜜罐有着许多独特的优点，但不能完全替代现有的网络安全技术，现 有的蜜罐技术还远未成熟，在欺骗的复杂性、部署维护的难度及范围上都还存 在着较大的缺陷。蜜罐只能对针对自身的攻击行为进行监视和分析，其视野较 为有限，如果黑客发现蜜罐的存在并绕过它去另外攻击非蜜罐主机，蜜罐就无 能为力，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控；运 行时可能留下指纹，蜜罐具备一些特定的预期特征或者行为，因而能够被攻击 者识别出其真实身份：蜜罐运行时将风险带入了网络环境中，这个风险就是一 旦蜜罐被攻击了，它有可能被攻击者利用作为攻击、渗透其他系统或组织的跳 板。所以在当今的网络环境必须充分将蜜罐跟其他网络安全技术融合，帮助蜜 罐最大限度发挥其诱惑欺骗和研究攻击作用；要完善蜜罐自身的功能，加强隐 藏的能力防止被容易识别；更要控制黑客攻陷蜜罐利用作为跳板带来的危害。 1 2 国内外研究现状 1 2 1 蜜罐的发展过程 蜜罐的思想最早可追溯至u 1 9 8 8 年5 月，c l i f f o r ds t o l l 发表了一篇题为 “s t a l k i n gt h ew i l yh a c k e r 的文献曲1 。其中介绍了作者追踪黑客的过程，当他发 现自己的系统被黑客侵入，为了找到入侵者，作者采取了保持系统对黑客开放 的方法对黑客进行迷惑，对系统进行严密的监视，悄悄记录黑客的活动并进行 追踪。作者介绍了在这一过程中采用的一种技术手段，即伪造一些包含敏感信 息的文件作为诱饵吸引住入侵者，让其暂时不去进行其他的破坏，也给自己的 追踪赢得了时间。作者提到，如果使伪造的文件包含不同类型的信息，就可能 试探出入侵者的兴趣。这就是当时蜜罐的基本思想，停留在用敏感的文件来吸 引黑客层次上。 从上世纪九十年代初蜜罐概念的提出直到1 9 9 8 年左右，“蜜罐还是仅仅 限于一种思想，但有了长足的进步，通常由网络管理人员应用，通过欺骗黑客 达到追踪的目的。b i l lc h w a q i c k 在1 9 9 2 年发表的一篇题为 a ne v e n i n gw i t h b e r f e r di n 珊i c hac r a c k e ri sl u r e d ，e n d u r e da n ds t u d i e d 的文献“】，作者指出， 虽然已经有一些安全工具可以检测黑客攻击，但得到的信息并不完善。为了提 供更多的信息，可以在系统空闲的端口上，打开一些伪造的服务，模拟正常服 务器软件的一些行为，如建立连接、提示访问者输入用户名和口令等，使其尽 可能像一个真实的服务器在工作，以吸引入侵者，进而记录下入侵者的活动。 但这种方法只能得到少量的信息，于是作者把入侵者引入一个专门的操作系统 环境中，利用u n i x 更改根目录机制设立被称为牢笼的环境。 蜜罐从思想转入到实用出现在f r e dc o h e n1 9 9 9 年发表的文献“an o t eo n t h e r c i l eo fd e c e p t i o ni n f o r m a t i o np r o t e c t i o n 中饰1 ，他认为蜜罐实质上是一种欺 骗系统，并设计采用伪造服务技术的欺骗系统d t k 砸1 ( d e c e p t i o nt o o l k i t ) 。 d t k 后来被认为是第一个公共可以得到的蜜罐系统，作者希望d t k 的广泛使用 哈尔滨理工大学工学硕士学位论文 可以使黑客难以分辨真伪，增加黑客实施有效攻击的难度，f r e dc o 皿n 出 发点是如何充分利用蜜罐，他从延缓黑客攻击的角度，看到了蜜罐为保护工作 系统赢得时间的作用。 f r e dc o h e n 的工作较大地推进了蜜罐发展，他所开发的d t k ( 欺骗工 具包) 、n i e l sp r o v o s 开发的h o n e y d 等，同时也出现了像s t i n g 、 k f s e n s o r 、s p e c t e r 等一些商业蜜罐产品。其中n i e l sp r o v o s 在文献“av i r t u a l h o n e y p o tf r a m e w o r k 虹力中提出了一种蜜罐框架h o n e y d ，h o n e y d 在网络层模拟 计算机系统，所模拟的系统看起来运行在未分配的网络地址上，针对网络指纹 工具，h o n e y d 模拟各种不同的操作系统的协议栈，在不同的虚拟系统上提供不 同的路由拓扑和服务，该文讨论y h o n e y d 的设计，并展示t h o n e y d 如何帮助完 善系统安全的各个方面。这一阶段的蜜罐可以称为是虚拟蜜罐，即开发的这些 蜜罐工具能够模拟成虚拟的操作系统和网络服务，并对黑客的攻击行为做出回 应，从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。但 是由于虚拟蜜罐工具存在着交互程度低，较容易被黑客识别等问题。 虽然欺骗系统可能为保护工作系统赢得时间，但在实际使用中，人们更感 兴趣的是蜜罐记录的黑客信息。更多的注意力开始放在记录黑客信息上面。 2 0 0 1 年r e s o u r c e 公司的蜜罐产品m a n t r a p 就是一个典型的代表。它使用真实的系 统作为蜜罐，提供了从系统级到网络级的强大的记录黑客活动功能。 明确提出蜜罐是一个了解黑客的有效手段始于l a n es p i t z n e r 。在 t o b u i l dah o n e y p o t 文献阳1 中简单介绍自己所使用的工具h o n e y p o t ，l a n e s p i t z e r 使用真实的系统接受黑客攻击，利用防火墙、网络s n i f f e r 记录和控制 黑客的活动。 1 9 9 9 年由l a n es p i t 砼m r 倡议成立的h o n e y n e t l 0 究组织的出现真正开始 引起人们对蜜罐技术的兴趣。h o n e y n e t 组织设置了一个一定规模向黑客开放的 网络环境，观察黑客活动，称为h o n e y n e t ，以对黑客群体进行系统的研究。 h o n e y n e t 研究组织也被认为是蜜罐研究的中坚力量。2 0 0 0 年至u 2 0 0 1 年，研究组 织使用h o n e y p o t 捕获和研究蠕虫活动，更多的组织采用h o n e y p o t 来检测和研究 新的威胁。目前该领域较大型的研究项目有：致力部署分布式蜜罐的“分布式 蜜罐项目组”( d i s t r i b u t e dh o n e y p o tp r o j e c t ) 、研究蜜罐网络诱骗技术的“蜜网 项目组”( h o n e y n e t sp r o j e c t ) 、“蜜网研究联盟 ( h o n e y n e tr e s e a r c h a l l i a n c e ) 等在此领域有较大影响。“蜜网研究联盟”是2 0 0 1 年4 月由3 0 多位计算 机安全专家成立的非盈利性的研究组织，专注于信息安全的研究，其中主要是 通过使用蜜罐网络这样一个真实的网络来研究入侵者使用的工具、策略和动 哈尔滨理工大学工学硕士学位论文 机，其所有的研究成果都是开放的，向整个安全研究领域公布，至t j 2 0 0 5 年3 月 为止，该联盟已经拥有2 0 个不同国家和地区的研究组织。 密网在不同阶段有不同的研究目标，1 9 9 9 年至2 0 0 1 年，第一代密网处于概 念验证阶段，它只是提出一个框架，具体实现取决于部署者：2 0 0 1 年至2 0 0 3 年，第二代密网已经有了比较成熟的解决方案，包括具体框架、数据控制、数 据捕获、警告等其中使用s e b e k 技术。2 0 0 3 年至2 0 0 4 年，第三代密网使用 h o n e y w a l l f l j e e y o r e 技术，使用可引导的c d r o m 、集成数据控制和数据捕获工 具；2 0 0 4 年至2 0 0 5 年使用对分布式的蜜网捕获的数据进行收集和关联的集中式 系统k a n g a ；2 0 0 5 年至今，对捕获机制进行了改进，提出了a r g u s 、s e b e k 3 0 x 、d a t aa n a l y s i sf r a m c w o r k w a l l e y e 、n e wh o n e y w a l lc d r o m r o o 等工 具，大大增强了对数据的捕获能力饽h 。 1 2 2 国外研究现状 为了改进蜜罐操作的实现并提高蜜罐的干扰率，经常在网络上放置大量的 蜜罐。这些蜜罐在网络上重要信息的附近同时作为他们的保护措施和假目标。 目前国外对蜜罐的研究主要集中在以下几个方面： 1 蜜场( h o n e y f a r m ) 蜜场技术将蜜罐用于直接防护大型的目标网络，即 在安全操作中心部署蜜罐，在各个内部子网或关键主机上设置一系列的重定向 器( r e d i r e c t o r ) ，若检测到目前的网络数据流或系统活动是攻击者所发起时， 则将蜜场中的某台蜜罐动态配置成与目标机相似的环境，并通过重定向器将攻 击者流量重定向到这台蜜罐上，并由蜜场中部署的一系列数据捕获和数据分析 工具对攻击行为进行收集、分析和记录。蜜场模型的优越性在于其集中性，由 安全专业研究和管理人员进行部署、维护和管理，形成一套规范化攻击捕获、 分析和控制流程。 2 应用层蜜罐( h o n e y a p p ) 应用层蜜罐技术，通过部署网络应用层上的 蜜罐网络服务或主机中的蜜罐应用程序，如蜜罐网站，蜜罐s m t p 邮件服务器 等，能够针对某些特定的安全威胁( 如针对网站的攻击、使用开放的s m t p 邮 件服务器发送垃圾邮件) ，对攻击者更具诱惑力和欺骗性，并且能够获取到攻 击者更详细的信息，从而更加深入的剖析这些安全威胁。 3 客户端蜜罐( h o n e y c l i e n t ) 客户端蜜罐技术主要是针对越来越严重的 互联网用户的安全威胁( 如病毒邮件、僵尸网络、恶意网站、网络钓鱼等) 所 开发的一种蜜罐技术。如邮件客户端蜜罐工具，它能够在个可控的环境中通 哈尔滨理工大学工学硕士学位论文 过打开病毒邮件的附件、访问垃圾邮件中的网络链接等方式激活病毒、访问恶 意网站和钓鱼网站，并对整个过程进行详细的记录和深入的分析，从而获取病 毒样本以及找到恶意网站和钓鱼网站。僵尸蜜罐则冒充僵尸网络中被控制的一 个僵尸工具混入其中，对僵尸网络的情况、攻击者对僵尸网络的控制指令等进 行详细地记录，并挖掘出被僵尸网络控制的僵尸主机以及背后操纵的攻击者。 4 蜜标( h o n e y t o k e n ) 蜜标技术则扩展了传统蜜罐技术的范畴，将一些 正常情况下不会使用的信息内容作为诱饵，如数据库中的某些无用数据项或伪 装的用户名和弱口令，一旦发现这些蜜标被访问，则预示攻击者对信息内容发 起攻击，我们就可以非常容易地根据这些蜜标提供的线索发现并追踪攻击活 动。 5 动态蜜罐( d y n a m i ch o n e y p o t ) 通过被动监听其所处的网络中的流 量，从而获得当前网络的部署情况，然后在无需人工干预的前提下自动地配置 一些虚拟蜜罐与真实蜜罐主机，并隐藏在当前网络中，等待黑客的攻击。当网 络的部署状况发生变化时( 如操作系统版本更新) ，动态蜜罐技术能够实时地 识别出这些变化，并动态地进行自适应，保证部署的虚拟蜜罐与真实蜜罐主机 反映当前网络的典型配置。 。 这些最新的蜜罐技术都是针对特定的网络威胁构建的诱骗系统，应用这些 最新的蜜罐可以更有效地捕获攻击，最重要的是可以使用这些蜜罐技术主动地 去捕获攻击者，而不是被动地防御。对这些最新的蜜罐技术的研究尚处于理论 阶段，还不成熟，尤其在实际应用中的问题还需要深入的研究工作。 a n j a l is a r d a n a 等人提出了针对d d o s 攻击，如果受害者为服务器需要 在i s p 层次高速的信息处理时，整个网络就会停止运行的情况提出三条蜜罐防 御线n 来阻止这样的攻击，第一条防御线用于检测存在的攻击，第二条防御线 实时地识别和标记攻击流，该文详细描述基于路由的蜜罐模型来实现第三条防 御线，通过自动地生成一定数量的服务器结点来响应客户的正常请求和一定数 量的蜜罐来跟黑客进行交互，在不同的时间间隔内服务器和蜜罐的恰当混合提 供了稳定的网络性能。 x u x i a nj i a n g 等人提出了一种基于虚拟化名称为v m s c o p e 的系统n 孙，在 这个系统里可以的在蜜罐外面观察基于虚拟机蜜罐的内部事件，特别通过在虚 拟机监控层观察和监视虚拟机内部事件，v m s c o p e 有着跟传统的蜜罐内部监控 同样的观察深度，也有着外部监控工具的抗修改和不容易暴露的能力。 m i c h a e lv r a b l e 等人提出了一种方法n 3 1 来扩展蜜罐可以达到以前6 倍能 力，同时能准确地模拟因特网主机的执行行为，建立一种n q p o t e m k i n 密场的原 哈尔滨理工大学工学硕士学位论文 型，这个原型通过探测虚拟机，恶意的内存共享，最近的资源绑定来达到目 标。仅利用少量的物理服务器p o t e m k i n 毛e 实验中模拟了将近6 4 0 0 0 台蜜罐。 n e g u y e na n hq u y n h 等人总结了s e b e k t 个存在的主要问题n ： 1 未授权本地用户通过运行简单的命令来制造大量的输入和输出数据， 然后通过p i n g 检查是否网络性能下降。原因是这样：所捕获的输入和输出数据 被悄悄地经过协议栈传送到中心s e b e k 服务器，如果数据量很大，这种活动会 造成网络堵塞。 2 尽管s e b e k 设法给协议栈打补丁来隐藏真实的网络统计，同时用网络层 发送数据，我们仍然可以比较在内核的内部统计和系统用户层所呈现的现象， 这样的差别会预示s e b e k 的存在。 3 s e b e k 用自己的函数取代一些系统调用，我们可以检查这些系统调用的 地址在内存是否处在异常的位置，如果那样的情况，黑客意识到s e b e k 很可能 存在内核中。 4 s e b e k 用代码取代一些系统调用包装u d p 数据包，然后发送到s e b e k 服 务器。这种改变明显地增加了完成系统调用的时间，大概是正常的1 8 4 倍，因 此被非特权用户在用户层识别。 5 在发现s e b e k 后，黑客移除原来的系统调用，用u n s e b e k t 具覆盖系统调 用，恢复到最原始的系统调用。 6 s e b e k 发送捕获的数据到经过网络到服务器。如果黑客用像t c p d u n m p 等 工具嗅探，他们会查看这些数据，很容易发现已经攻陷的主机是蜜罐。 并提出了用基于x e b e k 的方法来解决s e b e k 的主要问题，x e b e k 具有s e b e k 的 基本功能，而且更不容易觉察，远比s e b e k 可靠更有效率，该文详细地描述了 x e b e k 的结构和思想。 最近两年，国外的反蜜罐研究和实验取得成果显著，已经有许多的蜜罐识 别方法的发现，并且有反蜜罐软件h o n e y p o th u n t e r 的出现，尚无文献表明已有 国内机构开始系统的研究反蜜罐技术。 1 b o f 识别b o f 在操作系统上模拟系统没有开启的服务如s m t p ， h t t p ，p o p 3 ，t e l n e t 等，这些服务提供“伪造答复的功能，即为人侵 者提供一些伪造的连接，缺点是利用同一连接请求引起的伪造答复和真实答复 之间的差别就可以判断b o f 的存在。 2 h o n e y d 的识别h o n e y d 的识别原理是建立正常的t c p 连接需要通过三 次握手完成，而h o n e y d 模拟的操作系统和服务在三次握手过程中，和真实的 操作系统有实质性的差别。 哈尔滨理工大学工学硕士学位论文 e ! ! = = = g _ 日= | t 目| = = ! = ! = e = = e 目= ! ! j 自= = e e = g ! ! ! ! ! ! 目= = ! ! = = ! = = = = ! = 目l 目目= = = e = = = = = 目目e ! ! ! = i e _ iq l 3 假代理技术这种技术最典型的应用就是反蜜罐软件h o n e y p o th u n t e r ， 该软件是“s e n d - s a f e “公司研究设计的，垃圾邮件发送者( s p a m m e r s ) 利用o p e n r e l a y s 发送垃圾邮件时用以识别o p e nr e l a y s 是否为蜜罐所用。该软件在2 5 端口 开一个虚假的邮件服务，然后要求每个o p e nr e l a y s 向它反向连接。如果某个 o p e nr e l a y s 只有连接成功会话而没有后继会话的，就会引起该软件的注意，目 标系统很可能是反垃圾邮件的蜜罐。但是该工具也有很大的局限性，即如果蜜 罐通过配置允许向外的少量连接而只是限制连接的次数，那么该软件就不能识 别出蜜罐的存在了 1 5 o 再就是该软件只适用于识别针对垃圾邮件的蜜罐，对其 它的蜜罐无能为力。 4 s e b e k 的识别为了能够捕获s s h 和s s l 加密的信息，h o n e y n e t 从第 二代开始，就在蜜罐机器上安装基于内核的r o o t l d t 来捕获感兴趣的数据，这个 r o o t k i t 就是s e b e k 我们可以通过识别s e b e k 来识别蜜网的存在。 s e b e k 由客户端和服务端两部分组成：客户端安装在蜜罐主机上，从蜜罐 捕获数据并且输出到网络让服务端收集：服务端安装在蜜网网关上，负责数据 的收集和存储。由于客户端要将大量的攻击信息发送给服务端，这就会造成蜜 网系统网络上时段性的网络延时和大量丢包，攻击者可以激发这种现象的出现 来识别h o n e y n e t 的存在。还有一个识别利用点是s e b e k 客户端安装在蜜罐主 机后，会导致系统调用表中r e a d 0 和w r i t e 0 地址间距发生巨大变化n 剞，这同样 可以判断s e b e k 的存在，进而推断目标系统是否是蜜罐。 5 v m w a r e 的识别v m w a r e 是一款著名的“虚拟机”软件，现在被广泛 用来部署蜜罐。能够通过查看m a c 地址来断定一个系统是运行在虚拟机之 上，然而这并不意味着这个系统就一定是个蜜罐，但是这最起码能引起攻击者 的坏疑。在i e e e 标准中目前系统分配给v m w a r e i n c 的m a c 地址范围是： 0 0 0 5 6 9 x x - x x - x x d o 0 c 2 9 x x x x x x o o 5 0 5 6 x x x x x x 因此，通过查看c a c h e dm a ca d d r e s s e s ( 通过a r p a 或者和接口相关的数据 ( u n i x ：i f c o n f i g 或w i n d o w s ：i p c o m f i g a 1 1 ) 来获得m a c 地址，攻击者就能判断目 标系统是否安装有一虚拟机v m w a r e 进而推断目标可能安装有虚拟机蜜网。 蜜罐凭借自身的特点给黑客巨大的震撼，但是黑客不会这样善罢甘休，他 们深入研究蜜罐的特性，获取许多破解蜜罐的方法，进而利用蜜罐继续去攻 击，蜜罐部署者对此有可能毫无觉察，有时就算知道黑客利用了蜜罐，也是没 有很好的办法去补救。 哈尔滨理工大学工学硕士学位论文 1 2 3 国内研究现状 在国内蜜罐的研究刚刚起步，已经出现了少量的文献和一些具体的蜜罐系 统，但系统论述蜜罐的文章还比较少。2 0 0 1 年国家自然科学基金信息安全项目 正式对网络攻击进行欺骗与诱导领域进行了立项研究。狩猎女神项目是北京大 学计算机研究所信息安全工程研究中心推进的蜜网研究项目。狩猎女神项目于 2 0 0 5 年1 月向“蜜网研究联盟”提出加入申请，以期成为该联盟组织的中国第 一支研究团队。2 0 0 5 年2 月2 2 日，l a n c es p i t z n e r ，蜜网项目组和世界蜜网 研究联盟的创始人，宣布接受其成为联盟成员。狩猎女神项目组成为中国参与 世界蜜网研究联盟的第一个团队。其研究目标包括如下三个方面n 7 1 ： l 。通过部署蜜网对恶意代码及黑客攻击行为进行捕获和分析，给入侵检 测与关联研究提供知识和数据基础。 2 是为学生提供一个网络攻防对抗的实验环境，使他们在部署蜜网以及 利用蜜网对攻击活动进行分析的过程中，提高实践动手能力以及加深对网络攻 防对抗技术的理解。 3 在掌握现有的蜜网技术的基础上，能够在相关的一些研究方向( 如 h o n e y f a r m ) 上提出自己的观点和看法，并加以实现，促进蜜网技术的发展。 开放课题有以下七个： 1 恶意代码的壳识别和脱壳技术研究与实现。 2 网页木马的脱壳和解密技术研究与实现。 3 恶意代码相似性比对和聚类技术研究与实现。 4 移动终端( 手机) 平台上的a p i 劫持技术探索s y m b i a n 、w i n d o w sm o b i l e 或嵌入式l i n u x 平台上a p i 劫持技术，并利用该技术实现对自身隐藏。 5 基于行为启发式异常的手机病毒检测技术研究与实现。 6 基于m s n 机器人实现常用网络查询服务。 7 i m 软件客户端蜜罐技术的研究与实现。 2 0 0 7 年诸葛建伟等人提出了一个基于高交互式蜜罐技术的恶意代码自动 捕获器h o n e y b o w 引。相比较于基于低交互式蜜罐技术的n e p e n t h e s 恶意代码捕 获器，h o n e y b o w 具有恶意代码捕获类型更为全面、能够捕获未知恶意代码的 优势，互联网上的实际恶意代码捕获记录对比和m o c b o t 蠕虫的应急响应处理实 例对其进行了充分验证。 2 0 0 4 年曹爱娟等人在“抵御d d o s 攻击的陷阱系统”n 引一文中，作者提出在 网络的d m z 区的每个服务器旁部署蜜罐系统，这样可以引诱黑客将攻击转移到 哈尔滨理工大学工学硕士学位论文 蜜罐，稀释了攻击，一定程度上缓解了d d o s 攻击，从而保护真正的服务器。 2 0 0 5 年党瑞提出一种以入侵检测和蜜罐为主的联动技术框架，通过多 种安全技术的协同工作，以达到提高网络安全性的目的。这个技术框架根据各 种安全技术的特性进行了安全事件进行的分类，提出了基于x m l 的安全事件统 一描述格式，设计通用的信息、交换接口，是其它的安全产品可以统一的互 通。在此联动框架的基础上，系统实现了入侵检测和蜜罐的协同工作和智能的 联动响应技术，有效地提高了系统的网络安全性能。 1 3 本文课题来源和主要研究内容 1 3 1 课题来源 国家自然科学基金 6 0 6 7 1 0 4 9 ，黑龙江高校骨干项目【1 1 5 1 g 0 1 2 。 1 3 2 主要研究内容 本文对当前网络安全领域的研究热点一蜜罐进行深入的研究，并对蜜罐进 行了外和内两方面的拓展，主要研究内容如下： 1 论述了蜜罐相对其它网络安全技术具有的优势，阐述了蜜罐的发展 史、当前的研究现状及研究背景和意义。 2 对蜜罐技术的基本概念、原理、思想、实现工具这几个方面进行详细 的阐述。 3 提出欺骗端口系统，它有效地实现对欺骗黑客、s n o r ti d s 跟欺骗端口 系统通信、欺骗端口系统将s n o r t 检测到的攻击切断，诱骗攻击流和检测攻击 流重定向到蜜罐等功能。对欺骗端口系统的思想和具体实现进行了深层的研 究。欺骗端口系统运行在受保护主机上，它使蜜罐的检测视野扩大到整个网 络，实现蜜罐外的拓展。 4 讨论连接限制方法的特点和存在的问题，提出动态连接重定向思想， 对该思想进行阐述，并讨论了实现动态连接重定向思想内在机制，研究用 i p t a b l e s 实现动态连接重定向，实现蜜罐内的拓展。 5 搭建实验平台，分析d p s 和h o n e y t r a p 对比，模拟端口实现，检测攻 击重定向实现，动态连接重定向的实现等实验结果。 哈尔滨理工大学工学硕士学位论文 1 4 论文结构 第1 章介绍课题的研究背景及意义，蜜罐的发展过程及国内外发展研究现 状，课题的来源、主要研究内容和论文结构。 第2 章简要介绍蜜罐的定义、分类、安全价值及优缺点，详细介绍当前存 在几种蜜罐工具和密网。 第3 章描述了s n o r t 和d p s 整体结构，提出s n o r t 一种输出插件，然后提 出欺骗端口系统并详细叙述该系统的思想，最后设计欺骗端口系统。 第4 章首先针对连接限制方法提出动态连接重定向思想，详细叙述该思 想，最后用i p t a b l e s 实现该思想。 第5 章通过实验结果分析，验证所提出理论的正确性。 结论，对本文进行了总结，并对进一步的研究做出了展望。 哈尔滨理工大学工学硕士学位论文 2 1 蜜罐基本概念 2 1 1 蜜罐的定义 第2 章蜜罐技术概述 蜜罐技术的奠基者l a n c es p i t z n e r 给出了蜜罐的权威定义乜：蜜罐是 一种资源，它的价值在于被攻击或攻陷；这就意味着蜜罐希望被探测，攻击甚 至被攻破；蜜罐并非用来解决某个问题的，而是主要用于收集有关攻击的有价 值信息。通过一个精心设置的蜜罐系统来引诱黑客，并对黑客进行跟踪，借以 观测记录入侵者如何攻击系统。通常在蜜罐中放置一些入侵者希望得到的敏感 信息，当然这些信息都是虚假信息，或是故意留下一些安全漏洞。入侵者与蜜 罐的交互的时间越长，他们所使用的技术和方法就暴露的越多，所收集的信息 也就越多。这些信息可以被用来了解他们使用的攻击工具和方法，发现系统的 未知漏洞以及相应的攻击，这样就可以更好地保护系统和网络的安全。 在实际应用中，蜜罐可以是一段程序、一台机器等，作为诱饵被部署在网 络上来吸引黑客对其进行攻击。由于它们并没有向外界提供真正有价值的服 务，所以任何与其进行的通信都是可疑的。由于攻击者把时间和精力花费在蜜 罐上，这样真正受保护的系统就得到了保护。另外，蜜罐还可以为我们追踪攻 击者提供有价值的线索。但是蜜罐并没有直接地保护计算机网络的安全。相 反，它们是在吸引黑客对其进行攻击，在一定程度上降低了计算机网络的安 全。但是我们可以通过蜜罐的合理配置和部署来降低由此带来的威胁，但是又 不会影响其收集有价值的信息幢2 ，2 引。 2 1 2 蜜罐的分类 2 1 2 1 根据应用目的蜜罐根据应用目的可以分为两类：业务型蜜罐和研究型 蜜罐。前者用来提高商业组织的安全性能，后者主要用来尽可能多的收集攻击 情报信息。业务型蜜罐在网络安全响应环节发挥着积极的作用。系统中通常存 在两个问题：一是被攻击系统需要对外继续提供服务而产生大量流量，安全事 件响应小组难以从中检测出入侵信息，从而难以及时有效地响应入侵攻击事 哈尔滨理工大学1 = 学硕士学位论文 件；二是被攻击系统往往不能离线接受全面彻底地分析检测，从而无法修补系 统漏洞。使用蜜罐就可以解决这两个难题。蜜罐可以减少正常数据对入侵数据 的“污染 ，