（计算机应用技术专业论文）虚拟蜜网系统研究与设计.pdf

哈尔滨工程大学硕士学位论文 摘要 蜜网技术受到网络安全领域的重视，并且广泛的应用于各个领域。通过 精心布置的蜜网系统可以吸引入侵者的攻击，进而了解入侵者的攻击目的、 攻击方法和攻击工具，特别是对各种未知攻击行为信息的学习。 本文首先对蜜网进行了基础性研究，包括蜜网的基本概念、特点、核心 功能、安全价值、应用领域和安全风险，并重点阐述了蜜网的体系结构，在 数据捕获和数据控制两个方面对蜜网体系结构的变化作了对比分析。 然后，本文对蜜网的两大核心技术，虚拟蜜网技术和内核级捕获技术进 行了深入的研究和探讨。虚拟蜜网技术可使整个蜜网系统运行在单一主机上， 而内核级捕获技术可以在信息加密前捕获到未加密的信息。 在对蜜网进行深入研究的基础上，设计并实现了虚拟蜜网系统，包括虚 拟蜜网的体系结构和网络拓扑，并且通过试验初步验证了虚拟蜜网系统的安 全性、可用性、有效性和可靠性。 使用本文设计的虚拟蜜网系统捕获了真实环境中的一次网络攻击，并且 从入侵者的攻击目的、手段和能力等几个方面对攻击进行了详尽的分析。 最后，总结论文工作，对下一步需要完善和发展虚拟蜜网系统的内容提 出了具体建议。 关键词：蜜网；虚拟蜜网；内核级捕获；攻击捕获；攻击分析 堕窭鋈王壅丕堂堡主兰焦堡塞 a b s t r a c t h o n e y n e tt e c h n o l o g yi sv a l u e db yt h en e t w o r ks e c u r i t y , a n db eu s e di nm a n y a r e a s h o n e y n e tc o u l dl u r ei n t r u d e r sa t t a c kb yu s i n gas e e m l yv u l n e r a b i l i t ys o t h a tw ec o u l ds t u d yt h e i ra t t a c km o t i v e ，m e t h o da n dt o o l s ，e s p e c i a l l yt h a to fn e w u n k l r l o w na 仕a c k s f i r s t l y , t h eb a s i cc o n c e p t ，c h a r a c t e r i s t i c ，c o r ef u n c t i o n ，s e c u r i t yv a l u e ， a p p l i c a t i o na r e a sa n ds e c u r i t yr i s k a r eo nt h ep a p e r t h e nw ei n t r o d u c et h e a r c h i t e c t u r eo f h o n e y n e t ，t h e na n a l y s et h ec h a n g e so f t h ea r c h i t e c t u r eo f h o n e y n e t i nd a t ac a p t u r ea n dd a t ac o n t r 0 1 s e c o n d l y , w ed e e p l yr e s e a r c ha n dd i s c u s st h ev i r t u a lh o n e y n e tt e c h n o l o g ya n d k e r n e ll e v e lc a p t u r e st e c h n o l o g y u s i n gv i r m a lh o n e y n e tt e c h n o l o g yc o u l dm a k e a l lt h eh o n e y n e tn m n i n gi no n eh o s t ，a n du s i n gk e r n e ll e v e lc a p t u r et e c h n o l o g y c o u l dc a p t u r et h ei n f o r m a t i o nb e f o r ee n c r y p t i o n b a s e do nd e e p l yr e s e a r c h i n gi nh o n e y n e t ，w ed e s i g na n di m p l e m e n tav i r t u a l h o n e y n e ts y s t e m ，i n c l u d et h ef r a m e w o r ka n dn e t w o r kt o p o l o g y , p r o v et h es e c u r i t y , u s a b i l i t y , v a l i d i t ya n dr e l i a b m t yo f t h ev i s u a lh o n e y n e ts y s t e mb yt e s t i n g w ec a p t u r ea na t t a c ki nr e a le n v i r o n m e n tu s i n gt h ev i r t u a lh o n e y n e ts y s t e m ， a n da n a l y z et h ea t t a c kf r o mt h em o t i v e ，m e t h o da n da b i l i t yo f t h ei n t r u d e r f i n a l l y , s o m ea d v i c e so nh o w t oi m p r o v et h ee x i s t i n gv i r t u a lh o n e y n e ts y s t e m a r ep u tf o r w a r d k e yw o r d s ：h o n e y n e t ；v i r t u a lh o n e y n e t ；k e r n e ll e v e lc a p t u r e ；a t t a c kc a p t u r e ； a t t a c ka n a l y s i s 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：晌辉 日期：2 年3 月f o 日 堕玺蓬三塑丕堂皇璺主堂焦堡壅 第1 章绪论 1 1 课题研究背景和意义 我国信息安全技术的发展相对滞后，由于缺乏信息防护技术所造成的损 失高举世界前列。这种现状严重地影响着我国信息技术的发展与推广，从而 影响着国民经济的发展。因此，发展信息安全防护技术对我国的国民经济发展 具有深远的意义。 目前，传统的网络安全系统多是建立在防火墙、入侵检测、漏洞扫描等 成熟的被动防御技术之上，却很少采用高效的主动防御措施。旧的攻击检测 手段在越来越多的未知攻击面前显得力不从心，蜜网作为一种新的安全工具， 在攻击的检测、分析、研究，尤其是对未知攻击的捕捉、分析、研究方面日 益显示出其优越性。 2 0 0 3 年的国家信息化领导小组关于加强信息安全保障工作的意见中 指出：“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方 面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保 护的管理办法和技术指南”。2 0 0 5 年1 月电子政务等级保护课题组，向各省 信息部门下发了国家的电子政务信息安全等级保护实施指南( 草稿) ，其 中明确指出信息安全评估工作在电子政务信息等级保护中的重要意义，正式 启动了2 0 0 5 年在全国进行的信息安全评估工作试点工作。 信息安全风险评估工作需要新技术、新理论的支撑和保障，本课题就是 在这样的实际需求背景下产生的。同时蜜网技术的研究已经成为目前信息安 全领域又一研究热点”，具有重要的理论意义和实用价值。 本课题源于与黑龙江电子信息产品监督检验院的合作项目信息安全评 估技术的理论及方法研究。本课题的主要研究目的是在信息安全风险评估过 程中，通过架设高度可控的蜜网系统，捕获被评估组织网络中的攻击事件， 分析攻击者的目的、手段和策略，进而准确的评定被评估组织的网络风险状 况和受威胁程度。 目前，我国信息安全风险评估技术发展相对滞后，对风险状况的分析和 威胁程度的判定较多地依赖对防火墙日志、漏洞扫描报告和入侵检测报告的 哈尔滨工程大学硕士学位论文 分析。由于防火墙日志、漏洞检测报告和入侵检测报告数量较多，导致工作 量巨大、工作效率低下。同时，入侵检测系统对攻击的误报和漏报，也会严 重影响风险状况分析和威胁程度判定结果的准确程度。目前通用的风险评估 方法并不包含使用蜜网系统，一方面因为蜜网系统的理论并不成熟，而且没 有在信息安全风险评估中成功应用的案例；另一方面，也是防止蜜网由于自 身的安全性问题会给被评估组织引进新的风险。 通过本课题的研究，在真实环境中部署蜜网系统，验证蜜网系统的安全 性、有效性、可用性和可靠性。通过蜜网对攻击的捕获和分析，不仅要确定 攻击的类型和数量，还要进一步确定攻击者的攻击目的和攻击水平。风险评 估过程中蜜网系统的使用，可以极大的减少对日志和报告的大量分析工作， 精确的捕获目标网络的攻击事件，进而更加准确地确定组织内部的风险状况 和威胁程度。 1 2 蜜网技术国内外研究现状 蜜网技术作为一种新兴的网络安全技术，已经得到国外很多研究机构和 公司的重视。蜜网工程( h o n e y n e tp r o j e c t ) 是世界范围内对蜜网技术的研 究项目，代表着蜜网技术的最新研究方向，由蜜网研究联盟( h o n e y n e t r e s e a r c ha l l i a n c e ) 负责推进。蜜网研究联盟成立于1 9 9 9 年4 月，目前由 全世界2 0 多个国家的蜜网研究组织组成，主要工作是通过使用蜜网来研究入 侵者使用的工具、策略和动机。其所有的研究成果都是开放的，向接个安全 研究领域公布。 蜜网早期( 1 9 9 9 年至2 0 0 1 年) 的研究关注于验证蜜网理论，试验蜜网 模型。在此期间建立了第一代蜜网”模型，并在试验中验证蜜网理论的可行 性和蜜网模型的有效性。 蜜网中期( 2 0 0 2 年至2 0 0 4 年) 的核心研究内容从早期的验证蜜网理论 转移到简化蜜网应用。早期的蜜网虽然可以实现捕获网络攻击的功能，但实 现起来较为复杂，而且难于维护。因此，中期将改进蜜网的易用性做为研究 的重点。在此期间建立了第二代蜜网”，极大地增强了蜜网的易用性，并广 泛应用于教育w 、政府、商业。1 、军事等领域。在此期间还出现了虚拟蜜网 技术和分布式的多蜜网构架，目前，蜜网的研究重点是增强蜜网的隐蔽性和 易用性。 哈尔滨工程大学硕士学位论文 虚拟蜜网中的虚拟软件存在着软件“指纹”问题，会将虚拟蜜网的存在 信息暴露给攻击者，因此如何隐藏虚拟软件的“指纹”问题成了虚拟蜜网研 究热点。目前的研究表明，可以在一定程度上减少虚拟软件的“指纹”，但仍 无法完全避免“指纹”的存在。 在易用性方面，蜜网的研究主要集中在如何高效的部署和恢复蜜网，其 中虚拟蜜网技术是一个研究热点。虚拟蜜网的使用可以极大地加快蜜网的部 署和恢复，减少软硬件投资。目前，在l i n u x 下有较为完善的虚拟蜜网解决 方案，但在w i n d o w s 系统中仍没有较好的解决方法。 我国在该领域的研究开始较晚，目前对蜜网的研究仍处于起步阶段。2 0 0 1 年国家自然科学基金信息安全项目正式对该领域进行了立项研究。2 0 0 2 年至 2 0 0 5 年，我国学者对蜜网技术进行了广泛的研究。 姚浩”4 1 提出了基于信任的蜜网安全体系结构，指出一个完备的分布 式安全体系结构模型包括基础、信任及控制三个方面。其中，信任对系 统的安全是至关重要的，主要论述了如何以信任为基础构建蜜网的安全 体系。王铁方“”对蜜网与防火墙及人侵检测的无缝结合进行了研究，指出了 蜜网的不安全性，提出蜜网、入侵检测技术和防火墙结合的方案。应锦鑫 对利用蜜罐技术捕捉来自内部的威胁进行了深入的研究，提出了如何利用蜜 罐技术来检测、标识及收集来自内部威胁信息的方法。李之棠提出了动态 蜜罐技术分析与设计的方法，指出动态蜜罐通过监控和自学习实时的网络环 境，能够解决蜜罐在配置和维护上存在的需要人工干预的问题。 2 0 0 5 年1 月北京大学的“狩猎女神”计划是我国第一个专门针对蜜网技 术的研究项目，同年2 月该研究小组正式加入世界蜜网联盟。该小组在蜜网 技术领域的研究取得了较为突出的成绩。该小组结合蜜网技术和扫描技术 开发了用于网络环境探测的自动化工具n - e y e 。诸葛建伟。“4 利用蜜网 技术深入剖析了互联网安全威胁，并对僵尸网络进行了跟踪。 1 。3 作者的主要工作 本文的研究目的是在单主机上实现整个虚拟蜜网系统，并使用该系统捕 获、分析网络攻击。因此，本文在研究蜜网基本概念、特点、核心功能和体 系结构的基础上，深入地分析了虚拟蜜网技术和内核级捕获技术。虚拟蜜网 技术可将完整的虚拟蜜网功能在单一主机上实现；内核级捕获技术可捕获加 哈尔滨工程大学硕士学位论文 密的攻击内容。 在对蜜网技术进行深入研究的基础上，作者设计并实现了用于捕获网络 攻击的虚拟蜜网系统，在真实环境中捕获了一次完成的网络攻击，并成功的 对攻击数据进行了分析，确定了攻击者的攻击目的、攻击策略和攻击方法， 并对攻击者的攻击能力进行了初步评估。通过真实环境的考验，验证了设计 的虚拟蜜网系统满足了最初的设计目标，并且具有较强的灵活性、安全性和 扩展性。 1 4 论文的组织 本文是根据作者所做的工作进行组织安排的，具体组织方式如下： 第1 章简单介绍了课题的研究背景、目的和意义，介绍了当前蜜网技术 国内外的发展现状以及作者的工作内容和论文的组织。 第2 章对蜜网进行了基础性研究，包括了蜜网的基本概念、特点、核心 功能、体系结构、安全价值、应用领域及应用中可能存在的风险。 第3 章对本课题的两个关键性技术，虚拟蜜网和内核级捕获技术进行了 深入的分析和研究。 第4 章设计并实现了第三代虚拟蜜网系统，并通过测试用例验证了其有 效性、可用性和稳定性。 第5 章使用本文设计的虚拟蜜网系统，捕获一个完整的网络攻击过程， 并详细的分析了该攻击过程。 晟后，本文作者对所做的研究工作加以总结，并提出了一些有待改进的 问题。 4 第2 章蜜网研究 2 1 蜜网概念 蜜网“。( h o n e y n e t ) 是一种用来被攻击或攻陷的网络资源，它不是一个 单一的系统，而是一个让入侵者攻击的网络架构。蜜网装有多个系统和应用 软件，所有放置在蜜网内的系统都是标准的产品系统，而不是仿效的操作系 统和应用软件。 其价值除了检测和欺骗攻击外，更重要的是捕获入侵者的行为并记录相 关信息，方便了部署者对这些记录进行分析，以获取入侵者的攻击方法，了 解入侵者的攻击工具，洞悉入侵者的攻击心理，通过了解、学习入侵者的攻 击技术，反过来对网络做出更好的保护。 2 2 蜜网特点 蜜网具有整体性、高交互性、低风险高收益、可伸缩和高效的特点“”。 2 2 1 整体性 蜜网是一种高交互的蜜罐系统，不同于普通蜜罐，蜜网是一个网络，由 数台主机组成( 通过虚拟技术在单个主机上模拟多个系统的情况除外) ，并配 以各种必要的软件和硬件，使蜜网与真实的产品系统网络极为相似。“产品 系统”指真实的各种服务和操作系统，其中，服务可以包括 f f t p 、f t p 、m a i l 等服务，而操作系统则可以包括w i n d o w s 、l i n u x 、b s d 、s o l a r i e s 等系统。 所以，蜜网是一个体系结构，也是一个解决方案。 2 2 2 高交互性 蜜网的高交互性是相对于其它低交互蜜罐( 如d t k 、h o n e y d 等) 体现出 来的，低交互性蜜罐模拟服务或操作系统，蜜网使用真实的服务和操作系统 来捕获攻击者的行动记录，有着较好的交互性。入侵者面对的是一个完整的 “产品系统”网络，而不是模拟的服务或操作系统。 2 2 3 低风险高收益 蜜网中适当的数据控制功能，可将入侵者的行为控制在允许的范围内， 并且在入侵者使用各种未公开的技术、工具攻击网络时，不会发现自己的行 哈尔滨工程大学硕士学位论文 为已经受到监视和控制。如果入侵者的行为超出了可承受的范围，蜜网会立 即中断网络连接，由于蜜网不是一个真实的产品系统网络，即使受到破坏也 不会带来较大的损失。 由于蜜网的特殊性质，任何蜜网入境连接基本上都是可疑的探测、扫描 等攻击行为：任何蜜网出境连接都意味着蜜网内的主机已经被入侵者攻占， 因此，蜜网内的任何活动，均是有价值的、值得关注的信息。 2 2 4 可伸缩 蜜网的控制程度决定了捕获入侵者行为的程度。控制程度越高，入侵者 可进行的活动就越少，可获取的信息就越少；控制程度越低，入侵者可进行 的活动就越多，可获取的信息就越多。因此，在可以承受的范围内灵活地部 署蜜网。 2 2 5 高效性 在使用常见的安全防御措施( 如i d s 、防火墙等) 时，需要在大量的日志 或报告中搜索少量的有价值信息，而且经常在系统遭到破坏后才能知道系统 已经遭到入侵者的攻击。由于蜜网在正常情况下的任何数据包都是可疑数据， 所以蜜网记录的内容要少于其他安全防御措施。蜜网可将重要的安全事件以 各种途径快捷地发送给部署者，部署者可随时掌握蜜网中的各种关键性信息。 2 3 蜜网核心功能 蜜网的三大核心功能是数据控制、数据捕获和数据集中，只有在分布式 环境中有多个蜜网的情况下，才需要使用蜜网的数据集中功能。 数据控制功能能够确保攻击者不能利用蜜网系统危害第三方网络的安 全，从而降低蜜网的使用风险；数据捕获功能能够捕获入侵者的所有攻击行 为数据；而数据集中功能便于多个蜜网的集中管理和数据分析。 2 3 1 数据控制 数据控制的目的是确保蜜网中被攻陷的蜜罐主机不会被用来攻击蜜网之 外的主机，而且必须在不被入侵者察觉的情况下对流入和流出的蜜网通信量 进行控制。数据控制可以减少蜜网入侵者被利用的危险，一旦攻击者攻击了 蜜网中的一个系统，攻击者就可以使用该系统攻击其它的非蜜网系统，因此 必须对攻击者进行控制，但允许入侵者攻击蜜网中的其它的系统。 6 哈尔滨工程大学硕士学位论文 数据控制在蜜网中起着重要的作用，因为其不仅决定了蜜网对使用者的 价值( 宽松的数据控制可以让使用者观察、学习到较多的安全知识，而严格 的数据控制则让使用者观察、学习到较少的安全知识) ，也决定了使用者使用 蜜网必须面对的风险代价( 宽松的数据控制让使用者必须承担较多的风险， 而严格的数据控制则让使用者承担较少的风险) 。 为了降低蜜罐的风险，数据控制有八项要求：既要有自动数据控制也要 有手动数据控制，即数据控制可以通过自动响应或人为干预来实现；为了防 止失败，至少要有两层数据控制；维持所有入境和出境连接状态的能力；控 制任何未授权活动的能力；数据控制的执行必须由管理员随时进行配置；控 制连接的方式要尽可能难以被攻击者检测到：在蜜罐被破坏时，至少提供两 种预警方法；对数据控制提供远程管理功能。 2 3 2 数据捕获 数据捕获目的是秘密地捕捉属于入侵者的所有流量，包括击键序列及其发 送接收的所有信息，这是进一步分析入侵的基础。 蜜网采用网络信息收集方式，基于防火墙日志、i d s 日志和蜜罐主机系统 日志进行“三重捕获”的信息收集。入侵者攻入系统之后通常会更改或删除 主机上易于暴露入侵行为的各种记录。防火墙在i p 层记录所有出入蜜网系统 的连接；i d s 在数据链路层对蜜网中的网络流量进行监控、分析和抓取：蜜 罐主机除了使用操作系统自身提供的日志功能以外，还可以采用内核级捕获 工具，隐蔽的将捕获数据传输到蜜网网关上。三重捕获充分体现了基于网络的 信息收集策略，互为补充，为蜜网系统提供了安全强大的数据捕获功能。 为了完整的捕获攻击者的攻击信息，数据捕获有以下七点要求：数据污染 不能对蜜网造成影响，以免使数据捕获失效。数据污染是指任何对于环境来 说不标准的行为。例如，一个人( 不是攻击者) 为了测试工具对蜜罐进行攻 击，这样得到的数据就是被污染的；必须捕获以下数据并存档：网络活动、 系统活动、应用活动和用户活动；管理员必须具有实时远程观测被捕获活动 的能力；被捕获的数据必须自动存档以备将来的分析；所部署的每一个蜜罐 都必须维持一个标准日志；蜜网传感器的数据捕获必须使用格林尼治标准时 间；为了保证数据的完整性，用来捕获数据的资源必须是安全的。 7 哈尔滨工程大学硕士学位论文 2 ，3 3 数据集中 如果有多个逻辑的或物理的蜜网分布于广域网之中，那么每个蜜网还要实 现数据的集中功能，要求各蜜网捕获的数据能够安全地汇集到某中央数据收 集点，供以后分析和存档。 部署单一的蜜网是不需要数据采集功能的。数据集中的目的在于集中捕获 和整理由多个蜜网采集的全部信息。通过使用这些数据互相关联，可以提高 蜜网的研究价值。 为了更加有效的进行数据的收集和分析，数据集中有以下四点要求：蜜网 命名和映射规则，以及对每个蜜罐都维持一个类型和一个唯一标识符；将捕 获的数据从传感器传送到采集器时，必须以一种安全的方式进行，以保证数 据的机密性、完整性和真实性；对数据进行匿名的选择。为了源组织提供了 对其i p 地址或其它需要保密的数据进行匿名的选择；n i p 的标准化，以保证 所有来自分布式蜜网的数据捕获都能同步。 2 4 蜜网体系结构 2 4 1 第一代蜜网 第一代蜜网( g e n ih o n e y n e t ，1 9 9 9 - - 2 0 0 1 ) 主要完成数据控制和数据捕 获两个基本功能，证明设计的可靠性和有效性。图2 1 给出第一代蜜网的体 系结构。 图2 1 第一代蜜网体系结构 堕签堡三矍盔堂堡主堂焦鲨塞 防火墙( f i r e w a l l ) 把网络陷阱分隔成三个部份。一是陷阱部分，二是 互联网，三是管理控制平台。所有进出蜜网的数据包都必须经由防火墙的过 滤，路由器进行补充过滤。防火墙允许任何进入蜜网的连接，但它对向陷阱 主机外发连接的数量做了限制。 ( 1 )数据控制 在数据控制方面，防火墙是控制输入和输出连接的主要工具。防火墙允 许任何输入连接，但控制输出连接，记录有多少连接是从蜜罐内部发起连到 外部因特网的，一旦对外连接达到一定的数量，网关就阻塞任何多余的请求。 这也给了入侵者执行所需行动的自由，但同时又防止入侵者用无限的连接来 发动攻击。 在防火墙和蜜网之间放置路由器有两个原因：( 1 ) 路由器可以隐藏防火 墙。当一个蜜罐被攻破时，攻击者会发现在网络外有一个产品路由器。这就 创建了一个更加真实的环境，并使防火墙变得模糊不易被发现。( 2 ) 第二梯 次的访问控制设备。路由器可以弥补防火墙的不足，保证已泄密的蜜罐不被 用来攻击蜜网以外的其他系统。 路由器充当了第二层的访问控制工具，主要用来防止i c m p 攻击、 d e a d p i n g 、s y nf l o o d i n g 、s m u r f 攻击等一些利用伪造i p 欺骗的攻击。蜜网 中的路由器仅允许源地址是蜜网内部i p 的机器向外部发送数据包。 ( 2 )数据捕获 数据捕获指在不让入侵者发现的情况下尽可能多的获得入侵信息。为了 实现这个目的，需要对系统进行修改，但要求系统改变尽可能少。另外，捕 获到的数据不能放在蜜罐主机上，否则很可能会被入侵者发现，从而失去系 统的诱骗特性。 在数据捕获方面共有三层：防火墙是第一层，记录所有出入蜜网的连接， 所有连接都被视为可疑，而且当企图建立连接时防火墙能发出警报。入侵检 测系统”“3 ”作为第二层，捕获和记录每一个分组和有效载荷。第三层就是蜜 网系统本身，将捕获击键和显屏操作及远程传输其他的系统上。 2 4 2 第二代蜜网 第二代蜜网( g e n i ih o n e y n e t ，2 0 0 2 - - 2 0 0 3 ) 网络结构如图2 2 所示。 蜜网网关( h o n e y n e tg a t e w a y ) 集成了数据控制、数据捕获和数据收集功能， 是一个单一的设备，共有三个接口。路由器( r o u t e r ) 位于第一层，直接与互 哈尔滨工程大学硕士学位论文 联网相连，作用是访问控制。接口0 ( e t h o ) 位于第二层，连接至产品型网； 接口1 ( e t h l ) 也位于第二层，连接至蜜罐网络；接口2 ( e t h 2 ) 位于第三层， 是蜜网网关的管理接口。 图2 2 第二代蜜网体系结构 第二代蜜网技术大大增加了蜜网使用的灵活性，可管理性和系统安全性。 蜜网将接口o ( e t h o ) 和接口1 ( e t h l ) 使用网桥迸行连接，由于网桥没有 i p 协议栈也就没有i p 地址、路由通信量以及t t l 缩减等特征，入侵者难以 发现网关的存在，同时，所有出入蜜网的通信量必须通过网关，实现了使用 单一设备对全部出入通信量的数据控制和捕获功能。 ( 1 ) 数据控制 数据控制通过追踪分析入侵者行为内容和目的来鉴别控制越权行为。例 如，允许入侵者与第三方进行f t p 请求连接，但是如果发现他们企图对蜜网 之外系统运行f t p 漏洞探索程序，蜜网将对这些行为进行限制。 蜜网对越权行为的响应措施能够在二层网关上修改数据包内容来迷惑入 侵者，外发攻击虽然能够通过蜜网，但却不会生效，入侵者很难检测到这种 响应措施。 第二代蜜网也增强了第二层数据控制方面的能力。二代技术中的路由控 1 0 哈尔滨工程大学硕士学位论文 制不再像防火墙那样进行简单的过滤，而是采用类似二层网关的方法根据数 据包内容限制或阻止外发攻击，可以采取诸如阻塞特定攻击、控制入侵者外 出连接的数目、限制入侵者d o s 攻击或大规模扫描等方法实现二层数据控制 功能。 ( 2 ) 数据捕获 第二代蜜网使用内核级捕获技术提高了对加密数据的捕获能力。一代技 术中大部分数据是通过在网络层防火墙和数据链路层上嗅探收集的，然而， 入侵者常使用s s h 等加密技术，大大削弱了蜜网的网络数据收集功能。二代 技术通过在系统内核空间捕获数据来解决这些难题，不必考虑入侵者采用何 种通信方式，比如s s h 、s s l 或i p s e c 等。 蜜网进行远程日志的方法是将捕获的各种入侵行为信息封装成某种形式 的数据包在蜜网中进行传输，由二层网关被动地嗅探并重组这些数据包。由 于这些哄骗数据包具有来自于网络其它系统的正常数据包同样的特征，入侵 者很难意识到这些数据包正是自己行为的日志。例如，击键序列可以封装成 具有源i p 和m a c 地址的n e t b i o s 广播数据包。 2 4 3 第三代蜜网 第三代蜜网( g e n i i ih o n e y n e t ，2 0 0 4 - - 2 0 0 5 ) 的体系结构与第二代蜜网 相同，不同之处在于核心操作系统改为开源的f e d o r ac o r e3l i n u x ，并且 实现了自动化更新功能和基于浏览器的数据分析工具( w a l l e y e ) ，而且支持 最新的内核级捕获工具( s e b e k3 x ) 。这些改进都增强蜜网的易用性，使蜜 网更容易安装和维护。 第二代蜜网的数据控制包含两个方面，一是防火墙i p t a b l e s 对出境 ( o u t b o u n d ) 连接数的控制，二是s n o r t i n l i n e 对出境异常数据的限制。第 三代蜜网的数据控制也是只有这两个方面，但在防火墙规则内容上做了改进， 主要是增加了黑名单、白名单、防护名单( f e n c e l i s t ) 功能。 在数据捕获方面，第三代蜜网仍是通过三个层次实现捕获数据，一是防 火墙的日志记录；二是嗅探器记录的网络流；三是s e b e k 捕获的系统活动。 2 5 蜜网应用 2 5 1 安全价值 根据其蜜网最终的目的不同，可将蜜网分为产品型蜜网和研究型蜜网，其 l l 喧玺选王焦盔堂亟主堂焦丝塞 安全价值也分为两种。 ( 1 ) 产品型蜜网安全价值 产品型蜜网一般用于特定的组织中以减少各种网络威胁，这种蜜网增强 了产品资源的安全性，可从防护和检测两个方面进行研究。 防护中的价值 防护方面，蜜网不会将攻击者拒绝在系统之外，而是希望入侵者对它进 行攻击，只有这样蜜网才能记录和分析入侵者的攻击方法，蜜网也才能体现 它的价值。在学术界认为诱骗”，“也是对入侵者进行防御的一种方法。因为 诱骗使入侵者花费大量的时间和资源对蜜网进行攻击，也就防止了入侵者对 真正的产品系统进行攻击。 检测中的价值 蜜网可以解决入侵检测系统的漏报问题。因为蜜网在攻击者用新的攻 击方法进行攻击的同时，就记录下攻击者所使用的方法，在新的或未知的攻 击发生的时候将它们检测出来。 蜜网可以简化检测的过程。因为在蜜网里没有任何有效的行为，所有 与蜜网相关的连接都认为是可疑的行为。从原理上讲，任何连接到蜜网的连 接都认为是监听、扫描或攻击的一种：无论何时蜜网发起一个连接，一般都 会被认为是蜜网已经遭到了攻击，这样就可以极大的降低漏报率和误报率， 从而简化了检测的过程。 ( 2 ) 研究型蜜网安全价值 对于一个安全研究组织来说，面临的最大的问题是缺乏对入侵者的了解。 安全研究组织最需要了解的是谁正在攻击，攻击的目的是什么，攻击者如何 进行攻击，攻击者使用什么方法进行攻击，以及攻击者何时进行攻击等。这 些问题如果只是凭空猜测，肯定得不到正确的答案。 解决这个问题最好的方法之一就是使用蜜网。蜜网可以为安全专家提供 一个学习各种攻击的平台。在研究入侵”中，没有那种方法比观察入侵者的 行为，一步一步记录入侵者的攻击直至整个系统被入侵的方法更好。此外， 研究型蜜网是捕获自动攻击的好手，比如蠕虫等。因为这些攻击手段的目标 是整个网段，所以研究型蜜网可以捕获这些攻击并进行研究。 一般意义下，研究型蜜网既不会降低系统受到的威胁，也不会为整个系 统带来直接的安全保护。但可以从研究型蜜网的教训中得出的启示，以提高 1 2 哈尔滨工程大学硕士学位论文 整个系统的防护、检测和响应能力。 2 5 2 应用领域 ( 1 ) 测试平台 蜜网可以作为一种测试平台”，即一种受控环境来分析新的软件的应用、 操作系统或安全机制的漏洞。当使用一种新的技术时，通常会带来很多安全 问题，这些问题会给系统带来巨大的风险。因此在使用这些新技术前，可以 先使用蜜网对它们进行高可控环境下进行测试。将这些技术置于蜜网中，对 其进行监控来确定其中是否存在危险或安全问题。例如，可能某家公司要使 用种新的w e b 服务器来进行连接其后端的数据库，该技术可以首先在蜜网 中使用，当黑客攻击该公司的系统时，就可以发现未知的漏洞和威胁。对该 组织来说，基本没有什么风险，因为蜜网已经控制了攻击者的活动。所以， 在生产环境中部署新技术之前，就可以解决所发现的风险。 ( 2 ) 未知攻击分析 蜜网可以捕获内部。”和外部的威胁，收集攻击数据，通过相应工具的解 码，可以进行攻击重组分析。但是对于一个未知的攻击来说，由于没有漏洞 的相关资料，分析过程比较艰难，需要分析者深入了解操作系统和网络的相 关知识，并熟悉漏洞的产生原因和常见的攻击方法，才有可能对未知的攻击 方法进行分析。 ( 3 ) 趋势分析 蜜网在趋势分析“”和建立统计模型方面也很出色，可以利用收集的信息 对攻击进行预测，相当于预警系统。通常，很难知道入侵者何时发起攻击或 何时发布一种新的工具。大多数检测方法多基于已知的签名，如n i d s ( 网络 入侵系统) 。这些的检测方法都是通过一个已知攻击的数据库，然后将网络流 量与数据库进行匹配，看是否在数据库中可以找到，如果找到就发出警报。 但这显然是不够的，人们也努力尝试利用这些信息对攻击进行趋势分析以预 测攻击。组织从各个来源收集大量的i d s 预警，将数据归档到关系数据库中， 然后通过查询数据库中信息来建立关系模型。然而，该方法也存在一定的挑 战。首先是如何去确定未知的攻击，未知的攻击是无法检测或发现的。其次 是错报，不同的数据具有不同程度的错报，这会污染数据，并使统计模型的 有效性大大降低。 对于进行这种研究和预测分析来说，蜜网是一个非常有效的工具。有 13 堕签堡三堡盔堂堡主堂垡堡塞 蜜网捕获的数据具有较低的错报。进入蜜网系统的所有流量都反应了某种类 型的恶意活动，因此对这样的数据进行分析的可靠性就大大加强了。更重要 的是，蜜网不仅捕获己知攻击，而且捕获未知攻击。蜜网不使用己知签名的 数据库来进行数据分析。就像可以很容易地发现针对已知弱点的攻击一样， 同样可以很轻松地发现针对新的漏洞的攻击。通过分析蜜网收集到的所有历 史信息并寻找特定的模式或这些模式中的变化，研究人员可以确定新的攻击 趋势或对未来的攻击进行预测。 2 5 3 安全风险 蜜网是种强有力的安全防护工具，应用蜜网时也不能忽视蜜网可能带 来的风险。蜜网能够搜集关于威胁的大量信息，为了获取这些信息，蜜网必 须允许攻击者对蜜网内的系统和应用程序进行访问，甚至是以管理员的权限 进行访问，这就带来了各种类型的风险。 蜜网所带来的风险，可以分为四种“”类型：危害其它非蜜网主机的风险； 被入侵者检测到的风险；失效的风险；用作非法用途的风险。 ( 1 ) 危害其它主机的风险 这种风险指蜜网被入侵者用来作为攻击其他非蜜网主机的跳板或者工 具。例如，攻击者可能进入蜜网，获取了一个蜜罐主机的控制权，然后对外 网发起攻击，成功破坏外网的目标主机。数据控制机制是用来减少这种风险 的最主要方法，多层次的数据控制能够使得入侵者造成破坏的难度变大。然 而，不管防护机制有多么完善，攻击者总能找到方法绕过防护机制危害其它 的主机。 ( 2 ) 被检测到的风险 蜜网的第二个风险是被入侵者检测到。入侵者如果发现了蜜网的存在， 不管入侵者采取什么应对措施，都会使得蜜网的作用大大减小。 ( 3 ) 失效的风险 蜜网有着被入侵者破坏失效的风险。入侵者可以采取措施，使得蜜网的 数据控制或者数据捕获机制失效。例如，入侵者如果意识到蜜网的存在，他 可能会使蜜网的某些功能失效，但同时仍然向其注入虚假的信息，使得管理 员认为这个功能仍然在正常运行。采用多层次的数据控制和数据捕获机制能 够减少这个风险，因为这能够防止单点失效。 ( 4 ) 用作非法使用的风险 1 4 哈尔滨工程大学硕士学位论文 蜜网的最后一个风险是被攻击者用作违法用途。攻击者控制蜜网，可能 不用该蜜网向蜜网外发动实际的攻击，而是用其做另外一些非法的用途。例 如，攻击者可以向被控制的蜜网上传电影拷贝，音乐，窃取的信用卡号码等 非法信息，并且利用它进行传播。这就给架设蜜网的组织带来了麻烦，因为 如果发现了蜜网中的违法行为，对这些行为负责任的是蜜网的所有者。 2 6 本章小结 本章是对蜜网进行了基础研究，首先对蜜网的基本概念、特点和核心功 能作了简单介绍，然后从数据控制和数据捕获两个方面分析了蜜网体系结构 的变化，最后对蜜网的应用进行了阐述，包括蜜网的安全价值、应用领域和 安全风险。 哈尔滨工程大学硕士学位论文 第3 章蜜网关键性技术分析 3 1 虚拟蜜网 3 1 1 定义 虚拟蜜网。3 。“是通过在同一时间、同一硬件平台上运行虚拟软件模拟多 个操作系统，从而实现在单一主机上部署整个蜜网系统的解决方案。 虚拟蜜网并非一项全新的技术，它和传统的蜜网具有相同功能。其特色 在于能在单个主机上运行传统蜜网的所有组成部分，这使蜜网部署更加便捷， 配置更加集中，而且维护简单。虚拟蜜网与单机蜜罐相比更加复杂高效，极 大地提高了蜜罐系统检测、响应、恢复、和分析受侵害系统的能力。但是， 配置蜜网需要的硬件代价和管理代价也是非常昂贵的。 3 1 2 分类与特点 目前可以将虚拟蜜网分为两类“1 ：独立型虚拟蜜网和混杂型虚拟蜜网。 ( 1 ) 独立型虚拟蜜网 独立型虚拟蜜网就是在一台物理主机上实现整个的蜜网系统，包括实现 数据控制、数据捕获的蜜网网关和蜜网中的蜜罐，结构如图3 1 所示。 图3 1 独立型虚拟蜜网结构 独立型虚拟蜜网的优点是在于它的便携性、即插即用和廉价的空间费用 1 6 哈尔滨工程大学硕士学位论文 开销。 独立型虚拟蜜网的缺点是容易存在单点故障，并且需要高性能硬件配置。 由于共享硬件，增加了入侵者登录到系统中其它虚拟系统的可能，因此其安 全性极大程度上依赖于虚拟软件。而且由于物理主机的硬件限制，很难实现 对所需操作系统的完美模拟，如在i n t e l 芯片上运行思科的l o s 软件。 ( 2 ) 混杂型虚拟蜜网 混杂型虚拟蜜网是一种同时使用蜜网网关和虚拟软件实现蜜网系统的方 案。数据捕获( 如防火墙) 、数据控制( 如i d s ) 和日志系统都放在一个独立、 隔离的系统中，而所有的蜜罐都运行在一个另一个主机的虚拟空间中，这种 方案减少了虚拟蜜网的风险，如图3 2 所示。 图3 2 混杂型虚拟蜜网系统结构 混杂型虚拟蜜网的优点是提供了安全性和灵活性。独立型中存在入侵者 进入宿主操作系统，破坏数据控制等功能组件的危险，而在混杂型中入侵者 仅可能入侵虚拟蜜罐。在混杂型虚拟蜜网中，可以使用各种软硬件来实现数 据控制和数据捕获功能；也可以根据需要来运行任意种类的蜜罐。 混杂型虚拟蜜网的缺点是不易移动，便携性不强，而且需要较高的费用 和空间开销。 3 1 3 实现方式 虚拟蜜网有多种实现方法，经常使用的有三种”方式，即v m w a r e 1 7 堕堡蓬三堡盔堂堕主堂壁堡塞 w o r k s t a t i o n 、v m w a x eg s xs e r v e r 和u s e rm o d el i n u x ，每种技术各有优缺 点。 ( 1 ) v m w e r ew o r k s t a to n v m w a r ew o r k s t a t i o n 是一个虚拟机软件，可以运行在l i n u x 和w i n d o w s 两 种平台下，可以模拟主板、内存、硬盘、网卡、声卡、u s b 口等多种硬件。v m w a r e w o r k s t a t i o n 是目前搭建虚拟蜜网的商业化软件的最佳选择，设计对象主要 为桌面用户，功能强大。 主要优点是支持多种操作系统，可以虚拟环境中可以运行的客户操作系 统包括l i n u x 、s o l a r i s 、w i n d o w s 和f r e e b s d 等；支持联网选项，提供两种 联网方式，一是为独立型虚拟蜜网提供的桥接方式；一是为独立型虚拟蜜网 提供的h o s t o n l y 联网方式。具有较高的灵活性；支持镜像功能，为每个虚 拟蜜罐提供镜像文件，方便了蜜罐的移植和备份，并具有加载虚拟磁盘镜像 的功能；良好的商业软件具有较好的技术支持、升级和补丁等服务和方便易 用的图形接口。 主要缺点是价格昂贵，需要较高硬件资源支持，受限制的客户操作系统 数量，而且易被“指纹”识别。 ( 2 ) v m w a r eg s xs e r v e r v m w a r eg s xs e r v e r 是y m w a r ew o r k s t a t i o n 的服务器增强版本。其上 可以运行更多复杂的服务。y m w a r eg s xs e r v e r 一般将l i n u x 和w i n d o w s 作 为宿主操作系统，对于实现虚拟蜜网它是相当好的一种选择。v m w a r e 公司还 有一种e s xs e r v e r 服务器版本，功能更加强大，不但提供软件解决方案， 而且提供一定的硬件解决方案。 ( 3 ) u s e rm o d el i n u x u s e rm o d el i n u x ( u m l ) 是一种允许同时运行多种虚拟l i n u x 版本的特 殊内核模式，它的开发者是j e f fd i k e 。u m l 具有在一个系统上同时运行多个 l i n u x 实例的能力。它是一种相对较新的工具，具有很大的发展潜力。 使用u m l 的优点是开放公开的源代码，可以根据需要修改u m l 源代码； 可供“指纹”识别的信息较少，资源要求较少；可以构建多个虚拟网络，并 且能够在虚拟网络里创建虚拟路由器；支持桥接和h o s t o n l y 两种联网方式 支持操作系统内核记录击键序列功能；可通过预先配置好的可下载的文件系 统方式来实现虚拟蜜罐；支持多种方式访问u m l 控制台，包括使用伪终端、 哈尔滨工程大学硕士学位论文 x t e r m 、通过t e l n e t 方式进入的入口，甚至通过屏幕方式。 使用u m l 的缺点是目前仅支持l i n u x 虚拟机器，而且u m l 还存在很多程 序漏洞、文档和安全问题，由于u m l 没有g u i 图形界面，现在所有配置和实 现都是必须在命令行下完成的，不易使用。 3 2 内核级捕获技术 入侵者在使用加密的通道( 如，s s h ) 与被侵占主机进行通讯，导致普通 数据捕获技术( 如，e t h e r e a l 、t c p d u m p 等) 捕获的数据无法解密，也就无 法监视入侵者的攻击行为。因此需要一个新的数据捕获技术，在入侵者对数 据进行加密前将数据捕获，并隐蔽地传输到其它安全的主机上。同时，该捕 获技术应有很好的隐蔽性，使入侵者难于发现。 3 ，2 。1 核心思想 内核级捕获技术的核心思想是绕过系统进程直接捕获未加密的数据。因 此，无论入侵者使用任何二进制程序，都可以从内核捕获数据并且可以记录 入侵者的行为。而且，由于用户空间和内核空间是分开的，所以在技术上还 可以实现对所有用户( 包括r o o t 在内) 的隐藏。 最初的内核级捕获仅仅是从内核搜集击键数据，然后将击键数据记录到 一个隐藏文件，通过网络模拟成其它数据( 如n e t b i o s 等u d p ) 传输发送出 去。虽然这样可以监视入侵者的击键信息，但实现复杂、效率较低，而且容 易被数据包嗅探器检测到，因此很快就被第二代的内核级捕获技术所代替。 第二个代内核级捕获不但可以记录击键，还可以