（计算机应用技术专业论文）主动式动态网络防御技术研究.pdf

两北丁业人学汁算村l 学院埘l 论史 摘要 随着网络的进一步普及，网络在为合法用户提供方便快捷的服务的同时，也为很 多“黑客”提供了司乘之机。如何保护网络，如何保证网络资源的真实性，已经成为 与人们切身利益相关的实际问题。 传统的网络安全技术对于网络攻击，主要采取的是被动防御的手段，面对同益复 杂和千变力。化的各种入侵事件来讲，这些技术逐渐变得力不从心。因此，近年来种 新型的主动防御技术，逐渐成为了网络安全技术研究者关注的焦点。主动式动念网络 防御技术是指在动态过程中，直接对网络信息进行监控，能够完成牵制和转移黑客的 攻击，对黑客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪。 当前的主动式动态网络防御技术主要有动态网络安全技术、伪装技术、网络欺骗技术、 黑客追踪技术。本论文从这几个方面入手，重点讨论了伪装技术和h o n e y 技术。 在伪装方面进行了伪装的总体设计，并分别从基于主机的伪装、基了二局域网的伪 装、基于广域网的伪装几个方面详细地对伪装技术进行了研究。在h o n e y 技术方面， 对当今正在兴起的h o n e y 技术作了详细和广泛的类比研究，对流行的一些有关 h o n e y 的技术概念进行了进一步的总结细化。并从h o n e y 技术主动防御蠕虫病毒 和主动防御垃圾邮件两个方面对当前的技术和方法进行了详细地介绍。结合8 6 3 计划 网络集成化防卫系统，设计了动态的h o n e y 方案，在设计中引入了协、同和联动的 概念，使整个系统中分布式i d s 和i d s ，分布式f i r e w a l l 和f i r e w a l l ，分布式h o n e y p o t 和h o n e y p o t 之间实现了协同控制；同时基于主机的i d s 、h o n e y p o t 、f i r e w a l l 之问实 现了联动。在8 6 3 计划黑客监控系统中，提出了嵌入式h o n e y 的技术方案，增强 了欺骗效果，显菁的增大了黑客的工作量，进一步提出了局域网仿真的概念，设计和 实现了仿真局域网，用一台或少量几台主机模拟出了一个网络，并模拟出了各种网络 服务，用以吸引黑客的注意力，诱使黑客攻击虚拟网。虚拟仿真网络与入侵检测代理 相结合，可以清楚地掌握黑客攻击的每一步骤并可在必要时切断与黑客的连接。 论文选题来源于国家高技术研究发展计划资助项目“黑客监控技术研究”( 8 6 3 计划，课题编号：2 0 0 i a a l 4 2 1 0 0 ) 、圉家高技术研究发展计划资助项目“集成化网络 安全防卫系统”( 8 6 3 计划，课题编号：2 0 0 3 a a l 4 2 0 6 0 ) 、国家博士点基会项目“智能 分布实时网络入侵防御技术研究”( 课题编号：2 0 0 1 0 6 9 9 0 1 8 ) 。固家8 6 3 项目“黑客 监控技术研究”已于2 0 0 3 年2 月2 2 同通过8 6 3 专家组验收，并与2 0 0 3 年1 0 月8r 通过国防科工委组织的专家鉴定，鉴定结论：整体水平达到国际先进、国内领先。 关键词：主动式动态网络 网络安全h o n e y n e t h o n e y p o t虚拟仿真网 a b s l r a c t a bs t r a c t w i t ht h ep e 吖a d i n go fi n t e r a c ta n dt h ea d d i n go fn e t s u f e r s ，n e t w o r kp r o v i d e sb o t ht h e l e g a l u s e r sc o n v e n i e n ta n df a s ts e r v i c e ，a n dl o t so f “h a c k e r ”a c c e s so p p o r t u n i t i e s h o wt o p r o t e c tn e t w o r ka n d h o wt oe n s u r et h ep o s i t i v i t yo fn e t w o r ks o u r c e sh a sb e c o m ea p r o b l e m w h i c hh a sc l o s er e l a t i o n s h i pw i t hp e o p l e si n t e r e s t s n o w a d a y s ，t h e r ea r es e v e r a lt e c h n o l o g i e st os o l v et h en e t w o r ks e c u r i t y e a c ho ft h e m h a ss o m ed e f e n s i v ef u n c t i o ni n p r o t e c t i n g n e t w o r ki n t r u s i o n b u t ，a l lt h e s et r a d i t i o n a l n e t w o r ks e c u r i t yt e c h n o l o g i e sm a i n l yn s ep a s s i v em e t h o d s w h i l ef a c i n gt ot h ec o m p l e x i n c r e a s i n g l ya n de v e r - c h a n g i n gk i n d so f n e t w o r ki n t r u s i o n ，t h e s et e c h n o l o g i e sc o m et ob e p a l e t h e r e f o r e 。r e c e n t l yan e wa c t i v ed e f e n s i v et e c h n o l o g yh a sb e e naf o c u st o t h e n e t w o r ks e c u r i t yr e s e a r c h e r s a c t i v ed y n a m i cn e t w o r kd e f e n s i v et e c h n o l o g yi s ，i nd y n a m i cp r o c e s s ，t os u p e r v i s e t h en e t w o r ki n f o r m a t i o nd i r e c t l ya n da c c o m p l i s hp u l la n ds h i f tt h ea t t a c ko fh a c k e r i nt h e m e a n w h i l e ，a n a l y s et h ei n t r u d em e t h o du s e db yt h eh a c k e r , o b t a i nt h ee v i d e n c eo fn e t w o r k i n t r u s i o n s ，a n dt r a c ka n dt r a c et h ei n t r u d e r s c u r r e n t l y , t h em a i na c t i v ed 5 n a n f i cd e f e n s i v e t e c h n o l o g i e sa r ed y n a m i c n e t w o r ks e c u r i t yt e c h n o l o g y ，n e t w o r kd e c e p t i o nt e c h n o l o g y a n dh a c k e rt r a i lt e c h n o l o g y t h i sp a p e rb e g i n sw i t ht h e s ef i e l d s ，a n dt h e np u t se m p h a s i s o i l d i s c u s s i n g n e t w o r kc a m o u f l a g i n g t e c h n o l o g y , a n d h o n e yt e c h n o l o g y o nt h e n e t w o r k c a m o u f l a g i n ga s p e c t ，i tb r i n g su p n e t w o r k c a m o u f l a g i n gg e n e r a ld e s i g n ，d e t a i l e d i n v e s t i g a t i o nf r o ms e v e r a la s p e c t so fn e t w o r kc a m o u f l a g i n g s ，w h i c ha r eb a s e do nt l o s t ， l a n ，a n dw a n o n t h ea s p e c to fh o n e y t e c h n o l o g y ，t h i sp a p e ri n v e s t i g a t e sn o w a d a y s h o n e y t e c h n o l o g yw h i c hi ss p r i n gu pr e l a t i v e l ya n dt h o r o u g h l y ，a n dg o e sas t e pf u r t h e r s u m m a r yo nt h ep o p u l a rc o n c e p to fh o n e yt e c h n o l o g y m o r e o v e r , i n t r o d u c e sp r e s e n t t e c h n o l o g i e sa n dm e t h o d so nd e f e n d i n gw o r l ev i r u s a n dj u n km a i lb a s e do nh o n e y t e c h n o l o g y i a f t e r a c c o m p l i s h e d8 6 3p r o g r a m ( i n t e g r a t e dn e t w o r ks e c u r i t yd e f e n s i v es y s t e m ) ， t h a tt h ew r i t e rd e s i g n sd y n a m i ch o n e y p r o j e c t t h ei n t r o d u c i n go fc o o r d i n a t i o na n d i n t e r a c t i o ni n t od e s i g nr e a l i z e st h ec o o r d i n a t i o nc o n t r o lb e t w e e nd i s t r i b a t i v ei d sa n di d s ， d i s t r i b u t i v ef i r e w a l la n df i r e w a l l ，d i s t r i b u t i v eh o n e y p o ta n d h o n e y p o t a tt h es a m et i m e ，i t a l s or e a l i z e si n t e r a c t i o n a m o n gi d s ，h o n e y p o t a n df i r e w a l t t h i sa r t i c l ea l s o b r i n g s f o r w a r dt h ee m b e d d e dh o n e yt e c h n o l o g y p r o j e c t s ，w h i c h e n h a n c e st h en e t w o r k c a m o u f l a g i n ge f f e c ta n di n c r e a s e s h a c k e r l sw o r kr e n a a r k a b l y b e s i d e s ，i ts e t sf o r t ht h e c o n c e p to f l a ns i m u l a t i o nf o rt h ef i r s tt i m ea n dm o c k s e v e r yn e t w o r ks e r v i c et oa t t r a c tt h e 娈些! 些叁兰! 笪! ! 兰堕丝| ：堡兰 a t t e n t i o no fh a c k e ri no r d e rt ol e tt h e ma t t a c kt h ed u m m yn e t c o m b i n i n gd u m m y a c t i v e n e t w o r kw i t hi d sa c t i n g ，w ec a nm a s t e re v e r ys t e po fh a c k e r sc r a c kc l e a r l ya n dc u t d o w n t h ec o n n e c t i o nw h e ni ti sn e c e s s a r y t h et h e m ec o m e sf r o ms e v e r a lp r o j e c t s ，s u c ha s “h a c k e rm o n i t o r i n gt e c h n o l o g y r e s e a r c h ”r n a t i o n a l8 6 3 p r o g r a m ，s e r i a l n u m b e r ：2 0 01a a14 210 0 ) ，a n d “i n t e g r a t e d n e t w o r k s e c u r i t y d e f e n s i v e s y s t e m ”( n m i o n a l 8 6 3 p r o g r a m ， s e r i a ln u m b e r ： 2 0 0 3 a a l 4 2 0 6 0 ) s p o n s o r e db y n a t i o n a l h i g h t e c h r e s e a r c h d e v e l o p m e n tp r o g r a m ； i n t e l l i g e n c e d i s t r i b u t i v er e a l t i m en e t w o r k i n t r u s i o nd e f e n c e t e c h n o l o g y r e s e a r c h ”( s e r i a l n u m b e r ：2 0 010 6 9 9 0 18 ) s p o n s o r e db yn a t i o n a le d u c a t i o n d e p a r t m e n t d o c t o rf u n d a m o n gt h e m ，n a t i o n a l8 6 3p r o g r a m h a c k e rm o r n i t o r i n gt e c h n o l o g yr e s e a r c h h a s b e e nc h e c k e da n da c c e p t e ds u c c e s s f u l l yb y8 6 3e x p e r t sg r o u po nf e b 2 2 ，2 0 0 3 ，a n dp a s s e d t h ee x p e l s a u t h e n t i c a t i o no fc o m m i s s i o no fs c i e n c ea n di n d u s t r yf o rn a t i o n a ld e f e n c eo n o c t 8 ，2 0 0 3 k e yw o r d s ：a c t i v e d y n a m i c n e t w o r kn e t w o r k s e c u r i t y l a ns i m u l a t i o n h o n e y n e t h o n e y p o t 矾北f 业大学汁端：射l 学院坝t 论史 第一章： 1 。1 课题研究的背景和意义 引言 论文选题柬源于国缘高技术研究发展汁划资助项目“黑客般控技术研究”( 国家 8 6 3 诗翅，谍遴编号：2 0 0 1 a a l 4 2 1 0 0 ) 、国家高技术研究发蓑诗划资韵项器“蘩成化 网络安全防卫系统”( 圜家8 6 3 计划，课题编号：2 0 0 3 a a l 4 2 0 6 0 ) 、国家激育部博士学 辩点基会资蓟项疆“餐黢分奄实孵溺络入侵藤霸技术礤究”( 溧麓编号：2 0 0 1 0 6 9 9 0 1 8 ) 。 随蓿网络的进一步的普及，网络在为合法用户提供方便快捷的服务的同时，也为 缀多“黑客”搀供了可豢之掇。鳃鸯徐护瓣络，摇留黎诿耀络餐滚懿囊实性，已经成 为与人们切身利益相关的实际问题。目前，解决网络安全问题的主要技术手段有加解 寝技术、数提鉴鄹按零、舫火逮技术、访趣控制技术等，它嚣】在黪 鼙厨络a 霞方藜均 有一定的作用。这些传统的网络安全技术对于网络攻击，主要采取的是被动防御的手 段，蘑对熙益复热积予变万讫的各种入侵事 孛柬讲，这些技术遂溉变得力不铁心。如 何更好的积极的防护我们的网络，已经成为当今研究的个热点。迅速发展起来的智 能化技术、分雄式技术、协同化技术已避一步的成熟起柬。然焉，通过多年的嬲终安 全研究发现t 这些技术还存在一定的缺陷，并且阙络的发展是动惫的，不断有新的协 议、操作系统、应用软件发布和应用，伴随出现的有大量新的潺洞、病毒、攻击程序， 稻应酶网络安全技术也应该歇被动防御实现质的突破。阕此，近年来一种新型的主动 防御技术，逐渐成为了网络安全技术研究者关注冉勺焦点。我们根 i ：j 几年来的研究缝验， 瓣蠢了“主动式动态霹终簖衙技术”的襁念，在这个基磷上我们集成了多种瞬络化防 御方法，全方位的实现了网络安全。这项课题受到国家8 6 3 计划的滚动支持和教育部 媾学释点基金鹣资蚤。 。2 课题硒究的内褰 本课题针对巍翦尉终安全技术的存在润题，力争在麦动防麴上考辑磷究，墨鬟攘 索入侵检测技术、伪装技术、h o n e y n e t 和h o n e y p o t 技术在动态防御方面的技术优势， 以及备萼申技术的镪合使燃在网络安全方蕊的技求效果。列明所学技术掏逡一个具胬磐 能聚的主动式动态嘲络翰御系统的可行德，设计并实现黑客监控系统中的局域网仿真 系统。 具体研究海容主爨包括瞄下几个方面： 】现有的被动防御技术殿i d s 的忧缺点。 第一章一j l 高 2 主动式防御技术的分类和关键技术。 3 各种主动防御技术介绍和分类研究。伪装技术的研究及其实现、h o n e y n e t 和 h o n e y p o t 技术研究。 4 设计和实现了局域网仿真系统。 1 3 论文的结构和章节安排 论文的第一章是整个论文的概述部分，主要从课题来源、研究内容和章节安排方 面对本课题作简单介绍。论文的第二章主要介绍主动式动态网络防御技术的技术概 念，从总体上对主动式防御技术做详细介绍，并指出现阶段的研究状况和发展趋势。 第三章和第四章分别介绍了两种常用的主动式防御技术。分类介绍了基于伪装的动态 网络安全模型以及h o n e y n e t 和h o n e y p o t 技术，并设计了动态的h o n e y p o t 以及嵌入式 h o n e y n e t 。第五章则介绍了主动式动态防御系统当中的相关技术网络仿真及黑客追踪 技术，从具体实现方面重点介绍了局域网仿真系统。详细说明了虚拟仿真网的实际部 器和运行效果。 第二章：主动式动态网络防御技术概述 2 1 主动式动态网络防御技术的概念 主动式动态例络防御技术是指在动态过程中，直接对网络信息进行监控能够完 袋牵赣蓐鬟转穆黑窖鼹攻蠢，对罴客入侵方法进行技术分矫，对舔终灭霞避行取涎甚至 剥入侵者进行跟踪 1 l 。 网络主动酶御技术就是在增强和保证本地鸸络安全性的同时，还要及时发现证在 遭受的攻击并及日寸采取各 十措施使攻击暂不能达到其目的，搜己方的损失酶到_ ：黢低的 各种方法与技术e “。 2 1 1 传统网络防御技术机制 传统的信息安全技术主要集中在系统自身的加固和防护上，主要使辟j 以下几种安 垒枧裂： ( 1 ) 加密机制：用于保证通信过程中信息的机密性采用加密算法对数捌或通信 渡务漉遴 亍翅密。它霹以鼙独霞用，也露 薹与其它辘翻结合起来健薅。翱密冀法爵分 成对称密钥系统和非对称密钥系统。 ( 2 ) 数字签名橇裁：瘸子曝谖透信过程中操作翡不可否砉走毽，发送畿在援文审瓣 加使用自己私钥加密的签名信息，接收省使用签名者的公钥对签名信息游行验证。 ( 3 ) 数据完熬性规割：爆于壤证通信过程串信息鹣完整性，发送者在援文中辫搁 使用单向散列算法加密的认证债总，接收者时认诋信息j 藏行验证。使用单向散列算法 加密鲍认涯信息具有不可逆向恢笺的单囱性。 ( 4 ) 蜜体认证机制：谓于傈溉实体身份的真实性，通信双方帽互交羧实体的特征 信息来声明实体的身份，如口令、证书以及生物特征等。 ( 5 ) 访问控制机镪：瘸子控铽实体对系统资源的访阃，根据实体的身份及膏关属 性信息确定该实体对系统资源的访问权，访问控制机制一般分为魍主访问控制和强制 = 簟阉控截。 ( 6 ) 信息过滤机制：用于控制有害信息流入网络，根掘安全规则允许或禁止某些 信息流入鞠络，虢l t 有害信患对阏络系统静灭爱和破坏。 ( 7 ) 路由控制机制：用于控制报文的转发路由，根据报文中的安全标签来确定报 文熬转袋鼹盘，麓壹褥敏感摄文转笈曩某些礴段或予嗣，疆攻击者窃听韵获敏。 第一章主动t 动卷州络糊i 技术概进 f 8 ) 公证机制：由第三方参与的数字签名机制，通过双方都信任的第三方的公证 柬保证双方操作的不可否认性。 传统的信息安全技术主要有以下特征：( 1 ) 主要采用了静态网络安全技术，如防火 墙l 由口密和认证技术等。( 2 ) 模型内各部件的防御或检测能力是静态的。( 3 ) 模型内各部 件孤立工作，不能实现有效的信息共享、能力共享、协同工作i “。 2 1 2 主动式动态网络防御技术的必要性 二0 0 三年是中国网络安全事故最多、波及面最广的一年。截止到十一月底，中 国国家计算机网络应急技术处理协调中心共接到投诉一万两千起，犬部分为境外投 诉，国内投诉不到百分之五。因为我国用户的投诉意i ： 差，以及很多网络安全事故得 到了及时处理，所以实际的网络安全事件远远超过了该中心记载的数目。如此说束网 络安全已经影响了人们的正常网络生活，成为大家关注的焦点。网络安全技术也已经 发展了很多年，上面所提到的各种网络安全防御技术机制也已渐趋成熟，很多网络安 全产品已经进入到了现实生活中，然而传统的网络安全技术对于网络攻击主要是采取 被动防御的手段，其手段和方法对于干变力化的攻击方式显得力不从心，同时，网络 环境复杂性的不断增加使得网络管理员的工作越加繁重，一时的疏忽便可能留下严重 的安全隐患。如何使网络安全的防御体系由静态转为动态，防御措施由被动转为主动， 改变传统防御总是被动挨打的处境。积极有效的保护系统的安全是需要研究的课题。 静态网络安全框架模型存在的问题：( 1 ) 静态的网络安全技术提高了黑客攻击成功 的门槛，能够挡住大多数的攻击，但是少数能够穿透静态网络安全技术构成的屏障的攻 击，将对系统造成极大的危害。( 2 ) 静态网络安全组件的防御能力是固定的，不能随着 环境的变化而不断变化，而攻击者的攻击能力是不断提升的。在安装的初始阶段，安全 组件的防御能力太于黑客的攻击能力，但随着时间的推移，黑客的攻击能力终将超过安 全组件的防御能力。( 3 ) 静态网络安全组件的防御或检测能力不能动态地提升只能以 人工或者定期的方式升级，但这往往是亡羊补牢。( 4 ) 单个的安全组件所能获得的信息 是有限的，不足以检测到复杂攻击，即使检测到了也不能做出有效的响应。总之，传统的 静念网络安全框架模型不足以解决现有的各种安全威胁，不能构建一套有效的网络安 全防护体系。面对只益流行的分布式、协同式攻击，任何单个的安全组件防御能力是有 限的，只有各安全组件实现有效的互动，构成整体安全解决方案，爿能进行有效的检测和 防护“。 总之，最新进展的主动式动态网络防御技术，将转变这一局面，使人们能够在一 定范罔年条件下掌握黑客入侵的规律，并能够_ ；l = 动的诱骗黑客和干扰黑客，增加黑客 两北t 业人学“算机学院 i ! j ! 1 论艾 的攻击难度，转移黑窖的攻击目的。 动态网络安全框架模型应有如下特点：( 1 ) 多层防御体系。锌安全组件按其功能和 特点构成多层防御体系，各层之问既能互动，又保持相对的独立。黑客必须突破所有的 防御层，力能对系统造成损害。( 2 ) 系统的防御能力能动态提升。( 3 ) 模型内各安全组件 能实现互动。模型内的安全组件是相互哳作的，如入侵检测的结果将检测结果通知防守 反击系统，它根据响应策略库进行各种响应，例如通知防火墙切断黑客的入侵连接或者 调用攻击程序对黑客实施反击。( 4 ) 自动化响应与人的智能相结合。该框架模型除了充 分利用自动化响应提高对抗黑客的能力和减轻管理员负担义务以外，还将管理员置于 非常重要的地位 4 。 2 2 主动式动态网络防御技术分类 主动式动态网络防御技术从总体上可以分为三大类 第一类：以入侵检测为代表的各种动态网络安全技术。此类技术主要包括各种漏 洞检测技术、数据鉴别技术、流量分析技术、同志审计技术等。这类动态网络安全技 术主要是以攻击者正在攻击为前提，实时的检i , f l n 攻击行为。网络安全技术在黑窖正 在进行攻击和攻击之后进行实时的主动式动态网络防御。 第二类：以网络伪装为代表的各种动态网络安全技术。此类技术主要包括主动伪 装和被动伪装技术。网络伪装技术在黑客进行踩点，准各发动进攻的时候，通过在真 实信息中加入虚假的信息，使黑客对目标逐级进行扫描之后，不能采取j 下确的攻击手 段和攻击方法。因为对以不同的网络环境，不同的网络状态，将要采取不同的网络攻 击手段。如果夹杂有虚假信息，攻击者将很难利用自己的攻击工具对现有的网络实施 攻击。 第三类：以网络诱骗为主的各种动态网络安全技术。此类技术主要包括，网络陷 阱、网络欺骗、特洛伊木马、h o n e y n e t 和h o n e y p o t 技术。网络诱骗技术是一种更加 主动的防御技术，这种防御技术是在黑客没有实施攻击和破坏之前，就主动的设置了 些陷阱，使那些在寻找目标的黑客，被吸引进入预先设簧的陷阱，此后黑客便被监 控，不断的获取黑客的信息，然后对黑客的攻击行为进行分析，为研究破解黑客技术 积累资料，并且在必要的时候对黑客以警告，甚至进行反击。 2 3 主动式动态网络防御的关键技术 在主动式动态网络中，为了更好的达到我们主动防御的目的，必须有相关的的关 键技术作支撑，近年来主要的技术有动态网络安全技术、伪装技术、网络欺骗技术等 第一节土动- 弋动态叫络防御投术概述 几大类，下面分别做具体的介绍 2 3 1 动态网络安全技术 动态网络1 7 2 d r 2 c 安全模型的原理图如图2 - i 所示5 童潍厂叫錾妻卜刊鬃鎏h h 群毡f 图2 ip 2 dr 2 c 模型的原理刳 该模型提出的安全系统由监测、保护、反馈和反击4 大部件组成，整个系统的运转受 主体所采用的安全策略的指导和控制，客体受到保护部件的保护。一旦监测部件发现 攻击，将通知保护部件采取措施将攻击拒之于外，如客体被攻入，则通知反馈部件发 出信号，使保护部件更改配置以适应新情况，能对付已发现的攻击，同时启动反击部 件进行跟踪追击，获取攻击者详细的资料以各研究或取证，从而对系统的整体安全状 况了如指掌，以利于设计出安全性更好、更优的系统，同时也能有足够的证据通知司 法部门将攻击者绳之以法。如果客体己被更改或黑掉，则反馈部件能使客体得到恢复。 卣丁见该模型通过反馈调节能不断地优化系统，改善系统的性能，提高系统的抗攻击能 力，是一种比较优越的安全模型。图2 2 为p2 d r2 c 模型的体系结构。 第5 馒 蒴4 艨 第3 詹 第2 愆 第1 堪 系墒备份、：衰l 雀恢复 和砧抗 垒堡垒型垄笪j 竺! ! ! 竖璺l 编毒槛测l 蔼磊i 甄霭 舫火墙 l 垤鬻i丽 楚略 幽2 - 2p2 d r 2 c 模斗j 的体系结构 模型电可用文字描述为：安全= 风险分析+ 执行策略+ 漏洞监测+ 实时响应+ 主动对 抗+ 及时恢复。简单地用语言描述为：在整体的i 劂络系统安全策略的控制和指导l i ， 综合运用诸如安全操作系统、防火墙、加密等安全防护措施和手段柬保证网络系统具 有一定的安全基础，利用入侵检测系统、弱点漏洞分析和评估工具对网络的安全状况 进行评估挪分析，实时监控网络事件尽力保持网络处于相对安全状态。对网络入侵 行为矛h 动叁两终弱点潺洞、誉l f 确的系统遐嚣蒙l 使蠲进行稳应，定期对答统重要爨源 进行备份，一旦被攻破立刻就能褥到恢复，最大限度地减少风险和损失。同时采取主 动防御撙施，采用入侵诱骗技术收集入侵信息，分析入侵者鲸详缎资料f 翅瘩x f 、爨鲍、 所用工具、入侵手段等) ，以设计出更安全、更合理的系统同时也能为制裁攻击者提 供有力的证据。 2 。3 2 伪装技术 1 网络数据流伪装模型的研究 1 主要研究钎对网络数掰流的特点，对嘲络数据流送行伪装的投术分析与形式化描 述、伪装弊法、伪漩度的裘示以及为了满足实时系统的需琦之+ 在刁i 问伪装度下伪装尊 法对隧络数据流避行伪装时，对两络性能、安全稔度的影响。 2 网络数据报伪装模型 把信息伪装的思想和弹法引入到对单网络数据报的伪装中，闹时结合网络数据 拨舱特点，可以在数据链鼹层对铡络层数握提、或嬲络臻对婕竣层数据摄、或佼辕差 对应用层数据进行乱置处理、或填充处理，从而达到对单数据报伪装的目的。为网 络数据报的伪装主要用在对等伪装中，即进行通镶的双方都必须知道伪装的箕法、参 数设置、伪装层静信患，融此，还必须要研究如何让通信双方进行协商，安全地交换 上述信息，从而使通信双方既能伪装数掘缀，又能正确地解除对数据报的伪装。 l 3 i p 地址伪装模型 对l p 地蛙数伪装舂嚣秽摸墅，一是在经过镑装黪i p 恁垃与囊聂戆i p 建堍混含 在“起，霞接参与通信。在l i n u x 中，通过其m a s q u e r a d e 功能可以实现对i p 地址的 伪裟( m a s q u e r a d i n g ) ，或遇过多臻主彝t 躬方式在个计笺攫上缀寇多令i p 地壹，堡 这黼种方式由于其静态性，不能满足动态伪装的网络安全模型的要求，冈此，我们提 出的对l p 地址伪装( c a m o u f l a g i n g ) 基于上述弧秘方式，缝合隧趱( t u n n e l ) 技术， 从而实现动态调度、动态伪装的跨网段的i p 地址伪装模型。这种i p 地址称为伪装的 系统i p 地址。 二是伪装的自定义i p 地址，即首先时l p 地址进行伪装，构造成只何邋信双方彳 能l l 别趵牌地址撼述，然后通过隧道的包装，在接收方再恢复成标港麴数握报 - j 更为高级的技术。但是要趿引此类客户，就必须要开发出更为复杂 静h o n e y n e t 出来。所以簧给对手个丽子攻击的其霄拂战往静瑷由，而显h o n e y n e t 也必须能够更好的控制和捕获倍息。一部分网络安全专家，正在丌发用于捕获和审计 液据静薪技术。倒如，系统及臻子击毽捕获静瑟为复杂鹣方法，对加密瞵络流懿豁实 时解密，以及更先进的过滤方法、h 志机制、捕获加密流量的实用工具和用于存储和 关联馈惑兹磊瀛数据疼。h o n e y n e t 粒发壤蓦杯就楚诖更多豹安全：【俸裘了解它，使罐 它t 从中受益。而且在发展的过程中，熨月h 注重以下几个方面。通过h o n e y ! c ) o t 组成 黪h o n e y n e t ，以及多个h o n e y n e t 之翅豹醚合，哥戳澹楚建楚鞭攻击者熬攻击霆鳃和 攻击范嘲。并且能够了解到某个组织在攻击方法i = 面的惯用伎俩。再之，通过分机式 的环境嫩引掌握不嗣攻蠹= 技术的黑客，斛为不同黪黑客会缀撂自己熬星的玫击不耀类 型目标。比如以电子商务站点为目标的黑客们所具有的工具和战术可能会不同于工业 蚓泼耵搪工具瑚战术。通过这样鲍不同鸱环境的h o n e y n e t ，我们将熊得到蝮多经验和 两北丁业人学舅帆学院坝f 论史 教训。最后，可以识别出可信区域内的易受攻击性和风险。在很多组织之间的关系当 中，两个组织之问的信息足互相信任的，这样就导致了所有的组织都会面临和最不安 全的组织的相同的风险。通过分布式h o n e y n e t 要建立起同等的信任程度，这样将有 利于我们更好的理解此种环境中所存在的易受攻击性和风险。 所以h o n e y p o t s 与h o n e y n e t 的目标就是更好的保护我们的业务网络，对各种威胁 进行研究并不断的识别新的威胁，从入侵者那晕学到更多的高深的内容，防范我们的 网络，与安全技术团队共享，并能够升：断的适应破译者的技术的变化，随时应对。 4 3 利用h o n e y p o t 主动防御蠕虫病毒 2 0 0 3 年的夏天，网络遭遇了一场灾难，众所周知的m s b l a s t 网络蠕虫，感染了数 以百万计的w i n d o w s 主机系统。类似的红色代码、尼姆达、s l a m m e r 等病毒在过去都 在造成了很大的灾难。 受感染的计算机找到目的主机，自动的复制病毒，造成了巨大的安全问题。 人类的倾向是大部分人使用同一类型的系统和应用，所以很多安全专家害怕，当 一| 干十新型的蠕虫病毒出现以后，就会对联网的计算机造成广泛和巨大的破坏。如果流 传的计算机病毒码格式化了数以百万计的感染的w i n d o w s 操作系统的话，后果将不 堪设想。 随着攻击技术的发展，安全界也应该有新的剥策。 本节将讨论使用h o n e y n e t 主动防御网络蠕虫的有效性。第一部分讨沦蠕虫的一 些背景信息和普遍存在性，接着讨论h o n e y n e t 的一些有趣的交互功能。最后，将研 究怎样来建立一个防御网络蠕虫和追踪的框架】。 4 3 1 介绍网络蠕虫 简而言之，一个网络蠕虫对应于具有自身传播功能的恶意的代码。这些令人恐惧 的实体通常攻击脆弱主机，感染他们，使用这些主机作为跳板来传播到其他的具有脆 弱点的目标上。 大多时候，蠕虫是黑客、安全界的专家和病毒爱好者丌发的。病毒的感染基于滥 用社交工程的弱点，例如，让一个用户点击邮件附件，网络蠕虫也经常利用计算机的 技术脆弱点。 从e d w a r da m o r o s o 的功能方面的技术观点来看，一个网络蠕虫主要有三方面的 主要的行为： ： 1 感染：通过探测脆弱点来感染目标。 第p 帝h o n e y n e t 和h o n e y p o t 技术研究 2 载荷：对局域网感染的目标或者远端的主机产生恶毒的行为。 3 传播：使用感染的目标作为对外部传播的手段。 4 3 2 h o n e y p o t s 对抗蠕虫 这节的目标就是演示交互式的h o n e y p o t 击退网络蠕虫的优势。参考上面所讲的 网络蠕虫的三方面的功能，h o n e y p o t 可以用在蠕虫的三个不同的阶段：感染、载荷、 传播。 4 3 2 1h o n e y p o t s 和蠕虫感染 蠕虫的感染阶段就是滥用脆弱点复制自己到选择的目标上。 在这个阶段上，一个防御的h o n e y p o t 的目的就是探测到异常的行为，例如侵略 性的流量，表征它l ，接着把它发送到专有的网络上。这个技术通常叫做“b a i ta n ds w i t c h ” 允许选择性的将其发送到业务网还是h o n e y p o t s 网络上。 防御性的h o n e y p o t 是基于网关的，和防火墙和i d s 一起使用，或者和i p s ( 入侵 保护系统) 。过滤进入网络的流量，分析包的内容，通过和已知的特征攻击库进行比 较，估算是否有恶意的连接。在鉴别之后，网关将能够在一定的时i 日j 段内把一些来源 标记成危险的。因此，标记成危险的包将被重定向到h o n e y p o t 网络而不是业务网。 在过去的蠕虫m s b l a s t 的例子中，如果嘲关与进入的目的端口为1 3 5 的t c p 数据 报匹配，而且具有i d s 定义的蠕虫特征，它就能重新把他们定向到h o n e y p o t 上，并标 记为感染的源地址。 我们能够发现这种技术的一些缺点： 1 特征不能发现最新的已知的入侵； 2 这是可信的吗1 7 如果系统出错或者因为误报发送一些合法的流量到h o n e y o t ， 将会发生什么呢? 3 因为在网关的大量的数据包分析，网络速度将会大大降低。 4 3 。2 2 h o n e y p o t s 和蠕虫载荷 关于h o n e y p o t s 的技术对于处理载荷是非常有用的，特别是捕捉他们和分析他们。 为了捕捉蠕虫，你必须让蠕虫感染主机或者至少让它觉得它已经感染了一个主机。自口 断我们讲过我们可以把感染的数据流重新定义到一个h o n e y p o t s 网络当中柬研究。 h o n e y p o t s 要么是个“牺牲羔羊”( 通常的t 机，没有进行过多的升级，在攻击 中的牺牲品) ，或者只是模拟1 些服务。不管是哪。种，都不能映射到其他的不在你 的权限控制之内的主机上。 h o n e y p o t s 帮助我们理解蠕虫是非常有价值的。例如，利用h o n e y d 我们可以使用 很小的配置在被m s b l a s t 感染的网络内模拟成下上力的主机( 潜在目标) 。这种配置 可以在没有太多风险的情况下来研究蠕虫的传播速度。 4 3 2 2 1 牺牲羔羊 当使用牺牲羔羊的时候，原始的计算机在恰当的操作系统上安装了所需的服务。 这个机器也可以和其他的操作系统同时运行，这通过v m w a r e 实现。 为了抓住蠕虫，没有防御的机器等着被蠕虫感染。接着才有可能通过发现的磁盘 h 的二进制代码和网络流量观察蠕虫。 如果蠕虫是有很简单的不复杂的代码组成的，那就很容易分析被捕捉的二进制代 码和网络流量。但是如果蠕虫在网络层传输复杂的数据包( 加密) ，或者更改它的行 为和数字特征( 和多元化的病毒相似) ，分析将会很复杂。而且，如果蠕虫很快的破 坏感染的主机例如，很少的几次尝试，牺牲羔羊将会失败，随后的分析也就无从谈 起。 4 , 3 2 2 2 虚拟主机和服务 通过模拟主机或者服务，h o n e y p o t 能够通过虚假的服务和远端进入的蠕虫交互。 程序h o n e y d 能够胜任这项工作。 为了做到这些，必须对其作相应的配置，简单的如f 的配置能够从嘲上获得 m s b l a s t 。 c r e a t ed e f a u l ts e td e f a u l tp e r s o n a l i t y ”w i n d o w sx pp r o ” a d dd e f a u l tt c pp o t t1 3 5 o p e n a d dc l e f a u l tt c pp o r t4 4 4 4 ”b i n s h s c c i p t s w o r m c a t c h e r s h $ p s r es i p d s t ” s e td e f a u ltt c a c t i o nb l o c k s e td e f a u l tu d pa c t i o i qb l o c k 下面是些l a y r e n to u d o t 在h o n e y d 中对应于t c p 端 | 的脚本内容 ! # h i n s h # c r e a t i o no fad i r e c t o r yf o re v e r yc o n t a m i n a t e dh o s t # a t t a c k i n gt h eh o n e y p o t i no r d e rt oa r c h i v ed i f f e r e n tb i n a r i e s m k d i r t m p $ l $ 2 粥市h o n c y n e t 和h o n e y p o t 技术研究 # d o w n l o a do ft h ew o r mt h r o u g ht f t pi nt h i sd i r e c t o q # ( s p e o i f icb e h a v i o u ff o rm s b l a s t ) c d t m p $ l 一$ 2 l f t p $ 1 e o f g e tm s b l a s t e x e q u i t e o f 这种技术非常好，可以不用使用真f 的w i n d o w s 操作系统就可以重新获得蠕虫代 码。所以这个技术是非常实用的，但是很难再现具有复杂协议和工具的蠕虫的代码( 例 如对每个网络会话都加密) 。直到最近也没有这样的蠕虫在网络上广泛流传。 4 3 2 3 h o