（计算机应用技术专业论文）入侵诱骗系统中数据捕获的研究与实现.pdf

南京航空航天大学硕士学位论文 i 摘摘 要要 随着计算机和网络技术的迅速发展，针对网络和计算机系统的攻击也屡见不鲜，网 络安全问题变得日益严峻。众多安全机构研发了许多安全产品，但攻击者的技术水平也 在不断提高，安全产品的更新换代始终跟不上新问题的出现。 传统意义上的网络安全技术，一般都是被动防御的，像防火墙、入侵检测系统，它 们都是在发现问题后，用来被动的保护信息资源。本文提出的入侵诱骗系统，综合了防 火墙、入侵检测系统、蜜罐等技术，在保证网络安全的情况下，增加对新的攻击方法的 了解，变被动防御为主动进攻，使其具有主动交互性，勾画出了一种新的网络安全防御 策略。 本文首先介绍了课题的研究背景和研究现状。接着分析了防火墙技术，入侵检测技 术，蜜罐技术的功能和缺陷。在此基础上提出了入侵诱骗系统，并给出了该系统的总体 设计和模块设计。然后在这个系统中实现了多层数据捕获，包括网络数据捕获，进程关 联内存捕获，进程关联 cpu 利用率捕获，进程关联端口捕获，文件异动捕获与注册表 异动捕获。同时探讨实现了数据控制与远程日志技术，保障了系统和数据的安全。最后 指出了系统实现时的不足之处， 例如捕获的数据中存在不少冗余数据以及远程日志安全 性有待提高。 关键字：关键字：入侵检测，蜜罐，数据控制，数据捕获，远程数据日志 入侵诱骗系统中数据捕获的研究与实现 ii abstract with the rapid development of the computer and network technology, a growing number of network attackers appear, and network security is also faced with enormous challenges. many security agencies develop a number of security products, but the attackers are constantly improving the level of technology. the traditional security technology, like the firewall or the intrusion detection system, is used to protect the network security after finding the problem. this paper suggests the intrusion deception system, which combine firewall, ids with honeypot. on the condition of the network security, the system help know more about the attacker and become initiative for network security more timely and comprehensive, describing a new network security strategy. this thesis introduces research background and then suggests a definition of the intrusion deception system on the basis of a detailed analysis of the concept, working principle and disadvantage of firewall, ids and honeypot system, presents the functional structure of the intrusion deception system, analyzes its realization method and puts forward a deception network model. secondly, it realize multi-level data capture, including network data packet, the memory occupied by the process, the usage of cpu by the process, the port and ip address of the progress, the changes of the files and register. it also realizes data control and remote log technique in order to protect system and data security. at last, it point out the weakness of the system such as the redundant data and the insecurity of the remote logs. keywords: intrusion detection, honeypot, data control, data capture. 南京航空航天大学硕士学位论文 v 图表清单图表清单 图 2.1 denning 的通用入侵检测模型. 10 图 3.1 入侵诱骗系统的模型图. 21 图 3.2 入侵诱骗系统模块设计图. 22 图 4.1 数据捕获系统处理流程图. 25 图 4.2 winpcap 基本结构图. 26 图 4.3 数据包捕获处理流程图. 27 图 4.4 进程关联内存程序流程图. 31 图 4.5 进程关联内存捕获演示图. 33 图 4.6 进程关联 cpu 利用率程序流程图.35 图 4.7 进程关联 cpu 利用率捕获演示图. 38 图 4.8 进程关联端口程序流程图. 39 图 4.9 进程关联端口捕获演示图. 41 图 4.10 文件异动系统程序结构图. 43 图 4.11 文件异动程序流程图. 45 图 4.12 文件异动捕获演示图. 46 图 4.13 注册表异动捕获演示图. 49 图 4.14 数据控制网络流向图. 50 图 4.15 远程日志数据库演示图. 53 承诺书 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立 进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容 外，本学位论文的研究成果不包含任何他人享有著作权的内容。对本 论文所涉及的研究工作做出贡献的其他个人和集体， 均已在文中以明 确方式标明。 本人授权南京航空航天大学可以有权保留送交论文的复印件， 允 许论文被查阅和借阅， 可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或其他复制手段保存论文。 (保密的学位论文在解密后适用本承诺书) 作者签名： 日 期： 南京航空航天大学硕士学位论文 1 第一章第一章 绪论绪论 1.1 课题的研究背景 1.1 课题的研究背景 随着internet在全球范围内的广泛应用，各国的政治、经济、军事、社会等各方面都 越来越离不开计算机网络。然而由于网络安全的脆弱性，黑客在网上的攻击活动也在以 几何速度增长。政府、军事、邮电和金融网络是黑客当前攻击的主要目标。随着各种网 络应用越来越丰富、网络入侵和破坏手段也越来越先进，网络安全技术也日趋复杂。国 内外许多厂商开发出防火墙等安全产品，然而在网络结构、服务器、操作系统、防火墙、 tcp/ip协议等方面的安全漏洞非常之多。 目前，保护局域网安全普遍采用的是防火墙技术，经过仔细、正确的配置，利用防 火墙技术能够在内部网络和外部网络之间提供安全保护，降低网络的安全风险。但是， 仅仅依靠防火墙来实现网络安全是远远不够的。 传统包过滤型防火墙仅仅依靠特定的逻 辑来判断是否允许数据包通过，即针对数据报头的ip地址、协议、端口号等作过滤控制， 无法对网络内容进行顶层应用(应用层)的过滤控制。一旦符合条件，防火墙内外的计算 机系统便可以建立直接联系， 外部的用户便有可能直接了解到防火墙内部的网络结构和 运行状态，这大大增加了非法访问和攻击的机会1。传统代理型防火墙配置复杂，使用 不方便，同样不能进行顶层应用(应用层)的全面过滤控制。另外防火墙不能防范不经过 防火墙的其它途径的攻击，而由于性能的限制，防火墙通常不能提供实时的入侵监测能 力。静态、被动的防火墙技术不能适应动态多变的网络攻击。 近几年，入侵检测研究便逐渐成为安全领域内的新秀。入侵检测系统能在入侵攻击 对系统发生危害之前发现入侵攻击，并利用报警和防护系统驱逐入侵攻击。在入侵攻击 中能减少攻击的损失，在入侵攻击发生后能收集相关信息，并将其作为防范系统的知识 信息添加到知识库中，增强系统的防范能力，避免系统再次遭到攻击损失。然而单纯的 依靠入侵检测也无法全面的防范攻击。一方面，如果网络处于安全状态下(即无入侵者)， 入侵监测系统仍将收集大量与系统正常业务无关的数据，并对此数据进行分析，占用了 系统资源，对系统安全帮助不大；如果网络遭受到入侵者的攻击，系统也会像上述情况 入侵诱骗系统中数据捕获的研究与实现 2 那样工作，没有适时加大监控的程度，即对网络所遭受的安全威胁程度不敏感。另一方 面，入侵者一发现自己被识破后，就会寻求新的手段进行攻击，使被攻击者防不胜防， 必须不断寻找防御技术。 因此研究新的网络安全技术是迫切需要解决的问题，如何建立一个既能有效保护网 络安全，又能够全面分析入侵者动态改变的入侵手段的安全防护系统，成为当前网络安 全领域中的一大热门2。 1.2 国内外研究现状 1.2.1 入侵诱骗技术研究现状 1.2 国内外研究现状 1.2.1 入侵诱骗技术研究现状 对入侵诱骗的研究自二十世纪九十年代后期开始，在学术界目前仅有一个 honeypot(蜜罐)理论。蜜罐系统与实际系统类似，呈现出许多脆弱性，是一种很容易被 访问和攻击的欺骗网络，是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人 (如电脑黑客等)而设计的。 蜜罐技术作为一种新型的网络安全技术， 己经引起了国外很多研究机构和公司重视， 国外市场上也己经出现了一些免费的和商业化的蜜罐系统。目前在国外的学术界，对蜜 罐技术研究最多的是蜜网项目(honeynet project)组织，它是一个非官方、非营利的由30 多位安全专家组成的组织，其目标是学习、研究黑客社团所使用的工具、技术和动机， 并将研究的成果共享给安全人员3，并提出了蜜网的一代、二代模型。2002年1月，“蜜 网项目组”倡议成立了“蜜网研究联盟”。到2005年3月为止，该联盟己经拥有了20个 来自不同国家和地区的研究组织4。蜜网项目组的目标是提高人们对internet存在的威胁 和漏洞的认识，向社会提供更多的关于入侵者的信息，使用户更好地保护自己的系统， 为大学、研究机构提供信息收集的技术和方法，以用于安全的研究。 在国内，蜜罐、蜜网的研究还处于发展阶段，只有中国电子科技大学，北京大学， 西安电子科技大学，中科院高能所和网络安全焦点()等少数几个大学和科研机 构在做些研究，己经出现了少量的文献和一些具体的蜜罐系统。但系统论述蜜罐的文章 还没有，没有形成自己的理论体系和流派，更没有成熟的产品，和国外的差距还很大。 2004年9月北京大学计算机研究所正式成立了蜜网项目研究组， 该研究组于2005年2月22 南京航空航天大学硕士学位论文 3 日正式被世界“蜜网研究联盟”接受成为其中的一员，也是国内唯一的蜜网研究联盟成 员。中国电子科技大学承担的国家计算网络与信息安全管理中心关于国家信息攻防与 网络安全保障持续发展计划 课题中研究了用于提高蜜罐质量的网络攻击诱骗技术和保 障蜜罐自身安全的技术。 1.2.2 数据捕获(data capture)技术研究现状 1.2.2 数据捕获(data capture)技术研究现状 数据捕获技术，即在不被攻击者发现的情况下，监控和记录攻击者的所有行为，收 集尽可能多的数据。数据捕获是入侵诱骗技术的关键因素，一个诱骗系统的成功与否很 大程度上取决于数据捕获是否全面可靠。数据捕获技术是诱骗技术中的热点。 目前比较有名的数据捕获工具有，lance spitzner发起的蜜网项目组3所研制的基于 内核的数据捕获工具sebek。它设计用来捕获蜜罐主机上的所有会话信息，包括加密和 非加密的信息。 barnett rc5设计的modified script， 它通过是对典型的unix命令 “script” 进行修改而实现，通过修改honeypot中的系统文件使所有登陆到系统的用户都进入 script中，以此来实现对所有用户shell的监视。但这些数据捕获工具有一定的局限性， 它们主要是基于unix、linux系统，并且捕获的主机数据多是击键记录，这对于分析了 解入侵者的目的、所用工具、入侵手段显得不够充分。 本文针对以上不足，实现了windows操作系统下的数据捕获，并在系统数据捕获中 从进程关联内存，进程关联cpu利用率，进程关联端口，注册表异动，文件异动五个方 面进行了全面的捕获。 1.3 本文主要工作 1.3 本文主要工作 本文以网络安全为背景，对该领域的相关技术进行了研究和探索，主要工作内容包 括： (1) 全面深入的分析了课题的研究背景，研究现状，并对网络安全相关技术，网络 安全存在的问题，攻击种类进行了研究和探索。 (2) 介绍了防火墙技术，入侵检测技术及蜜罐技术，综合三种技术提出了入侵诱骗 系统，并给出了该系统的总体结构设计。 (3) 入侵诱骗系统中数据捕获的实现：本文采用多层数据捕获机制，实现了防火墙， 入侵诱骗系统中数据捕获的研究与实现 4 入侵检测系统和蜜罐系统中的数据捕获。 (4) 入侵诱骗系统中数据控制的实现：从防火墙与路由器两方面实现数据的多层控 制，保障了系统的安全。 (5) 入侵诱骗系统中远程日志的实现：通过把捕获到的数据定时的发送到远程数据 库中，保证了数据的安全性。 1.4 本文组织结构 1.4 本文组织结构 本文共分为五章，各章内容如下： 第一章 主要介绍了文章的研究背景，国内外研究现状以及发展方向。 第二章 主要阐述了网络安全的相关的技术， 重点介绍了蜜罐技术， 为下一章的系统 架构做好铺垫。 第三章 分析了防火墙，入侵检测系统，蜜罐系统的缺陷，提出了入侵诱骗系统，并 给出了系统的总体设计与模块设计。 第四章 阐述了多层数据捕获的实现，具体描述了进程关联内存，进程关联cpu利用 率，进程关联端口，注册表异动，文件异动捕获的实现方法。同时从系统与数据安全方 面探讨实现了数据控制与远程日志技术。 第五章 对进行全文的总结，指出了本文工作的不足与展望。 南京航空航天大学硕士学位论文 5 第二章第二章 网络安全相关研究网络安全相关研究 2.1 网络安全的概念 2.1 网络安全的概念 网络安全泛指在复杂的网络环境中，对信息载体和信息处理、传输、存储、访问提 供安全防护，以防止数据、信息内容遭到非授权使用、篡改、泄漏。网络安全是一门涉 及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信 息论等多种学科的综合性学科。网络安全主要包括以下四个方面内容： (1) 网络实体安全：如计算机机房的物理条件、物理环境及设施的安全标准；计算 机硬件、附属设备及网络传输线路的安装及配置等。 (2) 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、 篡改、不受病毒的侵害等。 (3) 数据安全：保护数据不被非法存取，确保其完整性、一致性、机密性等。 (4) 安全管理：运行时突发事件的安全处理等，包括采取计算机安全技术，建立安 全管理制度，开展安全审计，进行风险分析等。 从特征上看，网络安全一般包括五个要素5： (1) 机密性：确保信息不暴露给未经授权的实体。只要用户在网络上传输数据，那 么这些数据就有被窃取的可能。如果这些数据对用户来说比较重要或比较敏感，那么一 旦黑客窃取到这些数据，对用户来说可能造成的非常巨大的损失。因此，在网络安全性 方面，机密性被作为第一条提出。 (2) 完整性：只有得到允许的人才能修改数据，并且能够判别出数据是否己被修改。 一旦信息的发布者将信息发布出去，就不想在不知情的情况下信息被其他用户修改。也 就是说信息的接受者如何来保证它所接受的信息就是发送者发出的原始信息， 没有经过 第三者的肆意改动，这就是完整性概念。 (3) 可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有资源阻 碍授权者的工作。恶意破坏者可以通过各种非法的手段来请求大量的系统资源，从而使 得系统将大量的系统资源都分配给这些恶意的请求， 反而对正常的用户请求不能够及时 入侵诱骗系统中数据捕获的研究与实现 6 做出响应。目前我们所见到拒绝服务攻击基本上都属于这种情况。 (4) 可控性：可以控制授权范围内的信息流向以及行为方式。提高网络可控性的直 接有效的方法是对网络进行分段处理，对一个比较大的网络进行逻辑上的小型化处理， 即将网络划分为若干段，将易发生危险的网段隔离，避免对其他网段产生影响。 (5) 可审查性：对出现的网络安全问题提供调查的依据和手段。一旦出现攻击行为 或网络受到其他一些安全威胁的时候，系统能够对发生的入侵行为进行记录，使得在事 故发生后也能向网络管理员提供黑客攻击行为的线索及破案依据。 2.2 网络安全存在的问题 2.2 网络安全存在的问题 随着时代的不断发展，全球信息化已成为人类发展的大趋势，而网络环境变得越来 越复杂。随着经济活动的展开，安全问题越来越不可忽视。 internet 的发展使网络信息安全的概念发生了根本性的变化，人们不再把信息安全 局限于单机范围，而扩展到由计算机网络连接的整个世界范围内。目前的网络安全则是 以成本和访问速度的降低为代价的，随着网络技术的不断发展，网络信息安全也不断发 展和完善6，但至今它仍然存在着许多的问题。从整体上看，internet 上的网络安全问 题可以划分为以下几个层次7： (1) 操作系统层的安全 当前的操作系统主要是 unix、linux、windows 系列。因为用户的应用程序全在操 作系统上运行，而且大部分的安全工具和软件也都在操作系统层上运行，因此操作系统 层的安全与否直接影响网络的安全。 操作系统层的安全问题主要集中在用户口令的设置 和保护上， 同一局域网或虚拟局域网内的共享文件和数据库的访问控制权限的设置等方 面。 (2) 用户层的安全 用户层的安全主要指他人冒名顶替进行非法活动或用户抵赖自己做过的行为。 (3) 应用层的安全 应用层的安全与应用系统直接相关，它既包括不同用户的访问权限的设置和用户认 证，数据的加密和完整性的确认，也包括对色情、暴力以及政治上的反动信息的捕获和 防止代理服务器的信息转让等方面。 南京航空航天大学硕士学位论文 7 (4) 网络层的安全 网络层的安全是 internet 网络安全中最重要的部分。它涉及到三个方面，第一， tcp/ip 协议本身的安全性， ip 协议本身未加密使得人们非法盗窃信息和口令成为可能。 第二是网管协议的安全性，它使用未加密的明码传输信息，这就存在着人们通过非法途 径获得 snmp 协议分组并分析破解有关网络管理信息的可能性。第三个方面，也是最 重要的一个方面，就是网络交换设备的安全性。网络交换设备包括路由器和 atm，由 于 internet 普遍采用路由器方式的转发技术，从而一旦某一个路由器发生故障或问题， 将迅速波及到路由器相关的整个 internet 自治域。 (5) 数据链路层的安全 数据链路层的安全主要涉及到传输过程中的数据加密以及数据的修改，也就是数据 的完整性的问题。数据链路层涉及到的另一个问题是物理地址盗用的问题。由于局域网 的物理地址是可以动态分派的，因此，人们可以盗用他人的物理地址发送或接收分组信 息。这对网络计费以及用户身份确认等带来较多的问题。 2.3 网络安全现存的攻击种类 2.3 网络安全现存的攻击种类 通常，对数据通信系统的威胁主要包括：信息或其他资源的破坏、信息的误用或篡 改、信息或其他资源的被窃、删除或丢失、信息的泄漏和服务的中断。安全是相对的， 我们只能通过一些技术措施来提高系统的安全性。威胁分为主动威胁和被动威胁，主动 威胁是指对系统中所含信息的篡改或对系统的状态及操作的改变， 因此主动攻击主要威 胁信息的完整性、可用性和真实性。而被动攻击是指攻击者只是观察和窃取数据而不干 涉信息流，它的实现不会导致系统中所含信息的任何改动，而且系统的操作与状态也不 会被改变，因此被动攻击主要威胁信息的保密性。几种典型的攻击方法如下8,9： (1) 欺骗：一种发起主动攻击的手段，主要目的是掩盖攻击者的真实身份，使攻击 者看起来像正常用户或者嫁祸于其他用户。在没有安全机制的 tcp/ip 网络中，自下而 上的地址标识即 mac 地址、ip 地址、tcp 端口号都是通过明文传输，而且，对于这 些地址标识的修改又出人意外的简单。 因此在同一网段上任何用户所采用的监听和仿冒 都是隐藏的危险。 (2) 嗅探：一种被动的攻击方式。通过对计算机的网络接口截取网上传输的数据报 入侵诱骗系统中数据捕获的研究与实现 8 文，从中获得有价值的信息。在嗅探过程中，将网卡设置成混杂模式就可以接收信道中 所有的广播信息、用户口令、信用卡号、电子邮件等机密信息。攻击者只需要接入以太 网上的任一节点进行监听，就可以捕获这个以太网上的所有数据包，通过对这些数据包 进行解码、重组分析，就能窃取关键信息，从而会给用户和系统带来极大的损失。 (3) 缓冲区溢出：最为常见的一种安全漏洞形式，针对此漏洞的攻击占了远程网络 攻击的绝大多数。通过向程序的缓冲区写超出其长度的内容，造成缓冲区溢出，从而破 坏程序的堆栈，使程序转而执行其它的指令。如果这些指令被放在系统权限的内存中， 那么一旦这些指令得到了运行，攻击者就以系统权限控制了系统，达到了入侵的目的。 (4) 流量分析：网络信息系统的所有节点都能访问整个网络，所以通过对网上信息 流的观察和分析来推断网络上数据的属性，如有无传输、传输方向、频率等等。 (5) 拒绝服务：利用合理的服务请求来占用过多的服务资源。只要服务超载，服务 资源就无法响应其他的请求，这些服务资源包括网络带宽，文件系统空间容量，开放的 进程数等。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么 大，互联网的速度多么快都无法避免这种攻击带来的后果。最为流行的以分布式拒绝服 务攻击为主。 (6) 特洛伊木马：木马的实质就是一个网络客户机/服务器程序，被控制端成为一台 服务器，控制端就是客户机。当目标计算机启动时，木马程序随着启动，然后在某一特 定的端口监听。通过监听端口收到命令后，木马程序就根据命令在目标计算机上执行一 些操作。如传送或删除文件、窃取口令、重新启动计算机等。 (7) 蠕虫：在近些年流行的病毒中蠕虫病毒占据了很大一部分。通过 email 或者网 页，甚至在局域网内通过共享文件夹等方式进行传播的蠕虫，感染速度非常快，借助于 互联网可以在短短几天传播到世界各地。 2.4 网络安全的主要技术 2.4.1 防火墙技术 2.4 网络安全的主要技术 2.4.1 防火墙技术 (1) 防火墙的概念 防火墙是用于安全私有网络和外部不可信任网络之间的安全连接一个设备或一组设 南京航空航天大学硕士学位论文 9 备，提供私有网和因特网之间连接的单点 10,11，是设置在不同网络(如可信任的企业内 部网和不可信的公共网)或网络安全域之间的一系列部件的组合。防火墙的组成可以表 示为：防火墙=过滤器十安全策略。它是不同网络或网络安全域之间信息的唯一出入口， 能根据制定的安全策略控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的 抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即 internet 或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区 域的访问。防火墙系统决定了哪些内部服务可以被外界访问，外界的哪些人可以访问内 部的服务以及哪些外部服务可以被内部人员访问。 (2) 防火墙的功能 防火墙主要通过监测、限制、更改所有流进流出防火墙的数据流，达到保护内部网 络免受非法入侵的目的12,13，因此从总体上看，防火墙的主要功能有以下几部分。 1. 过滤进出网络的数据 防火墙是任何信息进出网络的必经之路，它检查所有数据的细节，并根据事先定义 好的策略允许或禁止这些数据进行通信。这种强制性集中实施安全策略的方法，简化了 管理，提高了效率。 2. 站点访问控制 这一方面是指防火墙限定外部网络只能访问内部网络的某些主机， 另一方面是指防 火墙对内部用户访问外部网络的控制，禁止用户访问一些违反规定或有问题的站点。 3. 网络连接的日志记录及使用统计 当防火墙系统被配置为所有内部网络与外部网络连接均需经过的安全系统时，防火 墙系统就能够对所有的访问做出日志记录。 日志是对一些可能的攻击进行分析和防范的 十分重要的情报。防火墙还能提供网络使用情况的统计数据，当发生可疑现象时，防火 墙能适当地提供网络是否受到监测和攻击的详细信息。 4. 封堵某些禁止的服务 网络数据的传输更多是通过不同的网络访问服务而获取的，只要对这些网络访问服 务加以限制，就可以大大降低内部网络的暴露度，提高网络的安全度。让只有那些授权 的协议和服务通过防火墙，禁止存在安全脆弱性的服务进出网络，从而使内部网络免于 入侵诱骗系统中数据捕获的研究与实现 10 遭受来自外界的基于某协议或某服务的攻击。 5. 强化站点资源的私有属性 防火墙通过对一些服务的封堵，防止攻击者获得可资利用的信息，如使外部主机无 法获取站点名、ip地址等。 2.4.2 入侵检测技术 2.4.2 入侵检测技术 (1) 入侵检测的概念 入侵(intrusion)指的就是试图破坏计算机机密性， 完整性， 可用性或可控性的活动集 合。入侵活动包括非授权用户试图存取数据，处理数据，或者妨碍计算机的正常运行。 入侵检测就是对企图入侵、正在进行的入侵或己经发生的入侵进行识别的过程。通过从 计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 以发现网络或系统 中是否有违反安全策略的行为和遭到袭击的迹象。 进行入侵检测的软件与硬件的系统便 是入侵检测系统(intrusion detection system, ids) 14。dorothy denning在1986年提 出了一个通用入侵检测的基础模型，如图2.115： 事件发生器 活动记录 规则集/检查引擎 时钟 修改记录状态 创建异常记录 动态产生 活动记录 审记应用 日志网络包 定义新规则, 修改旧规则 图 2.1 denning 的通用入侵检测模型 入侵检测系统（ids）是对计算机和网络系统资源上的恶意使用行为进行识别和响 应的处理系统，它像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、检 测，从计算机网络的若干关键点收集信息，通过分析这些信息，查看网络中是否有违反 安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信 南京航空航天大学硕士学位论文 11 息安全基础结构的完整性。一般来说，ids 是作为防火墙的补充，所以 ids 一般处于防 火墙之后，可以对网络活动进行实时检测，并根据情况记录和禁止网络活动。 (2) 入侵检测系统的功能 16-18 1.监控、分析用户和系统的活动 这是入侵检测系统能够完成入侵检测任务的前提条件。入侵检测系统通过获取进出 某台主机的数据或整个网络的数据， 或者通过查看主机的日志等信息来实现对用户和系 统活动的监控。获取网络数据的方法一般是“抓包”即将数据流中的所有包都抓下来进 行分析。这就对入侵检测系统的效率提出了很高的要求，如果入侵检测系统不能实时的 截获数据包并对它们进行分析，就会出现漏包或网络阻塞的现象。如果是前一种情况， 则系统的漏报就会很多，如果是后一种情况，则会影响入侵检测系统所在的主机和网络 的数据流速， 使得入侵检测系统成为整个系统的瓶颈， 我们显然不愿意看到这样的结果， 因此， 入侵检测系统不仅能够监控、 分析用户和系统的活动， 还要使这些操作能够快速。 2.发现入侵企图和异常现象 这是入侵检测系统的核心功能，主要包括两个方面：一是对进出网络和主机的数据 源进行监控，看是否存在对系统的入侵行为；另一个是评估系统的关键资源和数据文件 的完整性，看系统是否己经遭受到入侵。前者的作用是在入侵行为发生时及时发现，从 而避免系统遭受攻击，而后者一般是在系统遭受攻击后，通过攻击行为留下的痕迹了解 攻击行为的一些情况，从而避免了再次遭受攻击。对系统资源的完整性的检查也有利于 对攻击者进行跟踪和对攻击行为进行取证。 3.记录、报警和响应 入侵检测系统在检测到攻击后，应该采取相应的措施来阻止或响应攻击。入侵检测 系统作为一种主动防御策略，必须具备此功能。入侵检测系统应该首先记录攻击的基本 情况，其次应该能够及时的发出报警。好的入侵检测系统，不仅能够把相关数据记录在 文件中或数据库中， 还应该能够提供好的报表打印功能。 必要时， 系统还应该做出响应， 如拒绝接受所有来自某台计算机的数据，追踪入侵行为等。实现与防火墙等安全部件的 响应互动，也是入侵检测系统需要研究和完善的功能之一。 对一个成功的入侵检测系统而言， 它不但可使系统管理员时刻了解网络系统(包括程 序、文件和硬件设备等)的任何变更，还能为网络安全策略的制定提供指南。更为重要 入侵诱骗系统中数据捕获的研究与实现 12 的一点是，它便于管理、配置简单，从而使非专业人员也能非常容易地对网络实施安全 保护。入侵检测的规模可以根据网络威胁、系统构造和安全需求的改变而改变，在发现 入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。 2.4.3 蜜罐技术 2.4.3 蜜罐技术 (1) 蜜罐的概念 “蜜罐”的思想最早由 clifford stoll 于 1988 年 5 月提出19，在跟踪黑客的过程中， 利用了一些包含虚假信息的文件作为黑客 “诱饵” 来检测入侵， 这就是蜜罐的基本构想。 但他并没有提供一个专门让黑客攻击的系统。 蜜罐正式出现于文献20， bi11 cheswick21 提到采用服务仿真和漏洞仿真技术来吸引黑客。 服务仿真技术是蜜罐作为应用层程序打 开一些常用服务端口监听，仿效实际服务器软件的行为响应黑客请求。所谓漏洞仿真是 指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞，从而引诱黑客继续攻 击。 蜜罐系统可以记录黑客进入系统的一切信息， 同时还具有混淆黑客攻击目标的功能， 可以用来保护服务主机的正常运行22，通过模拟一个或多个易受攻击的主机，给攻击者 提供一个容易攻击的目标。然后使用各种监控技术来捕获攻击者的行为。同时产生关于 当前攻击行为、工具、技术的记录，甚至可以通过对应用程序中存在漏洞的数据分析， 通过学习攻击者的工具和思路，对系统和网络中存在的漏洞进行修补，进一步提高系统 和网络的安全性能，从而降低攻击者取得成功的可能性，有效地减少攻击对重要系统和 网络信息的威胁，并在实际运行的系统中防止这样的攻击。蜜罐提供了高效收集数据能 力和极低的误报漏报率，虽然收集的资料少，但收集的资料有较高价值。 一般意义上来讲，蜜罐的价值可以分为两个方而，产品目的和研究目的。当应用于 产品目的时， 蜜罐主要是为了保护组织网络， 这些主要包括防护、 探测和对攻击的响应。 当应用于研究目的时，蜜罐主要是用来收集信息，这些信息对于不同的组织有不同的价 值。从防护来讲，蜜罐可以抵御自动的攻击，比如说蠕虫攻击和自动工具包的攻击，通 过迷惑攻击者，使攻击者在蜜罐上浪费资源和时间，使网络管理者有足够的时间来阻止 攻击者。而且如果入侵者在攻击锁定网络之前，发现网络中设置着蜜罐，以防被抓住， 就不会轻易的攻击网络，具有一定的震慑作用。 从传统意义上说，信息安全一直都是被动防御的，防火墙、入侵检测系统、加密等 南京航空航天大学硕士学位论文 13 等，所有这些机制都是用来对自己的资源进行防御性保护的。这里的策略就是尽可能好 的保护自己的网络， 在防御中检测出失误， 然后对失误进行回击。 这种方法的问题在于， 这纯属防御，而敌方处于进攻地位23。现今已经有成熟的蜜罐应用案例，在防御蠕虫病 毒24-26 、防御分布式攻击27,28、防御垃圾电子邮件方面29 、电力信息网络安全30和大 型企业网络中31都有了很好的应用。 (2) 蜜罐的主要技术 蜜罐系统实质上是一个网络伪装系统，一方面经过配置的蜜罐要承受攻击者以任意 方式的入侵和攻击，另一方面要在行为本身无知觉的情形下，跟踪并记录其网络行为的 全过程。严格来说，蜜罐并不是一种安全解决方案，而仅仅是用来评估同类型系统或网 络应用是否达到预期安全级别的参照系统，因此在形式上无论如何构建和使用蜜罐，最 终目的都是使该陷阱能够被入侵者易于发现并攻击。这种潜在的信息取证方式，决定了 在实际应用中对其配置的灵活性要求。为了便于控制，蜜罐一般放置在网络的非军事化 区域(dmz)，但也置于防火墙之外。蜜罐系统的主要技术有欺骗技术、数据控制、数据 捕获、远程日志。 1.欺骗技术 为了使蜜罐更具有吸引力，通常会采用各种欺骗手段。在欺骗主机上模拟一些操作 系统或者各种漏洞、在一台计算机上模拟整个网络、在系统中产生仿真网络流量、装上 虚假的文件路径及看起来像真正有价值的相关信息等等。通过这些办法，使蜜罐主机更 像一个真实的工作系统，诱骗攻击者上当。 网络欺骗主要有以下三个作用：影响入侵者让他按照蜜罐部署者的意志进行选择； 检测到入侵者的进攻并获知其进攻手段和意图；消耗入侵者的资源和时间。主要有以下 方法： 1ip 空间欺骗32 ip 空间欺骗技术利用计算机的多宿主能力，在一块网卡上分配多个 ip 地址或一段 ip 地址，来增加黑客的搜索空间，显著增加他们的工作量，并且增大他们掉进蜜罐的几 率，从而起到诱骗效果。利用计算机系统的多宿主能力(multi-homed capability)在 只有一块以太网卡的计算机上就能实现具有众多 ip 地址的主机， 而且每个 ip 地址还可 以具有它们自己的 mac 地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费 入侵诱骗系统中数据捕获的研究与实现 14 极低。 实际上， 目前已有研究机构能将超过 4000 个 ip 地址绑定在一台运行 linux 的 pc 上。尽管看起来存在许许多多不同的欺骗主机，但实际上只有一台计算机。 2网络流量仿真 产生仿真流量的目的是掩盖蜜罐的没有网络流量的马脚，使攻击者不能通过流量分 析觉察到诱骗行为。在诱骗系统中产生仿真流量有两种方法。一种方法是采用实时方式 或重现方式复制真正的网络流量，这使得欺骗系统与真实系统十分相似。第二种方法是 从远程产生伪造流量，使入侵者可以发现和利用。 3系统动态配置 真实网络系统其系统状态通常是随时间而改变的，是动态的。机警的黑客可能会对 系统的状态进行比较长期性的观察，如果蜜罐的系统状态总是一成不变，在入侵者长期 监视的情况下就会露出破绽，导致诱骗无效。当蜜罐被识破，黑客就会很快溜走，甚至 进行一些针对蜜罐的报复性攻击。因此，需要系统动态配置来模拟正常的系统行为，使 蜜罐也像真实网络系统那样随时间而改变。 动态配置的系统状态应该能尽可能地反映出 真实系统的特性。例如，如果办公室的计算机在下班之后关机，那么蜜罐主机也应该在 同一时刻关机。其它的如假期、周末和特殊时刻也必须考虑，否则入侵者将很可能发现 欺骗。系统提供的网络服务的开启、关闭、重启、配置等都应该在蜜罐中有相应的体现 和调整。 4组织信息欺骗 若某个机构提供有关个人和系统信息的访问，那么诱骗系统也必须以某种方式反映 出这些信息。例如，如果该机构的 dns 服务器包含了系统拥有者及其位置的详细信息， 那么你就需要在诱骗系统的 dns 列表中提供伪造的拥有者及其位置， 否则诱骗很容易被 发现，更进一步，伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等 5端口重定向技术33 所有的监控操作必须被控制，这就是说如果 ids 或嗅探器检测到某个访问可能是攻 击行为，不是禁止，而是将此数据复制一份到蜜罐，同时将入侵行为重定向到预先配置 好的蜜罐机器上。这样就不会攻击到我们要保护的真正的资源。这就要求诱骗环境和真 实环境之间切换不但要快而且要真实再现。 2.数据控制 南京航空航天大学硕士学位论文 15 数据控制是对入侵者的行为进行规则上的定义，让他们能做以及不能做某些事情。 当系统被侵害时， 应该保证蜜罐不会对其他的系统产生危害。 一个系统一旦被入侵成功， 黑客往往会请求建立因特网连接，如传回工具包、建立 irc 连接或发送 email 等。在不 让入侵者产生怀疑的前提下， 保证入侵者不能用入侵成功的系统作为跳板来攻击其他的 非蜜罐系统。 对付那些总是构成威胁的入侵者时，蜜罐系统应该降低入侵者可能造成的威胁。需 要确定的是，一旦系统被入侵，蜜罐系统内的诱骗环境不能损害任何其他处于诱骗环境 之外的机器和组织。这时蜜罐系统面临的最大问题是，在不让入侵者产生怀疑的前提下 控制数据流。只要系统己经被入侵，入侵者就可以随时进行互联网通信，比如检索工具 箱、建立 irc 联系或者发送电子邮件。蜜罐系统必须允许入侵者自由地进行这些行为。 如果入侵者不能够从内部向外部发起连接，他们可能会变得更加小心翼翼。所以蜜罐系 统一定要为入侵者提供足够自由来进行他们需要做的任何事情， 但是并不允许他们运用 己经被入侵的系统来攻击其他的系统，比如拒绝服务攻击、系统扫描和数据挖掘等。可 以得到这样一个很简单的结论，蜜罐系统允许入侵者从内部发出的连接越多，就可以获 得更多的信息，但是可能发生的风险就越大。 3.数据捕获 数据捕获的目的是要在攻击者未察觉的情况下获取他们所有的攻击行为，这也是蜜 网的最终目标34。数据捕获技术就是把所有的黑客行为捕获并记录下来，然后通过分析 这些行为来学习他们的工具、策略以及动机。如何在不被黑客发现的情况下不知不觉地 捕获尽可能多的数据，并把所捕获的信息远程存储，以防存储在本地的信息被黑客检测 到而删除是数据捕获的关键。在实际数据捕获中采用分层捕获信息，把从不同的层获取 的信息综合起来，借此来对入侵行为进行分析。 这里需要解决的最大问题是在入侵者没有察觉的情况下尽量多的捕获有关入侵者行 为的数据，并使捕获的数据尽量真实。值得注意的是，捕获的数据通常不应存储在本地 诱骗环境中，这是因为存储在本地的数据很有可能会被入侵者发现，这使得入侵者得知 他们正在攻击的系统是一个诱骗环境。此外，存储在本地的数据极有可能会丢失或被破 坏。所以蜜罐系统需要做的不仅是在不被入侵者发现的情况下记录入侵者的每个动作， 还要将捕获到的信息进行远程存储。蜜罐系统要从各种不同的数据源收集数据，所以分 入侵诱骗系统中数据捕获的研究与实现 16 层次的进行数据捕获是一种很好的数据捕获结构， 将这些层次合并之后就可以绘制一幅 大而有层次的图像，并对数据进行一目了然的分析。 4、远程日志技术 所捕获的数据放在本地的honeypot并不安全，因此要把日