查志琴

(常州工學(xué)院計算機信息工程學(xué)院，江蘇 常州 213002)

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，人們的日常生活和工作越來越離不開Internet了，Internet給人們帶來了很多方便，同時也帶來了網(wǎng)絡(luò)安全方面的問題。目前網(wǎng)絡(luò)安全防御系統(tǒng)的研究和設(shè)計可以分為兩大類，一類是被動防御，一類是主動防御。廣泛使用于個人計算機系統(tǒng)和內(nèi)部網(wǎng)絡(luò)中的各類防火墻系統(tǒng)及入侵檢測系統(tǒng)就是最常用的網(wǎng)絡(luò)安全防御系統(tǒng)，防火墻技術(shù)和入侵檢測系統(tǒng)只能被動地阻擋攻擊者的攻擊，因此屬于被動防御技術(shù)。最近幾年才被重視起來但還沒有被廣泛使用的蜜罐(HoneyPot)和Honeynet是一種網(wǎng)絡(luò)誘騙技術(shù)，蜜罐或Honeynet是用來吸引攻擊者攻擊，使攻擊者的攻擊行為受到監(jiān)控，這種技術(shù)屬于主動防御技術(shù)。

主動防御系統(tǒng)最大的優(yōu)點是對于網(wǎng)絡(luò)上的各類攻擊有判斷，通過這種防御手段可以了解攻擊者的攻擊方法。本文主要研究的內(nèi)容就是基于Honeynet技術(shù)的網(wǎng)絡(luò)防御系統(tǒng)，重點討論如何使用蜜罐和 Honeynet技術(shù)，分析蜜罐和Honeynet技術(shù)在實際應(yīng)用中所面臨的困難和問題。從蜜罐和Honeynet的構(gòu)建，得到相應(yīng)的攻擊信息，并據(jù)此來決定如何構(gòu)建一個全面的網(wǎng)絡(luò)防御系統(tǒng)。

1 Honeynet技術(shù)與防御技術(shù)

Honeynet技術(shù)是建立在蜜罐技術(shù)的基礎(chǔ)上，蜜罐技術(shù)就是利用一臺沒有安裝補丁的計算機引誘外網(wǎng)的各類攻擊，捕獲并分析出各類攻擊，從而了解網(wǎng)絡(luò)上的各類攻擊手段，在真正需要做網(wǎng)絡(luò)防御的計算機系統(tǒng)上設(shè)置各類防御軟件，以防受到各類攻擊。

由各類蜜罐主機經(jīng)過Internet構(gòu)建成一個組織機構(gòu)比較松散的網(wǎng)絡(luò)，在多臺蜜罐主機的組網(wǎng)基礎(chǔ)上，使用防火墻和路由器等硬件網(wǎng)絡(luò)互聯(lián)設(shè)備，再加上入侵檢測系統(tǒng)、軟件防火墻等軟件設(shè)備，可以構(gòu)建成一套交互性較高的蜜罐誘騙網(wǎng)絡(luò)系統(tǒng)，以搜集更多的、不同地理位置的網(wǎng)絡(luò)攻擊，這樣的誘騙網(wǎng)絡(luò)系統(tǒng)就稱為Honeynet。

1.1 Honeynet的國內(nèi)外研究現(xiàn)狀

2000年成立了一個非官方、非營利、由多國的網(wǎng)絡(luò)安全專家組成的研究蜜罐和Honeynet技術(shù)的組織，其被稱為 Honeynet項目(Honeynet Project)。該組織專門研究黑客使用的工具、策略和動機，從而得出防范方法。Honeynet項目的主要目的:首先是提升大家對已知威脅的防范意識;其次是Honeynet項目志愿者安全合作研究工作，包括數(shù)據(jù)分析方法，獨特的安全工具的開發(fā)，收集數(shù)據(jù)的攻擊和惡意軟件的使用;最后是給需要的組織機構(gòu)提供網(wǎng)絡(luò)安全的防范工具與技術(shù)。目前研究已經(jīng)形成了一系列的理論，并提出了Honeynet一代和二代模型。

在國內(nèi)蜜罐和Honeynet的研究起步不久，還沒有形成自己的理論體系和流派，更沒有成熟的產(chǎn)品。國內(nèi)在這方面研究較深入的團體是北京大學(xué)，其于2004年9月提出了狩獵女神項目(The Artemis Project)，該項目組隨后加入Honeynet項目研究聯(lián)盟。

1.2 蜜罐的分類

蜜罐的研究相對來說比較獨立，類別也很多，根據(jù)不同的要求蜜罐又可以分為不同的類型。根據(jù)產(chǎn)品設(shè)計的目的可以分為產(chǎn)品型蜜罐和研究型蜜罐。

產(chǎn)品型蜜罐的主要目的是減輕攻擊的威脅，增強受保護機器的安全性。這種蜜罐所做的工作是檢測惡意的攻擊者，并防范惡意攻擊者。這種類型的蜜罐應(yīng)用于商業(yè)組織的網(wǎng)絡(luò)中。

研究型蜜罐是專門為研究和獲取攻擊信息而設(shè)計。這類蜜罐并沒有增強內(nèi)部組織的安全性，正相反研究型蜜罐要做的是使用各種監(jiān)控技術(shù)來捕獲攻擊者的行為，也就是要求網(wǎng)絡(luò)健壯，并且系統(tǒng)監(jiān)視能力強大，監(jiān)視機制還有具有隱蔽性，這些是記錄攻擊者攻擊活動的基本條件。這類蜜罐是應(yīng)用網(wǎng)絡(luò)誘騙技術(shù)實現(xiàn)設(shè)置的主機，它可以將攻擊者入侵系統(tǒng)的所有信息包括攻擊過程、使用工具等都記錄下來，可以達到混淆攻擊者攻擊目標(biāo)的目的，從而保護含有重要服務(wù)的機器，使之能正常運行。

1.3 Honeynet技術(shù)

通常情況下，Honeynet是建立在一個真實的網(wǎng)絡(luò)系統(tǒng)環(huán)境中，系統(tǒng)中的計算機系統(tǒng)都是標(biāo)準(zhǔn)的機器，而在計算機系統(tǒng)中運行的也是真實完整的操作系統(tǒng)及應(yīng)用，不會刻意去模擬某種環(huán)境或者是不安全的系統(tǒng)，這樣的網(wǎng)絡(luò)環(huán)境對于攻擊者來說是比較真實可信的，可達到增加誘騙的效果。在這樣的Honeynet系統(tǒng)中，整個網(wǎng)絡(luò)系統(tǒng)與計算機系統(tǒng)都由防火墻和入侵檢測系統(tǒng)保護，所有出入網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)都會受到監(jiān)聽、捕獲和控制。從該系統(tǒng)中捕獲到的所有數(shù)據(jù)都將被用于研究網(wǎng)絡(luò)攻擊行為，進一步分析攻擊者使用的工具、方法及其攻擊動機。

隨著網(wǎng)絡(luò)的不斷發(fā)展，被動防御方式已經(jīng)不能適應(yīng)現(xiàn)代網(wǎng)絡(luò)的安全要求了，因此各研究機構(gòu)為對網(wǎng)絡(luò)安全要求較高的單位開發(fā)更高層次的網(wǎng)絡(luò)安全防御系統(tǒng)，即構(gòu)建立體的網(wǎng)絡(luò)安全防御系統(tǒng)——主動防御系統(tǒng)?，F(xiàn)今網(wǎng)絡(luò)中的主動防御方式主要是使用各類技術(shù)組合形成多方位的網(wǎng)絡(luò)防御方式，如現(xiàn)流行的蜜網(wǎng)防御系統(tǒng)，就是采用防火墻技術(shù)、入侵檢測技術(shù)、蜜罐技術(shù)、數(shù)據(jù)挖掘技術(shù)等等構(gòu)建了一套防御系統(tǒng)。

2 Honeynet技術(shù)在網(wǎng)絡(luò)防御中的應(yīng)用

現(xiàn)行的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的安全防御系統(tǒng)都會在內(nèi)外網(wǎng)交界處部署防火墻，防火墻在內(nèi)外網(wǎng)間起隔離作用，此類防御系統(tǒng)屬于被動防御。被動防御系統(tǒng)對于一些新的網(wǎng)絡(luò)攻擊行為和網(wǎng)絡(luò)內(nèi)部產(chǎn)生的攻擊是無法防御的。為主動有效地防御網(wǎng)絡(luò)攻擊，可以考慮在內(nèi)部網(wǎng)絡(luò)中構(gòu)架Honeynet，它能有效識別來自內(nèi)外網(wǎng)的攻擊行為，并根據(jù)攻擊行為來分析攻擊者的攻擊能力和采用的攻擊方式，從而防范其可能引起的進一步攻擊。

2.1 Honeynet的架構(gòu)

Honeynet是由蜜罐技術(shù)發(fā)展而來的，從本質(zhì)上來說是蜜罐技術(shù)的延伸。Honeynet相比蜜罐來說提供了更高的交互性，高交互性可以廣泛獲取來自各個蜜罐的攻擊信息。Honeynet與多個蜜罐主機以及防火墻、入侵檢測系統(tǒng)、跟蹤日志記錄、自動報警系統(tǒng)、攻擊行為分析系統(tǒng)等一系列系統(tǒng)和工具組成了一套松散的網(wǎng)絡(luò)體系結(jié)構(gòu)，這種體系結(jié)構(gòu)具有高度可控性，可以由管理人員控制和監(jiān)視網(wǎng)絡(luò)中的所有攻擊行為并分析出攻擊者的攻擊動機。對于分析不同的網(wǎng)絡(luò)攻擊需要使用的主機系統(tǒng)會有所不同，可以由多臺主機系統(tǒng)來實現(xiàn)多種不同的功能，也可以使用應(yīng)用軟件在一臺主機系統(tǒng)上實現(xiàn)不同服務(wù)及功能。

Honeynet的部署如圖1所示，在該Honeynet體系結(jié)構(gòu)中Honeynet網(wǎng)關(guān)對整個系統(tǒng)起到了極為重要的作用，所有進出Honeynet的數(shù)據(jù)都需要通過Honeynet網(wǎng)關(guān)的控制。為了使內(nèi)部構(gòu)建的Honeynet環(huán)境對外部攻擊人員透明化，在Honeynet網(wǎng)關(guān)處以橋接模式與外網(wǎng)進行相連。Honeynet網(wǎng)關(guān)共有3個網(wǎng)絡(luò)接口，其中以太網(wǎng)口Eth0通過橋接模式與外網(wǎng)相連，使外部攻擊人員能夠進入內(nèi)部Honeynet環(huán)境。由于使用了橋接模式，因此流經(jīng)Honeynet網(wǎng)關(guān)的數(shù)據(jù)不會進行TTL值的遞減，攻擊者也不會覺察自己的攻擊行為已被Honeynet監(jiān)控。為了使Eth1口和真實的宿主操作系統(tǒng)可以進行通信，就需要將宿主操作系統(tǒng)上的一塊網(wǎng)卡地址信息額外地添加，Honeynet網(wǎng)關(guān)的另一網(wǎng)絡(luò)接口Eth2連接到日志控制服務(wù)器，將Honeywall捕獲到的數(shù)據(jù)發(fā)往日志服務(wù)器，也可讓安全研究人員能夠?qū)oneywall進行遠程控制。為了使宿主操作系統(tǒng)上的管理人員可以對日志進行分析，同樣也需要將宿主操作系統(tǒng)上的一塊網(wǎng)卡地址信息額外地添加到另一個網(wǎng)段地址信息中。

圖1 Honeynet拓撲圖

2.2 Honeynet在網(wǎng)絡(luò)中的應(yīng)用

在一般的網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)基本的管理軟件不可缺少，而對于部署了Honeynet的網(wǎng)絡(luò)，可以有效地提高網(wǎng)絡(luò)的防御能力，因此引入Honeynet技術(shù)后，提高了識別攻擊行為和攻擊目的的能力，并可以對通過Honeynet搜集到的數(shù)據(jù)進行攻擊行為的分析，最終達到利用Honeynet技術(shù)對攻擊者的活動進行提前預(yù)警和事后響應(yīng)的目的。

在網(wǎng)絡(luò)中部署Honeynet后，Honeynet開始工作。Honeynet的主要工作圍繞數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制進行。因為蜜網(wǎng)是以蜜罐為主，配合防火墻和入侵檢測系統(tǒng)組成的一種體系結(jié)構(gòu)，需要監(jiān)控的數(shù)據(jù)較多，能捕獲的數(shù)據(jù)也很多。為在眾多數(shù)據(jù)中找到需要的敏感數(shù)據(jù)，需要對這些數(shù)據(jù)進行初步的數(shù)據(jù)挖掘，并從中得到積極有效的網(wǎng)絡(luò)防御方法。整個系統(tǒng)部署并啟用后，只要有攻擊通過了防火墻并攻擊內(nèi)部網(wǎng)絡(luò)中的蜜罐，系統(tǒng)就能及時發(fā)現(xiàn)攻擊行為并立即向系統(tǒng)管理員發(fā)送報警信號。

2.2.1 捕獲數(shù)據(jù)

對于進入蜜網(wǎng)的數(shù)據(jù)，可以分情況進行捕獲，由于有正常的數(shù)據(jù)訪問，對于進入蜜罐主機的所有數(shù)據(jù)都進行監(jiān)視。蜜罐主機有兩種，一種是完全獨立的主機系統(tǒng)稱為獨立蜜罐，另一種是虛擬主機系統(tǒng)稱為虛擬蜜罐。蜜罐上可以安裝各種數(shù)據(jù)捕獲軟件，而且蜜罐主機可以使用遠程管理和數(shù)據(jù)采集。另外，蜜罐自身也可以進行數(shù)據(jù)采集，即蜜罐系統(tǒng)中所有系統(tǒng)和用戶的活動也都記錄在日志服務(wù)器上。現(xiàn)在流行的數(shù)據(jù)捕獲軟件有基于內(nèi)核的Sebek、各類數(shù)據(jù)包捕獲軟件如Sniff系列等等。這些軟件都安裝在蜜罐主機上，采集到的各類數(shù)據(jù)通過蜜罐主機傳送到系統(tǒng)管理員處，再結(jié)合其他軟件對這些數(shù)據(jù)進行分析。

2.2.2 分析數(shù)據(jù)

對于捕獲到的數(shù)據(jù)，不同的數(shù)據(jù)使用不同的分析工具進行分析，可以在網(wǎng)絡(luò)層進行分析，也可以在數(shù)據(jù)鏈路層進行分析。對于使用EtherPeek類軟件捕獲的數(shù)據(jù)就可以在數(shù)據(jù)鏈路層進行分析，因為這類軟件捕獲的數(shù)據(jù)幀，數(shù)據(jù)具有很好的完整性，對大量的數(shù)據(jù)進行分析后，可以輕松了解網(wǎng)絡(luò)中一般的攻擊手段與方法，而對數(shù)據(jù)進行深度挖掘后可以更加深入了解黑客的攻擊手法。

2.2.3 數(shù)據(jù)控制

蜜網(wǎng)的體系結(jié)構(gòu)中，存在著大量的不安全因素，一是蜜罐的誘惑本身就存在隱患，二是網(wǎng)絡(luò)中存在一些安全漏洞。黑客會利用這些不安全因素，攻擊蜜網(wǎng)系統(tǒng)中的蜜罐主機，將蜜罐主機變成僵尸主機，最后構(gòu)成僵尸網(wǎng)絡(luò)，成為攻擊其他機器的工具。鑒于以上原因，蜜罐主機必須是可控的。控制蜜罐主機數(shù)據(jù)的流入和流出，對整個網(wǎng)絡(luò)安全有著極其重要的作用。

3 結(jié)語

本文研究了如何使用蜜網(wǎng)技術(shù)來實現(xiàn)網(wǎng)絡(luò)防御系統(tǒng)，通過使用蜜網(wǎng)的高交互性來主動防御網(wǎng)絡(luò)中的潛在威脅和隱患。本系統(tǒng)在實驗室運行良好，下一步就是把這一系統(tǒng)運用到實際中，并進一步研究它在實際應(yīng)用中是否會對計算機網(wǎng)絡(luò)性能產(chǎn)生一定影響;還有對未知攻擊的防御性能及對內(nèi)部發(fā)起的攻擊的防御性能等。

［1］The Honeynet Project.Know Your Enemy:Honeynets［EB/OL］.［2012-08-08］.http://www.honeynet.org/papers/honeynet.

［2］The Honeynet Project.Know Your Enemy:Tracking Botnets［EB/OL］.［2012-08-08］.http://www.honeynet.org/papers/bots.

［3］楊雄，查志琴，朱宇光，等.基于能量有限型無線傳感網(wǎng)的惡意軟件攻防優(yōu)化策略［J］.計算機工程與科學(xué)，2011(5):22-26.

［4］查志琴，高波.基于Web搜索的數(shù)據(jù)挖掘系統(tǒng)的研究與實現(xiàn)［J］.常州工學(xué)院學(xué)報，2011(2):36-41.

［5］程杰仁，殷建平，劉運，等.蜜罐及蜜網(wǎng)技術(shù)研究進展［J］.計算機研究與發(fā)展，2008(Z1):375-378.