蜜网技术(精选7篇)
蜜网技术 篇1
摘要:随着网络的不断发展, 原有的安全技术如防火墙、入侵检测技术, 已经不能解决现在网络安全所面临的问题。蜜网技术的出现, 有效地弥补了原有安全技术所存在的不足。本文主要从蜜网技术的发展、分类出发, 分析了蜜网技术的应用, 及今后的主要发展趋势。
关键词:网络安全,蜜网,防火墙,入侵检测
1 引言
目前常用的网络安全技术有如下几种:防火墙技术、加密技术、入侵检测技术、身份认证技术等等。然而这些技术或多或少所存在的各种安全风险已经不能满足网络安全发展的需要, 如:防火墙的缺陷是因为它的规则库不够完备, 入侵检测系统的主要问题是它的误警率和漏报率过高, 并且响应措施不够完备。在这种情况下蜜网技术能够在一定程度上改善这些问题。
2 蜜网的概述
2.1 蜜网的定义
蜜网技术是由蜜网项目组 (T h e Honeynet Project) 提出并倡导由真实主机、操作系统、网络服务和应用程序构成的网络体系框架, 结合了一系列数据控制、捕获和分析工具, 使得安全研究人员能够更好地在一个高度可控的环境中了解Internet的安全威胁。
图1是一个包含蜜网系统的网络布局图。
2.2 蜜网的分类
(1) 根据交互级别的不同
根据蜜网与攻击者之间进行的交互对蜜网进行分类, 可以将蜜网分为低交互蜜网、中交互蜜网和高交互蜜网。低交互蜜网仅提供一些简单的虚拟服务, 例如监听某些特定端口。该类蜜网风险最低, 但或多或少存在着一些容易被黑客所识别的指纹 (Fingerprinting) 信息。中交互蜜网提供了更多的可交互信息, 它能够预期一些活动, 并可以给出一些低交互蜜网无法给予的响应, 但是仍然没有为攻击者提供一个可使用的操作系统。同时诱骗进程变得更加复杂, 对特定服务的模拟变得更加完善的同时, 风险性也更大了。高交互蜜网为攻击者提供一个真实的支撑操作系统。此类蜜网复杂度和甜度大大增加, 收集攻击者信息的能力也大大增强。但蜜网也具有高度危险, 攻击者最终目标就是取得root权限, 自由存取目标机上的数据, 然后利用已有资源继续攻击其它机器。
究竟使用何等交互级别的蜜网取决于所要实现的目标。
(2) 根据部署目的的不同
按照部署目的不同分为产品型蜜网和研究型蜜网两类。产品型蜜网为一个组织的网络提供安全保护, 包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。较具代表性的产品型蜜网包括DTK, honeyd等开源工具和KFSensor, ManTraq等一系列的商业产品。研究型蜜网则是专门用于对黑客攻击的捕获和分析, 通过部署研究型蜜网, 对黑客攻击进行追踪和分析, 能够捕获黑客的击键记录, 了解黑客所使用的攻击工具及攻击方法。
2.3 蜜网的优点
(1) 使用简单
蜜网并不涉及任何特殊的计算, 不需要保存特征数据库, 用户需要做的只是将蜜网放置在自己的组织中, 并坐在一边等待。
(2) 收集数据的保真度高
蜜网收集的数据通常都是非常有价值的信息。运用蜜网, 可以收集到自己所需的信息。比如, Honeynet组织平均每天可以收集1到5MB的数据, 这些数据都具有很高的研究价值。
(3) 资源占用少
许多安全工具都可能被庞大的带宽或网络行为淹没。但是蜜网就不会碰到这类问题, 因为它们需要做的仅仅是捕获进入系统的所有数据, 并且蜜网并不像其他的安全设备 (防火墙和IDS探测器) 那样需要昂贵的硬件设备, 比如大量的内存和高速芯片等。
(4) 使用蜜网技术能够收集到新的攻击工具和攻击方法
由于蜜网具有欺骗特性, 因此不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。它能够根据它所收集到的有用信息进行分析, 更容易收集到新的攻击工具和攻击方法。
3 蜜网的应用
应用蜜网技术进行网络安全防御的研究还在摸索进行中, 本文针对目前危及网络安全较为严重的几种威胁, 利用蜜网技术进行防御的可行性进行了探讨。
(1) 抗蠕虫病毒
蠕虫的一般传播过程为扫描、感染、复制三个步骤。经过大量扫描, 当探测到存在漏洞的主机时, 蠕虫主体就会迁移到目标主机。然后在被感染的主机上生成多个副本, 实现对计算机监控和破坏。利用蜜网技术, 可以在蠕虫感染的阶段检测非法入侵行为, 对于已知蠕虫病毒, 可以通过设置防火墙和IDS规则, 直接重定向到蜜网的蜜罐中, 拖延蠕虫的攻击时间;对于全新的蠕虫病毒, 可以采取办法延缓其扫描速度, 在网络层用特定的、伪造数据包来延迟应答, 同时利用软件工具对日志进行分析, 以便确定相应的对抗措施。
(2) 捕获网络钓鱼
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件, 意图引诱收信人给出敏感信息的一种攻击方式。目前的反网络钓鱼工作组等机构寄希望于发觉网络钓鱼攻击的用户向他们报告, 通过报告再进行分析。这种途径只能在网络钓鱼攻击发生后从受害者的角度去观察, 并不能清晰地了解网络钓鱼攻击的全过程。而蜜网技术则提供了捕获整个过程中攻击者发起攻击行为的能力, 在蜜网中的蜜罐都是初始安装的没有打漏洞补丁的系统, 一旦部署的蜜网被网络钓鱼者以进行网络钓鱼攻击, 安全分析人员就能及时在蜜网捕获的丰富日志数据的基础上, 对网络钓鱼攻击的整个生命周期建立起一个完整的理解, 并深入剖析各个步骤钓鱼者所使用的技术手段和工具。
(3) 捕获僵尸网络
僵尸网络是近年来兴起的危害Internet的重大威胁之一, 它的危害体现在发动分布式拒绝服务攻击、发送垃圾邮件以及窃取僵尸主机内的敏感信息等。因此, 我们可以考虑利用在网络中部署恶意软件收集器, 对收集到的恶意软件样本采用蜜网技术对其进行分析, 确认是否僵尸程序, 并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取, 最后通过客户端蜜罐技术, 伪装成被控制的僵尸工具, 进入僵尸网络进行观察和跟踪。
4 蜜网的发展趋势
面对不断更新的黑客技术, 蜜网技术要完善目前具有的所有功能就必须不断地发展和更新。
(1) 提高蜜网的可移植性
目前的操作系统各种各样, 大部分蜜网只能够在特定的操作系统下工作。因此, 能够跨平台工作的蜜网成为安全工作者关注的焦点。如果蜜网可以在任何操作系统下生效, 蜜网的适用范围变得更宽, 使用者的范围就会不断增加。
(2) 提高蜜网的交互性
在尽量降低风险的情况下, 提高蜜网与入侵者之间的交互程度。蜜网如果仅仅支持简单的交互行为, 就可能被入侵者很快发现并迅速全身而退。所以蜜网技术不断进步的过程中, 必须尽量提高与入侵者之间的交互程度, 以便更好地了解入侵者行为并得出结论。
(3) 提高蜜网的信息控制和记录功能
当前的蜜网技术在记录攻击者攻陷一台机器之后的情况方面还做得很不够。因为大规模分布式的攻击成为一种攻击“时尚”, 了解攻击者在攻陷一台机器之后的所作所为, 成为安全工作必不可少的一部分, 也是蜜罐的重要工作。
(4) 降低蜜网的风险
如何降低蜜网引入的风险, 一直都是蜜网使用者们关注的问题之一, 想要获得更多的有价值的信息和数据, 又要系统保持足够的安全, 这的确很难。交互的程度越高, 模拟得越像, 自己陷入危险的概率就越大。
5 结束语
目前有很多组织正在研究和讨论蜜网技术。蜜网是一个很有价值的资源, 尤其是在收集攻击者攻击系统和使用攻击工具方面。如果收集信息是主要的目标, 尤其是对攻击者所用的攻击工具感兴趣时, 没有其他机制能够和蜜网在效率上相抗衡。但是蜜网相关技术和软件的发行通常是公开的, 蜜网同样可以被黑客利用来发起反诱骗攻击, 严重危及应用系统安全及商家客户的利益。因此对于蜜网的使用推广应该持慎重态度, 但是由于蜜网技术适应了网络防御技术的主动防御结合被动防御并且建立多层次动态网络安全机制的总体发展趋势, 它是目前学习敌方情报的最好工具。因此, 通过研究蜜网技术来深入了解已知攻击、发现未知攻击, 进而根据攻击深度更新完善网络安全解决方案, 仍然是一项非常重要的工作。
参考文献
[1]诸葛建伟.蜜罐及蜜网简介.http://www.icst.pku.edu.cn/honeynetweb/honeynetcn/index.htm
[2]蔡鹏.虚拟蜜网初步研究[J].重庆, 重庆大学.2005.
[3]张瑜.蜜罐系统的设计与研究[J].山东, 山东科技大学.2005.
[4]L.Spitzner著.邓云佳译.Honeypots:追踪黑客[M].北京:清华大学出版社, 2004:43-62.
[5]Honeypot技术讲解.http://depa.usst.edu.cn/security/showanauan.asn?amid=22&cat id=10
蜜罐与蜜网技术的研究与分析 篇2
随着计算机网络技术的迅猛发展,开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解入侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁,并且针对这些威胁及时找出相应的防御策略来提高系统的安全。
2 蜜罐的定义和国内外研究现状
2.1 蜜罐的定义
蜜罐(Honey Pot),是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说,蜜罐就是诱捕攻击者的一个陷阱。
蜜网(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐,在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。
2.2 蜜罐的国内外研究现状
目前在国外的学术界,对蜜罐技术研究最多的是蜜网项目(Honeynet Project)组织,它是一个非官方,非营利的由30多位安全专家组成的组织,专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。
在国内,蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(The A rtemis P roject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。
3 蜜罐的分类
按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐:
产品型蜜罐的目的是减轻组织受到的攻击的威胁,增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。
研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研究组织面对各类网络威胁,并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队,安全研究组织。
按照蜜罐的交互性可将蜜罐分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐:
低交互的蜜罐通常只提供某些特定的模拟服务,这些服务能够通过监听一个特定的端口来实现。在低交互的蜜罐中没有真实的操作系统让黑客操作,这很大程度地减小了蜜罐的风险。但另一方面,这也是它的一个弊端,它不能观察黑客与操作系统的交互,而这也许才是真正有价值的。
中交互的蜜罐也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
高交互性蜜罐给黑客提供一个真实的操作系统,可以掌握学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,所以也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
蜜罐交互性的高低决定了它提供的功能的多少。交互性越高,通过蜜罐获得的有价值的信息越多,对黑客和其攻击的了解越深;相应地蜜罐的复杂性也越高,由蜜罐所带来的危险性也越高。
4 蜜罐技术原理
蜜罐的主要技术有网络欺骗,数据控制和数据捕获等。
4.1 网络欺骗
由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现。所以如果没有网络欺骗功能的蜜罐是没有价值的,网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种:模拟服务端口、模拟系统漏洞和应用服务、IP空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。
4.2 数据捕获
数据捕获是蜜罐的核心功能模块。数据捕获的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作,为了达到这个目标,我们将数据捕捉分为了三层来实现。最外层数据捕捉由防火墙来完成,主要是对出入蜜罐系统的网络连接进行日志记录,这些日志记录存放在防火墙本地。第二层数据捕捉由入侵检测系统(IDS)来完成,IDS抓取蜜罐系统内所有的网络包,这些抓取的网络包存放在IDS本地。最里层的数据捕捉由蜜罐主机来完成,主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示,这些数据通过网络传输送到远程日志服务器存放。
4.3 数据分析
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。数据分析是蜜罐技术中的难点,要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。
4.4 数据控制
蜜罐系统作为网络攻击者的攻击目标,如果被攻破,那么我们将得不到任何有价值的信息,同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一,用于保障蜜罐系统自身的安全。
我们允许所有对蜜罐的访问,但是要对从蜜罐系统外出的网络连接进行控制。我们可以限制一定时间段内外出的连接数,甚至可以修改这些外出连接的网络包,使其不能到达它的目的地,同时又给入侵者网络包已正常发出的假象。蜜罐通常有两层数据控制,分别是连接控制和路由控制完成。连接控制由防火墙来完成,路由控制由路由器来完成,主要利用路由器的访问控制功能对外出的数据包进行控制。
5 蜜网模型
5.1 第一代蜜网模型
第一代蜜网模型由蜜网项目提出,蜜网模型见图1,防火墙把这个蜜网分隔成三个部分,即陷阱部分、外部网络和管理控制平台。陷阱部分是由一个或多个蜜罐机组成的引诱系统,处于同一网段中。外部网络包括Internet和内部工作网络两部分。管理控制平台是用来控制和收集数据的地方,有较高的安全性,由防火墙、入侵检测、路由器和日志服务器组成,可由一台或多台机器组成。
所有进出陷阱部分的数据包都将通过最前端的防火墙进出,它能对所有从蜜罐机器往外的每一个连接进行追踪和控制。外发连接达到预先设定的上限值时,防火墙便会阻塞那些数据包,避免蜜罐成为攻击其它系统的跳板,起到数据控制作用。防火墙与蜜罐之间还放置了一个路由器,使防火墙变得透明,使得蜜网更像一个真实网络。并且路由器也可以对访问控制进行一些限制,是对防火墙的一个很好补充。路由器仅仅允许源地址是蜜罐的IP包往外发。入侵检测器能检测到网络中的所有的机器,能捕获所有的入侵并存入二进制文件中便于检索和分析。当数据包中特征字串匹配入侵特征库时及时发出报警,将数据发送到日志报警服务器上。日志报警服务器主要用于存储蜜罐主机发来的日志、防火墙日志和入侵检测收集到的数据,便于管理员进行分析并做出及时报警。
5.2 第二代蜜网模型
在第一代蜜网中,数据控制与数据捕获分别由两台不同的机器实现,但由于有了路由器,这样经过蜜网网络的数据包的TTL将会少一些。而且,由于整个网络对外可见,这样就增加了攻击者攻陷网络的可能性。由于第一代蜜网的以上缺点,蜜网项目提出了第二代蜜网模型。它的体系架构模型如图2所示。
Honeywall用两层的桥接模式来实现,Honeywall把产品系统网络和蜜罐网络隔离开。网卡eth0连接到产品系统,网卡ethl连接到蜜罐网络。由于网桥的透明性,蜜罐网络和产品系统网络将处在同一个网段。由于没有了路由跳转,进出Honeywall的数据包的TTL将不会减少,这样就没有把Honeywall直接暴露在攻击者面前,减少了Honeywall被攻陷的可能。同时为了方便管理和提高重要数据的安全性,还有另外一个网卡接口eth2用于管理连接,管理者通过该接口来管理Honeywall,并且通过该接口,可以把重要的数据,发到另外一台服务器。这样,即使在Honeywall被攻陷的时候,部署者收集到的珍贵信息也不至于遭到破坏。为了便于数据控制和数据捕获可将防火墙、入侵检测系统和报瞥系统都安装在Honeywall上。
在第二代蜜网中数据控制主要是通过防火墙和NIPS(网络入侵防御系统)来实现。NIPS主要是通过Snort的改进版Snort-inline来实现的,当外发数据包不在异常特征规则库时才可以通过,由于未知的攻击特征不在异常特征库里所以要对外发连接进行计数。
蜜网中的数据捕获的方式主要有防火墙日志、系统日志和网络数据包。防火墙日志并不记录具体的数据包内容,只记录各个数据包的通过情况。Snort在ethl端口监听将避免了噪音数据,将数据以Tcpdump日志的格式存储便于以后分析。Sebek可以记录蜜罐机上发生的情况,即使攻击者利用SSH来传输数据,Sebek也可以捕获得到加密前的数据。
6 结束语
蜜罐已经成为安全专家所青睐的对付黑客的有效工具之一。蜜罐使用简单,配置灵活,占用的资源少,不仅仅可以捕获到那些防火墙之外的脚本,还可以发现自己组织中的入侵者;收集的数据和信息有很好的针对性和研究价值。既可作为独立的安全工具,还可以与其他的安全机制联合使用。蜜罐也有缺点和不足,主要是收集数据面比较狭窄和可能会引入新的风险。面对不断该进的黑客技术,蜜罐技术也要不断的完善和更新。
摘要:本文给出了蜜罐和蜜网的定义及分类,介绍了蜜罐的主要技术原理,并且比较和分析了第一代和第二代蜜网模型。
关键词:蜜罐,蜜网,防火墙,入侵检测系统
参考文献
[1]Lance Spitzner.Honeypots:Tracking Hackers[M].北京:清华大学出版社,2004.
[2]熊华,等.网络安全——取证与蜜罐[M].人民邮电出版社,2003,(7):115-128.
[3]崔志磊,房岚.等.一种全新的网络安全策略--蜜罐及其技术[J].计算机应用与软件,2004,21(2):99-101.
[4]肖蓉,曾绍杰.等.检测未知网络攻击的蜜罐系统[J].计算机与数字工程,2006,(02):16-18.
网络安全中的蜜网技术应用研究 篇3
网络正逐渐地改变着人们的工作和生活方式, 成为当今社会发展的一个主题。而与此同时, 随着网络规模的不断扩大, 复杂性的不断增加, 异构性的不断提高, 网络安全也逐渐成为网络技术发展中的一个极为关键的领域。相关的网络安全方面的技术也得到了迅猛的发展, 蜜罐 (Honeypot) [1]技术便是其中的一种。蜜罐是基于网络主动防御理论而提出来的, 在监测网络入侵、保护网络客体、信息学习反馈、提高完善反击入侵能力等网络安全方面有极大的优势[2], 在近几年得到了飞跃的发展。
蜜网 (Honeynet) [3]技术是在蜜罐基础上发展起来的一种新兴的高级的主动防御网络, 实际上也就是蜜罐技术的一种高级形式。
1 蜜网技术
1.1 网络安全中的主动防御
网络安全中的防火墙技术、访问控制技术、身份认证、物理隔离技术、密码技术等都属于被动的防御技术, 当攻击者攻破或者绕过这些屏障后, 这些屏障就无能为力了。目前, 只有尽可能地提高防御和检测能力, 才能提高系统的安全性[4]。防火墙可以对网络访问实施有效的访问控制, 阻止攻击者的入侵[5], 但由于它是一种访问控制系统, 存在一些缺陷, 如对内部攻击无能为力等, 因此把防火墙作为单一的安全保障是远远不够的。入侵检测系统IDS (IntrusionDetectionSystem) 是一种主动的防御技术, 虽然它能通过对网络和系统的活动情况进行监视和视察, 及时发现入侵和攻击行为并作出响应, 但也有其不足之处, 如检测方法单一, 误报率和漏报率高等;蜜网的出现有可能解决这些问题, 通过记录和分析攻击者在蜜罐上的活动和数据, 并且结合防火墙和IDS系统, 在蜜罐上将这些数据保存到远程日志服务器, 管理员分析这些新数据, 提取新的攻击方法, 并且在防火墙和IDS上更新检测模式识别库, 防止这些新的攻击方法的攻击, 减少IDS的误报和漏报, 增强IDS的检测能力, 提高网络的主动防御能力。
1.2 蜜罐与蜜网
蜜罐技术专家LanceSpitzner对蜜罐的定义是:“蜜罐是一个资源, 它的价值在于它会受到探测、攻击或攻陷”[6].这就意味着蜜罐只是一个工具, 用特有的特征来吸引攻击者, 它期望被探测、被攻击, 它的价值是被攻击或攻陷[7], 从而收集攻击者的各种信息, 然后对这些信息进行分析研究, 更多了解攻击者的手段、企图、水平和所采用的方法、工具等, 以便建立早期的预防和警告, 加强网络的安全。同时蜜罐的存在还可以拖延攻击者对真正目标的攻击, 让攻击者在蜜罐上浪费时间和精力, 增加攻击者的入侵时间, 消耗入侵者的资源。蜜罐技术在本质上是一种对攻击者进行欺骗的技术, 通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对它们进行攻击, 减少对实际系统所造成的危害。蜜罐主要是一种研究工具, 但同样有着真正的商业应用。著名的蜜罐产品有:FredCoken开发的DTK (DeceptionToolkit) , MarcusRanum和NFR公司开发的BOF (BackOrificeFriendly) , NetworksAssociatesTechnology公司的CyberCopSting, NielsProvos创建的具有开放源代码的Honeyd, 免费蜜罐LaBrea tarpit, Recourse公司开发的Mantrap等[8]。
蜜罐只是蜜罐技术的低级形式, 物理上通常只是一台运行单个操作系统或借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机, 单机蜜罐系统有很大的缺陷, 其数据流直接进入网络系统中, 网络或者蜜罐的管理者很难控制蜜罐主机的外出流量, 网络攻击者容易利用蜜罐主机作为跳板来攻击其他机器或系统, 对其他系统和整个网络造成重大伤害。为了解决单机蜜罐系统的以上缺陷, 将蜜罐主机和防火墙技术或者其他网络设备安全措施结合起来, 控制网络中的外出流量, 降低单个蜜罐系统的风险, 这种基于网络的诱骗环境便形成了蜜网。
蜜网是蜜罐技术的高级形式, 是蜜罐技术的延伸和发展。它被设计用来获得网络上的各种已知和未知的威胁, 这些威胁可能来自网络外部, 也有可能来自网络内部。蜜网是由多个系统和多个攻击检测组成的网络, 它结合了防火墙、路由器、入侵检测系统、单机蜜罐系统等。正因为蜜网是一个网络系统, 而不是单一的蜜罐主机[9], 所以和单机蜜罐相比, 蜜网的实现和管理也就更加复杂, 功能就更强大, 这种多样化的系统可以更多揭示出攻击者的攻击特性, 很大程度上提高蜜罐系统的检测、分析、响应和恢复能力。由于蜜网系统隐藏在防火墙的后面, 所有进出的数据都能受到关注, 并能对有用的数据进行捕获和控制, 通过对这些捕获的数据进行分析和研究, 就能获得攻击的各种信息, 包括攻击者所使用的工具、方法及动机等。
蜜网工程 (HoneynetProject) 是最著名的公开蜜罐项目, Honeynet是一种研究型的高交互蜜罐, 是一种很好的学习工具, 它能记录入侵者的所有信息, 包括所使用的命令、电子邮件及IRC聊天记录等。HoneynetProject是专门致力于了解黑客团体的项目, 已经建立了一系列的蜜罐和蜜网网络, 专门研究黑客的各种信息。
1.3 蜜网系统功能构成
一个蜜网系统的目标, 就是要创造一个环境, 在真实的条件下捕获攻击者的各种信息, 并对其使用的工具、采取的手段和企图进行分析, 从中得到对于我们有用的信息, 利用这些信息, 就可以了解到当前的网络所面临的威胁。想要成功地构建一个蜜网系统, 主要基于两大功能的实现:一数据控制;二数据捕获[10]。
1.3.1 数据控制
数据控制有其特定的要求[10]:
(1) 必须有自动化数据控制和手工数据控制两方面的措施, 即数据控制可以通过自动响应和手工干预实现。
(2) 至少有两层数据控制以确保可靠性。
(3) 在数据控制失败的情况下也不会让系统处于完全不设防的状况下。
(4) 在所有控制数据层都出现问题的情况下, 系统应当自动阻止蜜罐与外界的一切联系。
(5) 可以维护任何方向上的连接状态。
(6) 管理员可以在任何时候对蜜网进行配置来加强数据控制。
(7) 对连接的控制应当在最大程度上避免被攻击者察觉。
(8) 在蜜罐被入侵的时候能自动报警。
蜜网系统的数据控制主要有连接控制和路由控制两方面, 即“两层控制”。网络系统前端的防火墙实现连接控制, 执行“宽进严出”策略, 允许所有外部信息进入蜜网, 但对于蜜罐主机的所有外发连接进行追踪。当某个蜜罐主机的外发网络连接数量达到某个设定的阈值时, 防火墙便会自动阻塞多余的信息包。实验证明, 每小时5到10个输出连接比较好, 不仅使黑客一直保持兴趣, 而且还保护其他系统免受攻击[11]。另外, 路由器充当蜜网第二层的路由控制工具, 路由控制主要用来防止ICMP攻击、SYNFlooding及其其他蜜罐主机IP地址的欺骗性攻击。
1.3.2 数据捕获
数据捕获的要求:
(1) 蜜网捕获的数据应当存储在攻击者很难发现或达到的地方。
(2) 数据干扰不能影响蜜网数据捕获的有效性。
(3) 某些活动必须捕获且保存一定时限:连入/连出情况 (防火墙日志) 、网络活动 (从网络中捕获到的数据包) 、系统活动。
(4) 具备从远程实时监视这些活动的能力。
(5) 能够自动保存这些信息以用做将来研究。
(6) 为每一个蜜罐维护一个标准日志。
(7) 为每个受到攻击的蜜罐维护一个标准的详细说明。
(8) 用于数据捕获的资源必须保证其安全, 不会受到侵害, 以保证数据的完整性。
蜜网系统的数据捕获主要是指防火墙日志、IDS日志和蜜罐主机的系统日志, 即“三重捕获”。手段高明的攻击者攻入系统后通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种记录[12]。蜜网的“三重捕获”措施就是确保蜜网在不被攻击者发现诱骗的前提下尽可能多地捕获攻击行为信息, 并充分保证捕获信息的完整和安全。防火墙在IP层记录所有出入蜜网的连接, 并且及时向系统管理员发出警报信息;IDS在数据链路层对蜜网中的网络流量进行监控、分析和抓取, 以便将来能够重现攻击行为, 同时在发现一些可疑举动时报警, 它属于被动监听, 不易被攻击者发现;蜜罐主机除了使用操作系统自身提供的日志功能外, 还可以采用第三方软件加强日志功能, 并且将日志数据传输到安全级别更高的远程日志服务器备份。三重日志保护措施充分体现了基于网络的信息收集策略, 互为补充, 为蜜网提供了安全、强大的数据捕获功能。
2 部署一个蜜网系统
蜜网系统的拓扑结构见图1。
此系统结构图包括4部分:外部防火墙和IDS、企业内部网和内部防火墙、DMZ区、蜜网系统。蜜网系统中最关键的部分是被称为Honeywall的蜜网网关, 它包括3个网络接口, A接口用于和外部防火墙、IDS连接, 接收重定向进来的属于可疑的或真正入侵的网络连接;B接口作为一个秘密通道, 连接到内部管理监控网络和远程日志服务器;C接口用于和蜜罐主机相连, 进行基于网络的入侵检测, 实时记录蜜网系统中的入侵行为。Honeywall是一个对攻击者不可见的链路层桥接设备, 作为蜜网和其他网络的唯一连接点, 所有流入流出蜜网的网络流量都将通过Honeywall, 并接受其控制和监视、审计。同时由于Honeywall是一个工作在链路层的桥接设备, 不会对网络数据包进行TTL递减和网路路由, 也不会提供本身的MAC地址, 因此对攻击者而言, Honeywall是完全不可见的, 因此攻击者不会识别出其所攻击的网络是一个蜜网。
在蜜罐主机上通过VMWare虚拟软件虚拟若干个操作系统, 并且拥有各自的IP地址, 应用IP空间欺骗技术来增加攻击者的搜索空间, 并且运用网络流量仿真、网络动态配置等多种网络攻击诱骗技术来提高蜜网的诱骗质量, 通过虚实结合的方式来同攻击者进行交互周旋。远程日志服务器除了承担远程传来的防火墙日志、IDS日志和蜜罐系统日志的数据融合保存工作外, 还充当蜜网的入侵行为控制中心, 对蜜网的各个子系统进行协调、管理、控制。远程服务器的安全级别最高, 关闭了所有不需要的服务, 以确保本身的安全。外部防火墙执行“严进宽出”的策略, 严格控制进入的通信流量, 按照安全策略放行。外部防火墙后的IDS监视所有的数据包, 当发现攻击行为或可疑行为时, 通知入侵行为重定向子系统, 重定向子系统立即截断攻击者同实际系统的连接, 并把攻击者的入侵数据流导向蜜网。内部Honeywall网关上, 执行“宽进严出”策略, 这里所有的出入数据都是可疑的或是入侵行为, “宽进”是迷惑攻击者, “严出”是严格进行数据控制, 防止攻击者利用蜜罐作为跳板攻击其他系统。同时, 在网关上布置嗅探器日志和防火墙日志功能, 通过B接口通过加密的方式传送到远程日志服务器保存。系统管理员在远程日志服务器上分析和融合所有的数据, 提取攻击行为信息, 特别是当发现新型攻击时, 提取新型攻击行为的数据, 并且及时更新外部防火墙和IDS上的入侵检测模式库, 防范这些新的攻击。所有的工作都在远程服务器的入侵行为控制中心的严密监控下, 一旦发现系统可能被攻陷, 系统管理员马上停止蜜网工作, 进行修复。
3 蜜网的特点及发展方向
蜜网作为新的一种网络安全技术, 具有一些特点, 在一个网络中, 有了蜜网的存在, 就有了多方面的优势:
(1) 会极大地消耗网络攻击者的时间和精力, 攻击者可能消耗大量的精力来侦测、刺探及研究蜜网。
(2) 会让攻击者对现有的网络安全措施产生错误的印象, 对方可能会花很多时间来寻找工具攻击蜜网, 但这些工具可能在真实的系统上无法发挥作用
(3) 可以降低真实系统受到随机攻击或刺探的可能性, 降低攻击者选择一台重要计算机作为目标的概率, 且蜜网也会侦测并记录最初的扫描以及后续的攻击。
(4) 蜜网不会产生误报, 任何同蜜网的通信都是可疑的, 因为这个系统除了侦测攻击外没有任何其他的作用。
(5) 通过蜜网可发现和分析攻击者新的弱点和攻击手段, 进而研究这些信息, 进行更好的防护。
同时, 蜜网也有其固有的缺陷, 具有一定的危险, 表现在:
(1) 攻击者一旦控制了蜜网, 就容易对第三方造成伤害。
(2) 部署蜜网需要较多的时间和精力投入。
(3) 数据收集面较窄, 如果没有攻击者进攻, 它的存在就没有多大价值。
目前对蜜网技术的研究还处于早期阶段, 对蜜罐和蜜网的部署和维护还比较复杂, 同时, 能够提供的数据分析工具的功能也较为有限, 因此还需要专业的网络安全人员投入相当多的时间和精力来研究。当前蜜网的研究方向除了“蜜网项目组”正在开发的数据分析工具外, 还有以下的3个主要方向:
1) 动态蜜罐 (DynamicHoneypot) [13]
动态蜜罐能够通过被动监听其所有进出网络的流量, 获得当前网络的部署状况, 然后在无需人工干预的前提下自动地配置一些虚拟蜜罐, 并隐藏在当前的网络中, 等待攻击者的攻击。当网络的部署状况发生变化时 (如操作系统变更) , 动态蜜罐技术能够实时地识别出这些变化, 并动态地进行自适应, 保证部署的虚拟蜜罐反映当前网络的典型配置。
2) 蜜场 (HoneyFarm) [14]
为了在大型的分布式网络中方便地部署和维护一些蜜罐, 对各个子网的安全威胁进行收集, 提出了蜜场的概念。即所有的蜜罐均部署在蜜场中, 而在各个内部子网中设置一系列的重定向器 (Redirector) , 若检测到当前的网络数据流是攻击者攻击所发起的, 通过重定向器将这些流量重定向到蜜场中的某台蜜罐主机上, 并由蜜场中部署的一系列数据捕获和数据分析工具对攻击者的攻击行为进行收集和分析。
蜜场模型的优越性在于其集中性, 使得部署变为简单, 即蜜场可以作为安全操作中心 (SOC:SecurityOperationCenter) 的一个组成部分, 由安全专业研究和管理人员进行部署和维护。蜜场模型的集中性也使得蜜罐的维护、更新、规范化管理及数据分析都变得较为简单。此外, 将蜜罐集中部署在蜜场中还减少了各个子网内的安全风险, 并有利于对引入的安全风险进行控制。
3) Honeytoken[15]
Honeytoken概念提出的出发点是黑客社团的攻击目标不仅仅在于攻陷网络和主机本身, 往往更多的时候是对信息内容的攻击, 由此, 我们可以扩展蜜罐的概念, 即使用一些正常情况下永远不会使用的信息内容 (称为Honeytoken) 作为诱饵, 一旦发现这些Honeytoken被访问, 则预示着攻击者可能对信息内容发起攻击, 从而我们可以发现并追踪攻击者的攻击活动。比较容易实施的Honeytoken包括数据库中的某些无用数据项以及伪装的用户账号及其弱口令等。
4 结束语
本文介绍了蜜罐及蜜网系统的基本定义、功能特点及怎样去部署一个蜜网系统, 并阐述了蜜网的特点及未来的发展方向, 可以看到蜜网作为一种新兴的网络安全技术, 正逐步进入其快速发展期, 同时越来越多的安全网络工作者也正注意到蜜网在整个网络安全中所起到的作用, 相信蜜罐及蜜网技术将在网络安全方面发挥其独特的作用。
蜜网技术 篇4
关键词:蜜网定义,蜜罐,诱捕网络,指纹数据库,虚拟蜜网
互联网已经深入到我们生活中的各个领域, 一方面由于使用的计算机软、硬件系统存在诸多不完善和漏洞, 给黑客攻击造成隐患, 另一方面, 黑客攻击手段多样化, 如病毒、分布式拒绝攻击、蠕虫等, 也给互联网的使用带来极大的安全隐患。而如果遭受攻击后, 对黑客“无动于衷”, 不知道黑客的攻击具体手段、踪迹, 则会带来更大的安全威胁。由最初的蜜罐而后发展而来的蜜网技术, 又称为“诱捕网络”, 在网络规划设计中, 通过“诱捕网络”的建立, 能掌握黑客的攻击技术、心理和习惯等行为, 引导网络管理员针对性地采取措施, 从而极大地增强网络安全性。
上世纪末90年代的“蜜罐”技术, 在网络安全研究方面引起人们的注意, 蜜罐一般分为低交互型蜜罐和高交互型蜜罐, 低交互型蜜罐如DTK, honeyd等商业产品, 主要在于投入到实际中, 监视、掌握黑客的攻击方法和工具等。而高交互型蜜罐则提供真实的操作系统和网络服务, 主要用于研究分析黑客的攻击行为和轨迹。随着发展, 在蜜罐技术上发展起来蜜网。蜜网根本区别于蜜罐在于蜜网技术实质为一个收集黑客信息的“诱捕网络体系结构”。该网络体系结构包括多个蜜罐, 为一个研究型的高交互蜜罐技术。第二代蜜网技术即“虚拟蜜网”的概念, 一向曾比较流行, 即在一台计算机上使用相关软件就可模拟整个蜜网架构, 实现技术相对简单且易部署, 但其存在易被黑客攻破软件系统, 从而被黑客获得整个局域网控制权后, 攻击第三方网络的问题。由此开发出所谓“第三代蜜网技术”, 即以整个架构代替“虚拟蜜网”。“第二代蜜网技术”架构如下图1所示。
在上图中, 绿色显示为蜜网主机及蜜网监控管理员, 蜜网网关eth3接口连接内网, eth1连接蜜网, eth2连接蜜网监控管理员, eth0连接路由器。其“捕获”工作流程大致为:所有数据流均从蜜网网关eth0接口进入蜜网, 蜜网网关在网络中实为“不可见”, 网关对流入数据流量进行全记录, 但不过滤, 数据流从而进入蜜网中的每个蜜罐主机, 每个蜜罐主机安装有Sebek客户端, 能对黑客在蜜罐上活动进行记录, 并将键击等信息从eth2接口传递给蜜网管理员, 蜜网管理员收集、分析并学习黑客攻击方法。同时, 蜜网网关上的Iptables等网络工具, 将超过预先设置阀值的数据通知管理员, 管理员根据这些数据做出决定, 避免黑客利用蜜网攻击第三方网络。
仔细研究蜜网体系结构发现, 密罐主机仍然是蜜网的核心之一, 如果一个蜜罐主机来安装一个模拟操作系统, 将大大耗费物理资源, 而且当环境改变的时候, 不易灵活调整。动态蜜罐技术, 即蜜罐系统能根据网络环境, 适时做出调整, 决定有多少个蜜罐工作, 以及每个蜜罐用什么操作系统。比较典型的采用指纹数据库, 工作方式为:首先基于每种操作系统的IP协议栈, 建立所谓“指纹数据库”, 当捕捉到数据包后, 与“指纹库里”的数据对比, 从而判断操作系统的类型。可尝试使用TCP/IP报头4个域来确定发送数据包的操作系统类型。分别为:TTL、Windows Size、DF、TOS。当蜜罐主机收到数据包TTL为60, Windows Size为0×FFFFD (十进制65535) , TOS为0×0, 则可判断该包来自Cisco 7507路由器。
而后, 每个蜜罐主机配备3~4个虚拟蜜罐主机, 虚拟蜜罐主机都有各自独立的IP地址, 并虚拟出各自独立的系统, 当路由器经蜜网网关发送数据包到各个蜜罐主机的时候, 各个虚拟蜜罐主机回复一个伪造数据包, 以欺骗黑客, 当黑客进入虚拟蜜罐主机通信时, 信息被记录, 并传到管理员处。
对于蜜罐主机, 成为“诱捕网络”后, 由于有大量的数据进入, 利用数据挖掘方法, 找出正常数据与入侵数据, 是一可选方法。该方法大致分为四步:第一步, 即数据收集, 即将不同的类型数据按不同的攻击类型分类, 攻击类型确定有Do S、R2U、probing几种类型。第二步, 运用聚类分析算法及K-means算法对分类的数据进行标记 (标记出入侵行为和正常行为数据) 并形成规则集。第三步, 将蜜罐收集数据与规则集对比, 将相同的删除, 不同的保留, 形成新规则集。第四步, 形成正常行为的集合, 入侵行为的集合和非正常行为的集合三大集合, 并归类Do S、R2U、probing等攻击行为在以上三个集合的数量。
以上我们介绍了结合指纹数据库的动态蜜网技术和数据挖掘法在区分正常数据和入侵数据在蜜网中的运用。建立蜜网最终是要投入到实践中, 可尝试在网络中建立防火墙, 将蜜网联合防火墙一起使用以更好地保障网络安全。防火墙建立后 (结合图1) , 可初步将一些明确的黑客数据丢弃, 一些可疑数据则进入蜜网, 安全的数据则进入内部网络。蜜罐主机则可采用数据挖掘法等方法对可疑数据进行分析, 筛选出入侵行为的数据, 再将这些数据归入防火墙, 以利于防火墙再次遇到这些数据后及时丢弃。工作原理图如下图2, 在下图中, 数据经由Internet, 通过防火墙A筛选后进入蜜网, 蜜网经过鉴别和学习后, 将甄别的入侵数据发回防火墙A, 以利于及早筛查不合格的数据, 减轻蜜网的工作量。在蜜网和内网之间增设一防火墙B, 坚决阻止蜜网与内网的任何通信, 从而杜绝黑客利用蜜网作为跳板攻击内网。
以上本文先介绍了蜜网的结构, 而后从动态蜜网、数据挖掘和防火墙三方面结合, 讲解了在网络建设中可以借鉴的蜜网的三种技术。三方面技术的结合可大大增强蜜网的工作效率, 促进网络安全, 从而在今后的网络规划建设中, 蜜网可以发挥更大的作为。
参考文献
[1]诸葛建伟.蜜罐及蜜网技术简介.http://down.51cto.com/data/220259.2004.
[2]李之棠, 徐晓丹.动态蜜罐技术分析与设计.华中科技大学学报:自然科学版.2005 (33) .86-102.
[3]王博.基于蜜网的主动完全策略防火墙:毕业论文, 2010.
[4]蜜网技术在军队网络安全中的应用研究.仪器仪表用户, 2010 (17) .4-6.
蜜网技术 篇5
1 系统概述
主动式网络安全系统由数据流重定向器与蜜网环境两大部分构成。网络攻击流重定向是系统中的关键技术之一,其功能主要包括对网络攻击流的检测与对被检测出的攻击流进行重定向。本文提出基于非业务访问与入侵检测技术相结合的网络攻击检流测机制,并通过策略路由将网络攻击流与正常业务访问流分别重定向到蜜网环境与业务网络中。
蜜网环境的主要功能是对进入其中的攻击行为进行捕获。蜜网环境由若干个蜜罐(Honeypot)与蜜网网关(Honeywall)经合理部署而成。其中的蜜罐是一种包含了漏洞且易于被黑客攻击的计算机系统,用来主动吸引、诱骗非法入侵的黑客。蜜罐可以由多种高交互系统来充当,比如:Linux、Windows NT、Solaris等。蜜网网关处在整个蜜网环境与外部连接的关键位置上,系蜜网中的核心部件,蜜网的主要功能也是在其上实现的,其中集合了数据控制、数据捕获与自动告警等重要功能。
2 系统构架
系统的整体构架分为数据流重定向器与蜜网环境两大模块,系统的构架如图1所示。数据流重定向器包括了3个接口,其中eth0与路由器连接,eth1与业务网络连接,eht2与蜜网网关相连接。数据流重定向器的操作系统是由一个最小化的Linux内核的为基础构建的,在其上安装的核心软件为Snort与Iptables,前者用于数据流的入侵检测,后者结合策略路由规则实现数据流的重定向。
在蜜网环境中,蜜网网关也设有3个网络接口,其eth0与数据流重定向器相连,eth1与蜜网内部相连,第三个接口(eht2)与远程管理主机相连。蜜网网关的操作系统同样是由一个最小化的Linux内核的为基础构建的,在其上安装了实现数据控制、数据捕获等功能的相关工具软件,主要包括Iptables、Snort、Sebek等软件。为有利于双向检测进出蜜网系统的网络攻击,本系统将内外两接口(eth0与eth1)的工作层次设计在数据链路层上。由于eth0与eth1基于桥接模式通信,两接口同属一个IP网段,因此两接口间没有路由跳变与TTL值递减等现象,这使得蜜网网关对于外界攻击者来说几乎是透明的,隐蔽性极强。蜜网网关的第三个接口(eht2)配有IP堆栈,是网关中唯一配置IP地址的接口,主要用其来连接远程管理主机。
3 攻击流的检测与重定向的实现
3.1 攻击流的检测
网络攻击流的检测的主要目的是检测出网络流中的攻击流,从而实现将网络攻击流与正常业务访问数据流分开的目的,实现该目的关键是制定一个合理的数据流检测机制,本系统利用基于非业务访问与入侵检测技术相结合的双重检测机制加以实现。
在业务网络中正在使用的IP地址为活跃IP地址,反之为非活跃IP地址。活跃IP主机上对外提供服务的端口为服务端口,其余端口均为非服务端口。因此,对于非活跃IP地址的访问,以及对活跃主机上非业务端口的访问,均为非业务访问。非业务访问是十分可疑的,基本可定性为网络攻击。基于非业务访问检测机制的功能就是要检测出数据流中的非业务访问攻击。我们通过对业务网络环境分析后,得出业务网络环境信息,并由此制定出筛选非业务访问的规则信息库。当数据流进入重定向器后,重定向器的检测模块将提取数据流中的数据包的目标IP和目标端口,并将其与非业务访问规则信息库进行匹配,由此筛选出非业务访问数据包。
基于网络环境信息库的检测机制可以很好的检测出非业务访问的攻击,但对于攻击者利用活跃主机的服务端口发出的基于业务访问的攻击行为则无法检测。因此,本系统利用入侵检测技术通过分析数据流的内容来检测包括基于业务访问攻击在内的入侵攻击。入侵检测的功能是由安装在重定向器上Snort来实现的。Snort是一个开源的网络入侵检测系统(NIDS),功能强大且对系统的资源占用很少。要实现Snort的入侵检测功能,关键是合理配置入侵检测规则库。系统应及时同步Snort官方网站上的最新规则库,并根据网络特定需求自行编写规则添加到入侵检测规则库中。对于进入重定向器的网络流,Snort利用规则库对其进行匹配,通过该方法检测出包括基于业务访问在内的入侵行为数据包。
3.2 攻击流的重定向
攻击流重定向的功能是要实现将检测出的攻击流重定向至蜜网环境中。该功能由数据包分类与策略路由两个子模块构成。
数据包分类规则根据非业务访问规则信息库表与入侵检测(Snort)规则库中的攻击源IP表来制定,数据包分类功能实现对不同访问目的的数据包(包括业务访问和非业务访问数据包)加上不同标记;在本系统中重定向规则具体是结合Iptables来实现的,重定向规则具体表现为Iptables防火墙规则。
策略路由子模块使带有不同标记的数据包执行不同的路由,从而实现将网络攻击流和正常业务访问流分别引入到蜜网环境与业务网络中去的目的。策略路由是根据数据包访问目的类型(标记类型)、蜜网与业务网络环境、负载均衡等因素制定。为增加蜜网对攻击者的迷惑性,策略路由考虑了业务网络主机服务环境与蜜罐系统环境对应关系,比如:对于预攻击业务网络WEB服务器的数据流,策略路由将会把该数据流定向到提供WEB服务的蜜罐主机中。同时策略路由考虑了蜜罐负载均衡的因素,对于没有具体攻击目标的探测性攻击则将其均衡分配到各个蜜罐中,用以提升蜜网应对攻击的能力。
4 蜜网环境的功能实现
蜜网环境主要实现数据捕获、数据控制与自动告警三个功能。其中数据捕获的功能是用来捕获攻击者的攻击行为,为蜜网环境中的核心功能模块;数据控制的功能是用以严格限制从蜜网向外发出的连接,避免因部署蜜网可能给业务网络带来的潜在威胁;自动告警功能是让网络安全人员能及时掌握Honeynet被攻击的情况。
4.1 数据控制的实现
在网络攻击中,攻击者往往不对目标主机直接发起攻击,而是先攻陷目标主机周边的防护薄弱的计算机,然后再以被攻陷的计算机为跳板对目标主机发起发起攻击。数据控制的主要目的就是阻止攻击者以Honeynet为跳板去攻击业务网络,以防Honeynet成为攻击者的帮凶。系统对于任何进入Honeynet的行为都允许,但对于从Honeynet发出的扫描、探测、连接等活动都实施严密监控。系统在Honeywall上使用多层次的机制加以数据控制,具体手段主要包括对外连接数限制和攻击包抑制。
对外连接数限制是由构架在Honeywall上的Iptables来实现的。Iptables可以有效限制单位时间内通过其向外发起的连接数。一旦攻击者攻破某个蜜罐并试图向外发起拒绝服务、扫描等攻击,Iptables将丢弃超过阀值上限的外出连接的数据包,并将其记录到日志,阻断其后继连接,同时发出警告通知网络安全人员。
攻击包抑制是阻止异常行为的数据包通过Honeywall向外发出连接,用以控制攻击者利用少量连接即能奏效的攻击。为适应Honeywall的二层桥接模式并利用Iptables获取数据包,系统利用Snort_inline工具实现该功能。Snort_inline是Snort的一个修改版。从Honeynet向外发出的所有数据包都要经过Snort_inline检测,只有不包含攻击特征的数据包才能通行。因Snort_inline不具备数据包路由能力,所以系统利用Iptables获取数据包,并将数据包发送给Snort_inline进行检测。Snort_inline对数据包的处理方式包括直接丢弃、修改、回拒等方式。
4.2 数据捕获的实现
设计Honeynet的主要目标是捕获攻击信息,为了全面的获取攻击信息,系统从网络连接、网络行为及系统行为三层面上分别进行了数据捕获。
网络连接方面,系统利用Iptables捕获进出Honeywall连接行为,并记录攻击者攻陷蜜网后向外发起的网络连接以及超过连接数的报警。对于Iptables我们可以通过设置rc.firewall脚本来来记录所有向内和向外的连接,并将日志信息保存到/var/log/messages中,我们也可通过修改/etc/syslog.conf的配置来重新指定一个日志的输出,以便于重新记录网络攻击信息。
网络行为层面上,要记录每一个进出Honeywall的数据包。系统通过配置一个标准的Snort实现该功能,使用Snort捕获所有IP通信,并将其转储到日志文件tcpdump中以待分析。配置Snort时将嗅探器与Honeywall内部网口eth1绑定,这样只会捕获进出Honeynet的通信;若将嗅探器与外部网口eth0绑定,则记录下来的将不仅包括进出Honeynet的通信还会包括外部的网络通信数据,从而使得俘获的数据受到“污染”。
捕获攻击者在Honeypot内的系统行为是最难实现的。目前攻击者普遍采用SSH协议、3DES等加密机制与目标系统通信,这样在Honywall上只能抓取到加密后的数据,无法得到明文信息。因此本系统在Honeynet中采用Sebek捕获工具在Honeypot系统内部获取攻击者的活动信息。Sebek分为客户端和服务端,客户端是一个安装在Honeypot上可加载的内核模块(Loabable Kernel Module),它通过替换系统的read调用,把攻击者的read操作数据都记录下来并利用UDP发送到Sebek服务端。因为加密信息都会在Honeypot端系统中解密,所以即便攻击者利用密文传输数据,Sebek也可以捕获得到加密前的数据。
4.3 自动告警
Honeynet系统采用Swatct工具实现自动报警。Swatch程序使用正向表达式(Regular Expressions)来扫描目标日志文件中的行内容,一旦发现某一行与配置文件中预设定的条件匹配,则触发报警自动给网络安全人员发出Email或者以系统响铃等方式进行告警。Swatch安装在网关Honeywall上,默认情况下Swatch的配置文件为~/.Swatchrc,也可通过设置指定配置文件Swatch.Conf。
5 结束语
本文设计的基于蜜技术的主动式网络安全系统,可有效的检测出绝大多数预进入业务网络的攻击流,并能主动的将网络攻击流定向到蜜网环境中。系统对于蜜网环境部分的设计也采用了较为先进的技术,其中蜜网网关实现了二层的桥接通信模式,增加了蜜网系统的隐蔽性。系统利用Sebek有效的实现了对于加密攻击行为的捕获,提升了蜜网系统应对攻击行为的能力。蜜网系统作为一种新兴的主动网络安全防御技术,已得到网络安全专家们的广泛重视与青睐,它是对当前网络安全机制的一个重要补充。随着网络技术的不断发展与研究的深入,蜜网技术必定会得到更进一步的发展。
摘要:该文提出并设计了一个能将网络攻击流重定向到蜜网环境中的主动式网络安全系统。并对其中的数据流重定向,数据捕获,数据控制与自动告警等功能给出了具体的实现方法。
关键词:数据流重定向,蜜网系统,攻击流,数据捕获
参考文献
[1]杨刚,陈蜀宇.Linux中基于Netfilter/Iptables的防火墙研究[J].计算机工程与设计,2007(9):28-17.
[2]彭智朝,陈代武,朱素英.基于IPTABLES的集群式防火墙系统研究与实现[J].微计算机信息,2010(7):7-26.
[3]唐勇,卢锡城,胡华平,等.Honeypot技术及其应用研究综述[J].小型微型计算机系统,2007(8):8.
[4]胡义召,王贞,安利.虚拟蜜网的设计与实现[J].计算机工程与科学,2009(8):31-8.
基于蜜网的主动协同防御系统 篇6
面对越来越严峻的网络安全问题,出现了种类繁多的安全产品,如防火墙、IDS、蜜罐、漏洞扫描软件等,它们各自功能独立,仅仅在不同的侧面保护着网络系统的安全,不能从整体上防范网络攻击。面对各种威胁,尤其是分布式、协作式攻击,只有各安全组件实现有效联动,才能进行充分而有效的防护。
1 系统结构设计
基于蜜网的主动协同防御系统结构如图1所示,主要由防火墙、入侵检测系统、日志服务器、蜜网网关和蜜罐主机组成。
(1)外部防火墙安装在网络以外主要作用是把外部的入侵行为隔离,最大限度的保障校园网络安全,对于外部流入的数据严格控制。
(2)内部防火墙安装在安全系统内,为蜜网系统提供数据控制功能,任何流入系统的数据都被认为是可疑的。内部防火墙实行宽进严出,宽进即对流入数据控制程度较低,这样是为了给非法入侵者一定的自由,给非法入侵者造成假象来迷惑非法入侵者,以便获取更多的非法入侵者的信息;严出即对于从系统流出的数据进行严格的数据控制,以防止非法入侵者利用该系统为跳板危害其他系统,当然严出也势必要允许必要的数据流出,否则容易被非法入侵者识破。
(3)入侵检测系统(IDS)用于实时监视系统的运行情况,对出入的数据包检测,发现是异常就抛弃或者订正这个数据包。
(4)蜜罐网络的各个主机是由VMware虚拟出来的,在这些客户机系统上提供各种真实服务和一些虚假信息,并在每个主机上运行数据捕获工具Sebek客户端,将非法入侵者在主机上的活动进行记录,并向日志服务器提交所记录数据信息。
(5)日志服务器主要是收集各种日志数据以供分析使用,所收集的日志主要是防火墙日志、入侵检测日志,蜜罐主机记录日志等。
(6)蜜网网关:在虚拟蜜网网关中,有3个网络接口。Eth0是面向业务网络的外部接口;Eth1是面向多虚拟蜜罐系统的内部接口,Eth0和Eth1在网桥模式,均无IP地址,数据包经过网关时TTL值也不会变化,也不会提供自身的MAC地址,因此蜜网网关对于攻击者是透明不可见的,入侵者不会识别出其所攻击的网络是一个蜜网系统;Eth2是用作远程管理,具有IP地址,作秘密通道,可把出入虚拟蜜罐系统的数据包及蜜网系统日志转发给一台作远程管理主机。
2 系统模块组成
蜜网有三个核心模块,分别为数据控制、数据捕获和数据分析。网络管理员通过数据控制确保黑客不能利用蜜网危害第三方网络的安全,通过数据捕获技术检测并审计黑客攻击的所有行为数据,通过数据分析从捕获的数据中分析黑客的具体活动、使用工具及其意图。系统各模块之间的关系如图2所示。
(1)数据控制模块
数据控制的主要目的就是阻止攻击者以蜜网为跳板去攻击业务网络,以防蜜网成为攻击者的帮凶。系统对于任何进入蜜网的行为都允许,但对于从蜜网发出的扫描、探测、连接等活动都实施严密监控。系统在蜜网网关上使用多层次的机制加以数据控制,具体手段主要包括对外连接数限制和攻击包抑制(图3)。
对外连接数限制是由构架在蜜网网关上的Iptables来实现的。Iptables可以有效限制单位时间内通过其向外发起的连接数。一旦攻击者攻破某个蜜罐并试图向外发起拒绝服务、扫描等攻击,Iptables将丢弃超过阀值上限的外出连接的数据包,并将其记录到日志,阻断其后继连接,同时发出警告通知网络安全人员。
攻击包抑制是阻止异常行为的数据包通过蜜网网关向外发出连接,用以控制攻击者利用少量连接即能奏效的攻击。为适应蜜网网关的二层桥接模式并利用Iptables获取数据包,系统利用Snort_inline工具实现该功能。从蜜网向外发出的所有数据包都要经过Snort_inline检测,只有不包含攻击特征的数据包才能通行。因Snort_inline不具备数据包路由能力,所以系统利用Iptables获取数据包,并将数据包发送给Snort_inline进行检测。Snort_inline对数据包的处理方式包括直接丢弃、修改、回拒等方式。
(2)数据捕获模块
设计蜜网的主要目标是捕获攻击信息,为了全面的获取攻击信息,系统从网络连接、网络行为及系统行为三层面上分别进行了数据捕获(图4)。
网络连接方面,系统利用Iptables捕获进出蜜网网关连接行为,并记录攻击者攻陷蜜网后向外发起的网络连接以及超过连接数的报警。对于Iptables我们可以通过设置rc.firewall脚本来记录所有向内和向外的连接,并将日志信息保存到/var/log/messages中,我们也可通过修改/etc/syslog conf的配置来重新指定一个日志的输出,以便于重新记录网络攻击信息。
脚本rc.firewall中对外出连接的限制如下所示:
以上脚本代码说明了IPTables对各类外出连接数目的限制,如TCP连接数每天最多20个。
网络行为层面上,要记录每一个进出蜜网网关的数据包。系统通过配置一个标准的Snort实现该功能,使用Snort捕获所有IP通信,并将其转储到日志文件tcpdump中以待分析。配置Snort时将嗅探器与蜜网网关内部网口eth1绑定,这样只会捕获进出蜜网的通信。此外,我们还使用了p0f工具,p0f工具是一个监控器,它是基于pcap的,主要功能是实现操作系统的指纹识别。通过它们判断源主机和目标主机的操作系统类型。
在系统行为方面,主要是借助Sebek软件完成。Sebek软件分为客户端和服务器端,可用来记录攻击者读取的数据、击键和运行程序的情况,可用来分析攻击者的活动,再现攻击者的行为。Sebek客户端被安装到蜜罐主机上,被用于蜜罐捕获数据并发送到网关的Sebek服务器端的数据库中。网络安全人员可利用Sebek Web来浏览、查询、分析这些数据。
(3)数据分析模块
蜜网数据分析的数据来源于系统的“四重数据捕获”,即来自防火墙、IDS、异常检测和蜜罐的日志。数据分析工作的目的是发现未知攻击并提取攻击的特征串作为IDS的攻击特征码和防火墙的规则。
在本系统中,利用Walleye软件和Swatch工具,可非常方便的实现这一功能。Walleye软件提供了一个基Web的蜜网数据分析接口,它被安装在蜜网网关上,可处理多个数据源,并精确高效分析蜜网所收集的数据,如Sebek捕获的数据、IDS报警信息、p0f系统识别结果、Argus的分析结果等,以便安全人员快速识别蜜网中所发生的入侵事件。Swatch工具被用来监视日志文件,利用它的自动报警功能,一旦入侵者攻击蜜罐主机,攻击标识信息符合配置文件的相关特征时,Swatch自动发送E-mail报警通知,并向外发送连接的目标IP、端口号以及连接时间等关键信息,安全技术人员通过Walleye的辅助分析功能,即可获知入侵者的攻击方法和动机。
3 测试
(1)测试数据控制功能
首先测试蜜网对于进出连接的控制功能。从系统中发起一个连接到蜜网中任意一个虚拟蜜罐的FTP连接,然后查看/var/log/message日志文件。接下来测试向外连接数的控制,在一台虚拟蜜罐上初始化多个连接到测试系统,查看/var/log/message日志文件,当向外连接数超过限制时,日志中会出现“Drop Tcp”。
(2)测试数据捕获功能
Snort可以使用工具集附带的测试规则进行测试。在虚拟蜜罐上发起一次向外的Telnet连接,Snort会捕获到这次外出连接并进行丢弃,然后记录下此次的连接。
接下来查看Sebek的工作情况,运行命令sbk_extract–i eth0–p 1101|sbk_ks_log.pl,该命令运行在Sebek的服务器端网关上。任意地选择一台蜜罐主机输入命令,在网关上就可以立即看到输出。
4 总结
蜜网技术已经发展成为主动防御、诱捕攻击者的一种非常有效的、实用的、成熟的方法。它通过精心布置的诱骗环境来吸引黑客,捕获黑客的攻击工具、攻击方法和攻击目的,它最大的价值在于能够发现网络中新的攻击方式,进而更新完善网络的防御体系。
参考文献
[1]郑艳君.分布式蜜罐技术分析及系统设计研究[J].制造业自动化.2012.
[2]马彦武,董淑福等.一种网络安全联动防御模型的设计与实现[J].火力与指挥控制.2011.
[3]赵会峰,李丽娟.一种基于蜜网的网络安全联动模型[J].计算机系统应用.2011.
蜜网技术 篇7
该文提出一种基于僵尸蜜网的拓扑结构采用P2P技术的良性蠕虫来查杀恶意合作型蠕虫的方法,并建立了传播模型,对传播模型进行仿真分析,验证了模型的正确性及高效性。
1 基于僵尸蜜网的蠕虫传播方式和模型
1.1 僵尸蜜网
蜜罐[3]是一种具有漏洞的主机,目的在于吸引攻击者,从而对攻击的操作和行为进行监控和记录,并通过对攻击行为的分析找到有效的对付办法。蜜网是蜜罐技术的延伸和发展,是一种高交互性的蜜罐,在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。僵尸蜜网是指被僵尸程序感染的蜜网。
蜜罐放置在由非信任系统构成的DMZ网络中,采用IP地址欺骗技术覆盖服务器所在网段中没有用到的IP地址,蜜罐之间可以相互通讯并且地位是平等的,也就是当一个蜜罐拥有了某些信息以后可以实现信息的相互共享,因此基于蜜网完全可以采用P2P技术进行数据通讯。
1.2 采用P2P技术的蠕虫传播方式
网络蠕虫与传统的计算机病毒相比,其具有的明显特征是:可以通过网络进行传播,会主动攻击目标系统,传播过程不需要使用者的人工干预。Jose Nazario等人提出了蠕虫的一个功能结构框架[4],把蠕虫的功能模块分为主体功能模块和辅助功能模块。实现了主体功能模块的蠕虫能够完成复制传播流程,而包含辅助功能模块的蠕虫程序则具有更强的生存能力和破坏力。
为了实现蠕虫传播过程中蜜罐主机之间的数据通信,在蠕虫体上增添了一个“外壳”称之为P2Pshell[5]。P2Pshell模块主要负责记录蠕虫体各部分下载的过程,并能指导蠕虫传播的作用,P2Pshell一旦被注入到目标蜜罐主机,将立刻执行蠕虫初期的扫描工作。
在P2P技术的传播方式中,第一台具有感染性的种子蜜罐主机,开始自我传播时首先初始化自己的P2Pshell,然后开始随机扫描。当扫描到一台易感染蜜罐主机时,种子蜜罐主机向其目标发送P2Pshell,易感染蜜罐主机收到P2Pshell后利用自身信息更新P2Pshell,然后开始下载蠕虫体每下载完一片就更新自己的P2Pshell。仅拥有P2Pshell模块的易感染蜜罐主机并不能被完全攻击,但已具备扫描功能,并可以向其它蜜罐主机提供其已经下载的分片。当易感染蜜罐主机下载全部蠕虫体后,才成为被感染蜜罐主机,并重复以上过程。
1.3 P2P技术在僵尸蜜网中的应用
僵尸蜜网是释放良性蠕虫的部署网络,通过让良性蠕虫感染一部分蜜网主机,为良性蠕虫的大量传播提供一部分种子节点。在良性蠕虫的传播过程中,利用P2P分片技术,加快了良性蠕虫的传播,使良性蠕虫在很短时间内大范围的传播,这样就可以实现以大量的良性蠕虫来对抗恶意合作型蠕虫,良性蠕虫的传播效果越好,恶意合作型蠕虫的查杀效果就越好。
1.4 基于僵尸蜜网的蠕虫传播模型
对抗型蠕虫传播模型[6]考虑网络中存在两类蠕虫,恶意蠕虫和良性对抗蠕虫。本文研究的模型假设存在三类蠕虫,蠕虫C为良性对抗蠕虫,蠕虫A、B为合作型恶意蠕虫,蠕虫A的传播有利于蠕虫B的入侵,反之亦然。采用P2P技术的蠕虫对抗蠕虫传播模型中,对抗蠕虫C的传播分为两个阶段,在蠕虫C出现之前,蠕虫A、B的传播行为遵循Two-Factor模型;在蠕虫C出现之后,蠕虫A、B将遵循SEI[7]模型。蠕虫C出现之后蠕虫A、B有四种行为方式,本文只讨论其中一种情形即蠕虫C对所有的易感主机修补漏洞,并查杀蠕虫A、B。图1是该模型状态转换图,主机包括七个状态:易感染状态S(Susceptible)、被恶意蠕虫A感染状Ta(worma-tainted)、被恶意蠕虫B感染状Tb(wormb-tainted)、被恶意蠕虫A和B同时感染状Tab(worma-woramb tainted)、康复状态R(recovery)、免疫状态I(immune)、潜伏状态H(hidden),蠕虫状态转变过程如图1所示。
在介绍模型之前,要对模型中用到的参数进行说明。表1列出了模型的相关参数以及初始值。根据模型在蠕虫C出现之后,它将为易感染主机修补漏洞同时查杀蠕虫A和B,因此蠕虫C的扫描范围是易感染主机和被蠕虫A或B感染过的主机,修改SEI模型,从t时刻到t+Δt时刻,新增的潜伏期状态主机的数量A(t)为:
其中,N为网络中有漏洞的主机总数,假设在IPv4地址空间内,那么扫描空间Z=232,则每台易感染主机和被蠕虫A或蠕虫B感染主机被扫描到的概率为,那么为没被扫描到的概率;c为蠕虫C的扫描率,那么c×RC(t)为被蠕虫C扫描到的主机数,为没被扫描到的概率。那么是被扫描到的易感染主机数和被蠕虫A或B感染主机数。由于易感染主机和被蠕虫A或B感染的主机一旦被扫描后将立刻接受P2Pshell,从而变成潜伏期状态,那么这部分A(t)就是新增的潜伏期状态的主机数。
设η为蠕虫C的下载速率,那么得到关于t时刻,潜伏期状态主机数H(t)和被蠕虫C感染的主机数RC为:
蠕虫A与蠕虫B是合作型关系蠕虫,相互起促进传播作用,例如Email-Worm.Win32.Roron.12能关闭杀毒软件和防火墙,并给其他蠕虫留下后门,有利于其他蠕虫的攻击。模型中设定蠕虫A的扫描率为θ1,蠕虫B的扫描率为θ2,并且θ1>θ2,这样两者相互作用的加速度率为xθ1,其中x≥1为传播率的加速作用。
由于在蠕虫C出现之前,蠕虫A、B遵循Two-Factor传播模型,并且两种蠕虫的相互加速作用模型[7],结合公式(1)及(2)得到模型的微分方程组为:
根据微分方程组可以得出传播模型对应的数值曲线图,图2中给出了任意时刻六种状态(S,Ta,Tb,Tab,H,R)主机数的变化过程。
图2给出了理论上传播模型良性蠕虫对抗恶性合作型蠕虫过程中不同状态主机数量的发展趋势。可以看出,随着良性蠕虫的释放,感染主机数量迅速的减少,康复主机数量大规模的增加。可以在很短的时间内使得恶意蠕虫数量迅速减少,对易感染主机和感染主机的修复速度非常快。
2 实验结果及分析
蠕虫特有的破坏性,以及具有一定的潜伏期,使得无法在真实的环境中去研究蠕虫的对抗特征,需要借助网络仿真软件NS-2去模拟网络蠕虫传播情况。仿真主要由两部分实现,一部分是C++代码编写的蠕虫传播仿真模块,用于扩展NS-2,另一部分是Otc代码编写的仿真文件。把仿真实验中得到的数据进行处理,图3显示出(S,Ta,Tb,Tab,H,R)六种状态节点仿真变化过程。
从该仿真曲线的变化趋势可以看出,当对良性抗蠕虫C出现之后,感染主机数量迅速趋于零,同时免疫节点主机数大规模增加。将模型的理论数值曲线与仿真曲线进行对比,明显看出两者非常吻合,验证了模型的正确性。
3 结论
该文提出了基于僵尸蜜网拓扑结构,建立采用P2P传播技术的良性蠕虫对抗合作型恶意蠕虫的传播模型,并对其进行了仿真分析。基于僵尸蜜网的良性蠕虫传播利用P2P技术原理,实现分片传输,具有快速的传播能力,有效消灭合作型恶意蠕虫,修补系统漏洞,主机获得免疫,从而在很短的时间内使感染主机数量迅速趋于零。但良性蠕虫本身在网络中的传播会给网络造成严重的冲击,并且在进入易感染主机后状态难以控制,因此在未来的研究中可以进一步考虑良性蠕虫的受控。
摘要:网络蠕虫攻击在各种网络安全威胁因素中位居首位,虽然现今已有一些成熟的入侵检测技术,但不足以应对复杂多变的蠕虫攻击。针对网络中蠕虫存在相互合作的复杂关系,该文提出了在僵尸蜜网的拓扑结构下,采用P2P技术的良性蠕虫对抗合作型蠕虫传播模型,良性蠕虫利用分片传输机制来实现自主、快速的查杀恶意蠕虫,为易感染主机修补漏洞。实验结果证明基于僵尸蜜网的良性蠕虫查杀合作型蠕虫的方法效果良好。
关键词:入侵检测,僵尸蜜网,P2P技术,蠕虫传播模型,合作型蠕虫
参考文献
[1]KASPERSKY Lab[EB/OL].[2010-05-01].http://www.securelist.com/en/descriptions.
[2]Shoch J F,Hupp J A.The Worm Programs Early Experience with a Distributed Computation[J]Communications of ACM,1982,25(3):172-180.
[3]郑君杰,肖军模,刘志华,等.基于Honeypot技术的网络入侵检测系统[J].电子科技大学学报,2007,36(2):257-259.
[4]杨雄.网络蠕虫的早期检测与主动遏制[D].南京:南京信息工程大学,2006.
[5]Yang Feng,Duan Haixin,Li Xing.Modeling and analyzing of the interaction between worms and antiworms during network worm propaga tion[J].Science in China Ser.F Information Science,2005,48(1):91-106.
[6]Luo Xingrui,Yao Yu,Gao Fuxiang.Research on a Worm Propagation Model of Pure P2P-based Theory[J].Journal of Communication,2006,37(29):101-112.
【蜜网技术】推荐阅读:
技术合同:技术转让技术秘密合同07-03
技术与科学技术07-24
节能技术的技术划分09-05
蔬菜施肥管理技术技术06-01
环保技术节能技术09-15
信息技术整合电子技术09-27
医疗技术消毒技术规范05-31
技术革新和技术改造08-29
技术创新与技术引进06-05
电子技术与新技术06-06