【碩士論文】主動(dòng)防御系統(tǒng)蜜罐技術(shù)在網(wǎng)絡(luò)安全中的研究與設(shè)計(jì).pdf

摘要 摘要 隨著互聯(lián)網(wǎng)的快速發(fā)展 越來(lái)越多的應(yīng)用通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn) 同時(shí)網(wǎng)絡(luò)的安全 也面臨著巨大的挑戰(zhàn) 快速的網(wǎng)絡(luò)為攻擊者提供了方便 攻擊模式和方法越來(lái)越 復(fù)雜 攻擊者的技術(shù)水平也在不斷提高 攻擊規(guī)模曰益擴(kuò)大 越來(lái)越多的系統(tǒng)受 到攻擊 如何保護(hù)系統(tǒng)與可信網(wǎng)絡(luò)不受入侵成為目前迫切需要解決的問(wèn)題 傳統(tǒng) 的網(wǎng)絡(luò)安全措旌 如防火墻或入侵檢測(cè)技術(shù) I D S 顯得力不從心 這就需要引入一 種全新的主動(dòng)入侵防護(hù) I n t r u s i o nP r e v e n t i o nS y s t e m I P S 技術(shù) 入侵防護(hù)作為 一種主動(dòng)的安全防護(hù)手段 它的優(yōu)勢(shì)體現(xiàn)在如下兩方面 首先它可以在攻擊發(fā)生 前主動(dòng)阻斷它們 它不僅可進(jìn)行檢測(cè) 還能在攻擊造成損壞前阻斷它們 另一方 面在檢測(cè)到攻擊時(shí)就需要具備相應(yīng)的響應(yīng)能力 入侵防護(hù)系統(tǒng)在成功的檢測(cè)到攻 擊事件后 它可以記錄攻擊者的詳細(xì)的攻擊行為因而對(duì)攻擊有更有效的響應(yīng) 蜜罐是近幾年才發(fā)展起來(lái)的一種主動(dòng)安全技術(shù) 它設(shè)置專(zhuān)門(mén)讓黑客攻擊的應(yīng) 用系統(tǒng)以記錄黑客的活動(dòng) 讓黑客來(lái)告訴我們所面臨的威脅 分析蜜罐采集的信 息 人們可以了解黑客攻擊的方式和手段 發(fā)現(xiàn)威脅所在 蜜罐提供了一個(gè)豐富 的認(rèn)識(shí)黑客攻擊手段的信息源 蜜罐是網(wǎng)絡(luò)安全的一個(gè)全新領(lǐng)域 它通過(guò)構(gòu)造一個(gè)有著明顯安全漏洞的系統(tǒng) 來(lái)引誘入侵者對(duì)其進(jìn)行攻擊 并在攻擊的過(guò)程中對(duì)入侵者的入侵動(dòng)機(jī) 入侵手段 使用工具等信息進(jìn)行詳細(xì)地一記錄 根據(jù)收集到的入侵者信息 我們就可以分析 得到入侵者所使用的最新技術(shù) 發(fā)現(xiàn)系統(tǒng)中的安全漏洞 從而對(duì)系統(tǒng)中存在的問(wèn) 題及時(shí)予以解決 在學(xué)位論文工作期間 我對(duì)蜜罐進(jìn)行了系統(tǒng)的理論研究 在此基礎(chǔ)上 初步 設(shè)計(jì)了 個(gè)包含蜜罐系統(tǒng)的網(wǎng)絡(luò)安全架構(gòu) 將我的蜜罐系統(tǒng)放到校園網(wǎng)環(huán)境中 采集到許多寶貴信息 在一定程度上提高校園網(wǎng)的安全性 通過(guò)對(duì)這些信息的分 析 我對(duì)蜜罐有了更深入的理解 特別在它對(duì)信息分析能力 對(duì)黑客的了解方面 也有了較大提高 關(guān)鍵詞 蜜罐 蜜網(wǎng) 陷阱系統(tǒng) 蠻苫些鑾耋三主鎏圭耋堡墼鑾 A b s t r a c t W i t ht h er a p i dd e v e l o p m e n to fI n t e r n e t m o r ea n dm o r ea p p l i c a t i o n sa r er e a l i z e d t h r o u g ht h en e t w o r k a tt h es a m et i m et h es e c u r i t yo ft h en e t w o r ka l s of a c e st h e e n o r m o u sc h a l l e n g et o o T h ef a s tn e t w o r kh a sf a c i l i t a t e di n t r u d e r s T h ei n t r u d e r S e n g i n e e r i n g s k i l li si m p r o v i n gc o n s t a n t l yt o o H o wt op r o t e c ts y s t e m sa n dt h e b e l i e v e dn e t w o r k sf r o mi n t r u s i o ni sa nu r g e n tp r o b l e mt ob es o l v e da tp r e s e n t T h e t r a d i t i o n a ls a f e s t r a t e g yn o wm a n i f e s tt h e i rl i m i t a t i o n s S O an e ws y s t e mn a m e d I n t r u s i o nP r e v e n t i o nS y s t e mh a sb e e nc o m eu p A san e wa c t i v et e c h n o l o g yI n t r u s i o n P r e v e n t i o nS y s t e mh a st w od i s t i n c ta d v a n t a g e s f i r s ti tc a la c t i v e l yb l o c kt h ea t t a c k s b e f o r eh a c k e rs t a r t e d O nt h eo t h e rh a n d i n t r u s i o np r e v e n t i o ns y s t e mc a ng i v eam o r e e f f e c t i v er e s p o n s eb yt r a c i n gh a c k e ra n dc o l l e c t i n gd e t a i l e da t t a c k i n gi n f o r m a t i o n H o n e y p o ti san e wt e c h n o l o g yd e v e l o p e di nr e c e n ty e a r s H o n e y p o tc a ns i m u l a t e r e a ls e r v i c e go ra p p l i c a t i o nS Oa st oi n d u c et h eh a c k e rt oa t t a c ki t t h u si tc a nc o l l e c t a l lo ft h ea c t i v i t i e sd o n eb yh a c k W ec a nl e a r nt h en e wm e t h o d sa n dt e c h n o l o g i e sb y a n a l y z i n gt h ei n f o r m a t i o n t h u sw ec a nd i s c o v e rw h a t w h e r ea n dh o wt h et h r e a t e n s a r ee x i s t e d H o n e y p o to f f e r sa b u n d a n tv a l u a b l ei n f o r m a t i o n H o n e y p o th a sal o to fd r a w b a c k si ns e c u r i t y S Oh a c k e rw i l la t t a c ki t d u r i n gt h i s p r o c e s sh o n e y p o tw i l lr e c o r da l lm o t i v e s m e t h o d sa n d t o o l su s e db yb a di n t r u d e r s W e c a nd i s c o v e rb u g sa n di m p r o v et h en e t w o r ks e c u r i t yp e r f o r m a n c e st os o m ee x t e n tb y a n a l y z i n gt h ei n f o r m a t i o n D u r i n gm yw o r k Ih a v eg e n e r a l l ys t u d i e dt h eh o n e y p o t Id e s i g n an e t w o r k s e c u r i t ya r c h i t e c t u r eb yu s i n gh o n e y p o t s T h ec a m p u sn e t w o r kp e r f o r m a n c ew i l lb e i m p r o v e db yd e p l o y i n gh o n e y p o t si nd i f f e r e n tp o s i t i o n s t h eh o n e y p o t sc a nc o l l e c ta l o to fv a l u a b l ei n f o r m a t i o n T h em o r eIc o m p r e h e n d e da b o u th o n e y p o t e s p e c i a l l yi n t h ec a p a b i l i t yo fa n a l y z i n gi n f o r m a t i o n t h em o r eIl e a r na b o u th a c k e r a t t a c k m e a n t i m e K e yW o r d a H o n e y p o t H o n e y n e t D e c e p t i o nS y s t e m n 第一章緒論 1 1 引言 第一章緒論 隨著因特網(wǎng)技術(shù)的發(fā)展 基于網(wǎng)絡(luò)的應(yīng)用信息系統(tǒng)也越來(lái)越多 所涉及到的 應(yīng)用范圍已經(jīng)涵蓋了電子商務(wù) 電子政務(wù) 電子稅務(wù) 電子銀行 電子海關(guān) 電 子證券 網(wǎng)絡(luò)書(shū)店 網(wǎng)上拍賣(mài) 網(wǎng)絡(luò)購(gòu)物 網(wǎng)絡(luò)防偽 網(wǎng)上交易和網(wǎng)上選舉等諸 多方面 網(wǎng)絡(luò)信息系統(tǒng)在政治 軍事 金融 商業(yè) 交通 電信 文教等方面的 作用日益擴(kuò)大 社會(huì)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴(lài)也日益增強(qiáng) 網(wǎng)絡(luò)與人們的日常生活 也變的密不可分 伴隨著網(wǎng)絡(luò)如此廣泛的應(yīng)用 借助于網(wǎng)絡(luò)來(lái)對(duì)各個(gè)方面所進(jìn)行 的攻擊也日益嚴(yán)重 網(wǎng)絡(luò)安全與保密問(wèn)題也已經(jīng)成為人們要面對(duì)的首要的問(wèn)題 從大的方面來(lái)說(shuō) 網(wǎng)絡(luò)安全問(wèn)題關(guān)系到一個(gè)國(guó)家的安全和主權(quán) 社會(huì)的穩(wěn)定 民 族的文化等方面 從小的方面來(lái)說(shuō) 信息安全問(wèn)題也是人們能否保護(hù)自己隱私的 關(guān)鍵 近十幾年以來(lái) 網(wǎng)絡(luò)上的各種安全性問(wèn)題越來(lái)越多 也越來(lái)越嚴(yán)重 現(xiàn)有的網(wǎng)絡(luò)安全措施主要以防火墻和入侵檢測(cè)系統(tǒng)為核心 它們?cè)谝欢ǔ潭?L 改善網(wǎng)絡(luò)的安全保障 但防火墻和入侵檢測(cè)系統(tǒng)并不是萬(wàn)能的 它們?cè)诤芏喾?面存在弱點(diǎn) 防火墻防范的前提是對(duì)各種已識(shí)別類(lèi)型的攻擊進(jìn)行正確的配置 這 就要求防火墻知識(shí)庫(kù)不斷更新以識(shí)別各種新類(lèi)型的攻擊 入侵檢測(cè)系統(tǒng)一方面像 防火墻一樣需要知識(shí)庫(kù)不斷更新 另一方面對(duì)有違反安全策略的惡意使用行為進(jìn) 行識(shí)別和響應(yīng) 從根本上說(shuō) 防火墻和入侵檢測(cè)系統(tǒng)滯后于各種各樣的黑客攻擊 這就決定了以防火墻和入侵檢測(cè)系統(tǒng)為核心的網(wǎng)絡(luò)安全體系不可能完全 有效地 解決網(wǎng)絡(luò)安全問(wèn)題 這些安全技術(shù)中 大多數(shù)技術(shù)都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊 時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù) 而蜜罐技術(shù)的弓f 入 可以將防護(hù)從被動(dòng)方式變?yōu)橹鲃?dòng) 方式 即在蜜罐中用特有的特征吸引攻擊者 同時(shí)對(duì)各種攻擊行為進(jìn)行分析并找 到有效的對(duì)付方法 妄鑾苫些盔蘭三蘭堡圭蘭垡鯊塞 1 2 傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)手段 隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大 人們對(duì)網(wǎng)絡(luò)知識(shí)的了解越來(lái)越深入 網(wǎng)絡(luò)上的攻 擊行為變得越來(lái)越多 已經(jīng)嚴(yán)重威脅到網(wǎng)絡(luò)與信息的安全 計(jì)算機(jī)網(wǎng)絡(luò)信息安全 已經(jīng)成為一個(gè)倍受關(guān)注的問(wèn)題 網(wǎng)絡(luò)與信息安全技術(shù)的核心問(wèn)題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效地防護(hù) 網(wǎng)絡(luò)安全防護(hù)涉及面很廣 從技術(shù)層面上講主要包括防火墻技術(shù) 入侵檢測(cè)技術(shù) 病毒防護(hù)技術(shù) 數(shù)據(jù)加密技術(shù)和認(rèn)證技術(shù)等 這些安全技術(shù)中 為了防止各種入 侵手段 提高系統(tǒng)的安全程度 人們采取了多種入侵防護(hù)手段 目前經(jīng)常使用到 的有以下幾種 1 2 1 防火墻 防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制 防止外部網(wǎng)絡(luò)用戶以非法手 段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò) 訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源 保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特 殊網(wǎng)絡(luò)互聯(lián)設(shè)備 它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的 安全策略進(jìn)行檢查 來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許 并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài) 防火墻實(shí)際上是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程 運(yùn)行于路由 網(wǎng)關(guān)或服 務(wù)器上來(lái)控制經(jīng)過(guò)防火墻的網(wǎng)絡(luò)應(yīng)用服務(wù)的通信流量 安全 管理 速度是防火 墻的三大要素 防火墻的目的在于實(shí)現(xiàn)安全訪問(wèn)控制 按照O S I R M 防火墻可 以這七層中五層設(shè)置 雖然防火墻可以提高來(lái)自外部網(wǎng)絡(luò)非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)攻 擊的安全性 但隨著網(wǎng)絡(luò)攻擊技術(shù)及工具的發(fā)展 防火墻在網(wǎng)絡(luò)安全防護(hù)中的弱 點(diǎn)逐漸暴露出來(lái) 最明顯的防火墻無(wú)法防護(hù)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)用戶的攻擊 無(wú)法防備 病毒攻擊 無(wú)法保護(hù)那些繞過(guò)防火墻的攻擊m 1 2 2 入侵檢測(cè) 入侵檢測(cè)是最近2 0 多年發(fā)展起來(lái)的一種動(dòng)態(tài)監(jiān)控 預(yù)防或抵御系統(tǒng)入侵 行為的安全機(jī)制 入侵檢測(cè)系統(tǒng)與防火墻安全策略相比 是一種不同的安全策略 主要通過(guò)監(jiān)控網(wǎng)絡(luò) 系統(tǒng)的狀態(tài) 行為以及系統(tǒng)的使用情況 來(lái)檢測(cè)系統(tǒng)用戶的 2 第一章緒論 越權(quán)使用及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行入侵的企圖 入侵 檢測(cè)系統(tǒng)在識(shí)別入侵和攻擊時(shí)具有一定的智能 主要體現(xiàn)在入侵特征的提取和匯 總 響應(yīng)的合并與融合 在檢測(cè)到入侵后能在一定程度卜采取相應(yīng)的響應(yīng)措施 入侵檢測(cè)是一種事后處理方案 具有智能監(jiān)控 實(shí)時(shí)探測(cè) 動(dòng)態(tài)響應(yīng) 易于配置 等特點(diǎn)n I 入侵技術(shù)的引入使得網(wǎng)絡(luò) 系統(tǒng)的安全性得到進(jìn)一步的提高 現(xiàn)在的入侵檢測(cè)系統(tǒng)通常分為基于主機(jī)和基于網(wǎng)絡(luò)兩類(lèi) 基于主機(jī)的入侵 檢測(cè)系統(tǒng)的主要特征是使用主機(jī)傳感器監(jiān)控系統(tǒng)的信息 主要用于保護(hù)某臺(tái)主機(jī) 的資源不被破壞 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要是網(wǎng)絡(luò)監(jiān)控傳感器監(jiān)控包監(jiān)聽(tīng)器 收集的信息 用于保護(hù)整個(gè)網(wǎng)絡(luò)不被破壞 它不能審查加密數(shù)據(jù)流的內(nèi)容 對(duì)高 速網(wǎng)絡(luò)不是特別有效 但是入侵檢測(cè)會(huì)出現(xiàn)漏報(bào)和錯(cuò)報(bào) 1 2 3 加密傳輸 加密就是為了安全的目的對(duì)信息進(jìn)行編碼和解碼 數(shù)據(jù)加密的基本過(guò)程 就是將可讀信息 明文 譯成密文 或密碼 的代碼形式 加密的逆過(guò)程即為解密 加 密傳輸技術(shù)是一種十分有效的網(wǎng)絡(luò)安全技術(shù) 它能夠防止重要的信息在網(wǎng)絡(luò)上被 攔截和竊取 I P S e c I P 安全體系結(jié)構(gòu) 技術(shù)在I P 層實(shí)現(xiàn)加密和認(rèn)證 實(shí)現(xiàn)了數(shù)據(jù)傳輸過(guò) 程中的完整性和機(jī)密性 可為I P 及其上層協(xié)議 T C P 和U D P 等 提供安全保護(hù) 虛擬專(zhuān)用網(wǎng) V P N 技術(shù)能夠在公共網(wǎng)絡(luò)中為兩臺(tái)通信的計(jì)算機(jī)建立一個(gè)邏輯 上的安全通道 t u n n e l 通過(guò)數(shù)據(jù)的加密和認(rèn)證使得數(shù)據(jù)包即使被截獲也不容易破 譯 提供了很好的安全性 現(xiàn)有的這些入侵防御手段中 都有一個(gè)共同的特點(diǎn)就是采用拒絕型防御 策略 即根據(jù)特定的需要指定一系列的訪問(wèn)策略 不符合指定的安全策略就拒絕 訪問(wèn) 比如進(jìn)入防火墻的數(shù)據(jù)不符合防火墻的規(guī)則 則不讓通過(guò) 沒(méi)有密鑰就無(wú) 法通過(guò)正常渠道得到解密的數(shù)據(jù)等等 這些防護(hù)手段相當(dāng)于在需要保護(hù)的系統(tǒng)外 部建立了一道保護(hù)屏障 一旦所使用的防御手段有效 就把黑客成功地阻止在被 保護(hù)系統(tǒng)之外 從而使系統(tǒng)的安全性得到了充分的保證 奎三些奎蘭苫蘭翟圭耋堡鎏圣 1 3 本論文所做的主要工作 傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻 入侵監(jiān)測(cè) 加密傳輸?shù)仍谛畔踩I(lǐng)域發(fā)揮 了很大的作用 這些被動(dòng)的防御措施一般都是基于規(guī)則或者特征匹配的方式工作 并且都是針對(duì)現(xiàn)有攻擊技術(shù)的 隨著攻擊技術(shù)的不斷發(fā)展 新的攻擊方法層出不 窮 攻擊的發(fā)起時(shí)間 攻擊者 攻擊發(fā)起地點(diǎn)和攻擊目標(biāo)都具有很大的不確定性 被動(dòng)防御技術(shù)對(duì)新的攻擊方法往往不能正確識(shí)別 從而陷入被動(dòng)的地位 主動(dòng)防御技術(shù)逐漸開(kāi)始受到人們的關(guān)注 主動(dòng)防御技術(shù)試圖牽制和轉(zhuǎn)移網(wǎng)絡(luò) 攻擊行為 并且對(duì)攻擊方法進(jìn)行技術(shù)分析 有可能獲得未知的攻擊技術(shù)資料 對(duì) 網(wǎng)絡(luò)攻擊進(jìn)行取證并且對(duì)攻擊者進(jìn)行監(jiān)視和跟蹤 蜜罐 H o n e y p o t 技術(shù)是一種主 動(dòng)防御的安全技術(shù) 在網(wǎng)絡(luò)防火墻 入侵檢測(cè)系統(tǒng)等安全措施的配合下 能夠彌補(bǔ) 原有安全防御的不足 提升網(wǎng)絡(luò)的安全性能 鑒于傳統(tǒng)防御手段中所存在著不能夠?qū)θ肭终叩娜肭中袨檫M(jìn)行詳細(xì)跟蹤 記 錄并分析這一不足之處 我們需要有一種既能夠保證重要信息不被竊取 系統(tǒng)不 被破壞 又能夠?qū)诳偷娜肭中袨樽鲞M(jìn)一步監(jiān)視 記錄的手段 我此次論文的目 的 也就是設(shè)計(jì)一個(gè)具有這種特性的網(wǎng)絡(luò)安全系統(tǒng) 蜜罐系統(tǒng)是本次論文工作的重點(diǎn) 它是應(yīng)用蜜罐技術(shù)實(shí)現(xiàn)的一種設(shè)置好的網(wǎng) 絡(luò)或主機(jī) 通過(guò)模擬一些常見(jiàn)的系統(tǒng)漏洞 制造一個(gè)容易被入侵的網(wǎng)絡(luò)環(huán)境 誘 導(dǎo)入侵者對(duì)系統(tǒng)發(fā)生攻擊 在攻擊的過(guò)程中對(duì)此環(huán)境中的進(jìn)出數(shù)據(jù)進(jìn)行捕獲與控 制 并對(duì)被捕獲數(shù)據(jù)進(jìn)行分析 從而理解和研究入侵者們所使用的工具 入侵的 方法以及入侵的動(dòng)機(jī) 由此獲取此次入侵的第一手入侵?jǐn)?shù)據(jù) 這樣做 一方面可 以轉(zhuǎn)移攻擊目標(biāo) 讓攻擊者在該系統(tǒng)中浪費(fèi)時(shí)間 這在一定程度上保護(hù)譬標(biāo)機(jī) 另一方面可以通過(guò)對(duì)收集的入侵?jǐn)?shù)據(jù)分析來(lái)對(duì)系統(tǒng)進(jìn)行評(píng)估 優(yōu)化入侵檢測(cè)系統(tǒng) 防火墻系統(tǒng) 為指定強(qiáng)有力的安全決策提供依據(jù) 通過(guò)學(xué)習(xí)他們使用的工具和思 路 我們可以更好的來(lái)建立我們的安全系統(tǒng)模型 蜜罐的思想是建立一個(gè)陷阱系統(tǒng) 這個(gè)系統(tǒng)有著一個(gè)真實(shí)的或者建立在別的 系統(tǒng)上的操作系統(tǒng) 它看上去有許多漏洞 可以很輕易的獲取其資源 蜜罐應(yīng)該 以一種與真實(shí)系統(tǒng)相似的方式建立 應(yīng)當(dāng)有許多假的文件 文件夾和其它信息 以便使得這個(gè)系統(tǒng)與真實(shí)系統(tǒng)看起來(lái)非常相似 通過(guò)使用合法的文件使蜜罐看起 4 第一章緒論 來(lái)象一個(gè)合法的主機(jī) 這樣就會(huì)讓黑客相信他們?cè)讷@取一些重要的信息 黑客在 h o n e y p o t 中待的時(shí)間越長(zhǎng) 他們所使用的技術(shù)就會(huì)暴露的越多 而這些信息 可以被用來(lái)評(píng)估他們的技術(shù)水平 了解他們使用的攻擊工具 理想的蜜罐提供一 個(gè)入侵者可以被捕獲的環(huán)境 或者提供一些可以被入侵的弱點(diǎn) 這些弱點(diǎn)都是以 真實(shí)的系統(tǒng)為背景建立的 建立誘捕系統(tǒng)的目的不是為了抓住入侵者 而是要監(jiān) 視和學(xué)習(xí)它們的行為 找出它們是如何探測(cè)和入侵系統(tǒng)的 以及如何才能在真實(shí) 的系統(tǒng)中阻止類(lèi)似入侵行為的發(fā)生 1 4 本論文的內(nèi)容安排 第一章分析了網(wǎng)絡(luò)安全的現(xiàn)狀 簡(jiǎn)單介紹傳統(tǒng)安全防御措施的各自的優(yōu)缺 點(diǎn) 提出采用蜜罐技術(shù)同時(shí)結(jié)合防火墻和入侵檢測(cè)技術(shù)來(lái)構(gòu)筑新的網(wǎng) 絡(luò)安全防護(hù)系統(tǒng) 第二章介紹蜜罐概念及發(fā)展歷史 并對(duì)現(xiàn)有幾種蜜罐系統(tǒng)性能進(jìn)行分析與對(duì) 照 第三章提出此次設(shè)計(jì)的總體框架 對(duì)其中各部件進(jìn)行介紹 第四章分析蜜罐特性并由此給出此系統(tǒng)的概要設(shè)計(jì) 第五章給出系統(tǒng)各部分組件的簡(jiǎn)單實(shí)現(xiàn) 第六章對(duì)該系統(tǒng)的測(cè)試及分析 5 廣東工業(yè)大學(xué)工學(xué)硬士學(xué)位論文 2 1 蜜罐的概念 第二章蜜罐系統(tǒng)概述 2 1 1 蜜罐技術(shù)的發(fā)展背景 當(dāng)今世界計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用也深入到人們生活的各個(gè)領(lǐng)域 對(duì)人們的生 活方式和工作方式產(chǎn)生著前所未有的影響 它已經(jīng)成為人們生活中不可缺少的部 分 與此同時(shí)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大 網(wǎng)絡(luò)上的攻擊行為交得越來(lái)越多 如何應(yīng)對(duì) 這些攻擊己經(jīng)成為目前人們最關(guān)注的問(wèn)題 網(wǎng)絡(luò)安全防護(hù)涉及面很廣 從技術(shù)層面上講主要包括防火墻技術(shù) 入侵檢測(cè) 技術(shù) 病毒防護(hù)技術(shù) 數(shù)據(jù)加密技術(shù)和認(rèn)證技術(shù)等 這些安全技術(shù)中大部分都是 在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)響應(yīng) 這些傳統(tǒng)的防御手段在一定時(shí) 期內(nèi)曾占有非常重要的地位 在網(wǎng)絡(luò)安全防護(hù)中曾起著不可替代的作用 但它們 都有一個(gè)同樣的缺陷 發(fā)現(xiàn)和預(yù)防能力不夠 因?yàn)檫@些防御手段都是通過(guò)把入侵 者阻擋在被保護(hù)系統(tǒng)之外來(lái)完成系統(tǒng)防護(hù)的 也就是說(shuō) 入侵者在剛剛侵入到系 統(tǒng)或者還沒(méi)有侵入系統(tǒng)的時(shí)候就已經(jīng)被發(fā)現(xiàn)并被禁止做進(jìn)一步的入侵行為 所以 也就不可能知道入侵者的確切的入侵目的 以及入侵者想要進(jìn)行的進(jìn)一步入侵行 為 而在很多情況下 我們想要收集入侵者的詳細(xì)入侵蹤跡和入侵手段 以作為 對(duì)系統(tǒng)安全性分析的重要數(shù)據(jù) 或者在以后法律程序上作為入侵行為的重要證據(jù) 而使用傳統(tǒng)的防御措施就不能夠達(dá)這個(gè)目的 因此我們需要有一種新的技術(shù)來(lái)彌 補(bǔ)現(xiàn)有防御手段的不足 而蜜罐技術(shù)正是在對(duì)這種新技術(shù)的要求下提出的 2 1 2 蜜罐的概念 關(guān)于蜜罐的定義一直以來(lái)都沒(méi)有一個(gè)準(zhǔn)確的定義 不同人對(duì)蜜罐有不同的定 義 在本文中我采用美國(guó)P r o j e c tH o n e y n e t 研究組的成員之一L a n c eS p i t z n e r 給出 的關(guān)于蜜罐的定義 6 第二章蜜罐系統(tǒng)概述 蜜罐是一個(gè)信息系統(tǒng)資源 它的價(jià)值在于未授權(quán)或非法的使用該資源 4 l 這是一個(gè)總的定義 它包含了所有不同的蜜罐表現(xiàn)形式 以下對(duì)蜜罐技術(shù)的討 論將根據(jù)上述L a n c eS p i t z n e r 對(duì)蜜罐的定義 蜜罐的價(jià)值在于攻擊者與它們的交 互 概念上講 幾乎所有的蜜罐工作都類(lèi)似 它們是一種沒(méi)有被授權(quán)的活動(dòng)的 資源 它們沒(méi)有任何產(chǎn)品價(jià)值 理論上講 一個(gè)蜜罐應(yīng)該看不到流量 因?yàn)樗?沒(méi)有合法的活動(dòng) 這就意味著任何與蜜罐的交互都有可能是未授權(quán)或惡意的行 為 任何試圖對(duì)蜜罐的連接極有可能是一次探測(cè)或攻擊 這種概念聽(tīng)起來(lái)很簡(jiǎn) 單 也正是這種簡(jiǎn)潔性使蜜罐有許多優(yōu)點(diǎn)和缺點(diǎn) 蜜罐是一種資源 它的價(jià)值就在于其可以被攻擊 被入侵 這也就是說(shuō)蜜 罐具有被探測(cè) 被攻擊甚至被利用的可能 因?yàn)槊酃薏粫?huì)修補(bǔ)任何東西 這樣 就給使用者提供了額外的 有價(jià)值的信息 蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全 但它卻是其他安全策略不可替代的一種主動(dòng)防御技術(shù) 2 1 3 蜜罐的優(yōu)點(diǎn)和缺點(diǎn) 蜜罐并不是針對(duì)特定問(wèn)題的解決 而是一種面向整體安全架構(gòu)的工具 蜜 罐是一種偽裝成為真實(shí)目標(biāo)的資源 它有著被攻擊 被入侵的可能性 它的主 要目的是為了分散攻擊者的注意力 并且獲得攻擊者本身以及其攻擊行為的相 關(guān)信息 蜜罐本身也具有一定優(yōu)勢(shì)和劣勢(shì) 這會(huì)影響它的價(jià)值 優(yōu)點(diǎn) 蜜罐是一個(gè)非常簡(jiǎn)單的定義 這樣使得它有強(qiáng)大的實(shí)力 高價(jià)值的 小數(shù)據(jù)集 蜜罐收集信息量少 它們一天只記錄1 M B 的信息并且只發(fā)出l O 次 警告 蜜罐只捕獲惡意攻擊 任何與蜜罐的交互極有可能是未授權(quán)的或惡意的 行為 蜜罐通過(guò)收集少量數(shù)據(jù)信息來(lái)減少噪音 然而這些信息有較高的價(jià)值 因?yàn)樗枪粽叩男畔?這就意味著更容易分析蜜罐收集的數(shù)據(jù) 并從中得到 有價(jià)值的信息 新的工具和策略 蜜罐是設(shè)計(jì)用來(lái)捕獲任何對(duì)它們的攻擊的任 何行為 包括從未見(jiàn)過(guò)的新的工具策略 最小的資源 蜜罐要求最小的資源 它們只捕獲惡意攻擊 這意味著一臺(tái)舊的計(jì)算機(jī)能容易的處理完全的B 類(lèi)網(wǎng)絡(luò) 加密或I P V 6 不像大多數(shù)安全技術(shù) 蜜罐對(duì)加密和I P V 6 環(huán)境也有很有效 不 管黑客對(duì)蜜罐進(jìn)行任何攻擊蜜罐都將能檢測(cè)并捕獲到這些攻擊 信息 蜜罐能 夠收集進(jìn)一步的與攻擊者的相關(guān)信息 簡(jiǎn)單性 最后 蜜罐的概念很簡(jiǎn)單 沒(méi) 廣東工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 有特殊的運(yùn)算規(guī)則來(lái)發(fā)現(xiàn) 維護(hù)穩(wěn)定的表格 或者更新的簽名 技術(shù)越簡(jiǎn)單 錯(cuò)誤率和錯(cuò)誤配置的可能性就越小 缺點(diǎn) 像任何其他技術(shù) 蜜罐也有缺點(diǎn) 它不能代替當(dāng)前的技術(shù) 而是與 現(xiàn)存的技術(shù)配合工作 局限的視野 蜜罐只可以跟蹤和捕獲與它們直接交互的活 動(dòng) 蜜罐將不能捕獲對(duì)其它系統(tǒng)的攻擊 除非攻擊者或威脅與蜜罐有交互 指紋 識(shí)別 蜜罐具備一些特定的預(yù)期特征或者行為 因而能夠被攻擊者識(shí)別出其真實(shí) 身份并對(duì)它進(jìn)行攻擊 威脅 所有的安全技術(shù)都有危險(xiǎn) 防火墻有被滲透的危險(xiǎn) 加密有被破解的危險(xiǎn) I D S 傳感器有檢測(cè)不出攻擊的危險(xiǎn) 蜜罐也如此 它也有 危險(xiǎn) 具體地講 蜜罐有被黑客利用并危及其他系統(tǒng)的危險(xiǎn) 不同的蜜罐有不同 的風(fēng)險(xiǎn) 而且風(fēng)險(xiǎn)也是變化的 這取決于它的構(gòu)建和部署方式 現(xiàn)有的各種安全防御機(jī)制都有自己的局限性 因此針對(duì)網(wǎng)絡(luò)的安全不能只依 靠單一的安全防御技術(shù)和防御機(jī)制 只有通過(guò)在對(duì)網(wǎng)絡(luò)安全防御體系和各種網(wǎng)絡(luò) 安全技術(shù)和工具的研究基礎(chǔ)上 制定具體的系統(tǒng)安全策略 通過(guò)設(shè)立多道的安全 防線 集成各種可靠的安全機(jī)制 建立完善的多層安全防御體系 才能抵御來(lái)自 系統(tǒng)內(nèi) 外的入侵攻擊 達(dá)到維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全 2 2 蜜罐系統(tǒng)的分類(lèi) 根據(jù)不同標(biāo)準(zhǔn)可以對(duì)蜜罐技術(shù)進(jìn)行不同分類(lèi) 下面討論三種分類(lèi)方式 2 2 1 根據(jù)設(shè)計(jì)目標(biāo)分類(lèi) 根據(jù)產(chǎn)品設(shè)計(jì)的目的可以分為產(chǎn)品型蜜罐和研究型蜜罐 1 產(chǎn)品型蜜罐的目 的是減輕受保護(hù)組織將受到的攻擊威脅 它所做的工作就是檢測(cè)并對(duì)付惡意攻擊 者 它所代表的是這樣一種系統(tǒng) 它有助于減輕組織或環(huán)境中所存在的風(fēng)險(xiǎn) 可 以為系統(tǒng)及網(wǎng)絡(luò)的安全保障提供特定的價(jià)值 在阻止安全方面 它采取欺騙和威 懾技術(shù) 欺騙就是讓攻擊者在進(jìn)攻蜜罐上浪費(fèi)時(shí)間和資源 而威懾是告訴攻擊者 組織中已經(jīng)部署了一些蜜罐 以此來(lái)嚇跑它攻擊者 在檢測(cè)方面 由于蜜罐沒(méi)有 任何產(chǎn)品流量 任何發(fā)往蜜罐的連接請(qǐng)求都被認(rèn)為是可疑的活動(dòng) 都會(huì)被蜜罐檢 測(cè)到 所以對(duì)蜜罐而言不存在誤報(bào)和錯(cuò)報(bào) 在對(duì)攻擊事故作出響應(yīng)時(shí) 組織所面 第二章蜜罐系統(tǒng)概述 I 臨的主要難題是證據(jù)的收集 當(dāng)攻擊者進(jìn)入系統(tǒng)時(shí) 他們的活動(dòng)會(huì)留下證據(jù) 可 能用來(lái)判定攻擊者是如何進(jìn)入系統(tǒng)的 進(jìn)一步看到在它獲得了對(duì)系統(tǒng)的控制權(quán)之 后又從事了什么活動(dòng) 即使攻擊者采取了一些隱藏活動(dòng)的措施 如修改日志文件 這些活動(dòng)還是可以被迫蹤到的 而且蜜罐能夠幫助解決提供反抗能力面臨的問(wèn)題 蜜罐中沒(méi)有任何產(chǎn)品活動(dòng) 這是前提 借助于這些前提來(lái)協(xié)助解決數(shù)據(jù)污染的問(wèn) 題 當(dāng)某個(gè)蜜罐被攻破時(shí) 系統(tǒng)中惟一的實(shí)際的活動(dòng)就是攻擊者的活動(dòng) 這有助 于維護(hù)其完整性 一般情況下 商業(yè)組織運(yùn)用產(chǎn)品型蜜罐對(duì)自己的網(wǎng)絡(luò)進(jìn)行防護(hù) 研究型蜜罐專(zhuān)門(mén)以研究和獲取攻擊信息為目的而設(shè)計(jì) 只有那些需要進(jìn)行研 究的組織 例如大學(xué) 政府 軍隊(duì)或安全研究組織才需要使用研究型蜜罐 它通 過(guò)為大家提供一個(gè)可用于了解計(jì)算機(jī)威脅的平臺(tái) 在信息收集方面提供了廣泛的 價(jià)值 這種類(lèi)型的蜜罐并不能減少組織的風(fēng)險(xiǎn) 但可以應(yīng)用所了解的信息 來(lái)改 進(jìn)預(yù)防 檢測(cè)和反應(yīng) 2 2 2 根據(jù)工作方式分類(lèi) 根據(jù)蜜罐的工作方式不同可以分為犧牲型蜜罐 外觀型蜜罐和測(cè)量型蜜罐 1 犧牲型蜜罐就是一臺(tái)簡(jiǎn)單的為某種特定攻擊設(shè)計(jì)的計(jì)算機(jī) 犧牲型蜜罐實(shí)際上是 放置在易受攻擊的地點(diǎn) 假扮為攻擊的受害者 它為攻擊者提供了極好的攻擊目 標(biāo) 它所使用的數(shù)據(jù)收集信息者是蜜罐附近配置的網(wǎng)絡(luò)嗅探器 但它不會(huì)提供任 何關(guān)于主機(jī)配置的數(shù)據(jù) 需要手動(dòng)或運(yùn)用各種第三方跟蹤分析工具進(jìn)行額外的檢 驗(yàn) 還須考慮用防火墻或其他網(wǎng)絡(luò)控制設(shè)備來(lái)隔離并控制犧牲型蜜罐 犧牲型蜜 罐提供真實(shí)的攻擊目標(biāo) 所以得到的結(jié)果都是真實(shí)系統(tǒng)上會(huì)發(fā)生的狀況 犧牲型 蜜罐可以對(duì)被入侵前的系統(tǒng)進(jìn)行分析但是系統(tǒng)一旦被攻陷就不可能再正常工作 所以需要管理員要定期檢驗(yàn)蜜罐系統(tǒng) 判斷整個(gè)系統(tǒng)是否已被入侵 在被入侵的 情況下還需要判斷蜜罐所遭受的攻擊類(lèi)型 外觀型蜜罐是一個(gè)呈現(xiàn)目標(biāo)主機(jī)的虛 假映像系統(tǒng) 僅僅是對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行仿真而不會(huì)導(dǎo)致機(jī)器真正被攻擊 從而蜜罐 安全不會(huì)受到威脅 它是最簡(jiǎn)單的蜜罐 通常由某些應(yīng)用服務(wù)的仿真程序構(gòu)成 以欺騙攻擊者 它們只能夠提供潛在威脅的基本信息 測(cè)量型蜜罐結(jié)合了對(duì)外觀 型蜜罐的低成本和犧牲型蜜罐的細(xì)節(jié)深度兩方面的優(yōu)點(diǎn) 通過(guò)對(duì)現(xiàn)有系統(tǒng)進(jìn)行大 規(guī)模的操作系統(tǒng)層次或內(nèi)核層次更改以及應(yīng)用程序開(kāi)發(fā) 它已作為一種有效的網(wǎng) 9 耋奎三些盔蘭三蘭堡圭耋篁鎏塞 絡(luò)防御方法 包括進(jìn)行高級(jí)數(shù)據(jù)收集 攻擊活動(dòng)擊落 基于策略的告警和企業(yè)的 管理功能 2 2 3 根據(jù)交互性分類(lèi) 交互性是蜜罐的一個(gè)重要屬性 交互性體現(xiàn)了入侵者和實(shí)現(xiàn)這個(gè)蜜罐的操 作系統(tǒng)之間的交互程度 交互級(jí)別為我們提供了一種可以對(duì)蜜罐進(jìn)行測(cè)度和比 較的標(biāo)尺 蜜罐所能做的事情越多 以及攻擊者對(duì)蜜罐所能做的事情越多 從 蜜罐上所獲得的信息就會(huì)越多 但同時(shí)攻擊者對(duì)蜜罐所做的事情越多 他所能 造成的危害就會(huì)越大 交互性定義了蜜罐允許攻擊者的行為水平 按照交互性 把蜜罐分為三類(lèi) 低交互度的蜜罐 中交互度的蜜罐和高交互度蜜罐 3 這個(gè)分 類(lèi)有助于我們理解所使用的蜜罐的類(lèi)型 強(qiáng)度和弱點(diǎn) 1對(duì)低交互度蜜罐 它設(shè)計(jì)簡(jiǎn)單且功能有限 安裝配置部署和維護(hù)都很容易 它僅僅是模擬了大量的服務(wù) 攻擊者和它的交互也就限于這些預(yù)指定的服 務(wù) 這種蜜罐沒(méi)有真實(shí)的操作系統(tǒng) 它的價(jià)值主要在于檢測(cè) 具體來(lái)說(shuō)就是 對(duì)未授權(quán)掃描或者未授權(quán)連接嘗試的檢測(cè) 它只提供了有限的功能 因此大 部分可以用一個(gè)程序來(lái)模擬 只需要將該程序安裝在一臺(tái)主機(jī)系統(tǒng)中 配置 管理希望提供的服務(wù)就可以了 管理員所要做的工作就是維護(hù)程序的補(bǔ)丁并 監(jiān)視所有的預(yù)警機(jī)制 這種蜜罐所提供的功能非常少 因而出錯(cuò)的地方也很 少 所具有的風(fēng)險(xiǎn)也很低 同時(shí)它能夠?yàn)槲覀兲峁┑年P(guān)于攻擊者的信息量也 有限 通過(guò)模擬服務(wù)和操作系統(tǒng)實(shí)現(xiàn) 攻擊行為受到蜜罐模擬水平的限制 例如 一個(gè)模擬的F T P 服務(wù)在2 1 端口監(jiān)聽(tīng) 也許只能模擬F T P 登錄或者可 能支持一些額外的F 1 甲命令 低交互度蜜罐的缺點(diǎn)主要是它們只記錄有限的 信息 只能捕獲已知的攻擊行為 并且以一種預(yù)定的方式進(jìn)行響應(yīng) 模擬服 務(wù)僅能做到這樣 而且它容易被攻擊者識(shí)破 不管模擬服務(wù)做得多好 有技 術(shù)的黑客最終都能檢測(cè)到它的存在 第二章蜜罐系統(tǒng)概述 喇 紊 O p e r a ti n g F S y s t e m l I 蘭i 降 司 R e s o r c e a s b m t 一 圖2 I 低交互度蜜罐 F i g u r e 2 1L o wI n t e r a c t i n gH o n e y p o t 2 中交互度蜜罐為攻擊者提供的交互能力比低交互度的蜜罐多些 它們能夠預(yù) 期一些活動(dòng) 并且旨在可以給出一些低交互度蜜罐所無(wú)法給予的響應(yīng) 它通 常要花費(fèi)更多的時(shí)間去安裝和配置 與低交互度蜜罐相比它的部署和維護(hù)是 一具更為復(fù)雜的過(guò)程 攻擊者得到更多的交互 因此必須要以一個(gè)安全的方 式來(lái)部署這種交互 必須開(kāi)發(fā)相應(yīng)的機(jī)制以確保攻擊者不會(huì)危害其他系統(tǒng) 并且這種增加的功能不會(huì)成為攻擊者進(jìn)行攻擊的易受攻擊環(huán)節(jié) 攻擊者可能 會(huì)訪問(wèn)到實(shí)際操作系統(tǒng) 但他們的能力是受限的 這種類(lèi)型蜜罐必須要進(jìn)行 日常維護(hù) 以應(yīng)對(duì)新的攻擊 由于它具有較大的復(fù)雜度 所以出錯(cuò)的風(fēng)險(xiǎn)也 相應(yīng)增大 另一方面它可以收集到更多攻擊者的信息 窶 B O p e l a t i n g 挈 S y s t e m i 3 同 O t h e r l L o c a l IR e s o u r c e a s 圖2 2 中交互度蜜罐 F i g u r e 2 2S e c o n d a r yI n t e r a c t i n gH o n e y p o t 3高交互度蜜罐是目前蜜罐技術(shù)的極限 它能提供大量的關(guān)于攻擊者的信息但 是構(gòu)建和維護(hù)它們是極為耗時(shí)的 并且與之相伴的是最高級(jí)別的風(fēng)險(xiǎn) 它常 常有復(fù)雜的解決方法 因?yàn)樗鼮楣粽咛峁┱嬲牟僮飨到y(tǒng)和應(yīng)用程序與之 廣東工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 交互 一切都不是模擬的 它給攻擊者提供真實(shí)的環(huán)境 但是這些系統(tǒng)定義 為沒(méi)有任何產(chǎn)品價(jià)值 一旦攻擊者掌握了對(duì)某個(gè)蜜罐的控制權(quán) 就擁有了一 個(gè)完整的可操作系統(tǒng)進(jìn)行交互 最為常見(jiàn)的高交互度的蜜罐往往被放置在一 種受控環(huán)境中 如防火墻之后 借助于這些訪問(wèn)控制設(shè)備來(lái)控制攻擊者的攻 擊能力 防火墻允許攻擊者攻破位于其后的某個(gè)蜜罐 但不允許攻擊者使用 該蜜罐啟動(dòng)對(duì)外的攻擊 這種構(gòu)架的部署和維護(hù)十分復(fù)雜 而且這種類(lèi)型蜜 罐還要求對(duì)防火墻有一個(gè)恰當(dāng)?shù)倪^(guò)濾規(guī)則庫(kù) 同時(shí)還要求配合I D S 的功能 要求I D S 的簽名數(shù)據(jù)庫(kù)進(jìn)行更新 而且要不停監(jiān)視蜜罐的活動(dòng) 它為攻擊提 供的交互越多出錯(cuò)的地方就越多 一旦進(jìn)行了正確的實(shí)現(xiàn) 高交互度的蜜罐 就能夠最大程度的洞察攻擊者 例如想在一個(gè)L i n u x 蜜罐上運(yùn)行一個(gè)F T P 服 務(wù)器 那么你建立一個(gè)真正的L i n u x 系統(tǒng)來(lái)運(yùn)行F T P 服務(wù) 這種解決方案優(yōu) 勢(shì)是雙重的 首先 你能夠捕獲大量信息 這可以通過(guò)給攻擊者提供真實(shí)的 系統(tǒng)與之交互來(lái)實(shí)現(xiàn) 你能夠了解到攻擊者的整個(gè)攻擊行為 從新的工具包 到I R C 的會(huì)話的整個(gè)過(guò)程 高交互蜜罐的第二個(gè)優(yōu)勢(shì)是對(duì)攻擊者如何攻擊不 是假設(shè) 它們提供一個(gè)能夠捕獲行為的開(kāi)放的環(huán)境 高交互度解決方法將使 得我們能學(xué)到意外的攻擊行為 一個(gè)極好的例子是一個(gè)蜜罐在一個(gè)非標(biāo)準(zhǔn)的 I P 協(xié)議上捕獲密碼后門(mén)命令 然而 這也增加了蜜罐的風(fēng)險(xiǎn) 因?yàn)楣粽吣?夠用這些真實(shí)的操作系統(tǒng)來(lái)攻擊非蜜罐系統(tǒng) 結(jié)果 要采用附加技術(shù)來(lái)阻止 對(duì)非蜜罐系統(tǒng)的攻擊 一般來(lái)講 高交互度的蜜罐在安全防護(hù)性上優(yōu)于前兩 種交互度蜜罐 然而 高交互度蜜罐的開(kāi)發(fā)和維護(hù)都較復(fù)雜 圖2 3 高交互度蜜罐 F i g u r e 2 3H i g hI n t e r a c t i n gH o n e y p o t 第二章蜜罐系統(tǒng)概述 表2 1 三種不同交互度的蜜罐對(duì)比 t a b l e 2 1D i f e r e n c eb e t w e e nI n t e r a c t i n go ft h eT h r e eH o n e y p o t 低交互性蜜罐中交互性蜜罐高交互性蜜罐 交互性低中高 真實(shí)的操作系統(tǒng)無(wú)無(wú)有 一 所受威脅的程度低中 局 信息收集少中多 是否希望被入侵否否 是 運(yùn)行難度低低高 一 開(kāi)發(fā)難度低 局較高 維護(hù)所需時(shí)間少少 多 2 3 現(xiàn)有蜜罐系統(tǒng) 2 3 1 常見(jiàn)的幾種蜜罐系統(tǒng) 蜜罐是一個(gè)可以模擬具有一個(gè)或多個(gè)攻擊弱點(diǎn)的主機(jī)系統(tǒng) 為攻擊者提供一 個(gè)易于被攻擊的目標(biāo) 蜜罐中所有的假終端和子網(wǎng)都經(jīng)過(guò)精心設(shè)計(jì) 以吸引攻擊 者的攻擊 蜜罐監(jiān)視攻擊者的行徑 收集相關(guān)的數(shù)據(jù) 市場(chǎng)上的現(xiàn)有的蜜罐產(chǎn)品雖然總的來(lái)說(shuō)功能繁多 類(lèi)別覆蓋從商業(yè)到研究 從低交互度蜜罐到高交互度蜜罐 從單個(gè)蜜罐系統(tǒng)到復(fù)雜的蜜網(wǎng) 這些現(xiàn)有的蜜 罐產(chǎn)品使用起來(lái)確非常容易 各個(gè)開(kāi)發(fā)商在產(chǎn)品的易用性方面做了不少的工作 常見(jiàn)的有以下一些常用產(chǎn)品n 1 B a c k O f f i c e rF r i e n d l y S p e c t e r H o n e y d 自制H o n e y p o t M a n T r a p H o n e y n e t 廣東工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 B a c k O f f i c e rF r i e n d l y 是一種免費(fèi)的低交互度的h o n e y p o t 它是一種主要用于 檢測(cè)攻擊的產(chǎn)品型h o n e y p o t 其優(yōu)點(diǎn)在于它易于安裝 配置和維護(hù) 可運(yùn)行在任 何基于W i n d o w s 或者U n i x 的平臺(tái)上 包括大部分桌面系統(tǒng)或筆記本系統(tǒng) 由于 其簡(jiǎn)捷性故帶來(lái)的風(fēng)險(xiǎn)小 其缺點(diǎn)是僅能對(duì)7 個(gè)端口的服務(wù)進(jìn)行模擬 而無(wú)法對(duì) 指定端口進(jìn)行定制 因而增加了指紋識(shí)別的可能性 沒(méi)有對(duì)任何遠(yuǎn)程的日志 預(yù) 警或配置遠(yuǎn)程功能 因此不適合于企業(yè)級(jí)應(yīng)用 S p e c t e r 是一種商用的 低交互度的產(chǎn)品型h o n e y p o t 其主要價(jià)值在于檢測(cè) 它在阻止方面也具有價(jià)值即欺騙或威懾攻擊者 其優(yōu)點(diǎn)在于它不僅易于安裝 配 置和部署 而且它可以模擬眾多的服務(wù) 可以監(jiān)視兩倍于B O F 的端口 有出色的 通知能力和遠(yuǎn)程管理 H o n e y d 是一種開(kāi)放源碼的低交互度h o n e y p o t 它引入了幾個(gè)新特征 首先 它具備對(duì)數(shù)百萬(wàn)個(gè)系統(tǒng)進(jìn)彳亍監(jiān)視并同時(shí)充當(dāng)數(shù)千個(gè)受害者身份的功能 H o n e y d 可以確定出哪些系統(tǒng)是有效的 哪些系統(tǒng)是不存在的 然后在執(zhí)行中充當(dāng)這些不 存在的系統(tǒng)的身份 它還具備在應(yīng)用層和I P 棧層進(jìn)行操作系統(tǒng)模擬功能 它的優(yōu) 點(diǎn)是可以對(duì)所有的T C P 或者U D P 端口以及整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視 作為一種開(kāi)放的 源碼的解決方案 它是免費(fèi)的并且會(huì)隨著安全界中其他人的輸入和開(kāi)發(fā)而迅速發(fā) 展起來(lái) 通過(guò)在I P 棧級(jí)和應(yīng)用級(jí)模擬操作系統(tǒng) 可以阻止指紋識(shí)別 作為一種低 交互度的解決方案 它無(wú)法為攻擊者提供實(shí)時(shí)的操作系統(tǒng)進(jìn)行交互 作為一種開(kāi) 發(fā)的源碼解決方案 沒(méi)有為維護(hù)和故障診斷提供任何的正式支持 沒(méi)有任何內(nèi)置 用于預(yù)警的機(jī)制 也沒(méi)有任何用于捕獲大量信息的機(jī)制 現(xiàn)有的自制的h o n e y p o t 主要集中于兩種類(lèi)型 第一種是端口監(jiān)視 這是一種 低交互度的h o n e y p o t 主要用于捕獲惡意攻擊和載荷 第二種類(lèi)型自制h o n e y p o t 是j a i l 這是一種較高等交互度的解決方案 這項(xiàng)功能主要限制在使用c h r o o t 1 的U n i x 系統(tǒng) J a i l 并不是作為一種h o n e y p o t 解決方案而設(shè)計(jì)的 而是一種用于削 減風(fēng)險(xiǎn)的安全機(jī)制 J a i l 具有被檢測(cè)和突破的可能性 因此風(fēng)險(xiǎn)較大 只有高級(jí) 的U n i x 安全專(zhuān)家才能使用它 M a n t r a p 是一種商用的高交互度的h o n e y p o t 它的優(yōu)點(diǎn)是可以使用內(nèi)置的的 嗅探器檢測(cè)任意端口上的活動(dòng) 為攻擊者提供了一個(gè)完全的操作系統(tǒng)進(jìn)行交互 經(jīng)由內(nèi)核空間捕獲所有的攻擊者活動(dòng) 包括諸如S S H 之類(lèi)的加密流量 有出色的 日志記錄功能 遠(yuǎn)程功能 包括e m a i l 預(yù)警以及遠(yuǎn)程管理 使得其成為一種企業(yè) 1 4 第二章蜜罐系統(tǒng)擐述 級(jí)解決方案 由于它是一種高交互度的h o n e y p o t 意味著攻擊者具有利用系統(tǒng)危害 其他系統(tǒng)或組織的可能 攻擊者可能會(huì)對(duì)其訪問(wèn)的M a n t r a p 牢籠進(jìn)行指紋識(shí)別或 者突破 且它受限于S o l a r i s 操作系統(tǒng) 使用完整的開(kāi)發(fā)員安裝 H o n e y n e t 是一種高交互度的h o n e y p o t 是現(xiàn)有交互級(jí)別最高的一種解決方 案 它創(chuàng)建了一種高可控環(huán)境的架構(gòu) 它最大的優(yōu)點(diǎn)是它的靈活性一一任何系統(tǒng) 或應(yīng)用都可置于H o n e y n e t 中 而且它對(duì)已知或未知和工具與戰(zhàn)術(shù)都有廣泛的數(shù)據(jù) 捕獲能力 適合于眾多的組織和環(huán)境 但同時(shí)H o n e y n e t 的部署及維護(hù)所需的資源 比前幾類(lèi)蜜罐都復(fù)雜 高交互性的功能引入了攻擊者使用系統(tǒng)攻擊 損害或摧毀 其他系統(tǒng)或組織的風(fēng)險(xiǎn) 由于h o n e y n e t 是一項(xiàng)新發(fā)展起來(lái)的技術(shù) 其中有些不成 熟的技術(shù)會(huì)帶來(lái)引入錯(cuò)誤的風(fēng)險(xiǎn) 2 3 2 蜜罐與蜜網(wǎng)區(qū)別 H o n e y p o t 是一個(gè)故意設(shè)計(jì)為有缺陷的系統(tǒng)或 偽 服務(wù) 通常是用來(lái)對(duì)入 侵者的行為進(jìn)行報(bào)警或者誘騙 一般情況下 傳統(tǒng)的H o n e y p o t 模擬其它操作系 統(tǒng)或者一些常見(jiàn)漏洞 而H o n e y n e t 則有所不同 它是一個(gè)用來(lái)對(duì)黑客的入侵行 為進(jìn)行研究 學(xué)習(xí)的工具 H o n e y n e t 是一個(gè)網(wǎng)絡(luò)系統(tǒng) 而并非某臺(tái)單一主機(jī) 這個(gè)網(wǎng)絡(luò)系統(tǒng)是隱藏在 防火墻后面的 所有進(jìn)出的數(shù)據(jù)都受到監(jiān)視 捕獲和控制 這些被捕獲的數(shù)據(jù) 可以用來(lái)研究和分析入侵者們使用的工具 方法以及入侵動(dòng)機(jī) 在H o n e y n e t 中 研究者可以使用各種不同的操作系統(tǒng)以及設(shè)備 如S o l a r i s L i n u x W i n d o w s N T C i s c oS w i t c h 等等 這樣建立的網(wǎng)絡(luò)環(huán)境看上去會(huì)更加真實(shí)可信 同時(shí)還在不同 的系統(tǒng)平臺(tái)上面運(yùn)行著不同的服務(wù) 比如L i n u x 的D N Ss e r v e r W i n d o w s N T 的 w e b s e r v e r 或者一個(gè)S o l a r i s 的F T Ps e r v e r 研究者可以學(xué)習(xí)使用不同的工具以及 不同的策略 由于某些入侵者的原始目標(biāo)可能僅僅定位于幾個(gè)特定的系統(tǒng)漏洞 配置這種多樣化的網(wǎng)絡(luò)系統(tǒng) 就有可能揭示他們更多的一些特性0 1 在H o n e y n e t 中的所有系統(tǒng)都是標(biāo)準(zhǔn)的主機(jī) 運(yùn)行的都是真實(shí)完整的操作系 統(tǒng)以及應(yīng)用程序 就像能在網(wǎng)絡(luò)上找到的系統(tǒng)一樣 沒(méi)有刻意地模擬某種不安全 環(huán)境或者故意地使系統(tǒng)存在明顯的漏洞 在H o n e y n e t 的系統(tǒng)上存在的安全風(fēng) 險(xiǎn) 與網(wǎng)絡(luò)上一些企業(yè)內(nèi)部的網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)完全相同 廣東工業(yè)大學(xué)工學(xué)碩士學(xué)位論文 因?yàn)橐粋€(gè)典型蜜罐系統(tǒng)是通過(guò)模仿一個(gè)操作系統(tǒng)來(lái)實(shí)現(xiàn)的 因此有經(jīng)驗(yàn)的 攻擊者知道如何識(shí)別哪些是正確的跡象 而哪些不是 對(duì)于H o n e y n e t 來(lái)說(shuō) 因 為它使用的是標(biāo)準(zhǔn)的操作系統(tǒng) 所以如果設(shè)計(jì)得當(dāng) 入侵者將很難發(fā)現(xiàn)H o n e y n e t 是一種陷阱 這樣就可以使得對(duì)入侵者的入侵信息的收集工作更加順利地進(jìn)行 一方面 從蜜罐到蜜網(wǎng) 系統(tǒng)的復(fù)雜程度越來(lái)越高 因此所需要的技術(shù)含 量也就越來(lái)越大 另一方面 如果我們己經(jīng)擁有一個(gè)比較成熟的蜜罐 那么想 要以蜜罐為基礎(chǔ)構(gòu)造一個(gè)蜜網(wǎng)系統(tǒng)也相對(duì)來(lái)說(shuō)比較容易 因此 在此次的設(shè)計(jì) 過(guò)程中 我把蜜罐做為了設(shè)計(jì)的重點(diǎn) 2 4 蜜罐操作系統(tǒng) 0 S 的選擇 2 4 1 純蜜罐和虛擬蜜罐 在討論利用哪種操作系統(tǒng)來(lái)實(shí)現(xiàn)蜜罐之前 我先大概介紹下關(guān)于純蜜罐和 虛擬的蜜罐的含義 簡(jiǎn)單的來(lái)講 純蜜罐就是指安裝了一種操作系統(tǒng) 同時(shí)對(duì)其行為進(jìn)行監(jiān)控 的 臺(tái)主機(jī) 而虛擬蜜罐則指的是在一個(gè)已經(jīng)存在的操作系統(tǒng) 主操作系統(tǒng) 上所 安裝的另外一個(gè)寄生的操作系統(tǒng)或者叫子操作系統(tǒng)I 純蜜罐實(shí)現(xiàn)起來(lái)比較容易 理論上來(lái)說(shuō) 它可以用任何的一種操作系統(tǒng)來(lái) 實(shí)現(xiàn) 但是以這種方式實(shí)現(xiàn)的蜜罐存在著一些缺點(diǎn) 比如在同一時(shí)刻 同一臺(tái) 物理主機(jī)上只能運(yùn)行一個(gè)操作系統(tǒng) 資源沒(méi)有被充分利用 另外 一旦系統(tǒng)被 入侵 那么重新恢復(fù)這個(gè)被入侵的系統(tǒng)將會(huì)是一件比較麻煩的事情 同時(shí) 對(duì) 這種系統(tǒng)的監(jiān)控一般需要有外部設(shè)備的參與 因?yàn)閷?duì)實(shí)現(xiàn)蜜罐所用的操作系統(tǒng) 的任何修改都有可能有指紋識(shí)別 有可能被經(jīng)驗(yàn)豐富的入侵者覺(jué)察到 而使用虛擬技術(shù)實(shí)現(xiàn)的虛擬蜜罐有比較大的靈活性 根據(jù)實(shí)現(xiàn)蜜罐所使用 的主操作系統(tǒng)和虛擬技術(shù)的不同 子操作系統(tǒng)可以擁有和主操作系統(tǒng)完全不同 的特性 子操作系統(tǒng)可以被并行的安裝在一臺(tái)物理主機(jī)上 甚至幾個(gè)完全不同 的予操作系統(tǒng)都可以并存 虛擬機(jī)這種實(shí)現(xiàn)方式使得管理員可以在主操作系統(tǒng) 環(huán)境下來(lái)監(jiān)視子操作系統(tǒng)的運(yùn)行 而不用擔(dān)心會(huì)被入侵者發(fā)現(xiàn) 此外 一旦子 系統(tǒng)遭到破壞 管理員也可以輕松的從主操作系統(tǒng)中將其恢復(fù) 1 6 第二章蜜罐系統(tǒng)概述 當(dāng)然 虛擬蜜罐上述優(yōu)點(diǎn)的前提是要求主操作系統(tǒng)本身安全性是較高的 而且主操作系統(tǒng)是不應(yīng)當(dāng)讓入侵者發(fā)現(xiàn)的 這一點(diǎn)可以通過(guò)將主操作系統(tǒng)同一 個(gè)單獨(dú)的網(wǎng)絡(luò)接口連接來(lái)解決 只有蜜罐的管理員才有使用這個(gè)網(wǎng)絡(luò)接口權(quán)限 2 4 2W in d o w s 操作系統(tǒng) 微軟的操作系統(tǒng)家族中主要包含有兩類(lèi)操作系統(tǒng) 基于M S D O S 的操作系 統(tǒng) 如W i n d o w s3 1 9 5 9 8 等 基于N T 內(nèi)核的操作系統(tǒng) 如W i n d o w sN T 2 0 0 0 X P 一般來(lái)講 基于N T 內(nèi)核的操作系統(tǒng)被商業(yè)領(lǐng)域來(lái)做專(zhuān)門(mén)的服務(wù)器 而非 N T 內(nèi)核的則被家庭用戶廣泛使用 然而 隨著W i n d o w s2 0 0 0 和W i n d o w s X P 的 出現(xiàn) 家庭用戶也逐漸開(kāi)始使用基于N T 內(nèi)核的操作系統(tǒng) 在過(guò)去十幾年中 隨著互聯(lián)網(wǎng)的迅速發(fā)展 越來(lái)越多的主機(jī)開(kāi)始使用 W i n d o w s 操作系統(tǒng) 同時(shí) 也有越來(lái)越多的報(bào)告不斷揭露W i n d o w s 主機(jī)受到了 諸如病毒 蠕蟲(chóng) 木馬之類(lèi)的惡意攻擊 正是由于W i n d o w s 操作系統(tǒng)存在著大 量的安全漏洞 所以許多攻擊者都把它選做自己的攻擊對(duì)象 雖然微軟發(fā)布了 許多很多的補(bǔ)丁來(lái)彌補(bǔ)這些安全漏洞 但是在人們的心目中 它還被認(rèn)為是一 種易受攻擊的操作系統(tǒng) 既然W i n d o w s 系統(tǒng)有如此多的安全漏洞 那么用它來(lái)實(shí)現(xiàn)蜜