【碩士論文】主動防御系統(tǒng)蜜罐技術在網絡安全中的研究與設計.pdf

摘要 摘要 隨著互聯網的快速發(fā)展 越來越多的應用通過網絡來實現 同時網絡的安全 也面臨著巨大的挑戰(zhàn) 快速的網絡為攻擊者提供了方便 攻擊模式和方法越來越 復雜 攻擊者的技術水平也在不斷提高 攻擊規(guī)模曰益擴大 越來越多的系統(tǒng)受 到攻擊 如何保護系統(tǒng)與可信網絡不受入侵成為目前迫切需要解決的問題 傳統(tǒng) 的網絡安全措旌 如防火墻或入侵檢測技術 I D S 顯得力不從心 這就需要引入一 種全新的主動入侵防護 I n t r u s i o nP r e v e n t i o nS y s t e m I P S 技術 入侵防護作為 一種主動的安全防護手段 它的優(yōu)勢體現在如下兩方面 首先它可以在攻擊發(fā)生 前主動阻斷它們 它不僅可進行檢測 還能在攻擊造成損壞前阻斷它們 另一方 面在檢測到攻擊時就需要具備相應的響應能力 入侵防護系統(tǒng)在成功的檢測到攻 擊事件后 它可以記錄攻擊者的詳細的攻擊行為因而對攻擊有更有效的響應 蜜罐是近幾年才發(fā)展起來的一種主動安全技術 它設置專門讓黑客攻擊的應 用系統(tǒng)以記錄黑客的活動 讓黑客來告訴我們所面臨的威脅 分析蜜罐采集的信 息 人們可以了解黑客攻擊的方式和手段 發(fā)現威脅所在 蜜罐提供了一個豐富 的認識黑客攻擊手段的信息源 蜜罐是網絡安全的一個全新領域 它通過構造一個有著明顯安全漏洞的系統(tǒng) 來引誘入侵者對其進行攻擊 并在攻擊的過程中對入侵者的入侵動機 入侵手段 使用工具等信息進行詳細地一記錄 根據收集到的入侵者信息 我們就可以分析 得到入侵者所使用的最新技術 發(fā)現系統(tǒng)中的安全漏洞 從而對系統(tǒng)中存在的問 題及時予以解決 在學位論文工作期間 我對蜜罐進行了系統(tǒng)的理論研究 在此基礎上 初步 設計了 個包含蜜罐系統(tǒng)的網絡安全架構 將我的蜜罐系統(tǒng)放到校園網環(huán)境中 采集到許多寶貴信息 在一定程度上提高校園網的安全性 通過對這些信息的分 析 我對蜜罐有了更深入的理解 特別在它對信息分析能力 對黑客的了解方面 也有了較大提高 關鍵詞 蜜罐 蜜網 陷阱系統(tǒng) 蠻苫些鑾耋三主鎏圭耋堡墼鑾 A b s t r a c t W i t ht h er a p i dd e v e l o p m e n to fI n t e r n e t m o r ea n dm o r ea p p l i c a t i o n sa r er e a l i z e d t h r o u g ht h en e t w o r k a tt h es a m et i m et h es e c u r i t yo ft h en e t w o r ka l s of a c e st h e e n o r m o u sc h a l l e n g et o o T h ef a s tn e t w o r kh a sf a c i l i t a t e di n t r u d e r s T h ei n t r u d e r S e n g i n e e r i n g s k i l li si m p r o v i n gc o n s t a n t l yt o o H o wt op r o t e c ts y s t e m sa n dt h e b e l i e v e dn e t w o r k sf r o mi n t r u s i o ni sa nu r g e n tp r o b l e mt ob es o l v e da tp r e s e n t T h e t r a d i t i o n a ls a f e s t r a t e g yn o wm a n i f e s tt h e i rl i m i t a t i o n s S O an e ws y s t e mn a m e d I n t r u s i o nP r e v e n t i o nS y s t e mh a sb e e nc o m eu p A san e wa c t i v et e c h n o l o g yI n t r u s i o n P r e v e n t i o nS y s t e mh a st w od i s t i n c ta d v a n t a g e s f i r s ti tc a la c t i v e l yb l o c kt h ea t t a c k s b e f o r eh a c k e rs t a r t e d O nt h eo t h e rh a n d i n t r u s i o np r e v e n t i o ns y s t e mc a ng i v eam o r e e f f e c t i v er e s p o n s eb yt r a c i n gh a c k e ra n dc o l l e c t i n gd e t a i l e da t t a c k i n gi n f o r m a t i o n H o n e y p o ti san e wt e c h n o l o g yd e v e l o p e di nr e c e n ty e a r s H o n e y p o tc a ns i m u l a t e r e a ls e r v i c e go ra p p l i c a t i o nS Oa st oi n d u c et h eh a c k e rt oa t t a c ki t t h u si tc a nc o l l e c t a l lo ft h ea c t i v i t i e sd o n eb yh a c k W ec a nl e a r nt h en e wm e t h o d sa n dt e c h n o l o g i e sb y a n a l y z i n gt h ei n f o r m a t i o n t h u sw ec a nd i s c o v e rw h a t w h e r ea n dh o wt h et h r e a t e n s a r ee x i s t e d H o n e y p o to f f e r sa b u n d a n tv a l u a b l ei n f o r m a t i o n H o n e y p o th a sal o to fd r a w b a c k si ns e c u r i t y S Oh a c k e rw i l la t t a c ki t d u r i n gt h i s p r o c e s sh o n e y p o tw i l lr e c o r da l lm o t i v e s m e t h o d sa n d t o o l su s e db yb a di n t r u d e r s W e c a nd i s c o v e rb u g sa n di m p r o v et h en e t w o r ks e c u r i t yp e r f o r m a n c e st os o m ee x t e n tb y a n a l y z i n gt h ei n f o r m a t i o n D u r i n gm yw o r k Ih a v eg e n e r a l l ys t u d i e dt h eh o n e y p o t Id e s i g n an e t w o r k s e c u r i t ya r c h i t e c t u r eb yu s i n gh o n e y p o t s T h ec a m p u sn e t w o r kp e r f o r m a n c ew i l lb e i m p r o v e db yd e p l o y i n gh o n e y p o t si nd i f f e r e n tp o s i t i o n s t h eh o n e y p o t sc a nc o l l e c ta l o to fv a l u a b l ei n f o r m a t i o n T h em o r eIc o m p r e h e n d e da b o u th o n e y p o t e s p e c i a l l yi n t h ec a p a b i l i t yo fa n a l y z i n gi n f o r m a t i o n t h em o r eIl e a r na b o u th a c k e r a t t a c k m e a n t i m e K e yW o r d a H o n e y p o t H o n e y n e t D e c e p t i o nS y s t e m n 第一章緒論 1 1 引言 第一章緒論 隨著因特網技術的發(fā)展 基于網絡的應用信息系統(tǒng)也越來越多 所涉及到的 應用范圍已經涵蓋了電子商務 電子政務 電子稅務 電子銀行 電子海關 電 子證券 網絡書店 網上拍賣 網絡購物 網絡防偽 網上交易和網上選舉等諸 多方面 網絡信息系統(tǒng)在政治 軍事 金融 商業(yè) 交通 電信 文教等方面的 作用日益擴大 社會對網絡信息系統(tǒng)的依賴也日益增強 網絡與人們的日常生活 也變的密不可分 伴隨著網絡如此廣泛的應用 借助于網絡來對各個方面所進行 的攻擊也日益嚴重 網絡安全與保密問題也已經成為人們要面對的首要的問題 從大的方面來說 網絡安全問題關系到一個國家的安全和主權 社會的穩(wěn)定 民 族的文化等方面 從小的方面來說 信息安全問題也是人們能否保護自己隱私的 關鍵 近十幾年以來 網絡上的各種安全性問題越來越多 也越來越嚴重 現有的網絡安全措施主要以防火墻和入侵檢測系統(tǒng)為核心 它們在一定程度 L 改善網絡的安全保障 但防火墻和入侵檢測系統(tǒng)并不是萬能的 它們在很多方 面存在弱點 防火墻防范的前提是對各種已識別類型的攻擊進行正確的配置 這 就要求防火墻知識庫不斷更新以識別各種新類型的攻擊 入侵檢測系統(tǒng)一方面像 防火墻一樣需要知識庫不斷更新 另一方面對有違反安全策略的惡意使用行為進 行識別和響應 從根本上說 防火墻和入侵檢測系統(tǒng)滯后于各種各樣的黑客攻擊 這就決定了以防火墻和入侵檢測系統(tǒng)為核心的網絡安全體系不可能完全 有效地 解決網絡安全問題 這些安全技術中 大多數技術都是在攻擊者對網絡進行攻擊 時對系統(tǒng)進行被動的防護 而蜜罐技術的弓f 入 可以將防護從被動方式變?yōu)橹鲃?方式 即在蜜罐中用特有的特征吸引攻擊者 同時對各種攻擊行為進行分析并找 到有效的對付方法 妄鑾苫些盔蘭三蘭堡圭蘭垡鯊塞 1 2 傳統(tǒng)的網絡安全防護手段 隨著網絡規(guī)模的不斷擴大 人們對網絡知識的了解越來越深入 網絡上的攻 擊行為變得越來越多 已經嚴重威脅到網絡與信息的安全 計算機網絡信息安全 已經成為一個倍受關注的問題 網絡與信息安全技術的核心問題是對計算機系統(tǒng)和網絡進行有效地防護 網絡安全防護涉及面很廣 從技術層面上講主要包括防火墻技術 入侵檢測技術 病毒防護技術 數據加密技術和認證技術等 這些安全技術中 為了防止各種入 侵手段 提高系統(tǒng)的安全程度 人們采取了多種入侵防護手段 目前經常使用到 的有以下幾種 1 2 1 防火墻 防火墻是一種用來加強網絡之間訪問控制 防止外部網絡用戶以非法手 段通過外部網絡進入內部網絡 訪問內部網絡資源 保護內部網絡操作環(huán)境的特 殊網絡互聯設備 它對兩個或多個網絡之間傳輸的數據包和鏈接方式按照一定的 安全策略進行檢查 來決定網絡之間的通信是否被允許 并監(jiān)視網絡運行狀態(tài) 防火墻實際上是一個獨立的進程或一組緊密聯系的進程 運行于路由 網關或服 務器上來控制經過防火墻的網絡應用服務的通信流量 安全 管理 速度是防火 墻的三大要素 防火墻的目的在于實現安全訪問控制 按照O S I R M 防火墻可 以這七層中五層設置 雖然防火墻可以提高來自外部網絡非法用戶對內部網絡攻 擊的安全性 但隨著網絡攻擊技術及工具的發(fā)展 防火墻在網絡安全防護中的弱 點逐漸暴露出來 最明顯的防火墻無法防護來自內部網絡用戶的攻擊 無法防備 病毒攻擊 無法保護那些繞過防火墻的攻擊m 1 2 2 入侵檢測 入侵檢測是最近2 0 多年發(fā)展起來的一種動態(tài)監(jiān)控 預防或抵御系統(tǒng)入侵 行為的安全機制 入侵檢測系統(tǒng)與防火墻安全策略相比 是一種不同的安全策略 主要通過監(jiān)控網絡 系統(tǒng)的狀態(tài) 行為以及系統(tǒng)的使用情況 來檢測系統(tǒng)用戶的 2 第一章緒論 越權使用及系統(tǒng)外部的入侵者利用系統(tǒng)的安全缺陷對系統(tǒng)進行入侵的企圖 入侵 檢測系統(tǒng)在識別入侵和攻擊時具有一定的智能 主要體現在入侵特征的提取和匯 總 響應的合并與融合 在檢測到入侵后能在一定程度卜采取相應的響應措施 入侵檢測是一種事后處理方案 具有智能監(jiān)控 實時探測 動態(tài)響應 易于配置 等特點n I 入侵技術的引入使得網絡 系統(tǒng)的安全性得到進一步的提高 現在的入侵檢測系統(tǒng)通常分為基于主機和基于網絡兩類 基于主機的入侵 檢測系統(tǒng)的主要特征是使用主機傳感器監(jiān)控系統(tǒng)的信息 主要用于保護某臺主機 的資源不被破壞 基于網絡的入侵檢測系統(tǒng)主要是網絡監(jiān)控傳感器監(jiān)控包監(jiān)聽器 收集的信息 用于保護整個網絡不被破壞 它不能審查加密數據流的內容 對高 速網絡不是特別有效 但是入侵檢測會出現漏報和錯報 1 2 3 加密傳輸 加密就是為了安全的目的對信息進行編碼和解碼 數據加密的基本過程 就是將可讀信息 明文 譯成密文 或密碼 的代碼形式 加密的逆過程即為解密 加 密傳輸技術是一種十分有效的網絡安全技術 它能夠防止重要的信息在網絡上被 攔截和竊取 I P S e c I P 安全體系結構 技術在I P 層實現加密和認證 實現了數據傳輸過 程中的完整性和機密性 可為I P 及其上層協議 T C P 和U D P 等 提供安全保護 虛擬專用網 V P N 技術能夠在公共網絡中為兩臺通信的計算機建立一個邏輯 上的安全通道 t u n n e l 通過數據的加密和認證使得數據包即使被截獲也不容易破 譯 提供了很好的安全性 現有的這些入侵防御手段中 都有一個共同的特點就是采用拒絕型防御 策略 即根據特定的需要指定一系列的訪問策略 不符合指定的安全策略就拒絕 訪問 比如進入防火墻的數據不符合防火墻的規(guī)則 則不讓通過 沒有密鑰就無 法通過正常渠道得到解密的數據等等 這些防護手段相當于在需要保護的系統(tǒng)外 部建立了一道保護屏障 一旦所使用的防御手段有效 就把黑客成功地阻止在被 保護系統(tǒng)之外 從而使系統(tǒng)的安全性得到了充分的保證 奎三些奎蘭苫蘭翟圭耋堡鎏圣 1 3 本論文所做的主要工作 傳統(tǒng)的網絡安全技術如防火墻 入侵監(jiān)測 加密傳輸等在信息安全領域發(fā)揮 了很大的作用 這些被動的防御措施一般都是基于規(guī)則或者特征匹配的方式工作 并且都是針對現有攻擊技術的 隨著攻擊技術的不斷發(fā)展 新的攻擊方法層出不 窮 攻擊的發(fā)起時間 攻擊者 攻擊發(fā)起地點和攻擊目標都具有很大的不確定性 被動防御技術對新的攻擊方法往往不能正確識別 從而陷入被動的地位 主動防御技術逐漸開始受到人們的關注 主動防御技術試圖牽制和轉移網絡 攻擊行為 并且對攻擊方法進行技術分析 有可能獲得未知的攻擊技術資料 對 網絡攻擊進行取證并且對攻擊者進行監(jiān)視和跟蹤 蜜罐 H o n e y p o t 技術是一種主 動防御的安全技術 在網絡防火墻 入侵檢測系統(tǒng)等安全措施的配合下 能夠彌補 原有安全防御的不足 提升網絡的安全性能 鑒于傳統(tǒng)防御手段中所存在著不能夠對入侵者的入侵行為進行詳細跟蹤 記 錄并分析這一不足之處 我們需要有一種既能夠保證重要信息不被竊取 系統(tǒng)不 被破壞 又能夠對黑客的入侵行為做進一步監(jiān)視 記錄的手段 我此次論文的目 的 也就是設計一個具有這種特性的網絡安全系統(tǒng) 蜜罐系統(tǒng)是本次論文工作的重點 它是應用蜜罐技術實現的一種設置好的網 絡或主機 通過模擬一些常見的系統(tǒng)漏洞 制造一個容易被入侵的網絡環(huán)境 誘 導入侵者對系統(tǒng)發(fā)生攻擊 在攻擊的過程中對此環(huán)境中的進出數據進行捕獲與控 制 并對被捕獲數據進行分析 從而理解和研究入侵者們所使用的工具 入侵的 方法以及入侵的動機 由此獲取此次入侵的第一手入侵數據 這樣做 一方面可 以轉移攻擊目標 讓攻擊者在該系統(tǒng)中浪費時間 這在一定程度上保護譬標機 另一方面可以通過對收集的入侵數據分析來對系統(tǒng)進行評估 優(yōu)化入侵檢測系統(tǒng) 防火墻系統(tǒng) 為指定強有力的安全決策提供依據 通過學習他們使用的工具和思 路 我們可以更好的來建立我們的安全系統(tǒng)模型 蜜罐的思想是建立一個陷阱系統(tǒng) 這個系統(tǒng)有著一個真實的或者建立在別的 系統(tǒng)上的操作系統(tǒng) 它看上去有許多漏洞 可以很輕易的獲取其資源 蜜罐應該 以一種與真實系統(tǒng)相似的方式建立 應當有許多假的文件 文件夾和其它信息 以便使得這個系統(tǒng)與真實系統(tǒng)看起來非常相似 通過使用合法的文件使蜜罐看起 4 第一章緒論 來象一個合法的主機 這樣就會讓黑客相信他們在獲取一些重要的信息 黑客在 h o n e y p o t 中待的時間越長 他們所使用的技術就會暴露的越多 而這些信息 可以被用來評估他們的技術水平 了解他們使用的攻擊工具 理想的蜜罐提供一 個入侵者可以被捕獲的環(huán)境 或者提供一些可以被入侵的弱點 這些弱點都是以 真實的系統(tǒng)為背景建立的 建立誘捕系統(tǒng)的目的不是為了抓住入侵者 而是要監(jiān) 視和學習它們的行為 找出它們是如何探測和入侵系統(tǒng)的 以及如何才能在真實 的系統(tǒng)中阻止類似入侵行為的發(fā)生 1 4 本論文的內容安排 第一章分析了網絡安全的現狀 簡單介紹傳統(tǒng)安全防御措施的各自的優(yōu)缺 點 提出采用蜜罐技術同時結合防火墻和入侵檢測技術來構筑新的網 絡安全防護系統(tǒng) 第二章介紹蜜罐概念及發(fā)展歷史 并對現有幾種蜜罐系統(tǒng)性能進行分析與對 照 第三章提出此次設計的總體框架 對其中各部件進行介紹 第四章分析蜜罐特性并由此給出此系統(tǒng)的概要設計 第五章給出系統(tǒng)各部分組件的簡單實現 第六章對該系統(tǒng)的測試及分析 5 廣東工業(yè)大學工學硬士學位論文 2 1 蜜罐的概念 第二章蜜罐系統(tǒng)概述 2 1 1 蜜罐技術的發(fā)展背景 當今世界計算機網絡的廣泛應用也深入到人們生活的各個領域 對人們的生 活方式和工作方式產生著前所未有的影響 它已經成為人們生活中不可缺少的部 分 與此同時網絡規(guī)模的不斷擴大 網絡上的攻擊行為交得越來越多 如何應對 這些攻擊己經成為目前人們最關注的問題 網絡安全防護涉及面很廣 從技術層面上講主要包括防火墻技術 入侵檢測 技術 病毒防護技術 數據加密技術和認證技術等 這些安全技術中大部分都是 在攻擊者對網絡進行攻擊時對系統(tǒng)進行被動響應 這些傳統(tǒng)的防御手段在一定時 期內曾占有非常重要的地位 在網絡安全防護中曾起著不可替代的作用 但它們 都有一個同樣的缺陷 發(fā)現和預防能力不夠 因為這些防御手段都是通過把入侵 者阻擋在被保護系統(tǒng)之外來完成系統(tǒng)防護的 也就是說 入侵者在剛剛侵入到系 統(tǒng)或者還沒有侵入系統(tǒng)的時候就已經被發(fā)現并被禁止做進一步的入侵行為 所以 也就不可能知道入侵者的確切的入侵目的 以及入侵者想要進行的進一步入侵行 為 而在很多情況下 我們想要收集入侵者的詳細入侵蹤跡和入侵手段 以作為 對系統(tǒng)安全性分析的重要數據 或者在以后法律程序上作為入侵行為的重要證據 而使用傳統(tǒng)的防御措施就不能夠達這個目的 因此我們需要有一種新的技術來彌 補現有防御手段的不足 而蜜罐技術正是在對這種新技術的要求下提出的 2 1 2 蜜罐的概念 關于蜜罐的定義一直以來都沒有一個準確的定義 不同人對蜜罐有不同的定 義 在本文中我采用美國P r o j e c tH o n e y n e t 研究組的成員之一L a n c eS p i t z n e r 給出 的關于蜜罐的定義 6 第二章蜜罐系統(tǒng)概述 蜜罐是一個信息系統(tǒng)資源 它的價值在于未授權或非法的使用該資源 4 l 這是一個總的定義 它包含了所有不同的蜜罐表現形式 以下對蜜罐技術的討 論將根據上述L a n c eS p i t z n e r 對蜜罐的定義 蜜罐的價值在于攻擊者與它們的交 互 概念上講 幾乎所有的蜜罐工作都類似 它們是一種沒有被授權的活動的 資源 它們沒有任何產品價值 理論上講 一個蜜罐應該看不到流量 因為它 沒有合法的活動 這就意味著任何與蜜罐的交互都有可能是未授權或惡意的行 為 任何試圖對蜜罐的連接極有可能是一次探測或攻擊 這種概念聽起來很簡 單 也正是這種簡潔性使蜜罐有許多優(yōu)點和缺點 蜜罐是一種資源 它的價值就在于其可以被攻擊 被入侵 這也就是說蜜 罐具有被探測 被攻擊甚至被利用的可能 因為蜜罐不會修補任何東西 這樣 就給使用者提供了額外的 有價值的信息 蜜罐不會直接提高計算機網絡安全 但它卻是其他安全策略不可替代的一種主動防御技術 2 1 3 蜜罐的優(yōu)點和缺點 蜜罐并不是針對特定問題的解決 而是一種面向整體安全架構的工具 蜜 罐是一種偽裝成為真實目標的資源 它有著被攻擊 被入侵的可能性 它的主 要目的是為了分散攻擊者的注意力 并且獲得攻擊者本身以及其攻擊行為的相 關信息 蜜罐本身也具有一定優(yōu)勢和劣勢 這會影響它的價值 優(yōu)點 蜜罐是一個非常簡單的定義 這樣使得它有強大的實力 高價值的 小數據集 蜜罐收集信息量少 它們一天只記錄1 M B 的信息并且只發(fā)出l O 次 警告 蜜罐只捕獲惡意攻擊 任何與蜜罐的交互極有可能是未授權的或惡意的 行為 蜜罐通過收集少量數據信息來減少噪音 然而這些信息有較高的價值 因為它是攻擊者的信息 這就意味著更容易分析蜜罐收集的數據 并從中得到 有價值的信息 新的工具和策略 蜜罐是設計用來捕獲任何對它們的攻擊的任 何行為 包括從未見過的新的工具策略 最小的資源 蜜罐要求最小的資源 它們只捕獲惡意攻擊 這意味著一臺舊的計算機能容易的處理完全的B 類網絡 加密或I P V 6 不像大多數安全技術 蜜罐對加密和I P V 6 環(huán)境也有很有效 不 管黑客對蜜罐進行任何攻擊蜜罐都將能檢測并捕獲到這些攻擊 信息 蜜罐能 夠收集進一步的與攻擊者的相關信息 簡單性 最后 蜜罐的概念很簡單 沒 廣東工業(yè)大學工學碩士學位論文 有特殊的運算規(guī)則來發(fā)現 維護穩(wěn)定的表格 或者更新的簽名 技術越簡單 錯誤率和錯誤配置的可能性就越小 缺點 像任何其他技術 蜜罐也有缺點 它不能代替當前的技術 而是與 現存的技術配合工作 局限的視野 蜜罐只可以跟蹤和捕獲與它們直接交互的活 動 蜜罐將不能捕獲對其它系統(tǒng)的攻擊 除非攻擊者或威脅與蜜罐有交互 指紋 識別 蜜罐具備一些特定的預期特征或者行為 因而能夠被攻擊者識別出其真實 身份并對它進行攻擊 威脅 所有的安全技術都有危險 防火墻有被滲透的危險 加密有被破解的危險 I D S 傳感器有檢測不出攻擊的危險 蜜罐也如此 它也有 危險 具體地講 蜜罐有被黑客利用并危及其他系統(tǒng)的危險 不同的蜜罐有不同 的風險 而且風險也是變化的 這取決于它的構建和部署方式 現有的各種安全防御機制都有自己的局限性 因此針對網絡的安全不能只依 靠單一的安全防御技術和防御機制 只有通過在對網絡安全防御體系和各種網絡 安全技術和工具的研究基礎上 制定具體的系統(tǒng)安全策略 通過設立多道的安全 防線 集成各種可靠的安全機制 建立完善的多層安全防御體系 才能抵御來自 系統(tǒng)內 外的入侵攻擊 達到維護網絡系統(tǒng)的安全 2 2 蜜罐系統(tǒng)的分類 根據不同標準可以對蜜罐技術進行不同分類 下面討論三種分類方式 2 2 1 根據設計目標分類 根據產品設計的目的可以分為產品型蜜罐和研究型蜜罐 1 產品型蜜罐的目 的是減輕受保護組織將受到的攻擊威脅 它所做的工作就是檢測并對付惡意攻擊 者 它所代表的是這樣一種系統(tǒng) 它有助于減輕組織或環(huán)境中所存在的風險 可 以為系統(tǒng)及網絡的安全保障提供特定的價值 在阻止安全方面 它采取欺騙和威 懾技術 欺騙就是讓攻擊者在進攻蜜罐上浪費時間和資源 而威懾是告訴攻擊者 組織中已經部署了一些蜜罐 以此來嚇跑它攻擊者 在檢測方面 由于蜜罐沒有 任何產品流量 任何發(fā)往蜜罐的連接請求都被認為是可疑的活動 都會被蜜罐檢 測到 所以對蜜罐而言不存在誤報和錯報 在對攻擊事故作出響應時 組織所面 第二章蜜罐系統(tǒng)概述 I 臨的主要難題是證據的收集 當攻擊者進入系統(tǒng)時 他們的活動會留下證據 可 能用來判定攻擊者是如何進入系統(tǒng)的 進一步看到在它獲得了對系統(tǒng)的控制權之 后又從事了什么活動 即使攻擊者采取了一些隱藏活動的措施 如修改日志文件 這些活動還是可以被迫蹤到的 而且蜜罐能夠幫助解決提供反抗能力面臨的問題 蜜罐中沒有任何產品活動 這是前提 借助于這些前提來協助解決數據污染的問 題 當某個蜜罐被攻破時 系統(tǒng)中惟一的實際的活動就是攻擊者的活動 這有助 于維護其完整性 一般情況下 商業(yè)組織運用產品型蜜罐對自己的網絡進行防護 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計 只有那些需要進行研 究的組織 例如大學 政府 軍隊或安全研究組織才需要使用研究型蜜罐 它通 過為大家提供一個可用于了解計算機威脅的平臺 在信息收集方面提供了廣泛的 價值 這種類型的蜜罐并不能減少組織的風險 但可以應用所了解的信息 來改 進預防 檢測和反應 2 2 2 根據工作方式分類 根據蜜罐的工作方式不同可以分為犧牲型蜜罐 外觀型蜜罐和測量型蜜罐 1 犧牲型蜜罐就是一臺簡單的為某種特定攻擊設計的計算機 犧牲型蜜罐實際上是 放置在易受攻擊的地點 假扮為攻擊的受害者 它為攻擊者提供了極好的攻擊目 標 它所使用的數據收集信息者是蜜罐附近配置的網絡嗅探器 但它不會提供任 何關于主機配置的數據 需要手動或運用各種第三方跟蹤分析工具進行額外的檢 驗 還須考慮用防火墻或其他網絡控制設備來隔離并控制犧牲型蜜罐 犧牲型蜜 罐提供真實的攻擊目標 所以得到的結果都是真實系統(tǒng)上會發(fā)生的狀況 犧牲型 蜜罐可以對被入侵前的系統(tǒng)進行分析但是系統(tǒng)一旦被攻陷就不可能再正常工作 所以需要管理員要定期檢驗蜜罐系統(tǒng) 判斷整個系統(tǒng)是否已被入侵 在被入侵的 情況下還需要判斷蜜罐所遭受的攻擊類型 外觀型蜜罐是一個呈現目標主機的虛 假映像系統(tǒng) 僅僅是對網絡服務進行仿真而不會導致機器真正被攻擊 從而蜜罐 安全不會受到威脅 它是最簡單的蜜罐 通常由某些應用服務的仿真程序構成 以欺騙攻擊者 它們只能夠提供潛在威脅的基本信息 測量型蜜罐結合了對外觀 型蜜罐的低成本和犧牲型蜜罐的細節(jié)深度兩方面的優(yōu)點 通過對現有系統(tǒng)進行大 規(guī)模的操作系統(tǒng)層次或內核層次更改以及應用程序開發(fā) 它已作為一種有效的網 9 耋奎三些盔蘭三蘭堡圭耋篁鎏塞 絡防御方法 包括進行高級數據收集 攻擊活動擊落 基于策略的告警和企業(yè)的 管理功能 2 2 3 根據交互性分類 交互性是蜜罐的一個重要屬性 交互性體現了入侵者和實現這個蜜罐的操 作系統(tǒng)之間的交互程度 交互級別為我們提供了一種可以對蜜罐進行測度和比 較的標尺 蜜罐所能做的事情越多 以及攻擊者對蜜罐所能做的事情越多 從 蜜罐上所獲得的信息就會越多 但同時攻擊者對蜜罐所做的事情越多 他所能 造成的危害就會越大 交互性定義了蜜罐允許攻擊者的行為水平 按照交互性 把蜜罐分為三類 低交互度的蜜罐 中交互度的蜜罐和高交互度蜜罐 3 這個分 類有助于我們理解所使用的蜜罐的類型 強度和弱點 1對低交互度蜜罐 它設計簡單且功能有限 安裝配置部署和維護都很容易 它僅僅是模擬了大量的服務 攻擊者和它的交互也就限于這些預指定的服 務 這種蜜罐沒有真實的操作系統(tǒng) 它的價值主要在于檢測 具體來說就是 對未授權掃描或者未授權連接嘗試的檢測 它只提供了有限的功能 因此大 部分可以用一個程序來模擬 只需要將該程序安裝在一臺主機系統(tǒng)中 配置 管理希望提供的服務就可以了 管理員所要做的工作就是維護程序的補丁并 監(jiān)視所有的預警機制 這種蜜罐所提供的功能非常少 因而出錯的地方也很 少 所具有的風險也很低 同時它能夠為我們提供的關于攻擊者的信息量也 有限 通過模擬服務和操作系統(tǒng)實現 攻擊行為受到蜜罐模擬水平的限制 例如 一個模擬的F T P 服務在2 1 端口監(jiān)聽 也許只能模擬F T P 登錄或者可 能支持一些額外的F 1 甲命令 低交互度蜜罐的缺點主要是它們只記錄有限的 信息 只能捕獲已知的攻擊行為 并且以一種預定的方式進行響應 模擬服 務僅能做到這樣 而且它容易被攻擊者識破 不管模擬服務做得多好 有技 術的黑客最終都能檢測到它的存在 第二章蜜罐系統(tǒng)概述 喇 紊 O p e r a ti n g F S y s t e m l I 蘭i 降 司 R e s o r c e a s b m t 一 圖2 I 低交互度蜜罐 F i g u r e 2 1L o wI n t e r a c t i n gH o n e y p o t 2 中交互度蜜罐為攻擊者提供的交互能力比低交互度的蜜罐多些 它們能夠預 期一些活動 并且旨在可以給出一些低交互度蜜罐所無法給予的響應 它通 常要花費更多的時間去安裝和配置 與低交互度蜜罐相比它的部署和維護是 一具更為復雜的過程 攻擊者得到更多的交互 因此必須要以一個安全的方 式來部署這種交互 必須開發(fā)相應的機制以確保攻擊者不會危害其他系統(tǒng) 并且這種增加的功能不會成為攻擊者進行攻擊的易受攻擊環(huán)節(jié) 攻擊者可能 會訪問到實際操作系統(tǒng) 但他們的能力是受限的 這種類型蜜罐必須要進行 日常維護 以應對新的攻擊 由于它具有較大的復雜度 所以出錯的風險也 相應增大 另一方面它可以收集到更多攻擊者的信息 窶 B O p e l a t i n g 挈 S y s t e m i 3 同 O t h e r l L o c a l IR e s o u r c e a s 圖2 2 中交互度蜜罐 F i g u r e 2 2S e c o n d a r yI n t e r a c t i n gH o n e y p o t 3高交互度蜜罐是目前蜜罐技術的極限 它能提供大量的關于攻擊者的信息但 是構建和維護它們是極為耗時的 并且與之相伴的是最高級別的風險 它常 常有復雜的解決方法 因為它為攻擊者提供真正的操作系統(tǒng)和應用程序與之 廣東工業(yè)大學工學碩士學位論文 交互 一切都不是模擬的 它給攻擊者提供真實的環(huán)境 但是這些系統(tǒng)定義 為沒有任何產品價值 一旦攻擊者掌握了對某個蜜罐的控制權 就擁有了一 個完整的可操作系統(tǒng)進行交互 最為常見的高交互度的蜜罐往往被放置在一 種受控環(huán)境中 如防火墻之后 借助于這些訪問控制設備來控制攻擊者的攻 擊能力 防火墻允許攻擊者攻破位于其后的某個蜜罐 但不允許攻擊者使用 該蜜罐啟動對外的攻擊 這種構架的部署和維護十分復雜 而且這種類型蜜 罐還要求對防火墻有一個恰當的過濾規(guī)則庫 同時還要求配合I D S 的功能 要求I D S 的簽名數據庫進行更新 而且要不停監(jiān)視蜜罐的活動 它為攻擊提 供的交互越多出錯的地方就越多 一旦進行了正確的實現 高交互度的蜜罐 就能夠最大程度的洞察攻擊者 例如想在一個L i n u x 蜜罐上運行一個F T P 服 務器 那么你建立一個真正的L i n u x 系統(tǒng)來運行F T P 服務 這種解決方案優(yōu) 勢是雙重的 首先 你能夠捕獲大量信息 這可以通過給攻擊者提供真實的 系統(tǒng)與之交互來實現 你能夠了解到攻擊者的整個攻擊行為 從新的工具包 到I R C 的會話的整個過程 高交互蜜罐的第二個優(yōu)勢是對攻擊者如何攻擊不 是假設 它們提供一個能夠捕獲行為的開放的環(huán)境 高交互度解決方法將使 得我們能學到意外的攻擊行為 一個極好的例子是一個蜜罐在一個非標準的 I P 協議上捕獲密碼后門命令 然而 這也增加了蜜罐的風險 因為攻擊者能 夠用這些真實的操作系統(tǒng)來攻擊非蜜罐系統(tǒng) 結果 要采用附加技術來阻止 對非蜜罐系統(tǒng)的攻擊 一般來講 高交互度的蜜罐在安全防護性上優(yōu)于前兩 種交互度蜜罐 然而 高交互度蜜罐的開發(fā)和維護都較復雜 圖2 3 高交互度蜜罐 F i g u r e 2 3H i g hI n t e r a c t i n gH o n e y p o t 第二章蜜罐系統(tǒng)概述 表2 1 三種不同交互度的蜜罐對比 t a b l e 2 1D i f e r e n c eb e t w e e nI n t e r a c t i n go ft h eT h r e eH o n e y p o t 低交互性蜜罐中交互性蜜罐高交互性蜜罐 交互性低中高 真實的操作系統(tǒng)無無有 一 所受威脅的程度低中 局 信息收集少中多 是否希望被入侵否否 是 運行難度低低高 一 開發(fā)難度低 局較高 維護所需時間少少 多 2 3 現有蜜罐系統(tǒng) 2 3 1 常見的幾種蜜罐系統(tǒng) 蜜罐是一個可以模擬具有一個或多個攻擊弱點的主機系統(tǒng) 為攻擊者提供一 個易于被攻擊的目標 蜜罐中所有的假終端和子網都經過精心設計 以吸引攻擊 者的攻擊 蜜罐監(jiān)視攻擊者的行徑 收集相關的數據 市場上的現有的蜜罐產品雖然總的來說功能繁多 類別覆蓋從商業(yè)到研究 從低交互度蜜罐到高交互度蜜罐 從單個蜜罐系統(tǒng)到復雜的蜜網 這些現有的蜜 罐產品使用起來確非常容易 各個開發(fā)商在產品的易用性方面做了不少的工作 常見的有以下一些常用產品n 1 B a c k O f f i c e rF r i e n d l y S p e c t e r H o n e y d 自制H o n e y p o t M a n T r a p H o n e y n e t 廣東工業(yè)大學工學碩士學位論文 B a c k O f f i c e rF r i e n d l y 是一種免費的低交互度的h o n e y p o t 它是一種主要用于 檢測攻擊的產品型h o n e y p o t 其優(yōu)點在于它易于安裝 配置和維護 可運行在任 何基于W i n d o w s 或者U n i x 的平臺上 包括大部分桌面系統(tǒng)或筆記本系統(tǒng) 由于 其簡捷性故帶來的風險小 其缺點是僅能對7 個端口的服務進行模擬 而無法對 指定端口進行定制 因而增加了指紋識別的可能性 沒有對任何遠程的日志 預 警或配置遠程功能 因此不適合于企業(yè)級應用 S p e c t e r 是一種商用的 低交互度的產品型h o n e y p o t 其主要價值在于檢測 它在阻止方面也具有價值即欺騙或威懾攻擊者 其優(yōu)點在于它不僅易于安裝 配 置和部署 而且它可以模擬眾多的服務 可以監(jiān)視兩倍于B O F 的端口 有出色的 通知能力和遠程管理 H o n e y d 是一種開放源碼的低交互度h o n e y p o t 它引入了幾個新特征 首先 它具備對數百萬個系統(tǒng)進彳亍監(jiān)視并同時充當數千個受害者身份的功能 H o n e y d 可以確定出哪些系統(tǒng)是有效的 哪些系統(tǒng)是不存在的 然后在執(zhí)行中充當這些不 存在的系統(tǒng)的身份 它還具備在應用層和I P 棧層進行操作系統(tǒng)模擬功能 它的優(yōu) 點是可以對所有的T C P 或者U D P 端口以及整個網絡進行監(jiān)視 作為一種開放的 源碼的解決方案 它是免費的并且會隨著安全界中其他人的輸入和開發(fā)而迅速發(fā) 展起來 通過在I P 棧級和應用級模擬操作系統(tǒng) 可以阻止指紋識別 作為一種低 交互度的解決方案 它無法為攻擊者提供實時的操作系統(tǒng)進行交互 作為一種開 發(fā)的源碼解決方案 沒有為維護和故障診斷提供任何的正式支持 沒有任何內置 用于預警的機制 也沒有任何用于捕獲大量信息的機制 現有的自制的h o n e y p o t 主要集中于兩種類型 第一種是端口監(jiān)視 這是一種 低交互度的h o n e y p o t 主要用于捕獲惡意攻擊和載荷 第二種類型自制h o n e y p o t 是j a i l 這是一種較高等交互度的解決方案 這項功能主要限制在使用c h r o o t 1 的U n i x 系統(tǒng) J a i l 并不是作為一種h o n e y p o t 解決方案而設計的 而是一種用于削 減風險的安全機制 J a i l 具有被檢測和突破的可能性 因此風險較大 只有高級 的U n i x 安全專家才能使用它 M a n t r a p 是一種商用的高交互度的h o n e y p o t 它的優(yōu)點是可以使用內置的的 嗅探器檢測任意端口上的活動 為攻擊者提供了一個完全的操作系統(tǒng)進行交互 經由內核空間捕獲所有的攻擊者活動 包括諸如S S H 之類的加密流量 有出色的 日志記錄功能 遠程功能 包括e m a i l 預警以及遠程管理 使得其成為一種企業(yè) 1 4 第二章蜜罐系統(tǒng)擐述 級解決方案 由于它是一種高交互度的h o n e y p o t 意味著攻擊者具有利用系統(tǒng)危害 其他系統(tǒng)或組織的可能 攻擊者可能會對其訪問的M a n t r a p 牢籠進行指紋識別或 者突破 且它受限于S o l a r i s 操作系統(tǒng) 使用完整的開發(fā)員安裝 H o n e y n e t 是一種高交互度的h o n e y p o t 是現有交互級別最高的一種解決方 案 它創(chuàng)建了一種高可控環(huán)境的架構 它最大的優(yōu)點是它的靈活性一一任何系統(tǒng) 或應用都可置于H o n e y n e t 中 而且它對已知或未知和工具與戰(zhàn)術都有廣泛的數據 捕獲能力 適合于眾多的組織和環(huán)境 但同時H o n e y n e t 的部署及維護所需的資源 比前幾類蜜罐都復雜 高交互性的功能引入了攻擊者使用系統(tǒng)攻擊 損害或摧毀 其他系統(tǒng)或組織的風險 由于h o n e y n e t 是一項新發(fā)展起來的技術 其中有些不成 熟的技術會帶來引入錯誤的風險 2 3 2 蜜罐與蜜網區(qū)別 H o n e y p o t 是一個故意設計為有缺陷的系統(tǒng)或 偽 服務 通常是用來對入 侵者的行為進行報警或者誘騙 一般情況下 傳統(tǒng)的H o n e y p o t 模擬其它操作系 統(tǒng)或者一些常見漏洞 而H o n e y n e t 則有所不同 它是一個用來對黑客的入侵行 為進行研究 學習的工具 H o n e y n e t 是一個網絡系統(tǒng) 而并非某臺單一主機 這個網絡系統(tǒng)是隱藏在 防火墻后面的 所有進出的數據都受到監(jiān)視 捕獲和控制 這些被捕獲的數據 可以用來研究和分析入侵者們使用的工具 方法以及入侵動機 在H o n e y n e t 中 研究者可以使用各種不同的操作系統(tǒng)以及設備 如S o l a r i s L i n u x W i n d o w s N T C i s c oS w i t c h 等等 這樣建立的網絡環(huán)境看上去會更加真實可信 同時還在不同 的系統(tǒng)平臺上面運行著不同的服務 比如L i n u x 的D N Ss e r v e r W i n d o w s N T 的 w e b s e r v e r 或者一個S o l a r i s 的F T Ps e r v e r 研究者可以學習使用不同的工具以及 不同的策略 由于某些入侵者的原始目標可能僅僅定位于幾個特定的系統(tǒng)漏洞 配置這種多樣化的網絡系統(tǒng) 就有可能揭示他們更多的一些特性0 1 在H o n e y n e t 中的所有系統(tǒng)都是標準的主機 運行的都是真實完整的操作系 統(tǒng)以及應用程序 就像能在網絡上找到的系統(tǒng)一樣 沒有刻意地模擬某種不安全 環(huán)境或者故意地使系統(tǒng)存在明顯的漏洞 在H o n e y n e t 的系統(tǒng)上存在的安全風 險 與網絡上一些企業(yè)內部的網絡存在的安全風險完全相同 廣東工業(yè)大學工學碩士學位論文 因為一個典型蜜罐系統(tǒng)是通過模仿一個操作系統(tǒng)來實現的 因此有經驗的 攻擊者知道如何識別哪些是正確的跡象 而哪些不是 對于H o n e y n e t 來說 因 為它使用的是標準的操作系統(tǒng) 所以如果設計得當 入侵者將很難發(fā)現H o n e y n e t 是一種陷阱 這樣就可以使得對入侵者的入侵信息的收集工作更加順利地進行 一方面 從蜜罐到蜜網 系統(tǒng)的復雜程度越來越高 因此所需要的技術含 量也就越來越大 另一方面 如果我們己經擁有一個比較成熟的蜜罐 那么想 要以蜜罐為基礎構造一個蜜網系統(tǒng)也相對來說比較容易 因此 在此次的設計 過程中 我把蜜罐做為了設計的重點 2 4 蜜罐操作系統(tǒng) 0 S 的選擇 2 4 1 純蜜罐和虛擬蜜罐 在討論利用哪種操作系統(tǒng)來實現蜜罐之前 我先大概介紹下關于純蜜罐和 虛擬的蜜罐的含義 簡單的來講 純蜜罐就是指安裝了一種操作系統(tǒng) 同時對其行為進行監(jiān)控 的 臺主機 而虛擬蜜罐則指的是在一個已經存在的操作系統(tǒng) 主操作系統(tǒng) 上所 安裝的另外一個寄生的操作系統(tǒng)或者叫子操作系統(tǒng)I 純蜜罐實現起來比較容易 理論上來說 它可以用任何的一種操作系統(tǒng)來 實現 但是以這種方式實現的蜜罐存在著一些缺點 比如在同一時刻 同一臺 物理主機上只能運行一個操作系統(tǒng) 資源沒有被充分利用 另外 一旦系統(tǒng)被 入侵 那么重新恢復這個被入侵的系統(tǒng)將會是一件比較麻煩的事情 同時 對 這種系統(tǒng)的監(jiān)控一般需要有外部設備的參與 因為對實現蜜罐所用的操作系統(tǒng) 的任何修改都有可能有指紋識別 有可能被經驗豐富的入侵者覺察到 而使用虛擬技術實現的虛擬蜜罐有比較大的靈活性 根據實現蜜罐所使用 的主操作系統(tǒng)和虛擬技術的不同 子操作系統(tǒng)可以擁有和主操作系統(tǒng)完全不同 的特性 子操作系統(tǒng)可以被并行的安裝在一臺物理主機上 甚至幾個完全不同 的予操作系統(tǒng)都可以并存 虛擬機這種實現方式使得管理員可以在主操作系統(tǒng) 環(huán)境下來監(jiān)視子操作系統(tǒng)的運行 而不用擔心會被入侵者發(fā)現 此外 一旦子 系統(tǒng)遭到破壞 管理員也可以輕松的從主操作系統(tǒng)中將其恢復 1 6 第二章蜜罐系統(tǒng)概述 當然 虛擬蜜罐上述優(yōu)點的前提是要求主操作系統(tǒng)本身安全性是較高的 而且主操作系統(tǒng)是不應當讓入侵者發(fā)現的 這一點可以通過將主操作系統(tǒng)同一 個單獨的網絡接口連接來解決 只有蜜罐的管理員才有使用這個網絡接口權限 2 4 2W in d o w s 操作系統(tǒng) 微軟的操作系統(tǒng)家族中主要包含有兩類操作系統(tǒng) 基于M S D O S 的操作系 統(tǒng) 如W i n d o w s3 1 9 5 9 8 等 基于N T 內核的操作系統(tǒng) 如W i n d o w sN T 2 0 0 0 X P 一般來講 基于N T 內核的操作系統(tǒng)被商業(yè)領域來做專門的服務器 而非 N T 內核的則被家庭用戶廣泛使用 然而 隨著W i n d o w s2 0 0 0 和W i n d o w s X P 的 出現 家庭用戶也逐漸開始使用基于N T 內核的操作系統(tǒng) 在過去十幾年中 隨著互聯網的迅速發(fā)展 越來越多的主機開始使用 W i n d o w s 操作系統(tǒng) 同時 也有越來越多的報告不斷揭露W i n d o w s 主機受到了 諸如病毒 蠕蟲 木馬之類的惡意攻擊 正是由于W i n d o w s 操作系統(tǒng)存在著大 量的安全漏洞 所以許多攻擊者都把它選做自己的攻擊對象 雖然微軟發(fā)布了 許多很多的補丁來彌補這些安全漏洞 但是在人們的心目中 它還被認為是一 種易受攻擊的操作系統(tǒng) 既然W i n d o w s 系統(tǒng)有如此多的安全漏洞 那么用它來實現蜜