基于蜜罐的網(wǎng)絡(luò)防御技術(shù)研究

◆楊 軼 劉恒馳

基于蜜罐的網(wǎng)絡(luò)防御技術(shù)研究

◆楊 軼 劉恒馳

（沈陽理工大學(xué)（沈陽）信息科學(xué)與工程學(xué)院 遼寧 110159）

蜜罐技術(shù)就是一種體現(xiàn)主動防御思想的安全資源，蜜罐的思想是一個故意設(shè)計(jì)為有缺陷的系統(tǒng)，專門用于引誘攻擊者進(jìn)入受控環(huán)境中，然后使用各種監(jiān)控技術(shù)來捕獲攻擊者的行為。本文設(shè)計(jì)實(shí)現(xiàn)了通過對虛擬蜜網(wǎng)技術(shù)的研究，利用相關(guān)的虛擬軟件和蜜網(wǎng)工具實(shí)現(xiàn)一個穩(wěn)定的虛擬蜜網(wǎng)系統(tǒng)，通過對蜜網(wǎng)網(wǎng)關(guān)和蜜罐進(jìn)行相關(guān)配置，構(gòu)建出可真實(shí)攻擊的攻擊目標(biāo)系統(tǒng)，為攻擊訓(xùn)練平臺提供網(wǎng)絡(luò)攻擊訓(xùn)練所需的攻擊目標(biāo)環(huán)境，使用Zenmap軟件進(jìn)行掃描測試，通過安裝在蜜罐主機(jī)上的Sebek進(jìn)行數(shù)據(jù)捕獲，使用基于網(wǎng)頁的遠(yuǎn)程管理平臺進(jìn)行數(shù)據(jù)分析，以及安全報(bào)警。最后連接數(shù)據(jù)庫，記錄下攻擊活動的數(shù)據(jù)，為進(jìn)一步的研究提供依據(jù)。

蜜罐；主動防御；預(yù)警

0 引言

當(dāng)前，網(wǎng)絡(luò)已經(jīng)進(jìn)入到人民生活的方方面面，無論是在生活還是工作中，可以說是必不可少。然而由于種種應(yīng)用程序存在的各種各樣的漏洞，網(wǎng)絡(luò)本身的缺陷以及黑客的存在，引發(fā)的網(wǎng)絡(luò)安全事件也越來越多，網(wǎng)絡(luò)安全受到了極大的威脅，信息詐騙、信息泄露事件已經(jīng)變得十分普遍。

“蜜罐”的思想是主動防御，它的概念最早出現(xiàn)在1988年Clifford Stoll博士發(fā)表的一篇為《Stalking the Wily Hacker》的文章,最初的構(gòu)想就是利用虛假情報(bào)引誘攻擊者進(jìn)入到被監(jiān)控環(huán)境。所以它專門設(shè)計(jì)成包含漏洞的可以被攻擊和入侵的系統(tǒng)，它的價值就在于黑客攻擊，從而能夠獲取有關(guān)于黑客的各種信息。

1 蜜罐和蜜罐網(wǎng)絡(luò)

蜜罐主要是一個預(yù)先配置好的、故意包含有漏洞的系統(tǒng)，引誘攻擊者主動進(jìn)入到受控環(huán)境中來，使用各種監(jiān)控方式來記錄攻擊者的一舉一動。同時產(chǎn)生關(guān)于當(dāng)前攻擊行為的分析記錄，甚至可以分析出系統(tǒng)或者程序中存在的漏洞，掌握攻擊者所使用的工具和方法，自動修補(bǔ)系統(tǒng)中存在的漏洞，大大提升了系統(tǒng)和網(wǎng)絡(luò)的安全性，使得攻擊者此次的攻擊行為失敗。收集到的關(guān)于攻擊行為的相關(guān)記錄也為網(wǎng)絡(luò)管理員提供了一些當(dāng)前系統(tǒng)的不足，采取更安全的保護(hù)措施，降低以后被攻擊成功的可能性，重要的系統(tǒng)或網(wǎng)絡(luò)的安全得到保障。

蜜罐與蜜網(wǎng)系統(tǒng)作為主動防御的一種方式，主要有下面兩點(diǎn)作用：

（1）收集攻擊者的信息

思想是什么，怎么實(shí)現(xiàn)的攻擊，使用的工具又是怎樣的，這都是在受到攻擊之后研究人員會考慮到的問題?，F(xiàn)在有了蜜罐和蜜網(wǎng)，我們可以相對比較容易了解到黑客的這些信息，與此同時，找到自己的不足并彌補(bǔ)掉，避免以后遭受類似的攻擊。正是蜜罐這種變被動為主動的思想，讓它在網(wǎng)絡(luò)安全中占據(jù)了一席之地，使它的地位不能被替代。

（2）保障工作系統(tǒng)的安全

維護(hù)網(wǎng)絡(luò)始終處在相對安全的環(huán)境的最重要意義便是保障工作系統(tǒng)的安全。接下來對幾個方面進(jìn)行說明：

①抵御攻擊。蜜罐與蜜網(wǎng)技術(shù)能夠使攻擊者把注意放在它們身上，不斷誘使黑客發(fā)起進(jìn)攻。但是從其他角度出發(fā)，有些攻擊者在進(jìn)行攻擊之前也會慎重的考慮，可能認(rèn)為要進(jìn)攻的網(wǎng)絡(luò)中設(shè)計(jì)了陷阱引誘他去跳，但是又不確定是什么樣的，就會放棄攻擊。所以可以說它也能夠一定程度上地提高了工作系統(tǒng)的安全性。

②檢測攻擊。什么樣的防御系統(tǒng)都可能被黑客攻擊，無論有多么強(qiáng)大，帶來的損失都將不可估量，所以在黑客進(jìn)行攻擊時，檢測系統(tǒng)一定要盡早發(fā)現(xiàn)，把損失降到最低。

③響應(yīng)。傳統(tǒng)入侵檢測技術(shù)對數(shù)據(jù)有很多錯誤的報(bào)告或者所有遺漏，蜜罐和蜜網(wǎng)技術(shù)完全沒有這方面的問題。經(jīng)過蜜罐采集到的信息，誤報(bào)率特別低，可信度特別高。

入侵檢測系統(tǒng)對先進(jìn)的、全新的攻擊手段的攻擊一般來說難以有所反應(yīng)，蜜罐和蜜網(wǎng)技術(shù)對其這個漏洞做了良好的補(bǔ)充，它們的意義就是在于吸引攻擊者的注意，讓他們攻擊。只要黑客在蜜罐上攻擊了裝有蜜罐的網(wǎng)絡(luò)，它的行動便會被發(fā)現(xiàn)，就會采取相應(yīng)的措施去盡量避免掉被攻擊的可能。

實(shí)現(xiàn)虛擬蜜網(wǎng)的關(guān)鍵就是虛擬機(jī)，能夠安裝虛擬機(jī)的技術(shù)有很多，例如VMware,UML，Virtual PC等，本設(shè)計(jì)使用的是VMware,下面對它進(jìn)行介紹。

VMware是目前被應(yīng)用最廣泛的實(shí)現(xiàn)虛擬機(jī)的軟件，它擁有強(qiáng)大的功能，能夠建立在操作系統(tǒng)為Windows和Linux的用戶主機(jī)上。它的優(yōu)點(diǎn)主要有：

（1）操作系統(tǒng)的選擇很多樣化。

（2）VMmware有GHOST文件，便于蜜罐的備份。

（3）有良好的升級服務(wù)、技術(shù)支持。

（4）三種不同的聯(lián)網(wǎng)方式---NAT模式、主機(jī)模式和橋接模式，可以滿足不同的用戶需求。

2 虛擬蜜網(wǎng)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

蜜網(wǎng)結(jié)構(gòu)主要有主機(jī)(控制機(jī))，和兩個虛擬機(jī)：Honeywall（蜜墻），Honepot（蜜罐）。蜜墻的網(wǎng)絡(luò)接口其中的eth1與eth2負(fù)責(zé)分配蜜罐和管理端的兩個網(wǎng)段。蜜墻類似于橋接器，VMware的默認(rèn)接口VMnetl接到eth1上，因此蜜罐主機(jī)的IP與主機(jī)的eth0應(yīng)在一個相同的網(wǎng)段，我將蜜罐主機(jī)的IP設(shè)為10.166.1.10，計(jì)算機(jī)主機(jī)的eth0的IP 設(shè)置為10.166.1.108，將10.166.1.1設(shè)為主機(jī)的eth1的 IP，蜜罐與管理機(jī)也因此不在相同的網(wǎng)段上，就能達(dá)到保護(hù)管理機(jī)的目的。eth0 (10.166.1.108)和eth2 (10.166.1.1)均定義在宿主主機(jī)上避免掉了網(wǎng)卡不夠用的問題。

3 掃描攻擊測試

在宿主主機(jī)上運(yùn)行Zenmap對虛擬機(jī)蜜罐進(jìn)行掃描，Zenmap主要是對端口進(jìn)行掃描。掃描蜜罐機(jī)如圖1所示。

圖1 掃描蜜罐機(jī)

本設(shè)計(jì)采用了Navicat premium連接到MySQL數(shù)據(jù)庫，通過3306端口，獲取蜜墻的數(shù)據(jù)表，其中IDS表記錄了入侵檢測系統(tǒng)的數(shù)據(jù)，它的每一列都代表著一個屬性。數(shù)據(jù)表如圖2所示。

圖2 數(shù)據(jù)表

4 結(jié)束語

隨著攻擊者知識的日趨成熟，攻擊工具和方法的日趨復(fù)雜多樣，單純的防火墻、入侵檢測等策略己經(jīng)無法滿足對安全高度敏感的部門需求。網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的多樣的手段。當(dāng)今的網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各式各樣的復(fù)雜設(shè)備，需要不斷升級、補(bǔ)漏，使得網(wǎng)絡(luò)管理員的工作不斷加重。在這種條件下，蜜罐技術(shù)成了一種新的網(wǎng)絡(luò)安全解決方案，不僅受到愈來愈多的人的關(guān)注，而且己經(jīng)開始在不同的環(huán)境中發(fā)揮其關(guān)鍵作用。

[1]CNCERT.2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報(bào)告.2015,4.

[2]程曦.基于蜜網(wǎng)的攻擊目標(biāo)構(gòu)建方法研究[D].廈門大學(xué), 2013.

[3]董國鋒.基于協(xié)同的虛擬蜜網(wǎng)實(shí)現(xiàn)與分析[D].華東師范大學(xué), 2010.

[4]岳洋.基于Snort的蜜罐系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱理工大學(xué), 2009.

[5]姚東鈮.蜜罐技術(shù)的原理及現(xiàn)狀研究[D].企業(yè)導(dǎo)報(bào), 2010.

[6]董婭妮.基于Honeyd的惡意網(wǎng)頁入侵檢測[D].中國礦業(yè)大學(xué), 2014.

[7]王向輝.虛擬蜜網(wǎng)系統(tǒng)研究與設(shè)計(jì)[D].哈爾濱工程大學(xué), 2006.

[8]馬肖.基于GAP技術(shù)的安全隔離網(wǎng)閘硬件平臺的設(shè)計(jì)[D].西北工業(yè)大學(xué), 2005.

[9]鄭曉芳，陳晶，陳建軍，杜瑞穎，萬志偉.基于資源爭奪特征的蜜罐檢測方法[J].武漢大學(xué)學(xué)報(bào)(理學(xué)版), 2013.

[10]梁興柱.網(wǎng)絡(luò)安全—“蜜罐”技術(shù)研究與實(shí)現(xiàn)[D].大慶石油學(xué)院, 2006.

[11]樊萍.基于Honeypot技術(shù)的網(wǎng)絡(luò)信息安全研究[D].西北工業(yè)大學(xué), 2004.

[12]徐蘭云.增強(qiáng)蜜罐系統(tǒng)安全性的相關(guān)技術(shù)研究[D].湖南大學(xué), 2010.

[13]王文明，李海煒.SQL服務(wù)器注入攻擊的主動防御技術(shù)研究[J].計(jì)算機(jī)科學(xué), 2012.

[14]路苑，劉素芹.蜜網(wǎng)技術(shù)在軍隊(duì)網(wǎng)絡(luò)安全中的應(yīng)用研究[J].儀器儀表用戶, 2010.

[15]Xu Mingkun, Chen Xi, Hu Yan. Design of software to Search ASP Web Shell. Procedia Engineering,2012,29:123-127.

[16]Yung-Tsung Hou, Yimeng Chang, Tsuhan Chen. Malicious web content detection by machine learning. Expert Systems with Applications,2010,37(1):55-60.

[17]S.A. Parah，J.A. Sheikh.A secure and robust information hiding technique for covert communication. International Journal of Electronics，2015，Vol.102 (8)，pp.1253-1266.