基于蜜网技术的网络安全防御系统研究与设计 53页

ChinaUniversityofPetroleumDegreeThesis“EngineeringMaster基于蜜网技术的网络安全防御系统研究与设计ResearchandDesignonNetworkSecurityDefenseSystemBasedonHoneynetTechnology工程领域：计算机技术研究方向：计算机网络与应用作者姓名：路苑校内导师：刘素芹副教授现场导师：二。一一年五月30 IIlllIllIlllllIllll＼1875864ResearchandDesignonNetworkSecurityDefenseSystemBasedonHoneynetTechnologyAThesisSubmittedfortheDegreeofMasterCandidate：LuYuanSupervisor：Prof．LiuSuqinCollegeofComputer&CommunicationEngineeringChinaUniversityofPetroleum(EastChina) 关于学位论文的独创性声明本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所取得的成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以标注和致谢外，本论文不包含其他人已经发表或撰写的研究成果，也不包含本人或他人为获得中国石油大学(华东)或其它教育机构的学位或学历证书而使用过的材料。与我一同工作的同志对研究所做的任何贡献均已在论文中作出了明确的说明。若有不实之处，本人愿意承担相关法律责任。学位论文作者签名：j蹬西已L‘同期：加ff年厂肓卸同学位论文使用授权书本人完全同意中国石油大学(华东)有权使用本学位论文(包括但不限于其印刷版和电子版)，使用方式包括但不限于：保留学位论文，按规定向国家有关部门(机构)送交、赠送和交换学位论文，允许学位论文被查阅、借阅和复印，将学位论文的全部或部分内容编入有关数据库进行检索，采用影印、缩印或其他复制手段保存学位论文。保密学位论文在解密后的使用授权同上。学位论文作者签名：醯趣指导教师签名：—辨日期：∞ff年r月jD日同期：为f1年r月弓锣日 摘要随着计算机网络技术的发展，网络安全成为人们最为关心的问题。当前，攻击者入侵手段日新月异，对入侵的检测变的越来越困难。为了保护网络系统的安全性，一般采‘用防火墙、入侵检测和病毒保护系统等安全措施。但是，仅仅依靠这些传统安全防护技术是不够的。应该运用预警技术监控识别大规模的受保护网络上的入侵企图和入侵行为，在入侵发生或入侵造成严重后果前，预先采取相应的防御措施来加强网络的安全。只有对网络攻防做好预警，做到知己知彼，才有利于增强我们在信息网络对抗中对攻防转换的把握，维护信息空间的权益，并为未来可能的信息战做好准备。蜜网技术受到网络安全领域的重视，并且广泛的应用于各个领域。通过精心布置的蜜网系统可以吸引入侵者的攻击，进而了解入侵者的攻击目的、攻击方法和攻击工具，特别是对各种未知攻击行为信息的学习。本文首先对蜜网进行了基础性研究，包括蜜网的基本概念、特点、核心功能，并重点阐述了蜜网的体系结构，在数据捕获和数据控制两个方面对蜜网体系结构的变化作了对比分析。然后，本文探讨了利用压缩散列技术对入侵行为进行相似性分析，从而能够快速判断入侵行为是否是蠕虫病毒或者恶意软件攻击．。同时为了解决蜜网的单层防御机制，本文探讨了将第三代蜜网与HIDS工具相结合，实现多层网络的攻击检测。在对蜜网进行深入研究的基础上，设计并实现了虚拟蜜网系统，在实验室条件下实现了一个比较完善的蜜网系统，经过仔细的测试，各项指标均达到要求，能够正常使用，实现了蜜网系统数据控制、数据捕获及数据分析等各方面的功能。析关键词：蜜网；主动防御；网络安全；蜜网系统；数据控制；数据捕获；数据分 ResearchandDesignonNetworkSecurityDefenseSystemBasedonHoneynetTechnologyLUYuan(ComputerTechnology)DirectedbyProf．LIUSu-qinAbstractAlongwiththecomputernetworktechnologydevelopments，thenetworksecuritybecomesthemostconcernedissue．Innowadays，detectingtheintrusionisbecomingmoreandmoredifficultastheintrusionmethodofintruderschangedwitheachpassingday．Manyorganizationsusefirewall，IDS，virusdefendsystemthatarenotenoughtoprotectthenetworksecurity．ItsimportanttotakeactionbeforeintrusionhappenstOtheprotectednetworkbywarningtechnology．WecanusethetechnologytOholdtheconversionbetweenattackinganddefensivemechanismsininformationnetwork，protecttherightsandinterestsofourcountryininformationspaceandalsotakepreparetotheinformationwarwhichshallhappeninthefuture．Honeynettechnologyisvaluedbythenetworksecurity，andbeusedinmanyareas．Honeynetcouldlureintruder’SattackbyusingaseemlyvulnerabilitySOthatwecouldstudytheirattackmotive，methodandtools，especiallythatofnewunknownattacks．Firstly,thebasicconcept，characteristic，corefunction，securityvalue，applicationareasandsecurityriskareonthepaper．Thenweintroducethearchitectureofhoneynet，thenanalysethechangesofthearchitectureofhoneynetindatacaptureanddatacontr01．Secondly,ThispaperproposesthedesignofabehaviorbasedIntrusionDetectionSystem(IDS)，adoptingFuzzyhashingandNormalizedCompressionDistance(NCD)todeterminesimilarityinbehavioralprofilesofwormsandmalware．ItsignifiestheintegrationofHost—basedIntrusionDetectionSystem(HIDS)withalreadyexistingnetworkbaseddetectiononGen3Honeynetarchitecture．Basedondeeplyresearchinginhoneynet．wedesignandimplementavirtualhoneynetsystem，includetheframeworkandnetworktopology，provethesecurity，usability，validity andreliabilityofthevisualhoneynetsystembytesting．Realizesthehoneynetintheconditionofthelab，itcandowellbyexamination，thesefunctionsincludedatacapture，dataeontrol，anddataanalyzearewell．Keywords-honeynet；proactivedefense；Networksecurity；honeynetsystem；datacontroldatacapture；dataanalysis； 目录第一章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．11．1引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．11．2蜜罐的概念和发展历程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．31．3国内外研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．41．4作者的主要工作⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．5第二章网络安全技术概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．1网络安全概念⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯62．2网络安全特征⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一62．3网络安全体系结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．72．4来自外网的安全威胁⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一82．5安全维⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．9第三章蜜网技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯113．1蜜网的概念⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．1l3．2蜜网的核心功能⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．：⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．113．2．1数据控制⋯⋯⋯⋯⋯⋯⋯⋯⋯．：⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯123．2．2数据捕获⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯123．2．3数据分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯133．3蜜网架构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯13第四章基于压缩散列入侵检测⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．204．1入侵检测⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一204．2关键问题⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯204．3实现方法⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯2l4．3．1自动签名工程系统⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．214．3．2系统事件分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．214．3．3网络事件分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．2芝4．3．4散列算法有效载荷⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．224．4系统组件⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯23 4．4．1蠕虫嗅探器⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．234．4．2网络嗅探器⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．：⋯⋯⋯⋯一244．4．3恶意软件嗅探器⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．254．4．4系统／主机事件探查器⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯26第五章多层网络攻击检测⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．285．1加强蜜网体系结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯285．2新蜜网的软件体系结构设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯295．2．1表征和编码⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．305．2．2报警工程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3l5．3新结构优点⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯33第六章蜜网系统测试及分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．356．1漏洞扫描测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯356．2渗透攻击测试⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯36总结与展望⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一41，参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．42攻读硕士学位期间取得的学术成果⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．44致谢⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．45 中国石油大学(华东)工程硕士学位论文第一章绪论1．1引言随着计算机技术的迅猛发展，互联网络在伞球得到快速发展和广泛应用，它在社会政治、国民经济、人民生活乃至军事建设中占据着越来越重要的地位，标志着人类已经进入了信息社会和网络时代。互联网络的安全早已引起人们的高度重视，它是信息领域一个至关重要的课题，并且成为影响社会稳定、经济发展和信息国防安全重要因素【1。31。网络上的黑客、商业间谍出于各种目的，对人们在网络上所传输的信息、计算机主机上存储的秘密和隐私文件表示出了极大的兴趣。这些信息如果没有任何保护措施或者保护不力，就很可能被窃听和窃取，如果信息包含有重要的、有价值的内容，就会让用户造成无法挽回的损失。在军事领域，电子对抗和网络对抗组成了信息对抗。未来的战争是信息化的t饯争·，谁能够占据信息的控制权，谁就将取得战争的主动权。世界各国都已经意识到现在和未来作战中制信息权的重要性，军事理论研究和建设已经深入到信息作战的概念、战法、装备以及编成等方面。对网络的渗透、攻击和防护能力将直接影响到一个国家的信息作战能力，许多国家已经组成了所谓的“网军”，专门研究、训练进行网络侦察、防御和进攻，为将来信息作战中获取制信息权和掌握战场主动而准备着。现在的互联网是一个混杂的世界，黑客们为了满足自己心理上的成就感，不断挑战着互联网出现的全新技术，开发出新型的攻击模式，寻找各种系统的漏洞以及对付各种防御手段的对策，发布功能强大、智能化、破坏力强的恶意软件和攻击工具；还有很多人为了满足自己的好奇心，利用网上下载的各种攻击工具，扫描大量的IP地址，寻找漏洞，使用攻击工具进行攻击远程控制他们的主机；职业的黑客们则在进行着目的明确的恶意行为，部署僵尸网络对在线商务网站进行拒绝服务攻击，发送垃圾邮件推销各类垃圾商品，架设钓鱼网站欺诈并盗用互联网用户的敏感信息，从而获取现实的经济利益。面对如此众多的安全威胁，网络管理员不停地修补操作系统，为操作系统打补丁，修补各种漏洞；而普通的网民由于缺乏相关互联网的安全知谚{，只能任人攻击，甚至泄漏自己的隐私，造成生活和工作上的麻烦。 第一章绪论互联网的安全状况日益恶化，除了互联网已经成为人们日常办公的重要工具，甚至很多企业在实行无纸化操作，整个社会对互联网的依赖性越束越大，造成被攻击的目标越来越多外，究其根源，会发现攻击者与防御者存在着竞争与挑战的关系，攻击者可以在任何时候不受时间、地点限制找到攻击目标的一个漏洞就能够对系统进行攻破，而防御者必须不断的修补漏洞打好补丁一方攻击者有机可乘，并且需要实时的监控、管理、分析才能保证系统的绝对安全，投入很多的人力、物力、财力；攻击者可以利用各种技术手段全面获取攻击目标的信息，而防御者即使在被攻陷后还很难了解攻击者的来源、攻击方法和攻击目标，攻击者处于主动，防御者处于被动状态；攻击者攻击失败，攻击者仅仅是浪费了时间，但是他们却能够增长他们的经验值，而防御者失败后却将面临巨大的不可估量的损失，主动权在攻击者一方。2007年，SANS网络安全威胁调查报告(SANSTop．202007SecurityRisks)中共发现4396个漏洞，其中Web应用软件的漏洞数目占了近一半，居于榜首。报告指出随着网络的普及，各种网络工具随之开发而来，这些都存在着网络安全漏洞，同时随着网络技术的不断发展，用于入侵网络的手段、技术也在不断更新。攻击者加大了攻击组织内部服务器力度，使之安全受到很大威胁，同时对内部用户主机更是他们攻击的主要对象。在很多企业，为了工作方便，工作人员都可以自由的访问互联网，工作人员所安装的很多软件的漏漏会被攻击者利用对企业内部网络进行攻击，从而造成了企业巨大的损失，因此在很多重要的部门每个人员都配有2台计算机，一台连接互联网，另一台存放数据等重要信息，造成企业成本增高，数据共享不方便，这样并不是很好的解决方法。目前，大多数企业采用被动防御策略，如病毒防护技术、防火墙技术、网络入侵检测技术等来保护企业内联网资源，但这些技术只有在被攻击的时候才会发生作用，同时还要判断该行为是否是入侵攻击，如果判断失误也会造成不必要的损失。另一方面，在网络安全的解决方案中，通常通过数据加密技术来保证数据传输的安全，这也是一种被动防御的策略，更好的方法是在威胁开始的时候采取主动防御，从而减少企业内联网用户主机受攻击而引发的安全问题。蜜罐技术就是为了满足上述问题而提出的，蜜罐是一种安全资源，是一种主动防御手段，表面上看它在整个网络系统中是可有可无的，不影响组织内部的正常运转，它仅仅就是将自己作为诱饵，吸引、欺骗攻击者对其进行攻击，从而达到保护真实主机的目的。蜜罐技术本质是设置陷阱，欺骗攻击者，陷阱包括主机、服务器和虚假信息等，通过伪装这些系统实现引诱攻击者对蜜罐进行攻击，从而保护了实际系统的安2 中困“油人学(。仁东)’r程顺Ij学位论义全。蜜罐的作用还不仅仅如此，蜜罐可以说有两个作用一个是陷阱，另一个作用是充当猎人的角色。在攻击者对蜜罐进行攻击的同时，蜜罐的另一个作用就开始发挥了，它能够实时的监控和记录攻击者攻击的过程，能把记录的数据进行上传，研究人员可以通过这些数据加以深入的分析，通过分析可以得知攻击者所使用的攻击工具和攻击方法以及心理，甚至能够找到攻击者的源头，能够让防御者清晰地了解他们所面对的安全威胁。、1．2蜜罐的概念和发展历程蜜罐(Honeypot)这个单词最早出现1990年出版的一本小说((TheCuckoo’SEgg))中，书中描述一个公司的网络管理员与入侵公司网络的商业间谍相互斗智的故事。从九十年代初蜜罐概念的提出到1998年左右，提出了蜜罐这种防御的概念，通过欺骗黑客达到保护自身的目的【4】。发展历程如图1．1所示，从1998年开始，蜜罐技术开始被研究人员所关注，针对蜜罐的特点开发出一些专门用于欺骗黑客的蜜罐工具，最为知名的由著名计算机安全专家FredCohen所开发的DTK(欺骗工具包)，FredCohen还深入总结了自然界存在的欺骗实例、人类战争中的欺骗技巧和案例以及欺骗的认知学基础，分析了欺骗的本质，并在理论层次上给出了信息对抗领域欺骗技术的框架和模型，FredCohen的研究工作也为蜜罐技术奠定了理论基础。同时一些公司开始对蜜罐技术进行实际应用开发，开发出应用价值的蜜罐工具。在虚拟操作系统和网络服务中，运行蜜罐工具实施主动防御，遭受攻击后对攻击者的攻击行为做出反应，从而增加攻击者的工作量，降低攻击者对有用系统的安全威胁，并能够对攻击者的攻击行为进行监控和记录。由于早期虚拟蜜罐工具交互程度低，容易被攻击者轻易识破从而失去保护作用等问题，从2000年之后，研究人员开始建立真实的蜜罐系统，一切都是在网络中真实存在的，包括计算机、各种操作系统以及和组织相关的看似真实的有用信息等，在这些蜜罐中还包括了数据捕获、数据分析和数据控制的工具，真正的将蜜罐融入到一个完整的网络体系中，使得研究人员能够更方便地追踪攻击者并对他们的攻击行为进行分析、记录。这种最新的蜜罐技术即由LanceSpitzner发起的蜜网项目组所推出的最新主动防御技术——蜜网技术，同时虚拟蜜罐工具由于部署和维护方便、需要资源少等优势也在不断发展中，最为著名的是NielsProvos开发的Honeyd[5·61。 第一章绪论薹1990二蔓1998A7Framew⋯orkEforDeception茸1．3国内外研究现状ljlnceSpitzner等人第一代第二代第三代刨建蜜同聩且组蜜网技术筮嘲技术图卜1蜜罐技术发展历程图蜜网技术是网络安全领域一个新发展起来的研究网络攻击行为的技术，它是从蜜罐技术发展而来，是一种交互性高、主动防御的研究型蜜罐。蜜网的概念直到1999年才提出，随后几年得到快速发展，在国外有一个叫HoneynetProject的安全组织专门进行蜜网技术的研究，到目自仃为止，已经提出了第一代(GenI)并U第二代(Genii)蜜网技术的构建方案，并且在研究网络攻击行为方面取得了不少的成果和经验【7习】。近年来，国际上对蜜罐的研究投入很大，开发出了不同用途的蜜罐，并得到了实际应用。国内外研究蜜罐技术的组织有：蜜网项目组(HoneynetProject)。蜜网项目组在蜜网研究中在国内外是有很高知名度的，该组织是一个非盈利性组织，他们的目的是提供必要的网络安全知识，提高网络安全意识，对蜜网技术进行深入研究，共享该组织的开源工具软件，将蜜网技术推向成熟，实用、易用阶段。早期的时候，蜜网项目组主要进行的研究包括对蜜罐基础理论的研究，在此基础上建立了一些理论模型，并加以验证，提出了第一代蜜网结构模型，并验证了该结构的可行性和有效性。随后的工作主要包括蜜网工具的开发，上面说过蜜网有充当猎人的角色，就应当有猎人的工具，这些工具包括数据控制、数据捕获和数据分析，在此间就基础上提出了第二代蜜网结构模型。早期的蜜网使用起来非常得不便，功能上虽然很强大，但是蜜网的部署过程很繁琐，易用性不足很好，不利于蜜网技术的推广和普及。为了改变此现状，经过中期的蜜网研究，最终将蜜网所需要的一切工具都集中在一张光盘上，这样就增加了易用性，方便了蜜网技术的推广和普及。从2005年至今，蜜网项目组研究的重点放在了数据捕获和数掘分析上，并且一直提高蜜网的易用性，并且提出了第三代蜜网结构模型。我国是最近几年才开始蜜网领域的研究，正在跟踪国外蜜网技术的发展，也在逐发O黑F 中国石油大学(华东)工程硕士学位论文步的进行研究。2001年国家自然科学基金信息安全项目彳‘正式对该领域进行了立项研究。随后几年，我国研究人员开始对蜜网技术进行了广泛深入的研究。我国的蜜网研究主要包括蜜网与防火墙的结合技术、基于信任的蜜网安全体系结构、捕捉来自内部的威胁的研究、以及动态蜜罐技术的研究。可以看出我国在蜜网技术的研究上已经取得了一些成绩，都具有较强的实用型和理论价值。蜜网与防火墙的结合技术增强了蜜网的安全性，避免了攻击者以蜜网为跳板进行对第三方的攻击。基于信任的蜜网安全体系结构，使得蜜网更加具有诱惑力，陷阱作的更加真实，不易引起攻击者的怀疑。动态蜜罐技术的研究解决了动态蜜罐通过监控和自学习实时的网络环境，能够解决蜜罐在配置和维护上存在的需要人工干预的问题【10．1¨。1)蜜网研究联盟。他们是独立于蜜网项目组，是由世界各地研究蜜罐的组织组成的，同时拥有自己的组织结构，它的主要目的是：各个成员组织将自己的研究成果、蜜罐部署的相关技术进行共享，并且免费向外界公布这些成果。2)SANS、SecurityFocus。他们的主要工作是利用蜜网技术捕获和分析蠕虫病毒。3)分部式蜜罐项目。该组织主要工作是如何将蜜罐布置到正常的网络系统中，让蜜罐发挥更大的作用，更好的保护组织系统的安全。4)狩猎女神项目组。是由北京大学计算机研究所信息安全工程研究中心组建，是我国第一支参与蜜网研究联盟的团队，该组织实际部署和维护蜜网，加强对蜜网系统的研究，增进对蜜罐与蜜网技术的理解，跟踪蜜网发展最新动态。该组织尤其针对僵尸网络的发现、追踪及反制进行研究，研究效果显著，在国内外有一定的知名度n2’"1。1．4作者的主要工作本文的研究目的是通过对互联网安全性进行分析，探讨利用压缩散列技术对入侵行为进行相似性分析，从而能够快速判断入侵行为是否是蠕虫病毒或者恶意软件攻击。同时为了解决蜜网的单层防御机制，将第三代蜜网与HIDS工具相结合，实现多层网络的攻击检测。在模拟环境中，利用两种系统漏洞对蜜网系统进行渗透式攻击，该蜜网系统成功捕获了这两次网络攻击，通过还原数据包的数据内容，得出了攻击者的攻击方式、攻击事件等，清楚的得到攻击者攻击的全部过程，在攻击测试过程中，蜜网网关对这些攻击测试的数据捕获和分析能力说明了第三代蜜网技术已经达到了较为成熟的阶段。 第二章网络安全技术概述2．1网络安全概念网络安全可分为网络运行系统安全、网上系统信息安全、网上信息传播安全和网上信息内容安全【14】。人为恶意攻击对网络安全的破坏具有智能性、严重性、隐蔽性和多样性。网络安全是指网络系统中运行硬件、软件以及网络中存储、‘传输的的数据不因偶然因素或者恶意的因素而遭到破坏，网络不中断，能够正常运行。从个人和组织的角度去看，他们又有不同的关注点。个人关注的网络安全是个人的隐私在网络上受到严格的保密，当前因为隐私的泄漏造成个人损失的案件同益增多。从组织的角度来说要避免组织内部机密的信息泄露，造成巨大的经济损失。那么从网络运营商角度看，除了要保证信息的安全外，还要考虑网络硬件设备的安全在人为或者非预测的情况下遭到破坏，即使遭到破坏如何恢复网络的『F常运行【15】。总的来说，网络安全就是使其网络系统中的硬件、软件和信息在任何情况下免遭破坏。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是一个系统，通过上述学科为网络建立一个安全的环境，这个环境能保护网络系统中的硬件、软件，更重要的是保护信息不被泄漏和篡改等，是一个综合的完整的系统。网络安全就像每家每户防火防盗一样，防患于未然，如果没有这样的意识，成为攻击对象的时候，将会造成巨大损失。2．2网络安全特征网络安全具有以下五个方面的特征：1)保密性数据的保密性在没有经过授权的情况下不允许访问数据。也就是没有经过授权认证的用户，不能随意访问某些数据。网络的保密性是非常重要的，否则会造成机密的泄漏从而造成损失。2)完整性完整性是指信息全生命周期的一致性。信息全生命周期包括信息的生成、传输、存储和使用，在全生命周期中这些信息不能发生改变，不管是何种原因都必须要保证6 中困。油人学(华东)T程倾lj学位论文信息的完整性。3)可用性不能因为提高网络安全程度而影响数据的可用性。授权的用户应该能随时访问这些数据，系统要提供这样的保障功能。可用性是信息资源服务功能可靠性的度量，涉及物理、网络、系统、数据、应用、和用户等多方面因素，是对信息网络总体可靠性的要求。4)可控性．信息安全和所有其他系统一样要具有可控性，要能够完全掌握信息资源的使用，不能很好的控制，那么这个系统也就失去了效用，所．以对资源的使用对象一定要能有有效的控制，是信息安全的必然要求。5)可审查性现在法律上讲究的是证据，网络犯罪也是一样，如何提供证据一直网络受害者的难题，网络安全系统将会提供证据和手段。2．3网络安全体系结构图2．1所示是OSI参考模型与安全服务、安全机制建立的一个网络安全体系结构的三维模型，其中x轴表示安全机制，Y轴表示OSI参考模型，Z轴表示安全服务。OSI参考模型包括物理层、链路层、网络层、传输层、会话层、表面层和应用层，安全服务包括鉴别服务、访问服务、数据完整性、数据保密性和抗抵赖，安全机制包括加密、数字签名、访问控制、数据完整性、数据交换、业务流填充、路由控制和公证。该三维模型组成了较完整的网络安全体系结构。该结构的作用是要为用户提供一套完整的安全服务，从底层到应用层，分布在各个方面。包括了物理安全、系统安全、应用安全和管理方面的风险。网络安全在网络系统的方方面面都要有所服务，不同的系统所受的威胁不同，相应的要求系统达到不同的安全级别。可以看出，网络安全体系结构包括了网络系统方方面面的安全要求，对于个人来讲可能仅仅关注的是一个方面，比如数据的保密性或者是数据的安全性等，但对于一个完整的网络系统考虑的不仅仅是数据的安全还包括管理安全、人员安全、设备安全、身心安全等等一个广泛的安全概念。7 第：章州络安令技术概述数数据抗2．4来自外网的安全威胁图2—1OSI中的三维安全体系攻击者为了达到自己的攻击目的，其攻击过程可能采用的方法不是唯一的，而是多种多样的变化的手段实施的。图2．2是来自外网的攻击分类图，包括了所有从外网发起的攻击类型，安全人员必须要很好的掌握这些攻击类型和手段，才能做到知己知彼，从而增强防范意识。对于每种大的攻击类型，其下又分为一些攻击子类，例如，操纵攻击类别中包括网络操纵攻击、应用程序操纵攻击，而子类应用程序操纵攻击中还含有缓冲区溢出攻击和WEB应用程序攻击两个攻击元素。0塑夔巍嗅控攻击侦垒攻击直接进入攻击必憋曦笔五盆蠡o‘L_盖舀如蹴MAC欺骗攻击IP欺骗攻击身份欺骗攻击无赖设备攻击传输欺骗攻击网络操作攻击心用程序操作攻击[受]匦型k莲憋峪MAC泛洪攻击TCPSYN泛洪攻击应用程序泛洪攻击网络泛洪攻击[二受二二[二匦二]图2-2攻击类型越基边龇磁鼙缸缸幺乙啦蠡泣盘盘盆誊蓝糊IP重定l川攻击传输重定I旬攻击L2重定向攻击11面重乏何质嘶I骗攻击I：sTP煎定向攻击!禽型欢击中问人攻击远程控制软件攻击病毒、蠕虫和特洛伊木马攻击；{；罂要臻～一●J●J—i—b一：薹面一蔓竺厂●厂●一 中国石油大学(华东)工程硕上学位论文读取攻击包括所有从被攻击者那里获取相关信息的攻击。此类攻击从首先获得攻击对象的D地址，将这些D地址输入到扫描软件，这些扫描软件可从网上轻易得到，然后对这些D地址扫描，从而找出漏洞，侵入有漏洞的系统进行信息窃取。操纵攻击指对物理层、链路层、网络层、传输层、会话层、表面层和应用层的某一层对数据进行的攻击。应用程序操纵攻击最常见的缺陷是缓冲区溢出，针对应用程序的漏洞和缺陷执行的攻击。泛洪攻击就是攻击者发送海量数据导致网络瘫痪的攻击方式。网络资源包括交换机、路由器、主机、应用程序等，从而导致系统瘫痪。欺骗攻击一般主要发生在信息交互期间，攻击者伪装自己，使用户误认为是真实的、合理的信息来源，其实是攻击者发出的欺骗信息，从而使用户上当，造成自身的损失。几乎在网络通信中未实施认证的位置均可发起欺骗攻击，网络诈骗随之而来。重定向攻击是指攻击者为得到有用信息，可在任何一层试图更改网络中的信息流，然后攻击者可以将已得到信息流量导入自己的系统中进行读取或操纵。2．5安全维通常在风险管理过程中识别适当的安全措施以管理或减轻评估风险。安全维引入一组用于实施网络安全特定方面的安全措施。安全维的概念并不局限于网络，在应用或终端用户信息环境中也可使用。此外，安全维适用于服务提供商或向客户提供安全服务的企业。如图2—3所示，安全维包括：(1)访问控制；(2)鉴别；(3)抗抵赖：(4)数据保密性；(5)通信流安全：(6)数据完整性；(7)可用性：’(8)隐私。适当设计和实施安全维支持为特定网络规定的安全策略，使安全管理容易设置规则。访问控制安全维提供对使用网络资源的授权。访问控制确保只允许得到授权的人员或设备访问网络元素、存储的信息、信息流、服务和应用。例如，基于角色的访问控制(I迅AC)提供不同的访问级别以保证人和设备只能对已授权的网络元素、存储的信息和信息流进行访问并在其上执行操作。鉴别安全维的作用是确认通信实体的身份或其他授权属性。在鉴别被授权或参与通信实体的访问控制(例如人员、设备、服务或应用)使用时，它确保所声称实体的有效性并对实体未在企图对先fj{『通信进行冒充或未授权重放提供保证。利用基于用户身份标识和口令对、双因子鉴别(例如令牌)、生物特征技术的鉴别方法被广泛使用。9 第二章网络安全技术概述l控制安全IJIj管理安全面li图2—3将安全维应用于安全层抗抵赖安全维提供的技术方法，通过使各种与网络相关行动的证据(例如责任、意图或承诺的证据、数据原发证据、所有权证掘、资源使用证据)可用来防止个人或实体否认己执行与数据相关的特定行动。它有助于确保证据的可用性，这些证据能作为某种已发生的事态或活动技术证据呈现给第三方。然而，需注意的是通过技术方法提供的抗抵赖不会导致必要的法律结论。经常使用密码方法来提供抗抵赖。数据保密性安全维保护数据免遭未授权的泄漏。加密是一种经常用于确保数据保密性的方法。访问控制列表和文件许可是有助于保持数据保密性的方法。通信流安全维确保信息只在授权端点之间流动(信息在这些端点之间流动时不会被转向或拦截)。通信流安全维的安全机制不能抵御修改／损坏；这是数据完整性的功能。MPLS隧道、VLAN和VPN是能提供通信流安全的技术实例。数据完整性安全维确保数据的正确性或准确性(亦即数据只能被授权的过程或授权的人或设备处理)。数据得到保护免遭未授权的修改、删除、创建和复制，且提供这些未授权活动的指示。散列消息鉴别码方法(例如MD5、SHA．1)常用于确保数据的完整性。可用性安全维确保未拒绝对网络元素、存储的信息、信息流、服务和应用的授权访问，因为这些事件影响网络。灾难恢复解决方案也包括在这个类别中。隐私安全维对可能源自网络活动观察的任何信息(通信方的身份或任何数据属于此方承载的任何活动)提供保护。这些信息的实例包括用户已访问的Web站点、用户的地理位置、服务提供商网络中的工P地址和设备的DNS名称。网络地址转换(NAT)和应用代理是能用于隐私保护技术的实例。根据各个国家隐私和数掘保护的法律法规，隐私安全维也宜对个人信息的收集、处理和传播提供适当的保护结构和控制措施。10洄洄 中国石油大学(华东)工程硕士学位论文3．1蜜网的概念第三章蜜网技术蜜网是一种变被动防御的为主动防御的网络安全技术，把自身融入到一个真实的网络中区，而它起的作用却是一个陷阱的功能，通过自身来吸引攻击者的攻击行为。因为攻击者在攻击前往往是寻找网络中最薄弱、漏洞最多的系统进行攻击，这也是攻击者的正常心态，而蜜网就起到了这个作用，貌似是网络系统中的薄弱环节，引诱攻击者对其进行攻击，从而保护其他真实系统。蜜网的部署也是灵活多变的，但是它也是真实存在的，包括真实的计算机、真实的操作系统甚至是“真实"的数据从而引诱攻击者的攻击。如果仅仅是这样的系统那么该系统也只能算是被动防御系统，它真证的价值在于能够跟踪、捕获、记录攻击者的行为，前面是陷阱后面是猎人的角色。通过跟踪、捕获，可以得到攻击者的数据信息，通过分析这些数据就可以得到入侵者的攻击方式、方法，以及攻击者所使用的工具、攻击过程，从而能够获得攻击者的目的和心理，掌握攻击者的证据，反过来指导我们对网络做出更好的保护。其特点足具有整体性、高交互性、低风险高收益、可伸缩和高效的特点【16，17】。蜜网技术和蜜罐技术相比本质是升级版的蜜罐技术，也是目前倡导的技术。蜜网具有高交互性，蜜罐是一种低交互性。也就是说蜜网具有更强的欺骗性，对攻击者来说更加真实，在攻击者攻击过程中会当成真实的系统，不易被攻击者察觉或者怀疑，因为蜜网是真实的网络系统，蜜罐则是虚拟的系统，在交互过程中很容易被攻击者识破。蜜网除了引诱攻击者外，它本身具有一套完整的体系结构包括防火墙、数据捕获系统、数据控制系统以及功能强大的分析工具，这些系统使得安全人员非常方便的对整个网络进行实时监视和控制，实时了解攻击者的攻击活动，能够掌握攻击者使用的工具，以及攻击的方法和动机。3．2蜜网的核心功能蜜网体系结构具有三大核心功能：即数据控制、数据捕获和数据分析n刖。当攻击者进入蜜网后，很可能利用蜜网为平台对第三方发起攻击，或者给蜜网系统带来威胁，那么就必须要对攻击者的攻击行为加以限制，这就是数据控制，但是如何限制并且限制到什么程度是问题的关键，限制太严格攻击者会会产生察觉或引起怀疑，限制太松 第二三章蜜网技术可能会对系统产生威胁，这就有个度的概念，总之是要拒绝所有攻击其他机器的行为。数据捕获，前面提到蜜网的作用不仅仅是陷阱，最关键的是要去跟踪、监视、记录攻击者在不知情的情况下在蜜网中的所有行为，捕获的信息越详细、越完整对后面的分析就越有利，为了得到这么丰富的信息，在捕获过程中就有可能会被攻击者察觉，如何处理好这种关系也是一种挑战。前面的一切工作都是为数据分析准备的，蜜网的主动防御也体现在这一点上，如何将数据分析的透彻、合理，能否得到攻击者攻击的工具、目的、攻击方法和攻击手段，能被安全人员所用，是数据分析的挑战。3．2．1数据控制数据控制技术，即控制数据流不能威胁到其它机器，同时又不引起攻击者的怀疑。如攻击者进入蜜罐后，把他们的行为固定在某一范围内，比如不能下载某些工具包，他们会对系统产生怀疑，不加以限制又会对系统产生威胁。既不能把攻击者限制太紧，也不能让他任意胡作非为，限制太死无法得到更多的有用信息，如果限制太松可能会危害系统安全，那个时候再去限制不仅得不到攻击者的任何信息，反而会让攻击者识破陷阱。限制攻击者的方法可以采取限制其从蜜罐向外的连接数量和在蜜罐中的活动能力。为了降低部署蜜网所带来的安全风险，数据控制应该满足以下几点要求：·数据控制既可以实现自动化数据控制也可实现人工干预控制；●至少有冗余控制措施，确保可靠性；·即使数据控制失败，也不会让系统完全出于危险状态下：·在数据控制层都失效的情况下，系统应该自动切断蜜网与外界系统的一切联系；·任何方向上的连接状态都可以维护；●管理员可以在本地或者远程状态对蜜网进行配置；·应具有更大的迷惑性，避免被攻击者察觉；·入侵时自动报警。3．2．2数据捕获数据捕获的目标是捕捉攻击者从扫描开始到深入探测、漏洞分析、发起攻击以及入侵后的每一步行为直到离开蜜罐的每一步动作，能够检测、记录攻击者攻击的所有行为数据。数据捕获是为了后面的数据分析，蜜网的主动防御功能能否得以充分的体现关键在于捕获的数据是否真实、是否详实、是否丰富，所以要从不同方面、不同角12 中国石油大学(华东)工程硕士学位论文度去进行数据的搜集，同时还要考虑数据的真实性，因此必须满足以下特定要求：·蜜网捕获到的数据信息不能在蜜罐上本地存储，应及时上传或采取其它手段保存，否则一旦被攻击者发现，会立刻毁坏数据；·为每个受到侵害的蜜罐建立维护一个标准的详细说明；●为每一个蜜罐建立维护一个标准同志；·具备远程实时监视入侵活动的能力；●能够自动保存这些信息，用以将来研究；·防火墙日志、网络活动、蜜罐系统活动需要捕获并且保存一年以上时间：·对于数据污染不能够影响蜜网数据捕获的有效性。数据污染指对于系统来说任何非标准的入侵活动，例如，攻击者为测试某种工具而对蜜网进行攻击，这样得到数据就是被污染的；·蜜墙网关的数据捕获必须使用格林尼治平时时区，单个的蜜罐可以使用本地时区，但过后还是需要转换成格林尼治if，时时区，以进行后面的分析：·保护数据的完整性。3．2．3数据分析蜜网中数据分析的结果是主动防御的功能的一个体现。蜜网研究人员也已经开发出了很多功能强大并且容易操作的数据分析工具，能帮助研究人员从捕获的数据中分析出攻击者的具体行为和攻击类型，以及所使用的攻击工具和真实意图。通过数据分析可以使我们能够深入的挖掘攻击者的有用信息，包括攻击的源头、攻击的目的、攻击的方法，从中可以获得他们攻击的新手段、新技术，从而不断完善我们的网络防护水平。同时，根据分析这些新的攻击技术，可以实现早期预警，很多杀毒软件病毒预警有的也是采用这样的分析手段，达到了提前预警的目的，从而使用户提早准备防范，将危害降到最低。预警的方式也是多样的，只要数据分析的透彻，就可以实现早期预警。3．3蜜网架构图3一l所示是第一代蜜网结构，该结构包括了防火墙、IDS入侵检测系统、蜜罐主机和日志／报警服务器。该蜜网系统通过防火墙与互联网相连，通过路由器进行数据转发。该系统由多个蜜罐主机组成，每个蜜罐主机可安装不同的操作系统，使网络看上去更加真实，不易被攻击者识破。当有攻击者入侵蜜罐主机时IDS入侵检测系统开 第三章蜜网技术始工作，对蜜罐系统进行管理，实现数据捕获。由于蜜罐主机上不能够存储攻击者攻击数据，因为攻击者一旦发现后将会销毁数据，所以攻击者的攻击数据会上传到管理系统。我们看到，在第一代蜜网结构中使用路由器转发，所以会消耗数据包的TTL值，而这些对攻击者来说都是可见的，所以很容易引起攻击者的怀疑，实用性不强。该结构只是验证了蜜网的理论，建立了蜜网模型，为下一代的发展奠定了理论基础。日志肘艮警服务器图3—1第一代蜜网技术架构(1)数据控制第一代蜜网技术的数据控制由防火墙、入侵检测系统(IDS)矛E1路由器共同实现。防火墙允许任何进入的连接，但控制外出连接，当蜜罐试图进行外出连接时，防火墙都会计算连接数并进行跟踪，当某个蜜罐的外出连接数目达到一个预先设定的数量时，防火墙就会将与这个蜜罐的任何通信进行阻塞，从而有效地阻断了攻击者的攻击行为。经过HoneynetProject的成员研究发现，每天允许5．10个外出连接最佳。为达到对数据的两层控制，在蜜罐和防火墙之间放置了路由器，利用它对流出的数据包进行过滤，可以阻断常见的拒绝服务攻击和扫描端口等。路由器同时还可以起到屏蔽防火墙的目的，使攻击者发起外出连接时看不见防火墙。第三层的防火墙和路由器结合起来为数据控制创建了一个有效、自动的机制。报警所有违背了数据控制的连接。因为任何进入的连接都意味着有探测、扫描甚至攻击行为的发生，任何外出的连接就意味着某个蜜罐已经被攻破，而且攻击者或某个自动工具『F在试图进行外出连接来获取工具包，甚至可能讵利用这个蜜罐进行攻击其它机器的活动，所以，防火墙必须报警、跟踪或阻断进入和外出的所有活动。14 中国石油大学(华东)工程硕：L学位论文(2)数据捕获数据捕获要做到不被入侵者发现的情况下捕获尽可能丰富的数据，一是尽可能不对蜜罐做任何修改，以免让攻击者产生怀疑从而察觉这是个蜜罐；二是不把捕获的数据存储在本地的蜜罐上，这容易被攻击者发现并篡改和破坏，还可能让他意识到系统是个蜜罐。数据捕获应该多层次、多来源、多角度，这样才可以实现低风险下获得尽可能多的数据。第一层数据捕获是防火墙。所有流量都必须经过防火墙，这罩捕获的信息主要是包头信息，如攻击的日期时间、源和目的IP地址以及源和目的端口，它对攻击预警和统计建模很重要，而且对于发现新攻击或者在扫描过程中改变扫描走向也很有用。第二层的数据捕获是入侵检测系统。入侵检测系统的传感器具有两个界面：一个与蜜网相连，但不带IP地址，所以不会被攻击，但能够捕获网络上的所有活动；一个与产品网络相连，允许远程管理和数据管理。入侵检测系统的传感器功能一是可以捕获并记录每一个包和载荷，能够在网络层对攻击进行分析，而且可以捕获击键行为、工具包，甚至攻击者之间的通信，捕获的信息以二进制文件保存，以便将来查看并分析；功能二是对所有可疑行为发出报警，而且提供详细的关于攻击的信息，不过报警只能基于己知的攻击，并不能对未知攻击进行预警。第三层的数据捕获是蜜罐系统。系统日志可以记录在该系统上的系统和用户活动，但因为攻击者可以修改甚至删除本机日志文件，所以需要增设远程日志服务器以作备份，如果攻击者能够攻击更安全的F1志服务器，管理员可以通过入侵检测系统的包记录来获得和学习更高级的网络攻击方法。捕获系统数据的第二个方法是修改系统来获得攻击者的击键行为、屏幕点击行为并远程转发这些数据。(3)数据采集第一代蜜网技术的构架是单个的蜜网部署，数据采集发生在蜜网本身和网络管理。第一代蜜网结构是对蜜网理论进行了验证，但是离实际应用还有距离。因此提出了第二代蜜网技术框架。在第一代蜜网框架中可以看到将整个网络系统直接置于了网络上，整个网络系统对外都是可见的，这就增加了网络安全的风险，可能会直接攻击业务主机，造成系统的损失。同时，第一代结构欺骗性不强，容易被攻击者察觉，应用性不强。由于第一代蜜网存在以上缺点，蜜网项目提出了第二代蜜网技术的框架，如图3—2所示。在第二代蜜网系统中增加了两个关键部件HoneyWall和Sebek。第二代蜜网达到了实用阶段，为了能够扩大蜜网使用范围，方便用户使用，蜜网项目组将蜜网技术中需要的关键工具都集中在了一张光盘上，用户只要这张光盘的内容就可以 第三章蜜嘲技术建立自己的蜜网系统，在安装过程中不用人工干预，非常方便简单，使得第二代蜜网技术趋于成熟，增强了实用性。虽然该方式安装简单，但是如果系统升级就无能为力了，即便如此，第二代蜜网技术已经接近实用阶段。蜜罐主机器图3—2第二代蜜网技术框架(1)．数据控制数据控制使用的是一个第二层的网桥式防火墙，所有进出蜜网的数据包都必须从这里经过，它能够实现更智能的控制，实现修改或者切断所有的外出攻击连接。(2)数据捕获数据捕获方法与第一代蜜网技术火体相同，主要是针对攻击者使用Tan密技术(如SSH)进行通信，开发了一种可以修改系统内核来记录蜜罐上入侵行为的软件。(3)数据采集由于第二代蜜网技术是面向分布式坏境设计开发的，它必然要面临如何把多个蜜网捕获的信息收集汇总的问题。数据采集的两个重要因素：一是要保证信息的完整性、真实性和保密性，蜜网传感器上的第三个接口通向路由器，它专门用于数据采集和远程管理；二是采集的数据格式要标准化，这保证了从不同的蜜网上采集的数据能够简单地实现共享和聚合【19乞¨。2005年蜜网技术进入了第三代，达到了实用化和易用化，用户能够方便的使用和设置。HoneyWallRoo自启动光盘以及Sebek3．0，是蜜网项目组最新发布的，免费提供给用户使用，安装过程简单，网络配置也不繁琐。Roo的开发是基于Linux系统的，16 中国石油大学(华东)工程硕士学位论文Linux是开源操作系统，尤其是网络功能强大，是很多大型网络设备的主要操作系统，由于是开源操作系统，可以对该系统进行任意裁减，Roo就是在该平台上开发。前面提到过，攻击者往往会通过应用软件的漏洞进行攻击，所以在Roo的开发中，项目组合弃掉了可能带来威胁的软件包，也就是将Roo进行了最小化设计，排除了安全隐患，因此也就更加安全。Roo的安装过程非常简单，无需人工干预就能够自动的安装完毕，并且提供了多种配置机制，从而配置蜜网更加容易，使蜜网技术进入了实用阶段。Roo的数据分析工具是基于WEB界面的可远程访问的管理工具，功能强大界面友好，配合Sebek工具能够分析攻击者的攻击信息。在Roo系统中，最关键的部分是蜜网网关HoneyWall。HoneyWall对外来说是不可见的，这就大大提高了蜜网的安全性、隐蔽性和欺骗性。HoneyWall是Roo系统中开发好的系统，完全是针对蜜网系统。HoneyWall有三个网络接口，这三个网络接口的作用都已固定分别是eth0、ethl、eth2，在系统配置中对这三个网络接口进行配置。eth0是外网接口，ethl连接的是蜜网系统，eth2连接的是管理系统。捕获到的攻击数据由于不能在本地主机上存储，所以多个蜜罐主机所捕获的数据全部上传到管理服务器上，远程监控系统通过eth2可以访问该服务器实现数据的分析和管理。在欺骗性上，eth0和ethl采用的是桥接方式，这种方式不会像第一代方案那样由于路由器的转接而消减TTL值，同时它也不提供MAC地址，这样的话攻击者不容易察觉或者怀疑。在数据控制方面，可以看出，HoneyWall是蜜网与其他网络连接的唯一接入点，攻击者没有其他路经接近蜜网系统，必须经过HoneyWall流入流出蜜网系统，能够完全监视攻击者的所有行为，并对其加以控制。当攻击者企图向外发起连接时，HoneyWall可以起到很好的阻止作用。在数据捕获方面，HoneyWall以及各个蜜罐主机上使用了多层次、多角度的数据捕获机制，以保证为深入分析攻击行为提供全面而丰富的攻击数据。HoneyWall的入侵检测系统是snort系统，也是集成在Roo系统中的，snort在ethl接口上全天候的监听流入流出蜜网的流量，同时还具有记录的作用，将这些信息记录到pcap文件中去，这些记录对今后的数据分析提供了重要的支撑作用。HoneyWall还能够记录进入蜜网系统的网络连接，攻击者向外发起连接超过一定的阀值就进行报警。多种手段对攻击者进行监视和控制。但是仅仅依靠HoneyWall进行数据捕获和记录还是有一定局限性，当攻击者在攻击过程中使用加密信道发出攻击指令，即使HoneyWall将其捕获下来，数据包也都被截去下来，也不能够了解其中所包含的攻击行为。在蜜网系统中HoneyWall并不是唯一的手段，蜜网是一个系统，这个系统的任何单元都要17 第三章蜜网技术发挥作用，所以为了能够获得并且解密这些加密流量，通过在蜜罐上安装的捕获器就可完成。在蜜网系统中的每个蜜罐上安装Sebek，使用Sebek来捕获攻击者在蜜罐主机上的进一步攻击行为，Sebek是安装到蜜罐主机上的数据捕获传输系统。图3．3为Sebek部署示意图。Sebek的隐蔽性非常高，即使在蜜罐本地机安装后都找不到它的踪影，因为Sebek是以内核模块进行安装的，很难被攻击者发现和察觉，实现了对攻击者的击键记录和系统行为。LinuxWindows2000WindowsXP蜜罐主机．图3_3sebek部署图Sebek执行的功能是隐蔽的，通过一切手段避免攻击者的发现，需要在攻击者没有察觉的情况下把数据发送到服务器端。蜜网中的每个蜜罐主机都装有Sebek，上面提到Sebek是以内核模块安装，由于修改了内核模块，所以蜜罐向服务器传输数据的过程中，攻击者是无法看到这些数据包的传输。不仅如此，在同一个局域网的蜜罐主机中，密罐与蜜罐之间也是无法发现Sebek传输的数据，只有服务器可以访问蜜罐捕获的数据，这样大大增强了蜜网系统得欺骗性。图3．4是Sebek数据包产生传输的过程，Sebek内核模块是自己产生数据包，这个数据包可能是一个也可能是多个，这个数据包包括了各种调用和访问的数据信息。Sebek直接将数据包发给了网络驱动设备，所以整个系统都是无法看见这个数掘包，也无法拦截。由于没有通过TCP／IP协议栈来产生或发送数据包，这样就绕过了原始套接字代码和包过滤代码，嗅探器不能看到运行Sebek主机上由Sebek产生的数据包，这是因为嗅探器是基于libpcap的，而libpcap使用原始套接字接口来收集数据包。所以，Sebek这种数据包的产生和传输增强了数据包的安全性和隐蔽性，非常适用于蜜 中固。油人学(华东)丁程坝Jj学位论义网系统，增强了蜜网的安全性。Linux2．4xKemel图3—4sebek数据包产生框图 第网章基于压缩散列入侵榆测4．1入侵检测第四章基于压缩散列入侵检测蠕虫、病毒和木马利用众多的漏洞威胁IT基础设施，对社会和个人造成巨大损失。当这些入侵开始时，响应时间是至关重要的。虽然可用的安全工具提供了一套良好的静态防御，但是他们无法应付这些威胁的动态性，也不能提出及时的动态响应。为了更好的洞察攻击者的攻击和战术，有必要建立一个脆弱环境，吸引攻击者的攻击，并研究他们的行为。(1)异常检测：是指在数据模式下发现不符合预期的行为或模型。该方法是建立正常的数据和观测数据之间的偏差检测。一个通用的异常检测系统的体系结构有三个主要部分组成，即传感器子系统，建模予系统和检测子系统。(2)入侵检测问题：签名匹配技术通过对数据包的内容与一系列签名或规则进行比较来识别攻击，但这些技术对于加密流量和可自我修改的恶意软件等可能是不可靠的。状态协议分析技术通过对每一连接与类似于给定协议配置文件的模板进行比较，任何背离此配置文件的操作将会被立即报告，该方式的局限性在于符合萨常协议的攻击行为往往会被忽视。(3)入侵检测签名：签名是用于识别的一种模式或特征，它是用来“描述一个攻击的特征元素”，分析攻击数据后创建签名。签名对缩小攻击特征的范围是有效果的，因而容易检测出任何攻击种类的变化。(4)自动签名工程：签名的生成是一个复杂过程，产生最后有效的签名可能需要分析数小时。这一分析是基于数据交换中一些独特的特征进行的。理想情况下，这一过程将实现自动化，使得企业能够阻止迫近的攻击。这就要求系统应自动进行智能流量分析，以确定独特的特点，可以帮助IDS生成签名122]。4，2关键问题用于蜜罐系统的自动签名：利兰等人首次报告了复杂自相似网络流量模式的存在。在所有蠕虫变种的有效载荷中通常存在若干不变的子串。基于模式分析的基础上从可疑的流量系统提取共同字节模式，生成一个新的互联网蠕虫的签名。多态蠕虫的签名通常分两大类：20 中国石油大学(华东)工程硕士学位论文(1)基于内容：通过检测在不同情况下字节序列的相似性来描述～个给定的蠕虫病毒。(2)基于行为：通过感知特性字节序列的语义。(执行行为。)像Honeycyber，Polygraph，Hamsa和LISABETH这些基于内容的系统能够实现多态蠕虫自动签名。这些系统之间的共性在于，不管蠕虫是否变种，都存在一些明显的特征子串，通过这些子串实现对蠕虫的签名。所有这些系统捕捉到来自路由器数据包，因此这些系统可能会找到多个不同的脆弱性多态蠕虫，这使得它很难找到多态蠕虫之间明显的相似内容。为了捕捉更多的多态蠕虫实例，当它与主机进行交互的时候，我们需要对其进行观察，并加以分析。4．3实现方法4．3．1自动签名工程系统一个签名的有效性取决于所需创建签名信息的有效性。今天所利用的技术可能比以前有所提高，但是仍然有局限性。这些限制的出现是有些研究人员往往关注于出现问题的方面，而忽略了其他方面，这些信息知识是从研究问题的角度提取的，这些信息只是一个整体信息的一小部分，有局限性。现在需要一种能看的更多、听的更多的信息智能推断结果的系统。搜索和采集信息的系统存在于系统的任何地方(硬盘、内存、网络等)，对这些信息归纳总结后，在检测入侵中生成签名。随着获取信息资源途径的增多，系统将有能力更深入的观测网络和系统事件，这种方法将能观察到更多的网络行为．。行为分析以及系统和网络事件的相关性将产生一个新层次的安全意识。该系统将能够履行下列职能：·检测攻击；·检测异常；·基于模板攻击分类：·攻击检测变化；4．3．2系统事件分析基于主机的IDS可以检测到发生在主机的攻击事件。运行在主机上各种服务、工具和代理，可配置为同志事件进行记录。日志记录也是可以配置的，对调试非常有帮助，分析这些同志可以发现感兴趣的事件。进程运行在被用户以磁甜，内存和I网络形式声明的资源中，这些进程不断用库函数和系统调用并且与内核进行交互。系统跟踪2l 第四章基于压缩敞列入侵检测进程交互的信息，如文件下载，文件复制，加密互动，解密，创建套接字等，这些行为模式可以集成到行为属性中去，这个行为属性将包含进程和事件的特征信息，这可以增强静态或动态代码分析。一个恶意软件的样本是运行在一个沙箱环境中并加以记录的，同时收集所有恶意软件的活动和行为，从而产生行为分析报告。这份报告包括进程ID，文件系统的变化，注册表的变化，网络使用情况和恶意软件的散列信息将被追加到CSV文件，形成了一种通用的行为属性系统中的恶意软件。在不同的行为属性中信息内容的相似性，可以通过归一化压缩距离(NCD)来衡量，根据它们在系统／主机的全部行为，使我们能够确定和分类成组类似的恶意软件，该技术方法类似于机械领域计算机辅助工艺设计中的成组技术。4．3．3网络事件分析为了分析、评估网络系统，研究人员经常利用5元组即源IP、目标IP、源端口、目标端口和协议作为网络流量检测和分析的基础元素。我们提出了一个8元组的行为属性，包括源IP，目标IP，源端口，目标端口，协议，身份认证，TCP标识和有效载荷数据的散列作为基础元素。数据包有效载荷首先使用散列后，才追加到该文件。这些信息可以很容易的从数据流中提取流。从数据流中我们可以获得：·提取有意义的特征和每个流(或流量组)；·使用这些特征值来判断是否存在流量异常。数据包探测器可以提取这些信息，并且可以将数据包写入到一个CSV文件中，形成一个8元组元素配置文件，此CSV文件代表包配置文件。在网络整体行为的基础上，使用NCD，我们可以判断在这些不同的行为特征之间相似性的信息内容，这将有助于确定数据包的分类成组【2孔。因此，通过建立网络蠕虫概况，我们可以识别来自网络流量中的蠕虫包。一4．3．4散列算法有效载荷通过观察网络数据包的变化，要求我们的系统能够检测攻击。将有效载荷添加到配置文件中，在信息流的分类中是有帮助，在通讯中，包的有效载倚足急剧变化的。在计算相似性的时候，添加全部的ASCII值或或十六进制的有效载荷到配置文件可能会引起意想不到的结果。在对比数据包流相似性的时候，这就要求从有效载荷的全部信息中提取具有独特的相关信息来代表该有效载荷的全部信息，一个可行的方案是用固定大小特征的有效载荷代替可变大小的全部有效载荷，并且进行散列化。散列是一 中国石油人学(华东)．T程顾I：学位论文个数学公式，可生成一个唯一的固定大小的序列，如广泛使用的MD5和SHA散列算法。在散列中存在的问题是，在输入端微小变化会引起雪崩效应，会彻底的改变输出。这将导致对一个特定的散列对应着多个稍微不同的有效载荷，增加了不确定因素。这一结果是不能接受，解决的方法是对这些有效载荷进行相似性估计。因此，相似的流量包将会被打上标记，作为完全独立的系统。利用模糊技术和分段散列解决了这个问题，这种技术是将具有特征的有效载荷添加到配置文件中去。4．4系统组件IDS系统由4个主要部分组成：蠕虫探查、网络探查、恶意软件探查、系统／主机事件探查。4．4．1蠕虫嗅探器该蠕虫嗅探器对于任何给定的网络蠕虫的行为特征创建一个签名，这可作为各种蠕虫行为的参考数据集。该系统图4．1所示。已知蠕虫的标识可以通过CVE，Cert和Snort的研究资料来确定。通过蠕虫实际有效载荷的信息制作出数据包，然后对这些数据包进行测试，利用Snort对该蠕虫信息包进行验证，然后送到包分析器。数据包分析器会将会建立为CSV文件格式的配置文件。选择CSV文件格式，因为它很容易导入和导出到数据库。这些配置文件集，发送到NCD计算器模块，生成相似范围距离矩阵的所有数据包配置文件。矩阵中的每个数值是介于0和1代表的相似程度，0是最佳匹配，1为最差匹配。对这些相似性分值进行分析，以确定NCD阈值或临界值。一旦确定，它将被保存在行为签名数据库中。该数据库成为我们的参考网络蠕虫签名数据库。这将有助于确定网络行为是否是蠕虫行为。 第阴章基于压缩散列入侵检测图4-1蠕虫嗅探器4．4．2网络嗅探器网络嗅探器组件负责处理网络数据包，以确定他们的行为是否是蠕虫。这个过程类似于蠕虫嗅探器，对恶意行为活动进行检测，行为签名是自动生成并插入到数据库中，以增强参考数据集。该系统图4．2所示。所有数据包通过包分析器从网络设备或从PCAP的文件中读取。每次采集一组数据，一组数据包括100连续的数据包。蠕虫行为配置文件从参考数据库中输出，通过蠕虫签名添加模式将配置文件添加到这100个数据包的配置文件中。这种结合后的数据集，送NCD计算器模块产生一个成对距离的相似性矩阵表，通过分析器和参考蠕虫数据包比较，进行相似性分析。在阀值范围内的任何数据包将会进行标记，并送入签名生成器模块，这些数据包配罱文件显示了和蠕虫配置文件的相似性。签名生成模块解析器配置文件接收所创建的相应蠕虫签名的NCD阈值，此信息被插入到签名数据库。24 中国石油火学(华东)工程硕士学位论文图4-2网络嗅探器4．4．3恶意软件嗅探器．恶意软件嗅探器组件是用于创建恶意软件行为的配置文件，该系统图4．3所示。各种杀毒软件厂商对每个恶意软件样本进行测试，从而对恶意软件进行验证检测和分类。一旦发现恶意软件的样本在沙箱环境中运行，将会记录和采集所有恶意软件行为，同时生成行为分析报告。行为分析报告的生成是通过挂接系统调用、系统F|志和库调用完成的。这个报告信息，包括进程ID，文件系统的变化，注册表的变化，网络使用情况，和MD5的恶意软件的模糊散列追加到CSV文件，形成一个行为配置文件。这些配置文件将被添加到一个可靠的用户应用程序配置文件中，如常用的Windows可执行文件像ping，net，netsh，talc，cmd等。NCD计算器模块产生一个成对距离相似矩阵表，计算出相似值，通过对分值的分析以确定阈值或临界值。一旦确定，将保存在行为签名数据库中。这将有助于确定在系统上的活动和行为是否是恶意软件。25 第1几I章基于压缩散列入侵榆测图4-3恶意软件嗅探器’4．4．4系统／主机事件探查器系统／主机事件探查器组件处理主机上的所有事件，生成系统活动的配置文件，该文件和蠕虫配置文件进行对比以检测是否是恶意软件，该系统如图4．4所示。主机事件会从系统中捕获，其中包括进程ID，文件更改，注册表更改，网络活动，恶意软件名称和系统散列。对于每次活动的每次事件都会创建出行为配置文件，通过蠕虫签名添加模块将蠕虫配置文件数据集添加到该配置文件中去，将此结合后的配置文件发送到NCD计算器产生成对的相似性矩阵，解析器解析这个矩阵表，以确定所有活动是否是蠕虫活动。所有这些配置文件标记后，送签名生成模块同时将相应蠕虫NCD阀值插入数据库。26 中图石油人学(华东)T程硕l：学位论文图4-4系统／主机事件探查器27 第五章多层网络攻击检测第五章多层网络攻击检测由于网络层状结构的加强，现今网络防御技术需要多种技术的集成。由于数据包流量流经网络是通过不同的层次结构，因此数据必须采取相应的数据表示格式以便不同层次结构进行分析。今天的安全解决方案大都提供单层防御机制，不过我们建议利用不同网络层整合到一个共同的安全系统进行数据分析，利用蜜网可以方便地进行。蜜网是故意设置了一个脆弱性网络环境，其目的是邀请攻击者进行攻击，从而研究攻击者的活动和方法。一个蜜网包含一个或多个蜜罐，主要目的是收集有关攻击者的动机，方法和信息。5-1加强蜜网体系结构在三代蜜网的实施中，只存在一个嗅探器，用于分析数据，并能提供恶意行为的来源。这种嗅探器是网络入侵检测系统NIDS(Snort)，依据签名匹配技术，工作在网络层。然而，由于不可避免NIDS的误报，分析过程是不准确和不完整的。另外，网络入侵检测系统警报和冗余数据率过高，需要对蜜网的其他数据进行过滤，必须人工分析恶意行为。因此，迫切需要对蜜网的自动检测领域进行加强。这将有利于一个单一的监测和分析系统，整合为多层次的检测技术。数据包需要穿越：网络层和系统层。由于数据包穿过不同的层结构，它会留下一些痕迹。为了更好地总结该数据包携带数据类型，我们需要获得网络层和系统层的数据。各种层的数据表示格式是不同的，因此，数据必须统一成一个单一的分析平台。网络入侵检测系统的作用，是分析网络数据，在系统层面上，防线是系统日志，而系统同志是在蜜罐产生的，因此有必要补充检测主机层，以便获得更多的信息f25】o接下来的问题是选择基于系统曰志的最好的开源HIDS工具，将HIDS融入蜜网体系结构[241。为了解决这个问题，要考虑网络攻击分类的标准。攻击分类的IDS(snoft)是建立在对计算机系统的影响程度为基础的优先级别，分为高、中、低。然而，CEI玎攻击分类是获得接入的成功率上为基础的的，包括：●root突破；·帐户突破；●试图访问；·在未经授权的使用。 中国石油大学(华东)工程硕士学位论文OSSEC是一款开源的多平台的入侵检测系统，可以运行于Windows，Linux，OpenBSD／FreeBSD，以及MacOS等操作系统中。包括了同志分析，全面检测，rook．kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。另外有时候不需要安装完全版本的OSSEC，如果有多台电脑都安装了OSSEC，那么就可以采用客户端朋艮务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。在一台电脑上对多个系统进行监控对于企业或者家庭用户来说都是相当经济实用的。主要功能有日志分析、完整性检查、rootkit检测、基于时问的警报和主动响应。除了具有入侵检测系统功能外，它还一般被用在SEM／SIM(安全事件管理(SEM：SecurityEventManagement)／安全信息管理(SIM：SecurityInformationManagement))解决方案中。因其强大的日志分析引擎，ISP(Internetserviceprovider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。为了适应攻击分类CERT的规定，选择Ossec作为可用的HIDS工具，因为它是基于系统日志的，可配置脱机状态，在试图访问程度上，它提供了～个具有严重等级的攻击数值分类：·用户产生的事件(访问次数)．5级；·高度重视事件(未经授权的使用)．12级；·严重攻击．15级。现在的要求是设计、开发与集成Ossec的蜜网体系结构。蜜网系统最终将演变成将不同的分析日志合成一个通用的日志格式。新的蜜网系统提供以下优点：·单一信息源的多种类型日志；◆消除需要导航的Honeywall到蜜罐攻击的分析；●更好的反应时间和效率；●事故处理和响应；●增强攻击分类。5．2新蜜网的软件体系结构设计为了更好的衡量，不同类型的日志必须进行分析。在三代蜜网体系结构，下面的数据捕获日志类型已经确定：·网络流量日志；29 第五章多层嘲络攻击榆测●IDS／Event日志；·Sebek分析；●远程操作系统辨识；·系统．蜜罐日志。．因此，对主机行为的衡量必须考虑系统日志，这些系统日志是在蜜罐系统中生成。对于这些日志的分析可能是不恰当的，因为他们存在于攻击者可见到的蜜罐系统。因此，日志必须转移到安全的Honeywall进行分析，因为所有的分析进程在Honeywall下都是在隐形模式下运行。为了实现可行的实时操作，系统日志传送使用的是SCP功能(安全复制)。SCP是一个在本地和远程主机之间安全传送计算机文件，或者是两个远程主机之间，利用SSH协议。蜜罐系统日志将复制到Honeywall，以便进行分析。5．2．1表征和编码这个阶段是至关重要，Ossec(HIDS)安装配置在离线状态下的Honeywall，蜜罐系统日志将会通过SCP拷贝到Honeywall。该系统同志的分析是使用解码器规则和Ossec攻击签名完成。但是，系统日志的格式需要符合Ossec，蜜罐的同志格式恰恰符合Ossec工作的格式。，在三代蜜网，以下是不同的数据传感器分析不同的数据类型：·Argus(网络流量日志)；●P0f(远程操作系统)：●Snort(NIDS的警示)；·Sebek(进程树代)；·Pcap(原始数据包捕获)。这些数据源通过识别关系实现统一格式的融合。不同的数据传感器之间的关系足以基本网络参数建立起来的。这些参数为：●源IP；·目标口；●源端口：·目标端口；·协议；·时间标签。’、这些重要参数使不同的传感器记录的数据实现相关联性。在Ossec情况下，参数30 中固彳i油人学(。仁东)门}呈倾I：q-"位论文是经过精心挑选的。因此，Ossec代码修改和警报作为必要的参数有：●源IP；●目标IP：·协议：·源端口(不一定是适用于所有的系统日志)；·时间标签。这些参数来自于蜜罐系统日志。这些警报系统在Honeywall产生一个系统文件，Ossec改良后生成CSV格式的警报。5．2．2报警工程对于Ossec．HIDS的整合，hflowd必须进行修改。将完成以下任务：·HIDS的实时处理警示；·Ossec与其他数据传感器的融合；·关系型数据库的形成与HIDS的综合警报。三代蜜网体系结构与HIDS整合形成一个新的数据库架构。图5．1显示的HIDS数据库架构及其与其他传感器的相关性。 第五章多层网络攻击柃测●OSSEC表alert图5-1HIDS数据库架构图5—2给出了顶层数据流程图(DFD)，以示在蜜网的基于主机的检测集成的工作原理。32 中国石油大学(华东)工程硕士学位论文图5．2顶层数据流程图(DFD)攻击者通过攻击蜜罐，蜜罐系统将产生系统日志，该日志安全备份到Honeywall，在Honeywall上利用多数据传感器进行分析，已告知被攻击者，从而进行全面的分析。5．3新结构优点第三代蜜网改进软件体系结构与HIDS集成，如图5．3所示。新的架构展品很多好处大致可概括为：(虚拟机也可)图5-3第三代蜜网改进软件体系结构与HIDS集成(1)定性意义增强攻击分类：一种新的攻击分类描绘成攻击的严重程度与相应系统的访问尝试 第五章多层网络攻击检测程度。这使系统管理员从大量的蜜网数据中可以轻松地获得主机蜜网数据级别的恶意活动。加强攻击检测：蜜网检测区辅以主机的检测，以捕捉如SSH的攻击，登录访问尝试，缓冲区溢出攻击等。改进攻击分析：系统日志的分析在Walleye展示出来，消除了系统管理员需要手动导航到蜜罐与相关的网络连接。HIDS的警报可以显示在一个单独的图形可视化领域中。(2)定量意义未知攻击域(网络和主机)到已知的攻击比例已经大大减少。对于前面的第三代蜜网用公式表示：未知的领域=蜜网数据一IDS报警；集成HIDS的蜜网：未知的领域=蜜网数据．(IDS+HIDS)的报警。随着HIDS的在蜜网体系结构集成，分析任务已经简化，许多攻击已被抓获。但是，主机检测系统日志分析应升级到内核的数据分析，像许多特权级攻击，在系统文件中不留痕迹篡改可执行文件等，为了检测这种攻击，建立蜜罐主动监测机制是必需的，为了发展这种主动监测机制，Sebek的工具是需要予以加强。Sebek是一个可加载的内核模块，对系统调用截获原则也适用。当前Sebek工具只提供捕获内核活动的窗口，今后需加强Sebek的功能。 中国石油大学(华东)工程硕十学位论文第六章蜜网系统测试及分析蜜网系统必须是一个严谨完备的系统，任何一个环节配置不当，都可能造成无功而返，甚至被攻击者利用并遭受重大的损失，所以，在蜜网系统投入实际使用之前，一定要严格测试所有的功能，纠正所有存在的问题，确保蜜网系统配置正确无误。本章将对该蜜网系统进行测试。6．1漏洞扫描；：910试系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取您电脑中的重要资料和信息，甚至破坏您的系统【26】。漏洞扫描往往是攻击者开始攻击时的基本操作，扫描工具可以从网络中下载，扫描工具的功能也日益增强，新手都能够很快的掌握其使用方法。扫描工具是一把双刃剑，自己使用可以掌握自己机器的漏洞从而加以修补增强其安全性，他人恶意使用将会成为危害他人机器安全的工具。多数的扫描工具主要是进行端口扫描和安全漏洞扫描。端口扫描可以查看端口的服务情况，根据这些服务去查找是否有相应得漏洞，探后加以攻击。安全漏洞扫描，如测试弱口令、FTP弱口令等，若模拟攻击成功，则表明目标主机系统存在安全漏洞。漏洞扫描系统分为三大类型的漏洞扫描：基于服务器的通用服务、基于网络设备的专用OS及配置、基于数据库【241。不管哪种扫描工具其目的在于发现系统漏洞，扫描方式有本地扫描和网络扫描，网络扫描只要输入IP地址段，就可以实现大范围的扫描。扫描的结果，如果是有符合漏洞库的漏洞那么就去查找相匹配的漏洞信息，根据该漏洞进行攻击。如果没有漏洞库，攻击者可能使用插件进行模拟攻击，从而测试出主机的漏涮信息，然后再进行漏洞攻击。总之，不管是专业黑客还是入门新手，都能够很容易的从网上下载漏洞扫描工具，并且这些工具使用方法简单，很快就能够熟练掌握，很容易的进入到扫描他人计算机的行列。我们利用Xsean软件在攻击机(IP：192．168．0．2)对虚拟机(IP：192．168．0．4)进行漏洞扫描，从而测试蜜网的工作情况。如图6．1所示扫描漏洞情况。 第六章蜜叫系统测试及分析图6-1Xscan扫描结果2一∞0d，Ok“⋯Haneywall：3232235779crtc"．td：ThuJ埘2，Oe：5乱122010L．，tUpd．te‘nuJul29{：00O0●,000日：8jdIm女ⅢIF"low·“叫F■，⋯’∥⋯⋯⋯r⋯⋯r嚣。—争^5100o0；。。。。：每?函．孵≯-：曲：!"Ou：‘i“‘一．IiidJr．Orl0430020⋯⋯兰⋯～兰鬟二鬃；‘r∞o口裔，?。气鼍搿一。赫．192。,2b一．·7,00O3∞nH，∞nj“∞n-d·⋯黝一嚣o●t00D07‘Hom‘‘7●·j⋯⋯⋯～——％‰～～m一，l∞口qlOJ00202●110“20119舯5219l摹．¨蛳¨72¨伽．’nrO口O0I{000dlj．00O6(五lj‘3口fj2一一曩“五舀丑"五苞琏搿毖瑷荔凋缓理臻缀翳霞戮璧翳蕊缓缀辫§霆霾避1●i蛐Ou西"姐懈‘o’2¨。；“．蚺2；妒10—1，001201600D0I7000aFh●I●00d0Jof：，小0000·O，I"00p]i五1，，·110tO000西I‘P”’搿’02。¨：Ⅲ”2№．16““42i∞O日：{00025000：Hd_}：Vh●kh，、，^¨，‘，●hQ-，’34110TOp"H●n●，po婶Top10R㈣t．Ho此‘≯D●●●p●d露。，“jj紫“2。，。■．1”苗““4FlovDI·●∞nF■k7pl^■●u^d”OmmmdEI廿●ro”刚F●^●f‘国。p”2。．16。g。0一⋯，j。”气鬈““4TCPFlows-一●Id·r●d·⋯¨10，●onh‘●¨■^else@Flowlonh陂1”1。’i⋯⋯．⋯⋯⋯图6-2蜜网网关捕获的漏洞扫描过程在蜜网网关上对XScan漏洞扫描过程中的每个网络连接都进行了完备的记录，从图6．2蜜网网关数据摘要视图可发现正在扫描的192．168．0．2攻击机IP，显示了其扫描的每个网络连接详细信息。通过walleye可以详细的了解攻击者的意图以及操作方式。6．2渗透攻击测试利用Metasploit软件来进行渗透攻击测试。Metasploit是一款丌源的安全漏洞检测工具。由于Metasploit是免费的工具，因此安全工作人员常用Metasploit工具来检测系统的安全性。MetasploitFramework(MSF)是2003年以开放源代码方式发布、可自由获取的开36 中国石油大学(华东)_丁程硕上学位论文发框架，这个环境为渗透测试、shellcode编写和漏洞研究提供了一个可靠的平台。它集成了各平台上常见的溢出漏洞和流行的shellcode，并且不断更新，最新版本的MSF包含了180多种当前流行的操作系统和应用软件的exploit，以及100多个shellcode。作为安全工具，它在安全检测中起到不容忽视的作用’，并为漏洞自动化探测和及时检测系统漏洞提供有力的保障。Exploit是侵入系统的一种方法。Exploit利用系统的某个弱点侵入系统，针对不同系统的exploit也开始变得十分相似。可以将大部分exploit分为以下主要类型：缓冲溢出、访问权限外目录(directoryclimbing)、默认值设置以及拒绝服务。(1)Ms04．007漏洞攻击Ms04—007漏洞允许攻击者在受影响的机器上覆盖堆内容，执行任意代码。该漏洞产生是由于Microsoft’SASN．1库使用Windows的安全子系统，该漏洞可以被利用绕过路径，包括Kerberos，NTLMv2验证，应用软件的证书(SSL，digitally．signede．mail，signedActiveXcontrols，等)。如图6．3所示Ms04．007漏洞攻击过程。图6-3Ms04．007漏洞渗透攻击过程图6-4所示蜜网网关对渗透攻击测试向外发起的反向shell连接，Sebek工作并汜录攻击者的数据包流以供后期分析。图6．5是反向Shell连接对应的详细进程视图，为分析攻击者的意图、目的和手段等提供了良好的工具。图6-6所示对攻击目标实施攻击使其当机，说明攻击操作成功，但其攻击过程已被详细记录。 图6-4蜜网网关对渗透攻击测试的摘要视图(向外发起的反向shell连接)．Ms04—007漏洞图6巧反向Shell连接对应的详细进程视图．Ms04．007漏洞图6-6攻击导致系统关机一Ms04—007漏洞38 中国石油人学(华东)工程颂上学位论文(2)MS08—067漏洞攻击安全级别为“严重’’高危漏洞—MS08．067是Windows操作系统下的Server服务在处理RPC请求过程中存在的一个严重漏洞，远程攻击者可以通过发送恶意RPC请求触发这个溢出，导致完全入侵用户系统，并以SYSTEM权限执行任意指令并获取数据，造成系统失窃及系统崩溃等严重问题。我们利用MS08—067漏洞进行攻击，测试攻击过程中原始数据包流的数据记录。Metasploit3．0以上版本，具有ms08—067_netapiexploit，利用该exploit对目标机进行攻击。攻击过程如图6-7所示，攻击成功。对于大多数计算机来说，该漏洞发现较晚，打补丁不够及时，攻击成功率比较高。图6·7lVls08—067漏洞渗透攻击过程25262728293031：PriorMonth)(NextMonth)Houy—Sons19§0；00i；002：003：004：005：006；00O0O07：000e：001．808759：002010：002，9987011：000i2：003i3：001．，：391．2714：007i5：00416：00017：00018：000COH05unkn?July30th。15：04；33TCp吨一1000kB681pkts00：00：03192．168．0．2一>192．168．0．413160}816pktsmicrosof。t—d5—·》图6-8蜜网网关对渗透攻击测试的摘要视图(向外发起的反向shell连接)．Ms08．067漏洞39^澄 第六章蜜网系统测试及分析图6．8所示蜜网网关对渗透攻击测试向外发起的反向shell连接，Sebek-1-作并记录攻击者的数据包流以供后期分析。图6-9是反向Shell连接对应的详细进程视图。?⋯tJll⋯r·⋯：～‘㈣⋯a·o?·"VI●-●ntonn●由on"竹om‘电Ⅱproems；b●●：vI●vPrice；fTft-f口f廿tIfprcce；f：vi●-O●t●IIlfo,—出“Proces‘：，念．‘<圈芝蚓>丫7lI}-_I：I～：．1雠ilJInlJ：|212l-tr‰f^f图6-9反向Shell连接对应的详细进程视图，Ms08．067漏洞图6-lo反向Shell连接原始数据包流重组结果我们下载原始数据包流，利用软件Ethereal进行重组，如图6．10所示，可以得到攻击者的键击记录。在攻击测试过程中，蜜网网关对这些攻击测试的数据捕获和分析能力说明了第三代蜜网技术已经达到了较为成熟的阶段。 中国石油大学(华东)工程硕士学位论文总结与展望随着第三代蜜网技术的推出，蜜网技术已经发展成为主动防御、诱捕攻击者的一种非常有效的、实用的、成熟的方法。蜜网作为一个完整高级系统，一般由一个蜜网网关、多个蜜罐主机以及各种相关工具组成，对于一个真正的蜜网系统来说，蜜网网关和蜜罐应部署在多个主机上，形成具有真实的网络系统。通过实现攻击者的攻击行为的捕获，能够分析出攻击者的攻击方法、攻击手段、攻击目的和攻击意图，实现网络行为的取证和审计等。本论文取得了以下的结论：(1)在研究蜜网基本概念、体系结构以及蜜网的部署基础上，深入分析了蜜网的技术和建立过程，通过测试，第三代蜜网系统具有较强的易用性、安全性和可扩展性。(2)利用压缩散列技术对入侵行为进行相似性分析，从而能够快速判断入侵行为是否是蠕虫病毒或者恶意软件攻击。(3)探讨了将第三代蜜网与HIDS工具相结合，实现多层网络的攻击检测。进一步工作如下：完善数据捕获和数据分析的方法，丌发多种分析手段，使用户能够方便、快捷的得到有用信息。完善蜜罐的引诱信息，使之更加真实，具有更高的交互性，尽可能多的得到攻击者的有用信息，从而不断完善网络安全机制。随着蜜网技术的不断成熟和发展，将会有广泛的应用日仃景。41 参考文献[11熊华，郭世泽，吕慧勤等．网络安全-取证与蜜罐[M】．人民邮电出版社，2003；【2】徐娜．蜜网系统建设及发展趋势研究[J】，信息网络安全，2007．9-35—36；[3】(美)施皮策(Spitzner，L．)著．honeypot：追踪黑客．邓云佳译．清华大学出版社，2004；【4]TheHoneynetProject著．黑客大揭秘．曲向丽，潘莉译．中国电力出版社，2003；【5]Yangxiangruing，OnNetworkSecurityofDigitalInformationResources明，JOURNALOFLIBRARYSCIENCEINCHINA，2004．2：[6】陈爱民．计算机的安全与保密[M]．北京：电子工业出版社，2002；[7】史进．结合蜜网盲勺分布式入侵检测系统的设计与实现[D]，复旦大学，2006．2；[8】沈文华．基于虚拟蜜网的校园网安全体系结构设计与实5JE[D]，浙江师范大学，2008．5：[9]9杨翠屏．基于VMware的虚拟蜜网技术的研究与实现[D】，哈尔滨理工大学，2009．3：’【lO】马传龙，邓亚平．Honeynets及其最新技术【J]，计算机应用研究．2004．7：11—13；[11】吴智发．第二代蜜网框架介绍．北京：北大蜜网项目组．2005：【12】BobBruen，TheHoneynetProject．KnowYourEnemy：2nded．LearningAboutSecuritYThreatS．2004．7；【13】贺庆涛．蜜罐技术研究及蜜网设计[J]，计算机技术，2005．2：42—44；【14】肖蓉．基于蜜罐技术的网络安全研究[J】，计算机技术，2005．7：17．19；【15】曾荣生，晁爱农．蜜罐与蜜网技术及应用[J]，微计算机信息，2007．12：69-71；【16】余鹏，王浩．蜜网系统的设计与实现[J】，微计算机信息，2009。7：41—43；【17】诸葛建伟，韩心慧，周勇林等．HoneyBow-一个基于高交互式蜜罐技术的恶意代码自动捕获器[J]，通信学报，2007．12；【18】诸葛建伟，吴智发，张芳芳等．利用蜜网技术深入剖析互联网安全威胁【J]，中国计算机大会(oNce’2005)，2005．10；【19】王铁方，李云文，叶宝生等．一种基于蜜网的网络安全防御技术[J]，计算机应用研究，2009．8：3012．3014：42 ——一——中国石油人学(牛东)丁程硕上学位论义———————————————————————————————————————————．-———o———一-：【20】胡义召，王贞，安利等．虚拟蜜网的设计与实现[[J]，计算机工程与科学，2009．8：21．23；【2l】张骏，熊桂林，朱明旱等．一种基于VLAN技术的蜜网设计与实现[．『]，湖南工程学院学报，2008．3：44．47：．【22】FahimH．，AbbasiandR．J．Harris．IntrusionDetectioninHoneynetsbvCompressionandHashing[J】，2010Australasiantelecommunicationnetworksandapplicationconference，2010：96。101：[23】G-ranados，A．Camacho，D．Rodriguez，F．B．．Evaluatingtheimpactofinformationdistortiononnormalizedcompressiondistance[J]，ICMCTA2008，2008．9：69—79；’[24】Zimmermann，J．1；Me，L．1；Bidan，C．Experimentingwithapolicy．basedHIDSbasedonaninformationflowcontrolmodel[J]，Proceedings19thAnnualComputerSecurityApplicationsConference，2003．11：364．373；[25】J．S．Bhatia，RakeshSehgal，BharatBhushanandHameetKaur．MultilaverCyberAttackDetectionThroughHoneynet[J】，2008ESR，2008：1-6；【26】沟溪桥，解培岱．第三代蜜网在园区网中的应用[J】，甘肃科技，2009．7：21．23；43 ——_——————立塑堡塑塑垄塑攻读硕士学位期间取得的学术成果[1】路苑’刘素芹·蜜网技术在军队网络安全中的应用研究[J]，仪器仪表用户，2010．5：4．6 中国石油大学(华东)T程顾t学位论文致谢首先要感谢我的导师刘素芹副教授，论文的写作工作是在刘老师的悉心指导下完成的。刘老师以自己深厚的理论造诣、丰富的实践经验和对前沿科学敏锐的洞察能力，为我的研究工作提供了有力的指导和帮助：在我硕士阶段的学习过程中，刘老师严谨。的治学方针，稳重的工作作风，积极乐观的人生态度令我终身受益。从跨入学校开始攻读硕士研究生的那一天起，刘老师就给了我许多指导和帮助，使我在第一年学习专业理论的阶段，能够专心学习，认真考试，打下了I轻实的理论基础并取得了比较优秀的学习成绩。进入科研阶段以来．，为我创造了良好的环境，在导师的关心、启发和认真指导下，我顺利地完成了选题并进入了课题研究，最终能够完成好课题的研究和实验，离不开导师的教诲和帮助。其次，感谢我所在部队的领导和战友们，我在我攻读硕士研究生期间，部队首长经常关心我的学业，为我解决了为了不少实际的困难，创造了良好的学习外部环境。感谢三年来和我一起学习的同学们，感谢他们给我的帮助和友谊。最后，深深感·谢我亲爱的父母感谢他们对我的爱护和全力支持。从考研到完成毕业论文，他们默默的奉献和全力的支持是我战胜一切困难的力量源泉。．感谢所有关心、帮助和支持过我的人。45