一种基于windows平台蜜网系统的研究与设计 47页

北京工业大学硕士学位论文一种基于Windows平台蜜网系统的研究与设计姓名：郑小静申请学位级别：硕士专业：计算机应用技术指导教师：王全民20090401 摘要随着计算机技术和网络技术的飞速发展，计算机网络对于社会政治、经济和军事等方面重要部门的影响越来越大。但目前的网络组件，不论是硬件还是软件，不论是交换设备还是端设备，都存在着自身的脆弱性，很容易被攻击。网络安全事件越来越多，产生的损失也越来越大，研究如何保障计算机网络的安全就显得尤为重要。．传统的网络安全技术有防火墙、入侵检测、身份认证、访问控制等等，这些安全技术大都是基于特征规则匹配的，采用的是被动的安全策略，误报警或漏报警较高，而且对于未知的攻击行为不能够做出有效的响应，面对不断增长的新的攻击方式方法显得力不从心。为了解决这一问题，人们提出基于主动防御策略的网络安全技术，即蜜网(网络陷阱)。蜜网基于入侵诱骗技术，主要作用是构建陷阱网络，主动吸引攻击者入侵，从而了解他们的攻击工具、动机和方法等相关信息。将蜜网技术和传统的网络安全技术进行有效结合，能弥补传统技术存在的不足，在应对越来越复杂的黑客攻击方面，具有其独特的作用。本文首先综述了当前蜜网技术的研究现状和发展概况，研究了蜜网所采用的关键技术以及蜜网存在的相关问题。其次，详细分析了蜜网的数据捕获方法，重点研究了一种基于Windows系统平台的内核级数据捕获方法。再次，根据设计原则，设计目标和设计思想，部署并实现了虚拟蜜网系统，并对蜜网进行了系统测试，测试结果表明，该蜜网系统基本达到了设计目标。关键词网络安全；蜜网；主动防御 AbatractAbstractWiththerapaddevelopmentofcomputertechnologyandnetworktechnology,computernetworkforthesocial，political，economicandmilitaryandotherimportantsectorsisincreasing．However,thecurrentIntemetinfrastructm"eequipment，whetherhardwareorsoftware，whetheritisswitchingequipmentorterminalequipment，havetheirownvulnerabilities，itiseasytobeattacked．Moreandmorenetworksecurityincidents，resultingingreaterandgreaterlosses，tostudyingthewaysthathowtoprotectthesecurityofthenetworkhasbecomeparticularlyimportant．Thereareseveraltraditionaltechnologiesofnetworksecurity,forexample：firewall，intrusiondetectionsystem，authentication，accesscontrol，andSOon，thesesecuritytechnologiesarematchedbasedonthecharacteristicrules，adoptedbythepassivesecuritypolicyoftengeneratedfalsealarmormissedalarm，andCannotmakeaneffectiveresponseforunknownattacks．Inthefaceofever-increasingwaysandmeansofnewattacksappearedtobeinadequate．Inordertosolvethisproblem，thereisaactivedefensestrategybasedonthenetworksecuritytechnology，thatis，hone)met(networktraps)．Hone)metwasbasedontheintrusiondeceptionsystem，itsmainroleistobuildatrapnetwork，taketheinitiativetoattractanattacker"sinvasion，tounderstandtheirattacktools，motives，methodsandotherrelatedinformations．Toeffectiveintegrationofhoneynettechnologiesandtraditionalnetworksecuritytechnologies，callmakeupfortheshortcomingoftraditionaltechnologies，playitsuniquerolesinresponsetotheincreasinglycomplexhacking．Inthispaper,firstly,thereisanoverviewofthehone)mettechnologycurrentresearchanddevelopment，researchedthecoretechnologyusedbytheexistenceofhoneynettechnologies，andexplainedtherelatedissues．Secondly,givenadetailedanalysisofhone)metdatacapturemethods，focusonasystemkernel-leveldatacapturemethodsbasedontheWindowsplatform．Finally,accordingtodesignprinciples，designobjectivesanddesignthought，theauthorfulfilledthedeploymentandtherealizationofavirtualhone)metsystem．Aftersystemtestingofthevirtualhone)met，showedthatthehone)metsystemachievethedesignobjectives．KeywordsNetworksecurity；Honeynet；ActivedefenceIII 独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名：酱嶂吼华脚关于论文使用授权的说明本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。(保密的论文在解密后应遵守此规定)签名：』警卫哞导师签名：啦吼靼和 第1章绪论1．1课题背景及意义随着计算机网络技术飞速发展，其应用已经遍布到世界各行各业中，这其中包括了政府、军队、银行以及交通能源等敏感部门，可以说，网络已经发展成为了日常生活的基础设施之一。网络的应用大大的降低了各行各业的运行成本，提高了工作效率，给人们的生活也带来了极大的方便。在给人们生活带来方便，给社会带来巨大效益的同时，网络的安全问题也随之而来了，尤其是最近几年，网络安全问题就显得尤为突出。2007年ComputerSecurityInstitute针对企业、政府、金融、医药等不同领域的494家公司进行网络危害的调查，结果显示仅其中194个调查对象就损失近6700万美元。我国国家计算机网络应急技术处理协调中心2008年4月29日发布的数据显示：2007年我国网络安全事件发生量的增长幅度较大，网络仿冒、网页恶意代码、网站篡改等增长速度接近200％，木马主机的增长率为2125％n3。这些都表明网络安全事件越来越多，造成的损失也越来越大。导致互联网目前如此糟糕的安全状况的原因有很多，一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷，同时，大部分的网络使用者还未真正拥有安全意识，也还很少进行安全加强工作，如及时打补丁、安装防火墙和其他安全工具等，从而导致了目前的互联网具有巨大的安全隐患。另一方面，随着网络攻击技术的发展，特别是分布式拒绝服务攻击、僵尸网络及互联网蠕虫的盛行，互联网上的每一台主机都已经成为攻击的目标。此外，黑客社团也不像互联网早期那么单纯，不再仅仅为了兴趣和炫耀能力而出动，而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧，他们可以很方便地从互联网上找到所需的最新攻击脚本和工具。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用，功能也越来越强，能够造成的破坏也越来越大。黑客攻击网络的方式多种多样，有的通过编制病毒程序，放到网络上让其传播；有通过端口扫描，找到系统漏洞，然后针对漏洞进行攻击：也有的监听网络上的通信，截获数据包进行分析或者篡改等等。黑客的攻击方式多样化，使得一些传统网络安全技术，例如防火墙、入侵检测系统、身份认证等等在应对未知攻击的时候显得力不从心，由于这些安全技术采用的都是被动的安全策略，只有在攻击行为发生之后，才能够发挥作用，而且由于防火墙日志、漏洞检测 北京T业大学T学硕十学位论文鼍曼詈詈詈詈!詈!!曼詈曼!皇!曼曼暑詈鲁皇詈詈詈曼曼曼!!曼曼!!曼曼!!曼!!曼鼍鼍曼曼!!!!!!!詈曼毫Hi皇皇曼曼!曼曼鼍曼!苎!!!!!!曼量报告和入侵检测报告数量较多，导致工作量巨大、工作效率低下，误报率和漏报率较高。而蜜网作为一种新的安全工具，在攻击的检测、分析、研究，尤其是对未知攻击的捕捉、分析、研究方面日益显示出其优越性。蜜网思想是在网络上布置一个诱骗网络，在该网络种放置黑客感兴趣的“敏感信息”或者是模拟一些漏洞，从而吸引黑客的入侵，通过监测一记录黑客在陷阱中的行为，了解黑客的攻击思路、攻击工具、动机等信息；布置蜜网还可以将黑客的注意力转移到陷阱中，防止其对其他网络的攻击。由此可以看出，蜜网采用的是主动防护的安全策略，将其和传统的网络安全技术有效结合，在应对越来越复杂的黑客攻击方面，具有其独特的作用。1．2蜜网技术背景和发展现状1．2．1蜜网技术背景蜜网技术是由蜜罐技术发展而来的。蜜罐技术是一种欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术，它通过布置一些作为诱饵的主机、网络服务以及信息诱使攻击者对他们进行攻击，减少对实际系统所造成的安全威胁，更重要的是蜜罐技术可以对攻击行为进行监控和分析，了解攻击者所使用的攻击工具和攻击方法，推测攻击者的意图和动机，从而能够让防御者清晰地了解他们所面对的安全威胁。蜜罐的思想最早出现在九十年代初期，由网络管理员所应用，通过欺骗黑客达到追踪的目的。1998年著名计算机安全专家FredCohen发布了著名的蜜罐工具DTK(欺骗工具包)，并于2001年在理论层次上给出了信息对抗领域欺骗技术的框架和模型，FredCohen的研究工作也为蜜罐技术奠定了基础担一1。蜜网技术实质上仍是一种蜜罐技术，但它与传统的蜜罐技术相比具有两大优势：首先，蜜网是一种高交互型的用来获取广泛的安全威胁信息的蜜罐，高交互意味着蜜网是用真实的系统，应用程序以及服务来与攻击者进行交互，而与之相对的是传统的低交互型蜜罐，例如DTK和Honeyd，它们仅提供了模拟的网络服务H，。其次，蜜网是由多个蜜罐以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构，这种体系结构创建了一个高度可控的网络，使得安全研究人员可以控制和监视其中的所有攻击活动，从而去了解攻击者的攻击工具、方法和动机喵。71。 第l章绪论1．2．2蜜网发展现状一、蜜网的国外发展现状蜜网技术作为一种新兴的网络安全技术，已经得到国外很多研究机构和公司的重视。蜜网工程(HonenyetProject)是世界范围内对蜜网技术的研究项目，代表着蜜网技术的最新研究方向，由蜜网研究联盟(HoneynetsearchAllianee)负责推进。蜜网研究联盟成立于1999年4月，目前由全世界20多个国家的蜜网研究组织组成，主要工作是通过使用蜜网来研究入侵者使用的工具、策略和动机。其所有的研究成果都是开放的，向整个安全研究领域公布。蜜网早期(1999年至2001年)的研究关注于验证蜜网理论，试验蜜网模型。在此期间建立了第一代蜜网模型，并在试验中验证蜜网理论的可行性和蜜网模型的有效性。蜜网中期(2002年至2004年)的核心研究内容从早期的验证蜜网理论转移到简化蜜网应用。早期的蜜网虽然可以实现捕获网络攻击的功能，但实现起来较为复杂，而且难于维护。因此，中期将改进蜜网的易用性做为研究的重点。在此期间建立了第二代蜜网，极大地增强了蜜网的易用性，并广泛应用于教育侧、政府、商业、军事等领域。在此期间还出现了虚拟蜜网技术和分布式的多蜜网构架哺1。目前，蜜网的研究重点是增强蜜网的隐蔽性和易用性，以及分布式蜜网和蜜场。在易用性方面，蜜网的研究主要集中在如何高效的部署和恢复蜜网，其中虚拟蜜网技术是一个研究热点。虚拟蜜网的使用可以极大地加快蜜网的部署和恢复，减少软硬件投资。目前，在Linux下有较为完善的虚拟蜜网解决方案，但在WindwOS系统中仍没有较好的解决方法。二、蜜网的国内发展现状我国在该领域的研究开始较晚，目前对蜜网的研究仍处于起步阶段。2001年国家自然科学基金信息安全项目正式对该领域进行了立项研究。2002年至2005年，我国学者对蜜网技术进行了广泛的研究。姚浩提出了基于信任的蜜网安全体系结构，指出一个完备的分布式安全体系结构模型包括基础、信任及控制三个方面。其中，信任对系统的安全是至关重要的，主要论述了如何以信任为基础构建蜜网的安全体系。王铁方对蜜网与防火墙及人侵检测的无缝结合进行了研究，指出了蜜网的不安全性，提出蜜网、入侵检测技术和防火墙结合的方案。应锦鑫对利用蜜罐技术捕捉来自内部的威胁进行了深入的研究，提出了如何利用蜜罐技术来检测、标识及收集来自内部威胁信息的方法。李之棠提出了动态蜜罐技术分析与设计的方法，指出动态蜜罐通过监控和自学习实时的网络环境，能够解决蜜罐在配置和维护上存在的需 北京T业大学一r学坝十学位论文要人工干预的问题呻1。2005年1月北京大学的“狩猎女神”计划是北京大学计算机研究所信息安全工程研究中心推进的蜜网研究项目，同年2月该研究小组正式加入世界蜜网联盟。该小组在蜜网技术领域的研究取得了较为突出的成绩。该小组结合蜜网技术和扫描技术开发了用于网络环境探测的自动化工具N—Eye。诸葛建伟利用蜜网技术深入剖析了互联网安全威胁，并对僵尸网络进行了跟踪。狩猎女神项目目前的实践和研究方向包括如下三个方面n叭：(1)跟进最新的蜜罐与蜜网技术发展，实际部署和维护蜜网，并对蜜网捕获的黑客攻击及恶意软件进行深入分析，增进对蜜罐与蜜网技术的理解，了解互联网最新的安全威胁。(2)通过物理蜜罐和自动恶意软件收集软件两种途径对互联网上传播的恶意软件进行捕获，并对其进行深入分析，研究恶意软件捕获和分析的规范化及自动化流程。特别针对僵尸网络进行发现、追踪及反制的研究。(3)针对蜜网的核心功能一数据分析，研究蜜网攻击数据统计分析及关联分析技术，并进行实用化工具研发。1．3作者的主要工作本文的研究目的是在windows系统平台上研究和设计蜜网系统，并重点研究基于主机内核的数据捕获方法。因此，本文在研究蜜网基本概念、核心功能和体系结构的基础上，深入地分析了蜜网的数据捕获方法，并重点研究了内核级捕获技术。在对蜜网技术进行深入研究的基础上，作者设计并实现了用于捕获网络攻击的虚拟蜜网系统，并模拟攻击者对蜜网进行了网络攻击，成功捕获了攻击信息。通过对虚拟蜜网系统的测试，验证了设计的蜜网系统满足了最初的设计目标，并且具有较强的灵活性、安全性和扩展性。1．4本文结构本文主要分为四个部分阐述：第一部分：(第1章)分析蜜网系统的发展与研究现状：阐述本研究课题的来源和项目背景及其理论与实际意义。第二部分：研究蜜网系统的核心技术，以及基于windows系统的内核级数据捕获方法。(第2章)研究蜜网的三大核心技术及蜜网系统中存在的问题。(第3章)对本文的关键技术基于内核的数据捕获方法进行了深入的分析和研究。 第1荦绪论第三部分：探讨基于windwos系统平台的蜜网系统的设计与实现，以及对所设计的虚拟蜜网系统进行测试。(第4章)探讨基于windwos系统平台的虚拟蜜网系统的设计。(第5章)根据设计原则实现虚拟蜜网系统并对其进行测试。第四部分：(结论)首先总结在蜜网研究与设计中得到的一些体会，然后指出课题中需要进一步深入研究的内容。1．5本章小结本章首先概述了课题的研究背景和意义，然后较详细地介绍了蜜网的技术背景和国内外发展现状，最后简要说明了作者的主要工作和本文的结构安排。 第2章蜜网研究2．1蜜网技术概述著名的蜜网技术专家L．SPITZNER曾对蜜网做了这样的定义：蜜网是一种资源，它的价值是被攻击或攻陷n¨。这意味着蜜网是用来被探测、被攻击甚至最后被攻陷的。虽然它不会修补任何东西，不会直接提高计算机网络的安全，但却为使用者提供了额外的有价值的研究信息，是其它安全策略所不可替代的一种主动防御技术。蜜网技术基于主动诱骗的原理，采用主动的防护策略，试图构建一个吸引攻击行为的环境，让攻击者在其中活动而记录他们的行为。通过分析所记录的信息，可以了解攻击者的动机、攻击模式、攻击工具等知识。这种防护模式中，网络安全防护者是发起者，所以是主动的安全策略。该技术本身并不能够替代防火墙等传统技术，但与防火墙、入侵检测等技术相结合，却能够提供更加完善的网络防护措施。蜜网不是对外提供服务的系统，蜜网本身不应当产生网络流量，也不允许授权的访问。因此，与蜜网进行的一切交互行为都可以认为是恶意的或者是未经授权的。任何连向蜜网的连接很可能是一个探测、扫描或者攻击行为。从蜜网中发出的所有连接都表明有人己经控制了蜜网中的某个系统，并且利用这个系统向外发起连接。蜜网的这个特性就使得分析蜜网内的活动十分简单。传统的安全技术，如防火墙日志或者入侵检测系统的感应器，管理员必须从大量的数据中分辨出有价值的信息，或者从数以于计的警报中提炼出真正对黑客行为的报警。大量的时间和精力都被花费在查看这些信息、分辨攻击行为或者非授权访问方面了。而蜜网是由陷阱主机和蜜网防火墙组成的网络，所有捕获的数据都被认为是非授权或恶意的，我们只需要从这些数据中找出对我们最有价值的东西，然后进行深入分析。2．2蜜网核心技术分析蜜网的三大核心功能是数据控制、数据捕获和数据分析。数据控制功能能够确保攻击者不能利用蜜网系统危害第三方网络的安全，从而降低蜜网的使用风险：数据捕获功能能够捕获入侵者的所有攻击行为数据：而数据分析功能便于多个蜜罐主机的信息进行集中管理和分析入侵者的攻击动机、攻击工具。 北京T业大学T学硕士学位论文2．2．1数据控制数据控制就是对蜜网内攻击者活动的牵制和限制，其目的是为了减少风险n引。蜜网有着被攻击者控制，用来攻击或者危害其他蜜网系统的风险，数据控制机制必须采取各种方法，不让蜜网中的攻击者因为偶然或者蓄意危害其他非蜜网主机。这是一个有挑战性的工作，因为：第一，我们必须允许攻击者有一定程度的自由。给予攻击者的自由度越大，能够通过蜜网了解到他们行为信息就越多，然而，这样攻击者绕过数据控制机制，控制蜜网并且危害其他非蜜网主机的风险就越大。如何在给予攻击者的自由和限制他们自由之间保持平衡是一个难题。第二，蜜网必须在不被攻击者发觉的情况下对攻击者的行为进行限制。实现数据控制的最有效方式不是单纯依赖一种机制，而是用层次化的方式实现对数据的控制。例如对外出连接进行计数、采用入侵防护系统或者带宽限制。这些不同的机制综合使用能够避免单个机制的单点失效问题，尤其是在处理未知攻击行为的时候，这种作用更加突出。同时，数据控制必须运行在一个失效即关闭的模式下。也就是说，如果数据控制机制出现了失效，蜜网能够阻断所有的外向链接，而不是不进行任何限制。因此要实现蜜网的数据控制功能，必须实现以下功能：1．必须同时实现自动数据控制和人工数据控制。也就是说，蜜网必须能够利用工具实现自动响应或者手动中断。2．至少要在两个层次上实现数据控制从而防止失效。3．数据控制功能的失效，不能导致系统处于开放状态。当所有层次的数据控制都失效时，系统应当自动阻断所有对蜜罐主机的访问和所有对外网的访问。4．能够维护所有的内向连接和外向连接的状态。5．管理员必须能够在任何时间，任何地点对数据控制机制进行管理。6．进行数据控制，必须尽可能避免让攻击者发觉。7．当蜜罐被攻击时，必须能够自动报警。最后，必须了解数据控制机制只能够减少风险。它不可能完全消除攻击者利用蜜网攻击其他非蜜网主机的风险。如图2-1所示，蜜网的数据控制机制。 国2-1蜜网的数据控制机制Figure2-1DatacontrolmechanisⅢ防火墙可以通过限制对外连接数来完成数据控制，可以在某段时间内限制由蜜罐向外部发起的连接数量。一旦在规定时间内向外连接的数量达到预先设置的闽值，所有连接将被自动阻塞。网络^侵防护系统可以通过规则集决定对数据包的处理策略，从而可以阻塞或修改蜜罐向外部网络发起已知的攻击，有效降低蜜罐给其它主机带来的风险。此外进可以利用路由器本身的访问控制功能对外出数据包加以控制，禁止非蜜罐系统的源IP包路由，并对ICMP外出包进行流量控制，以防止黑客在控制了蜜罐系统之后，伪造源IP地址向其它主机发起攻击。22数据捕获数据捕获就是监控并且记录蜜网中攻击者的活动，秘密地捕捉属于入侵者的所有流量，包括击键序列及其发送接收的所有信息，这是进一步分析入侵的基础““。通过对捕获的数据进行分析，可以了解黑客团体的工具．攻击策略和动机。数据捕获最基本的要求就是捕获尽可能多的数据，同时不能让攻击者发觉。与数据控制样，实现数据捕获也耍采用层次化的思想。采用多重机制进行数据捕获十分重要，多层次的数据捕获能够获取攻击者行为各个角度的信息并将他们整合起来，而且能够防ll单点失效。网络安全人员面临的新的挑战是，入侵者攻入系统之后通常会更改或删除主机上易于暴露入侵行为的各种日志记录。并且，入侵者在使用加密的通道(如，SSII)与被侵占主机进行通讯，导致普通数据捕获技术(如Winpcap等)捕获的数据无法解密，也就无法监视入侵者的攻击行为。因此需要一个新的数据捕获技术，在入侵者对数据进行加密前或解密后将数据捕获，并隐蔽地传输到其它安全的主机上。同时，该捕获技术应有很好的隐蔽性，使入侵者难于发现。誊星拿一 北京工业大学工学硕上学位论文实现数据的控制，必须实现以下功能：1．蜜网捕获的数据不能存放在蜜罐主机本地。2．下列行为必须被捕获，并且存档。．进入蜜网和从蜜网发出的连接(防火墙日志)．网络活动(完整的包捕获)．系统行为3．能够远程实时查看蜜网中的活动。4．能够自动将数据存档，以备将来分析时使用。5．对蜜网中所有蜜罐捕获的信息维护统一的，标准的日志。6．对每个被攻陷的蜜罐主机维持一个标准的，详尽的信息表。7．蜜网网关的数据捕获必须采用全球统一时间，单个的蜜罐可以采用本地时间，但是捕获的数据在进行分析时必须转换成全球统一时间。8．用来捕获数据的资源必须采用安全措施，防止被破坏。同数据控制机制类似，数据捕获不能确保安全。攻击者可能找到识别数据捕获机制的方法，并且研究出绕过或者破坏数据捕获机制的方法。2．2．3数据分析数据分析是理解捕获的攻击防御／恶意软件活动的行为，安全网关通过与防火墙、IDS、路由器的结合，可以采用数据预处理、行为提取和行为跟踪及时捕获黑客信息。1．数据预处理：负责对所有数据捕获组件得到的原始行为数据进行解析与封装，采用SSL安全传输协议转送至行为提取模块。2．行为提取：负责在初步处理后的标准格式的原始数据中提取演练双方的主机行为、网络攻击行为和系统连接状况，结果记入攻防演练行为数据库中。3．行为跟踪：负责将攻击方自发动攻击开始到离开网络的全过程中所有行为链接在一起，形成攻击行为跟踪链，并可以用图型化的方式显示u劓。2．3蜜网技术存在的问题蜜网是一种强有力的安全防护工具，但在看到蜜网的作用的同时，也不能忽视蜜网所带来的风险。蜜网能够搜集关于威胁的大量信息。为了获取这些信息，蜜网必须允许攻击者对蜜网内的系统和应用程序进行访问，甚至是以管理员的权限进行访问，这就带来了各种类型的风险。蜜网带来的风险，可以分为四种类型：危害其他非蜜网主机：被攻击者检测到的风险：被绕过的风险：被用来做其他非法用途的风险n副。 第2蕈蛋嘲研歹℃一、危害其他主机的风险这种风险指蜜网被攻击者用来作为攻击其他非蜜网主机的跳板或者工具。例如，攻击者可能进入蜜网，获取了一个蜜罐主机的控制权，然后对外网发起攻击，成功破坏他制定的目标主机。数据控制机制是用来减少这种风险的最主要方法。多层次的数据控制能够使得攻击者造成破坏的难度变大。然而，没有一种方法能够保证蜜网不被用来攻击其他的系统。不管防护机制有多么完善，攻击者最终都能够绕过它们。二、被检测到的风险蜜网的第二个风险是被攻击者检测到。攻击者如果发现了蜜网的存在，不管他采取什么应对措施，都会使得蜜网的作用大大减小。三、被绕过失效的风险蜜网有着被攻击者破坏失效的风险。攻击者可以采取措施，使得蜜网的数据控制或者数据捕获机制失效。例如，攻击者如果意识到蜜网的存在，他可能会使蜜网的某个功能失效，但同时仍然向其注入虚假的信息，使得管理员认为这个功能仍然在正常运行。采用多层次的数据控制和数据捕获机制能够减少这个风险，因为它能够防止单点失效。四、被利用做非法用途的风险蜜网的最后一个风险是被攻击者用作违法用途。攻击者控制蜜网，可能不用该蜜网向蜜网外发动实际的攻击，而是用其做另外一些非法的用途。例如，攻击者可以向被控制的蜜罐上传如电影拷贝，音乐，窃取的信用卡号码等等非法材料，并且利用它进行传播。这就给设置蜜罐的组织带来了麻烦，因为如果发现了蜜罐中的违法行为，对这些行为负责任的是蜜罐的所有者。2．4本章小结本章对蜜网技术进行了总体概述，蜜网是一种主动防御技术，它的价值在于被探测和攻击，目的是为了获得入侵者的攻击方法、攻击工具等信息。然后详细分析了蜜网的三大核心技术：数据控制、数据捕获和数据分析，详细阐述了三大核心技术的功能和要求，最后介绍了蜜网技术中存在的一些风险和问题。 第3章基于Windows系统平台的数据捕获方法研究第3章基于Windows系统平台的数据捕获方法研究3．1Windows系统相关知识介绍3．1．1Windows总体结构简介为了避免用户应用程序访问和修改关键的操作系统数据，windows系统使用了两种处理器访问模式：用户模式和内核模式。用户程序运行在用户模式下，而操作系统代码(比如系统服务和设备驱动程序)运行在内核模式下。内核模式是指这样一种处理器执行模式：它容许访问所有的系统内存和所有的CPU指令。处理器让操作系统软件比应用软件有更高的特权级，从而确保一个行为不正常的应用程序不会破坏系统整体的稳定性。Windows操作系统是一个庞大而完整的系统，它采用了分层结构，如图3—1所示。系统进程服务应用程序环境子系统图3-1Windows系统核心结构Figure3-1MainframeofWindowsOS．13． 四种基本的用户模式进程分别介绍如下：(1)系统进程，比如登录进程和会话管理器，它们并不是Windows的服务，不是由服务控制管理器来启动的；(2)服务进程掌管Windows服务，比如调度器，事件记录器等；(3)用户应用程序：有六种类型：Windows32位、Windows64位、Windowsl6位、MS-DOS16位、POSIX32位、0S／232位；(4)环境子系统服务器进程：这里所谓的环境是指操作系统展示给用户或者程序员的个性化部分。WindowsNT最初发布的时候带了三个不同的环境子系统：Windows、POSIX和0S／2‘1町。在Windows环境下，用户应用程序并不直接调用原始的Windows操作系统服务，而是通过NTDLL．DLL来发起调用。NTDLL．DLL是一个特殊的系统支持库，主要用于子系统DLL，是用户模式与内核模式交流的窗口。它包含两种类型的函数，一是系统服务分发存根，为Windows执行体系统服务提供了接口，在用户模式下可以通过调用这些接口函数调用Windows执行体的系统服务。另一种是内部支持函数，供子系统、子系统DLL以及其他的原生映像文件使用；Windows的内核模式组件包含以下部分：(1)Windows执行体是Ntoskrnl．exe中的上层，它包含了基本的操作系统服务，比如内存管理、进程和线程管理、安全性、I／0、网络和跨进程通信；(2)Windows内核是由一组低层次的操作系统功能构成的，比如线程调度、中断、异常分发以及多处理器同步；(3)设备驱动程序既包括硬件设备驱动程序，也包括文件系统和网络驱动程序。(4)硬件抽象层把内核、设备驱动程序和Windows执行体的其余部分，跟与平台无关的硬件差异隔离开来。(5)窗口和图形系统实现了用户界面函数操作系统的大部分代码与设备驱动程序代码共享同样的受保护的内核模式内存空间。3．1．2Windows系统服务调用过程Win32子系统为应用程序提供了应用程序编程接口，即Win32API，这些函数都是通过NTDLL．DLL中的NativeAPI实现的。NTDLL．DLL是系统服务在用户模式下的一组接口，调用NativeAPI使操作系统从用户模式进入内核模式，调用内核提供的系统服务。例如在用户模式下执行ReadFile0函数，其调用系统 第3章基于Windows系统平台的数据捕获方法研究皇!!曼曼量詈詈!!!!!!鼍皇皇!!!!————m鼍!!!皇曼!!曼!曼曼曼曼量皇曼!!!!詈曼服务的过程如下图3-2所示调用ReadFile01L调用NtReadFile0上Int2E／Sysenter进入内核模式应用程序Ntdll．dll用户模式KiSystemServiee调用NtReadFile1Ll调用驱动程序内核模式Ntoskml．exeDriv既．sys图3-2Windows系统服务调用过程Figure3-2Systemserviceexecutiveflow3．2蜜网数据捕获方法研究数据捕获最基本的要求就是捕获尽可能多的数据，同时不能让攻击者发觉。部署的改进版蜜网通过三个层次来捕获数据(如图3-3所示)：蜜网采用基于防火墙日志、IDS日志和蜜罐主机系统日志进行“三重捕获”的信息收集n71。防火墙在IP层记录所有出入蜜网系统的连接；IDS在数据链路层对蜜网中的网络流量进行监控、分析和抓取；蜜罐主机系统日志可以记录入侵者的攻击行为。 北京T业大学T学硕：E学位论文第一层捕获第二层捕获第三层捕获图3-3蜜网的数据捕获机制Figure3-3Datacapturemechanism第一层数据捕获机制是防火墙。防火墙不但具有重要的数据控制功能，还可以很好的捕获所有出、入的数据，并及时发出报警信息。因为所有的流量都必须经过防火墙，而黑客并没有发现防火墙的存在。防火墙将记录所有的流入蜜网的网络连接，并记录攻击者攻陷蜜网后向外发起的网络连接以及超过连接数和流量速度限制的报警。比如说，某人尝试telnet到honeynet中的某台主机上，防火墙就会记录并且报警。这对跟踪端口扫描非常有效。另外，它还可以记录下对后门及一些非常规端口的连接企图。多数的漏洞利用程序都会打开某个端口等待外来的连接，而防火墙可以轻易地判断出对这些端口的连接企图并且向你报警告知。同样的，系统内部的陷阱主机往外发起的连接，一样会被记录在案。当然，这些警告多数是告诉你，有人在对你的系统感兴趣了，并且已经侵入你的系统中——你可以通过一些如发送email或者发送短信等方法来对系统管理员进行提示。防火墙记录对于发现新攻击或在扫描过程中改变扫描走向非常有用。第二层数据捕获是入侵检测系统(IDS)。在Honeywall上部署的网络入侵检测系统将在网路接口上监听全部流入流出蜜网的网络流量并抓取到本地的文件中，并且对其中符合攻击特征的数据包产生报警日志，这些数据为我们追查并还原一个攻击行为提供了全面的网络流量信息。此外，IDS系统可以提供特定连接的详细信息，通过这些信息可以知道攻击者入侵系统的细节。最后，攻击者通常会在攻击过程中使用SSH等加密信道发出攻击指令，即使将全部的数据包都截获并监听下来，也不能够了解其中所包含的攻击行为u引。然而这些加密的数据最终会在蜜罐主机上接收并进行解密，所以可以考虑在蜜罐主机上安装一个内核级的数据捕获模块，来捕捉解密后的入侵者的击键记录 第3苹基于Windows系统、F台的数据捕获方法研究和系统行为等加密信息。该技术得以实现的重要依据是加密信息被正常使用前必须在内核空间的某个环节先解密，之后再使用数据或运行指令，因此可以在内核中插入一段代码来截获解密后的数据。3．3内核级数据捕获方法3．3．1内核级数据捕获原理内核级数据捕获技术的核心思想是绕过系统进程直接捕获解密后的数据，其实质是利用Rootkit技术，将一段程序代码植入操作系统内核，从而记录击键信息等内容n9。。具体的说就是通过分层的驱动程序，在捕获击键动作之时，硬件设备驱动程序已经将该击键动作转换成I／0请求报文(IRP)。这些IRP沿着驱动程序链向上或向下传递，要截获击键动作，Rootkit只需将自己插入到这个链中。因此，无论入侵者使用任何二进制程序，都可以从内核捕获数据并且可以记录入侵者的行为。内核级捕获不但可以记录击键，还可以捕获蜜罐的所有动作信息，而且从底层直接实现了捕获数据的网络传输，即使入侵者使用嗅探器也无法检测到网络中存在捕获数据包。当入侵者攻破蜜罐，他可能会使用如SSH的加密工具来登陆被攻陷的主机，登陆的时候肯定要输入命令，这时木马Shell程序会记录他们的动作。从操作系统内核访问数据将是一个很好的捕获方法。基本思路是开发一个可加载的内核模块，用来替换系统调用表中的函数指针，这样当内核中的原始读数据函数调用系统的read()函数时，它实际调用的是我们新开发的new()函数(如图_read3—4所示)。这个函数主要做两件事，一是调用系统本身的read()函数：二是将截获到的数据输入到数据日志中。获取到的数据会通过安全的通道传输到陷阱网关服务器上供日后分析用。 北京工业人学工学硕仁学位论文图3—4内核级数据捕获原理Figure3-4KeneldatacaptureSebek技术就是基于此原理的内核级数据捕获工具。3．3．2内核级数据捕获工具一Sebek一、Sebek概述Sebek是一个数据捕获工具，它是运行在内核空间的一段代码，记录系统用户存取的一些或者全部数据呦3。这个工具有这些功能：记录加密会话中击键，捕获远程系统被记录的口令，恢复使用Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。对我们来讲所有数据捕获工具的目的都是利用捕获的数据准确地重现蜜罐上的事件。需要通过这些信息来确定入侵者是什么时候攻破系统的，他们是怎么做的，以及在获得访问权限后又做了什么。这些信息还可能告诉我们谁是入侵者，他们的动机是什么，以及他们和谁一起 第3荦基于Windows系统、F台的数据捕获万法研冗工作。为了确定入侵者获得访问权限后所作的事情，我们需要捕获的数据能够提供入侵者的击键记录和攻击的影响。如果没有使用加密，那么用Winpcap等工具重组网络上捕获数据的TCP流就可以得到会话的内容，从而监视入侵者的击键。这种技术不但可以得到入侵者输入的信息，也可以得到入侵者看到的输出。当会话没有被加密的时候，流重组技术是捕获入侵者动作的理想方法。但是会话被加密的时候，流重组也只能得到加密的会话内容，破解加密会话内容是非常困难的。加密的信息如果要使用就肯定会在某些地方不是被加密的，绕过进程就可以捕获未加密的数据，这是解密工作的基本机制，然后获得访问未保护的数据。使用二进制木马程序是对付加密的尝试。从操作系统内核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序，都可以从内核捕获数据并且可以记录他们的行为，Sebek技术就是基于此原理。而且，由于用户空间和内核空间是分开的，所以Sebek在技术上实现对所有用户隐藏自己的动作。二、Sebek工作原理Sebek有两个组成部分：客户端和服务端乜¨。客户端从蜜罐捕获数据并且输出到网络上让服务端收集(参考图3—5所示)。服务端有两种方式收集数据：第一种是直接从网络活动的数据包捕获，第二种是从tcpdump格式保存的数据包文件心羽。当数据收集后既可以上传到相关数据库，也可以马上显示击键记录。Sebek使用无连接、不可靠的UDP协议进行通信。客户端可以记录用户通过Read()函数系统调用的所有数据，运行Sebek的蜜罐以难以检测的方式把这些数据输出到服务端所在的网络，然后服务端收集所有蜜罐主机发送的数据。因为这些数据都有一个统一的标准格式，所以服务端可以收集各种不同操作系统蜜罐的数据。 HonoypotHoneypolHoneypot罔3-5Sebek部署示意图Figure3-5DeployingSebek(1)客户端数据捕获：客户端数据捕获是由内核模块来完成的，我们使用这个模块获得蜜罐内核空间的访问，从而捕获所有read0的数据。Sebek替换系统调用表的raed()函数来实现这个功能，这个替换的新函数只是简单的调用老read()函数，并且把内容拷贝到一个数据包缓存，然后加上一个头，再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。当用户空间的进程调用标准的read()函数的时候会产生一个系统调用，这个调用映射到系统调用表数组的索引偏移。因为Sebek把read索引的函数指针修改指向到它自己的函数实现，所以当执行到内核的read实现时就会执行Sebek修改后的read调用，Sebek通过这个系统调用看到所有访问的数据。数据在使用的时候一般都是解密的。比如有动作发生的时候，SSH会话的击键显示在shell上的数据肯定不是加密的。这个动作一般会产生一个系统调用，在内核空间收集数据，我们能截获这个系统调用访问进程解密后但还没有处理的数据，通过这种方法就可以在加密环境下捕获击键、文件传输、Burneye的口令等。(z)客户端数据输出当Sebek客户端捕获数据，那么它需要在入侵者没有察觉的情况下把数据发送到服务端。一般情况下蜜罐都是布置了一个局域网内，如果Sebek只是简单使用UDP流来给服务端发送数据，入侵者只需监听网络上的数据传输就可以判断是否安装了Sebek。不过Sebek还是使用UDP来给服务端发送数据，但是 第3章基于Windows系统、F台的数据捕获方法研冗它修改内核使用户无法看到这些数据包，包括其它主机发送的该类型使用相同配置的数据包。而且当Sebek把这些数据发送到网络的时候，系统也无法阻止这些数据包的传输。如果一个局域网上每个蜜罐安装了Sebek，它们都不能发现任何Sebek数据，然而服务端能够完全访问这些由客户端捕获的数据。每个read0调用请求Sebek都会产生一个或多个日志数据包，每个数据包都包含了一点关于这个调用内容的信息和这个调用访问的数据。每个包还包含了一个Sebek记录，这个记录包含一些产生调用的进程描述、调用产生的时间和记录数据的大小。这些包完全由Sebek产生，而不是使用TCP／IP协议栈来产生或发送数据包，所以系统无法看到或阻断这些数据包。当数据包创建好的时候就直接发送给驱动设备，这就绕过了原始套接字代码和包过滤代码㈨。由于嗅探器是基于Winpcap的，而Winpcap使用原始套接字接口来收集数据包，所以嗅探器不能看到运行Sebek主机上由Sebek产生的数据包。操作系统内核图3-6Sebek数据包产生和输出Figure3-6Sebekpacketgenerationandoutput 北京工业大学T学硕卜学位论文因为Sebek产生自己的数据包并且直接通过设备驱动发送它们，所以用户无法使用IPTABLES来阻断数据包，也无法用网络嗅探器来监视它们，这也防止了蜜罐上的入侵者通过检查局域网数据传输来检测是否有Sebek。第二个要解决的问题是需要阻止蜜罐A检测到蜜罐B的Sebek数据包。使用以太交换不能解决这个问题。因为Sebek不是通过ARP获取目标IP地址对应的目标MAC地址，所以它对ARP欺骗有自然免疫能力乜引。但是在有些情况下，蜜罐A可以看到蜜罐B的数据包，这样入侵者就可以在蜜罐A运行嗅探器来看到局域网上来自蜜罐B的Sebek数据包。为了解决这个问题，Sebek安装了自己的原始套接字实现。在Sebek数据包头定义了预先设定的目标UDP端口和固有的魔术数字，如果这两个值都匹配了，那么这个数据包就会被忽略。这个简单的实现不会对Sebek数据包有影响，只是丢弃它们并且移到队列里的下一个数据包，这使得入侵者即使使用嗅探器也无法捕获Sebek数据包。三、Sebek的局限性在蜜罐上使用的Sebek不能被入侵者检测到，但是用于检查基于内核模块技术rootkit的检测工具可能会检测到Sebek，所以入侵者检测到使用这种系统的可能性也是挺大的。我们正是使用Rootkit技术来安装Sebek，入侵者也可以用Rootkit检测技术来发现Sebek，在windows环境下可以通过遍历PsLoadedModulelist发现Sebek。幸运的是，当Sebek被关闭的时候，入侵者使用的代码或程序以及关闭动作的记录就发送到服务端。为了使Sebek不被入侵者发现并恶意关闭，我们有必要进一步研究Sebek的隐藏技术。3．3．3Sebek隐藏技术的研究在Windows系统内核中，每个进程的EPROCESS结构中引用了一个双向链表，在偏移量+0x088的ActiveProcessLinks变量是LIST—ENTRY结构昭引。利用Windbg可以查看其结构，第一个成员Flink指向当前进程的后一个进程的LISTENTRY结构，第二个成员B1ink指向当前进程的前一个进程的LIST_ENTRY结构，采用这种方式，所有的进程构成一个双向循环链表。为了达到隐藏Sebek进程的目的，可以修改这个双向链表，将Sebek进程从此进程列表中删除，而且这样做并不影响Sebek进程的执行。把进程从内核的进程链表中删除，不会影响操作系统为这个进程分配时间片，事实上，Windows的调度算法是基于线程而不是基于进程的。这种隐藏技术的隐蔽性较好，一般的检测方法无法检测出隐藏的进程。 第3章基于Windows系统’F台的数据捕获方法珂f冗接下来的问题是如何在操作系统内核中找到这个双向链表，函数PsGetCurrentProcess返回指向当前线程所属进程的指针，这个函数是最有效的获取当前进程指针的方式，可以运行在任何子系统中，但它的调用者必须运行在IRQLPASSIVE_LEVEL。PsGetCurrentProcess函数是如何获取当前进程指针的呢，首先定位到内核处理器控制块(KernelProcessorControlBlock)结构，它位于内核模式空间中某一个固定位置，从中读取当前ETHREAD的指针，从ETHREAD结构中读取成员KTHREAD结构中的指针，定位到当前进程的EPROCESS结构。得到进程链表以后，就可以根据特定的需求对这个链表进行操作。3．4本章小结本章首先简要介绍了Windows系统的总体结构和系统调用过程，然后详细分析了基于Windows系统平台的蜜网系统的三层数据捕获方法，其中重点研究了基于系统内核的数据捕获技术，最后详细分析了基于Windows系统平台的内核级数据捕获方法的原理、工具以及隐藏技术。 第4章蜜网系统的设计4．1设计原则根据陷阱网络的含义，Honeynet需要通过诱导、欺骗的方式对入侵行为进行牵制、记录以及收集信息。在具体设计上遵循以下几个原N-1、自身安全原则任何网络安全系统的有效工作都应该建立在保证自身安全的基础上，同样，入侵诱骗系统的引入，不能给原有的网络环境带来新的安全隐患，更不能使自身被入侵者利用来攻击其他系统。2、诱骗能力最大化原则在保证自身安全的前提下，为使入侵诱骗能够发挥效果，应该采取各种措施使入侵诱骗的核心即诱骗能力最大化。3、入侵行为控制原则面对潜在的或正在发生的入侵行为，入侵诱骗系统不但要通过诱导和欺骗等方式检测到其存在，还要尽可能的对这些入侵行为进行控制。4、能够成功捕获数据原则虚拟蜜网应当具有良好的数据捕获能力，能够完整的捕获攻击数据。同时应当保证收集的信息安全性、完整性和机密性。4．2设计目标本蜜网系统的设计目标如下：l、蜜网应当具有良好的数据捕获能力，能够捕获到大量的、有价值的信息。2、蜜网应当能检测攻击类型：ICMP、FTP、Telnet、端口扫描、用户账号、服务扫描、操作系统扫描、清除日志等：3、当外出连接数目达到设定阈值后，连接控制能够自动阻断连接；4、路由控制能够阻止黑客利用蜜罐系统向其已系统发送伪造的IP地址包；5、数据捕获能够记录进入和流出蜜罐系统的连接、记录并显示攻击者在蜜罐主机中的操作；6、能够对入侵者在蜜罐主机中的操作信息进行远程日志记录；7、蜜网自身应当具备一定的安全性，也就是能够对攻击者的行为进行一定的控制，同时应当能够保证收集的信息的安全性、完整性和机密性。 北京1=业人学T学硕卜学位论文4．3设计思想要满足上述设计原则和技术指标，部署蜜网的目的是希望了解黑客的攻击方式，这就要求采集尽量完整的黑客活动信息。首先，要考虑平台的选择。鉴于Windows系统使用的广泛性，选择Windows作为与黑客交互的系统，可以保证有大量潜在的黑客群体会对此感兴趣进而发起进攻行动。其次，鉴于有限的试验条件和设备，本文拟采用虚拟蜜网的部署方式。虚拟蜜网是一种借助虚拟操作系统软件(如VMWare)，在同一时间、同一硬件平台上模拟多个操作系统，可以在单台计算机上部署和运行整个蜜网的解决方案比引。虚拟蜜网并非一项全新的技术，它和传统的蜜网具有相同功能。其特色在于能在单个主机上运行传统蜜网的所有组成部分，这使蜜网部署更加便捷，配置更加集中，而且维护简单。虚拟蜜网与单机蜜罐相比更加复杂高效，极大地提高了蜜罐系统检测、响应、恢复、和分析受侵害系统的能力。但是，配置蜜网需要的硬件代价和管理代价也是非常昂贵的。Honeynet采取防火墙和入侵检测系统相结合的两层数据控制机制，对数据控制执行“宽进严出"策略，即允许所有外部信息包进入Honeynet，但对蜜罐主机所有的外发连接进行追踪，当某台蜜罐主机外发连接数达到阀值时阻塞多余数据报。对于数据捕获可以实现防火墙、入侵检测和系统日志的三层捕获，这样做的好处是可以避免单点失效的情况出现，并能够更全面的记录黑客的入侵活动。在蜜罐主机上使用Sebek数据捕获工具能够隐蔽的收集黑客在系统上的活动信息，而融合了入侵检测和防火墙功能的网桥，增强了数据采集的力度，即使是蜜罐遭到了破坏，防火墙同IDS也可以采集到大量的数据用于分析．同时该网桥不但能检测到未授权的活动，甚至可以修改或扼杀黑客的活动，从而有效地控制了蜜罐的出境连接，使得以蜜罐为跳板的攻击行为失效。4．4虚拟蜜网设计4．4．1虚拟系统介绍虚拟系统是指在一台真实的物理机上运行一些仿真软件，通过仿真软件对计算机硬件进行模拟，使得在仿真平台上可以运行多个不同的操作系统，这样一台真实的机器就变成了多台主机(称为虚拟机)。通常将真实的机器上安装的操作系统称为宿主操作系统，仿真软件在宿主操作系统上安装，在仿真平台上安装的操作系统称为客户操作系统。VMware是典型的仿真软件，它在宿主操作系统和客户操作系统之间建立了 第4章蜜网系统的设计一个虚拟的硬件仿真平台，客户操作系统可以基于相同的硬件平台模拟多台虚拟主机乜L矧。图4-1是VMware的仿真平台示意图图4-1Vmware仿真平台示意图Figure4—。1VmwareemulationalPlatform虚拟机的引入必然进一步加大蜜网的复杂性，带入更多的潜在漏洞和被攻击机会。然而，虚拟机的特点决定了它与操作系统内核和服务的漏洞对攻击者的价值有较大的差别。首先，虚拟机对内核的显示服务要比操作系统对用户少得多，因此攻击虚拟机的机会要更少。其次，通过攻击内核或服务漏洞经常有机会执行任意代码而得到root权限，攻击虚拟机以获得特权域的操作权限则极其困难。第三，由于虚拟机的职责决定了它并不与网络交互，因此，攻击者很难找到远程漏洞攻击虚拟机系统。最后，对于较为敏感的特权域或宿主机，虚拟蜜网的部署者一般会将这部分系统保留在攻击者可见网络范围内，他们只在虚拟机中起网络桥接功能，因此对黑客不可见，这也大大减少了攻击者直接获得特权域操作的机会。综上所述，攻击者对虚拟机潜在漏洞的运用较困难，而且以破坏性居多，在这种情况下，我们还是可以通过蜜网系统有效的记录黑客所使用的攻击虚拟机系统的方法。4．4．2虚拟蜜网的体系结构虚拟蜜网的体系结构如图4-2所示： 图42虚拟蜜网体系结构图Figure4-2Frameworkofvirtualhoneynet以桥接模式部署的网桥是整个网络部署的核心，它包含三个网络接口啪3，eth0连接外网，ethl连接蜜网，以网桥的方式连接不会对嘲络数据包进行TTL递减和网络路由，也不会提供本身的MAC地址，因此对攻击者而占，Honeywall是完全不可见的，同时Honeywall是蜜网与其他网络连接的唯一连接点．所有流入流出蜜网的网络流量都将通过Honeywall，并受其控制和审计。Honeywall的另一网络接口eth2连接日志／控制服务器，使得Honeywall捕获的数据能够发往日志服务器，同时也使得能够远程对Honey,vail进行控制，该接口一般使用内部IP，井严密防护。43虚拟蜜网技术虚拟Honeynet是一种可让你在单。的机器上运行所有东西的解决方案。之所以称为虚拟是凼为运行在机器上的各个操作系统看起来与运行在单独一台机器上的操作系统并没有什么外观上的区别。一、虚拟Honeynet与非虚拟Honeynet的比较：对于不使用虚拟机制的蜜网系统来说，其安装和配氍对于任何操作系统都是可行的，没有任何限制。这样的系统有一些缺点，首先，在同一台训算机上同时只能运行一种操作系统，对计算机资源的有效利用率不高。其次，重新安 第4章蜜网系统的设计装新的操作系统是比较复杂和费时的，哪怕使用备份系统的时候也是如此，大多数情况下，我们必须手动的登录到计算机上以便确定攻击者没有对系统造成严重的破坏。对这种系统的监视只能通过外部机制来完成，但是如果一个黑客己经完全进入了系统中，这些外部控制机制很容易被发现并禁止。如果使用虚拟技术来实现一个蜜罐系统，那么我们就有很多机会来实施监视系统的功能，基于宿主操作系统和虚拟技术，客户操作系统可以实现很多种类的功能。我们能够在一个宿主操作系统上并行安装多个虚拟操作系统，这些虚拟操作系统甚至可以是不同种类的。虚拟机制让我们可以随时对其内部执行情况进行监视，但是却不用担心被黑客发现，管理员可以随时对系统内部各种状态进行“快照”并保存，因此对黑客行为进行一步一步的记录是很容易实现的。如果虚拟的客户机遭到了攻击者的破坏，要重装虚拟机是非常容易的，很多客户机是基于宿主操作系统上的一个单独的文件，要对它进行备份是非常容易实现的，仅仅需要把这个文件放到一个备份介质上，然后当需要恢复的时候把它们从备份介质上覆盖回去就可以了。如果是完全重装的方式，也不需要对宿主操作系统做太大的变动(例如从新配置并启动宿主操作系统)，只需要运行一个客户级的应用程序就可以了。虚拟蜜网优点是：开销较小，易于管理，因为所有东西都被整合在一个系统中。你可以用一台电脑来配置一个虚拟Honeynet来代替用8个电脑配置的一个全面的Honeynet。但是，这种简单会付出一定的代价。首先，通过硬件和虚拟软件能够配置的操作系统类型具有局限性。比如，大多数Honeynets是基于IntelX86芯片的，所以你只能配置基于这种结构的操作系统。其次，虚拟Honeynet会带来风险。特别是攻击者可能会破坏虚拟软件，并且控制整个Honeynet，从而达到对整个系统的控制。最后，有指纹识别的风险。一旦破坏者攻破了你虚拟Honeynet所在的系统，他们就能够确定系统是在一个虚拟环境中运行。二、虚拟Honeynet主要分成两类：1．自包含虚拟Honcynet(Sdr-ContainedHoneynet)：这种类别的Honeynct把它的各个组成部分都安装在单一的一台机器上。这点设置优点如下：(1)可移植性。虚拟Hone)nets能够搭建于移动电脑上，能被带到任何地方。(2)即插即可捕获。你只需要一台电脑，把他连接到任何一个网络上就可以作好抓获那些blackhats的准备。这使的配置容易许多，因为你仅仅要做的只是物理配置和连接一个系统。(3)资金和空间上的节省。你只需要一台电脑，所以这就减少了你硬件上 北京T业大学1二学硕：E学位论义的开支。他只需要一个很小的空间来放置，仅仅使用一个出口和一个端口。对于我们这些时间和能力有限的人来说，这是一个节省的好办法。但是这种方式也有其自身的缺点：(1)如果硬件出了问题，整个Honeynet将不能使用，容易造成单点失效的问题。(2)高质量的电脑。尽管一个独立的Honeynets只需要一台电脑，但是他必须是一个强大的系统。取决于你的设置，你必须拥有足够的内存和处理能力很强的处理器。(3)安全性。因为所有东西都共享硬件资源，所以存在攻击者攻破系统其他部分的危险。这些大多数取决于虚拟软件。(4)软件局限性。因为所有东西都在一个系统中运行，你能使用的软件就会受到限制。例如，在Intel芯片上运行CiscoIOS是非常困难的。2．混合虚拟Honeynet(HybridHoneynet)：这种类别的Honeynet并不局限与于一台机器，而是把它的组成部分分开在多台机器上部署㈨。这种设置的优点是：(1)安全性：在独立虚拟Honeynets中，存在攻击者攻破honeynet其他部分(比如说防火墙)的危险。在混合虚拟Honeynet中，唯一的危险只可能是攻击者进入其他的蜜罐主机。(2)灵活性：你可以使用多种软件和硬件来实现混合网络的数据控制和数据捕获。例子之一，你可以在网络上使用OpenSnoa或者Ciscopixappliance。你也可以运行你想要运行的任何一种honeypot，而放弃在网络上的另一台主机。(虚拟Honeypot’S主机除外)。混合虚拟蜜网的缺点如下：(1)不可移植，既然honeynet网络由多台主机组成，那么移动就很困难。(2)时间和空间的高价性：网络中有多台电脑，你将花费更多的精力，空间和资金。三、虚拟Honeynet的网络连接方式：VMwareWorkstation是一个虚拟机软件，可以运行在Linux和Windows两种平台下，它可以模拟主板、内存、硬盘、网卡、声卡、USB口等多种硬件。、仆俩内re可以在一台主机上同时运行多个不同的操作系统。与“多启动"系统相比，VMWare采用了完全不同的概念。多启动系统在一个时刻只能运行一个系统，在系统切换时需要重新启动。V]Ⅵware是真正地“同时”运行多个操作系统在主系统平台上，就像主系统的应用程序那样可以很方便地相互切换。运行在VmwareWorkstaion(下面简称Vmware)上的操作系统的网络连接方式有三种‘3¨： 第4章蜜叫系统的设计1桥接方式(Bridge)：在桥接方式下，Vmware模拟一个虚拟的网卡给客户系统，主系统对于客户系统来说相当于是一个桥接器，如图4-3所示。客户系统好像是有自己的网卡一样，自己直接连上网络，也就是说客户系统对于外部直接可见。VirlualEtheenetadapter图43桥接方式Figure4-3TheBridgeMode2网络地址转换方式(NAT)：在这种方式下。客户系统不能自己连接网络，而必须通过主系统对所有进出网络的客户系统收发的数据包做地址转换，如图4-4所示。在这种方式下，客户系统对于外部不可见。VirtualEthemetadapter酽、～』．，阿I=鑫l1’1■l¨t—ualmachi。。日匡Ea皿D“HCPsere，⋯““⋯“”‘瑞：黑：N吁ATdevice⋯～@圈4-4网络地址转换方式Figure4TheNATModo 主机方式(HostOnly)：在这种方式下，主系统模拟一个虚拟的交换机，所有的客户系统通过这个交换机进出网络，如图4-5所示。在这种方式下，如果主系统是用公网1P连接Intcrnct，那客户系统只能用私有IP。但是如果我们另外安装一个系统通过桥接方式连接Internct(这时这个系统成为一个桥接器)，则我们可以设置这些客户系统的m为公网IP，直接从这个虚拟的桥接器连接Internet，下面将会看到，我们正是通过这种方式来搭建我们的自包含的虚拟Honsynct的。adamer45本章小结l口卫匡口口■”“ua”““"销黼图4-5主机方式Figure4-5TheHost-CnlyMode本章首先阐述了蜜网设计中应该遵守的原则，将要达到的设计目标和设计思想；然后根据设计目标和设计原则，提出了构建一个基于Windows系统平台虚拟蜜网系统的设想；最后介绍了虚拟蜜网技术的一些相关知识，并给出了虚拟蜜网的体系结构。 第5章虚拟蜜网的实现5．1虚拟蜜网网关Honeywall的安装一．软硬件需求基于Windows平台构建虚拟蜜网的硬件配置建议如下：1．至少P4CPU，建议2．0GHz以上；2．至少512M内存，建议lG以上；3．至少20G硬盘，建议40G以上；4．联网的100M网卡。软件配置包括：1．宿主主机：操作系统：Win2K／WinXP，本文档基于WindowsXPSP2VMwareWorkstationforWin32，本文档使用VMware-workstation-5．0．02．蜜网网关虚拟机：RooHoneywallCDROMv1．0一hwl893．蜜罐虚拟机：Windows2KPRO二．ⅥⅥwareWorkstation安装采用默认安装方式安装’’V1V[warc软件。三．HoneywalIRoo安装1．从HoneynetProjcct主页下载最新的RooISO，下载后确定验证过MD5签名。2．使用光盘控制程序从已下载的ISO创建一个光盘。，3．配置BIOS确保系统从光盘启动。重启电脑，它将会从光盘启动并开始安装过程。安装过程中会出现蜜网项目组的溅屏，如图5．1所示。这时，系统会进入一个一分钟的暂停，让用户和安装过程相交互。按下回车键，系统将开始安装过程。如果一分钟后，没有与系统有交互，系统会自动开始安装过程。一旦安装开始，这是个全自动化的过程，从这里开始不需要和安装过程有任何交互。由于是自动化的，安装无需任何人为干涉。 图5-1蜜网网关安装过程Figure5-1ThcProcessofsetupHoneywal]4系统重启厉，安装过程就结束了。现在，碗鼎有一个最小化和坚实的FedoraCore3操作系统，这个操作系统增加了对Honeywall的支持。可以看到一个带有登录提示的命令行。从这里开始，就可以登录并开始标准的配置过程。四HoneywaIIGonf配置文件Honeywfllconf配置文件是一个ASCII文本文件，包含了操作系统和Honeyw“l使用的所有变量的值。Honeywall光盘附带了个默认的Honeywallconf配置文件。如果想要配置系统，必须使用自己的／etc／honeywallconf文件。理解Honeywall脚本不直接使)羽／etc／honeywallconf文件做为它的运行时配置文件足非常重要的。所有的变量都放在／hw／conf配置目录r的文件早头。可以通过传输存储在／etc／honeywalleonf里面的所有变量到新的Honeywall来进行初始设置，使用它来配置／hw／conL可以在Honeywall命令行上利用／usr／local／bin／hwctl来处理这问题。把预先配置的Honeywallconf文件拷贝到Honeywall驱动器上的／etc／honeywallconf,然后使用下面的命令解析放置在／hw／conf目录的变量值，步开肩l-loneywall 第5章虚拟蜜网的实现服务／usr／local／bin／hwctl—s—P／etc／honeywall．conf。就这样，Honeywall将按照设置全功能运作。可以使用这个方法完全避免对话界面(假设已经正确设置了所有的变量)，并直接使用Walleyeweb界面。实际上，这就是当启动一个傻瓜式Honeywall时，Honeywall真正的如何启动它自己。Hwctl通过帮助输出(hwctl舢进行了部分归档。5．2数据控制机制的实现一、包括使用IPTableS防火墙提供外出流量限制和使用网络入侵防御系统对已知攻击进行无效化。外出流量限制机制通过IPTableS限制每台蜜罐主机在单位时间内允许向外发起的连接数以及流量速率，一旦攻击者试图利用攻陷的蜜罐主外发起扫描、拒绝服务攻击等，Honeywall上的IPTableS将丢弃超过限制的外出数据包，并产生警告通知，从而不会对第三方网络构成危害。使用脚本rc．firewall来配置Iptables实现连接控制，设置了攻击者从Honeynet能够向外发出的各类连接的数目021。在这个脚本中，可以设置攻击者可以初始化多少TCP、UDP、ICMP或者其他外出连接：拍辫Settheconnectionoutboundlimitsforthedifferentprotoeols．SCALE=‘"hour"’TCPRATE=“5”UDPRATE=“10”ICMPRATE=“30”OTHERRATE=“5”二、网络入侵防御系统则通过安装著名开源网络入侵检测系统Snort工具实现，通过查看外出的每个数据包，发现其中包含有已知攻击特征，将生成警报并根据配置选择丢弃数据包或修改数据包使得攻击无效b驯。SnoR是一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和日志m网络数据包的能力，能够进行协议分析，对内容进行搜索／匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，Snort具有很好的扩展性和可移植性。还有，这个软件遵循通用公共许可证GPL，所以只要遵守GPL任何组织和个人都可以自由使用。它有三种工作模式：嗅探器、数据包记录器和网络入侵检测系统阱3。(1)采用Winpcap捕获数据链路层的分组并进行协议分析(如TCP／IP协议)。Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。大多数网络应用程序访问网络是通过广泛使用的套接字。这种方法很容易实现网络数据传输，因为操作系统负责底层的细节(比如协议栈，数据流组装等)以及提供了类似于文件读写的函数接口。但是有时，简单的方法是不 北京T业大学T学硕士学位论文够的。因为一些应用程序需要一个底层环境去直接操纵网络通信。因此需要一个不需要协议栈支持的原始的访问网络的方法。它提供了以下的各项功能：a．捕获原始数据包，包括在共享网络上各主机发送／接收的以及相互之间交换的数据包；b．在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；c．向网络发送原始数据包。d．收集网络通信过程中的统计信息。这些功能依赖于Win32系统内核中的设备驱动以及一些动态链接库。Winpcap提供了一个强大的编程接口，它很容易地在各个操作系统之间进行移植，也很方便程序员进行开发。(2)在内部Snort使用Misused检测模型进行入侵检测，有～个完整的入侵规则库来实时匹配并探测入侵行为。这个规则库非常全面，包括缓冲区溢出，端口扫描，CGI攻击等等，并处于不断更新当中。Snort也允许用户编写并加入自己的规则。(3)日志可以存储成Tcpdump二进制格式，或ASCII格式，或数据库格式(包括MySQL，PostgreSQL)，甚至包括XML格式。Snort工作在HoneywaU上，是在网关模式下实现NIDS的，因此必须有数据包路由能力，但Snort本身没有路由功能。路由功能由IPTables实现，配置IPTableS完成以下功能：从内核堆栈获取数据包，提交给用户态下的Snort进行分析，然后取得分析后的数据包传递给内核，继续数据包的处理。Snort和IPTableS的外出连接计数机制结合时，数据包先被计数，然后再被传递给Snort分析。5．3数据捕获机制的实现一、防火墙日志防火墙是很好的数据捕获层，因为所有的流量都必须从该层走。但是防火墙所能记录的信息是有限的，它不能捕获黑客的击键行为，也不能捕获包的载荷。相反，防火墙记录的主要是包头信息，如攻击的日期／时间、源和目的地址以及源和目的端口。然而这些信息也是非常有用的，对于趋势分析和统计建模来说尤其如此。通过执行脚本rc．firewall，就已经将所有的进入、外出Honeynet的通信记录在IPTableS中。二、IDS日志通过配置文件Snort．conf,IDSSnort可以从数据链路层收集所有的网络数 第5荦虚拟蜜网的实现据包，并以Mysql数据库或TCPdump的格式保存用于数据分析。这一层数据用于分析黑客的活动，是有关攻击过程的详细信息，包括了攻击工具、命令等细节。可以针对特定的服务在应用层对取得的数据加以处理，得到有关黑客操作的ASCII信息，显示黑客的攻击过程。(1)入侵检测系统Snort的安装：a．安装WinPcap数据包捕获工具，实现入侵检测系统功能需要安装Wincap：http：／／www．winpcap．org／install／default．htmb．安装Notepad++是一款windows环境下免费开源的代码编辑器，用于配置入侵检测规则集Snort．eonf文件：http：／／sourceforge．net／projecffshowfiles．php?group_id=95717c．安装Snort软件：http：／／www．snort．org／dl／binaries／win32／d．安装Oinkmaster软件，用于自动升级Snort规则http：／／oinkmaster．sourceforge．net／download．shtml事实上在Snort团体内部，Oinkmaster一直被当作一个规则更新器来使用。Oinkmaster按照配置文件中你所定义的操作运行。首先，你要通过超文本传输协议、安全超文本传输协议、文件传输协议、文件和SCP方法获得最新的规则。然后，你定义哪些文件需要更新而哪些文件需要跳过；哪些签名ID(SIDs)需要修改；哪些签名ID应该使能而哪些签名ID应该禁用。考虑到可以用模板方式进行配置，你也可以根据需要任意引用文件。Oinkmaster自带的配置文件具有完备的归档信息，而且包含有用的默认配置，但是你仍需要仔细浏览以确认你下载的规则快照与你运行的Snort版本相符合。(2)配置Snort规则集在使用Snort之前，需要根据网络环境和安全策略对Snort进行配置。主要包括：设置网络变量、配置预处理器(PreprocessorS)、配置输出插件和配置所使用的规则集等。在网桥上运行IDS，所有的连接都很容易记录和检查。这是在中央位置检查网络连接的灵活方案。运行的IDS不但支持常规定制的特征，甚至能够检查到所有模式的网络连接。Snort检查所有网络接口进来的网络连接，包括etho、ethl和eth2。在每一个网络接口Snort都有自己的配置文件启动，记录所有的网络包到蜜罐系统的文件系统上，这样为以后检查网络连接提供了可能性。下面是配置Snort的部分内容：a．修改第289到293行，读微处理器文件C：＼snort＼lib＼snort—dynamicpreprocessor＼sf_dcerpc．dl1e：＼snort＼lib＼snort—dynamicpreprocessor＼sf_dns．dl1 北京工业大学T学硕。Ij学位论文C：＼snort＼lib＼snort—dynamicpreprocessor＼sf_ftptelnet．dllC：＼snort＼lib＼snort—dynamicpreprocessor＼sf_smtp．dllC：＼snort＼lib＼snort—dynamicpreprocessor＼sf_ssh．d11b．修改第312行，“＼snort＼lib＼snort—dynamicengine＼sf_engine．dl1c．修改第312行，读输出报警日志alert—sysloghost=127．0．0．1：514，LOG—AUTHLOGALERT三、蜜罐日志使用Sebek作为日志记录工具，使用UDP协议将收集到的数据自动发送到管理机存储。(1)Sebek客户端的安装客户端的安装必须要注意蜜罐系统上内核的运行版本，我们需要相应版本的内核源码来编译Sebek。当客户端编译好后，将生成一个二进制的tar包。这个tar包包含了Sbkinstall．sh脚本，这个脚本包含了Sebek安装命令和配置参数，只需简单的修改选项，然后就可以在蜜罐执行安装脚本，这样Skbinstall．sh就可以按照指定的配置安装内核模块。这个脚本有八个配置参数，一般局域网上所有蜜罐都要使用相同的值口5讲3。a．接口：指定记录哪个接口，默认是ethO。不需要配置IP地址。b．目标口：这个字段定义了所有产生的Sebek数据包使用的目标口地址。由于Sebek服务端收集数据包的时候不看目标P地址，所以这里无需配置成Sebek服务端的IP，而且也不推荐，否则入侵者看到这些数据包的时候有机会知道哪个主机是Honeynet里提供数据控制功能的。c．目标MAC地址：这个字段指定蜜罐使用目标以太MAC地址，目标MAC可以设置成缺省网关的。把它设置成FF：FF：FF：FF：FF：FF将引起所有的包广播到局域网上每个主机，这是测试的小技巧。d．Magic值：这个值结合目标端口，用来确定蜜罐上哪个包需要隐藏。强烈推荐局域网上所有安装的Sebek都使用相同的Magic值和目标端口。e．目标UDP端口：这个字段定义Sebek数据包的目标UDP端口。这个值结合Magic值，用来确定蜜罐上哪个包需要隐藏。￡源UDP端口：这个字段定义了Sebek数据包的源UDP端口。当在一个局域网里配置蜜罐的时候，它们必须使用相同的magic值和目标端口值，这样就能防止才一个蜜罐看到其它的Sebek数据包。配置IP和MAC地址的时候，请记住MAC地址是最重要的。如果你配置了错误的目标IP地址，但是MAC地址配置正确了，并且UDP端口也是正确的，那么Sebek记录就能 第5章虚拟蜜网的实现发送到服务端。此外，当服务端运行在Honeywall网关的时候，网卡接口没有设置口地址，所以必须把目标MAC地址设置成缺省网关或Honeywall的MAC地址汹删。如果你要记录远程主机(不在同一个局域网内)，那么目标口必须设置成主机的IP，MAC地址要设置成局域网缺省网关的MAC地址。配置完后，执行Sbkinstall．sh将安装Sebek客户端，并且它将开始捕获并发送数据。5．4数据分析机制的实现Walleye工具提供的辅助分析功能是第三代蜜网技术最为突出的特征之一。Walleye是基于Web方式的蜜网数据辅助分析接口。它被安装在蜜网网关上，提供了许多的网络连接视图和进程视图，并在单一的视图中结合了各种类型的被捕获数据，从而帮助安全分析人员能够快速理解蜜网中所发生的一切攻击事件⋯副。通过结合自动报警和辅助分析机制，第三代蜜网体系提供了方便的攻击数据分析流程。一旦攻击者攻陷蜜罐主机并向外发起连接，自动报警机制将会通过E．mail方式通知安全分析人员，并给出外出连接的目标口、端口、发起时间等重要信息。安全分析人员在得到报警后，可以参考外出连接的相关信息，并通过Walleye辅助分析接口对发上的攻击事件进行细致的分析，以了解攻击者的攻击方法和动机。5．5蜜网系统的测试1．测试一：蜜网网关管理功能的有效性。测试方法：在管理平台上启动SHS，连接蜜网网关的管理接口，此方法可以证明蜜网网关和管理平台的虚拟网络连接是否配置正确。然后在管理平台上使用IE浏览器访问蜜网网关的安全Web接口(连接的是蜜网网关的443端口，而不是常用的80端口)，此方法可以证明蜜网网关的数据分析工具WallEye配置的正确性。测试结果：SHS测试中，管理者可以以root身份登录蜜网网关，对其进行各项功能的管理和操作，从而证明了蜜网网关和管理平台虚拟网络连接配置的正确性。IE的测试中，在IE浏览器地址栏中输入IP地址后，得到了WallEye的登录界面。使用roo／honey登录后，可以浏览蜜网网关捕获的数据，并可以更改蜜网网的配置项。测试结果表明，网关的管理接口配置正确无误，并可正常实现管理和数据分析的功能。2．测试二：蜜网外出连接数控制和数据捕获测试。 北京T业大学T学硕‘卜学位论文测试方法：在虚拟入侵者主机的终端上使用Ping命令探测蜜罐主机A，然后在蜜罐主机A上使用telnet命令登录到入侵者主机80端口上，连接后断开，连续五次。测试结果：对于入侵主机使用“ping10．0．4．38”连续发送ICMP探测包，蜜罐A给予回应。在蜜罐主机A上使用“telnet10．0．4．90：80”连接到入侵主机的80端口，第一次至第四次连接成功，第五次连接失败。因为蜜网网关设置了TCP连接限制(每小时TCP的“出境"连接不得多余5个)，所以第五次连接蜜网网关会过滤掉“出境”数据包，导致连接失败。至此验证了蜜网网关的数据控制功能的有效性和蜜罐主机的可用性。通过WallEye查看蜜网网关的数据捕获记录，包含入侵主机的ping测试和蜜罐A的telnet测试的数据，捕获的数据分类明确，而且没有任何遗漏，因此表明蜜网的数据捕获功能的有效性。3．测试三：虚拟蜜网系统的整体稳定性和有效性。测试方法：将虚拟蜜网整体运行起来，并将蜜网设置为开放模式，连接到局域网中，然后保持开机状态72小时。测试结果：虚拟蜜网系统整体运行稳定，宿主主机的内存和CUP占用未出现异常情况。总之，通过上面的测试，表明虚拟蜜网系统运行稳定：虚拟蜜网系统基本上实现了设计时设定的各项功能，能够构建一个捕获攻击者行为的陷阱网络。5．6本章小结本章详细阐述了虚拟蜜网的实现过程，首先介绍了虚拟蜜网网关Honeywall的安装和配置过程，然后又详细介绍了蜜网系统的数据控制机制、数据捕获机制和数据分析机制的实现方法，最后对搭建的虚拟蜜网进行了测试和验证。通过测试结果表明，该蜜网系统基本符合设计的原则，满足了设计需求和设计目标。 结论论文工作总结网络安全是一个复杂的问题，单依靠某一种或两种网络安全产品或技术是不能解决问题的。必须综合应用多种安全技术，并将其功能有机地整合到一起进而构成统一的网络安全基础设施。蜜网技术的出现为整个安全界注入了新鲜的血液。将它与其它传统的安全工具防火墙、入侵检测系统等协作使用，从而取长补短地对入侵者进行检测。蜜网可以查找并发现新型攻击方法和新型攻击工具，从而解决了入侵检测系统和防火墙中无法对未知攻击迅速做出有效反应的缺点。蜜网作为高级诱捕系统，一般由一个蜜网网关和多个蜜罐组成，网关和蜜罐部署在多个主机上，并且按照特定的网络拓扑结构连接在一起。虚拟蜜网技术可以将整个蜜网集中部署在一个主机上，并且完整的实现蜜网的数据捕获、数据控制和数据分析的功能。虚拟蜜网技术的使用，极大地降低了蜜网部署的硬件开销，减轻了蜜网部署的难度，提高了蜜网的灵活性、安全性和快速回复的能力。论文的主要工作1、本论文主要针对网络安全主动防御中的入侵诱骗技术进行了研究，介绍了蜜网技术的背景和研究现状，对蜜网的三大核心技术：数据控制、数据捕获和数据分析分别进行了研究。2、详细分析了蜜网的多层次数据捕获方法，对基于Windows系统平台的内核级数据捕获方法进行了重点研究，在此基础上结合实际条件提出了一个基于虚拟蜜网技术的网络安全系统的解决方案。3、根据设计原则、设计目标和设计思想，实现了基于主动防御的虚拟蜜网系统，并对系统进行了测试与验证。通过测试结果表明，该蜜网系统符合设计的原则，能够对外出连接数进行有效的控制，并对攻击者的攻击行为进行数据捕获，基本满足了设计的需求和目标。下一步工作展望本文对基于诱骗技术的网络安全系统的研究还不够深入，未能提出一个比较好的对网络安全系统进行评价的指标体系。运用虚拟蜜网技术将攻击转向的方法只是对Telnet和FTP等一些常用的攻击行为进行诱骗的试验，对虚拟蜜网的隐蔽性还需进一步深入研究。同时，所构建的Honeynet的实现还有待进一步 北京T业大学T学顾十学位论文完善，对Honeynet诱导控制入侵行为、保护目标网络安全性的作用和效果还有待进一步的研究和分析。蜜网自身面临巨大的安全风险，如何保障蜜网自己的安全，同时避免被入侵者利用作为攻击其他系统的跳板，是设计、实现蜜网时不可忽视的一个重要方面。分布式蜜网技术的研究是当前的一个研究热点，此外一个完备的应用和部署策略也是蜜网能否体现其价值的关键。对收集的数据进行充分、系统的分析是目前蜜网技术的一个薄弱环节，我们的分析还很不完善，还没有达到对多层数据的有机融合，这需要进一步改进和完善。网络安全越来越得到人们重视，虚拟蜜网技术一定有着广阔的应用前景，相信在不久的将来，该领域会出现更多有价值的新理论、新算法以及新系统问世，蜜网技术必将得到广泛而深入的发展。 参考文献l23456789lOll12131415161718192007年信息网络安全与计算机病毒疫情分析报告．http：／／嗍．nsfocus．net／HoneynetResearchAlliance，http：／／帅哪．honeynet．org／allianceCERTCoordinationCenter．Annualreports[EB／0L]．[2005—10—11]http：／／www．cert．org／encyc_article／tocencyc．htmlHoneynetProject．Knowyourenemy：Honeynets[EB／OL]．[2005—05—12]．http：／／www．honeynet．org／papers／honeynet／TheHoneynetProject，KnowYourEnemy：Sebek，http：／／project．honeynet．org／papers／sebek．pdf，2003TheHoneynetProject，KnowYourEnemy：II，http：／／project．honeynet．org／papers／enemyII，2001王铁方，李涛．蜜网与防火墙及人侵检测的无缝结合的研究与实现．四川师范大学学报(自然科学版)．2005，28(1)：119—122阮航，张梅琼，许榕生．第三代蜜网中的数据捕获机制[J]．福建电脑，2007，(03)熊明辉．一种基于主动安全策略的蜜网系统设计与实现．西安：两北-T业大学．2004EdwardBalas，CamiloViecco．TowardsaThirdGenerationDataCaptureArchitectureforHoneynets[C]．IEEEWork—shoponInformationAssuranceandSecurity，2005．06应锦鑫，曹元大．利用蜜罐技术捕捉来自内部的威胁．网络安全．2005(1)：37—39田俊峰，刘永立．一种新的蜜网模型—BRHNS．[J]．计算机工程与应用．2007，(7)：139—142范夔．一种自防御型网络入侵检测模犁研究与设计[D]解放军信息上程人学，2005高为民．基于入侵诱骗技术的网络安全系统的研究与设计[D]湖南大学，2007贺庆涛，马永强，唐华安．蜜网系统的研究与设计[J]成都信息工程学院学报，2005，(05)RussinovithMarkE，SolomonDavidA．深入解析Windows操作系统．潘爱民译．北京：电子工业出版社，2007：67—68张骏，熊桂林，朱明旱．一种基于VLAN技术的蜜网设计与实现[J]湖南-T程学院学报(自然科学版)，2008，(01)苏宪利．基于LINUX蜜网的防御系统的实现[J]长春师范学院学报，2005，(12)GregHoglund，JamesButler：ROOTKITS—Windows内核的安全防护．韩智文译．北京：清华大学出版社，2007李文剑．蜜网技术的研究与应用[J]．网络安全技术与应用，2006，(09)．43． 北京工业大学工学硕一仁学位论文21刘宝旭，曹爱娟，许榕生．网络陷阱与诱捕防御技术综述[J]．计算机一I：程，2223242004。(9)：1—3王璐，秦志光．业务蜜网技术及应用[J]．计算机应用，2004，(3)：43—45曲向丽，潘莉译．黑客人揭密[M]．北京：中国电力出版社，2003TheHoneynetProject．KnowYourEnemy：HoneywallCDROMRoo，3rdGenerationTechnology[Z／OL]．(2005—08—17)．http：／／www．honeynet．org／papers／cdrom／roo／index．html25诸葛建伟，韩心慧，叶志远，邹维．僵尸网络的发现与跟踪．全国网络与信息安全技术研讨会．20052627L．Spitzner．Honeypots：追踪黑客．邓云佳译．北京：清华大学出版社，2004诸葛建伟，吴智发等．利用蜜网技术深入剖析互联网安全威胁．中国计算机大会．200528AngelEduardoAvila．Analyzingintrusionsofahybridvirtualhoneynet[D]．2930TheUniversityofTexasatEIPaso，2005王向辉．虚拟蜜网系统研究与设计．哈尔滨：哈尔滨工程人学．2006DeLoozeLL．Classificationofcomputerattacksusingaself—organi—zingmap[C]／／Proceedingsofthe8thColloquiumforInformationSystemsSecurityEducation．NewYork：IEEEComputerSocietyPress，2004：365—369TheHoneynetProject，KnowYourEnemy：DefiningVirtualHoneynets，http：／／project．honeynet．org／papers／virtual／，200332IntrusionDetectionWorkingGroup．IntrusiondetectionmessageexchangeformatdatamodelandExtensibleMarkupLanguage(XML)documenttypedefinition[C]／／Internet—Draft，2003：21—2633SSpitznerL．Honeypot—definitionsandvalueofhoneypots[EB／OL]．[2003—05—29]．http：／／w唧．tracking—hackers．com／papers／honeypots．html34SudaharanS，DhammalapathiS，RaiS，eta1．Knowledgesharinghoneynets[C]／／ProceedingsfromtheSixthAnnualIEEE．NewYork：IEEEComputerSocietyPress，2005：240—24335YegneswaranV，BarfordP，PaxsonV．UsinghoneynetsforInternetsituationalawareness[C]／／ProceedingsoftheACM／USENIXFourthWorkshoponHotTopicsinNetworks(HotnetsIV)，USA：ACMSIGCOMMHOTNETS，November，200536马艳丽，赵战生，黄轩．Honeypot--网络陷阱[J]．计算机工程与应用2003，39(4)：162—16537孙知信，杨加园，施良辉，等．基于蜜罐的主动网络安全系统的研究与实现[J]．电子．44． 参考文献与信息学报．2005，27(3)：351—35438颜f仲，钟锡昌，张倪．一种自动检测内核级Rootkit并恢复系统的方法，计算机工程1000_一3428(2006)10—帕077—勺3，V01．32，No．10．200639404142康治平，向宏，胡海波．Windows系统Rootkit隐藏技术研究与实践．计算机工程与设计，2007年7月第1期JeffreyRichter．Windows核心编程．北京：机械工业出版社，2000杨奕．基于入侵诱骗技术的网络安全研究与实现．计算机应用研究．2004(1)：230—232页李之棠，徐晓丹．动态蜜罐技术分析与设计．华中科技人学学报(自然科学版)．2005，33(2)：86—88页．．45． 致谢三年的研究生生活即将结束，对我而言，这三年是我人生的一个重要的里程碑，深刻而难忘。通过这三年的学习和工作，使得我的专业知识水平、理论水平、专业技能有了质的飞跃，更是体会到一种成长的喜悦和快乐。而这一切的发生首先要归功于我的导师王全民老师在学习、研究和生活等诸方面曾给予我的悉心指导和亲切关怀。王老师严谨的治学态度、谦逊的品德、渊博的知识和丰富的经验都使我受益匪浅，给我深深的启迪，激励我刻苦钻研，奋发向上。在本文完成之际，借此机会，向王老师致以崇高的敬意和衷心的感谢。感谢我的师兄弟于佳耕、韩红英、何涛、吴艳华、沈迎军、王海燕等，几年来，正是大家团结奋进、互相学习以及无微不至的互相帮助才让我能够顺利完成论文的工作，在此感谢他们对于我的帮助和鼓励。我还要感谢计算机学院的各位老师和奥运班同学们，正是他们为我提供了大量的学习和实践机会，给予我工作的指导和帮助。特别感谢我的爸爸、妈妈、哥哥，他们的无私的关心、爱护和支持，是我学业顺利完成的动力。还要感谢在百忙之中评阅论文和参加答辩的各位老师，特别是蔡永泉老师和张建标老师，感谢你们给予我论文的指导和建议。最后，愿所有帮助过我，关心过我，爱护过我的人永远幸福安康!