一种混合型蜜罐设计和的分析论文 72页

江苏大学硕士学位论文一种混合型蜜罐的设计与分析姓名：唐曼申请学位级别：硕士专业：通信与信息系统指导教师：赵跃华20120606 江苏大学硕士学位论文摘要蜜罐(Honeypot)，是目前网络安全研究领域的热点之一，源白军事上的伪装和欺骗思想。它是一个将入侵行为重定向至一个预定区域的系统，使得网络入侵按照可控的、预定义的轨道进行，起到了保护真实系统和研究入侵行为的作用。蜜罐使网络安全防御体系由静态转为动态，防御措施由被动变为主动。它能监视、跟踪和记录入侵者所有活动，通过观察入侵者在系统中的行为，可以掌握他们的工具、策略和动机，分析系统所面临的威胁，在攻击者入侵真实系统之前加以修补，并及时作出应对决策，因此在网络安全中起着积极防御的作用。本文基于对现存的几种具有代表性的蜜罐系统从欺骗性、交互性和安全性等方面进行分析和比较，进一步讨论了它们所使用的欺骗技术和欺骗模型，并提出了一种高伪装的混合型蜜罐模型，该模型主要是由诱骗子系统、伪装服务子系统和其它安全控制部分构成，既有高交互的虚拟蜜网，又有中交互高伪装的物理蜜罐。诱骗子系统中使用了口地址扩展技术和动态镜像思想来增强虚假系统的真实感，再利用重定向技术将入侵数据流引向高伪装的服务子系统中，同时部署蜜网网关进行数据控制和数据捕获。本文通过分析可知该模型整体上具有较高的交互度和欺骗性。本文的研究工作和创新点主要包括：首先，提出了一种混合型蜜罐网络诱骗系统原型并进行了总体设计；其次，系统地介绍了各模块的功能和关键技术；最后，对混合型蜜罐模型进行整体评估，分别从安全性、交互度和部署的难易程度上进行分析，并得出结论。关键词：混合型蜜罐，动态镜像法，重定向技术，服务欺骗 一种混合型蜜罐的设计与分析AbstractHoneypot，isbecomingoneofthenewhigmightsonnetworksecurityfield．Itisoriginatedfromthethoughtsofcamouflageanddeceptionwhicharemilitaryterminology．ItisasystemthatredirectsintrusiontOanexpectedregionandmakesintrusionbehavioraccordingtOacontrollableandpredefinedtrack,andtherebyitplaysanimportantroleinrealsystemprotectionandintrusionbehaviorresearch．Honeypotmakesthenetworksecuritydefensesystemdynamicandchangesmeasureactivelybutnotpassively．Itcanmonitor,trackandrecordallofintrusionbehaviors．Byobservingtheactionofattackers，managerCallleamwhichtoolstobeused，whichtacticsandmotivationstObeholded，andthenanalyzethethreatsofsystems，mendsecurityvulnerabilityandmakesomecountermeasuresbeforetherealsysteminvaded．Inaword，honeypotisimportantinactivedefence．Onthebasisofanalyzingandsummarizingtheexistingtypicalhoneypotsonfraudulence，interactionandsafety,thencheatingtechnologyandcheatingmodelisfurtherdiscussed，andafter,ahybridtypeandhighpretendedhoneypotmodelisproposedinpaper．Themodeliscomposedoftrapsubsystemandfictitiousservicesubsystem，includinghi曲interactionvirtual-honeynetandmid·interactionphysicalhoneypots．IPaddressextensiontechniquesandanewmethodcalleddynamicimagesareusedintrapsystemtoenhancethesenseofrealityofsuchfalsesystem．thenitusesredirecttechniquetOleadinvasivedatastreamintOahi。gIlpretendedhoneypotsystem，anditalsodeployshoneywalltocontroldataandcapturedata．Theresultofanalysisshowsthatthismodelhasahigherinteractionlevelandbetterfraudulenceasawhole．Themainelementsoftheworkandinnovativepointsinthispaperareasfollows：Firstly,ahybridhoneypotmodelisproposedandthewholedesignhasbeendoneinthispaper．Secondly,specifyingfunctionsandkeytechniquesofeverymoduleissystematicallyintroduced，andthenanewthoughtofdynamicimagesiSproposed．Finally,byintegrallyevaluatingonhybridhoneypotandanalyzingaboutsecurity,degreeofinteractionanddifficultyfordeployandmanagement，atlast，wegottheconclusions．Keywords：mixedhoneypot；dynamicimages；redirecttechnique；fictitiousserviceⅡ 江苏大学硕士学位论文1．1研究背景第一章绪论信息的数字化、通信的计算机化、计算机的网络化，正在将计算机网络推向全球信息化浪潮的前峰，毋容置疑，电脑网络的建立与普及将彻底改变人类的生活模式。然而，另一方面，计算机网络也潜在地带来了诸多安全问题。据中国国家互联网应急中心【11发布的《网络安全威胁出现新特点》显示，互联网面临的安全威胁呈现出一些新的特点和趋势。例如，域名系统仍然是互联网安全的薄弱环节，公共网络环境安全不容忽视。随着黑客技术的不断更新，网上攻击在距离、速度上已突破传统的限制，并拥有多维、多点、多次实施隐蔽打击的能力。因此，构建信息系统的安全防线成为各部门的当务之急。目前，中国的网络信息安全水平排在不发达的第四类国家之列。根据((2011上半年中国网络安全报告》细贝ljt2]统计(图1．1和图1．2)，2011上半年，全线安全产品共截获各类新增木马病毒4．48亿个(以新增木马病毒的文件指纹数量计算)，是去年同期的4．46倍。其中，360于今年1月截获10353万个新增木马病毒，当月平均每秒出现39个新木马，创历史最高记录。图1．12011年上半年新增木马病毒数量(单位：万) 一种混合型蜜罐的设计与分析图1．22011上半年木马病毒攻击的电脑数量(万台·次)对我国而言，网络信息安全已成为影响国家大局和长远利益的关键问题。根据国家的规划，我国将建立积极防御的信息安全保障体系，努力提高网络系统的安全防护、入侵检测、安全事件应急响应的能力。目前，网络信息安全技术己成为我国高技术领域的研究主题之一。我们知道，传统的网络安全防护技术，主要是阻挡攻击或是及时检测攻击。例如防火墙、IDS(入侵检测系统)。它们是一种正面抵御的，也是目前广为采用的防护类型。但是，防火墙防范的前提是对各种已识别类型的攻击进行正确的配置，这就要求防火墙知识库不断更新以便识别各种新类型的攻击；其次，入侵者可以找到防火墙的漏洞，从而绕过防火墙进行攻击；再者，防火墙对来自内部的攻击无能为力。IDS一方面像防火墙一样需要知识库不断更新，另一方面对有违反安全策略的恶意使用行为进行识别和响应。从根本上说，防火墙和入侵检测系统滞后于各种各样的黑客攻击。网络欺骗技术则是另一种防护类型，是主动防御系统，它并不是被动地等待攻击者，而是设计好陷阱并且引诱攻击者上钩，使用各种欺骗技术与之周旋，既可以拖延攻击者，又能收集攻击者的相关信息，比如分析他使用的入侵工具，了解他的入侵行为，推理他的入侵目的，最终做出应对策略，避免攻击造成的损失。这些信息日后还可以用来强化现有的安全措施，例如防火墙规则和IDS配置等。因此，网络欺骗技术能够弥补传统网络防御体系的不足，变被动防御为主动积极防御，与其它多种网络安全防护技术相结合，互为补充、提供支持，共同构建多层次的信息安全保障体系。总而言之，网络对抗是一个长期的、动态的、不断发展的过程，不论2 江苏大学硕士学位论文是何种技术，都必须不断的发展以适应对抗的要求，在这种过程中，也会产生许多的新的防护技术。蜜罐(Honeypot)技术就是在这种对抗中应运而生的基于诱骗思想的一种先进技术。CliffordStoll1990年出版的一本小说((TheCuckoo"sEgg))【3】中最早提出“蜜罐”的概念，该书中描述了作者作为一个公司的网络管理员，如何追踪并发现一起商业间谍案的故事。书中男主角BillCheswick[41利用蜜罐模拟服务，控制进入圈套的黑客，摸清了黑客活动模式，取得了预期的防御效果。以蜜罐之父LanceSpitznerl5-61和FredCohen[71等人为代表的国外学者对蜜罐进行了多年的研究，他们除了从计算机角度研究防御欺骗，还对欺骗所涉及的社会、心理等方面进行探讨，目前无论是研究领域还是商业领域都有蜜罐研究项目和软件。“蜜网项目组”【8](TheHoneynetProject)给出了关于蜜罐比较权威的定义是：蜜罐实际上是一个经过精心布置的网络陷阱或欺骗系统，它的目的就是为了诱惑攻击者对它进行攻击，同时监视和跟踪攻击者，收集攻击信息，获得黑客的攻击技术。LallceSpitzner指出：Honeypot的概念非常简单，就是一个专门让黑客攻击的系统。它模拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的安全后门，或者把某个系统设置成一台“牢笼”主机0aU)，伪造一些敏感信息，诱惑黑客攻击。Honeypot的价值就在于被攻击或攻陷[91。1．2研究现状及发展趋势当前，国内外该领域研究主要将蜜罐技术分为两种实现形式——简单形式单机蜜罐诱骗系统和高级形式蜜罐网络诱骗系统，简称蜜网【堋(Honeynet)。国外研究蜜罐网络诱骗技术的主要是蜜网研究联盟【11l(I-IoneynetResearchAlliance)。蜜网研究联盟是1999年4月由30多位计算机安全专家成立的非盈利性的研究组织，专注于信息安全的研究，主要是通过使用蜜罐网络这样一个真实的网络来研究入侵者使用的工具、策略和动机，其所有的研究成果都是开放的，向整个安全研究领域公布。蜜网在提供关于攻击的信息方面己经取得了突出成绩，包括大规模拒绝服务蠕虫的检测【12．141，发现和跟踪僵尸网络【15-17]，捕获和分析网络钓鱼【18】等。据有关报道，美国50％以上的网络系统使用了网络欺骗技术。3 一种混合型蜜罐的设计与分析国内研究状况：我们国家在对网络攻击进行欺骗与诱导领域上的研究起步较晚，2001年国家自然科学基金信息安全项目正式对该领域进行了立项研究，目前还没有相关成果和产品的报道。虽然在某些安全产品中也提到了蜜罐系统，但只是采用了一些初级的诱骗技术，缺乏对蜜罐技术尤其是高级形式的蜜罐网络系统中的诱骗技术、安全技术及系统功能的全面研究。2001年底，国家863计划资助了一个重点专项(2001AAl46010)--网络积极防御技术，基于欺骗的网络积极防御技术成为其中的一个子课题。该子课题的目的是研制基于欺骗的网络积极防御系统，其核心是欺骗，通过旁路入侵者的攻击，达到保护关键网络资源的目的。在欺骗入侵者、赢得反应时间的同时，对入侵者进行侦察和反击，从而形成一个集欺骗、监控和反制于一体的网络攻防支撑平台，可广泛用于网络攻防对抗和军民用计算机网络安全防护。2004年9月，北京大学计算机研究所信息安全工程研究中心申请狩猎女神项目组【191：该项目是HoneynetResearchAlliance中国唯一团队——TheHoneynetProjectChineseChapter．蜜罐的未来发展趋势主要体现在以下几点：·蜜罐系统从占用多台计算机向只需要一台计算机的转变通过采用虚拟机mare．)软件【刎在一台计算机上安装多个可以同时运行的操作系统。每一个操作系统都可看作是网络上一台独立的计算机，从而在一台计算机系统上实现了一个虚拟的蜜网。这样可以方便研究人员维护、减少费用；·与入侵检测系统Oos)、防火墙等其它网络安全技术结合，减少误报率漏报率，以更好地保护系统的安全。·跨平台蜜罐目前的操作系统各种各样，然而大多数蜜罐只能在特定的操作平台或系统下工作，如果蜜罐可以突破操作系统的限制，使用者的范围就会不断增加，同时蜜罐也能更容易地被使用。·提高蜜罐和入侵者的交互程度蜜罐如果仅仅支持简单的几种交互行为，那么黑客很快会发现自己所处的是欺骗的网络环境，并迅速退出。所以蜜罐必须不断地提高交互程度和伪装度，以便更好地了解黑客的行为和所采取的入侵方式。·蜜罐的应用领域逐步扩大4 江苏大学硕士学位论文最初，蜜罐只是一些研究人员获取黑客活动第一手材料的工具。而目前蜜罐的应用领域逐步扩大，开始在安全人员培训等其它场合也得到较多的应用。1．3论文研究的目的和意义蜜罐在网络安全的主动防御方面起着不可忽视的作用，自从蜜罐技术登上网络对抗赛的舞台，很多业界人士对其动态密切关注或深入研究。目前出现的蜜罐在功能上可以分为“研究型蜜罐"和“产品型蜜罐"。研究型蜜罐并不直接保护网络，而是通过研究黑客攻击行为了解网络面临的威胁，对专业研究人员的技能要求特别高，维护和部署的代价也很高。而产品型的蜜罐系统有助于为一个组织的网络减轻风险、提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。所以，对于一个企业或组织而言，部署一个产品型的蜜罐更具有现实意义。本文从市场需求角度考虑，设计一种可用的产品型蜜罐系统，这样有助于将真实主机受攻击的风险转嫁至蜜罐系统，从而一定程度上保护了组织网络。从模型框架设计的意义来看，混合型蜜罐将诱骗与欺骗功能分开来实现，给学校或企业等具有相同网络结构的组织提供了一种新的网络安全防御思路。从技术角度考虑，包括蜜罐系统部署的可行性和实现的效果，本文提出的蜜罐系统是一种具有高交互能力，易于管理、安全程度较高，可广泛推广使用等技术特点。从资源节约和成本控制方面考虑，蜜罐系统对硬件的要求也不高，可以使用一些低成本的设备构建蜜罐，而且虚拟机的使用也大大降低运营开销。1．4本文研究内容及结构安排本论文主要对现存的几种网络诱骗模型的深入了解和分析的基础上，提出了一种高伪装的混合型蜜罐模型，并对其主要模块进行设计，最后分析了模型的性能。主要研究内容包括：(1)网络欺骗模型的比较和分析；(2)混合型蜜罐模型的提出和系统的总体设计；(3)利用口地址空间扩展，动态镜像法，邱欺骗服务以及动态连接重定向等技术对混合型蜜罐主要子系统进行设计和实现；H)分析研究该模型的性能。具体的各章节内容如下： 一种混合型蜜罐的设计与分析第一章介绍本文课题的研究背景和意义，说明当前网络安全防御系统中存在的问题，在此基础上得到本文的研究方向和内容。第二章是对几种网络欺骗模型介绍，并对其优缺点进行分析比较。第三章主要工作是基于混合型蜜罐模型的建立，系统地分析了各个模块的功能和使用的关键技术。第四章根据模型框架和功能需求给出混合型蜜罐系统的总体设计。第五章是对主要模块关键功能的设计。重点是对诱骗子系统的设计，包括P地址空间扩展模块以及动态镜像系统信息模块的设计，并给出了测试效果图；其次是关于伪装服务子系统的设计和分析，包括网络流量仿真、H曙欺骗等；最后是对外部安全控制的介绍，主要包括防火墙、IDS、蜜网网关和远程日志等，并介绍了动态连接重定向机制的设计思想。第六章的主要工作是对混合型蜜罐的性能作整体评估和分析，主要从以下几项来分析：1、安全性分析2、交互度分析3、维护和部署的难易程度分析。第七章是论文的总结与展望，总结课题研究的成果，提出以后研究的方向，展望课题研究的前景。6 江苏大学硕士学位论文第二章网络欺骗相关模型2．1目前存在的几种网络欺骗相关模型在研究混合型蜜罐之前，本文先介绍目前存在的几种网络欺骗模型【21】：守护程序加配置文件模型，控制环境模型，真实系统加外部安全控制模型，这三种模型分别对应低、中、高三种交互度的蜜罐系统。2．1．1守护程序加配置文件模型该模型基于守护程序接收入侵者的访问请求，然后将配置文件中事先定义好的虚假的网络服务、操作系统或者安全漏洞等信息返回，以此来达到欺骗入侵者的目的。在该模型中，入侵者与欺骗系统之间的交互程度很低，低交互蜜罐系统由于只模拟服务而限制了交互等级，它并不存在一个攻击者可以操作的真实的操作系统，类似一个单向连接，只是监听并不提出问题，可以说它只是一个简单的日志机器。如图2．1所示。低交互的蜜罐系统很容易部署并且风险极小，但是对入侵者被欺骗的时间短，程度也很浅，所以我们所能够获取入侵者的信息也极为有限。基于该模型的典型系统有DeceptionTool瞄t瞄铡、BackOfficer两eIldlv【嬲】、Specter[261、和Honeyd[27-28]等。攻献者、图2．1低交互度蜜罐系统1．DeceptionToolkitDeceptionToolkitpTK)是由FredCohen用perl语言编写的一组源代码公7 一种混合型蜜罐的设计与分析开的脚本程序，采用服务仿真技术，是出现最早的一种欺骗系统。DTK的欺骗(dec印tion)是可编程的，它的特点就是在攻击者输入的情况下产生输出，模仿输出这个系统的漏洞，其实这是个易于攻击的假象。下面以仿真Telnet服务为例加以介绍。DTK启动后，将打开服务端口监听。开始阶段，如果接收到对仿真服务器的链接请求，DTK向黑客返回一条banner信息(一些系统的配置情况)来欺骗黑客。在随后的登录阶段，DTK可以设置一些黑客容易猜到的账号，当黑客的输入匹配这些账号时将进入命令阶段。在此阶段，黑客的有些命令好像真的被执行了，而实际上得到的返回信息是DTK事先拟定的。有些时候，黑客得到的是“accessdenied"或者“commandnotfound"。当黑客访问一些敏感文件(如口令文件)时，DTK将送出假口令文件，同时发E-mail信息通知管理员，并且将黑客的所有输入加上时戳以及原IP地址记录下来。DTK收集到的信息非常有限，因为它提供的交互程度很低。由于DTK是免费的、源代码公开的欺骗系统，人们担心其本身可能存在的漏洞而引入新的安全风险。一些具有类似功能的商业产品改进了这些不足，如BackOfficerFriendly和Specter等。2．BackOfficerFriendlyBackOfficerFriendly(简称BOF)也是一个低交互的产品型蜜罐，工作在Windows或者Unix系统上。主要伪装成木马程序BackOrifice服务器，他的工作过程是这样的：当黑客想要利用BackOrifice的客户端对系统进行远程控制时，BOF则向其提供一定程度上的“虚假回应"，同时记录下攻击者的口地址和企图执行的操作。和DTK一样，BOF也监听其它的服务端口，假装提供多种服务，当扫描器扫描这些端口时产生报警信息。3．SpecterSpecter是一种商业化的低交互蜜罐，类似于BOF，不过它可以模拟的服务和功能范围更加广泛，专为企事业环境设计，运行在Windows平台上。系统主要包括三个部分：·引擎03ngine)---仿真虚拟主机，处理所有网络通信。·控{{胎(Control蝴端的配置界面，完成对引擎的配置。8 江苏大学硕士学位论文·远程管理(Remote卜远程管理工具。Specter可以仿真七种服务，六个陷阱和一个自定义陷阱。相比BOF,它的仿真实际应用程序的逼真度和交互程度都有很大的提高。Specter预编程序的仿真服务可以提供和已知攻击行为的有限交互。比如，当攻击者Telnet到一个Specter系统上时，会得到一个登陆的旗标，声明操作系统的版本信息，以及登陆提示等。此外，Specter还提供了灵活多样的告警方式，包括电子邮件、短信等。Specter并没有提供真正的操作系统让攻击者与之交互，所以黑客很难控制该系统去攻击、破坏或渗透其它系统，有一定的安全性。4．HoneydHoneyd是由Googel公司软件工程师NielsProvos提出，一款非常强大的低交互度开源蜜罐，用于Unix平台。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址，并且可以对虚似主机进行ping和traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd也可以对一台主机做代理服务，而不是模拟。Honeyd首次提供了许多概念，包括监视上百万的未用口的能力、口栈欺骗，以及同时模拟成千上百的操作系统，另外它还能同时监听所有的UDP和TCP端口。2．1．2控制环境模型控制环境模型主要是完成欺骗和内核级行为的控制，它是通过修改操作系统内核，来拦截攻击行为和隐藏系统信息，以达到欺骗入侵者的目的。由于给入侵者提供了几乎真实的操作系统平台，而且入侵行为能够得到有效的控制，被限制在一个特定的逻辑区域或者说是欺骗环境，同时又不明显影响它的自由度，有些行为会被过滤或重定向，所以安全性和交互程度均较高，能够获取的入侵信息也大大增加。控制环境模型针对不同的操作系统采用不同的技术来实现。例如对Linux操作系统，由于其开放源码的特性，则直接通过修改操作系统内核，基于动态内核加载模块(LoadableKernelModule)技术，实现应用程序到内核的系统调用的拦截或替换，以此隐藏敏感的系统信息和系统进程，而Linux操作系统的Chroot通过改变程序执行所参考的根目录位置，可将入侵者限制在一个虚拟文9 一种混合型蜜罐的设计与分析件系统中。但是由于Windows操作系统没有源代码，实现完整的操作行为拦截难度很大。不过我们知道，大多数针对windows系统的攻击是利用了CMD．EXE来为远程的入侵者开一个SHELL窗口，从而使入侵者可以执行任意命令，下载文件或者上传恶意程序。这里，我们所要做的就是对CMD程序进行伪装，使得黑客绑定的SHELL是我们可以控制的。这样做不仅可以限制黑客执行的命令，而且能够对黑客的入侵过程进行跟踪、监视和记录。控制环境模型虽然提供更多的交互，但是仍然不提供一个真实的底层操作系统，只是伪造的守护进程更加复杂，欺骗环境更加逼真，会使攻击者产生错觉，以为它们在与一个真实的操作系统进行交互，诱使他们进行更多的交互和探测。该模型对应的的欺骗系统是属于中交互度的，如图2．2。基于该模型的典型系统是symantec公司的Mantrap[29]。攻击者图2．2中交互度蜜罐系统Mantrap是一个商业化的、中高交互程度的欺骗系统。它建立了一个高度可控的操作环境与攻击者交互。Mantrap系统有一个概念称之为“牢笼(cage)”，事实上，一个“牢笼"就是连接一个特定的网络接口卡上的主机操作系统的副本。在一台单一的机器上，通过修改内核和文件系统的方式最多可实现4个这样的操作环境，如图2．3所示。这种方法功能强大而且灵活，系统管理员可以定制每个牢笼，比如可以创建用户、安装应用软件、运行程序。牢笼是一个虚拟的逻辑上的操作环境，但是在网络上这些“笼子"是作为四个单独的系统而出现的，这样就建立一个由多个蜜罐组成的网络。10 江苏大学硕士学位论文Mantrap使用的是现存的操作系统，它没有任何的软件运用和特征子集的限制，可以在Mantrap“牢笼”上安装差不多任何一个应用程序和数据库，这一点和在一个主机上安装没有任何区别，并且它使用嗅探器来监听所有端口上的网络连接，因此能够收集到大量攻击信息和细节。Mantrap也可以作为研究型蜜罐来开发使用。图2．3Mantrap系统示意Mantrap也有其局限性。首先，因为Mantrap不仿真系统，而是采用“牢笼”技术，逻辑牢笼和底层的主机操作系统一样有着相同的版本和补丁级别。其次，Mantrap只能支持Solaris操作系统。第三，牢笼里可运行的应用程序也有限制。2．1．3真实系统加外部安全控制模型该模型利用提供网络服务的有真实安全漏洞的主机或网络，吸引入侵行为，同时加防火墙、入侵检测系统等外部安全措施进行安全防护和记录入侵行为。其交互性最高，给入侵者的自由度最大，安全风险也很高。该模型主要用于了解入侵者的攻击策略、方法和工具，其代表是蜜网项目组(HoneynetProject)推出的蜜网技术。高交互的蜜罐不模拟服务，而提供真实的应用与攻击者进行交互，如图2．4所示。使用高交互等级的蜜罐，可以从中学到大量的东西，因为攻击者与真实的操作系统和应用交互，可是这是要付出代价的，因为提供的交互越多，就会使系统更复杂，还会带来更大的风险。11 一种混合型蜜罐的设计与分析攻击者图2．4高交互度蜜罐系统蜜网(Honeynet)实质上是一类研究型的高交互蜜罐技术，其主要目的是收集黑客的攻击信息。它的一切都是真实的，包括操作系统、安全漏洞和网络服务；它通过缺省安装，辅助以防火墙、入侵检测系统等安全措施，来监视入侵者行为；蜜网难于维护，允许入侵者的所有行为，风险高，所以一般用于研究目的。蜜网不是一个单一的系统，是由包含一个或多个蜜罐，以及防火墙、入侵防御系统、系统行为记录、自动报警、辅助分析等一系列系统和工具所组成的一整套体系结构，这种体系结构创建了一个高度可控的网络，使得安全研究人员可以控制和监视其中的所有攻击活动，从而去了解攻击者的攻击工具、方法和动机。但是蜜网实现的难点在于配置，如果配置失误，则可能无法捕获攻击者的行为，还可能把其他蜜网以外的系统暴露在更大的风险之下。成功的配置Honeynet有四个关键的核心需求：数据控制、数据捕获、数据分析和数据收集【30】o·数据控制数据控制是为了对攻击者活动进行限制，从而降低部署蜜网所带来的安全风险。其包含两个方面，一个是蜜网防火墙(Honeywall)对连接数的控制，另一个是入侵防御系统对异常数据的限制。蜜罐作为入侵者的攻击目标也不可避免地被入侵者俘获，成为他们攻击第三方的跳板。我们必须确保一旦蜜网中的一个蜜罐被攻破后，该Honeypot不能被用来攻击其他非蜜网的系统。因此，数据控制是蜜网体系的核心技术之一。数据控制的技术和手段，一般采用多种机制、 江苏大学硕士学位论文分层实现的方法，如计算机外出连接数目、设置入侵防护网关、限制带宽等，不同机制的联合可防止单点失效。同时使用人工实时监控，一旦入侵者的活动范围超越了受控制的范围，立即终止所有连接。·数据捕获数据捕获机制为了获取有关攻击者的网络行为数据(原始网络数据、入侵检测／防御系统的报警信息、网络连接、网络流等)和系统行为数据(进程、命令、打开文件、发起连接等1。收集的数据归一化处理后存入数据库供数据分析模块分析处理。为了确保捕获的攻击数据的准确性、完整性和时效性，攻击捕获一般从3个层次进行数据采集：1)访问控制层次(accesscontrollayer)，在路由器、网关或防火墙上捕获黑客对蜜罐或蜜网的所有网络连接及网络数据，比如IPTables；2)网络层次(networklayer)，在网络上捕获黑客对蜜罐或蜜网的攻击，如TCPdump；3)系统层次(systemlayer)，在蜜罐所在的主机上捕获攻击者的所有攻击行为，风险相对较大，容易被攻击者发现，如Sebek。·数据分析部署蜜网的最终目的就是通过分析捕获到的数据来了解和学习攻击者所用的新工具和新方法。由于不同的组织有不同的需要，因此也就有不同的数据分析需求。从研究方法上讲，对于攻击的分析和特征提取可以借鉴其他领域中处理数据信息的一些成熟的理论、方法和技术，例如机器学习、人工智能、数据挖掘等，以加强基于数据可视化、协议还原、攻击工具自动识别、入侵场景自动分析、攻击特征自动提取等技术，提供更多深层次的安全信息。·数据收集数据收集只适用于在分布式环境下部署多个Honeynet的组织，必须将捕获到的数据汇集并存储到一个中心数据库中，从而对数据进行综合分析，提高数据的研究价值。而对于大多数只有一个蜜网的组织，则不需要进行数据收集。数据收集必须采用可靠的手段集中收集所捕获到的数据。2．2几种模型的比较由上述对几种欺骗系统的介绍，可以看出守护程序加配置文件模型交互度最低，一般仅仅简单模仿操作系统和网络服务，主要是接收入侵者的访问请求， 一种混合型蜜罐的设计与分析然后将配置文件中事先定义好的虚假的网络服务、操作系统或者安全漏洞等信息返回，这种方式的欺骗程度很低，也很容易被攻击者发觉，但是，在一定程度上拖延了攻击者的时间，给管理者做出决策判断的时间，而且低交互度蜜罐系统的维护和配置都很简单，由于不提供真实的操作系统，所以安全性很高，即使系统被破坏，也不会造成巨大损失。控制环境模型提供了更多的交互能力，它采用内核级操作控制，建立了一个高度可控的操作环境，运行真实的服务程序，而不是仿真服务。它对应中交互度的蜜罐系统，通过修改操作系统内核来拦截攻击行为和隐藏系统信息，提供几乎真实的操作系统给攻击者，所以欺骗程度有很大提高，相应的部署和维护也较低交互度蜜罐系统复杂。而对于真实系统加外部安全控制模型，由于提供了真实系统给攻击者，所以交互级别最高，收集攻击者的信息最多，但是风险也是最大的，其代表是蜜网。为了减低风险，蜜网必须有完整的安全控制机制，例如防火墙、入侵检测等。表2．1给出相关网络欺骗系统的比较。表2．1相关网络欺骗系统的比较Ⅵ目交互欺骗模型支持的服务安全控制维护、配置的系疬＼程度复杂性DTK低守护程序加不限无简单配置文件BOF低守护程序加7无简单配置文件Specter低守护程序加13无简单配置文件Honeyd低守护程序加不限无较简单配置文件Mantrap中控制环境不限SolarisI-基于chroot进行操作系较难统内核修改实现安全控制—一Honeynet向真实系统加不限外部安全措施如防火墙、入侵检难安全控制测等辅助控制简言之，蜜罐系统的交互度与安全性不能两全，鉴于此，本文做进一步设想，能否设计一种混合型蜜罐来平衡这对矛盾，既能提高蜜罐的交互度，又能相对保证其安全性。我们知道网络欺骗系统作为主动防御技术的关键价值在于成功引诱和欺骗攻击者，如果我们设计一个诱骗系统来引诱攻击者并尽可能地仿真真实系统与攻击者交互，那么就可以长时间的欺骗攻击者，当攻击者确定14 江苏大学硕士学位论文攻击目标并实施攻击行为时，可以设计一个重定向器来转移具体的攻击至服务欺骗系统中，加之其它的安全控制部分就可以实现一个交互度和安全性都较高，部署也相对容易的混合型蜜罐系统。2．3本章小结本章主要介绍了三种网络欺骗模型，并对几种典型的蜜罐系统根据低、中、高不同的交互度将它们进行分类。在对各种蜜罐系统详细分析和深入研究的基础上，初步设想一种混合型蜜罐模型。 一种混合型蜜罐的设计与分析第三章基于混合型蜜罐模型的建立3．1混合型蜜罐思想蜜罐可以通过旁路入侵者的攻击，达到保护网络系统的目的。但是，如何构建一个理想的网络欺骗必须考虑以下几点：1、欺骗的质量高2、欺骗系统的自适应能力强3、配置和维护简单方便4、安全性高欺骗的高质量是指提高模拟服务的质量和被攻击、探测的概率，确保蜜罐内容的高度真实性和迷惑性，这就基本实现了蜜罐的价值，然后配合IDS做出合理的响应，通过捕获的数据研究攻击行为，最终制定出对抗黑客的策略。欺骗系统的自适应能力是指增强系统伪装的智能性，感知和学习实时的网络环境，动态自适应网络变化，自动地进行系统配置。任何系统要能够得到广泛的应用就必须是配置容易维护简单方便的，因为系统的配置和维护直接与成本的控制相联系，这样才能体现系统的可用性。欺骗系统的安全性体现在本身不易被攻破和攻破后不易被利用来攻击其他系统。安全性指标是欺骗系统必须考虑的前提，否则，部署系统的目的达不到，而且还会得不偿失，带来法律上的风险。一般来说，商业性蜜罐系统基于管理上的方便都会将各功能模块集中在一个系统上来实现，集诱骗和欺骗功能于一体，但是这些传统蜜罐有的只是单一的低交互型蜜罐，仿真度不高，有的是高交互蜜罐，部署代价高而且安全性低。所以，本文的设计思想是将蜜罐的诱骗功能和伪装功能分别实现，首先在内部子网中设计一个诱骗子系统，使用有效地手段来吸引攻击者，同时又尽可能地增强系统的真实感以此来迷惑攻击者，增加他的攻击判断时间。成功诱骗攻击者之后，蜜罐需要将吸引来的非法数据流透明地导向一个预定义的伪装服务子系统。所以诱骗子系统与伪装服务子系统之间还需要一个重定向的桥梁来提供透明转发攻击数据包的作用。第三步是伪装服务子系统与攻击者做进一步交互，16 江苏大学硕士学位论文交互过程主要是伪装真实系统来更深层地欺骗黑客，所以对于伪装服务子系统需要精心设计，使用各种欺骗技术，比如分别从网络服务、安全漏洞、操作系统和文件系统等方面来实施全方位欺骗策略，同时记录所有交互信息，对这些信息的研究和分析将有助于我们达到最终了解攻击者的目的。不过，值得注意的是，整个的诱骗、转发、欺骗和记录的工作都要以安全作为前提，因此整个模型的安全控制设备是必不可少的。3．2混合型蜜罐框架结构根据上述思考，可将该模型整体上分为三个部分，分别是：诱骗子系统，伪装服务子系统以及其它安全控制，如图3．1所示。图3．1混合型蜜罐模型框架诱骗子系统的主要功能就是引诱并拖延攻击者，在黑客对系统扫描探测阶段，给予预先定制的系统信息迷惑攻击者。可以说，诱骗子系统的成功诱骗是整个系统得以实现价值的前提。伪装服务子系统是由物理蜜罐和其虚拟的蜜罐构成，它接收诱骗子系统转发的网络数据包，给攻击者提供高仿真的服务，收集操作系统的事件日志、应用程序的事件日志、进程和系统调用、端口调用和安全审计记录。安全控制模块包括防火墙、IDS和重定向器【321，以及蜜网网关和远程日志服务器等，实时监视和记录访问它的网络活动，控制外发连接，对不符合出境条件的入侵行为根据控制规则决定实施相关策略，保证欺骗系统的高度安全性。上述是鉴于模型框架上的考虑，各个系统具体的设计体现在技术层面上。本文提出的混合型蜜罐兼具低交互蜜罐和高交互蜜罐的特点。对于诱骗主机利用现代计算机的多宿主能力，在一块以太网卡的计算机上实现具有众多口地址的主机，该技术动态地虚拟蜜罐系统所在子网的非存在系统的Ⅲ地址主机，这样可以有效地增加攻击者的工作量，实现地址空间的欺骗，使得攻击者遇到欺17 一种混合型蜜罐的设计与分析骗的概率远远大于遇到系统真实安全弱点的概率，相对提高了系统的安全性。诱骗子系统虽然也是守护程序加配置文件模型，但是它不是一个简单的低交互度蜜罐，而是动态地模拟真实系统信息，提高了系统的伪装度从而延长攻击者对系统扫描判断的时间。对于服务欺骗子系统，需要提供几乎真实的网络环境来迷惑攻击者，能够全方位深层次的欺骗攻击者，例如根据攻击的不同阶段给予攻击者不同形式的欺骗，在入侵者对欺骗主机进行扫描时，服务欺骗系统反馈给黑客存在服务和安全漏洞的假象，接着入侵者开始对目标资源探查，尝试连接，此时伪装服务子系统通过网络服务仿真提供相应的服务和伪造的版标信息，当攻击者获得这些信息后就会迫不及待想获取访问权限的提升，所以就针对安全漏洞进行攻击，为了进一步欺骗攻击者，伪装服务子系统会返回攻击成功的信息，而事实上将攻击者定向至可控制的环境，到了这一步，攻击者一定会为他的战果窃窃自喜，并且想通过篡改、添加、删除或复制敏感信息来扩大战绩，这时，服务欺骗系统的对策是，通过内核级操作控制提供镜像的文件系统和定制的虚假信息，最后攻击者可能会利用蜜罐来攻击第三方主机，本文使用动态连接重定向机制有效地控制黑客的对外连接，将他控制在蜜场内，并且实时告警，将攻击者所有行为记录下来通过安全渠道发送异地审计。至此，完成了与攻击者的整个交互过程。3．3关键技术本混合型蜜罐模型设计的主要关键技术有P地址空间扩展技术和动态镜像法、虚拟蜜网技术以及动态连接重定向机制，下面分别介绍各种技术的特点和在本文中的考虑。·口地址空间扩展技术欺骗系统的价值之一体现在有效地拖延攻击者在系统中的逗留时间，从而赢得对真实系统的防护时间。在本文的混合型蜜罐模型中，口地址空间扩展应用在诱骗子系统中，动态地虚拟蜜罐系统所在子网的非存在系统的口地址主机。该技术主要利用Linux操作系统提供的网络接口口别名，通过在同一网络接口上绑定多个口地址虚构一个网络来实现对网络攻击者的诱骗，从而增加他们陷入蜜罐系统的几率。 江苏大学硕士学位论文根据接口函数，系统管理员只要对参数设定就可以方便地实现口空间欺骗功能。P地址空间欺骗技术【31l是利用一台正常计算机的多宿主能力来绑定众多口地址，每个口地址还具有它们自己的MAC地址，这样对于一个攻击者来说，一定程度上增加他的搜索空间，但是这些虚拟的口地址也会很容易被识别。·动态镜像法为了提高虚拟主机系统的仿真度，本文采取了动态镜像法的思想。低交互度蜜罐使用守护程序加配置文件模型思想，但是其交互度过低，欺骗程度不高，很容易被识别。鉴于此，我们设想如果要实现蜜罐的高仿真度就必须提供几乎和真实系统一样的系统扫描信息给黑客，但是这样的话，真实系统的安全性又得不到保障，所以，考虑一种两全的策略，既镜像真实系统的信息，又动态地改变这些信息反馈给黑客查看，这样就同时保证了真实系统的安全性和虚拟系统的高伪装度。为了节约资源，镜像真实系统信息和动态改变信息的时间间隔需要根据情况来设置，一般来说，较合理的设置是镜像的时间间隔要长一点(如几个小时内)，动态改变信息的时间相对较短(如几分钟内)。·虚拟蜜网技术对于混合型蜜罐系统的实用性，表现在易于配置和维护，对系统的实现开支小，技术上的策略是使用虚拟机以便方便配置和节约成本。本文考虑使用一些特殊的虚拟软件来实现该方案，这些软件(如VMwarc或UserModeLinux[331等．)能在同一硬件条件下运行多个操作系统。为了与蜜罐宿主机上的系统(宿主操作系统)区分，这些安装在虚拟软件上的操作系统，我们称之为客户操作系统。从宏观上看，就是可以在单一主机系统上运行几台虚拟计算机(一般是4到10台)。如果同时运行若干不同的操作系统也即构成了一个虚拟蜜网(VirtualHoneynets)，虚拟蜜网134-36]是通过在同一时间、同一硬件平台上运行虚拟软件模拟多个操作系统，从而实现在单一主机上部署整个蜜网系统的解决方案。还有运行在不同的系统平台上的不同服务，如模拟Linux的DNSserver，WindowsNT的webserver或者一个Solaris的FTP，这样建立的网络环境看上去会更加真实可信，实际上这些蜜罐是在虚拟的环境中运行的一个诱饵，专门供恶意用户探询和攻击。VMwareWorkstation是目前搭建虚拟蜜网的商业化软件的最佳选择，设计19 一种混合型蜜罐的设计与分析对象主要为Linux和Windows平台的桌面用户，功能强大。主要优点如下：1)支持多种操作系统，虚拟环境中可以运行的客户操作系统包括Linux、Solaris、Windows和FrecBSD等；2)联网选项，VMwareWorkstation具有较高的灵活性，提供两种联网方式：①为混杂型虚拟蜜网提供的桥接方式②为自治型虚拟蜜网提供的Host．Only联网方式；3)镜像功能，V]ⅥwareWorkstation为每个虚拟蜜罐提供镜像文件，方便了蜜罐的移植和备份，并具有加载V]删are虚拟磁盘镜像的功能：4)技术支持，商业软件具有较好的技术支持、升级和补丁等服务；5)方便易用的图形接口。在服务欺骗子系统中使用虚拟蜜网，不仅增强了的网络环境的真实感，还大大降低了运营成本、机器占用空间以及管理员对蜜罐管理的难度。事实上，虚拟蜜网结合重定向器就构成了一个蜜场[371(Honeypotfarm)，蜜场才是对付攻击者的主战场，当黑客被重定向至蜜场中时，他的所有行为都被限制在其中。本文选择在VMwareWorkstation虚拟化平台上搭建蜜网，模拟多个不同的操作系统，以伪装真实的网络环境来迷惑攻击者。·动态连接重定向机制重定向技术在网络安全中的考虑主要是转移恶意流量，降低系统风险。对于欺骗系统来说，限制攻击者对外的连接可以防止其攻击非蜜罐系统。本文在蜜网网关上使用基于netfiltcr／iptables的linux防火墙可以实现蜜罐之间动态连接重定向。该重定向机制打破传统的简单使用脚本rc．fircwall配置来实现控制外出连接的方法，它的特点在于，使非法连接在蜜罐之间多层重定向，即黑客闯入后会陷入死胡同，无法对非蜜罐系统造成威胁。本文涉及的关键技术是基于成本、安全性和欺骗效果整体上来考虑的。在诱骗子系统中使用口地址空间扩展技术并结合动态镜像法构建一个高交互度低风险的蜜罐，增强了欺骗效果。服务欺骗子系统中使用虚拟机搭建蜜网来模拟网络，有效地节约资源。外部安全控制方面，动态连接重定向机制完全控制了攻击者利用蜜罐攻击第三方的风险，并能进一步拖延其时间，了解更多入侵行为。因此，混合型蜜罐模型通过虚实结合的方式同攻击者进行交互周旋，建立了一个较完整的欺骗与控制框架。20 江苏大学硕士学位论文3．4本章小结本章首先是根据分析提出了混合型蜜罐模型，并给出了框架结构图，然后根据框图简要地介绍了各个组成部分的功能以及使用的关键技术，下一章将具体阐述混合型蜜罐系统的总体设计方案。21 一种混合型蜜罐的设计与分析第四章混合型蜜罐系统的总体设计4．1系统的功能需求分析本系统设计的最终的目标是具有较高的仿真度与较高的交互度，以对受保护对象提供安全保障。由于一般的低交互度蜜罐安全性高而交互度比较低，收集到的入侵信息有限，不利于我们对攻击行为的重现和分析；而对于高交互度的蜜罐，安全性却比较低，系统被攻破后容易受攻击者利用作为攻击其他系统的跳板，结合这两种情况，本文所设计的混合型蜜罐系统需平衡交互度与安全性的矛盾。本系统综合主动防御的蜜罐技术和传统的防火墙以及入侵检测技术。入侵检测和防火墙是网络安全防御中常用的技术，两者结合可以有效地监控和分析网络中的攻击活动，并根据既定的规则进行过滤或重定向数据流至混合型蜜罐系统。该系统对于攻击行为采取主动策略与攻击者交互，当攻击者被诱骗进入伪装服务子系统中，他与欺骗系统的交互越多，我们收集到攻击的信息越多，便于综合分析入侵行为和及时更新防火墙规则库或入侵特征库，从而更好地保护我们的网络。下面对混合型蜜罐系统的具体功能加以阐述，并根据功能需求来考虑具体的设计方案。首先，是检测区分恶意流量功能。一般的受保护网络对于外部(intemet)的访问请求，网络设备会进行基本的响应和处理，处理顺序简单地说是防火墙过滤、路由定向派送，然后是必要的IDS检测。本系统中的入侵检测系统主要是基于网络入侵的检测系统(NIDS)，NIDS对访问流进行分向处理，对于正常用户需要将其流向真实的内部网络，而对于可疑的数据流则定向至诱骗子系统。其次，是诱骗的功能。蜜罐作为主动防御的技术，就必须实现诱骗的功能，事实上，成功的诱骗是欺骗的前提和蜜罐价值的体现。该功能设计在混合型蜜罐系统的诱骗子系统中，具体设计的目标是，第一，实施地址空间的欺骗策略，尽量拖延攻击者的 江苏大学硕士学位论文搜索时间。第二，对于黑客的扫描，系统能给予类似真实系统的反馈信息，以此达到以假乱真的效果，第三，通过相关技术来提高诱骗子系统对于黑客的“甜"度。最后，是伪装服务子系统的多种欺骗策略。我们希望利用多种攻击欺骗技术与攻击者进行交互。对于黑客的多种攻击有对应的响应信息，并且这些信息的响应在形式和内容上应与真实系统的响应“相同’’。此外，是关于辅助安全方面的设计。该混合型蜜罐系统需要有相应的辅助安全控制功能，对攻击数据流透明地捕获、引导与控制，使得黑客的攻击行为按照我们预定义的轨道进行，这些安全控制设备包括防火墙，重定向器，NIDS，蜜网网关，本地日志以及远程日志等。外部防火墙是整个系统的最外层，它根据原有的规则库进行数据包的过滤，过滤策略是对流入的数据包严格把关，隔离大部分的入侵行为，对流出的数据包略微放松。内部防火墙恰好相反，采用“宽进严出"的过滤策略。IDS是对网络中的信息流量监控分析记录以便将来能够重现，并且对可疑举动发出报警，多数的入侵检测系统都有一个入侵特征库，当网络传输的信息包中的特征字符串与该库中某一特定项目符合时，就会产生告警，同时对特定的一些链接进行细节信息的收集和捕获。重定向功能是完成数据流控制的基本方法，所以，重定向器是系统中必须设计的。在本系统中，重定向过程包括三个阶段：其一是入侵检测阶段，对合法访问和攻击流的分别重定向，合法用户的请求被发送至真实的服务系统，黑客的攻击数据包被重新封装和发送，将其重定向至诱骗子系统；其二是黑客对目标主机进行攻击的时候，重定向器将攻击流定向至伪装服务子系统，隐蔽了真实主机的存在；其三是欺骗系统被攻陷的情况下，至少要确保其不会被攻击者用作跳板攻击其他的系统。对于黑客对外的请求连接，利用蜜网网关的重定向功能，将攻击数据流动态重定向至伪装服务子系统的虚拟蜜罐中，继续迷惑攻击者，限制他的对外攻击。本系统使用蜜网网关是为了在蜜罐系统被攻陷后严格控制对外连接。一般来说蜜网网关具有三个接口，一个用来连接外部网络，一个用来连接欺骗的网络，一个用于秘密通道传输日志记录到远程的日志服务器上。而本系统设计的 一种混合型蜜罐的设计与分析对外连接控制使用了动态连接重定向机制，将攻击流控制在伪装服务子系统中，也就是说并没有真正的流出网关去攻击其他系统。所以本文只使用了两个接口，其一用来连接远程日志服务器，其二连接伪装服务子系统，在蜜网网关中配置重定向功能，以此控制攻击者的对外连接。欺骗子系统捕获的日志记录是攻击者入侵行为的证据，我们希望在不被入侵者发现的情况下，捕获到尽可能多的信息。这些日志信息包括防火墙日志，入侵检测系统捕获到的数据和主机系统活动日志三个方面，这些日志信息对于分析攻击行为是很重要的，如果将这些日志文件放在本地存储，就有可能被攻击者发现并删除或更改，所以可以考虑在本地存储的同时也将日志文件发送到远程日志服务器进行冗余备份。4．2混合型蜜罐的总体框架根据混合型蜜罐系统的模型框架和上一节所述的功能需求，本节给出系统的总体设计框图(如图4．1所示)，该总体设计框架描述了混合型蜜罐的组成部分，以及各部分之间的联系。图4．1混合型蜜罐的总体框架结构 江苏大学硕士学位论文图4．1总体上描述了混合型蜜罐与内部网络的关系，以及其自身各个组成部分之间的关联，图中空心双向线表示正常用户的访问请求与相关处理模块的通信过程(其中重定向之前的数据通信也包含可疑的数据流单向的流入)，实心单向线表示攻击流单向的流入和其被循环控制的过程。细单向线表示系统或模块之间存在联系。由图可见，合法用户可以正常的访问真实系统，而可疑的访问则可经过重定向至诱骗子系统和伪装服务子系统，当攻击者向其他系统实施攻击时又将被定向至伪装服务子系统，从而实现对攻击流的控制。真实系统与混合型蜜罐系统通过动态镜像方式实现关联，使本系统达到较高仿真度的目的。防火墙、IDS及其他日志将在远程日志服务器作备份。4．3混合型蜜罐系统的工作流程在描绘混合型蜜罐系统的工作流程图之前，先分析合法用户的访问过程(图4．2)和攻击者的攻击过程(图4．3)，以便于根据两者访问的不同情况来设计本系统的具体工作流程。l访问请求JI通过检测Jl与内部网络通信图4．2合法用户的访问过程 一种混合型蜜罐的设计与分析图4．3攻击者的入侵过程针对合法用户正常访问过程和攻击者入侵过程的不同情况，混合型蜜罐系统应做出不同的处理，下面给出本系统的具体工作流程，如图4．4所示。 江苏大学硕士学位论文图4．4系统工作的流程 一种混合型蜜罐的设计与分析4．4应用和开发环境混合型蜜罐系统适用于内部网络的部署环境，诱骗子系统通过动态镜像高度伪装真实系统来诱骗攻击者。伪装服务子系统是收集和分析攻击信息的关键，其口地址可以是内部网络同一子网段，而伪装服务子系统中虚拟蜜罐的口地址根据具体情况来配置。软硬件开发环境：·诱骗系统中蜜罐主机：Redhatlinux9．O；Snort2．O；X．Sacn3．3：·伪装服务系统中蜜罐宿主机：Win7；VMwave8．0，UbuntuServer7．10，ROO．CDROM1．4，Sel：Iek3．X，SecureCRT5．1．3：·伪装服务系统中蜜罐客户机：Redhatlinux9．0、Windows2000及FreeBSD等；Libnet；·防火墙：Redhatlinux9．0；·路由器：CiscoIOS12．0：·开发工具：RHideV1．4．9；Netfilter；Bash；GcC；Snomperl4．5本章小结本章主要是对混合型蜜罐系统的总体设计加以介绍，包括其设计的思想、总体框架结构及说明，然后给出系统的工作流程图，最后是对系统的应用环境和软硬件开发环境的简单介绍。对于各个子系统中模块的详细设计将在下一章阐述。 江苏大学硕士学位论文第五章主要子系统的设计和分析5．1诱骗子系统诱骗子系统有两个特色功能：·利用口地址扩展技术扩大攻击者的搜索空间·动态镜像法高度仿真真实主机系统5．1．1诱骗子系统的组成与结构关系诱骗子系统主要包括重定向器和口地址扩展模块以及动态镜像模块，而动态镜像模块又分为真实系统信息镜像子模块和信息动态改变子模块。口地址扩展模块虚拟许多蜜罐系统所在子网的非存在系统的邛地址主机，真实系统信息镜像子模块间隔一定时间采集真实系统的信息，信息动态改变子模块随机改变系统常变的一些信息作为扫描信息反馈给黑客，以此来提高伪装系统的真实感。当攻击者对真实主机或虚拟的P地址主机进行连接请求时，重定向器客户端对请求数据包重新封装重定向，然后发往部署在伪装服务子系统的重定向器服务端。图5．1是根据功能需求描绘的诱骗子系统中各模块间的关系图。IP地址扩展模块耷◆重伪定装l真实l动向服J真实系统信息l系统l-]镜像子模块态器务l▲锫子t“系1Ir像统T信息动态模改变子模块块诱骗子系统图5．1诱骗子系统的组成与结构关系下面主要是对P地址扩展模块、真实系统信息镜像子模块和信息动态改变子模块的具体设计实现。 一种混合型蜜罐的设计与分析5．1．2IP地址扩展模块利用现代计算机的多宿主能力，在只有一块以太网卡的计算机上就能实现具有众多口地址的主机，而且每个口地址还具有它们自己的MAC地址，使用该技术动态地虚拟蜜罐系统所在子网的非存在系统的口地址主机，这样可以有效地增加攻击者的工作量，而且花费极低。本模块的主要设计思想是：为系统管理员提供一条口地址空间扩展的配置命令ifconfigroom及相关参数，根据系统管理员的参数设定来实现相应口地址空间扩展功能。主要参数包括网络接口的指定、相关分散口地址的指定及欺骗分散口的数目、欺骗网段m范围的指定。Linux下命令格式如下：$ifconfigroom[interface][-num⋯⋯][-net】其中，number=0时表示指定网络接口取消任何已有的口空间欺骗。参数：interface网络接口num离散m地址方式number绑定P的数目IPn离散的口地址net连续口地址方式startlP-net方式下，起始P地址5．1．2．1程序接口关系图该模块程序接口之间的关系如图5．2所示。图5．2程序接口关系图 江苏大学硕士学位论文主要程序／函数之间的关系是：客户操作系统配置程序gosconfig通过调用口空间欺骗主程序ifconfigroom实现口空间的欺骗。而ifconfigroom程序主要是对指定网卡绑定多个口地址，从而呈现一个虚拟网络。首先主程序通过inputcheck函数来检查输入参数有效性，然后根据第二个参数“num’’来判断是离散口地址方式的配置还是网段口方式的配置，最后根据第三个参数“number”是否为零来确定调用addcfg函数配置口别名文件还是delcfg函数删除口别名文件，最终调用ip来产生连续配置方式下所有的m别名配置文件。5．1．2．2本模块中用到的数据结构1、shell程序ifconfigroom中主要的数据结构：destdir／lip别名配置文件所在目录interface／／指定的网络接口destf"de／／指定网卡m配置文件localm／／指定网卡配置文件中的子网掩码行localmn／／指定网卡所配置的子网掩码loealn∥指定网卡配置文件中的子网行localn11／／指定网卡配置文件中的子网localb／／指定网卡配置文件中的广播地址行device／／指定网卡别名口所对应的设备名ifupvalue／／ifup命令执行后的返回值srcdir佃空间欺骗模块源程序所在目录delfiles／／待删除的口别名配置文件2、c程序ip中主要的数据结构：chat·first；char事ipe；针char}ips；char·temp：针∥指向网段方式下起始口地址格式串的指针／／指向ipadd函数返回值最终格式化串的指／／指向网段方式下起始口地址的指针∥指向ipadd函数返回值初步格式化串的指charf同指针对应的字符数组_set[40l；／／firstcharipe同ipc指针对应的字符数组．．setl40]；／／charips同ips指针对应的字符数组．．set[40]；／／chartemp同指针对应的字符数组事．．set[40]；／／指／／向tempFILEfp；ipnetefg配置文件的指针char*ipase；／／ipadd函数返回的增量ip值指针structsoekaddrinina；／／丰示准的套接字地址结构3、C程序ip中主要的数据结构：搴，．maskCharip*mask，*net：／／指向ip地址、子网掩码和子网号的字符指针、unsignedlongip，一，一，_nummaskhumnethumtemp31 一种混合型蜜罐的设计与分析∥字符串ip地址、子网掩码和子网号转换后对应的无符合长整型5．1．2．3主要程序／函数功能描述ifeorffigroom(shell程序)：1、接收用户输入的命令参数2、检查输入参数有效性3、根据命令参数实现相应口空间欺骗，包括创建永久配置文件和永久绑定口别名。inputcheck(shell函数)：检查输入参数有效性addcfg(sheH函数)：配置口别名文件，为指定网卡绑定口地址delcfg(shell函数)：取消所有口别名，删除所有口别名文件ip(C程序)：产生连续配置方式下所有的口别名配置文件ip_mask(C程序)：判断待设置口地址是否属于当前子网。5．1．2．4IP地址扩展模块相关程序处理流程伪代码为了方便对接口进行设计，本小节给出了口空间欺骗模块相关程序的处理流程伪代码，包括该模块的基本处理流程、主程序渤蚯groomO的处理流程以及三个调用函数inputcheck0、addcfgO和addcfgO的处理流程。1、IP地址扩展模块基本处理流程伪代码输入：命令输出：配置信息If(NULL){提示错误Exit】IElse伊(参数2=---hum){hum=number}Else{num=number}If(succeed)／／-hum后的number创建illlm个P别名配置文件在／ete／sysconfig／network-scripts／Y，在interface绑定am个口地址／／-net后的number仓lJ建HUm个口别名配置文件在／etc／sysconfig／network—scripts／下，在interface绑定ilum个m地址 江苏大学硕士学位论文{配置成功Exit】IElse{显示失败信息Exit}2、主程序ifconfigroom的处理流程伪代码If(inputcheck0==NULL){提示错误Exit}Else{If($2==-hum)／／连续方式{if($3==0)delcf90Elseaddcf90ip}’Else俨($3==o)delcf90Elseaddcf90／／所有的口别名的配置文件∥离散方式}3、irlputdleckO的处理流程伪代码If($敬3){提示错误Exit}ElSO{Ⅱ($3>=0＆＆$3<=254){If(ip_mask($1)==false)提示错误Exit}Else{if($2==-hum)检查ilum方式参数个数If(suocccd){查看输入球的有效性 一种混合型蜜罐的设计与分析If(succeed)Exit}Else提示相应的错误信息Exit}Else提示相应的错误信息Exit}Else检查net方式参数个数If(succeed){查看star皿的有效性If(succeed)Exit}Else提示相应的错误信息Exit}Elsc提示相应的错误信息Exit}4、addc龟O的处理流程伪代码If($2==-num){while(Snumber<=$3){写配置文件ifup$devieeSnumber++}Else{ip$3$4While($number<=$3){从ipnetefg配置文件中取n04[$number]写配置文件ifupSdeviee$number++})．Exit 江苏大学硕士学位论丈5．1．3动态镜像模块如果只是简单的口地址扩展欺骗却没有相应的扫描系统反馈信息，黑客会很快识别出虚假的系统。所以，设计该模块的目的就是完善口地址空间欺骗的功能，使得黑客对虚拟口地址的扫描结果和真实系统的扫描反馈结果几乎一样，越是逼真就越不会引起攻击者的怀疑，同时，我们可以有意地留下一些漏洞信息，来增加蜜罐的甜度。5．1．3．1．动态镜像法的思路对于虚拟的系统，要想实现高仿真的系统信息最好的办法就是拷贝真实主机的相关信息，事实上，这些信息就是某时刻真实系统的快照。但是，如果将这些信息反馈给黑客的话，会给真实系统带来一定的风险，再者，快照的信息都是静态的，并不能很好的反映真实主机的活动情况，所以，对于这些快照信息，需要进行动态的修改，便于达到以假乱真的效果。还有两个细节的地方需要考虑：其一是定时器的设定，如果镜像的频率过高，会浪费不必要的资源，如果信息动态改变的时间过长就不能反映真实主机的活动情况，所以本文设计镜像的时间间隔大概在1．10小时内，动态改变的时间间隔大概在1．10分钟内，然后可以利用随机函数对快照信息在一合理的范围内随机变化。其二，为了有效地吸引攻击者，必须给予他感兴趣的漏洞和弱口令等信息，具体的方法是在动态改变信息的时候有意地删除一些补丁信息。5．1．3．2真实系统信息镜像子模块1、功能描述定义一个数据结构，该结构用于描述黑客感兴趣的信息，在一个随即的时间内，通过一系列的函数获取真实系统中的这些信息，然后将这些信息填充到这个数据结构中，从而得到真实系统的一个镜像。2、关键代码及说明l’参考x．scan的扫描信息，随机模拟如下一些黑客感兴趣的信息：端ta／J]艮务如下：netbios—ssn(139／tcp)microsoft·ds(445／tcp)epmap(135／tcp)netbios-ns(137／udp) 一种混合型蜜罐的设计与分析ntp023／udp)|l／．初始化·／typcdcfstructOS_INFO_{struct_tasklist．．{DWORDCpuUsage；DWORDMemUsage；DWORDIOUsage；}TaskList；struct_Remote_Registr_Info_{structCurrentVersion{／／定义黑客感兴趣的信息的数据结构IICPU，内存，输入输出设备使用情况／／远程注册表信息／／主机版本信息DWORDSubVersionNumber；DWORDCurrentBuild；DWORDInstallData；WCHAR*ProductName；WCHARoBuildLab；WCHAR’CsDVersion；}CurVer；struct用户登录等信息．W"mlogon／／{WCHAR*DefaultDomainName；WCHAR·DefaultUserName；Ⅵ，CHAR*UserInit；DWORDpasswordexpirywaming；DWORDcachcdlogonscoung}W"mlogon；structHotFix／／主机漏洞信息{DWORDInstalled；WCHAR*Comments；WCHAR*BackupDir；WCHAR+R】【Description；DWORDV砒id：_}·PH0tF坟；}ReReglnfo；structServerlnfo／／,q艮务信息{WCHAR‘HostName；WCHAR‘OS：WCHAR*Comments；}Serverlnfo；LARGEDn’E(狂’RServerTime；struetNetworkSession／／网络会话信息{WCHAR·Session；WCHAR4Type；}NetworkSession；WCHAR*NetWorkDisk；structNetwordShareResources／／网络共享资源信息{WCHAR*Name；WC}L气R奉CurUser, 江苏大学硕士学位论文WCHAR*Path；}*PNetworkShareRes；structNetworkUsers{WCHAR+Name；WCHAR’Tag；WCHAR‘UserType；)*PNetworkUsers；structLocalGroup{WCHAR*GroupName；WCHAR’宰UserIO；}*PLocalGroup；stmctNetworkFne{WCHAR*F"llelD；WCHAR+UserName；WCHAR*Path；}*PNetFile；structSMB{WCHAR*Descrip；}SMB；’OSINFO；／／网络用户信息／／本地工作组信息／／网络文件信息OS田mlogOS=f0’；VOIDInitializeOSlnfo(OSINFO*OS／／初始化操作系统信息．INFORMATION){CloseHandle(CmateThread(NULL0，(LPTHREAD_START_RO唧)DynamicGetOSlnfo，&osⅡ师。砌山蛆10N，o"0))舶0建一个线程用于动态获取操作系统信息CloseHandle(CreateThread(NULL,0,(LPTHREAD，，0”；建一．个ST线A程RT用．R于O修UT改IN操E)作M系od统ifyOSInfo,&OS_INFORMATION0／／仓,J信息l℃tUIll；}DWORDWINAPIDynamicGetOSInfo(PVOIDlpParameter)／／f受J态获取OS信息线程{OSD师D宰OSINFORN蜘ON=掌(os!NFO+)lpParameter,do{／／在1．10小时内随机获取一次信息intHourNum=random(9)；Sle圮p((I-IourNum+1)‘60460。1000)；GetTaskListInfo(&OSDmO砌讧觚ON．>1kkLisn：GetRegCurrentVersion(&OS_INFORMATION->ReReglnfo．CurVe0；GetRegWinlogon(&OS_INFORMATION一>ReReglnfo．Wmlogon)；GetRegHotFix(&OS_INFORMATION一>ReReglrffo．PHotFix)；GetServerlnfo(&OSDiFORMA1’ION．>Serverlnfo)；GetNetworkSession(&OS-．INFORMATION>NetworkSession)；GetNetworkDisk(&OS烈FO剐脚ON一>NetwrorkDiskl：GetNetworkShareRes(&OSDJFORNⅫON．>PNetworkShareRes)；GetNetworkUser(&OSINFORMATION．>PNetworkUsers)；G-etLocaiGroulD(&OSDfFORML^ⅡON一>PLocalGroup)；GetNetFile(&OSDlFoRM忪叮ON．>PN砌e1：GetSMB(&OSINFOIu妊觚oN->SMBl：】-while(TRUE)；reRltnO： 一种混合型蜜罐的设计与分析}5．1．3．3信息动态改变子模块1、功能描述在一个随机的时间内改变真实系统信息镜像子模块获取的操作系统信息，并反馈给扫描的黑客。2、关键代码及说明DWORDWINAPIModifyOSInfo(PVOIDlpParameter)／／修改操作系统信息线程{OS—INFO+pInfo=·(OS_INm掌)lpParameter；d0{∥在1．10分钟的时间内随机修改一次信息imMitNum=random(9),Sleep((mitNum+1)460宰1000)；／／修改全局信息／／notice：下面是动态修改信息变量的伪代码ModifyTaskList(&pInfo->TaskList)；ModifyRegCurrentVersion(&plnfo一>ReReglnfo．CurVer)；ModifyRegW"mlogon(&plnfo->ReReglnfo．Winlogon)；ModifyRegHotFix(&plnfo一>ReReglnfo．PHotFix)；／／e．g．delete80meKBinfo有意删除一些补j‘信息，以提高蜜罐的甜度Modify7Serverlnfo(&plnfo一>Serverlnfo)；Modify7NetworkSession(&plnfo->NetworkSession)；ModifyNetworkDisk(&plrffo->NetWorkDisk)；ModifyNetworkShareRes《&plnfo->PNetworkShareRes)；ModifyNetworkUser(&plnfo一>PNetworkUsers)；Modifyl_x，calGroup(&plnfo一>PLocalGroup)；ModifyNetFile(&pInfo一>PNetFile)；M0difySMa(&plnfo->SMB)；}while(TRUE)；return0：5．1．4欺骗结果的测试我们用xscan扫描器对主机192．168．20．135进行扫描，探测得到关于主机的一些基本信息，如操作系统、开放的端口／服务等等(见图5．3)。 江苏大学硕士学位论文20：2·4-：8i聿：38：53-20：2一018：哼：43：28存活主机漏洞数量警告数量提示数量1“O12⋯⋯一；!!～i圭撬l麓囊黼{{192，：∞．20．13s；发现安全。眚主机叠要一OS：i?ndo：?sXP；≯ORT／TCP：135，139，“s涯圆顶每!图5．3对主机192．168．20．135的扫描结果通过诱骗系统的动态镜像模块后，再对IP地址为192．168．20．135的主机扫描结果如图5．4所示。：2012-4-190：08：17．2012-4-19O：12：娟：存活主机i漏洞数量警告数量．．-—---n—--·-·、-------—-—-——。—-—·------·---一-—··--··——·一⋯。，～一⋯⋯～—。～⋯．塑⋯～⋯提示数量‘lO!lS掌扭{毽蠢强墨焉￡谶j器lt嚣⋯～⋯⋯⋯⋯÷—稻话适琶薹誊⋯⋯⋯⋯⋯⋯⋯⋯⋯一主机摘要．0s：?j乒∞’7．5XP；K茂j／TCP：135．139．。5．33s9遂髓筑i主撬笼鞋；端日，曩鲁{,ll-tttillj～。，⋯——⋯⋯——．．⋯⋯⋯⋯⋯-⋯一⋯⋯。⋯⋯。。⋯～一⋯——～⋯～一一⋯——～——～一192．168，20．135．ne幽伪{辨(：39囊qt：发现安全警肯fDicro$o"Ct．出：。5．·：∞j发现安全提示j孙e。z5TermipNsel、ee5：『3189。：二。j发现安全提示eDmso：：35．"：：蕾发现安全提示192．i68．20．13S192．163．20．135192．168．20．135∞2．158．20．135192．168．20．135：92．i58．20．135。?S警算?鬈i37掣劫)’热鲈却f3339，：∞j’n妇：：23如却)图5．4动态镜像信息后给予黑客的扫描信息 一种混合型蜜罐的设计与分析由图5．3和图5．4比较可见，动态镜像法反馈给黑客的信息与真实系统反馈的基本信息是一致的，区别在于一些补丁信息在动态改变时被删除了，所以发现了安全警告，另外，开了远程端133389。交7日；告He,Assistant一攫供远程协助的帐户j口令使用时间：z6．辱3Day23Hour0Ninute38Sec,帐户类型：来访者．"Guest)用户全称：锤程桌面助手帐户错口令、尖数：0，成功登录次数：0USERID：0x000003e8，GROUPID：0x00000∞1图5．5网络用户列表的警告信息netbios—№蛐瞒皇SSn(ira#m)【网络用户列表Level霉：翩strator一潸理计筻机移或擅口令使用时间：240DaylH04Jr5帐户类型：管理员(Adm撕strator)最后登录时间：GMTWedA筇18{错口令、尖数：0，成功登录、尖数：2USERID：0x00000if4,GROUPD：He{pAss{sta燃·涅供远程协助的帐户!口令使用时问：2641Day据Hour31Minute搪Sec．帐户类型：来访者(Guest)用户全称：短程复面助手帐户”错口令次数：0，成功登录、尖数：0USERID：0x000003e8，GROUPID：0x0000020l图5．6动态镜像信息后用户列表的警告信息图5．5和图5．6是网络用户列表中Administrator和HelpAssistant的警告信息。由于在信息的动态改变时，有意地删除了MicrosoftWindowsRemoteDesktopProtocol拒绝服务漏洞(MSll-065)对应的补丁，所以增加了如图5．7所示的警告信息。 江苏大学硕士学位论文h⋯一}—一一—————w————h一一～⋯一～⋯～⋯一’～⋯一⋯⋯⋯⋯⋯⋯⋯⋯～!警5msfdDMic即咖WindowsRemoteDesktopProtocol5Ien偿rPrhrateKey图5．7MicrosoftWindowsRemoteDesktopProtocol漏洞警告5．1．4诱骗子系统中的重定向器虽然利用口地址的虚拟技术和动态的镜像系统可以在一定程度上拖延攻击者的扫描和判断时间，但是，这些只是前奏工作，当黑客甄别出真假地址或者对一个具体的口地址所在系统进行攻击时，我们要保证能够实施进一步的欺骗策略，这就需要一种有效机制来转移风险，而重定向器的工作就是完成数据包的捕获、过滤和转移功能。重定向器～般由重定向客户端和重定向服务端组成，客户端可以以组件的形式部署在该诱骗子系统中蜜罐主机上，服务器端运行在伪装服务系统内。重定向对于黑客而言是透明的，即重定向应该是一个无缝平滑转移的过程。5．2伪装服务子系统当重定向器服务端接收到客户端发送过来的数据后，通过数据包解析等还原过程再注入到伪装服务子系统中。伪装服务子系统使用更深层全方位的欺骗策略与攻击者进行交互。5．2．1伪装服务子系统的组成与结构关系根据第四章的总体设计，伪装服务子系统的组成及其关系设计为图5．8所示的。41 一种混合型蜜罐的设计与分析I虚压似置_◆一-网模伪组伪络拟造织装诱流网安信服蜜远骗量络全息务网程子IP-仿服漏欺子网日系真务洞骗系关—_I■志统服务统器物理蜜罐图5．8伪装服务子系统的组成与结构关系伪装服务子系统是由若干个中高交互的物理蜜罐(是指网络上一台拥有自己的P地址的真正机器)组成的，这些物理蜜罐又可以通过虚拟平台WMwareWorkstation搭建许多虚拟蜜罐。本文使用V1V1wareWorkstation来搭建虚拟蜜罐，虚拟蜜罐可以根据需要选择联网方式，可以在VMWareWorkstation的虚拟网卡设置中选择桥接方式(此时，虚拟机相当于网络上的一台独立计算机，与主机一样拥有一个独立的Ⅲ地址)或者NAT网络(此时，虚拟机只能通过主机单向访问网络上的其他工作站)。服务欺骗子系统根据入侵行为的每一个阶段实施欺骗与控制，突破了过去普通蜜罐单一欺骗层次的局限性。该模块可以提供以下服务功能：·网络流量仿真·模拟网络服务·伪造安全漏洞·组织信息欺骗5．2．2网络流量仿真精明的黑客会通过检测系统的动态的流量来判断是否是陷进网络，如果蜜罐系统没有动态流量的话，那么它就很容易被黑客发现。所谓的网络流量仿真是利用各种技术产生欺骗的网络流量，使分析工具能检测蜜罐有出入系统的网络流量，从而掩盖蜜罐的欺骗性网。现在主要的仿真方法有两种，一种是采用 江苏大学硕士学位论文实时或重现的方式复制真正的网络流量，这使得欺骗系统与真实的系统十分相似；一种是从远程伪造流量，使入侵者可以发现和利用。5．2．3模拟网络服务不管是欺骗主机还是欺骗网络，为了吸引攻击者并提高蜜罐伪装度都必须提供尽可能多的网络服务。所以，蜜罐系统在与攻击者交互过程中，分别在形式(对攻击者的请求予以应答)与内容(提供请求对应的信息)上来实现高度仿真的网络服务。例如FTP服务欺骗、哪欺骗或者WEB欺骗等。本小节重点介绍FTP服务欺骗方法。FTP在网络中使用较为广泛，它有自身的特点：FTP连接是有状态的；系统给不同用户配置的权限不同；通过用户名和密码来访问，也允许匿名访问，但是一般只有list权限。根据这些特点，我们可以实现一种阳m服务欺骗。欺骗的关键是实现FTP资源的虚拟性。本文是基于虚拟机来“克隆”真实的F】限网站，给攻击者提供FTP资源。这些虚拟的F】曙资源是以文件系统存在，具有与真实FTP资源一样的目录结构(包含目录、普通文件、链接文件等)。但是所有的普通文件并没有保存真实的文件内容，只提供浏览权限，文件长度都为4，文件内容为文件的虚拟大小。nrP欺骗的关键是由三个常用程序的改进来完成，它们是改进的、Ⅳu．f砸、改进的wget、伪装的ls。本模块实现基于Linux系统，可以应用在所有Linux系统和UNIX系统中，也可以很方便的移植NW"mdows系统中。·改进的wu．ftp改进的WU．ftp是在真正的WU．ftpf391(版本2．6．2)的基础上，增加了同曙欺骗功能。它能提供所有正常的WU．ftp的功能，只是多了一个启动参数．f，当使用此参数启动的不是提供真正的F]田服务，而是欺骗服务。由于WU．卸是互联网使用最广泛的免费的FTP服务器软件之一，这也是选择它做欺骗服务器的原因。从外部访问改进的WU．ftp，所有的指纹识别都显示这是刚．邱服务器，不会引起黑客的怀疑。但在FTP欺骗模式下，只有一点不同：在FTP用户查询目录文件信息时，对于普通文件，改进的WU—ftp并不返回它的实际大小，而是从文件中读出它的虚拟文件大小返回给同【"P用户。当聊瞪用户想要从FTP欺骗服务器中上传下载资源时，无需更改WU．ftp原来的程序，因为它本身就可以43 一种混合型蜜罐的设计与分析根据管理员配置来管理用户权限。下面将wu．邱源码中添加一个启动参数stat—f用来启动欺骗n曙，添加好以后重新编译。staticvoidstat_f(structstat·statbu0{structstattrap；hati：verify_area(statbuf,sizeof(structstat)Imp．st_dev=getf"de(i__dev)；trap．st_mode=getf"de(i_mode)；trap．st_uid=getf"de(i_uid)；tmp．st_．gid=getfile(i．_gid)；tmp．st_size=getf"de(i_size)；tmp．st_stime=getfde(i_stime)；tmp．stltime=getfile(i_ltime)；脓取文件所在设备号脓取文件属性／廒取文件用户m∥获取文件的组Ⅲ∥获取字节长度／／获取文件最后访问时间／／获取文件最后修改时间for(i=0；iTd+Tr，则认为该系统是安全的；反之，如果TpTdp)+Trp)。对于混合型蜜罐模型，如果令D：欺骗；Ta：攻击时间；Td：检测时间；Tr：响应时间；Tp：防护时间。那么，对于一个安全的理想的网络欺骗应该努力达到以下目标：(1)Ta(D)一00(2)Td(D)_0，Tr(D)j∞，且’I即)>虱Ip)+Tr(D)接下来，我们对上述两式分别作简单的介绍并相应地分析本混合型蜜罐的安全性。。Ta(D)—◆00该式表达了，如果攻击者对蜜罐系统攻击的时间越长，真实系统就越安全。所以应该采用一切技术手段使欺骗服务更加逼真，尽可能延长攻击者被欺骗的时间。同时由Tap)一oo也可以推出Tp(n)寸00，即安全防护时间也延长了。前述的口地址扩展技术就可以有效地延长攻击者探测扫描的时间。以Nmap为例，在本地网络对一个主机的默认扫描(nmap)大概需要l／5秒，假设口地址扩展可以模拟网段内非存在主机10000台，虽然可以根据不同扫描器或特定的扫描选项来缩短扫描时间，但这些地址都要经过扫描器的ping操作，时间比较短却不容忽视。本文使用了动态镜像的方法复制并动态改变真实信息给黑客扫描器，交互度提高了，对攻击者的迷惑性显然增强了，进而增加了其扫描系统和判断系统真伪的时间。下面对诱骗子系统的时间作以大致描述分析，假设：t：对一个口地址扫描(只是ping操作)的时间，这个时间很短；At：使用动态镜像法增加的扫描时间；n：虚拟的口地址个数；t是对一个口地址ping操作的时间，如果只是用扩展的疋地址和模拟的几个端口来欺骗攻击者，t的值很小，大概设为200ms，这样即使n的值很大，53 一种混合型蜜罐的设计与分析攻击者也浪费不了多久时间。当在诱骗系统中动态镜像系统信息后，就可以提供更多与真实系统相似的信息来欺骗攻击者，扫描的时间也会明显增加。我们知道扫描的时间与扫描器的选择以及对扫描参数的设置有关，如果是一个黑客的扫描行为，那么他会设置多项内容进行扫描以获取更多主机信息，以便找到可利用的攻击漏洞，所以让黑客发现存在有吸引力的漏洞，他就越愿意花费精力来攻击，伪造的系统真实感越强，迷惑黑客的时间就越长。本文提出的动态镜像法正是有这样的效果，所以说At的值轼汰，几乎相当于扫描器静—价真实系统的交互时间。在诱骗系统中所花费的整个时间可以表示为Il(t+△1)，当n值很大时，这个时间值相当可观。假设n为1000，At以图5．3中扫描所用时间270s(起止时间为：2012．4．1814：38：58至2012．4．1814：43：28)为例，则诱骗时间T=n(t+At)=1000(O．2+270)=270200s，就是说攻击者需要将近半年的时间来对这些虚拟的口地址主机进行分析，当然这是最长时间的计算方法，聪明的黑客不会对这些数据都分析完了才进行下一步的攻击。n(t+AOR是扫描的时间，真正诱骗子系统浪费黑客的时间还应该包含攻击者对系统真假性主观判断的时间。图6．1诱骗子系统中的时间关系该模型不但具备技术层面的欺骗控制，创建了P空间欺骗、网络服务仿真、流量仿真和安全漏洞伪造等技术，还具备信息层面的欺骗，在服务欺骗子系统中，通过对受保护对象和攻击威胁的分析有针对性地定制欺骗信息，使欺骗服务更加逼真，从而延长攻击者被欺骗的时间。因为我们必须确保在入侵者操作行为不能损害真实主机或网络安全的同时，给予入侵者一定的自由，允许他们做一些操作，例如复制或删除文件，以此来增强欺骗系统真实性。不过，这些文件只是真实主机文件系统的一个目录镜像而来的，可以通过对主机文件系统的字节对字节佃yte．tO—Byte)l}勺拷贝来实现，所模拟的文件系统拥有自己完整的文件结构、设备文件、库文件和系统文件，使得入侵者与模拟文件系统的交互操作和与真实文件系统的交互操作一致。最后实施动态连接重定向机制来控制竺耋|一 江苏大学硕士学位论文攻击者对外的链接，进一步拖延他的时间，浪费其精力。比起普通的Honeypot所采用的单一层次的欺骗机制，这种层层递进的欺骗与控制充分体现了深度欺骗的思想，引导入侵者按照设定的路线一步步进入欺骗环境，至此欺骗主机实施了完整有效的吸引、欺骗与控制，同时，将告警和日志信息实时送至管理控制中心和审计服务器，监控和记录网络入侵行为的整个过程。充分收集攻击数据，便于安全管理人员对攻击进行分析。表6．1总结了一些蜜罐中使用的欺骗技术，由表可以看出，本混合型蜜罐系统相对其他蜜罐产品使用更多的欺骗策略与攻击者交互，从而延长了攻击者受欺骗的时间。表6．1蜜罐产品中使用的欺骗技术一MantrapSpecterBoFDⅨHoneyd本mix-honeypot欺骗技术＼＼口空间欺骗√0√动态镜像系统信息√模拟系统√0√漏洞和应用服务模拟服务端口-√流量仿真√网络服务√-√组织信息欺骗√’，√动态连接重定向_。Td0))一0，Trp)joo，且Tpp)>Tdp)+Tr(D)该式要求减小检测攻击的时间，尽量增大响应时间。根据P2DR模型对安全的要求描述Tp>Td+Tr，即防护时间’rp大于检测时间Td加上响应时间Tf，则认为该系统是安全的，因为它在攻击危害系统之前就能够检测到并及时处理。由于蜜罐不提供真正的网络服务，所以对其的访问都是非法的，在攻击者对系统进行扫描探测时，诱骗子系统中数据捕获工具就能够及时检测到攻击，并且误报率极低，检测率高。检测出攻击后，由于针对攻击行为诱骗子系统已经事先设置好配置文件作为返回响应，所以检测与响应间隔时间也很短，检测到攻击的时间和作出响应的时刻几乎同步。但是本文的攻击响应时间Tr(D)与 一种混合型蜜罐的设计与分析P2DR中响应时间Tr是有的区别，Tr是指从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。当然希望此时间越短越好。对于本混合型蜜罐系统，根据基本目标和功能要求，需要整个交互过程对攻击行为响应。所以Tr(D)时间是从检测到攻击后实施响应直至攻击者完全离开欺骗系统的时间。而Tpp)是指整个安全防护的时间，从黑客的攻击时刻开始计算直至黑客离开欺骗系统。我们用图6．2对Tp(D)、Tdp)和Tr(D)作大致的估算比较。I．诱骗时间卜丁——一T删————●I·一．—诱耍趔甸一L一～图6．2整个欺骗过程的时间关系需要说明的是，该图只是表示整个欺骗过程的时间关系，由于攻击事件具体特征未知，不定因素较多，所以其时间无法具体计算。另外网络入侵检测时间不算在本模型内。由图可以得出：Tpp)-(Td㈣+Trp))>=0表示系统检测到攻击后作出响应的反应时间。事实上，欺骗系统发挥作用的时间，对于真实系统来说都是安全的时段。而欺骗系统只是受保护网络安全防护的一个方面，前面已经说过，网络安全还有被动的防御措施，例如：防火墙、IDS等。6．1．1．2基于欺骗概率的分析要提高真实系统的安全性，从蜜罐功能的角度来考虑，诱骗子系统的诱骗技术越高越好，也就是增大蜜罐系统被探测攻击的概率，就是尽可能地使攻击者远离真实空间，在欺骗空间中探索，诱导攻击行为按照设定的路线进行。这样才能相对提高真实系统的安全系数。早期的Honeypot系统的设计思想是将少量有吸引力的目标放置在入侵者容易发现的地方，将入侵者吸引过来，也就是寻找一种有效的方法来影响入侵者。本文提出的混合型蜜罐系统利用弱化的系统将入侵者的精力转移到Honeypot而不是其它正常系统上，当攻击者对目标系统进行脆弱性扫描时，这种方法相对容易实现。然而，对于略微高级的入侵行为，这种类型的防御就效 江苏大学硕士学位论文果甚微了。鉴于此，本系统使用口地址扩展技术构造欺骗空间的方法来保护真实系统。令A：攻击；V：安全弱点；D：欺骗如果满足P(AinV)川，P(ainD)·1，则能说明欺骗的效果。上式要求攻击者的攻击试探碰到真实安全弱点的概率尽可能小，而碰到欺骗陷阱的概率尽可能大。为此，我们可以增大欺骗样本空间，增加敌人探察的地址以及服务数量，同时尽可能地减少系统中的安全漏洞。即要求在样本空间中，欺骗点相对于实际脆弱点要多的多。混合型蜜罐使用口地址扩展构建欺骗空间，增加了攻击者探察的地址以及服务数量。所谓构造欺骗空间就是使用口地址欺骗来增大入侵者遇到欺骗的概率。利用现代计算机的多宿主能力，在只有一块以太网卡的计算机上就能实现具有众多m地址的主机，将欺骗充斥于一个巨大的地址空间，而且每个Ⅲ地址还具有它们自己的MAC地址，现在已有研究机构能将超过4000个口地址绑定在一台运行lAnux的PC上。这意味着利用16台计算机组成的网络系统，就可做到覆盖整个B类网络地址空间的欺骗，而即使对于一台sp3的W"mdows系统如果没有打补丁约有上百个漏洞，欺骗与安全漏洞之比约40：1，因此入侵者探测到欺骗的可能性比发现安全漏洞的可能性高，他们要判断哪些漏洞是真实的，哪些是虚假的，进一步延长了入侵时间，大量消耗入侵者的资源。而且蜜罐诱骗系统广泛散布在各个子网内的正常系统中，提高了攻击者遇到欺骗的概率。下面对欺骗空间模型的性能，以一中型网络为例，作一个简单的数学分析。令：真实网络服务数量RS=1000欺骗网络服务数量DS=1000000真实服务与欺骗服务之比RPD=RS／DS在本例中，RPD=RS／DS=0．1％，即攻击者进入该网络进行攻击试探，最开始遇到真实网络服务的概率为0．1％；下一次攻击尝试，RPD为RS／(DS．1)．．．⋯一经过100000次尝试后，RPD为RS／(DS．100000)=0．11％。由此不难看出，在构造欺骗空间的网络中，当DS达到一定数量后，随机地选择攻击目标将使攻击 一种混合型蜜罐的设计与分析者得不偿失。因此入侵者发现安全漏洞的可能性比探测到欺骗的可能性低，从而使真实系统遭受攻击的可能性大为减小。动态连接重定向机制有效地控制黑客对外连接，保证攻击限制在蜜场中，从另一种角度来说，基本上攻击者遇到的都是欺骗的蜜罐。虽然欺骗服务子系统中利用虚拟软件配置的高交互蜜罐具有一定的安全隐患，但是重定向器在一定程度上降低了这方面的安全风险。因为它可以在攻击者不知情的情况下将入侵行为“切换’’到部署好的蜜罐中，并进行更深层次的欺骗。虚拟系统通常支持“悬挂”和“恢复’’功能，这样就可以冻结安全受到威胁的计算机，分析攻击方法，然后打开TCP／IP连接及系统上面的其他服务。6．1．2模型自身的安全性模型本身的安全性主要体现在欺骗系统被攻击之后不会成为入侵者用来攻击其他非蜜罐系统的跳板。对于这一点的防范，该模型利用重定向器、蜜网网关和异地审计服务器等控制机制联合来实现。本文使用的动态连接重定向机制，有效地将攻击行为控制在蜜场中，把可能对非蜜罐系统造成的危害降到最低。混合型蜜罐模型的目标是使攻击者陷入一个循环而逃脱不了陷阱网络，如图6．3所示：发现欺骗系统一判断它们是真实系统一攻击欺骗系统一搜索其它目标。图6．3攻击循环同时，在内部Honeywall网关上，合理设置IPtables对数据流执行“宽进严出”策略，网关上安装的Sebek用于记录攻击者的击键记录、所读取的数据、运行了哪些程序，以便利用这些数据再现攻击者的行为。布置的嗅探器snort可以捕获所有的网络活动和内部网络接口上的全部数据包的有效负载，便于分 江苏大学硕士学位论文析入侵行为。并生成同志和防火墙日志，并将记录的数据通过加密的方式传送到远程日志服务器保存，同时保留本地日志。远程服务器的安全级别最高，它关闭了所有不需要的服务，以确保本身的安全。另外，为了避免集中控制带来的单点失效，蜜罐系统的各个组件提供了单独的用户接口。伪装服务子系统中使用客户操作系统与攻击者交互，这样，客户操作系统作为宿主操作系统的安全保护层可以将宿主操作系统对于入侵者隐藏起来，一定程度上提高了宿主操作系统的安全性。不过，值得注意的是，使用的虚拟蜜罐系统还是会伴随着一定的风险，因为在特定情况下攻击者有可能破坏使用的“虚拟软件"，从而控制整个蜜罐系统，所以我们需要加强对虚拟软件的保护。6．2交互度分析访问者参与到网络的服务中做出某些相应的行为，会被认定是交互。交互度是指蜜罐系统与黑客的交互程度。一般分为低交互、中交互和高交互。低交互的欺骗系统，如Specter，一般是采用守护程序加配置文件的方式来产生具有网络服务和安全漏洞的假象，不能提供进一步的交互访问来欺骗入侵者。高交互的欺骗系统Honeynet则是通过对外提供常用的网络服务，暴露真实的安全漏洞，来吸引入侵者，对入侵者的控制能力较弱，安全风险高。本文提出的混合型蜜罐中既有中交互高伪装的物理蜜罐，也有高交互的虚拟蜜罐。在诱骗子系统中，不是简单地用模拟信息的配置文件与攻击者交互，而是镜像真实系统的信息保存并动态修改，这样给予攻击者几乎真实的系统与之交互，所以交互度很高，迷惑性很强，浪费其时间很长。伪装服务子系统中配胃的是若干个中高交互的物理蜜罐，这些蜜罐之上又可以通过虚拟机搭建蜜网，给入侵者提供了几乎真实的操作系统平台，所以该模型的交互程度较高。一般情况下，攻击者想要对一个系统进行攻击，首先要做好入侵前的准备工作。例如：踩点、扫描和信息探察。黑客会利用一些公开的协议或者工具来收集目标系统的相关信息。比如利用SNMP协议查阅网络系统路由器的路由表，以此了解目标主机所在网络拓扑结构；Traceroute程序可以判断到达目标主机所需要经过的网络数和路由数；Whois协议的服务器能提供所有有关的DNS域和相关的管理参数；可以用Finger协议来获取一个指定主机上的所有用户的详 一种混合型蜜罐的设计与分析细信息。通过踩点获得一定量的信息后就是要找出现存网络中提供服务的主机，并判断他们是什么操作系统，存在哪些服务和系统漏洞，常用的手段就是ping整个网络，ICMP查询和端口扫描及脆弱性扫描。扫描阶段结束后黑客会对目标资源探察，主要内容包括：网络资源共享、用户和组、应用和版本信息。然后进入正式的入侵阶段，黑客通过网络猜测口令、利用系统或远程服务漏洞试图进入目标主机，一旦攻击者通过前面的步骤获得了普通用户的访问权限后，就会试图提升权限，以便增加对整个系统的控制权，等成功入侵后，攻击者接下来的工作就是窃取信息，即对一些敏感数据进行篡改、添加、删除及复制。最后离开系统时，黑客要做的是掩盖入侵踪迹或利用傀儡机攻击其他系统。为了掩盖罪行黑客需要做的首要工作就是清除所有入侵痕迹，避免自己被检测出来。掩盖踪迹的方法有禁止系统审计、清除事件日志、隐藏文件等。黑客离开攻击目标之前，通常还会在目标主机上种植后门或病毒，为下一次入侵做铺垫。针对不同阶段攻击者的入侵行为，本文采用的是面向攻击全过程的欺骗与控制的设计思路，图6．4是混合型蜜罐与攻击者在不同阶段交互的全过程。黑客混合型蜜罐系统扫描目标资源探查存在服务创造庞大的地址搜索空．正常服务伪造的版标1"地址空间欺骗动态镜像诱骗子系统蜘q黎纛剿重定向器获取访问权权限提升模拟端口流量漏洞进行造的安全漏洞窃取信息I一定制的虚假信息I●—2_型地兰坚盟骂k—一—k一信息保存至远程日志掩盖踪迹I二向管理控制中心扩大战绩实时告警重定向至服务欺骗系统鎏量堕塞l匝塑圜[叠困臣巫圆[圈伪装服务子系统[墅圃臣堕圈安全控制图6．4黑客与混合型蜜罐的交互过程 江苏大学硕士学位论文由图所示的黑客与混合型蜜罐的交互过程可以看出，针对攻击者的每一步，蜜罐都会做出相应的应对决策，在形式与内容上模拟真实系统与攻击者的交互过程，最终完成从引诱、欺骗到控制的一整套措施。由于混合型蜜罐给予攻击者的自由度很高，允许其一定范围的非法操作，这样就提高了攻击者与蜜罐的交互度和欺骗质量。’网络欺骗质量增强后，安全弱点有了很好的隐藏伪装场所，真实服务与欺骗几乎融为一体，使入侵者难以区分。可见，该模型建立了一个较完整的欺骗与控制框架，通过虚实结合的方式同攻击者进行交互周旋，并对入侵者实施全方位深层次的欺骗策略，保护系统不会被轻易地识别。6．3部署及维护难易度分析一般来说，高交互度蜜罐部署较难，低交互度蜜罐部署相对简单。通过前面的分析可知，本文设计的混合型蜜罐是中高交互度的，但是其部署还是较为简单的，本模型的各个功能模块互相衔接又环环相扣，缺一不可。但是对于单个模块内部的设计，又有其独特的灵活性，可以根据不同的功能需求，自由配置相关组件，可实现即插即用的优点。由于混合型蜜罐的伪装服务子系统采用了虚拟蜜罐技术，降低了运营成本和机器占用空间，而且由于虚拟机可以很方便地停机、备份、恢复，当黑客攻陷虚拟机后，我们可以将蜜罐虚拟机卸下来离线研究黑客的攻击，当需要恢复虚拟蜜罐时，不用重新安装操作系统，只需要把先前备份的虚拟机文件替换掉当前的虚拟机文件就可以了。这样，蜜罐系统可以非常高效方便地部署和管理。伪装服务子系统可采用操作简单的图形化用户界面，进行全新的可视化管理与配置，可以对系统灵活加载或删减模块，系统管理员主要是通过管理控制中心来对日志审计服务器和欺骗主机进行集中管理。重定向器以组件的形式部署在每个子网的诱骗系统中，所以管理起来也较为方便。网关使用蜜网项目组2005年5月推出的基于第三代蜜网(Ge衄)技术的安装光盘ROO，可以直接安装在伪装服务系统中蜜罐主机上。它安装方便，自动化更新系统、增加一个功能强大的基于浏览器的数据分析工具(Walleye)、支持最新的系统活动捕获工具(Sebek3．x)，这些都使得它的安装和维护更容易。61 一种混合型蜜罐的设计与分析因此，从整体上看，混合型蜜罐的部署和管理比较简单方便。下面给出该模型的具体部署，如图6．5所示。在受保护子网中部署一个诱骗子系统，诱骗子系统配黄一台重定向器，将攻击行为引向一个共享的伪装服务子系统，再结合外部安全设备共同建立一个完整的欺骗网络。6．4本章小结图6．5混合型蜜罐在网络环境中的部署圜本章主要是对混合型蜜罐进行整体评估，分别从安全性、交互度和部署的难易程度上进行分析，得出该系统具有较高安全性和交互度、易于部署和整体欺骗质量较高的结论。 江苏大学硕士学位论文7．1论文总结第七章结论和展望本文基于对现存几种蜜罐系统的了解和分析，提出了一种混合型蜜罐模型。该蜜罐系统既有高交互的虚拟蜜网，又有中交互高伪装的物理蜜罐。通过这种虚实结合的方式来构建一个混合型欺骗系统，给入侵者一个真实的网络结构感觉。从资金消耗来说，把成本降至最低。一个成功的蜜罐体现在能够收集到黑客一切的攻击信息而不被对方察觉，为此必须与黑客充分地交互，而不被对方察觉体现在较高的伪装度和处理数据的透明度。本文设计的混合型蜜罐诱骗子系统中将口地址扩展技术和动态镜像法相结合，在黑客攻击前阶段反馈高度仿真的扫描信息迷惑他，有效地消耗攻击者的时间和精力，当攻击者确定一个目标进行深度攻击时，重定向器将攻击流透明地转发至高伪装的服务欺骗子系统中，服务欺骗子系统利用各种欺骗技术与攻击者交互，捕获更多有研究价值的攻击行为。同时，该混合型蜜罐还部署蜜网网关进行数据控制和数据捕获，特别是动态连接重定向将攻击者束缚于蜜场中，提高系统的安全性。最后，本文分别从安全性、交互度、欺骗质量和部署的难易程度上对混合型蜜罐模型进行分析，得出如下结论：本文提出的混合型蜜罐是具有较高交互能力，易于管理、安全程度高，可广泛推广使用等技术特点，混合型蜜罐将诱骗系统和伪装服务系统分开来设计，使得蜜罐在企业内部网络中更加容易部署和信息的收集更加集中，也为企业或学校等组织的网络安全构建提供了一个新的思路。7．2研究展望本文的工作达到了一定的预期目标，但是由于时间和能力的限制，论文所做的工作还存在许多不足。结合本论文的研究结果，作者认为下一步工作可以从以下几点来考虑：·模型方面还需要进一步改进和完善 一种混合型蜜罐的设计与分析根据网络规模大小，对于诱骗子系统中虚拟蜜罐的数量，需要设计一种算法使其最优化，从而节约资源和降低蜜罐配置的复杂度，对于伪装服务子系统还需要加强其动态性，提高欺骗质量。动态蜜罐【501是指蜜罐系统能够通过监控和自学习实时的网络环境自动配置适量数目适当操作系统的蜜罐。·模型的性能分析需要在真实网络中进行原型验证根据真实网络的不同规模，不同环境，对混合型蜜罐的各项性能指标的评估结果与实际之间也会有一定的差异，还需要在真实网络中进行原型试验。·加强宿主机系统和虚拟软件的保护混合型蜜罐的设计使用了各种网络安全方面的工具，比如使用防火墙、路由器和网桥等工具来实现数据控制功能；需要Sebek、Snort等工具来进行数据捕获；虚拟蜜罐技术需要VMWareworkstation虚拟软件。这些工具有些是商品化产品，有些是开放的资源，它们可能还存在很多漏洞，所以这些工具的安全与否会直接影响到蜜罐系统安全性能的好坏。·发掘更为有效的反蜜罐渗透技术151】攻击与反攻击这对矛盾是不断拉锯式发展的，攻击者利用蜜罐指纹识别技术来探测和发现网络中的蜜罐系统，所以安全维护人员要及时了解黑客新的攻击手段和攻击工具，发掘更为有效的反蜜罐渗透技术，不断更新完善网络安全解决方案。 江苏大学硕士学位论文参考文献【1】中国国家互联网应急中心：网络安全威胁出现新特点【CP，oL】http：／／ncws．xinhuanet．com／2011-08／09／e_121833541．htm．【21《2,oll上半年中国网络安全报告》细则[CP／OL]http：／／www．very01．corn／news／computer／2011-07—25—93116．htm．【3】CliffordStoU．TheCuckoo"sEgg：TrackingaSpyThroughtheMazeofcomputerEspionage．NewYork：PocketBooks，1990．【4】BillCheswick．AnEveningwithBe疵rdinwhichaCrackerisLured,EnduredandStudied．http：／／www．clusit．it／Whitepapers／berferd．pal．1991．【5】‰Spitzner．TheValueofHoneypots，PartOne：DefinitionsandValuesofHoneypots．http：／／www．seeurityfoeus．corn／infocus／1492，2001／10／10．【6】LalleeSpitzner．TheValueofHoneypots，PartTwo：HoneypotSolutionsandLegalIssues．http：／／www．securityfocus．eom／infocus／1498，2001／10／25．【7】FredCohen．AMathematicalStmcmreofSimpleDefensiveNetworkDeceptions．Computers＆Security．2000／10／01，19，(6)：520-528．【8】LanceSpitzner．TheHoneynetProjeet：TrappingtheHackers．IEEESecurity&privacy．2003，1(2)：15-23．【9】TheHoneynetProject．KnowYourEnemy：LearningaboutsecurityThreats．2ndEdition．Boston,US：Addison-Wesley,2004．【lolHoneynetProject．KnowYourEnemy：Honeyneb[Z]．http：／／project．honeynct．org．【11】TheHoneynetProject．ResearchAlliance．http：／／www．honeynet．org／alliance／index．html【12】LaurentOudot．FightingInteractWormswithHoneyncts．http：／／www．securityfocus．com／infocus／1740．2003110123．【13】LaurentOudot．HoneypotsAgainstWorms101．BlackHatAsia,2003，12．【14]TheHoneynctProject．KnOWYourEnemy-WormsatWar．http：／／www．securityfocus．eom／infocus／1233．2001／1I／08．【15】诸葛建伟，韩心慧，叶志远等．僵尸网络的发现与跟踪．全国网络与信息安全技术研讨会(q．2005，8．【16】诸葛建伟，吴智发，张芳芳等．利用蜜网技术深入剖析互联网安全威胁．中国计算机大会(63．2005，10．【17】BillMeCarty．Botnets：BigandBigger．IEEESecurity＆PrivacyMagazine．2003，1(4)：87．90．【18]DavidWatson，ThorstenHolz，SvenMueller．KnowyourEnemy：Ph曲ing．http：／／www．honeynet．org／papers／phishing／,2005．【19】狩猎女神项目组．http：／／www．honeynet．o玛．cn．【20】虚拟机之家．VMware虚拟机实用宝典【M】，中国铁道出版社，第1版，2007，10． 一种混合型蜜罐的设计与分析【21】姚兰，王新梅．DNDS：--种网络欺骗系统模型川．计算机工程与应用，2005，41(34)：12．15．【22]FredCohen．TheDeceptionToolKit．http：／／a11．net／dtk／dtk．html．1998【23】FredCohen．SimulatingCyberAttacks，Defenses,andConsequences．Computers&security．1999，18(6)：479—518．【24]NFRSecurity,Inc．BackOfficcrFriendly．http：／／www．nfr．com／resouw：c／backoffice．php【25】NETSEC．Asmarthoneypot-deceptionorintrusion—detectionsoftwarepackage，http：／／www．winnetmag．oom．【26】NETSEC．SPECTERintrusiondete℃tionsystem．http：／／www．specter．com．【27】Nielsprovos．DevelopmentsoftheHoneydVirtualHoneypot．http：／／www．honeyd．org．【28】Lanc．圮Spitzner．OpenSourceHoneypots：LearningwithHoneyd．http：／／www．secudtyfocus．com／infocus／1659．2003／01／20．【29】RecourseTechnologies，Inc．Mantrap：ASecureDeceptionSystem．htIp：价Ⅳww．rccour∞．oom．2001．【30】董国峰，卢艳静．蜜网技术综述川．网络安全技术与应用，2008，12：13．15．【31】姚兰．基于欺骗的网络积极防御技术的研究与实现【D】．西安电子科技大学，2007．8．【32】陈启璋，林国恩，李建彬．一种基于动态蜜罐和实时仿真的蜜网设计川．微计算机信息，2006，22(12—3)：28．30．【33】UML,http：／／www．vmware．com／．【34】HoneynetProject．KnowYourEnemy：DefiningVirtualHoneynets．http：#project．honeynet．org／papcrs／virtual／．2003．【35】M池aelClark．V"LrtualHoneynet．http：／／www．seoldtyfocus．com／infocus／1506．[36】NidsProvos．AV"mualHoneypotFramework．http：／／www．citi．umich．edu／．【37】LanceSpitzner,HittingtheSweetSpot．http：／／infosecuritymag．techtarget．oom／2003／jul／honeypots．shtml．july2003．【38】王璐．蜜罐网络诱骗技术研究与实现唧．电子科技大学，2004．2．p9】张国柱．如何在UNIX系统中安装FrP服务器川．中国金融电脑，2001(9)：35．38．[40】魏大威．利用WGET实现网络文献保存和发布的技术探讨川．国家图书馆学刊，2004(2)：41-44．【41】汪小霞．校园网络安全与蜜罐技术的应用川．中国现代教育装备，2007，11：168-169．【42】马莉波，段海新，李星．蜜罐部署分析【J】．大连理工大学学报，2005，45(Suppl)：150．156．[43】RichardTibbs,EdwardOakes(：美)．李展(译)．防火墙与VPN：与实践【M】．清华大学出版社，2008，12．【4q严书亭，刘佳新，王新生．Snort规则链表结构的分析-q改进【J】．燕山大学学 江苏大学硕士学位论文报，2006,(3)：45-63．【45】祝春美，吴天兰．蜜网中捕获加密击键的研究与实现fJ】．商丘师范学院学报2008，24(9)：84-87．[46】刘丹，赖锋．系统安全中Linux日志的实用研究川．世界电信，2003，16(5)：44-46．【471TheHoneynetProject．KnowYourEnemy：Roo．http：／／project．honeynet．org／papcrs／cdrom．2005．【48】李静．基于蜜罐日志分析的主动防御研究和实现【D】．上海交通大学，2009．【49】侯小梅，毛宗源，张波华．基于P2工"R模型的IIltemet安全技术川．计算机工程与应用，2002．f50】李之棠，徐晓丹．动态蜜罐技术分析与设计册．华中科技大学学报，2005，2,33(2)：s6．88．【51】陈超，妙全兴．蜜罐识别与反识别技术研究川．计算机安全，2009，12：59—61． 一种混合型蜜罐的设计与分析攻读硕士期间发表的文章【1】一种混合型蜜罐的研究与分析．计算机应用研究，2011，28(11)：4341_4344．【已发表】 江苏大学硕士学位论文致谢论文完成之际，我真心感谢所有关心、关注和支持过我的老师、同学和亲人。首先把我最诚挚的感谢献给我的导师赵跃华教授。在我攻读硕士期间，赵老师给予我莫大的指导和帮助，从开始的论文选题，研讨会的开展，小论文的撰写，一直到现在这篇大论文的成稿，赵老师在背后倾注了很多心血。他让我懂得了学生不仅仅是学习专业知识，更要学会一种做人处事的态度和责任。赵老师他对专业研究的严谨作风、对工作的精益求精、以及他对学生独有的培养方式，这些都深深地影响着我，也是我终身受益的财富。师恩如海，永铭在心!在此我也要感谢计算机学院535实验室所有兄弟姐妹们，我们共同走过了人生中这不平凡的时光，在一个集体里共同奋斗，互相学习是一件十分快乐的事情，与你们的交流使我解决了研究中的诸多困难。所有美好的点滴我将永远珍藏，你们的深厚情谊我也将铭记在心。我还要特别感谢师兄韩少聪，师弟林聚伟和胡向涛等，感谢你们给我的莫大帮助，感谢师妹朱嫒嫒对我的关心，和她在一起，什么烦恼都没有了。我还要特别感谢我的家人，爸爸妈妈和妹妹，感谢你们这几年对我学业上的支持，以及对我的宽容与理解。你们的爱给了我无限的动力，你们是我顺利完成学业的强大精神后盾。最后我要衷心地感谢评审专家在百忙之中抽出宝贵的时间审阅我的论文，感谢各位评委的批评和指正。愿大家事事顺利、吉祥安康!也祝愿母校江苏大学的明天会更好!