混合蜜罐架构在网络安全中的应用 66页

国内图书分类号：TP393．0工学硕士学位论文混合蜜罐架构在网络安全中的应用硕士研究生：导师：申请学位级别：学科、专业：所在单位：答辩日期：授予学位单位：林海静乔佩利工学硕士计算机应用技术计算机科学与技术学院2013年3月哈尔滨理工大学 ，ClassifiedIndex：TP393．0DissertationfortheMasterDegreeinEngineeringTheMixHoneypotApplicationinNetworkSecurityCandidate：LinHaijingSupervisor：QiaoPeiliAcademicDegreeAppliedfor：MasterofEngineeringSpecialty：DateofOralExamination：ComputerAppliedTechnologyMarch，2013University：HarbinUniversityofScienceandTechnology 哈尔滨理工大学硕士学位论文原创性声明本人郑重声明：此处所提交的硕士学位论文《混合蜜罐架构在网络安全中的应用》，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。．，，．作者签名：水每黼日期：沙，弓年弓月叫日哈尔滨理工大学硕士学位论文使用授权书《混合蜜罐架构在网络安全中的应用》系本人在哈尔滨理工大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理工大学所有，本论文的研究内容不得以其他单位的名义发表。本人完全了解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采用影印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内容。本学位论文属于保密厂]，在年解密后适用授权书。不保密I刁。(请在以上相应方框内打√)作者签名：前略特⋯：悉(1氓扒日期：二矽，多年岁月了7日日期：沙，；年了月≯／El 哈尔滨理工大学工学硕二L学位论文混合蜜罐架构在网络安全中的应用摘要随着通信技术和计算机技术的日益发展和普及，计算机网络已经成为了人们生活和信息交换的重要手段。网络信息安全显现的问题，已经影响到个人和公司的切身利益。面对越来越严重的安全威胁，能够发现网络中存在潜在问题和威胁才能防忠于未然，减少损失。而传统的被动防御的网络安全技术显然无法达到这一点。蜜罐技术弥补了这一空白，变被动防御为主动防御。蜜罐是一种系统资源，本身并不具有任何产品价值，它的价值在于被探测和非法使用。使用蜜罐技术的目的就是吸引攻击者攻击，当攻击者进入蜜罐后，对攻击者予以监视并且分析攻击者对蜜罐系统探测、危害、攻击等入侵行为，收集分析入侵者在蜜罐系统中的各种数据，从而总结出攻击者的手段和意图。-，然而，目前的蜜罐部署昂贵而且管理复杂，特别是在大型的组织机构网络中。本文紧密围绕着各类蜜罐的优缺点进行研究，把注意力放在提高蜜罐系统的可扩展性和灵活性上，通过引入一种新的混合蜜罐的结构。这种混合蜜罐结构同时吸取了高交互蜜罐和低交互蜜罐的优点，自动过滤和节省资源，减少了数据收集规模同时允许研究人员动态指定收集他们希望类型的攻击。混合蜜罐最主要的两个模块就是决策引擎模块和数据重定向模块，决策引擎解决了数据过滤问题，重定向模块解决了数据的重定向。其次就是数据诱骗模块，进行大量数据的收集工作，实现了低交互蜜罐honeyd的可扩展性。混合蜜罐系统的防火墙、低交互蜜罐、混合蜜罐网关上配置的入侵检测系统、高交互蜜罐共同实现了数据捕获功能。然后根据入侵检测系统、低交互蜜罐的日志数据和高交互蜜罐收集的攻击行为实现攻击特征的提取。关键词网络安全；混合蜜罐架构；数据重定向 哈尔滨理工人学工学颂：LI学位论文TheMixHoneypotApplicationinNetworkSecurityAbstractCurrently,withthedevelopmentofcommunicationsandcomputertechnology，thecomputernetworkhasbecomeanimportantmeanofinformationexchangeinpeoplecommonlive．Asaresult，anumberofnetworkandinformationsecurityproblemhasaffectedthevitalinterestsoftheindividualandthecompany．What’Smore，whenitcomestotheincreasinglyserioussecuritythreats，itisfoundthattherearesomepotentialproblemsandthreatsinthenetwork，whichiSacorepointtoreducetheloses．However,thetraditionalpassivedefensenetworksecuritytechnologycannotbeachievedobviously．Eventually,honey-pottechnologymakesupforthisgapaswellaschangesfrompassivedefensetoactivedefense．Honeypotisakindofsystemresources,itdoesnothaveanyproductvalue，thevalueofitisprobedandillegaluse．What’Smoreimportant，thegoalofusehoneypottechnologyistoattractattackers．WhentheattackeriStrickedintoahoneypot，thehoneypotwillmonitorandanalysethebehaviorofaRacker．Acttually,thebehaviormainlycomprisedetecting，attackingtheinvasionetc．Eventually,accordingtothecollecteddataoftheinvaders，theauthorsumsupthemeansandintentionoftheattacker．However,itisexpensiveandcomplextodeployaswellasmanagehoneypotcurrently,particularlyinlargeorganizationsnetwork．Consequently,thisarticlecloselyrevolvesaroundtostudytheadvantagesanddisadvantagesofallkindsofhoneypot．Asthesametime，honeypotsystemfocusonimprovetheextensibilityandflexibility,raisinganewmixstructureofhoneypot．What’Smore，themixhoneypotstructureusesnotonlytheadvantagesofhighinteractionhoneypot，buttheadvantagesoflowinteractionautomaticfilteringandsavingresources．Accordingtotheirgoal，itreducesthesizeofthedatacollection，allowingresearchersdynamicallyassignedtocollectthattypeofattack．?Themostimportanttwomoduleinmixhoneypotisthedecisionenginemoduleandredirectdatamodule，atthefirststep，decisionengineCansolvethe．II． problemofdatafiltering，andredirectmodulesolvesthedataredirecting．Followedbydatadecoymodule，itimplementalargenumberofdatacoilection．achievethelOWinteractionhoneypothoneyd’Sextensibility．ThehonetybridfirewallmlxslowInteractionhoneypot．intrusiondetectionsystemsandthehighinteraction．Asaresult，theycapturesuspicioustra瓶Cincommon．A1lina11．accordingtotheIntrusiondetectionsystem，10Winteractionhoneypotlogdataandhighinteractionhoneypottoobtaintheattack’Sfeature．Keywordsnetworksecufity，mixhoneypotarchitecture，dataredirection．．III．． 哈尔滨理IT火学-T学硕=}j学位论文目录摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯IAbstract．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．II第1章绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11．1课题研究的背景和意义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．11．2网络安全现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．11．2．1计算机网络信息安全⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯11．2．2网络安全国内外现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯21．2．3用于网络安全的传统技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯31．3论文结构安排⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一7第2章蜜罐技术概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯82．1蜜罐国内外发展现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．82．2蜜罐概述⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．92．2．1蜜罐的定义⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92．2．2蜜罐的分类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯92．2．3蜜罐配置位置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．112．3虚拟蜜罐软件honeyd⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯132．3．1honeyd主要特点⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．132．3．2honeyd框架结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一132．4本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．14第3章混合蜜罐系统设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．153．1引言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．153．2混合蜜罐设计思想⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯153．3混合蜜罐总体设计⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯173．4主要模块相关设计与分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯193．4．1数据诱骗模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．193．4．2决策引擎动态过滤模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．203．4．3数据重定向模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯：．．．⋯⋯⋯⋯⋯⋯一223．4．4数据捕获模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．233．4．5特征提取模块⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．24 哈尔滨理工火学工学硕二L．学位论文3．5混合蜜罐网络拓扑图⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯243．6k均值算法改进⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一253．6．1k均值算法简介⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯253．6．2k均值算法缺陷⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯263．6．3k均值算法改进⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯273．6．4改进算法的实验数据对比⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．273．7本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯29第4章混合蜜罐系统实现⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯304．1搭建系统实验环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯304．1．1硬件环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．304．1．2软件环境⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．304．2系统具体实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯3l4．2．1虚拟机安装配置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．3l4．2．2honeyd的安装配置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．314．2．3入侵检测系统配置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．354．2．4netfilter／iptables配置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯374．2．5SSH服务配置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．384．3系统性能分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯394．3．1用于攻击的协议⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．404．3．2攻击来源的地理位置⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．424．3．3受攻击的端口⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．454．3．4违规认证⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．474．3．5攻击者行为分析⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．484．4本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．50结论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯51参考文献⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯53攻读硕士学位期间所发表的学术论文⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯57致谢⋯⋯⋯⋯⋯⋯⋯⋯⋯．：：⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯58 哈尔滨理工人学工学硕jI：学位论文第1章绪论1．1课题研究的背景和意义计算机技术与信息技术的不断发展与融合，诞生了一项跨时代的技术一计算机网络技术。计算机网络的发展从上个世纪中叶到本世纪初，虽然仅有短短六十多年历史但是却翻天覆地的改变了人们的生活。在计算机网络出现以前计算机的主机相对于通信设备来说是非常昂贵的。对于主机资源的共享驱动着第一代计算机网络的发展出现了一种联机终端系统。这种计算机网络以网络中的主机为中心，集中处理数据和通信信息，处于中心位置的主机通过线路与其他设备相连，实现主机信息和资源的共享。这种连接方式主要的问题有以下三点：一是主机与其他终端设备都单独占用一条线路，当终端与主机不传输信息时，就造成线路的浪费造成了线路使用率低；二是主机的负载增大因为不仅负责主机自己的数据处理还要负责与终端通信和网络的总体控制。因此主机效率明显降低。而且其他所有与主机互联的计算机都会无法继续工作如果主机因为某些原因停止工作n±引。在计算机网络研究者不断进行改进的同时第一代网络的种种问题得到了解决，研究人员使用数据集中的方法使到达主机，主机的数据先集中起来通过终端集中器的数据再传送到主机，这样使得主机效率有所增加。而到了20世纪60年代计算机网络已经不仅仅局限于一台主机的单机网络，而形成了单机网络与其他单机网络互联的多个小型网络互联的多主机网络。这样的多主机互联开辟了网络的新时代，实现了主机到主机的互联。由专门负责通信的通信控制处理机(CommunicationControlProcessor，CCP)来完成通信任务使得从主机从通信控制的功能中分离出来。CCP就是现在的通信子网。由通信子网作为基础，主机与终端的连接则形成了资源子网n1。1．2网络安全现状1．2．1计算机网络信息安全网络安全涵义非常广泛，参考国际标准化组织ISO关于网络安全的定义，计算机网络安全一般是指采取相应的管理、技术和措施，保护计算机网络系统 哈尔滨理工人学工学硕二}=学位论文中硬件、软件和数据资源不遭到更改、泄露和破坏，使计算机网络系统正常运行，让网络发挥更大更好的作用H，5|。而说到网络安全，最核心的就是网络上的信息安全。凡涉及信息的可靠性、保密性、完整性、可用性、可控性和不可抵赖性的相关理论和理论都是网络安全的研究领域懈1。1．可靠性网络可靠性是指在规定时间能够完成规定通功能的能力。它具有三个要素：环境、时间、充分完成功能。从硬件角度来说，指的是从源点到终点，网络能够成功传输所需信息的能力。网络的可靠性受人为因素和硬件环境影响。有些网络管理人员个人能力不足或者缺乏网络管理经验缺乏应多突发网络问题能力，就有可能导致网络可靠性变差。硬件环境通常指服务器等设备发生的硬件故障口1。2．保密性保密性的涵义就是对于除了接收和发送的数据双方的其他人来说数据的传输是透明的。除了被授权的用户可以访问数据，其他未授权的人无法访问数据。3．完整性完整性的涵义指的是接收到的信息在传输过程中没有被黑客删除或修改。用户接收到的数据是完整的、正确的。完整性对于信息安全来说是最基本的要求，也是很多黑客进行攻击的目的。4．可用性可用性就是指授权用户需要查询文件时，能够正常使用文件。可用性对于系统来说，就是分析用户对于信息的可用性需求，使系统的硬件环境、软件环境达到这种需求。对于信息发送者和接受者来说，不能抵赖自己的发送或者接受行为。5．可控性指对网络上传输的数据和信息有控制能力。6．不可抵赖性不可抵赖性也可称作不可否认性，指的是信息相互传送的工程中，确认传送者的同一性。即参与者不能否认曾经参与完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息协1。1．2．2网络安全国内外现状纵观网络的发展，人们所有的生产生活都随着信息技术的发展而产生巨大变革。在这样的背景下保证信息在互联网上安全传输就显得尤为重要。不同于一个点到另一个点的简单的信息传输，互联网上的信息传输庞大而且复杂，互联网上的信息安全也不同于以往的传统概念。对于网络上信息的简单防护的办法已经远远不能适应互联网信息安全的发展，网络信息安全发展的框架或者应 哈尔滨理工人学工学硕士学位论文对措施已经发展成为一种体系应用在多种领域。据美国FBI统计，在全球范围，一台计算机平均20秒就被攻陷。仅美国一年，由于网络信息安全问题造成的经济就可高达75亿。事实上，追求互联网的资源共享与保护系统安全一直以来就是对立的。网络上的海量信息，成为了众多攻击者的目标。而网络的开放性、互联性更为不法分子提供了可乘之机h101。在如今信息技术飞跃发展的时刻，网络信息安全也越来越受重视。为应对未来信息战和安全威胁。许多国家都在积极做出对策。在91l事件后，美国成立了一些列相关部门实施应对措施，如国家关键基础设施保护委员会等。防范网络袭击、保护网络网络安全是这些机构的重要使命⋯3。面对全球计算机网络复杂多变的状况，我国积极的采取了应对措施。从上世纪90年代，经过几十年的发展，网络基础安全设备建设已经基本完成。大到政府部委、跨国企业，小到一个乡镇小学、小型企业，都完成了网络基础建设，设置了相应的安全设备。截至目前，我国成立了由众多信息技术人才组建成各种科研部门如信息安全国家实验室、中科院等进行国家信息安全体系的相关建设。在国家政府和广大的为互联网安全做出贡献的公司和众多网友的共同努力下，我国的网络信息安全体系已经达到了全球的先进水平。但是，为了应对更加变幻莫测的网络环境，一时的领先不能代表永远的成果，在未来仍需要社会各界的共同付出和努力才能保证国家互联网信息安全。截止到2011年，通过政府、企业及各个方面的共同努力，我国未出现重大互联网安全事件。各行各业的安防意识逐步增强，国家安防管理水平也随着技术发展不断加强。从网络安全措施达标比例来看，2011年统计数字为98．78％，2010年统计数字为92．25％，2009年78．6l％，达标率越来越高。国内大陆被篡改的政府网站比去年大幅下降，总个数2807个，下降了39．4个百分点n2·131。1．2．3用于网络安全的传统技术当今计算机网络越来越复杂，新的攻击手段层出不穷。某个单一的信息安全技术已经无法应对目前复杂的信息安全问题。只有多种技术结合使用，才能优点缺点互补，更好的防护信息安全。1．入侵检测(IntrusionDetectionSystems，IDS)。最早在1980年出现，它能够对进入网络的所有数据进行监控，入侵检测系统通常先定义自己的安全策略，然后使进入的网络流量与已存在的安全策略进行对比。如果有外部用户想要非法进入系统或者内部用户进行未授权访问或者其他不符合系统正常状态 哈尔滨理工大学工学硕士学位论文的行为出现，那么它将发出警报或者采取阻断传输等主动行为。snort是现在广为流传的入侵检测产品。入侵检测系统可以分为主机型和网络型两种⋯I。主机型的入侵检测系统安装在某台主机中，用于监控这台主机上的恶意流量。网络型的入侵检测系统一般配置在网络的服务器中，对于进出网络的流量进行监控。传统的配置方法是与防火墙同时使用。图1．1为入侵检测系统和防火墙的布置位置。◇◇图1-1入侵检测与防火墙的布置Fig．1-1ThelocationofintrusiondetectionandfirewaUsnort作为一款免费的入侵检测产品，得到了广泛的应用。它的检测方法有检测签名、检测协议、检测异常行为等，而且检测方法可以结合使用。snort对于各种异常行为、漏洞、病毒等都能检测出来，功能强大。snort可以使用预处理程序进行扩展功能。预处理程序可以通过preprocessor关键字加载。指令格式如下：preprocessor：举例：preprocessorminfrag：1：28最开始的入侵检测系统根据入侵者的行为进行判断系统是否收到威胁，系统根据用户行为生成一个特征库，并根据这个特征库进行判断系统是否正常。 哈尔滨理工人学T学坝卜学位论文这种行为检测的方法有一定缺陷，比如用户改变了以往习惯，则系统就可能会产生误报。对比之前的方法，使用建立攻击行为特征库效果更佳显著，研究人员通过加入攻击者的行为特征建立特征库，这样系统的误报率大大下降，不过这种行为特征对于新出现的攻击行为无能为力，它需要自身的学习能力和自我扩展能力。但是，人工智能与机器学习技术在未来不断发展，会不断弥补这种方法的不足。使蜜罐具有自适应能力，也是未来发展方向”瓦Ⅲl。虽然IDS与防火墙一起配合提供了一种网络信息安全解决方案，但是随着网络的迅猛发展，IDS也暴露出一些问题，IDS对所有网络传输数据进行检测，造成系统负担加剧，可靠性下降。IDS系统也会遭到攻击，在堆自身的防护同时，削弱了对其他传输的检测。由于现阶段的不完善的模式识别技术，也导致了IDS的高报警率。2．防火墙技术防火墙一般应用在内部网与外部网之间，对网络入口处数据进行检测。用户可以根据自身的要求，定义某些数据格式和特征，如果防火墙发现数据包特征不符合用户定义的白名单，则阻止流量流入。防火墙的主要功能就是防止对保护网络的非授权访问，屏蔽可疑通信。防火墙技术经过多年发展，得到了广泛应用。它最大的特征就是响应及时、防护广泛。可以说，防火墙就是一道外部网络与内部网路的防护屏障。所以放置在外部网络与内部网络之间是防火墙最常用配置方案n7·181。如图1．2所示。◇◇防火墙内部|)c)9络图1-2防火墙常用配置方案Fig．1-2CommonFirewallconfigurationscheme从使用的产品软硬程度上划分，分为软件防火墙、硬件防火墙、软硬件结合防火墙。软件防火墙就是使用软件部署防火墙，完成包过滤等一系列功能的防火墙。相对于软件防火墙，硬件防火墙就是在硬件中嵌入软件防火墙。硬件防火墙的优势在于隔离了主机操作系统与防火墙，使独立运行的硬件防火墙系 哈尔滨理工人学工学硕二l：学位论文统更加稳定，但缺点是价格昂贵¨⋯。3．安全扫描技术虽然扫描技术源于黑客使用的扫描工具，但是安全扫描技术的目的与黑客不同。安全扫描技术的作用是检测已有产品或服务的安全漏洞，然后对该产品或服务的漏洞进行修补。如果一个网络管理员想要知道自己管理的网络有哪些被忽略的漏洞，安全扫描技术是最好的选择。使用安全扫描技术后、可能会发现多种问题，比如未被关闭的端口与服务、FTP漏洞等。网络管理员可以根据所有提交的报告进行下一步操作㈨。4．虚拟专用网络(VirtualPrivateNetwork，VPN)VPN在人们使用的公用网络上，提供一个对于内部网来说专有的连接通道。内部网可以通过VPN进行远程访问。VPN通常由三部分构成：网络物理接口、网络节点、统一运行机制构成。具体包含了一下关键部分：VPN服务器：首先想要实现VPN，必须先拥有一台计算机系统作为VPN服务器，可以是一个连接到Intemet的计算机、路由器、网关、配置VPN软件的联网机等。算法体系：想要实现VPN安全可靠传输，应用强大的算法必不可少。而且对于不同类型的VPN，应用的算法也会不尽相同。对称加密算法，公用密钥加密算法等等都是VPN常用的算法。认证系统：认证系统提高了VPN传输信息的可靠性、可用性。认真系统首先确保了传输双方的确定性。也就是说，用户想要传递给另外一段的信息真正传递到了那个人的手中，而不是其他人。而对于接受放来说，接受到的是想要接受到的那个人的信息。认证系统同时保证了信息不会被泄露。常用的认证方法有口令、密码、证书等等。VPN协议：VPN产品的特征通过VPN协议进行定义，上下层网络系统的接口形式和安全程度是VPN产品特征最主要的两个方面。想要实现VPN的安全传输、不仅仅是算法上的应用，更重要的是使用密钥方式。而VPN的适用度由接口决定，MPLSVPN、IPsec、SOCKS、SSL都是常见的接口。5．加密和签名技术军事领域率先开始使用加密技术，因为军官向部署下发的指令非常重要不能引起泄露因而这些指令都是经过加密的。随着社会不断发展，企业的信息化逐渐增强，加密技术不断应用在商业领域中。加密技术分为两类：对称加密、非对称加密位¨。对称加密又称对称编码，同样的密钥应用于加密运算与解密运算。密钥的保密性决定了加密的安全度。加密算法的复杂度决定了加密的密码强度。但是， 哈尔滨理-T人学工学硕rJ：学位论文对称加密技术无法应用在公开的信息传送中，非对称加密解决了这个问题。它含有两个密钥：公开密钥和私有密钥。它们是成对的关系，每个公开或者私有密钥都对应于一个私有或公开密钥。、也只有这一对的密钥能够互相解密”2’圳。1．3论文结构安排本论文共分五章，具体章节安排如下：第一章：绪论，主要分析了现阶段网络信息安全现状，国内外应对网络信息安全问题的举措，分析了传统安防技术。第二章：主要对于蜜罐技术进行了深入分析，包括蜜罐发展的国内外现状、蜜罐的概述，包括蜜罐的定义、分类、蜜罐配置的位置。然后对虚拟蜜罐软件honeyd进行了介绍。第三章：提出对传统蜜罐技术的改进——混合蜜罐系统。然后对混合蜜罐系统进行了具体的设计分析，对系统需要的各个模块进行了详细叙述，混合蜜罐系统使用的k均值算法改进。第四章：对混合蜜罐系统进行了具体实现，包括对实验系统的软硬件部署、系统各个电脑的软件配置、服务配置。并进行了数据分析和测试，对数据结果进行了量化分析。第五章：对全文进行总结，并对下一步的工作进行了展望。 哈尔滨理工人学工学硕士学位论文第2章蜜罐技术概述2．1蜜罐国内外发展现状蜜罐技术的发展过程可以总结如下：1)蜜罐最初只是研究人员概念性描述，这个思路在网络管理员问传播，然后逐渐发展成一种构想。这个期间蜜罐并没有真正成为一种工具，而实现蜜罐思想的是被管理员发现的已经被黑客攻陷的计算机。这个阶段从九十年代初开始大约经历了十年时间。2)第二个阶段，研究人员对蜜罐技术的研究越来越趋于成熟，蜜罐不在停留在概念性的描述中，这个阶段出现了实际的蜜罐工具。出现了世界上的第一个蜜罐一DTK。DTK主要由Perl和C语言编写。这个阶段的蜜罐已经能够模拟操作系统的和其上的各种服务。3)第三个阶段，随着蜜罐工具的产生，蜜罐的应用逐渐广泛。最初设计的蜜罐软件开始暴露出一系列问题。最明显的就是模拟出来的系统交互度低，导致攻击系统的黑客很轻易的就能识别出这个系统是蜜罐系统乜4’2引。所以这个时期的蜜罐研究人员开始使用与实际网络相同的真实主机进行搭建蜜罐网络。使用效率更高的算法进行对数据的捕获、控制和分析，使用虚拟的蜜罐软件与真实的主机相配合搭建出包含低交互度和高交互度共同的存在的蜜罐网络。蜜罐研究人员可以通过这个更加复杂的蜜罐网络采集黑客的攻击的行为，并且做出分析妇6I。随着蜜罐技术的发展，蜜网越来越受到全世界的研究团体关注，世界蜜网项目组织在1999年成立，它是一个全球性联盟，由来自全世界的志愿者组成，主要的目的就是共享最新的开源软件、对网络安全知识向广大群众普及、提高人们的意识。进行信息安全领域的非营利性研究。研究蜜罐的组织成立的蜜网研究联盟，虽然为蜜网项目组旗下的一员，但它的组织和结构构成又不同于蜜网项目组。同时出现的还有分布式蜜网项目，计算机网络庞大而复杂，分布式蜜网项目的核心思想就是把蜜罐配置在更加广阔的网络空间中，达到对数据的更加广泛的收集乜。2引。蜜罐技术的使用和研究，我国现阶段还没达到世界领先水平。代表性的研究机构是北京大学计算机研究中心。该中心对网络信息安全有深入的研究。该中心研究的狩猎女神项目曾获被蜜网项目组评为最佳，得到团队奖励。该中心曾经对蜜罐网络进行了实际的部署和研究，捕获到了攻击者的数据，分析了攻 哈尔滨理工大学工学硕士学位论文击者的行为。对僵尸网络的研究得到了突破性进展旺引。2．2蜜罐概述2．2．1蜜罐的定义蜜罐的定义有很多种，蜜网项目的创始人、LanceSpitzner对蜜罐的定义是蜜罐是一种安全资源，被扫描、攻击和攻陷是它具有的价值m1。显然蜜罐相对于那些有实际作用的网络，也就是通常意义上的生产网络来说，它没有任何作用。它甚至对正常的网络有安全威胁，因为它的作用是吸引攻击。它本身也不能对这些攻击产生任何对策。它的作用只是对于黑客的攻击数据进行收集，然后根据收集到的数据，采用其他手段查明黑客的手段、来源。蜜罐系统独立于正常网络，它上面也不会有任何受保护网络中的有价值数据。这样就算黑客进入蜜罐中的任何操作，都不会对真实网络产生任何影响口¨。2．2．2蜜罐的分类蜜罐技术经过研究人员的不断改进，其应用越来越普遍，也根据应用的侧重点不同衍生出不同方向的蜜罐。现今蜜罐的分类多种多样，本文着重在三个方面讨论蜜罐的分类：部署目的；交互程度：实现方式口2删。首先就是按目的划分，如果想要实现对政府或其他各种商业组织实施监测恶意攻击的行为，为了这种目的配置的蜜罐是产品型蜜罐。在受保护网络外围，配置蜜罐，如果有攻击者攻击时，先要进入用于吸引攻击的产品型蜜罐。可以说，产品型蜜罐通过迷惑、拖延攻击者实现了对网络的保护。开源的DTK、honeyd都是产品型蜜罐，KFSensor等是商业化的产品型蜜罐。另外一种不应用于正常网络中的，只是为了研究使用的蜜罐的成为研究型蜜罐。使用它的主要目的是学习研究。虽然互联网上的攻击者层出不穷，但是所有的黑客都隐藏在暗处，研究人员无法通过正常手段获取他们的行为。研究型蜜罐解决了这一难题。应用蜜罐吸引攻击的功能，收集黑客攻击的数据。然后做进一步的分析、处理、学习。可见，如果研究型蜜罐真正实现了这些功能，对网络安全将是巨大的推动。例如自动攻击病毒类型里面的蠕虫使用研究型蜜罐将很容易被发现。如果按交互程度划分，与黑客交互程度低的蜜罐成为低交互蜜罐，反之成 哈尔滨理-T大学工学硕一卜学位论文为高交互蜜罐¨4|。1．低交互蜜罐低交互蜜罐提供的是一种交互程度有限的蜜罐。它除了模拟网络服务和操作系统功能较真实以外模拟其他功能的还有给黑客的反馈有限。由于使用安装在机器的上软件实现功能，这种方法的优点是安装配置简单，成本较低。低交互蜜罐一般指honeyd这种虚拟蜜罐软件。虽然优点明显，但它所具有的问题同样值得注意，因为它与黑客的互动、反馈受功能限制，还有自身的指纹信息，都使它容易暴露。一般低交互蜜罐的结构如图2．1所示。数据从外部互联网进入低交互蜜罐的系统，首先进入的是低交互蜜罐模拟的某种守护进程。这个进程可以是模拟的主机也可以是模拟出的路由器、交换机等。2．高交互蜜罐不同于低交互蜜罐，高交互蜜罐使用一个真实的操作系统吸引来自互联网的入侵者，高交互蜜罐上的操作系统以及其他所有的服务都与真实网络中的主机相一致，唯一的不同就是真实主机的上的数据不会出现在高交互蜜罐中，高交互蜜罐就算提供了数据，也都是虚假的数据。使用高交互蜜罐的最大好处就是让攻击者难以察觉这是一个蜜罐网络，因而对于收集到的数据，将更加真实和深入。不过这样一来，高交互蜜罐的管理复杂度会大大提升。而且确保高交互蜜罐自身的安全也尤为重要。如果高交互蜜罐被攻破，那么攻击者有可能把这个高交互蜜罐当作跳板攻击真正的内部网络。高交互蜜罐的内部结构比低交互蜜罐复杂，与低交互蜜罐不同高交互蜜罐使用系统的其他资源进行数据的收集因为高交互蜜罐使用的资源均为真实存在的资源。高交互蜜罐的结构如图2—2所示。图2．1低交互蜜罐结构图Fig．2-1Lowinteractionhoneypotstructure 哈尔滨理工大学工学硕：匕学位论文图2-2高交互蜜罐结构图Fig．2-2Highinteractionhoneypotstructure两种蜜罐性能比较如表2．1所示：表2-1高交互蜜罐、低交互蜜罐性能比较Table2-1Thecomparisonofhighinteractionandlowinteractionhonedpot性能高交互蜜罐低交互蜜罐复杂程度低高是否提供真实主机否是风险程度低高信息收集规模高低应用所需技能低高开发所需知识低高维护成本低高系统被攻破可能无有2．2．3蜜罐配置位置总结现有的蜜罐配置在网络中的位置共有以下几种方法：?1．在外网和防火墙之间配置蜜罐这种方法由于配置在了内网的防火墙之外，带来的好处是就算蜜罐系统被攻击者攻破，内部网络也不会因为这种原因受到威胁。但是问题是它不仅能收集对本网络的威胁数据，同时也收集了很多 哈尔滨理工大学工学硕：Ij学位论文不对本网络的产生恶意的流量。而且如果网络内部出现攻击者，因为防火墙已经有过滤流量功能已经把内网向外网的数据过滤掉了，那么蜜罐根本无法收集到这种攻击信息。图2．3中Intemet与防火前之间的蜜罐位置属于第一种方式。与DMZ网络相连属第二种方式，防火墙之后的蜜罐为第三种方式。如图2．3所示：蜜罐图2．3蜜罐在网络中位置Fig．2-3Thelocationofhoneypot2．部署在DMZ(demilitarizedzone，DMZ)区“demilitarizedzone"可以翻译为“隔离区"。这个隔离区的主要作用就是提供外部网络与内部网络的一个缓冲区，内网中需要放置在外网中接受访问的数据放在了这个缓冲区中，这样当外部网络访问一个组织的网络时，它进入的是隔离区的位置，而不是直接进入内部网络。内部网络对于访问者来说是不可见的，通过这种手段在实现内网数据公开的要求同时又保证了内网的数据安全。如图2．3中与DMZ区相连接的蜜罐∞51。3．部署在防火墙之后蜜罐部署在隔离区之后所带来的问题就是蜜罐吸引到的攻击有可能对内部网络产生威胁。而且对于已经流入到内部网络中的数据防火墙就不会在进行检测，因为在防火墙在流量进入的时候已经对数据进行了检测。而因为蜜罐功能需要它可能会要求防火墙使开启某些端口允许流量进入，这样一个流量虽然通过了防火墙的检测，但是不代表这个数据就是值得信任的。在这种时候，如果蜜罐自身达不到值得信任的程度，那么系统将承受巨大的风 哈尔滨理工人学T学颂t：学位论文险。2．3虚拟蜜罐软件honeydHoneyd是一款低交互蜜罐。它由NielsProvs开发，并且多年来一直开放源代码。honeyd具有很好的可扩展性，因为它可以模拟一个含有成千上万个主机的虚拟网络。在模拟主机的同时还可以模拟各种类型的服务器和主机上的网络配置。假设一个真实的网络中只有几台服务器，但是如果其中的一台服务器安装Thoneyd，那么在攻击者看来网络是由数百台服务器组成的。黑客可能通过很多手段对真实服务器进行攻击，例如采取洪泛法或者社会工程学方法等等。但是无论黑客采取什么方法，honeyd都拖延了黑客的攻击，就算最后没有追踪到黑客，蜜罐中也收集到了黑客的攻击信息m1。2．3．1honeyd主要特点honeyd一个非常实用的特征就是它可以在一台电脑上模拟整个的网络拓扑，并且其中含有每个IP地址到下一跳的信息，包损失和延迟。这样就允许研究人员在实验室中模拟复杂网络。它对于黑客提供了一个诱捕的圈套。在模拟级别上，honeyd达到了在IP栈级别的模拟。honeyd的另外一个特点就是配置使用简单，上手快。2．3．2honeyd框架结构honeyd主要由以下几个重要模块构成：1．包分配模块对于每一个进2,．honeyd系统的数据包进行判断，如果数据包的IP地址在虚拟网络的网段中，则数据包将被送往下一层次的协议模拟器处理。如果不在直接丢弃。2．协议处理器honeyd现阶段不能模拟全部的网络协议，只能对TCP、UDP和ICMP协议进行模拟。协议处理器根据数据包所属协议的类别进行分配。属于这三种不同协议的数据包将被送往相应的协议模块进行处理。3．系统配置文件需要模拟的虚拟网路通常由研究人员自行配。置。这个配置文件存储在 哈尔滨理工人学工学帧一I：学位论-义honeyd系统中，当honeyd开启后，将使用Nm印指纹库进行网络堆栈性能的模拟。4．路由模拟通过上述分析可知，honeyd不仅能模拟一个单独的主机，还能模拟整个网络拓扑。网络拓扑的模拟主要由路由模拟模块实现。5．日志存储honeyd收集的数据信息最后都会存储在日志文件中。支持使用图形化工具进行数据的分析处理。根据上述对honeyd几个模块的分析，给出Thoneyd的系统框架结构。如图2．4所示：石赢／2．4本章小结／一一=二芒：—i≮～一．⋯⋯皇⋯⋯、～～～～；路由部件{}⋯⋯⋯⋯一⋯．i⋯一—L——图2_4honeyd系统框架Fig．2-4Thestructureofhoneypot本章主要对蜜罐技术进行了深入的分析，包括蜜罐个国内外发展现状、蜜罐的定义、蜜罐的分类、蜜罐的配置位置。然后对虚拟蜜罐软件进行了介绍，主要对honeyd的特点，honeyd的框架结构进行了说明。这一章的叙述主要是为了对后面提出混合蜜罐结构的改进和对系统的实现进行铺垫。 哈尔滨理工火学工学硕士学位论文3．1引言第3章混合蜜罐系统设计上一章我们深入了解了蜜罐系统的相关内容，通过分析得知低交互蜜罐的特点是可以虚拟出大量的未分配IP地址，模拟真实系统的一般功能，但是与攻击者的交互性差，难以得到攻击者的进一步信息，而高交互蜜罐配置难度大，需要更多的人力，财力，物力进行维护，但是可以得到非常丰富的攻击信息。因此，怎样既可以利用低交互蜜罐提供的可扩展性，又结合高交互蜜罐可以详细分析攻击的行为这两种蜜罐的优点，成为蜜罐研究者需要解决的问题。本文在研究国内外蜜罐关键发展技术后，提出混合蜜罐体系结构，结合两种类型蜜罐进行蜜罐结构的搭建，实现了可扩展性的同时又降低了成本。蜜罐提供的高质量的关于攻击的数据帮助了我们测量和理解网络威胁，但是，蜜罐的使用也存在以下问题：与黑客交互程度高的蜜罐可以收集到更多的信息，布置系统成本高，限制了蜜罐技术的大规模使用。虚拟蜜罐使用技术手段虚拟出真实网络环境，减少了蜜罐系统配置成本，但可以提供的虚拟服务手段单一，一旦攻击者对系统进行进一步的探测，其操作将被系统拒绝，这样的条件下攻击者很难真正拿到系统控制权，也就不会进行更多操作，系统收集的数据少同时也容易被攻击者发现。为了客服这些问题，本文提出一个全新的解决方案：混合蜜罐架构方案。混合蜜罐架构根据实际的网络情况配置高交互蜜罐与低交互蜜罐的数量，弥补了现有蜜罐的不足，同时吸收了高交互度蜜罐与低交互度蜜罐的优点。是一种集防火墙、入侵检测与防御、蜜罐等安全技术为一体的自适应网络防护方案啼7’捌。3．2混合蜜罐设计思想部署蜜罐系统，研究人员首先需要考虑三个要素：蜜罐的位置、蜜罐的结构、蜜罐的配置。这是影响一个蜜罐系统收集数据至关重要的三个因素。因此，每个因素都要仔细思考和选择。下面本文将详细介绍混合蜜罐中这三个要素。1．蜜罐的位置÷更具体的说，蜜罐的位置是指在哪些P地址上部署蜜罐系统，能够使蜜罐收集网络流量。目前最广泛部署的互联网标准化协议是Ipv4，它由近43亿个独一无二的口地址构成。因此，当攻击从一个P地址转移到另 哈尔滨理工大学T学硕一1：学位论文一个IP地址时，攻击的规模和性质会产生极大的变化。有一些恶意代码，例如SQL蠕虫病毒分布在全球各地，而其他的一些攻击如拒绝服务攻击，分布的地点不确定，但它们的攻击的目标却是具体的IP地址””l。所以蜜罐部署的位置会对获得的数据产生极大的影响。最近的研究开始对比来自不同的攻击位置以及不同网络特点(如接近生产网络)的数据，从某种程度解释了观察到的差异。此外不仅蜜罐的部署位置对收集的攻击结果产生影响而且蜜罐网络的大小对结果也会产生作用。2．蜜罐的结构蜜罐的结构指的是使用各个类型蜜罐搭建蜜罐系统。在上一章中，我们详细的介绍了蜜罐的各种类型，不同类型的蜜罐系统由三个属性主导：逼真度、可扩展性、安全性。逼真度通常意义上说的是仿真系统满足用户需要和目的所要达到的真实程度。在蜜罐系统中，逼真度指的就是蜜罐系统模拟真实系统的程度。在实际的网络中，一台主机可能提供多种的服务而且有着非常详细的系统信息，如使用的硬件环境、操作系统、安装的软件、提供的服务、系统日志、开放的端口等等。如果只是模拟出真实主机最简单的服务和程序，显然这种蜜罐系统的逼真度低，相反如果能够像真实主机一样，给黑客提供如同真实主机一样的环境，那么这种蜜罐模拟的逼真程度高同时不容易被黑客发现他在蜜罐系统中操作。可扩展性指的是蜜罐系统能够根据实际网络规模部署同样等级的蜜罐系统，使蜜罐系统在投入的成本最少的情况下，又能够实现自身的功能。可扩展性是一种对软件系统计算处理能力的设计指标，高扩展性代表着一种弹性，在系统改动的情况下，依然能够通过很少的改动甚至只是硬件设备的添置，就能实现整个系统处理能力的线性增长，实现高吞吐量和低延迟高性能。而安全性对于蜜罐来说尤为重要，蜜罐本身就不是一种网络中的安全装置，它吸引攻击起到的甚至是相反的作用，对网络也无法直接起到安全保护作用。如果一个蜜罐被攻破，它非常用可能成为黑客的工具，把蜜罐系统作为一个跳板去攻击其他任何系统m，叭1。如果蜜罐的安全性不能保证，蜜罐使用的风险将远远大于收益。所以，如何根据这三个因素搭配蜜罐，使这三个因素都能达到最优，这样才是蜜罐的最优结构。3．蜜罐的配置蜜罐模拟真实主机的各种服务，如何根据网络实际情况，合理配置蜜罐提供的服务才能最大程度上发挥蜜罐的作用。由于虚拟蜜罐都是在内存中实现，所以蜜罐部署在什么样的机器上决定了蜜罐模拟的能力。如果一台主机的内存足够大、速度足够快，那么可以使用这台主机模拟出足够多的虚拟蜜罐主机(最多65535个)和服务器还有规模极度复杂的网络拓扑结构。而且如果使用虚拟蜜罐在主机配置虚拟网路，由于蜜罐系统自身原因、蜜罐主 哈尔滨理T人学工学硕．I：学位论文机的系统故障或者在黑客的攻击中沦陷后都可以迅速重建。因为虚拟蜜罐只是在软件层次进行个系统模拟，如果使用真实主机作为蜜罐那么重建将更加复杂而且周期将大大延长。而真实蜜罐使用的是与实际主机一样的电脑，相同的配置与服务，不同的是没有实际主机里的重要信息。虚拟蜜罐配置操作相对于真实蜜罐简单。除了虚拟蜜罐与真实蜜罐在配置上的不同之外，配置蜜罐系统需要考虑实际主机的网络环境¨毛圳。例如：如果蜜罐系统要模拟一台服务器来收集数据，那么蜜罐系统就要配置IIS、FTP服务、SMq’P服务等服务器上提供的功能。如果目的只是简单的收集网络中数据，那么需要的可能只是开放一些端口或者配置成为不打补丁的机器。本文的设计思想就是充分考虑以上三条要素，对各类型的蜜罐技术取长补短，同时与其他网络安全技术相互配合，实现蜜罐系统更有效率的收集数据同时兼顾可扩展性与投资成本。3．3混合蜜罐总体设计根据前面两节论述的蜜罐系统的设计思想，本节提出蜜罐系统的体系结构。混合蜜罐(mixhoneypot)的体系结构。混合蜜罐系统分为三个部分：混合蜜罐网关、一套低交互蜜罐和一套高互动蜜罐。体系结构的想法是监视大量使用可扩展的低交互蜜罐的口地址。默认情况下，所有传入的通信将被路由传递到低交互蜜罐。这些低交互蜜罐提供必要的互动：1．给攻击者建立网络会话2．在网络会话中网关检测有价值的攻击过程我们收集信息如源P地址、目标端口或有效载荷，以便决定哪些会话是值得进一步研究的。混合蜜罐结构中的蜜罐网关实现了这个功能。在混合蜜罐网关中添加了决策引擎动态过滤模块实现了数据过滤的功能。只要检测到攻击有价值，网关就把这些有价值的流量从低交互蜜罐传递到高互动蜜罐。最后，高互动蜜罐的作用是提供给攻击者充分的互动，以记录标记过的有价值攻击过程的详细信息。因此，该体系结构的中心部分是混合蜜罐网关，因为它是负责协调前端低交互蜜罐和后端高互动蜜罐的之间的过滤和重定向。此网关主要包括决策引擎和重定向引擎。决策引擎过滤网络通信，这意味着它要从收到的整个接受到的网络流量中选择值得分析的网络会话。如图3．1给出了混合蜜罐体系的总体设计图。 哈尔滨理工大学工学硕jj学位论文混合蜜罐网关·--—------------------------_一幽量；L图3-1混合蜜罐总体架构Fig．3-1Thearchitectureofmixhoneypot图3．1中显示混和蜜罐的体系结构。混和蜜罐分为三个部分：网关、一套低交互蜜罐和一套高互动蜜罐。Mixhoneypot体系结构的想法是监视大量使用可扩展的低交互蜜罐的口地址。1．低交互蜜罐可扩展的低交互蜜罐被广泛部署和监控众多的可变大小的未使用的网络块。这些蜜罐集合集中了一套高交互蜜罐过滤请求。2．高交互蜜罐集中虚拟机的集合，虚拟机上运行的多种主机操作系统和应用程序。筛选从轻量级传感器流量行为进行分析。3．指挥和控制中央控制机制提供了一个收集设施的统一视图，包括整体流量速率，源和目的地的分布，以及全球有效载荷缓存状态。这种机制协调传感器之间的连接重定向。它还可以监控前端重定向机制的后端性能，并提供反馈。所有地址空间均交由低交互蜜罐监控。这些蜜罐的作用是过滤本地无关紧要的流量。可疑的流量被转发到后端的装置，构成了我们的高交互蜜罐。我们的后端为每个物理机运行虚拟机提供多个高互动系统。他们的网络设置防止他们接触外面的世界。但并不是阻止向外的连接，我们把它们重定向到重量级蜜罐。如果蠕虫感染了其中一台机器，它将成功地感染更容易受到感染的后端，只要后端可用。这一机制的独特性在于，它让我们看到实际蠕虫的传播，包括怎样利用这个漏洞以及载荷在受控环境中运行。该体系结构的最后一块是一个控制组件。控制组件统计来自低交互前端的v圊茴 哈尔滨理工大学工学顶：I：学位论文流量并监视负载和来自后端的其他数据。控制组件负责分析所有接收到的数据，如新的蠕虫病毒传播的异常行为。3．4主要模块相关设计与分析3．4．1数据诱骗模块网络数据流中包含关于巨大的关于网络中黑客的信息。通过蜜罐对网络数据流的收集可以把这些潜在信息挖掘出来。这些数据价值巨大，首先可以通过对网络数据流的分析评估出网络使用蜜罐的规模。其次还可以帮助研究人员追踪网络内的攻击者。由低交互蜜罐虚拟出来的蜜罐结构与高交互蜜罐组成蜜网。最后攻击者进入的不只是单个的低交互蜜罐或者高交互蜜罐，而是一个整体的蜜罐网络。根据上述的分析，蜜罐网络配置在防火墙之前会收集到很多没有必要的流量，所以本文的蜜罐网络配置在防火墙之后。配置在隔离区是蜜罐网络最好的选择。放置在隔离区的蜜罐网络提高了内部网络的安全性。数据诱骗模块实现了对网络中数据流的吸引。本文的混合蜜罐结构中低交互蜜罐部分使用honeyd实现。honeyd根据系统未被分配的IP地址创建一个虚拟主机的入口。每个虚拟主机分配一套仿真服务和模拟操作系统的行为。honeyd因其简单而灵活可以方便的配制出一个完整的低交互蜜罐网络。攻击的收集来自模拟服务提供的与黑客的互动过程。不过当黑客入侵蜜罐中怎样产生的合适的反馈是一个挑战。honeyd启动后先进入honeyd数据库进行查询是否有新的配置决策产生。如果已经配置了新的决策，那么honeyd会根据这个系统决策进行分析确认无误后开始进一步实施配置。全部配置结束后就可以使用新配置出的蜜罐网络进行数据的收集。honeyd对于所有进入的数据流量会保存成日志信息，导致honeyd的日志数据数据量巨大。但是所有的有用的信息都通过honeyd产生的日志文件进行进一步的分析得到的。所以保证honeyd的日志信息的安全尤为重要。honeyd的日志信息存储在配置honeyd的主机上并不是最好的选择，因为如果一个黑客发现他所入侵的系统是一个蜜罐系统，那么他可能会查询honeyd的日志文件并进行串改，比如删除自己的入侵信息等等操作。所以把?honeyd的日志文件与honeyd主机分开保存是极为重要的。这样就算黑客串改系统的信息，还是能够通过日志发现其行为。图3．2显示了honeyd配置决策、决策生成过程以及与入 哈尔滨理工人学工学硕上学位论文侵检测系统和物理蜜罐相关接口的构成。——————一一一一一一—————⋯一物理蜜罐_一◆局域网—一一入侵检测工具图3-2honeyd功能结构图Fig．3-2ThehoneydfIlllcfions仃ucmm3．4．2决策引擎动态过滤模块根据图3．1混合蜜罐体系结构图可知，Mixhoneypot网关为混合蜜罐体系结构中的中心部分。因为它是负责协调前端低交互蜜罐和后端高互动蜜罐的之间的过滤和重定向。此网关主要包括决策引擎和重定向引擎。决策引擎负责过滤网络通信。这意味着它要从收到的整个接受到的网络流量中选择值得分析的网络会话。首先需要解决的问题就是如何定义一次攻击或异常行为，这样的行为所具有的特点。这个问题对于不同的研究人员，答案也不尽相同。例如，可以定义一种攻击的特定指纹，进行指纹匹配。对于蜜罐来说，它收集到的数据有可能提取出一种新的攻击类型，那么就需要定义新的攻击的特征。如果使用异常检 哈尔滨理T人学‘T学硕：I：学位论文测技术进行检测，那么它会建立一个特征库，这个特征库里面定义了系统中一系列的属于“正常行为”的数据，当某些行为与特征库中可以接受的数据相差过大，则将这种行为作为异常行为处理。本文使用基于异常检测的技术进行数据过滤。建立用户和系统的正常模式的特征库，进入系统中所有的数据包都将与特征库进行对比，如果超过了定义的阈值，则决策引擎将数据包发送到低交互蜜罐进行进一步处理。其次需要解决的问题就是进行规模巨大的数据有效过滤分类，简单来说，就是数据与特征库对比的过程，是正常的数据还是异常的数据。研究者越来越关注这种方法因为某些未知攻击可以通过这种方法检测出来。异常检测分为两类：如果在正常模式归档过程中所使用的数据需要标记，这种方法为有监督异常，如果没有，则为无监督异常。对于变化莫测的网络，使用聚类算法，进行无监督异常更能发挥异常检测的作用。聚类就是将对象的集合分成由类似的对象组成的多个类的过程。简单来说，就是将相似的样本分配到一类中。聚类的过程就是根据样本中特征向量的距离，将在规定距离内的样本放在一个类中。不同的样本则继续分配到其他类。一般来说，在一个类中，样本存在很大程度的相似性。不同的类中的样本差距很大。聚类不仅在人们平时的生产生活中使用广泛，同时也在医疗、搜索、图像识别、股票数据分析中发挥重要作用。聚类技术也在不同的科研领域中不断改进，更加适合该领域的发展。目前常见的聚类有很多种，基于密度进行聚类、基于层次进行聚类、划分聚类。基于密度进行的聚类是根据密度差异进行聚类，客服了根据距离进行聚类的缺点，基本思路就是设置一个密度的阈值，如果样本中的密度大于这个阈值，那么将分配这个样本到类中。OPTICS算法、DBSCAN算法都是常用的密度聚类算法。基于层次的聚类算法的过程是对数据样本进行合并和分离使之处于不同的层次，直到满足某些条件才终止层次的划分过程，否则继续这个过程直到结束。有自底向上和自顶向下两种层次聚类方法。层次算法以BIRCH算法、CURE算法为代表。划分聚类根据数据样本，构造K分组，KA，继续步骤3，4进行迭代过程。否则输出J(‘一1)聚类结果x专{墨，X2，⋯，Xk)，算法结束。3．6．4改进算法的实验数据对比实验过程采用了标准数据集对改进的k均值算法效率进行实验验证，并且与未改进的k均值算法进行了对比。使用了如表3—1的数据集进行实验。实验的数据来自http：／／cgi．CSC．1iv．ac．uk／～frans／KDD／Sottware／LUCS．KDD—DN／DataSets／dataSets．html。实验数据集可以自行选择，本文选择了ASL、Breast—cancer、Banana、Spambase这四个数据集。 哈尔滨理工大学工学硕士学位论文表3-1实验数据集Table3—1TheexperimentaldatasetDatasetNumberoftrainingsetThedatadimensionASL25022Bnana55002Breast——cancer20009Spambase173l57首先使用了为改进的k均值算法对四个数据集进行了聚类过程，得到结果如图3．5所示。图3．5数据集测度值比较Fig．3-5Measurevaluecomparisondataset观察图3—5可以发现，数据集ASL与Breast-cancer在25之后都变得开始平缓，所以非常合适的聚类个数为25。而对于Banana和Spanbase，分别在20、30之后开始平缓，那么最好的聚类个数为20，30。改进后的类聚结果为27、24、21、31，对比发现与未改进的k均值算法结果聚类个数趋于一致。同时根据数据的两大特性：紧密型和分离性进行对实验结果的评估，计算算法的紧密性的公式如3．7，计算分离性公式如3．8，具体公式如下：肛m’2’a⋯x砖ml，2"ax⋯，，(xoi=1n一‰))，2，⋯，t‘』=l，2，⋯，f⋯k=l，2，⋯，H(3-7) 哈尔滨理工大学工学硕士学位论文F=．m!n，(cf—c，)(3-8)，=⋯2⋯，女。oj=l一,20-,k算法性能比较分析如表3-2所示：表3-2算法性能比较Table3-2Algorithmperformancecomparison未改进的k均值算法改进的均值算法数据集BFBFASL1．931．831．931．86BnanaO．930．681-040．54Breast——cancer0．660．50O．720。47Spanbase0．667．609．387．32改进后的k值算法效率的数据分析如图。分析数据说明改进的k均值算法效率对比传统k均值算法正确性上达到了实验要求，通过动态更新聚类个数，提高了算法效率。3．7本章小结本章首先对混合蜜罐的总体设计思想进行了分析，根据总体思想进行了系统的总体设计，重点对系统数据诱骗模块、动态过滤模块、数据重定向模块、数据特征捕获模块、特征提取模块进行了描述。然后根据上述描述提出了系统的具体网络拓扑图为下一章的系统设计实现进行了铺垫。最后本章对动态过滤模块使用的算法进行了改进，提出了改进方法并且对改进后的算法进行了实验。实验证明改进后算法提高了效率。 哈尔滨理工大学工学硕二L学位论文第4章混合蜜罐系统实现4．1搭建系统实验环境4．1．1硬件环境受实际的实验资源限制，本文实验实现的是一个轻型混合蜜罐架构，在实际生产中，可以根据网络状况自行配置系统。除了对于系统中的核心混和蜜罐网关配置要求较高一些，虚拟蜜网的电脑配置和高交互蜜罐的电脑配置与普通应用的电脑配置相当即可。具体配置如下：四台pc机，编号如下：机器A：IntelP2．66G80G1GPCl块网卡(100M)，主要用于运行虚拟机及虚拟软件honeyd。机器B：IntelP2．8G80G2GPC3块网卡(100M)，实现混合蜜罐系统混合蜜罐网关功能。搭建入侵检测系统，实现决策引擎动态过滤和数据重定向功能。需要安装gcc组件。机器C：IntelP2．66G80G1GPC1块网卡(100M)，作为高交互蜜罐深入分析黑客攻击行为。机器D：IntelP2．66G80G1GPC1块网卡(100M)，主要用于模拟攻击。四台机器由集线器互联，组成实验用局域网。4．1．2软件环境机器A主要功能是模拟虚拟网络，所以在上面首先安装虚拟机，对于虚拟机版本的选择，主要考虑运行稳定，快速。在机器A上安装的是VlMwareWorkstation9。然后在VlMwareWorkstation9上安装虚拟WindowsXP系统，在虚拟出的WindOWS系统上安装虚拟蜜罐软件honeyd。机器B使用的系统为linux操作系统，需要安装的软件有入侵检测工具snort，配置防火墙工具iptables，报警工具Swatch。机器C作为系统中的高交互蜜罐使用，为适应实验需求提供FTP、WWW、sSH服务等。机器D提供WWW、FTP等网络服务。 哈尔滨理工大学工学硕士学位论文4．2系统具体实现4．2．1虚拟机安装配置VMwareWorkstation作为一款虚拟软件，可以使真实系统与模拟出来的操作系统同时运行，同时它的安装和获取非常方便。混合蜜罐系统实现使用VMwareWorkstation9．0相对于VMwareWorkstation8．0在两个方面进行了改进：支持Ubuntu12．10作为主机和虚拟机；虚拟机系统名单中新增了Solarisll。VMwareWorkstation9．0安装程序获取地址http：／／www．crsky．corn／soft／1863．html。VMwareWorkstation9．0安装过程相对简单，只需按照选择安装目录等提示进行操作即可。在虚拟机安装成功后可以通过文件新建虚拟机来建立一个虚拟操作系统，可以选择从光盘安装或者从虚拟磁盘映像安装。选择从光盘安装步骤与在真实电脑上安装操作系统类似。选择磁盘映像安装需要准备好．iso磁盘映像。本文选择fedora虚拟映像进行安装honeyd。实验中的虚拟网络与蜜罐主机有多种方式互联，～rMware网络设置的三种方式：1．网络地址转换(NAT)在NAT模式中，虚拟机可以共享允许启用互联网访问虚拟机的主机系统的口地址。这种做法相当于虚拟主机利用了宿主机的口地址，但是虚拟主机的口地址经过了IP地址转换这样在宿主主机外部看不到网络内部的虚拟主机而虚拟主机也拥有自己的IP地址。2．桥接网络模式在这种模式下，主机系统扮演了一个虚拟机透通桥接模式的角色来发送数据包到内部网络或蜜网网络。换句话说，桥接网络连接对虚拟机的虚拟网络接口到主机的物理网卡进行了连接。以这种方式连接后虚拟主机与宿主主机拥有各自独立的D地址而且在一个网段内。本文的混合体系结构使用桥接方式连接虚拟机与宿主主机。3．主机模式主机模式创建了一个完全在主机上的虚拟网络。在这种模式下，主机和虚拟机属于同一个网络且不与互联网相连，同时还允许我们控制通过主机路由的蜜罐上的信息流动。事实上，使用主机模式的虚拟机可以不需要主机物理网络接口就和其他机器通信。4．2．2honeyd的安装配置在安装完虚拟机及虚拟机上的操作系统后，进行虚拟操作系统上的honeyd 哈尔滨理工大学工学硕士学位论文的安装。首先需要准备Honeyd．1．5．c，libdnet．1．11，libevent．1．4．12．stable，libpcap-1．0．0，arpd等五个压缩包，linux系统内压缩包后缀名为．tar．gz或．tar。复制五个安装包至iJ／usr目录中。然后进行压缩包的解压，命令为tar—xzvfXXXXXtar．gz最后，分别进入每个解压后的目录进行安装命令如下：．／configmakeinstall如果在安装过程中出现权限不够问题，使用命令chmod777XXXX更改权限。Honeyd的虚拟蜜网的配置主要是数据库的配置，需要模仿的服务、系统、网络拓扑结构都通过配置数据库实现。Honeyd体系结构如图4．1所示：图4-1honeyd体系结构Fig．4·1ThearchitectureofhoneydHoneyd通过一系列命令建造模板和模板配置。set命令用来明确网络协议栈行为，模仿系统支持的网络协议，设置它们的缺省行为。端I：1开放为open、关闭为close、丢弃数据包为block。添加系统服务使用命令add，使用时，必须先指定实现该服务的程序，还有端口、协议、模板。proxy用来与其他主机连接，使得对于Honey的攻击能够转移。 哈尔滨理工大学工学硕：l二学位论文根据上述分析建立虚拟网络如图4．2所示：honeydbri(1刚关iDtableS+snort低交互蜜罐图4-2混合蜜罐网络拓扑图Fig．4-2Mixhoneypotnetworktopology具体配置如下createwinxpsetwinxppersonality”MSWindowsXPPro¨setwinxpdefaulttcpactionreset?setwinxpdefaultudpactionresetaddwinxptcpport80open．33．高交互蜜罐43 哈尔滨理工大学工学硕一l：学位论文addwinxptepport23openaddwinxptcpport25openaddwinxptcpport21openaddwinxptel)port1434openaddwinxptcpport4444”shscripts／CatchWarm．sh$ipsrc$ipdst”其中CatchWarm．sh的脚本记录连接到4444端口的源和目的IP地址，并创建文件记录，试图通过t邱来下载蠕虫，脚本如下：撑!／bin／shmkdir／tmp／$1．$2edItmpl$1．$2／t邱$1<；mysql>；setpasswordfor"root’@"localhost’=password(’linghood’)；mysql>；createdatabasesnort；存／usr／local／mysql／bin／mysql—Uroot-Pmysql>；connectsnort；mysql>；source／home／create_mysql；／／指定create_mysql脚本的路径mysql>；grantCREATE，INSERT,SELECT,DELETE，UPDATEonsnort．木snort；mysql>；grantCREATE，INSERT,SELECT,DELETE，UPDATEonsnort．奉snort@localhost；mysql>；connectmysql；mysql>；setpasswordfor’snort’@’localhost’=password(’linghoodids’)；mysql>；setpasswordfor’snort’@％’=password(’linghoodids")；mysql>；flushprivileges；3．apache安装获取安装软件地址apache_1．3．29．tar．gzoattp：／／www．apache．org)安装步骤：撑cd／home群tar-vxzfapache_1．3．29．tar．gz撑．／configure—with—apache=一／apache__1．3．29撑cA一／apachel．3．29存make’≠≠makeinstal】．36．to 哈尔滨理工大学工学硕士学位论文4．2．4netfilter／iptables配置iptables内置了4个表，即filter表、nat表、mangle表和raw表，分别用于实现包过滤，网络地址转换、包重构(修改)和数据跟踪处理。iptables的命令格式较为复杂，一般的格式如下：iptables[．ttable]命令[chain】[rules][-jtarget]如表4-l所示：table～指定表名命令——对链的操作命令chain——链名rules——规则t硼；卜动作如何进行表4-1Iptables命令Table4．ITheiptablescommand1’ableCommandChainPammeterTarget．A．D-P．LB—SIR1．93_d-jACCEPTIptables．L-tfilter1．04-l-jDROP．F0．72-O-jREJECT．Z9．38—sport-N-dport．X．Piptables中动作及说明ACCEPT：接受数据包；DROP：丢弃数据包；REDIRECT：与DROP基本一样，区别在于它除了阻塞包之外，还向发送者返回错误信息；SNAT：源地址转换，即改变数据包的源地址DNAT：目标地址转换，即改变数据包的目的地址；MASQUERADE：IP伪装，即是常说的NAT技术，MASQUERADE只能用于ADSL等拨号上网的IP伪装，也就是主机的口是由ISP分配动态的；如果主机的P地址是静态固定的，就要使用SNAT；LOG：日志功能，将符合规则的数据包的相关信息记录在日志中，以便管理员的分析和排错。 哈尔滨理工大学工学硕上学位论文主要命令说明如表4．2所示：表4-2Iptables主要命令说明Table4-2TheiptablescommandTableCommandChainParameterTarget．A．D．P—LB-S．R1．93-d-jACCEPTIptables．L．tfiIter1．04-l-jDROP．FO．72-O-jREJECT．Z9．38‘sport-N—dport．X．P4．2．5SSH服务配置SSH服务配置在高交互蜜罐中用来吸引攻击。也就是试验中C电脑。在互联网发展初期，主要的目的是进行文件共享和互联，而忽视了期间的安全问题，“中间人’’攻击因此出现，所谓的“中间人”攻击，就是某些别有用心的人冒充真正的服务器接收客户应该直接传递给服务器的数据，期间可能对数据进行恶意的修改或者分析，然后再冒充用户把数据传递给服务器。SSH的英文全称是SecureShell，也就是对数据加壳程序。通过使用SSH对数据加密，杜绝了“中间人”攻击，同时防止了p和DNS欺骗。下载相关软件包至／usr／local／src目录http：／／www．openssl．org／source／openssl-0．9．8e．tar．gz安装openssl#cd／usr／local／src#tarzxvfopenssl一0．9．8e．tar．gz#cdopenss]一0．9．8e撑．／configsharedzlib#make 哈尔滨理工大学工学硕士学位论文#maketest#makeinstallmv／usr／bin／openssl／usr／bin／openssl．OFFmv／usr／include／openssl／usr／include／openssl．OFFln．s／usr／local／ssl／bin／openssl／usr／bin／opensslln．s／usr／local／ssl／include／openssl／usr／include／openssl配置库文件搜索路径#echo”／usr／local／ssl／lib’’>>／etc／ld．SO．conf#1dconfig．V查看openssl的版本号，以验正是否安装正确#opensslversion-aOpenSSL0．9．8e11Apr2007builton：SatMar2421：24：41CST2007platform：linux．elfoptions：bn(64，32)md2(int)rc4(idx，int)des(ptr,riscl，16，long)idea(int)blowfish(idx)compiler：gcc-fPIC—DOPENSSLL，IC-DZLIB—DOPENSSLJHREADS．DREENTRANT．DDSODLFCN．DHAVEDLFCNH—DLENDIAN．DTERMIO．03．fomit．frame．pointer一Ⅵ瑚1．DOPENSSLBNASMn蝴WORDS．DOPENSSLL～32SSE2一DSHA1ASM．DMD5ASM—DRMD160ASM．DAESASMOPENSSLDIR：”／usr／local／ssl”4．3系统性能分析图4—3用图形化的方式说明了四台电脑在混和蜜罐系统系统中的结构。其中A电脑作为模拟攻击的电脑，被安排在系统外部。部署虚拟蜜罐网络的电脑B和作为高交互蜜罐的电脑C均与作为混合蜜罐的网关B电脑相连。作为高交互蜜罐的机器C扮演者重要角色，因为在它上面暴露了一个SSH守护进程的改良版本(在端口22)同时关闭了其他网络服务器如FTP服务器等。这个SSH守护进程能够对任何接收和发送的解密数据包、系统运行的某些危险命令(如使用root权限删除文件rm—rf奉)进行记录，形成日志文件。当一个黑客得到了管理员权限后，一个独立的进程将会运行，SSH在chroot方式被调．39． 哈尔滨理丁大学工学硕士学位论文用。这样高交互蜜罐很好的模拟了系统的根目录同时使攻击者在受限制的系统中执行操作。电脑A运行honeyd同时使用布置低交互蜜网。它主要模拟Windows和LinuxPC机。这些PC机上运行有ttp、telnet、stntp、http、pop3以及端El号大于1024的一系列服务。电脑B运行snort等入侵检测软件同时实现流量过滤和IP地址重定向。电脑C运行在Linux操作系统上提供只配置SSH服务的高交互蜜罐。在混合蜜罐搭建完成后，为了测试系统的性能，进行了一个月的数据收集。本文提取了部分最有价值的数据对配置的混合蜜罐架构网络性能进行了说明。在此期间，共收集到了来自不同IP地址的95649个数据包。配置如图4．3所示：网关电脑A虚拟蜜罐电脑C高交互蜜罐图4．3混合蜜罐实验装置图Fig．4—3Mixhoneypotexperimentaldevice4．3．1用于攻击的协议首先对于封装在用于攻击的数据包中的协议进行了分析。图4-4显示的是使用以往工具得到的数据统计。它显示了三种协议的数据包在全部攻击数据包中的百分比。如果攻击按来源划分都来自一个口地址和使用相同的协议的话。 哈尔滨理工火学工学硕士学位论文测量的数据在UDP协议的30．39％与TCP协议的38％之间。三种协议的比例有着很大的平衡。通过对攻击过程中的流量数据包的统计，这个结论并不复合实际。图4．5显示了混合蜜罐结构得到的三种协议百分比图。数据显示，超过96％的数据包属于TCP协议，属于ICMP协议的数据包将近3％，而UDP协议的百分比不超过1％。虽然两种方法收集数据的工具或者方法可能不同，但是有数据证明许多攻击来自相同的主机和相同的协议。这个结论可以根据表4．3得出。表4．3显示了前十位携带ICMP协议有攻击行为的IP源地址，数据中的比例显示，很多攻击来自相同的IP地址。UDP珊薹(强。图4_4使用TCP，UDP，ICMP协议在攻击中百分比Fig．4-4Percentageofprocotolsusedintheattacks三l；￡：×：：_||||||||||||||||||||||黼翳娜E-豳8ll隧 哈尔滨理工大学工学硕：L学位论文表4—3Hj于攻击的协议的百分比Table4-3Thethepercentageofprocotoluedtoattack攻击者的源IP地址实施攻击数量f!i全部攻击数量百分比213．140．15．1633881．5161．134．0．293651．42151．23。228．983321．2924．124．116．11142O．1659．16．231．7840O．1612．36．231．78360．14211．78．4．9932O。12202．138．134．162320．1264．135．252．47300．1224．241．231．247300．124．3．2攻击来源的地理位置混合蜜罐收集到了大量用于攻击的主机的来源的位置。攻击者有可能使用一系列肉鸡作为跳板对有漏洞的电脑实施攻击，系统记录的是他最后一台使用的电脑。如图4-6显示了来自不同国家的攻击百分比数量，统计数据与改国家的互联网使用者数量进行了对比。图4．6表明了一个国家的黑客数量与互联网用户数量的联系。如图可见：超过6％的攻击来自韩国，但是韩国的互联网用户数量仅占全世界的2％。另外，印度提供了占全世界的4．85％互联网用户，却仅有1．85％来自该国。图4．7显示了对于TCP协议来说按国家划分攻击流量包的百分比。图4．8显示了对于UDP协议来说按国家划分攻击流量包的百分比。图4-9显示了对于对于ICMP协议来说按国家划分攻击流量包的百分比。观察这三种协议的图中 哈尔滨理工大学工学硕：1二学位论文数据可以发现，每个国家的旱的攻击者关注的协议不同，对于TCP和UDP协议来说，中国的百分比最高，而对于ICMP协议来说，美国的百分比最高。中国在图4-9中排名第四位，百分比远远低于前四位的国家，这说明在中国范围内的攻击者并不专注于ICMP协议的攻击。一IP地墟稳互联弼用户荧囱中国南韩俄罗精法舞土耳其日本德竭意大和荚毽印度巴西两斑牙罗马尼亚图4-6黑客数量与互联网用户数量对比Fig．4-6HackersnumbercomparedtothenumberofIntemetUSerS图4．7按国家划分TCP攻击流量包百分比Fig．4-7PercentageofTCPflowpackagedividedbycountry蕊j巷ig馘蛳嚣雠鼹鼹慨{葛傩l§嫩i§螂mi§燃鼹舔勰{葛傩 哈尔滨理工大学工学硕士学位论文||一||豳圈 哈尔滨理工大学工学硕士学位论文4．3．3受攻击的端口如图4．10显示了整个收集数据期间受攻击的TCP端口占全部端口的百分比，全部被记录的受攻击端口总数达到57249个，开放了有限的端口用于实验。根据数据分析，端口22受到的攻击次数最多。究其原因，是高交互蜜罐中端口22开放用于SSH服务，其他的端口都在低交互蜜罐中进行模拟。显然，相对于低交互蜜罐高交互蜜罐能够吸引更多的威胁。●——●一■Port21Port22Port23Port25Port80Portll0Port>1024FTP5SHTelnet$grP珏n甲POP3图4．10按TCP端口划分攻击百分比Fig．4一10PercentageofattacksdividedbyTCPport而对于其他端口，如应用于FTP服务的21端口、Telnet的23端口和SMTP服务的25端口、POP3服务的110端口，受攻击的数量明显减少。根据之前的分析，除了在高交互蜜罐中开启了22端口的服务，其他服务开启的端口是在低交互蜜罐中。这说明了一个现象：在本次混合蜜罐收集的数据过程中，低交互蜜罐的模拟端口对数据的吸引程度低于高交互蜜罐。攻击者对于高交互蜜罐更感兴趣。可能有以下几点原因会产生这个现象，一是发往高交互蜜罐中的数据被收集到说明重定向模块实现了基本的数据流量转发功能，二是低交互蜜罐对于端口服务模拟可能不够真实，以至于攻击者发现了他入侵的系统是一个蜜罐系统，不再进行深入的攻击。使得攻击者的目标转向高交互蜜罐中，所以高交互蜜罐收集到了大量数据。瞄溅溉涨|蕃瞒潞 哈尔滨理丁大学工学硕：I：学位论文震嘲_鬣鋈霎l鋈IlIiI■■■_■■—_■●一_一一一||||||||||||||||||||||||||||||—■■-■_ 哈尔滨理工大学工学硕：卜学位论文4．3．4违规认证因为攻击者没有用于认证的任何用户名和密码等信息，所以系统收集到了大量的对于用户名和密码的尝试信息。大量的探测数据表明攻击者使用自动化软件进行连接和进入。在混合蜜罐系统中，有两种服务是需要认证的。FTP服务(端口21)和SSH服务(端口22)。前者布置在低交互蜜罐中，后者在高交互蜜罐中。FTP提供了虚拟的Windows和Linux实现。SSH只提供了Linux实现。如图所示，在对用户名的尝试中Administratior和admin数量最多，因为这两个用户名是Windows系统下管理员的默认用户名。而root在SSH中最高，原因同Windows原因一样。root在Linux中具有最高的权限。对比其他数据发现，root在SSH中占有绝对的高百分比这与在FTP中的数据有很大不同，原因是在Windows中，不论系统登陆的用户名是什么，系统的管理员权限都可以通过分配得到。表4—4显示了对于FTP和SSH服务探测使用最多的用户名的比例。表4_4对于FTP和SSH用户名探测Table4-4TheusernalnedetectiondividedbyFTPandSSHFTPSSH用户名比例用户名比例Administrator9．55root31．62admin5．78test0．79USer4．26admin0．70WWW3"．84oracleO．34john3．04USerO．32peter3．04testl23O．25印ache3．03passwordO．24dave2．94testl0．21test2．23test20．20guest2．141234560．20info1．52test30．20jeff1．52test40．18lisa1．52guest0．17 表4-5对于FTP和SSH密码探测Table4-5TheuserpassworddetectiondividedbyFTPandSSHFrPSSH密码比例密码比例Cowboy0．111234563．35dragonO．1112342．10fuckyouO．111231．89Changeme0．10changeme0．79Basket0．10password0．52Peter0．11test0．48apache0．09newpaper0．39dave0．09testl230．35amandaO．08Admin0．34apache0．06root0．27andrnew0．06testingO．25matthewO．06testuser0．24Michael0．06tester0．23如表4．5所示，对于FTP探测密码字符串的频率发现，没有哪个密码占绝对高的数量，这说明攻击者对于密码的尝试使用范围广泛的但是低重用频率的字符进行探测。而SSH与FTP数据有很大不同，攻击者尝试使用高重用度的单一密码进行探测。其中最高的三个为“123456’’、“1234”、“123”。4．3．5攻击者行为分析1．调查受攻击的机器攻击者检查受攻击机器的特征和操作系统的特性，然后删除的干预的痕迹。在这种情况下攻击者似乎只是好奇。攻击者的行为主要如下：1s—apwdUname—acat／ect／issue 哈尔滨理工火学T学硕士学位论文cat／configcat／etc／passwdls—als-allcd11la—acd／home／admin1s—arill-zf．bashhistory；touch．bashhistory；exit2．删除文件在攻击者发现一些认为重要的文件后，就可能采取rnl命令进行删除文件的操作具体。3．创建一个IRC(Intemet中继会话)通道互联网中继会话(IRC)是一种实时的文本信息传输，称之为“会话”。攻击者试图下载包含有IRC软件的数据包，尝试安装它并试图激活会话通道，进而控制被攻击系统。下面的命令显示了攻击者的进行的具体细节。lsWls—acatmech．setUname—auptime拱c4catmech．pid1scatmech．pidpasswdl(i11．911907lskin．911907dir．911907wgetwww．do．am／booti／dr．tgzcd／var／tmpcA／trap 哈尔滨理工大学工学硕士学位论文lScddarwin4．4本章小结本章主要根据以上几张对系统的分析与设计，对混合蜜罐系统进行了具体的实现。首先分析了混合蜜罐系统需要的硬件软件环境。其次具体说明了运行低交互蜜罐网络的机器A中安装虚拟机、honeyd的过程，在混合蜜罐网关中安装入侵检测系统、配置netfilter／iptables的具体过程，高交互蜜罐中配置SSH服务的配置方法。最后根据混合蜜罐收集的数据，进行了系统的性能分析。数据结果表明，混合蜜罐在收集数据的可扩展性、黑客攻击数据的分析上均比传统方法有所提高。 哈尔滨理工大学丁学硕士学位论文结论随着网络的逐渐发展，网络上的信息安全问题变得越来越突出，新的攻击、病毒不断出现，威胁着互联网安全。传统的安防措施如入侵检测系统和防火墙对于已有的攻击效果明显，属于被动的防护方法，应对新出现的攻击心有余而力不足。蜜罐正好填补了被动防御的空白，与其他安防技术配合，加强了现有的安全防护体系。虽然蜜罐技术的发展推动了信息安全发展，但是现阶段的蜜罐技术还存在以下几个问题：虚拟蜜罐软件如honeyd等配置简单，需要的配置资源少，能够模拟出大型网络吸引攻击，但是交互程度低，模拟的资源也限制了有关攻击详细程度的信息收集。其自身含有的指纹信息，容易被攻击者发现；高交互蜜罐提供真实的主机和操作系统及环境，但是配置和管理成本高，只能用于大型的公司或者网络。本文提出的混合蜜罐体系结构就是为了解决问题提出的方案，同时结合了低交互蜜罐具有可扩展性与高交互蜜罐对于攻击行为详细分析的优点。混合蜜罐体系结构通过低交互蜜罐、高交互蜜罐、入侵检测系统系统的共同配置实现。通过在混合蜜罐网关上建立决策引擎与数据重定向模块，实现了海量数据的过滤同时把更需要重点分析的数据转发到高交互蜜罐进行进一步分析。在分析了混合蜜罐结构后，搭建了了一个轻型的混合蜜罐，并使用这个混合蜜罐进行了数据收集，实验证明j混合蜜罐不仅实现了传统蜜罐功能，同时实现了最初搭建混合蜜罐的目标。本混合蜜罐具有如下特点：1．使用开源组件开源组件如honeyd、snort、linux不仅功能强大，而且成本大大减少。2．使用智能网关并在网关上实现两个重要功能：数据动态过滤与数据重定向。3．改进k均值算法数据动态过滤使用了改进的k均值算法，通过与传统的k均值算法对比，提高了效率。4．多种技术组合入侵检测系统和蜜罐系统的共同配置，实现了多种安防技术的配置，实现了主动防御与被动防御的结合，开辟了安防领域的新思路。由于资源和个人研究的范围所限，混合蜜罐结构还有很多可以改进的地方。在未来的学习研究中，将对以下几个问题做进一步的深入研究： 哈尔滨理工大学T学硕jL学位论文1．蜜罐作为吸引攻击的工具，能够收集大量的数据，但是如何控制蜜罐的“甜度”需要重点思考。2．蜜罐本身的安全非常重要，一旦蜜罐被攻击者攻破，攻击者相当于有了一个有利于自己的帮手。3．虽然本文对数据过滤实现了k均值算法改进，但是未来发展需要更快、更准确的的方法来应对，新的数据挖掘算法也可以与蜜罐配合使用加强系统性能。’ 哈尔滨理_T大学工学硕二J二学位论文参考文献f11CNCERT．2010年中国互联网网络安全报告．http：／／www．cert．org．cn／articles／docs／common／2011042225342．shtml，2010．『21CNCERT．2011年我国互联网网络安全态势综述．http：Hwww．cert．org．cn／articles／docs／common／2012031925806．shtml，2012．【3]翟光群，陈向东，胡贵江，等．蜜罐与入侵检测技术联动系统的研究与设计[J]．计算机工程与设计，2009，30(21)：45．47．【4】冯登国．计算机通信网络安全【M】．北京：清华大学出版社，2005：15．25．[5】禹金云，罗～新．我国信息安全的现状及对策研究【J】．中国安全科学学报，2006，16(1)：5-7．【6]AlexanderM，TANYAB，STEVENDG，andHERRYML，etc，ACrawler-basedStudyofSpywareontheWeb．InProceedingsofthe2006NetworkandDistributedSystemSecuritySymposium[C]，February2006：pages17-33．【7】LIXL，ZHANGD，MARH，LIL，GUANHB，etc．MTCrossBit：ADynamicBinaryTranslationSystemUsingMultithreadedOptimizationFramework[C]，ICA3PP2009，Taipei，Taiwan，June8-11，2009：25—28．【8]戴天虹．基于遗传神经网络的入侵检测研究[J】．中国安全科学学报，2006，16(2)：103-108．[9】崇劫人．基于虚拟蜜网的入侵检测系统的研究【D]．上海：上海交通大学硕士论文，2010：31—39．[10]MARCHESEM，SURLINELLIR，ZAPPATORES．Momtofingunau-thorizedinternetaccessesthroughahoneypotsystem[J】．InternationalJoumalofCommunicationSystems，2011，24(1)：75-93．【11】DANH．ExploratoryStudyonComputerForensicsTechnology[C]．ComputerandElectricalEngineering，2009：4-9．一【12】边林洁．Honey-pot技术在校园网入侵检测系统中的应用【J】．信息系统工程，2011(6)：67—68．【13]曹秀莲，钟祥睿．动态混合蜜罐在企业网络安全中的应用【J】．电脑知识与技术，2010(12)：296—297．[14】潘立武．基于IDS和DM的Honeypot系统的设计[J】．北京联合大学学报，．53． 哈尔滨理工火学工学硕?L学位论文2010，24【1)：42。45．[15】LANCESpitzner．Honeypot：追踪黑客[M】．邓云佳译．清华大学出版社，2004：9．12．【16】SOMANKP，SHYAMDIWAKARV．InsightintoDataMining：TheoryandPractice【M】．NewDelhi：Prentice—HallofIndiaPrivateLimited，2009：304．305．【17】史志才，夏永祥．高速网络环境下的入侵检测技术综述【J】．计算机应用研究，2010，27(05)：1606．1610．[18]严芬，王佳佳．DDoS攻击检测综述[J】．计算机应用研究，2008，25(04)：966．969．【19】翟光群，陈向东，胡贵江，等．蜜罐与入侵检测技术联动系统的研究与设计【J】．计算机工程与设计，2009，30(21)：45。47．[20]朱思奇．基于Honeyd的蜜罐系统的设计与实现[D】．上海：上海交通大学硕士论文，2010：46．53．【21]王传林，商安宁．蜜罐技术发展初探[J]．信息安全与通信保密，2008(8)：119．[22】胡晓荷．计算机取证：兴起中的需求【J】．信息安全与通信保密，2010(5)：7-9．【23】】L1UZ，XUS，ZHANGJ，etc．ImprovedAlgorithmofpatternmatchingforIntrusionDetection[C】．2009InternationalConferenceonMultimediaInforrmationNetworkandSecurity，Wuhan，China．2009：446．449．【24】胡恒一，夏春和．入侵诱骗系统中无缝环境切换技术的研究【J]．计算机工程与设计，2005，26(11)：2872．2873．[25】HUL，TANGK，GUANGKS，etc．DDCFS：ADistributedDynamicComputerForensicSystemBasedonNetwork[C】ICICTA09．【s．1．】：IEEE，2009：729．731．[26】PANLJ．ResearchandAnalysisofCodeCacheManagementPolicyinDynamicBinaryTranslator[M]．Master’Sthesis，SJTU，Apr．2009：’16—21．【27】GUPTAA，GUPTASK，GANESHIM，eta．Opaquenesschar-acteristicofacontexthoneypotsystem[J]．InformationSecurityJournal，2010，19(3)：142-152．【28】WANGP，WUL，CUNNINGHAMR，etc．Honeypotdetectioninadvancedbotnetattacks[J]．InternationalJournalofIn-formationandComputerSecurity，2010，4(1)：30．51．．54． 哈尔滨理工大学．T学硕二J：学位论文【29】曹秀莲，钟祥睿．动态混合蜜罐在企业网络安全中的应用【J]．电脑知识与技术，2010(12)：296-297．[30】史伟奇，程杰仁，唐湘滟等．蜜罐技术及其应用综述[J】．计算机工程与设计．2008，29(22)：5725-5728．[31】SARDANAA，JOSHIRC，KIMTH，etc．Decidingoptimalentropicthresholdstocalibratethedetectionmechanismforv撕ablerateDDoSattacksinISPdomain：Honeypotbasedapproach[J]．JournalofIntelligentManufacturing，2010，21(5)：623—634．[32】GuptaA，GuptaSK，GaneshIM，etc．Opaquenesschar-acteristicofacontexthoneypotsystem[J]．InformationSecurityJournal，2010，l9(3)：142—152．[33】HUD．ExploratoryStudyonComputerForensicsTechnology[C]．ComputerandElectricalEngineering，2009：5-7．【34】姚兰，王新梅．基于欺骗的网络主动防御技术研究【J】．国防科技大学学报，2008，30(3)：65-69．【35】张电，高平，潘疯．网络协同取证系统的设计与实现【J]．信息安全与通信保密，2011(11)-89．91．[36】王婷．基于Honeyd的蜜罐技术研究与设计[D】．成都：西南交通大学硕士论文．2007【37】翟继强，乔佩利．利用IP分片技术探测Honeyd虚拟蜜罐【J】．计算机应用与软件．2009，(3)：25．26．[38】傅德胜，钱华．基于蜜罐技术的网络入侵研究【J】．通信技术，2009，42(7)：99．101．[39】刘丽，刘传忠．基于诱骗机制的网络容侵模型的设计与实现【J】．计算机工程与设计，2006，27(8)：2518．[40】王莺洁，杜伟娜，罗为．一个灰色信息安全风险评估应用模型【J】．通信技术，2010，43(12)：132．134．[41】JIANGLY．OptimizationResearchbasedonIntermediateRepresentationinDynamicBinaryTranslation[D]．Master’Sthesis，SJTU，Dec．2008：21-27．【42】BERTHIERR．andCUKIERM，‘"TheDeploymentofaDarknetonanOrganization—WideNetwork：AnEmpiricalAnalysis，llthIEEEHighAssuranceSystemsEngineeringSymposium[C]，2008．2008：59—68．【43】MarcheseM，SurlinelliR，ZappatoreSere．Monitoringunau-thorizedintemetaccessesthroughahoneypotsystem[J】．InternationalJournalof．55． 哈尔滨理工大学1二学硕：J：学位论文CommunicationSystems，201l，24(1)：75‘93．[44】孙璐芬．分布式虚拟诱骗系统的研究与实现[D】．西安：西安电子科技大学硕士论文，2007：29．70．【45】贺玲，吴玲达，蔡益朝．数据挖掘中的聚类算法综述【J]．计算机应用研究，2007，24(1)：10-13．[46]李凯，王兰．层次聚类的簇集成方法研究[J]．计算机工程与应用，2010，46(27)：120-123．[47】武佳薇，李雄飞，孙涛，等．邻域平衡密度聚类算法[J】．计算机研究与发展，2010，47(6)：1044-1052．『481CilibrasiRL，VitdnyiPMB．Afastquartettreeheuristicforhierarchicalclustering[J]．PatternRecognition，2011，44(3)：662·677． 哈尔滨理工大学工学硕二匕学位论文攻读硕士学位期间所发表的学术论文【1]乔佩利，林海静．用于可扩展网络监控的混合蜜罐架构【J】．中国科技论文在线．2013． 哈尔滨理工大学工学硕士学位论文致谢衷心感谢我的导师乔佩利教授三年来给我的指导、关怀和帮助，乔教授渊博的学识和严谨的治学态度以及崇高的敬业精神都将是我一生的值得珍藏的宝贵财富，并将受益终身。感谢乔老师提供的良好的学习环境让我们的研究生学习生活更加顺利的度过。其次要感谢翟志强老师对于网络安全、蜜罐技术上面的无私指导。如果没有老师在最困难的时候对于我的帮助，我想我无法以个人的力量解决遇到的难题。感谢罗智勇、周立波老师对于实验室的日常管理，给我们提供了一个干净、安静的环境。我要感谢我的那些朋友，没有你们的帮助，我不可能有今天的成就。特别感谢我的朋友们，吕醋、胡珊珊、魏巍、郑越同学，是与你们的交流中我发现了自己的不足。很荣幸认识你们，没有你们的帮忙和指点，我不可能这么JIF页N的完成这篇论文。感谢师哥师姐的帮助。感谢师弟师妹对论文格式提出的修改意见。