基于蜜罐技术的电力信息网络安全模型 4页

维普资讯http://www.cqvip.com东北电力技术2OO6年第5期基于蜜罐技术的电力信息网络安全模型ASafetyModelforElectricPowerInformationNetworkBasedon“Honeypots’’Technologies翟继强，叶飞(哈尔滨理工大学，黑龙江哈尔滨150080)摘要：介绍主动安全防御新技术——蜜罐，给出了蜜罐的定义和分类，分析了蜜罐的安全价值和相应缺陷以及在计算机证中的应用。依据P2DR模型，提出利用蜜罐技术保障电力信息网络安全的动态安全模型，讨论了模型特点和优越性。关键词：蜜罐；交互程度；蜜网；计算机取证[中图分类号】TP393．08[文献标识码】B[文章编号]1004—7913(2006)05—0022—04随着整个社会电子商务、电子政务及电力信息吸引入侵搜集信息。将蜜罐和现有的安全防卫手段化的逐渐普及，网络应用越来越深入到电力企业的古1入侵检测系统(IDS)、防火墙(Fimwal1)、杀毒要害领域，电力部门向外界开放的接口越来越多。软件等结合使用，可以有效提高系统安全性。但相应的安全技术和措施的投入较小，有的只是购1．2蜜罐的分类买了防病毒软件和防火墙，保障安全的技术单一，根据蜜罐的交互程度，可将蜜罐分为3种。网络中存在有许多安全隐患，个别地方甚至没有考蜜罐的交互程度(LevelofInvolvement)指攻击虑到安全防护问题，如调度自动化和配网自动化之者与蜜罐相互作用的程度间，调度自动化系统和电力MIS系统之间数据传输a．低交互蜜罐的安全性问题等，如何保证电力系统网络安全稳定只是运行于现有系统上的一个仿真服务，在特运行，已显得越来越重要。定的端口监听记录所有进入的数据包，提供少量的另一方面，电力系统现在的安全防护主要是采交互功能，黑客只能在仿真服务预设的范围内动用传统的被动网络安全技术，如防火墙技术和入侵作。低交互蜜罐上没有真正的操作系统和服务，结检测技术等，这些技术都存在一定缺陷。防火墙对构简单，部署容易，风险低，所能收集的信息也是病毒、访问限制、后门威胁和来自内部的黑客攻击有限的。无能为力；目前的入侵检测系统也无法监测到所有b．中交互蜜罐可能的攻击，有较高的漏报率和误报率。不提供真实的操作系统，而是应用脚本或小程本文介绍一种新的主动型网络安全技术——蜜序来模拟服务行为，提供的功能主要取决于脚本。罐，并以P2DR模型为基础，将蜜罐技术和传统安在不同的端口进行监听，通过更多和更复杂的互全技术结合，提出一种电力信息网络安全模型。动，让攻击者产生真正操作系统的错觉，能够收集更多数据。开发中交互蜜罐，要确保在模拟服务和1蜜罐技术漏洞时并不产生新的真实漏洞，而给黑客渗透和攻1．1蜜罐的定义击真实系统的机会。蜜罐是指受到严密监控的网络诱骗系统，通过C．高交互蜜罐真实或模拟的网络和服务来吸引攻击，从而在黑客由真实的操作系统来构建，提供给黑客的是真攻击蜜罐期间对其行为和过程进行记录分析，搜集实的系统和服务。给黑客提供一个真实的操作系信息，对新攻击发出预警，也可以延缓攻击和转移攻统，可以学习黑客运行的全部动作，获得大量的有击目标。同时，在蜜罐系统中记录的信息还可以作用信息，包括完全不了解的新的网络攻击方式。正为对攻击者进行起诉的证据，这也是蜜罐设计的目因为高交互蜜罐提供了完全开放的系统给黑客，也的之一。就带来了更高的风险，黑客可能通过其开放的系统蜜罐本身并不直接增强网络的安全性，相反它去攻击其他系统。 维普资讯http://www.cqvip.com2O06年第5期东北电力技术1．3蜜罐的安全价值外，蜜罐技术的初衷是让黑客攻破蜜罐并获得蜜罐根据P2DR动态安全模型，从防护、检测和响的控制权限，并跟踪其攻破蜜罐、在蜜罐潜伏等攻应三方面分析蜜罐的安全价值。击行为，但必须防止黑客利用蜜罐作为跳板对第三a．防护。蜜罐在防护中所起的作用很小，不方网络发起攻击。为了确保黑客活动不对外构成威能将那些试图攻击的人侵者拒之门外。事实上蜜罐胁，必须引入多个层次的数据控制措施，必要时需设计的初衷就是妥协，希望有人闯入系统，进行记要研究人员的人工干预。录和分析。1．5蜜网有些学者认为诱骗也是一种防护。因为诱骗使蜜网是在蜜罐技术上逐步发展起来的一个新的攻击者花费大量的时间和资源对蜜罐进行攻击，从概念，又称诱捕网络。蜜网实质上还是一类研究型而防止或减缓对真正系统的攻击。的高交互蜜罐，其主要目的是收集黑客的攻击信b．检测。蜜罐的防护功能很弱，却有很强的息。与传统蜜罐技术的差异在于蜜网构成了一个黑检测功能。因为蜜罐本身没有任何生产行为，所有客诱捕网络体系架构，在这个架构中，可以包含一与蜜罐的连接都可认为是可疑行为而被记录，大大个或多个蜜罐，同时保证了网络的高度可控性，并降低误报率和漏报率，也简化了检测的过程。提供多种工具以方便对攻击信息的采集和分析。现在的网络主要使用人侵检测系统IDS来检测此外，虚拟蜜网通过应用虚拟操作系统软件攻击。面对大量正常通信与可疑攻击行为相混杂的(如VMWare和UserModeLinux等)可在单一的主网络，要从海量的网络行为中检测出攻击是很困难机上实现整个蜜网的体系架构。虚拟蜜网的引人使的，有时并不能及时发现和处理真正的攻击。高误得架设蜜网的成本大幅降低，容易部署和管理，但报率使IDS失去有效的报警作用，蜜罐的误报率远同时也带来了更大的风险，黑客有可能识别出虚拟远低于大部分II)s工具。操作系统软件的指纹，也可能攻破虚拟操作系统软目前IDS还不能够有效地对新型攻击方法进行件从而获得对整个虚拟蜜网的控制权。检测，无论是基于异常的还是基于误用的，都有可蜜网具有数据控制、数据捕获和数据分析三大能遗漏新型或未知的攻击。蜜罐可以有效解决漏报功能。通过数据控制能够确保黑客不能利用蜜网危问题，使用蜜罐的主要目的是检测新的攻击。害第三方网络的安全，以减轻蜜网架设的风险；数c．响应。蜜罐检测到人侵后可以进行响应，据捕获技术能够检测并审计黑客攻击的所有行为数包括模拟回应来引诱黑客进一步攻击，发出报警通据；而数据分析技术帮助安全研究人员从捕获的数知系统管理员，让管理员适时调整人侵检测系统和据中分析出黑客的具体活动、使用工具及其意图。防火墙配置，来加强真实系统的保护等。2蜜罐与计算机取证1．4蜜罐的缺点a．需要较长的时间和精力投入。面对大量的计算机犯罪案例，如商业机密的窃b．只能对针对蜜罐的攻击行为进行监视和分取和破坏、计算机欺诈、对政府或金融网站的破析，其视图较为有限，不像入侵检测系统能够通过坏，当然也包括电力信息网络的攻击等，入侵后的旁路侦听等技术对整个网络进行监控。分析取证已经变得越来越重要。作为计算机领域和c．不能直接防护有漏洞的信息系统。法学领域的一门交叉科学，计算机取证已成为人们d．部署蜜罐会带来一定的安全风险。研究与关注的焦点。蜜罐所带来的安全风险主要有蜜罐可能被黑客计算机取证是将计算机调查和分析技术应用于识别和黑客把蜜罐作为跳板从而对第三方发起攻对潜在的有法律效力的证据的确定与获取上。证据击。一旦黑客识别出蜜罐后，可能通知黑客社团，可以在计算机犯罪或误用这一大范围内收集，包括窃从而避开蜜罐，甚至会向蜜罐提供错误和虚假的数取商业机密，窃取和破坏知识产权和欺诈行为等。据，从而误导安全防护和研究人员。防止蜜罐被识利用蜜罐、密网取证是动态取证的一个发展方别的解决方法是尽量消除蜜罐的指纹，并使得蜜罐向。蜜罐、蜜网能捕获人侵者发送的信息包，从而与真实的漏洞主机毫无差异。蜜罐隐藏技术和黑客能进一步分析人侵者使用的工具、策略和目的。蜜对蜜罐的识别技术(Anti—Honeypot)之间相当于罐、蜜网也可以为追踪攻击者提供有用的线索，为一个博弈问题，总是在相互竞争中共同发展。另起诉攻击者搜集有利的证据。 维普资讯http://www.cqvip.com东北电力技术2O06年第5期利用蜜罐进行取证分析时，一般遵循如下原则3电力信息网络安全和步骤。a．确定攻击的方法和时间(假设IDS的时钟电力信息网络已经成为电力行业生产、管理和和NTP参考时间源同步)。发展的重要组成部分。电力信息网络应用主要包括b．尽可能多地确定有关入侵者的信息。电网(国调、省地市以及县级)调度自动化系统、c．列出所有入侵者添加或修改的文件，对这电力市场技术支持系统、用电营销信息系统、供电些程序进行分析，包括未编译或未重组部分，并回局发电厂管理信息系统(MIS)、基于GIS的配网管答问题：①程序是否安装了嗅探器或密码，如果理系统和电力企业ERP等。随着近年来与外界接是，哪些文件与之相关，这些文件位于何处?②是口的增加，特别是与银行等合作单位中间业务的接否有“rootkit”或其他特洛伊木马程序安装在系统口以及网上电力服务、三网融合、数据大集中应中，如果有，是什么程序?进行什么操作可能会把用、内部各系统间的互联互通等需求的发展，来自这些程序传播出去?③系统中所发现的程序的来源病毒、外界和内部的攻击越来越多，加强电力信息是否公开?网络的安全管理日显重要。d．建立一条事件时间线，对系统行为进行详目前，虽然电力系统的网络中已经部署了一些细分析，注意确认证据的来源。网络安全产品，但是这些产品没有形成体系，尚有e．给出适合管理层面或新闻媒体需要的报告。许多薄弱环节没有覆盖到，对网络安全没有统一长f．对事故进行费用估计。远的规划，网络中有许多安全隐患。电力系统网上g．最后提交全部报告文件。服务所采用的策略一般是由省局作为统一对外服务依靠入侵检测系统、蜜罐和蜜网的紧密结合，出口，各级分局或电力公司和电厂没有对外的出实时获取数据并进行分析，智能分析攻击者的企口。除大量现存的Client／Server(客户机／服务器)图，实施相应的动作，或切断连接，或诱敌深入，结构以外，出现越来越多的内部Browser／Server(浏在确保安全的情况下获取攻击者的大量证据。览器／服务器)结构应用，所以，存在许多的内部在受保护的计算机上事先安装上代理，当黑客安全问题。其所面临的威胁大体可分为两种：一是入侵时，对系统的操作以及对文件的修改、删除、对网络中信息的威胁；二是对网络中设备的威胁。复制、传送等行为，系统和代理会产生相应的日志对电力信息网络来说主要是保障信息和网络安全，文件加以记录。利用文件系统的特征，结合相关工因此，非常有必要在电力信息网络中建立一个实时具，尽可能真实地恢复这些文件信息，这些日志文的、内外兼防的动态安全防御体系。件传到取证机上加以备份保存，并由分析机调取日4基于蜜罐技术的电力信息网络安全模型志文件信息，结合网络数据进行相关分析。一方面通过定性和定量分析可以确定是否入侵及入侵的来模型以动态信息安全P2DR模型为基础，在信源、入侵的方式和程度，从而研究反击技术，以便息网络中合理利用蜜罐技术和被动防御技术来构建先发制人。另一方面，保存原始数据作为入侵证据。动态安全防御体系，模型的物理架构如图1所示。图l基于蜜罐的电力信息网络安全模型 维普资讯http://www.cqvip.com2OO6年第5期东北电力技术防护是整个防御系统的前线，主要由传统的静b．内、外兼防，以法律效力来威慑入侵行态安全技术防火墙和陷阱机实现。在电力信息网络为。中心与上级Intranet、Intemet以及电力信息网络中c．形成以策略为核心的防护、检测和响应相心与下级部f-IIAN间，安置防火墙监视限制进出互促进以及循环递进的、动态的安全防御体系。网络的数据包，防范外对内及内对外的非法访问。5结束语蜜罐隐藏在防火墙后，通过模拟常见的系统漏洞，制造一个容易被入侵的网络环境诱导入侵，引开黑蜜罐为整个网络安全注入了新的技术。相对于客对服务器攻击，从而起到二层防护作用，提高了其他安全机制，蜜罐使用简单，配置灵活，占用的网络的防护能力。资源少，可以在复杂的环境下有效地工作，收集的检测是系统主动防御的核心。检测由入侵检测数据和信息有很好的针对性和研究价值。既可作为系统IDS、漏洞扫描系统、蜜罐系统和取证系统共独立的安全工具，还可以与其他安全机制联合使同实现，包括异常检测模式发现和漏洞发现。IDS用。蜜罐也存在收集数据面比较狭窄和引入了新的在防火墙后对来自外界的流量做检测，主要用于模风险的不足。蜜罐技术不能完全取代其他安全机式发现及告警。漏洞扫描系统采用黑客的进攻手制，应将其与被动防御技术结合起来使用，以增强法，对目标区域主机的已知漏洞进行扫描，找出存网络和系统的安全性。本文的安全模型就是采用蜜在漏洞或没有打补丁的主机，以便做出相应补救措罐技术和被动防御技术相结合，使电力信息网络安施，扫描范围包括信息网络中心与下属部f-ILAN。全防御在攻击前、攻击中和攻击后三阶段都进行主蜜罐是用来诱骗入侵者，同时蜜罐主机上的日志记动防御，增强了系统安全性。实际应用中，应在电录网络入侵行为，不但充当了防护系统，实际上又力信息安全整体需求下把各种技术和安全产品纳入起到了第二重检测作用。取证系统通过事后分析可安全管理范围，依据需求制定出安全策略，按策略以检测并发现新的病毒、新的黑客攻击方法和工具规划管理多种因素，不断完善和增强，才能够形成以及新的系统漏洞。由于取证机记录了进出的所有合理有效的可持续的动态发展的安全防护系统。流量，分析机可以同时作为网络监视系统监视内部参考文献：网络活动，检测内部入侵。响应在攻击发生时和发生后占有重要的地位。[1]丁杰，高会生，俞晓雯．主动防御新技术及其在电力信息网络安全中的应用[J]．电力系统通信，2OO4，(08)．一方面取证机完整记录所要监视的目标系统全部进[2]李培国，杨天奇．蜜罐对于网络安全方面的价值[J]．计算出的网络数据和日志数据，采用在线检测和离线分机工程与设计，2oo5，(11)．析方式，为攻击发生后提起诉讼提供证据支持。分[3]崔志磊，房岚，陶文林．一种全新的网络安全策略——蜜析机通过读取取证机上记录的网络数据和日志进行罐及其技术[J]．计算机应用与软件，2OO4，(02)．事后分析、统计分析和应用数据还原，揭示新的病【4]曹爱娟，刘宝旭，许榕生．网络陷阱与诱捕防御技术综述毒、攻击方法和攻击工具，产生详细报表，生成新[J]．计算机工程，2OO4，(09)．[5]熊华，郭世泽等．网络安全——取证与蜜罐[M]．北京：的攻击特征数据库，以支持IDS对新的病毒和攻击人民邮电出版社，2003．97—136．的检测。另一方面，在检测的基础上以策略为指E63IanceSpit~ler．Def"mitionsandValueofHoneypots．[EB／OL]．导，利用各种安全措施及时修补系统漏洞和升级系http：／／www．spiter．net．2OO2．统，也构成响应的一部分。作者简介：系统具有以下特点。翟继强(1972一)，男，硕士，讲师，从事网络与信息安全的a．从事前、事中、事后进行主动防御，有双研究。(收稿日期2OO6一Ol一23)重防护与多重检测响应功能。