基于蜜罐的企业安全防护系统 68页

中山大学硕士学位论文基于蜜罐的企业安全防护系统姓名：田军申请学位级别：硕士专业：软件工程指导教师：龙冬阳20100602 中山大学硕士学位论文面向企业的分布式蜜罐应用论文题目：专业：硕士生：指导教师：基于蜜罐的企业安全防护系统软件工程田军龙冬阳教授中文摘要随着计算机网络技术的发展，计算机网络在社会各个领域有着重要作用，网络成了人们生活和工作中不可缺失的部分。但是由于计算机网络自身特点，计算机网络易受到各种恶意软件、黑客和其他各种攻击，因此计算机网络呈现日益复杂的局面，也使得计算机网络信息安全问题成为一个沉重而又充满热点的话题。对于众多网络安全威胁，各种网络信息安全的技术也应运而生。以往或传统的网络安全防护中，我们主要采用的是传统的也比较被动的防御技术，防御措施也主要是依靠各种防火墙(Firewall)以及入侵检测系统(IDS)等联合检测漏洞或网络安全隐患，这种措施的最大缺点就是无法有效应付来自网络突发的攻击及IP地址欺骗攻击等。随着网络安全形势的加剧，人们更希望能有一种主动型的防御机制作为网络安全防御的一种有益补充，于是基于主动型防御的蜜罐技术就产生了，其方法是通过设置诱饵来吸引攻击者进行攻击，从而获取攻击者在蜜罐系统上留下的活动数据，以便有效的分析攻击者的行为和动机。本文的主要从以下几方面展开：论文首先分析和研究了当前应用比较成熟的网络安全技术以及已有蜜罐技术进行研究和分析，并在此基础上对这些网络安全技术进行优劣对比。其次，本文分析了企业分布式的网络所面临的安全威胁，给出了分布式蜜罐系统设计的目标，并提出了一种可拓展性和安全性较高的分布式蜜罐系统的模型。最后，本文针对当前一些企业的实际网络，结合现有的软件工具和防御技术，详细描述了分布式蜜罐系统的部署和实现，有效地实现利用蜜罐技术进行数据捕获和控制功能。关键词：网络安全，蜜罐技术，分布式蜜罐系统 中山大学硕士学位论文面向企业的分布式蜜罐应用Title：NetworkSecurityProtectionSystemofEnterpriseBasedonHoneypotMajor：SoftwareEngineeringNanle：TianJunSupervisor：LongdongyangProfesserABSTRACTWiththedevelopmentofcomputersandnetwork，thenetworkisplayingamoreandmorecriticalpartineveryfieldofsocial1ife，andisbecominganundispensiblepartofourworkanddailylife．Withitsowncharacteristics，thenetworkiseasilyattackedbyhackers，vicious●．softwaresandthingsalike．Moveover，theattackesonnetworkisbecomingmoreandmorecomplicated，makingthesecurityofnetworkandinformationtransferredthroughnetworkahotspot．Facingallkindsofthreats，technologiesdealingwithsecurityofnetworkandinformationappear．Intheformernetworksecurityprotectionsystem，wemainlyadoptedpassivedefensetechnology，whichfocusedonfirwallofhardwareandsoftware，intrustiondetectionsystem(IDS)andthingsalike．However，thebiggestdrawbackoftheabove—mentionedsecuritymeasuresisthattheyarenotabletodealwithattacksfrominternetorIPspoofingattackseffectively．Asthestatusofnetworksecurityismoreandmoresecrious，peopleisexpectinganactivedefensesystemasabeneficialsupplementtotheexistingnetworksecurityprotectionsystem．Cateringtosuchexpectations，thetechonologyofhoneypotbasedonactivedefenseappears．Decoyswillbesetinhoneypottechonologytoattractattackers，keepthedatasoftheactivitiesoftheattackers，andanalyzetheiractivitiesandmotivation．ThisassayfocusONthefollowingpoints：Ⅱ 中山大学硕士学位论文面向企业的分布式蜜罐应用First，makeanalysisonthecommonnetworksecurityprotectionmeasuresandthehoneypottechonology．ComparethesesecurityprotectionmeaSUreS．Second，analyzethethreatsanddemandsofthedistributivenetworkofenterprises，setgoalsforthedesignofdistributivehoneypotandgivesamodelofdistributivehoneypot，whichiseasilydevelopedandsafe．Finally，havingthenetworkofacertaincompanyasanexample，andconsideringtheeffectivesoftwareanddefensivetechnology，analyzethedeploymentandapplicationofdistributivehoneypot，whichrealizethefunctionsofmuti—leveldatacaptureanddatacontoleffectively．HI 论文原创声明本人郑重声明：所成交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集体，均已在文中已明确方式标明。本人完全意识到本声明的法律结果由本人承担。学位论文作者签名：形绎日期：沙一年；月≯日学位论文使用授权声明本文完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。学位论文作者签名：甲昴日期：扣『o年6月yEl导师签名：啖主S酋‘日期：沙¨年多月≥El 中山大学硕士学位论文第一章绪论1．1论文的研究背景及研究意义随着计算机和网络技术的不断发展，计算机网络在国家政治、经济、文化领域以及社会生活的各个方面发挥着愈加重要的作用，承载着各种各样的业务和信息，成为人们工作生活中不可或缺的组成部分。但由于计算机网络自身的特点，如其设计缺陷，链接形式的多样性，终端分布的不均匀性以及网络的开放性、互连性、共享性等，使得网络容易受到黑客、恶意软件和其他形式的攻击。并且计算机网络所面临的安全威胁也随着网络及网络应用的发展而不断演化，呈现日益复杂的局面，这使得网络与信息安全问题成为一个重要而热点的问题，并与人们的工作和生活息息相关。我国CERT／CC(计算机紧急与响应小组协调中心)2008年度统计报告指出，2005年到2008年，网络安全事件总数呈逐年上升趋势。垃圾邮件、网络仿冒、网页篡改、网页恶意代码(俗称“网页挂马’’)等事件是网络信息系统及互联网用户面临的最常见的网络安全事件，而由此造成的后果和影响也较为严重，’如遭遇网络欺骗或讹诈、感染恶意代码、泄漏重要信息等。2008年，垃圾邮件事件、拒绝服务攻击事件以及病毒、蠕虫和木马事件尤为突出，发生次数与2007年相比均呈现较大幅度的增长趋势。网络仿冒(钓鱼)事件、网页篡改事件和网页恶意代码事件等仍旧是CNCERT处置的重点，特别是涉及政府机构和重要信息系统部门的网页篡改事件，以及涉及国内外商业机构(如金融机构、电子商务机构等)的网络仿冒事件u1。频繁的网络安全事故给国家、企事业单位和个人造成了不可估摸的损失，统计数据显示，当今全球各国每年仅由于网络安全事故导致的经济损失多达数百亿美元以上。目前，大型企业的网络和信息化建设，普遍走在全国的前列。这些基于TCP／IP技术发展建设起来的企业网，不仅对企业内部的重要应用提供服务，而且对外提供服务，甚至部分企业的电子商务及企业经营完全依赖于企业网，企业网络受到 中山大学硕士学位论文第一章绪论攻击往往意味着巨大的经济和企业形象的损失。因此，企业网的网络安全也至关重要。特别对于大型的企业，其企业网通常分布于不同的地域，网络复杂，接入方式多样，员工众多，对网络安全防护提出了更高的要求。面对众多的安全威胁，各种网络信息安全技术也应运而生。网络信息安全的核心问题是围绕计算机系统和网络进行有效的防护，信息的安全性、完整性和有效性展开的，同时网络信息安全技术涉及面也很广泛，主要包括：访问控制、数据加密及签名、身份认证与授权、防火墙技术、入侵检测技术、防病毒技术等等。这些技术都有其一定的作用和使用范围，也存在一定的弱点，它们的应用并不能完全解决网络安全所面临的问题。以下就这些常见技术的缺陷进行比较：访问控制有一个明显不足，它无法防范并阻止合法认证与授权的用户所进行的非法操作引起的破坏安全的因素发生，同样，访问控制对于合法用户的权限滥用、密钥的泄漏、系统以及各类应用软件自身缺陷以及当前比较常见的拒绝服务式Dos攻击就更显得脆弱，它只能一定程度去规避这些风险之外的一些风险。身份认证技术并不能抑制脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。信息加密只对数据的机密性、完整性、可用性方面有所作用，对攻击却束手无策。防火墙是通过网络数据包过滤技术、应用层网关、安全加密通道或虚拟专用网(VPN)技术中的一种或几种来实现网络安全防护，而这些技术的应用虽然能防止一些常见的协议漏洞、源路由或地址欺骗等攻击手段并提供了相对安全的数据通道，但它并不能完全对付层出不穷的应用层后门以及应用程序设计缺陷，同时也不能有效对的防范过加密通道的攻击。此外，也不是所有对Internet的访问都必须经过防火墙，同时对于系统及网络的威胁也不一定全部是来源于防火墙外，防火墙其本身也比较易受到攻击。入侵检测是一种动态的安全技术，入侵检测是通过对计算机网络系统中的若干关键点进行信息收集并这些信息进行分析，从而发现是否有违反安全策略设置的行为和被攻击的迹象。入侵检测一般是和网络防火墙结合起来使用，由于它在攻击检测、安全审计和监控等方面都发挥了重要的作用，因此它被称为防火墙后的第二道安全防线。尽管如此，入侵检测其自身仍然存在着一定的脆弱性和局限性，表现在：网络安全工作人员无法通过系统了解入侵者的入侵意图；难以防范2 中山大学硕士学位论文第一章绪论利用未公开漏洞的黑客攻击以及来自于内部人员的破坏；存在漏警、误警，以及对攻击行为缺乏实时响应等问题。防病毒软件～般在时间上都存在一定的滞后性，它是进行病毒代码特征匹配来进行病毒检测的，因此存在误报同时无法对最新的病毒进行检测的缺陷。以上技术大多数都是在攻击者对网络进行攻击时对系统进行被动的防护。随着网络安全形势的加剧，人们希望能有一种主动的防御机制，作为当前网络安全防御系统的有益的补充。因此，近年来蜜罐技术成为研究的热点。蜜罐定义为一种安全资源，它并没有任何业务上的用途，它的价值就是吸引攻击者对它进行非法的使用心1。蜜罐技术其实是一种对攻击者采用欺骗以及造成攻击目标假象的技术，它通过布置一些称为诱饵的主机、提供一些正常的网络服务以及信息服务来诱使攻击者对它们进行攻击，让攻击者以为蜜罐就是要攻击的目标服务器，从而减少其攻击对于实际服务器系统所造成的安全威胁，更重要的是蜜罐技术可以记录攻击者的行为并对其行为进行分析，以便于了解攻击者使用的攻击工具和攻击方法，推测攻击者的攻击意图和攻击动机，同时也可以在此基础上追踪攻击来源，并对其攻击行为进行攻击取证，从而能让防御者通过法律正当手段去追究攻击者的责任。这样蜜罐技术既通过技术和管理手段增强了系统的安全防护能力，也弥补当前网络安全技术的不足。基于分布式网络体系具有资源利用率高、覆盖范围广、安全可控性高、批量数据处理等优点，当前企业网络都采用分布式网络体系结构，并结合原有的网络安全措施，综合部署分布式的蜜罐系统，使得企业网络防御转被动为主动，以更好地分析和挖掘攻击者的攻击行为和攻击动机，从而更好的保障其网络安全。本文在研究相关技术和实现方法的基础上，设计构建了面向企业网的分布式的蜜罐系统，进而提出了分布式蜜罐技术在某公司企业网安全解决方案中的应用。1．2国内外研究现状蜜罐的概念于二十世纪九十年代初被提出，直到1998年左右，蜜罐技术引 中山大学硕士学位论文第一章绪论起一些从事网络安全研究人员的注意，他们开发出一些用于误导和欺骗黑客的开源代码工具以及一些商用蜜罐产品。蜜罐因其具有不同于其他安全技术的主动防御的特征，成为网络安全防御体系的重要一部分，得到了国内外很多研究机构和公司的重视。．近年来，除了市场上已经出现的一些免费的和商业化的成熟的蜜罐系统外，对蜜罐技术的研究主要集中在以下几个方面：蜜网技术、蜜场技术口1、应用层蜜罐技术∞、客户端蜜罐技术圈嘲和动态蜜罐囝等。其中，当前对蜜网技术的研究最为流行和广泛。目前，国外专业从事于蜜罐技术研究的组织主要有“HoneynetProject’’(蜜网项目组)和“HoneynetResearchAlliance"(蜜网研究联盟)。“HoneynetProject"是一个不以赢利为目的的研究组织，其目的主要是通过学习和研究黑客们所使用的动机、技术以及工具，将研究的成果共享给致力于网络安全的工作人员闻，它的前身是1999年由LanceSpitzner等人发起的一个非正式的蜜网邮件组，而到2000年6月，该邮件组演化成为“HoneynetProject"进而开展对蜜网的研究。2002年1月“HoneynetProject’’倡议并成立了“HoneynetResearchAlliance"以便于更好的联合和协调各国的蜜网研究组织共同对黑客社团的攻击进行追踪和学习。2005年初，“HoneynetResearchAlliance"已经拥有了20个来自不同国家和地区的研究组织嘲。，我国的狩猎女神项目组也于2005年2月22日正式被世界“HoneynetResearchAlliance"接受成为其中的一员‘埘。现在，不同国家的蜜网项目组常在互联网上放置大量的蜜罐，或利用分布式的蜜网进行恶意代码的收集和预警，僵尸网络的发现和跟踪，以及对网络钓鱼攻击进行研究。1．3本文主要研究内容本课题的研究目标是通过对分布式蜜罐技术的研究，提出构建面向分布式企业网的主动防御系统的模型，并将其应用于企业的安全防御体系中。本文的主要研究内容首先是对蜜罐技术的相关原理进行了研究与分析，介绍了几种蜜罐工4 中山大学硕士学位论文第一章绪论具。并对分布式蜜罐系统涉及的关键技术进行了详细的研究和分析，为设计构建分布式蜜罐系统奠定了基础。并在此基础上建立了分布式蜜罐系统的模型，设计了面向企业网的分布式蜜罐系统，结合现有工具和技术实现了分布式蜜罐系统的部署，使企业网用户能更有效地进行安全分析和防御。1．4本文的组织结构论文共分五章，章节内容安排如下：第一章为引言，简要介绍了蜜罐的研究背景、研究内容和本文的结构安排。第二章对蜜罐技术原理进行了深入的分析和研究，对蜜罐系统的定义、作用、交互级别、优缺点进行了阐述，并详细介绍了几种蜜罐工具。第三章分析了分布式企业网络所面临的安全威胁和安全需求，并据此给出了分布式蜜罐系统的设计目标；对分布式蜜罐系统不同于一般蜜罐的技术需求及部署中的问题进行了详细的研究和分析；给出了一种具有良好可拓展性、安全性的分布式蜜罐系统的模型。第四章针对某企业的实际网络，详细描述了分布式蜜罐系统的部署和实现。第五章是结束语，总结了全文的工作和主要结果，并指出了有待进一步研究的问题。5 中山大学硕士学位论文第二章相关技术近年来，蜜罐技术作为一种主动的网络安全技术得到越来越多地应用。通过利用蜜罐技术作为一种主动的网络安全策略，可以实现网络发现、诱骗、转移、延迟入侵者的攻击，从而有效保护网络和服务器不受入侵，同时还可以为网络安全取证提供有效的信息和分析依据。本章介绍蜜罐的基本概念，包括它的作用和分类，分析了蜜罐技术的主要优缺点，以及常用的蜜罐工具；本章对蜜罐技术原理做了简单的介绍分析。2．1蜜罐技术基本概念2．1．1蜜罐的概念“蜜罐”的思想最早出现在CliffStoll的小说《TheCuckoo’SEgg"(1990)》n妇中，其正式定义出现于文献n羽，目前比较权威的定义是蜜罐技术创始人LanceSpitzner给出的：“Asecurityresourcewho’Svalueliesinbeingprobed，attackedOrcompromised川131，即：蜜罐其实是一种网络安全资源，它存在的价值在于被扫描、攻击或攻陷。由此可见，蜜罐技术是对攻击者的欺骗技术。蜜罐系统不属于产品型系统，没有任何业务上的用途，不存在区分正常流量和攻击的问题，所有进出蜜罐的流量都可视为潜在的扫描、攻击或攻陷。蜜罐技术不会直接提高计算机网络安全，但我们可以用它来监视、检测和分析攻击。这是其他安全策略不可替代的一种主动防御技术。蜜罐的与众不同之处还在于n31：蜜罐并不限于解决某个具体的问题。相反它是可应用在大量不同场合的高度灵活的一种工具，它可以实现许多不同的目标。它可以转移攻击者注意力，消耗其攻击资源、意志，在一定程度上像防火墙一样6 中山大学硕士学位论文第二章相关技术阻止攻击；它还可用于检测、捕获入侵者的攻击，有一定入侵检测的功能；蜜罐系统容忍攻击者的入侵，记录黑客攻击的工具、手段、动机、目的等行为信息，尤其是未知攻击行为等信息，从而充当先期预警，辅助管理员调整网络安全策略，提高系统安全性能。2．1．2蜜罐的作用由蜜罐的定义可知，它是一种可以应用于多种场合中的高灵活度的技术。作为一种网络安全解决方案，蜜罐存在价值在于被攻击或攻陷。因此蜜罐的作用主要体现在它可以改变攻防博弈的非对称性。随着网络攻击工具的发展，攻击者不需要太多的技术，就可以很容易得到和使用各种攻击脚本和工具对网络中的任何主机进行攻击，危害网络安全。攻击者可以通过网络扫描、探测、踩点等对攻击目标进行全面的了解，并随时对其弱点进行攻击，即使攻击失败，也没什么损失；而在常规的被动安全防御中，防守的一方对攻击者一无所知，只有尽可能的在每时每刻进行全面防护，而一旦防守失败，被攻击者破坏安全策略，损失通常较重。蜜罐作为一种主动的防御技术，在网络安全问题的预防、检测和响应阶段都发挥着它的作用n如。首先，蜜罐技术是一种对攻击者进行诱骗和误导的技术，业务性蜜罐通常能够长时间的耗费攻击者的攻击资源，从而一定程度上实现阻止攻击者攻击真实目标系统。其次，由于蜜罐系统一般不对外提供真实服务，所有出入蜜罐的流量均可认为是潜在扫描或攻击；因此它不存在类似于入侵检测系统的漏报和误报等缺陷，同时蜜罐可以大大简化检测攻击的过程，具有比较强的入侵检测功能。最后，在检测到入侵后，我们可以针对攻击采取一定的响应措施，此时分析蜜罐系统的日志记录，不仅可以让我们了解攻击者所使用的攻击方法和攻击工具，制定响应措施，调整安全策略，还有助于我们追踪攻击源，为攻击行为审计取证。2．1．3蜜罐的分类蜜罐按其应用目的分：产品型蜜罐和研究型蜜罐n副。产品型蜜罐用来提高商业组织的安全性能，而研究型蜜罐则主要是用来尽可能多的收集攻击信息。7 中山大学硕士学位论文第二章相关技术产品型蜜罐该类蜜罐可以为系统及网络的安全提供一定的保障，通常在网络安全响应环节发挥着积极作用。产品型蜜罐的主要功能包括攻击检测、防范攻击造成破坏并帮助网络管理人员对攻击做出正确判断并及时响应等功能。产品型蜜罐通常较容易进行部署，而且它不需要网络管理人员投入大量的工作。产品型蜜罐较具代表性的有：honeyd、DTK等开源工具以及ManTraq和KFSensor等商业产品。研究型蜜罐研究型主蜜罐的主要价值在于能提供一个收集或掌握攻击方信息的平台。当前网络安全界所面临的一个最大难题就是我们在前文提到的攻防双方博弈的不对称性，通常我们对攻击者是谁，他们发起攻击的目的是什么，他们又是采用怎样的攻击方法进行攻击的，而攻击中又使用什么样的攻击工具，以及他们大概在什么时间会再次进行攻击等问题是无法解答的。研究型蜜罐则可以通过提供一个可用于收集并了解计算机威胁的平台，在信息收集等方面提供有效的价值，使得研究人员可以通过蜜罐系统的记录来学习攻击者以及其攻击行为。研究型蜜罐的主要代表工具便是“HoneynetResearchAlliance”所推崇的第二代蜜网技术。蜜罐依据交互性可分：低交互蜜罐、中交互蜜罐和高交互蜜罐，它们分别对应了攻击者在蜜罐中活动的不同交互性级别。交互性的概念是对攻击者在蜜罐中从事攻击活动的自由度的一种度量。通常蜜罐的交互性越高，我们可以收集到的信息也就越多，但高交互蜜罐所承受的风险也同时越高。低交互蜜罐低交互蜜罐通常只是模拟操作系统或某些网络服务功能，并不对请求的访问进行响应，例如只是开放一些常用的网络端口，并不提供真实系统服务的交互系统。低交互蜜罐具有易安装、配置和维护等特点，同时低交互蜜罐系统的风险也较小，但同样的，攻击者在低交互蜜罐中能进行的攻击或活动也比较有限，因此低交互蜜罐能收集的信息也相对有限，通常低交互蜜罐只能收集到一些攻击者的试探性攻击的扫描信息。低交互蜜罐一般是通过模拟产生的虚拟蜜罐。 中山大学硕士学位论文第二章相关技术图2-1低交互蜜罐细交互蜜罐中交互蜜罐同样也不提供真实的操作系统与攻击者进行交互，但终交互蜜罐提供了一些更为真实的欺骗进程，模拟了一些比较复杂的服务。攻击者不仅可以访问这些模拟的欺骗服务，还可以获取到来自这些模拟服务的虚假响应反馈。中交互度蜜罐通常要比低交互蜜罐花费更多的时间和精力部署和维护。同时中交互蜜罐要开发一些应对网络威胁的安全机制来确保障攻击者的攻击行为不会危害周边其它的系统。中交互蜜罐一般都能提供完善的日志来监控和记录攻击者的攻击行为，但同样它承受的风险也相对于低交互蜜罐更大。图2—2中交互蜜罐高交互蜜罐高交互蜜罐则向攻击者提供一个真实的操作系统并与攻击者进行会话，这时，所有的服务都是真实的。高交互蜜罐严密监视攻击者的每一步动作，并能从中获取大量的攻击者信息，但高交互蜜罐也存在构建和维护成本高，同时蜜罐承受的风险也最高。高交互蜜罐不仅可以识别操作系统以及应用程序中的新漏洞，同时还能发现9 中山大学硕士学位论文第二章相关技术攻击者使用的新攻击工具并从中了解黑客之间的通信。通常研究型蜜罐都属于高交互蜜罐。高交互蜜罐的部署通常都在一种受控的环境中，例如在防火墙之后。图2-3高交互蜜罐蜜罐系统按其配置规模、复杂性可分为：单机蜜罐、蜜网和蜜场n61。单机蜜罐单机蜜罐是在一台主机上通过硬件或虚拟软件来实现入侵诱骗的蜜罐。单机蜜罐通常与真实系统具有同样的操作系统并提供相同的网络服务，但单机蜜罐通一般人为存在很多已知的系统漏洞，同时也会故意安置一些重要但虚假信息来达到诱骗攻击者的目的，如公司的发展企划、年度财务报表等重要信息。单机蜜罐的数据流量一般是直接进入网络，而对于外出的数据流量则比较难以控制。蜜罐网络蜜罐网络(Honeynet)：蜜网实质上是一种高交互研究型的蜜罐技术。它与单机蜜罐不同的地方在于，蜜网是由多个计算机系统以及网络设备组成的一个有机的网络体系，它具有多层次的数据控制机制和全面的数据捕获机制，能够获取大量的攻击信息，并能辅助研究人员对攻击数据进行深入分析。蜜场蜜场(Honeyfarm)是为了有效的对一个大型网络提供防护功能而构建的复杂的蜜罐系统。它不仅着眼与外部的安全威胁，同时也用于发现内部安全威胁，Io 中山大学硕士学位论文第二章相关技术并能对各种安全威胁进行重定向和跟踪。2．2蜜罐的优缺点分析蜜罐技术相对于其他网络安全技术，具有一些不可比拟的优势。首先，蜜罐技术在检测非法、未授权行为方面是一个简单、经济的解决方案m1。传统的用于检测非法行为的技术手段主要是入侵检测，入侵检测定义非法或未授权行为的主要方法有两种：基于规则的检测和基于异常的检测。前者基于网络管理人员制定的一系列规则，较容易产生误报；后者通过学习理解正常的网络行为，对异常行为发出警报，但由于新的技术和新的应用会不断地加入到网络中，建立衡量网络正常行为的标准会非常困难。因此，一般的入侵检测系统通常具有较高的误报率和漏报率。蜜罐技术克服了这些缺点，它产生的日志数据量小，是一种高度保真的小数据集，可达到很低的误报率和漏报率。此外，蜜罐能捕获新的攻击方法和技术，并且实现原理简单，贴近实际。蜜罐技术就像其他所有技术一样，也有其缺陷。首先，蜜罐技术的最大缺点便是视野狭窄，通过蜜罐只能看见针对其自身的攻击行为，而无法获取对于其他系统的攻击记录，这样很容易导致黑客攻击后溜走。其次，蜜罐有着一些专业的特征，而这些特征一旦被攻击者识别出来的话，很容易被攻击者绕过或利用蜜罐进行更进一步的攻击，而且当前已经存在一些比较有效的反蜜罐技术，如：使用蜜罐指纹来辨别目标是否蜜罐系统。最后，蜜罐系统就像其他的计算机系统一样具有可被攻破性，而蜜罐系统一旦被攻击者攻陷的话，就存在被攻击者利用从而进行各类欺骗攻击以及跳板攻击的缺点。鉴于蜜罐的这些缺陷，我们并不建议用通过蜜罐系统取代原有安全防护技术，相反的我们更应该将蜜罐技术作为原有安全防护技术中的一种辅助技术。2．3典型蜜罐工具介绍 中山大学硕士学位论文第二章相关技术当前在市场上存在不少的蜜罐工具。其中，以低交互产品型蜜罐为多，主要有以下几种：黔嘲礓Honeyd是NielsProvos于2004年4月开发创建的一种功能强大且源代码开放的蜜罐，起初Honeyd是面向linux系统的，同时它也可以运行在BSD、Solaris，GUN／Linux等操作系统[2-8]oHoneyd为蜜罐注入了几个新的概念。Honeyd具有同时可以模仿上千个操作系统，并具有上千个不同IP地址等特点，而且这些系统之间可以模拟任何路由拓扑的网络结构，亦可以分别配置不同的等待时间以及丢包率等，极大增强了蜜罐系统的检测和捕获攻击的能力。Honeyd作为一种完全开放源代码的工具是一项免费技术，我们可以完全访问其源代码，并根据网络的实际情况来配置我们自己蜜罐系统。Honeyd的安装配置相对来说比较简单，在市场上也很受欢迎，当前已经有很多商业公司在使用这款蜜罐工具。融F霸≤)麟鹾嚣面毋矮BOFn钔是一种简单但又十分实用的蜜罐，它是由MarcusRanum和NFR(NetworkFlightRecorder)公司开发的用来监控BackOrifice的一种工具。按照BOF设计之初，BOF只是为了监测BackOrifice针对系统的攻击，而现在它已经能够模仿一些基本的计算机系统基础服务，如HTTP，Telnet，FTP，SMTP，POP3和IMAP2等网络服务。BOF像honeyd一样会记录所有对BOF端口的连接和侦听。BOF可以为攻击者提供一些伪造的连接，并记录攻击者的Http攻击、telnet穷举破解登陆以及其他的一些活动，这样运行BOF可以一定程度让防御者推测出攻击者采用何种类型的攻击方法。BOF的安装和配置也相对比较简单，同时BOF所需要的维护工作也很少，但其功能相对比较有限，仅能提供了类似上述的端口监测等简单的功能。融摹域㈨Spector是一种商业化的产品型蜜罐，它是由NetSec公司开发和销售。Specttor是运行于Windows平台的一种蜜罐，它除了可以模拟SMTP，Telnet，Finger和Netbus等服务之外，还可以模拟多种操作系统如Windows，MacOS和Linux等操作系统。Spector会将所有连接的IP、连接时间、访问服务类型以及12 中山大学硕士学位论文第二章相关技术引擎状态等有用信息全部记录在远程服务器主机上，因此它具有一定程度上捕获攻击者活动的能力。由于Spector所能模拟的交互式服务有限，其部署、维护也比较容易，且风险较低。爹TK!’‘D函6矗a最雪901Ki《iI欺骗土具包嚣乜¨DTK是FredCohen开发的一组免费蜜罐工具，它是一种运行在Unix平台上的Perl脚本集合。DTK可以模拟很多当前已知的漏洞，并可以伪造一个虚假的口令文件来诱使攻击者花大量时间进行口令破解。DTK还具有可以通过修改脚本模拟任何已知漏洞等优点，但安装和设置比较复杂。此外DTK的报警功能也不错，DTK一检测到攻击便会通知其管理员。溉n髓莲心羽一般情况下，高交互型的蜜罐系统虽然能获取更多的攻击信息，但其部署和维护代价也相对较高，通常用于实验室研究，如Honeynet，但也有部分高交互式蜜罐产品用于商业用途，如ManTrap。ManTrap是由RecourseTechnologies公司开发的一种商用蜜罐，它运行于Solaris操作系统上。ManTrap是一种中高等的交互型的蜜罐，它的独特的地方在于它并没有像Honeyd等蜜罐一样模拟系统服务，它是在一个Solaris操作系统的基础之上创建多达4个虚拟的操作系统，而这些虚拟操作系统几乎实际系统具有同样的交互性和服务功能。系统管理员可以通过对这些虚拟操作系统进行更广泛的控制和数据捕获能力，管理员甚至可以进行组织和安装一些用于测试的应用程序，如DNS、Web服务器或者数据库等。这样，管理员不仅可以检测到扫描威胁和未授权连接等信息，还可以捕获到未知攻击、黑客对话、甚至于发现一些新的漏洞。虽然ManTrap是一种商用产品，但是其部署和维护要并不复杂。由于ManTrap蜜罐为攻击者提供一个可以完整利用的操作系统，因此它存在可以被用来攻击其他系统或进行其他未授权活动等风险。"t二“％黔ne印e翼Honeynet是一组典型的高交互研究型蜜罐，它不仅可以提供完整的操作系统进行交互，还可提供了多个蜜罐布置在受控网络中。由于Honeynet具有多层次的数据控制机制和全面的数据捕获机制，它能够获取大量的攻击信息，并能辅助研究人员对攻击数据进行深入分析。在当蜜罐被扫描、攻击或者攻破时，受控 中山大学硕士学位论文第二章相关技术网络会获取到发生在honeynet中的所有攻击者活动，而honeynet几乎可可以对所有现有平台进行信息捕获。Honeynet的配置较为复杂，而这种复杂并不在于多个蜜罐的构建，而是对于Honeynet的所有活动控制体系的构建。虽然Honeynet是当前比较难部署和维护的蜜罐，但正是基于这种复杂性使得Honeynet具备高风险网络安全解决方案的特点。Honeynet主要用于研究目的，目前Honeynet技术已经发展到了第三代。由于Honeynet部署所涉及的工作量比较大，因此很少被用作为产品型蜜罐。2．4蜜罐技术原理蜜罐系统的关键技术主要有：网络欺骗、端口重定向、预警、数据捕获、数据控制以及数据分析等。2．4．I网络欺骗从蜜罐的定义可知，蜜罐的价值在于被扫描、攻击和攻陷。所以蜜罐系统应该具有～定的“甜蜜度"，对入侵者有更大的吸引力。这就需要我们采用各种网络欺骗手段，将没有任何业务用途的蜜罐系统伪造成攻击者感兴趣地主机或服务器。因此可以说网络欺骗技术是蜜罐技术中最为关键和核心的技术。目前蜜罐主要的网络欺骗技术包括蜜罐主机技术、陷阱网络技术、诱导技术和欺骗信息设计技术。蜜罐主机是与入侵者交互，负责捕捉攻击信息的主要场所，构建蜜罐主机可以使用真实的或模拟的各种操作系统，如空系统、镜像系统和虚拟系统。其中虚拟的蜜罐主机技术在目前应用较多，一般虚拟机软件提供丰富的功能，运用这些功能，可以快速地构建多个蜜罐主机，甚至模拟一个网络；这种虚拟系统不但逼真，而且耗费的成本较低，资源利用率比较高。需要注意的是，蜜罐主机系统存在自身的安全问题，例如，应当避免蜜罐本身的信息(如IP地址等敏感数据)被泄露或丢失。当使用虚拟系统时，我们可限制客户操作系统访问宿主操作系统14 中山大学硕士学位论文第二章相关技术的文件系统。因此，即使蜜罐被攻击者成功控制，也不会威胁宿主操作系统的安全。陷阱网络便是我们说的蜜网，它由多个蜜罐主机、多种网络设备以及IDS和审计系统等组成。蜜网为攻击者制造一个可控的网络环境，以便于网络防御者能够在可控范围内研究攻击者的攻击行为并作出判断。蜜络不仅要实现蜜罐系统，还需要实现数据控制、捕获、记录、分析以及其他管理等功能。截至当前陷阱网技术已经发展到了第三代。诱导技术的主要作用是将网络攻击者引诱到蜜罐系统中，通常可以采用的方法有：基于网络地址转换技术(NAT)的诱导，和基于代理技术的诱导。欺骗信息设计技术是网络欺骗技术的关键，且种类繁多，主要的技术有：模拟服务端口，模拟系统漏洞和应用服务，IP空间欺骗，口令信息欺骗，Web扫描信息欺骗，组织信息欺骗等等。2．4．2端口重定向端口重定向是一种常见的网络技术，它的主要作用是将一个端口重定向到另一个端口或地址。例如通常系统默认的HTTP服务端口是80，但可以通过重定向技术我们把它定向到8080端口。在蜜罐系统中，进行端口重定向的目的在于让攻击者进入一个预先模拟好的服务，这样也入侵者入侵的便是一个蜜罐系统，而真实提供服务的网络系统。蜜罐系统通过端口重定向并未改变网络系统的端口号，而是仅利用端口使模拟的服务代替了真实操作系统的服务。2．4．3数据捕获数据捕获是为了获得入侵者的所有行动记录，包括网络行为数据，如网络连接、网络流等，以及系统行为数据，如进程，命令，文件，键盘记录信息，屏幕信息，以及攻击者曾使用过的工具等等，这些记录将帮助我们分析攻击者的攻击目的、策略以及其攻击所使用的工具。因此数据捕获是蜜罐的核心功能模块。数据捕获的目的在于入侵者们不知情的状况下，获取尽可能详尽的数据信息。15 中山大学硕士学位论文第二章相关技术为了达到数据捕获的目标，蜜罐要从各种不同的数据源收集数据，这种数据捕捉是分层次进行数据获取的，每一层获取的数据也不同。通常，最外层数的据获取是由防火墙来完成的，主要记录出入蜜罐系统的网络连接的日志，这些日志被存放在防火墙本地，以防止被入侵者删除或恶意篡改；第二层数据捕获则由IDS来完成，IDS通过抓取蜜罐系统的网络包并对网络中的信息流进行监控和分析并记录这些过程：而最里层的数据捕获则是通过蜜罐主机来实现，包括蜜罐主机的所有系统日志、用户键盘记录和终端显示等信息，这些数据记录将通过网络传输到远程服务器进行存放，以保障日志安全，防止蜜罐攻陷后攻击者进行篡改日志。2．4．4数据控制数据控制机制是为了控制攻击者向外攻击的能力，其目标是防止攻击者在攻陷蜜网中的蜜罐主机后将其作为跳板攻击业务网络或第三方网络，从而降低所部署的蜜罐系统由于被攻陷所带来的潜在风险。数据控制是蜜罐系统必需的三大核心功能之一，主要是保障蜜罐系统的自身安全。数据控制是通过对入侵者进行行为规则定义，把入侵者的活动限制在一定的范围之内，从而保障陷阱自身的安全性。数据控制机制需要在为攻击者提供更高的自由度和限制攻击者的外出连接中找到平衡点。通常，我们开放所有对蜜罐主机的访闯，但同时我们也对蜜罐主机外出的网络进行严格控制，因为蜜罐系统发起外出的连接意味着蜜罐主机很可能被攻击者已经攻破，而攻击者又很有可能利用蜜罐主机对其他的系统发起的连接进行攻击。外出连接控制不是单单阻断蜜罐对外的访问连接，而那样的话会促使攻击者发现其占领的主机是蜜罐主机，因此通常我们是限制蜜罐主机一定时间内的外出连接次数或修改这些外出连接的数据包，使其不能正常到达它的目的地，这样做在会一定程度上给攻击者造成一种网络数据包已经正常发送的假象，之所以采取这种做法是为了更好的判断攻击者成功入侵进入系统后的动作和企图。类似蜜罐的数据捕获，蜜罐的数据控制分层次进行的。蜜罐的数据控制主要是路由控制和连接控制。连接控制主要是通过防火墙来完成的，由防火墙来实现16 中山大学硕士学位论文第二章相关技术蜜罐主机外出的连接限制，而路由控制则是主要由路由器来完成，通过路由器的访问控制功能对所有外出的网络数据包进行控制，以防止蜜罐主机作为攻击源向其他网络中的系统发起攻击。对于一些网络，路由器可以使用网关来代替，而网关通常没有网络地址，因此在网关上实现操作路由控制更加隐蔽且不易被攻击者发现。2．4．5数据分析数据分析机制则是对捕获到的攻击数据进行整理、融合和解释，以辅助安全分析人员深入剖析这些数据背后蕴涵的攻击工具、方法、技术和动机，实现预警或对未知入侵行为的学习。由于数据分析需要从大量网络中提取具有攻击特征的数据包，因此其提取模型构建比较关键，而这也是导致数据分析困难的主要原因。目前一般采用一定的工具如Swatch、Walleye等进行自动报警，或辅助安全分析人员进行人工分析。17 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计正如我们前文中提到的，蜜罐是一种主动防御工具，在网络安全问题的预防、检测和响应阶段都发挥着它的作用。随着网络中入侵攻击越来越多，蜜罐正逐渐成为企业信息安全的新防御手段。对于一般的企业应用，企业网是一个单一的网络，目前市场上已有不少的免费的或商业化的蜜罐工具可供使用；而对于一些在全国多个省份设立分支机构的企业，因其本身企业内部网是较复杂的分布式网络，简单的在各个分支结构独立的设置多个蜜罐是无法很好的发挥其作用的。因此，本文针对这类分布式的企业内部网设计了一种分布式的蜜罐系统，针对不同系统建立不同平台的蜜罐，并使之形成一个交互的体系，全面反馈网络情况，更好发挥蜜罐的主动防御功能。分布式蜜罐不同于蜜网，它强调的是区域的分布式，即地理位置的分布式，而蜜网技术则是在一个点所作的体系架构，蜜网可以作为分布式蜜罐的节点乜31。本章先介绍分布式蜜罐系统的设计目标，并根据分布式蜜罐系统的要求和特点详细分析它不同于一般蜜罐技术的技术点；然后给出具体的蜜罐系统设计。3．1分布式蜜罐系统设计目标通过研究蜜罐技术的基本原理，并根据分布式企业内部网的特点及所受的安全威胁，设计并实现一个分布式蜜罐系统，完成蜜罐的核心要求：使用该分布式蜜罐系统，企业可以捕获来自Internet及企业网内部的攻击者的相关行为和数据，保护真实目标系统，并及时产生安全预警；对于内部攻击者，可以追踪攻击源，为攻击行为审计取证；同时为网络安全管理人员提供相应数据，使其可以及时调整安全策略，制定相应措施，为企业创建一个安全的网络环境。3．1．1分布式企业网所面临的安全威胁 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计目前，绝大部分使用分布式企业网的企业，其业务系统大多是基于客户／服务器模式和Internet／Intranet网络计算模式的分布式应用，用户、程序和数据可能分布在多个不同的地方。在这样一种分布式应用环境中，公司的数据库服务器、嗍服务器、电子邮件服务器等等都是一个供人出入的“门户"，吸引入侵者的进攻，一旦入侵者通过这道门户，就会引入恶意代码、以及窃取或破坏所有的系统资源。此外，在Internet上广为传播的各种网络病毒和木马程序也可能通过Web访问、邮件、以及下载软件、信息等传播，感染服务器和内部网络的主机。另一方面，在这种分布式应用环境下，内部网络的用户众多，并且内部网络的接入方式是多种多样的，因此也为内部和外部的攻击者提供了便利。事实上，权威数据表明，近年来，来自组织内部的攻击逐渐增多，其成功的可能性要远远大于来自于Internet的攻击。内部安全威胁可能是恶意的，也可能是非恶意的。内部人员的恶意攻击是不能容忍的，但事实上，内部安全威胁更多的来自内部员工一些非恶意的操作或举动。蜜罐系统也适用于捕获来自企业内部的攻击，如果企业的某个员工或某台机器被记录访问过蜜罐机器，或者试图登陆蜜罐机器，就说明他很有问题。3．1．2设计目标分布式蜜罐系统的设计应达到以下设计目标：l、系统应当具有良好的数据捕获能力，能够捕获到大量并且有价值的信息；并能够对威胁做出响应，既包括自动响应也包括人工控制响应。2、能够根据所获取的信息迅速、自动的给出安全预警信息；能根据日志审计的结果对现有安全策略做出调整。3、系统自身应当具备一定的安全性，也就是能够对攻击者的行为进行一定的控制；并能够保证收集的信息的安全性，完整性和机密性。4、分布监控，集中管理。5、系统配置灵活，易于扩充和配置。19 中山大学硕上学位论文第三章分布式蜜罐技术分析及系统设计3．2分布式蜜罐系统技术分析构建分布式蜜罐系统除了运用常规蜜罐的技术：网络诱骗、数据控制、数据捕获和数据分析之外，还需要考虑的关键技术问题主要是由其分布式体系所决定的。本节我们对分布式蜜罐涉及的相关技术进行分析，作为系统设计的基础。3．2．1复杂条件下分布式蜜罐系统的部署随着Internet技术的发展，现在的企业网络规模在不断扩大，设备物理分布变得十分复杂。同时攻击者的入侵行为也逐渐复杂化、隐蔽化，并常常通过多个主机实施大面积的分布式攻击。在这样的新情况下，简单的在各个业务子网独立的设置多个蜜罐，或为企业网部署单个的蜜网存在很大不足，具体如下：l、捕获到的数据难以直接反映全局的信息状况。2、因为蜜罐技术视野狭窄，只能看见针对自身的攻击行为，而无法捕获针对其他系统的攻击行为；而复杂网络环境下，存在多种接入方式，蜜罐很容易被绕过。3、集中式数据处理对控制器要求很高，控制器可能成为瓶颈和单一失效点；并且系统扩展性、灵活性较差。4、对于复杂的、有可能的协同攻击，无法很好的检测和响应。因此，针对不同的企业网络的不同规模，我们提出面向企业网的分布式蜜罐系统，作为企业主动防御的一个重要工具，并为企业制定安全策略、调整安全措施提供重要依据。较大型的企业网络通常具有多级、分布和树形的特点，如图3-1所示。因此，我们的分布式蜜罐系统在宏观上应该具有与实际网络一致的体系结构，即多级分布式体系结构。具体的系统架构设计见3．3节。 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计图3-l大型组织的网络结构同时，为了适应不同规模的企业网，各分支的分级及节点数是需要根据实际情况来分析部署的。各分支的部署具体来说要考虑以下五个方面的问题乜引：1、所部署蜜罐的类型由第二章的分析可知，蜜罐对网络造成的安全风险伴随着交互程度的提高而增加，但是同时蜜罐获取的信息量也会增加；产品型蜜罐一般属于低交互蜜罐，较易部署配置；研究型蜜罐一般都属于高交互蜜罐，构建和维护比较复杂。实际应用中，低交互和高交互型蜜罐被更广泛的采用，而中等交互型的蜜罐则由于其部署和维护上复杂度不低于高交互度蜜罐，故很少用到。一般来说用户可以根据对攻击者信息量的需求确定部署何种交互程度的蜜罐。对于企业网络来说，部署蜜罐的主要目的是为了增强企业网络及系统提的安全保障，而这种蜜罐部署的重点在于检测攻击、防止攻击造成破坏以及及时帮助管理员对攻击做出正确判断和响应，而不是侧重于记录、学习攻击者的行为，因此常企业网络常采用低交互的产品型虚拟蜜罐，如honeyd等。在某些重要的网络节点，也可部署高交互式蜜罐，如虚拟蜜网。2、所部署蜜罐的位置对于分布式的蜜罐系统，需要在企业网的各个业务子网中分别部署蜜罐系统。而蜜罐在各个业务子网中的具体部署位置，需要根据用户期望获取的信息目标来确定。蜜罐可以部署的位置如下图所示u引：21 中自太学硬±学位论文第三章分布式蜜罐技术分折厦系统设计国◇◇◇“⋯””“”』耍黏S⋯[fer蜜罐A部署在网络系统的防火墙之外，其目标主要是研究天有多少针对系统的攻击企图，因此该位置比较适合部署低交互度蜜罐便于能够检测对系统漏洞的所有攻击行为。该种部署下，蜜罐A比较容易被攻击者识别，被攻破的风险也会很大，同时蜜罐A检测的数据量也会很庞大，导致用户难于处理。蜜罐B部署在系统的安全防线以内的DMZ区，其目标主要是检测并响应高风险网络上的攻击或者未经合法授权活动。蜜罐B减在叫z区的各类服务器之中，将其工作状态也类似于网络内的其他服务器系统(如Web服务器)，当攻击者顺序扫描和攻击删z区的各服务器时，蜜罐8可以通过与攻击者的交互正常响应其攻击行为，当然这些信息也会被记录下来；而当攻击者对服务器进行随机行攻击时，蜜罐B有可能躲避开攻击，同时它也不容易被攻击者发现，因此但凡进出蜜罐B的活动流量都可判定为可疑的未授权的行为。B蜜罐的位置既可以部署低交互度蜜罐用于检测，也可以部署较高交互度的蜜罐以用于响应，该位置也是大多数企业蜜罐部署的关键位置。蜜罐c在系统网络的内部，其主要目标是检测、响应和记录来自系统组织内部共计行为。由于当前网络攻击的大多数攻击都是来自企业内部，因此这个位置的蜜罐部署对于获取来自内韶的扫描和攻击作用比较大，也建议部署蜜罐。蜜罐D的位置部署在企业安全防线的后面，他的主要目标是检测、响应并记 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计录攻击者突破安全防线后的攻击行为，用于阻止或延缓攻击行为向周边的蔓延。D的位置适合部署高交互型蜜罐，因为我们可以通过防火墙能够较好地进行网络数据的控制。为了提高密罐获取的数据量和冗余度，每个蜜罐的位置都可以增加类似C蜜罐处的嗅探器或其他检测装置，而如果对于蜜罐B和C蜜罐的位置使用高交互型蜜罐时，均需要在网络中添加数据控制机制，如使用二级防火墙或IDS等，或者干脆隔离该网段以避免这两处蜜罐被攻陷后成为攻击者进行网络攻击的跳板工具。3、蜜罐的数量文献阮铂中指出，若要了解整个网络上的攻击情况，达到用户认可的成功预防率，蜜罐数目与被保护网络资源总数之比应该是2比3。对于企业网的各分布子网来说，我们通常不会部署如此多的物理蜜罐，而是在合适位置安装部署honeyd，并由此虚拟多个IP地址；或者为这个业务子网配置一个虚拟蜜网。4、部署模式蜜罐的部署模式可以是布雷区式(TheMinefiled)或防护罩式(TheShiled)∞1。其中，布雷区部署模式如下图所示，蜜罐和网络中其它服务器并列，并没有直接引诱攻击者，在攻击者随意选取服务器攻击时有可能被避开。使用布雷区部署时，蜜罐的配置要考虑到蜜罐可能会作为攻击者第一批攻击目标。 中m大学硕±学位论女第三荜n$武蜜罐技术j’析＆系统&计HoneypoIS。r、，erHoneypot图33蜜罐部署模式一布雷区防护罩模式的部署是通过防火墙或路由器将攻击导至安全可控的蜜罐环境，从而使攻击者花费较大时间和精力攻击蜜罐系统，而不是攻击真正的服务器。这种部署下，蜜罐的主要作用就像是保护真实网络的防护罩，如下图所示。防护罩部署模式可将防火墙或路由器过滤掉的流量引导至给蜜罐实现，对企业网络来说有较强的实用价值。 中m大学颂±学位论文第=章分布式宙甜技丰分析丑§统设H图30蜜罐部署模式防护罩5、安全策略蜜罐在配置上可以形成弱化系统和强化系统。弱化系统只要在外部因特网上有一台计算机运行没有打上补丁的微软windows或者RedHatLinux即可；这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。强化系统同弱化系统一样，强化系统则提供一个真实的环境，不过此时的系统已经武装成看似足够安全的。相比强化系统，弱化系统的配置更为简单，但弱化系统搜集的是攻击信息价值不高，而强纯系统则可在最短时间内搜集最多有效数据的，而强化系统同时也要求蜜罐系统的使用者必须是具有比入侵者更高的专业技术来控制其蜜罐不会被攻破。由此可见，我们可以根据实际情况在蜜罐部署时根据需要设定蜜罐的安全策略，从而让它看起来比整个网络上其它系统的安全性略低或略高。分布式蜜罐系统的部署和管理相对来说比较复杂，如何快速、动态地进行部署和维护，是目前技术研究的个主要内容。文献[26]中提出的分布式蜜罐系统 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计的可视化配置在一定程度上降低了分布式蜜罐的管理难度，但其主要针对蜜罐虚拟系统，应用范围有限。3．2．2分布式蜜罐捕获数据的汇总蜜罐的捕获能力来自于其数量和分布范围，分布式的蜜罐系统在其检测面积、捕获信息量等方面是单点配置的蜜罐无法比拟的。然而，分布式的环境和捕获信息量的大幅增加对捕获信息的传输汇总提出了一定的要求。对数据的汇总我们主要考虑两个方面的问题，一是采集数据的内容，二是数据采集的方式。对此我们分别作如下说明：1、数据采集的内容在分布式的环境下，蜜罐数量相应较多，蜜罐数量的增加带来上报信息数量的增加，并且上报的信息数据要通过网络传输到远程的管理中心，因此我们采集信息数据时就需要考虑网络流量的问题。一般来说，有两种基本的方法来采集数据，一是各分布式站点对数据进行处理，集中汇总的只是结果集；二是基于前端设备包转发，将原始数据汇集到管理中心，这样可以很容易实现复杂IP段的分布部署和实体的集中。因为蜜罐所捕获的数据是高度保真的小数据集，数据量并不是特别大，因此我们采用两种方法，结合两者的优点，数据库采用本地和集中管理中心两级数据库，根据设定的策略，数据首先在本地存储，需要时发送到集中管理中心集中存储。分布式控制中心能够对数据进行一定的处理分析，本地数据库可存放融合后的各类数据，也存放网络原始数据包，供集中管理中心查询。2、数据采集的方式分布式站点获取的数据汇总的另一个关键的方面便是要确保信息是以通过安全的方式收集的，数据采集的重点还在于所采集信息的真实性、完整性和较高保密性。我们可以通过一些加密措施(如使用IPSec隧道)来保障传送的数据安全，。对于每个分布站点都要需要向中央服务器进行身份验证，并保证没有第三方能够看到这些数据。数据汇总时还应注意的问题有：发送数据格式的标准化，以实现不同的分布式站点或网络系统采集到的数据能够实现共享和聚合；蜜罐和蜜网的命名应当规范与明确，这样可以方便对于每个蜜网的类型与独有标识的管理与维护。 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计3．2．3大规模数据分析分布式蜜罐造成庞大的上报数量，相应也增加了数据分析处理的压力。虽然蜜罐采集的攻击数据少而精，但是仍需要专家投入较多的精力和时间，很多有价值的信息要通过专家的手工分析才能得到的，难以满足实际的需要。因此，首先必须形成一个具有较强的自动前段处理能力的分拣机制，对数据进行预处理，一般是按一定规则对数据进行过滤和分类。而后，可以借鉴其它领域中处理数据信息的一些成熟的理论、方法和技术，对蜜罐系统捕获的数据从网络数据流、系统日志、攻击工具、入侵场景等多个层次进行分析，利用可视化、统计分析、机器学习和数据挖掘等方法研究攻击特征，自动识别攻击的工具、策略、动机，提取未知攻击的特征，分析攻击趋势。目前，对数据分析技术的进一步研究已经取得了一定的成果，其中狩猎女神项目组开发了攻击关联分析工具Athena，它是在舡领域中经典规划图和目标规划图模型基础上，提出扩展目标规划图模型，实现攻击规划识别算法规划图模型，实现攻击规划识别算法，对输入的IDS报警信息、Argus网络连接数据等多源数据输出高层攻击场景图[27]o蜜网项目组也提出了同一数据分析框架UDAF，支持不同格式的数据获取，数据过滤，数据融合，数据输出以及数据可视化分析瞄1。3．2．4迅速的自动报警前面提到过，蜜罐像其他系统一样，也是可以被攻破的，一旦它被攻陷，就有可能被利用作为攻击、渗透其他系统的跳板。为了防止攻击者在攻陷蜜罐主机后将其作为跳板攻击业务网络或第三方网络，蜜罐系统必需具有数据控制的功能，如连接数限制和抑制攻击包等功能。而事实上，即使我们采取这样的措施，也不能保证万无一失。系统的安全人员还要时刻关注蜜罐主机的运行状态，必要时可以进行人为干预。在一个网络环境中，网络管理员是否及时能知道蜜罐是否被攻陷无疑是很重要的，攻击行为也多为分布式的协同攻击，一个地方子网中的蜜罐被攻陷，通常意味着其他子网也会受到攻击，更需要及时迅速的报警。Swatch作为报警软件在一般的蜜王应用比较普遍。Swatch是一个自动监视 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计工具或守护程序，它可以监视目标系统的各种日志文件，如由IPTables和Snort—inline生成的日志。Swatch通过在日志文件中进行预先定义好的模式匹配事以获取系统的运行状态，而这种匹配一旦成功，它就会通过邮件、系统喇叭、或其他定义好的程序等进行告警。此外，它还能够像Syslogd守护程序那样主动的扫描日志文件并对特定的日志消息采取修复行动㈨。watchfor／OUTBOUND／Exececho$一>／root／swatchlogExecmutt—SALERT_OUTBOUNDhqtl979＼＼@tom．com<／root／swatchlogThrottlei0：0：0exec规则包含一旦匹配成功需要运行的程序，throttle规则限制了单位时间内操作的次数，以Hour：Minute：Second为基数。Swatch默认监视IPTables的日志文件／var／109／messages，该文件记录了蜜网的所有进出连接信息。在上面的配置文件中定义的模式字符串为“OUTBOUND”，该字符串是蜜网被攻陷的重要标志，当匹配成功时，就发送邮件给管理员，邮件的数量每小时不超过10封。为了使管理员更加清楚地了解蜜网中的活动，警报的内容应该包含关于攻击事件的详细信息，如攻击包的源和目的工P地址和端口，事件发生的日期／时间等。默认情况下，Swatch的警报包括日志文件中成功匹配模式字符串的整行信息。在分布式蜜罐系统中，Swatch通常安装配置在各分布站点的站点管理服务器上，与网络安全管理员所使用的集中管理平台不在同一个地域，因此，需要我们将单个业务子网的报警信息与集中管理平台相联系和整合，以使报警信息尽快到达集中控制中心，哟其他子网提供预警。3．3系统分布式体系结构设计根据系统设计目标，我们所设计的面向企业网的分布式蜜罐系统采用多级分布式体系结构，系统结构如下图所示： 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计图3-5系统结构示意图整个系统主要由三个部分组成：集中管理控制中心，各级节点控制中心，蜜罐。集中管理控制中心负责整个分布式系统的管理和数据分析，各个节点控制中心负责业务子网中各个节点的控制。集中管理控制中心是整个分布式蜜罐系统的管理中心，负责收集和分析整个蜜罐系统捕获的各种数据，同时集成了用户管理、分布站点管理、数据管理、报警处理等管理功能和数据库。各级节点控制中心可以是一台充当网关的主机，在同一网段内至少设置一个，也可根据情况设置多个不同级别的节点控制中心。节点控制中心对网段内的蜜罐进行配置和管理。节点控制中心可以存放它所管理的蜜罐的各种日志信息，并对各种捕获信息进行初步分析，及时产生报警；节点控制中心和集中管理控制中心相联系，是集中管理控制中心各种数据的来源。通常节点控制中心和蜜罐之间有网关进行隔离，所有进出蜜罐的通信都必须经过网关。在面向企业网的分布式蜜罐系统中，我们的主要目的是了解内部网所遭受到的攻击，检测防御中的失误，并采取相应的措施或及时发出预警，因此并不总是需要高交互蜜罐，而应选择最低安全风险的蜜罐。所以各分布站点的蜜罐部署可 中山大学硕士学位论文第三章分布式蜜罐技术分析及系统设计以采用一个或多个低交互式的蜜罐。蜜罐的部署模式通常采用防护罩式，部署在防火墙之后，这样不仅可以检测来自外网的攻击，收集到已经通过防火墙的有害数据，也可以探查内部攻击者。此外，在低交互的蜜罐选择上，我们也要考虑到企业资源的充分利用。我们可以在一台主机上安装任何操作系统，作为一个真实的蜜罐主机，但是这样在同一时刻，就只能有一个操作系统在一台机器上运行，没能更好的利用商业资源；并且，一旦蜜罐系统遭受攻击，重新安装真实蜜罐系统也会耗费一定的时间。因此，在面向企业网的分布式蜜罐系统中，我们都采用虚拟蜜罐或虚拟机蜜罐，这样可以在尽可能小的投入下建立蜜罐系统，并且维护较方便，也可以迸一步实现蜜罐的自动化配置。 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现第四章分布式蜜罐系统在某企业网安全中的具体实现与效果统计某公司于1998年7月在台湾成立，经过几年的发展在大陆有上海、广州两处分公司。子公司与母公司之间的通信完全依赖于开放的Internet，安全方面有着极大的隐患。为了便于公司内部资源的共享以及安全防范，2008年5月又在在两岸三地之间采用DDN专线接入的方式，通过香港安莱公司的专用网络组成VPN以及语音通话系统，使子公司与母公司之间在安全以及内部资源共享方面形成了切实的互联互通。该公司在整个应用当中，向公司内外提供了WEB、FTP、ERP、资源共享、语音通话等多项应用，实现数据共享，提高工作效率，在生产管理以及外部沟通方面起到了不可或缺的作用。4．1企业网的网络环境分析该公司的网络主要分布在两岸三地，因此，从大的范围上来说，可以将其分为四个区域，SideA(广州)、SideB(上海)、SideC(台湾)以及出差人员这类需要经常移动的人员。由于每个地方的网络大致一致，且分布式蜜罐系统主要在大陆的两个分部实施，因此对网络架构的描述仅以大陆方面两个节点以及出差人员作为讨论对象。大陆方面的网络连接是通过光纤(专线专用，保证业务流程的顺畅)以及ADSL接入互联网，由于外部线路有一定的冗余，因此就将其中的一条ADSL专线拿出来作为VPN的专用线路与上海以及台湾相连，另外的一条ADSL线路作为备份的Email线路，采用PPPoE连接模式接入互联网。其网络结构如图所示：3l 中m大≠砸±{位论文第四章分布式蜜罐系统在某企业网安全中的具体实现j唑L一一一一一一一』L．图4-I某公司网络结构示意图其中VPN接入部分，是通过香港安莱公司提供的平台，通过Subnetto—Subnet的配置模式，形成一个大的VPN网络。出差人员则通过互联网进行远程VPN拨入，拿到局域网内分配的IP地址之后才能够拿到内部证书服务器所颁发的证书，然后才可以访问公司内部的资源。对于网络安全方面的配置．目前该公司采用的是思科⋯安全路由嚣，并部署了趋势网络防病毒软件，主要是针对服务器、客户端和邮件系统，采用统一的、跨平台的舫病毒管理平台。可以看出，该公司目前的安全配置还比较薄弱，仅仅是在网络边界设置一定的安全策略。这样可以防止不希望的，未经授权的通信进出被保护的内部网络，但无法防止来自企业网内部的攻击，对绕过防火墙侵入网络内部的黑客也无能为力。因此，我们在原来的安全防护体系的基础上，增加了分布式的蜜罐系统，形成一套能够检测和分析内外网攻击行为的主动安全防护体系。 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现4．2分布式蜜罐系统的总体部署基于上～章介绍的设计思想，我们的分布式蜜罐系统模型对蜜罐和控制中心进行分布式部署，并整合蜜网网关。针对分布式蜜罐系统部署的几个问题，具体的部署方式如下：1、所部署蜜罐的类型因为企业网中部署的蜜罐系统，其主要功能是威胁检测，产生报警信息，承载攻击数据流等，并不以研究攻击为主，因此多采用产品型的低交互蜜罐，较易部署配置；此外。考虑到整个系统的安装维护成本，及更好的利用商业资源，我们采用虚拟技术搭建蜜罐系统。我们可以通过在一台机器上运行一些仿真软件，使得仿真软件对真实硬件进行模拟，这样便在可以在仿真平台上加载或运行数个不同的操作系统，这种通过仿真软件模拟硬件而实现的主机被称为虚拟机。宿主主机就是用来安装仿真软件的那台真实的机器，其上安装的操作系统也被称为宿主操作系统。仿真软件加载或运行的操作系统则称为客户操作系统。仿真软件还可以在宿主操作系统和客户操作系统间建立了一个虚拟的硬件模拟平台，使得各客户操作系统在该虚拟平台上的运行彼此独立，这样就像多台真实主机主机运行一般。当前，比较常用的虚拟机软件有VlvIWare、VirtualPC和VirtualBox等，使用最多的是YMWare，它的使用虽然比VirtualPC稍稍复杂，但提供了强大的网络功能。除了可以进行普通硬件设备的模拟外，VMWare还可以对客户机的网卡进行模拟，而通过模拟网卡，每个虚拟机都可以有一个相对独立的网络地址，这样我们可以通过VMWare使一台宿主主机模拟多个客户机，并且这些客户机都连接在一个局域网中。这些运行在宿主系统的客户系统彼此之间的运行独立，均可采用TCP／IF协议方式进行彼此之间的通信。同时，这些虚拟的客户机还具有独立的文件系统，均能提供独立且不同网络服务。VMWare的这些特点，可以使我们快速构建出多个蜜罐主机，这些虚拟系统不但逼真，而且其消耗资源也很低，使得整体虚拟机系统资源利用率较高。虽然密罐可以直接安装在宿主主机上，同时真实的蜜罐系统业比较容易配置，但这样也存在一些缺点，例如系统资源利用率比较低，毕竟一个主机只安装 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现了一个操作系统，同时如果这个系统被攻破，即便在有系统备份的情况下，其蜜罐的恢复安装也是需要花费不少时间的。倘若采用虚拟的蜜罐主机的话，即使虚拟的蜜罐主机遭到破坏，我们只需要在VMWare中重新加载之前备份的客户操作系统文件就可以恢复设置好的蜜罐系统了。因此，基于资源和维护的考虑，我们设计的面向企业网的分布式蜜罐系统，其分布子网的所有蜜罐主机以及蜜网网关均运行于VMWare的虚拟机上。而蜜罐可以是虚拟蜜罐Honeyd和虚拟机蜜罐。2、蜜罐部署位置对于该公司的广州分部，因为企业主要的服务器设置在这里，因此这个分布式站点的蜜罐和蜜网网关部署在防火墙之后的DMZ区域，目标是检测或者响应高风险网络上的攻击或者未授权活动。蜜罐隐藏在各种服务器之中，其工作状态可以设定类似于网络内的其他系统(如Web服务器)，当攻击者顺序扫描和攻击各服务器时，蜜罐可以检测到攻击行为，并取证其攻击行为；当攻击者随机选取服务器进行攻击时，蜜罐可能承接一定的攻击。对于上海分部，密罐直接部署在防火墙之后的内部网络中，目标是检测来自组织内部的攻击或者未授权活动，减小主机受攻击的概率，达到隐蔽内部网络结构的目的，并跟踪锁定内部攻击者。同时也可以检测外部攻击者突破安全防线后的攻击行为，并阻止攻击行为的蔓延。3、蜜罐数量和部署模式对于蜜罐数量，因为我们采用的是虚拟蜜罐软件Honryd，暂设三个IP地址，但由于Honeyd能够同时监视所有这些未使用的IP地址，无论何时对这些地址有连接企图，honeyd都会自动充当这些未用IP地址的主机身份并与攻击者交互：所以只需安装一个Honeyd软件，并不需要安装配置多个蜜罐。部署模式采用防护罩式，由Switch主动将攻击导向安全且在控制下的蜜罐环境，使攻击者的时间和精力花费在攻击蜜罐系统，而不是真正的服务器上。4、安全策略 中m大学Ⅲ十学位论文第四章分布式盘瞎系统在某企n月安生中的具体实现因为目前主要是在物理主机上通过模拟工具来构建中低交互度的蜜罐，而为了保持较好的欺骗效果，蜜罐通常要求在操作系统环境，用户信息，应用服务，网络状态等方面同真实服务器保持较高的一致。因此在部署配置虚拟蜜罐时，有必要对不同的虚拟对象进行个性化配置，以此来消除不同操作系统的数据指纹对诱骗环境真实性的影响。对Honeyd虚拟蜜罐来说，它提供个性化引擎，可用来描述一个虚拟honeyPot的网络栈行为，并使用Nmap指纹数据库作为参考。当一个离开的包要至4达网络时，要先经过个性引擎的处理，可使得虚拟蜜罐看起来更像真实目标。如果采用虚拟机蜜罐，安全策略主要考虑需要布置成弱化系统或强化系统。因为我们的系统目的主要是检测攻击，在一定程度上承载攻击，因此，建议采用配置简单的弱化系统。分布式蜜罐系统在企业网中的总体部署见下面两图图4-2企业网分布式蜜罐系统部署图1 中■大学砸_：学位论文第明章分布式盥罐系统在粜企业日安全中∞具体实现境图4-3企业网分布式蜜罐系统部署图2其中集中管理平台运行于一台独立配置的远程主机上，此主机配置在广州分部，要求自身具有很高的安全性。4．3分布站点的详细配置如前所述，我们的分布站点的所有蜜罐主机以及蜜网网关均运行于VMWare的虚拟机上。因此，整个分布站点我们只需一台物理主机。分布站点的硬件环境为：主机：IntelCore2Duo系列CPU／1024Mb以上／160G以上／2块网卡所需要的软件环境为：VMware-workstation一602-59824i386targzVMware—workstation一602-59824exeHoneywallRooI，inux／Windows操作系统安装盘Sebek一11nux24—32targzforLinuxKernelversioD24x薅● 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现下面我们给出相关配置和实现。4．3．1VMWare虚拟机配置一旦在系统上安装了VMWare，需要首先对其进行配置。VMWare支持三种联网方式：Bridge、Host-only和NAT，分别介绍如下：桥接方式(Bridge)：在桥接方式下，VMWare会模拟一个虚拟网卡给虚拟的客户系统使用，而主系统相对客户系统来说是一个桥接器。桥接方式下的客户系统好比拥有自己的网卡一般可以自己直接连上网络，同时客户系统对于外部来说也是直接可见的。网络地址转换方式(NAT)：NAT方式下，客户系统是通过主机系统对所有进出网络的客户系统收发的数据包做地址转换，客户系统将不能自己直接连接网络，网络地址转换方式下，客户系统对于外部来说是不可见的。主机方式(Host-only)：Host-only方式下，宿主系统将模拟一个虚拟的交换机，所有的客户系统通过这个虚拟的交换机进出网络。该方式下，客户系统一般都只使用私有IP。以上三种不同的方式，其网络连接用途也各不一样，由于我们要将蜜网网关直接连到网络上，并将其用作网桥来为蜜罐进行数据包转发，故部署过程中我们采用Bridge桥接联网方式。在配置过程中特别值得注意的是，必须禁止虚拟机访问宿主机的文件系统。这一点非常重要，可以防止虚拟机蜜罐被攻陷后威胁到宿主机的安全。根据前面的分析，在每个分布子网中，我们的分布式站点由三个部分构成，即：蜜罐、蜜网网关和控制中心，我们需要为蜜罐和蜜网网关分别建立相应的虚拟机，用宿主主机作为控制中心。我们的分布式站点全部运行在一台HP的台式机上，在此服务器上运行两台虚拟机。其中一台虚拟机用作蜜网网关，因此它需要三张虚拟网卡来保证蜜网网关的正常运行。一张虚拟网卡作为ethO连接外部网络，设置为桥接方式；一张虚拟网卡作为ethl，连接虚拟蜜罐主机组成的蜜罐网络，设置为custom连接方式，连接到Vmnet2，即，将Vmnet2作为其连接的通道(我们可将Vmnet2看为37 中m大学噘±学位论立第哩章分布式蜜罐系统在某企业目安生中的具体耍现一台交换机)：还有一张虚拟网卡作为eth2，连接到Vmnet3(同样．我们也可阻将Vmnet3看为另一台交换机)。具体如下图所示。创4{虚拟机网络配置用来安装虚拟蜜罐(HoneyDot)的虚拟机，其操作系统为内核26的Linux；安装中．我们将其网络连接方式应选择custom的Vmnet2．即把虚拟网卡绑定到V}4net2组成虚拟的蜜网网络。而安装的Honeypot主机也通过Honeywall桥接器连接到这个网络，实现与外界网络连通。作为控制中心(ControlCenter)的宿主机，我们可以直接将其另一张网卡绑定在虚拟机的VMNet3上，使其能够与Honeywall虚拟机的Eth2相连，与网关组成管理网络。4．3．2蜜罐的安装配置对于蜜罐的具体设置，我们根据广州分部和上海分部的情况分别进行了部署，结合虚拟蜜罐和虚拟机蜜罐，在尽量减少投入的同时使蜜罐的设置尽可能能够反映网络系统的真实情况。1、Honeyd的安装和配置 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现在广州分部，我们在Linux操作系统下通过Honeyd设置蜜罐。Honeyd是一个用于创建虚拟网络主机的后台程序，我们可以配置这些虚拟主机使得它们能提供我们需要的服务，还可以利用其个性化的处理让这些虚拟主机对外显示其运行在某些特定版本的操作系统。Honeyd能让～台主机在一个模拟的局域网环境中配有多个地址，支持模拟任意的网络拓扑结构；通过服务模拟脚本可以模拟任意TCP／UDP网络服务，支持ICMP协议，允许外界主机对虚拟机进行ping、traceroutes等操作，同时也可以设置虚拟主机为真实主机的服务提供代理功能。Honeyd的体系框架由路由模块、中央数据包分发器、协议处理器、配置数据库和个性引擎等组件构成，如下图所示：图4-5Honeyd体系框架Honeyd只能进行网络级的模拟，不能提供真实的交互环境，但安装配置相对简单。要安装Honeyd，可以从http：／／www．citi．umich．edu／u／provos／honeyd／下载源码压缩包，编译安装。注意Honeyd不能单独运行，需要三个函数库作为 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现配套，即libenvent，libdent和libdcap，这些函数库可从相关网站下载安装。此外，在运行honeyd之前，我们需要通过运行arpd软件来保证honeyd的主机会对我们配置的honeypot的地址做出arp请求应答。Arpd将会对我们指定的IP地址范围内并未使用的IP地址用honeyd主机的MAC地址做arp应答。Arpd可从http：／／www．citi．umich．edu／u／provos／honeyd／下载。虚拟蜜罐的配置相对来说比较简单，我们通过一个配置文件来就可以告诉Honeyd我们所构建的虚拟机器所运行什么样的操作系统以及这些虚拟机关闭哪些端口或者是那些端口提供什么服务等。Honeyd可以将我们配置好的这～段脚本绑定到一个我们指定网络端口。一般情况下，这些脚本是一些用来模拟某些服务的Shell的标准脚本。常见服务的标准脚本我们基本上都可以通过互联网下载得到，例如SMTP，HTTP和Telnet等服务之类的脚本。下面是我们建立的一个名为honeydl．conf的虚拟蜜罐配置文件：其中，setpersonality命令是指定该模板的属性，并且该属性会与Nmap指纹里的指纹名称相对应，这里我们指定虚拟蜜罐所运行的操作系统版本是“MicrosoftWindows2003ServerwithSPI”。Add指令的功能是为模板进行服务端口添加，并指定所添加的端口提供什么样的服务。如上所示，此处我们开通了5个等常用端口。honeydl．conf配置文件创建了一个名为Windows的模板，并为该模版绑定了三个IP(192．168．0．1l一192．168．0．13)。我们创建的这个windows模板会告诉honeyd，如果有客户端试图用nmap或者XProbe扫描honeypot时，可以把它 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现自己伪装成一个安装有MicrosoftWindows2003ServerwithSPl操作系统的机器。上面蜜罐中，我们通过set命令打开了5个端口并均提供tcp服务，分别是：21／tcp，22／tcp，25／tcp，80／tcpand1lO／tcp。通常，对于处于关闭状态的端口，honeyd会返回一个RST(TCP协议)，或者一个ICMP端口不可到达的信息(UDP协议)。I-loneyd还可以支持模拟任意的网络拓扑结构，下面所示为一个网络拓扑的配置文件，其文件名为honeyd2．conf：routeentry192．168．0．200net,dork192．168．0．o／16route192．168．0．2001ink192．168．0．0／24rollte192．168．0．200addnet：192．168．1．0／24192．168．1．100routE≥192．168．1．1001ink192．168．1．0／24createwindowssetwindowspersonali七y。。Microsoft：Windows2003ServerwithSPl“set：windowsdefaulttcpactionre8e七addwindowstcpport80openaddwindowstcpport：25openaddwindowst：epport：21openCreateroilterset：routez"personality”WRT54(；”set：1"outerdefaulttcpactionresetbind192．168．0．200routerbind192．168．1．1001"outerbind192．168．0．21window8bind192．168．0．22window8bind192．168．1．21window8bind192．168．1．22windows其中，routeentry定义了该路由拓扑的网络入口，addnet是添加网段的命令，link语句则是说明路由器可以直接连接到的主机。honeyd2．conf的第二段定义了模拟路由器的具体型号以及所提供的服务等。Honeyd能配置指定网络的延迟、丢包率、带宽等信息，同时还可以指定多个网络入口点，甚至可以整合物理主机到honeyd所模拟的网络拓扑中和GRETunnel当中。详细的信息可见文献啪1一文。 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现安装配置完成后，我们可以用Honeyd命令来启动程序，首先，我们需要切换到honeyd配置文件所在的目录。然后键入：这里需要引起注意的是：如果防火墙开启，honeyd模拟的主机或网络可能就不能够被探测到。因此部署蜜罐就失去了它应有的作用。2、Sebek客户端的安装和配置Sebek是一个数据捕获工具，它主要捕获蜜罐的系统行为数据。Sebek由客户端和服务器端两个部分组成。客户端会从蜜罐处捕捉数据并且传输到网络让服务器端进行收集。服务器端既可以直接从网络活动的数据包捕获数据，也可以从tcpdump格式保存的数据包文件进行数据抽出。服务器端数据收集后的数据既可以直接上传到数据库中，也可以直接在终端上显示击键记录。Sebek是使用面向无连接、不可靠的UDP协议进行通信的，其客户端模块安装在蜜罐中，蜜罐捕获的攻击者的攻击行为记录将发送到网络(这些对攻击者来说是不可见并且由Sebek服务器自动收集的)。客户端根据所安装的Linux版本并加载内核(LKM)模块在蜜罐的内核空间运行。Sebek客户端会记录用户使用read()进行系统调用的所有数据，而运行Sebek的蜜罐会把这些记录好数据传输到服务器端所在的网络。由于这些经客户端传输的数据都是统一的一个标准格式，因此服务端能够收集各种不同操作系统蜜罐的数据阻¨。我们采用的蜜网网关软件已经集成了Sebek的服务端，在蜜罐系统中，我们还需要安装Sebek客户端。SebekClient有针对Linux和Windows的不同版本，我们安装的是支持内核版本为2．4x的Linux系统的SebekClient。SebekC1lent的下载地址为：http：／／old．honeynet．org／t001s／sebek／3／sebek一1inux24—3．2．Oc．tar．gz42 中m^学碗±#位论立第四苹分布式蜜罐§境在某企ⅡH安全中的具件实现相关下载地址：http：／／ddhoneynetorg／tools／sebek／下载后安装配置过程如下图所示：图4-6安装配置过程在安装之前，需要对于安装文件sbk_installsh进行相关的修改，使之能够符合我们的需求，安装文件的各项参数说明如下：Interr。ce缺省是ethO，它确定以何种网络接口登陆，该接口一般不需要配置IP地址。1)es⋯l==_¨。rl1P是Sebek生成包的目标IP。由于Sebek服务端不会查看其收集的包的目的地址，因此一般也不需要进行特殊配置。№tLlnall)JlⅥAf=：是Sebek生成包的目标MAC地址。因为Sebek不用ARP地址转换，因此该项是必须有的，通常我们将其设置成网桥的Mc地址。、ca#，cValuv陔参数与目的端口号一块决定所部署的蜜罐系统上有哪些类型的网络封包可以隐藏，同一局域同上的所有Sebek客户端均可配置同样参数和目的端口号。”-^_1，r1⋯’h，目的端I]号，其值与MagicValue一块确定何种网 中m大学预±学位论立第口章分布式蜜罐系统在某企业月女络封包可以被隐藏。酾u黼}曛寰菇辑。源端口号。鳝y鞣蠹蕊黧自ii鹚淇值可取值0或l，如果取值为1，那么仅{记录。如果取值为0，则记录系统所有捕获到的数据。鹱赣蚕麟是测试标识，如果该标识被设置，一般只有两种情z第一，内核模块不隐藏的情况下i第二，模块附加的debug信息被涮信息会被记录到Syslog。我们需要修改的信息如下：i露霹野震圜面墨固墨墨瞿四曩墨圈—■鼍—_互i2’a％％☆b，5；14Wm*图4—7安装文件信息修改地方如下：目的地址(1001)修改为我们自己的管理接口I(192168l202)，将目的地址的物理地址(FF：FF：FF：FF：FF：FF)自己的(00：OC：29：67hO：4A) 中m太学硕士学位论卫第四章分布式蜜罐系统在某企业月鸯全中的具体实现图4_8馋改安装文件信息将目的地址的端口更改为llGI 中m犬学礤±学位论文第四章分布式蜜罐系统在某企业月宣全中的具体实现更改完成以后，然后开始安装，／configureMake／sbkinstall经过以上操作，保存!命令如下安装成功图4-9修改安装文件端口信息图4-10安装提示信息4．3．3蜜网网关的安装和配置如前所述，如果单纯的配置Honeypot或者虚拟机蜜罐，可以捕获的信息并不是很多．对于蜜罐的三太核心功能中的数据控制和数据分析也比较难实现，只有基本的数据控制和捕获功能：通常我们需要在安装部署蜜罐的同时，把很多各种不同的工具集合在一起，例如防火墙、入侵检测传感器、包监听器等等；其部署和维护还是比较困难和耗时的。这些工具组合在一起形成蜜网网关，也即蜜墙。 第四章分布式蜜罐系统在某盘业月安全中的具体实现较关键的部件，它包括防火墙、入侵检测IDS、入侵防御以等。30作为蜜墙部署软件，Roo是Honeynet组织于2005年5月网技术的蜜墙软件，Roo把其所需要的工具都存放到一张光以实现蜜墙的部署自动化。Roo除了支持数据控制和数据捕据分析集成，也支持5ebek以及其他远程GUI的管理。Roo护，可以从https：／／projects．honeynetorg／honeYwall／!新版RooHoneywall：roo-14hw20080424215740iso。单，安装过程几乎是自动完成，按其提示安装即可。我们选首先在虚拟机配置面板选择光驱加载，右边面板的连接选择雇镜像的位置，然后启动虚拟机，进BIOS设定从CDROM启-了，安装主界面如下：圈4一iigonel_all安装界面E统只允许使用帐户too来进行登陆，进入后通过命令su 中m大}硬±学位论空第日章升布式蜜罐系统在某企nH安全中韵具体实现切换到root帐户，进行后继操作。账户too和root的初始密均为honey，初始密码登陆成功便可按照用户方式进行更改。如下图：雷4一12Hone州a]l登录后界面ROOHoneywall的配置如下：首次启动系统后，我们要进入Honeywall的配置界面进项相关的配置。由于新版的Honeywa]l提高了安全性能，没有将相关的命令纳入到系统的PATH中去，因此。我们需要到相关命令的路径，才能够调用相关的配置程序!在字符界面输入su，将权限由roo提升至root，在命夸终端界面下输入．／usr／sbJn／menu进入配置界面如下： 中m上学硕士掌位论文第四章分布式壹罐系统在某企业H安全中的县伴实图4—13Honeywall配置信息提示界面图4-14Honeywall配置界面大多hone”,all基本配置和管理功能都可以通过这个用户界面进行配置，里我们使用interview方式来进行相关配置：图4—15Honey"a11配置Interview界面下面是配置的五个步骤．如果没有提别提到的配置，即为默认配置第一步骤是进行Honeywal]的Gateway配置 第凹章分布式盔罐系统枉某企业H安￡Honeypot的IPAddress(配置为1921581．201)}Honeypot的本地网络(配置为192168．1．0／24)t会提醒找到了两张网卡，ezhO和ethle广播地址(配置为192．168．1255)会提示Honeywall的Gateway配置成功!是进行Honeywall的管理接口的配置择是否建立管理接口，我们选择是，并指定网卡eth2作圈4—16Honeywall管理接口配置界面昔eth2已经J下确安装并已正常启动，系统将会提示找l陇们需要配置管理接口的IP地址，子网掩码以及网关，s域以及DNS地址，当这些配置完成后，根据系统提示选功时候使用。需要配置SSH登陆方式、监听的端口号、是否允许远}氚入和流出的数据的端口号。牟作为管理员的IP地址的时候，系统可以指定为任何II保证安全，因此我们选择输入个IP地址，即宿主主{ ≠位论立第四章分布式蜜罐系统在某企业隔安HdndgerE11t⋯⋯cedeIimited¨stofIPadd一⋯thatc⋯一ssthc⋯g⋯ntlWterf⋯(”any”foran9IPaddress’【1％16日日。日日Ⅲ——口et⋯to⋯i⋯)图4—17Honeywall管理IP配置界面H配置完成后，我们选择采用Web界面进行数据的分析的出口规则配置，我们选择默认值，TCP允许的端口是旧允许的端口是53、123，至此，系统会提示我们完成段：数据控制配置：首先需要选择连接限制．可选时间单位有秒、分、小时痒分钟，接下来是TCP、UDP、ICMP、以及其他协议的i认。如图所示： 中m大学礤十学位论文第U幛分布苴蜜罐系统在某△业M安全中的具体’图4一埽Honey聪]lTCP连接限制配置界丽闰4—19HoneywallUDP连接限制配置界面 中m_=^=学颤±学位论i≈心荜丹布式蜜罐系统在某企n网安全中∞具体实现图4—20RoneywallI删P连接限制配置界面黼4—21Hone"all其它协议连接限制配置界面然后．我们选择防火墙将包发给snort—inline，并启用系统默认的黑名单和白名单。接下来的过滤荒略、自动侦测防护策略以及是否允许侦测防护起作用、Roachmotel配鼍，我们均选择默认的选项。第四阶段是DNS配置，设雹是否允许可以对honeypot进行刁i受限制的DNS访问和是否允许honeypot不受限制的访问外部DNS。 中m大学砸t学位论立第口章分布式蜜堵系统在某企n月安生中的具体实现图4—22HoneywalIDNS配置界面配置DNS地址(配置为192168．1102)图4—23HoneywallDNSIP配置界面第五阶段是配置自动报警和sebek选项 中山大学硕±学位论立第四章分布式蜜罐系统在某企业网安全中自图424Honeywall报警配置界面如果选择自动报警，honeywa]1会启动swatch的报警，我们通常好耍接收报警的Email地址就好了。Sebek的配置包括设置sebek包的目的地址和目的端口，这里我1921681205，端口配置为1101(默认值)国4—25HoneywallSebek配置界面 中m^学硕±学位论文第四章分布式蜜罐系统在某企业目安生中的具体宴现圈4—26HoneylmllSebek端口配置界面设置sebek包选项：sebek包有Drop、DropandLog、Accept、AcceptandLog等选项。Drop即在防火墙丢弃sebek包，不过snort会记录着些；DropandLog和Drop一样也是在防火墙丢弃sebek包，不同的是防火墙日志也会有这些记录{Accept是指在防火墙接收sebek包；AcceptandLog和Accept功自％基本一样，不同之处也是防火墙日志里会有记录。图4—27HoneywallSebek报文处理机制配置界面配置完成后，系统会将有关的服务停掉，并按照我们的需求进行配置，重新 中山大学硕士学位论文第四章分布式蜜罐系统在某企业网安全中的具体实现启动相关的系统服务。重新启动机器，经过测试发现各项服务正常启动，而且能够正常访问。4．4分布蜜罐系统案例应用结果分析2008年10月开始，某企业采用低交互度的蜜罐技术honeyd、sebek以及too并采用虚拟机技术在其内部网络上部署了两个蜜罐用于数据采集分析，这里暂称为HoneypotA和HoneypotB，其中A部署在其总部端，网段为A．B．C／24网段，B部署在同一城市的分支办公点，每个网段使用相同的配置文件，模拟linux系统和windows系统，开放常见网络端口，提供samba或者http服务等网络基础服务，下面以HoneypotA为例就其统计结果进行相关分析。4．4．1攻击IP地址地域分布特性如图4-28所示，自2008年10月以来，蜜罐系统获取得攻击源地址以日、周、月为时间单位的分布统计结果，结果清晰显示，在一时间段内，攻击源的地址分配具有一定的规律，其中对HoneypotA的大多攻击来自国内，同时其他国家地址排名也基本保持不变，即时变化也是后面几位的调整，这种攻击源地址分布近似性是统计期间的一个普遍规律。图4—28HoneypotA攻击源地域分析示意图 中山大学硕士学位论文弟|!目章分布式蜜罐系统在某企业网安生中的具体实现4．4．2扫描端口特性分析图4—29所示是所j!l己置HoneypetA在某企业挂载运行一短时间捕获扫描数据的协议分析，其中可以看出基于SNMP和ICMPping的攻击数据较多。4．4．3结果圈4-29某周floneypot主机捕获数据汇总通过以上HoneypotA获取的数据相似性分析，尽管分析颗粒度比较租糙，但仍可以得出：宏观攻击者的行为在某段连续时间内的某些攻击过程因素相对是稳定的，同时来自不同攻击者的攻击方法也有较高的相似性：基于端口的扫描攻击明显大于其它攻击，同时来源于国内的扫描也大于国外。针对攻击者的这点连续攻击特性，管理员在初期发现时要提高警惕，以便于及时获取攻击者信息。 中山大学硕士学位论文第五章结论目前，一般企业在企业网络中运用的绝大多数安全技术是被设计用来阻止未授权的可疑行为获取资源，并且安全工具仅仅是作为一种被动的保护措施被布置，所以它们对网络的保护有一定的局限。而蜜罐技术作为一种动态防御机制，是企业现有安全措施的一种非常有益的补充，它对安全管理人员及时了解企业网络安全状况，调整安全策略，制定相应应对措施非常有效。虽然目前已经有不少蜜罐工具，但只适用于网络简单的小型企业，对具有分布式网络的大型企业来说，设计部署分布式蜜罐系统是必要的。本文在研究分析蜜罐技术原理的基础上，针对分布式企业网络的特点和安全需求，重点研究了分布式蜜罐系统的相关技术，包括分布式系统部署要考虑的几大问题，以及数据汇总、数据分析和报警的相关问题。研究给出了分布式蜜罐系统的体系结构模型，并针对某企业实际网络实现了该系统。该系统的特点为：应用虚拟蜜罐技术，实现了快速的安装和恢复，节约企业的商业资源，方便系统的部署和维护；结合了较新的第三代蜜网的HoneyWallRoo技术，方便地实现了数据捕获、数据控制和一定的数据分析功能；采用开源代码的免费软件，这些软件可以从网络中方便地获得，并能及时地更新。下一步的工作是实现集中管理平台。集中管理平台可管理并实时监控各分布式站点，并将各个分布式站点的捕获数据进行集中处理，以及关联性分析，使安全管理人员更全面地了解、管理网络。59 中山大学硕士学位论文参考文献[1]国家计算机网络应急技术处理协调中心(CERT)．2008年中国互联网网络安全报告．电子工业出版社．2009．[2]熊华等，网络安全～取证与蜜罐。人民邮电出版社．2003．[3]SPITZNERL．HoneypotFarms．[EB／OL]http：／／www．securityfocus．com／infocus／1720．[4]ThehoneynetProject．Knowyourenemy：HoneyApp，2005．[5]ThehoneynetProject．Knowyourenemy：Honeyglient，2004．[6]SeifertC，WelchI，KomisarczukP．HoneyC—TheLow—InteractionClientHoneypot[c3．Proceedingsofthe2007NZCSRCS，WaikatoUniversity，Hamilton，NewZealand，Apri12007．[73ThehoneynetProject．Knowyouenemy：DynamicRoneypot，2005．[8]曲向丽，潘莉译．黑客大解密[M]．北京：中国电力出版社，2003．[9]诸葛建伟．蜜罐与蜜网技术简介．[EB／OL]http：／／www．icst．pku．edu．cn／honeynetweb／honeynetcn／2004．9．[10]诸葛建伟．蜜罐与蜜罐系统技术简介，北大狩猎女神项目组技术报告，2004．[11]Stoll，Cliff．TheCuckoo’SEgg．NewYork：PocketBooksNonfiction．1990．[12]BillCheswick．AnEveningwithBerferdinWhichaCrackerIsLured，Endured，andStudied．1991．[13]LanceSpitzner．Trackinghackers．http：／／www．tracking—hackers．com／，2003．[14]李培国，杨天奇．蜜罐对于网络安全方面的价值(J)．计算机工程与设计．2005．26(11)：2983—2985．[15]许泽平，伍文海．网络战中的网络欺骗技术．广西科学院学报．2000．11．[16]ThehoneynetProject．Knowyouenemy：Honeyfarm，2005．[173HoneyPots：Simple，Cost—EffectiveDetection． 中山大学硕士学位论文参考文献[DB／OL]http：／／们哪．securityfocus．com／infocus／1690，BrowsedonFeb6，2006．[18]梁知音．honeyd软件框架介绍．[DB／OL]http：／／icst．pku．edu．cn／honeynetweb／honeynetcn／TechnicalReport～S．htm．2004-10-30．[19]LanceSpitzner．TheValueofHoneypots．PartTwo：HoneypotSolutionsandLegalIssues。[EB／OL]http：／／wWw．securityfocus．com／infocus／1498．[20]陈飞，郭平等．Honeypot系统研究与比较[J]．后勤工程学院学报，2004—4，87-89．[21]马艳丽、赵战生、黄轩．Honeypot一网络陷阱[J]．计算机工程与应用，2003-39(4)，162-165．[22]NielsProvos．HoneydManual．Page．November2003．Pages卜6．http：／／www．citi．umich．edu／u／provos／honeyd／honeyd—man．pdf．[23]ZHOUYL，ZHUGEGW，XUN，etalMatrix，adistributedhoneynetanditsapplications[C]∥Proceedingsof20thAnnualFIRSTConference(FIRST’08)．[S1]：[sn]，Jun2008．[24]马莉波等．蜜罐部署分析．大连理工大学学报．2005-10，150-156．[25]SymantecCorp．SDS技术白皮书[Z]，2003．[26]伍伟．分布式Honeypot系统可视化配置的研究与实现．国防科学技术大学研究生论文．2006—4．[27]中国蜜网项目组2007年3月项目进展报告．[EB／OL]http：／／www．honeynet．org．cn／index．php?option=com_content&task=view&id=80&Itemid=33．[28]TheHoneynetProject：StatusReports．[DB／OL]http：／／old．honeynet．org／status／sr一200604．html．[29]ThehoneynetProject．Knowyouenemy：GeniiHoneynets，2005．[30]SimulationNetworksWithHoneyd．[DB／OL]http：／／paladion．net／papers／simulatingnetworksjith_honeyd．pdf[31]冯朝辉，范锐军，张彤．Honeynet技术研究与实例配置．计算机工程．2007．3． 中山大学硕士学位论文致谢致谢在本论文完成之际，谨对导师龙冬阳教授在我论文工作期间给予的关心和帮助表示最衷心的感谢。从一开始选题，龙老师就给予了极大关心，在研究过程中更是提出了很多宝贵意见，论文的修改也倾注了龙老师大量的精力和心血。一年多来，龙老师给了我很大帮助，他对待学生宽厚仁慈的品德让我很感动。龙老师广博的知识、严谨的治学态度使我受益匪浅，这些都是将使我终身受益的宝贵财富!还要感谢我的工作单位，公司为本课题的研究提供了基本的实验条件和丰富的素材；感谢我的同事与朋友，与他们的交流开阔了我的思路。感谢我的同学们，在学习和生活上给予我的帮助。感谢我的妻子，她为了让我安心完成学业，承担了所有家务；同时，对本课题材料的搜集和整理，付出了大量的心血；对于论文的撰写修改，提出了许多宝贵的意见。家永远是我最温馨最坚强的后盾!在此，我再一次对所有帮助和关心过我的老师和同学们致以深深的谢意162 基于蜜罐的企业安全防护系统作者：田军学位授予单位：中山大学本文链接：http://d.g.wanfangdata.com.cn/Thesis_Y1691933.aspx