基于網絡蜜罐技術的校園網絡安全方法研究

[摘要]信息時代的到來需要計算機網絡安全防護由被動防御轉為主動防御，從而使蜜罐技術在網絡對抗中日益受到重視。蜜罐是深入了解黑客的一種有效手段，并且可以提高網絡安全防護水平。本文通過分析校園網安全現狀和安全設計原則，通過Winsock編程，構建設計校園網蜜罐系統，并通過測試驗證了蜜罐系統在校園網中部署的可行性。

[關鍵詞]網絡安全 蜜罐技術 系統設計

一、校園網絡安全現狀與安全設計原則

（一）校園網絡安全現狀

從網絡安全的角度來看，整個網絡分為三大部分，第一部分為重點信息安全保護區；第二部分為校園網普通網絡區域；第三部分為外部網絡區域。國內校園網的安全問題有其歷史原因，因為意識與資金的原因，以及對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，常常只是在內部網與互連網之間放一個防火墻就萬事大吉，有些甚至直接連接互連網，這就給病毒、黑客提供了充分施展身手的空間。

校園網現在的工作系統大多是基于客戶/服務器模式和Intenret/Intranet網絡計算模式的分布式應用。在這樣一個分布式應用的環境中，學校的數據庫服務器、電子郵件服務器、WWW服務器、文件服務器、應用服務器等等每一個都是一個供人出入的“門戶”，只要有一個“門戶”沒有完全保護好，“黑客”就會通過這道門進入系統，竊取或破壞所有系統資源。如何保證和加強網絡的安全性和保密性對于校園網的正常、安全運行至關重要。

（二）校園網安全設計原則

1．安全性。網絡應在具有開放性的同時，保證其安全性。要制定合適的安全策略，建立有效的網絡安全制度；對資源訪問控制進行實時有效的監控，保證通信傳遞的安全性。

2．高可靠性。為保證信息能夠及時可靠地發布，信息中心的系統應能保障不間斷運行，在系統設計上應考慮關鍵部件采用冗余設計和容錯技術，通訊子網間應留有備用信道。

3．開放性。網絡信息中心所采用的技術遵循國際標準，不僅要和現有的設備能夠完全互連互通，而且能與未來網絡技術發展相適應，因此網絡系統須采用支持局域網、廣域網、路由等國際標準協議。

4．可擴展性。要充分考慮到今后網絡的發展，在網絡、服務器以及軟件系統的設計上保證系統性能能夠平滑升級，保護現有投資。

二、基于蜜罐系統若干關鍵技術研究

（一）蜜罐的分類

犧牲型蜜罐就是一臺簡單的為某種特定攻擊設計的計算機。犧牲型蜜罐實際上是放置在易受攻擊地點，假扮為攻擊的受害者，它為攻擊者提供了極好的攻擊目標。

外觀型蜜罐技術僅僅對網絡服務進行仿真而不會導致機器真正被攻擊，從而蜜罐的安全不會受到威脅。外觀型蜜罐也具有犧牲型蜜罐的弱點，但是它們不會提供犧牲型蜜罐那么多的數據。

測量型蜜罐建立在犧牲型蜜罐和外觀型蜜罐的基礎之上，測量型蜜罐為攻擊者提供高度可信的系統。由于記錄攻擊信息的原因，測量型蜜罐非常容易訪問但是很難繞過。與此同時，高級的測量型蜜罐還防止攻擊者將系統作為進一步攻擊的跳板。

（二）蜜罐系統設計思想

蜜罐系統要確定蜜罐的交互級別，因為研究型蜜罐是高交互的蜜罐系統。使用蜜罐的目的是希望了解黑客的攻擊方式，這就要求采集盡量完整的黑客活動信息。顯然，仿真技術不適合的需要，它所采集的到信息量太少、太單一。在高交互級別上應當提供給攻擊者一個真實的操作系統與之交互，這樣黑客不易發覺蜜罐主機的身份。

（三）蜜罐系統設計關鍵技術

1．端口重定向技術。端口重定向的特性允許終端會話期間運行的應用程序訪問客戶端上的串行與并行端口。重定向技術可以分為兩類，一類是客戶端重定向，一類是服務器端重定向。實現重定向是為了讓Hacker進入一個模擬的服務，從而使Hacker入侵的是一個蜜罐系統，而真實操作系統的服務并沒有開啟。

2．數據控制。蜜罐系統本身就可以模擬成一個操作系統，可以把其本身設定成為易攻破的一臺主機，例如，開放一些端口和設置脆弱口令，并設定出相應的回應程序，如在LINUX中的SHELL，和FTP程序，當攻擊者“入侵”進入系統（這里所指是HONEYPOT虛擬出來的系統）后，就相當于攻擊者進入一個設定“陷阱”，那么攻擊者所做一切都在其監視之中。

3．數據捕獲。數據捕獲是蜜罐系統的意義所在，完整的數據可以清楚地再現入侵者的一舉一動。在入侵者們不發現的情況下，捕獲盡可能多的數據信息。另外，捕獲到的數據不能放在欺騙主機上，否則很可能會被入侵者們發現，從而得知該系統是一個陷阱平臺。

三、校園網絡蜜罐系統設計與實現

（一）系統概述

在對校園網絡調研的基礎上，基于Windows操作系統設計，采用C語言開發，系統向校園網內和外界開放了虛擬的Linux操作系統下的Telnet服務，引誘黑客進入，這有利于保護真實的系統資源，同時獲取黑客的攻擊行為信息。整個系統由信息預處理模塊、信息處理模塊和日志記錄模塊三部分組成，其中信息預處理模塊和信息處理模塊構成了虛擬Telnet服務。

（二）功能模塊設計與實現

1．信息預處理模塊

設計的蜜罐功能是虛擬Linux系統下的Telnet服務，信息預處理模塊需要實現三個方面的功能：

（1）利用端口重定向技術綁定虛擬的Linux的Telnet的系統服務端口，在黑客侵入時，將黑客發送的命令導向虛擬系統。

（2）系統啟動時創建一個線程啟動監聽服務程序，等待有入侵者發送的指令，當黑客發送入侵指令的時候，提供連接給入侵者，并返回虛擬系統的假信息迷惑入侵者，使入侵者在未察覺的情況下，繼續入侵行為，并留下使用痕跡，同時創建一個新的線程等待另一個黑客入侵連接。

（3）當黑客入侵建立連接后，接受黑客的攻擊信息，同時發送相應模塊的響應信息給黑客。

2．信息處理模塊

主要實現模擬系統中的模擬信息能根據黑客的指令進行正確的顯示，以使黑客不會發現系統的虛假性，而誘使黑客繼續入侵行為。如入侵者在某臺終端輸入Linux指令后，信息處理模塊將根據輸入的指令，將虛擬系統的虛擬信息返回給入侵者，使入侵者感受到是進入了真實的用戶環境，因為是進行蜜罐系統的功能測試，所以只虛擬了部分Linux的指令，主要目的是通過這些指令來實驗蜜罐系統的功能是否能達到預期的目標。在能正確實現蜜罐功能后，通過增加關鍵字來實現更真實的Linux命令，使系統具有更強更大的迷惑性

3．日志記錄模塊

數據捕獲能夠獲得所有入侵者的行動記錄，這些記錄最終將有助于分析黑客所使用的工具、策略以及攻擊目的。這就實現日志記錄模塊的目的，它的主要功能就是收集和記錄黑客的攻擊行為。具體實現過程是捕獲蜜罐和黑客之間通信的數據包、為每一個黑客創建記錄文件（記錄文件名為黑客的IP地址）并記錄數據包包含的信息。由于虛擬的服務不提供任何實際的作用，因此其收集到的數據很少。

系統開發完成后，選定在校園網內進行蜜罐系統功能的測試，通過在一臺機器上運行服務程序，模擬出虛擬系統后，通過其他幾臺終端對蜜罐所在機器進行連接測試，并輸入操作命令，整個測試過程，蜜罐能夠及時響應輸入的命令，并能將使用痕跡進行準確的記錄，打開記錄文件，能看到與系統屏幕上實時監視的信息相同的內容，每一個黑客的不同連接能夠實現分開記錄。通過以上測試，驗證了蜜罐系統在校園網中部署的可行性，因此較好的實現了網絡蜜罐系統的功能。

參考文獻：

[1]王艷平著.Windows程序設計.北京:人民郵電出版社，2005.421-427．

[2]胡建偉，楊紹全．欺騙網絡體系框架研究．網絡安全技術與應用，2004（3）：20-23．

[3]熊明輝，蔡皖東．高交互型蜜罐的設計與實現．信息安全與通信保密，2005（2）：80-82．

（作者單位：浙江工業大學，溫州樂清中學）