摘要: 蜜罐作為一種主動(dòng)的安全防御技術(shù)被引入網(wǎng)絡(luò)安全領(lǐng)域。它的價(jià)值體現(xiàn)在它希望被攻擊和威脅以獲得攻擊者更多的信息和攻擊技術(shù)。同時(shí)通過(guò)吸引攻擊者的攻擊而保護(hù)真正的系統(tǒng)。

關(guān)鍵詞:蜜罐;入侵檢測(cè);防火墻

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2009)25-7125-02

The Honeypot Technology Application In Intrusion Detection System

CHEN Hao1， WU Qi-ming2

(1.Shenzhen Polytechnic Computer Center，Shenzhen 518055，China;2.Department of Computer and Information Science，Hechi University，Yizhou，Guangxi 546300，China)

Abstract: A honeypot as a kind of active security protecting technology is introduced to thearea of the network security. Its value manifests that it is intended to be attacked andcompromised to gain more information about the attacker and his attack techniques. Itcan also be used to attract and divert an attacker from the real targets.

Key words:honeypot; IDS; firewall

信息系統(tǒng)安全技術(shù)在不斷提高，安全模型也在不斷發(fā)展。過(guò)去主要是被動(dòng)的防護(hù)，現(xiàn)在則增加入侵檢測(cè)和響應(yīng)，以及主動(dòng)安全防御措施。傳統(tǒng)意義上的信息安全機(jī)制，一般都屬于被動(dòng)防御，如防火墻、入侵檢測(cè)系統(tǒng)、加密等。它們的策略是考慮系統(tǒng)可能出現(xiàn)哪些問(wèn)題，然后針對(duì)問(wèn)題進(jìn)行分析解決，以此來(lái)保護(hù)我們的信息資源。然而，隨著攻擊技術(shù)的不斷發(fā)展，現(xiàn)有防護(hù)技術(shù)對(duì)新的攻擊技術(shù)往往不能識(shí)別，總是處于被動(dòng)地位。因此一些研究機(jī)構(gòu)提出了欺騙性安全防御技術(shù)，為安全防御措施增加了主動(dòng)性。這些欺騙性安全防御技術(shù)主要通過(guò)設(shè)置與真實(shí)的系統(tǒng)相似的欺騙性目標(biāo)，使攻擊者相信信息系統(tǒng)存在可利用的安全脆弱性，并具有一些有價(jià)值的、可攻擊和竊取的資源，從而將攻擊者引向這些資源，使其偏離正確目標(biāo)。同時(shí)，它又能夠顯著地增加攻擊者的工作量、入侵復(fù)雜度以及不確定性，從而使攻擊者不知道其進(jìn)攻是否奏效或成功，影響其攻擊其他系統(tǒng)。

1 蜜罐

1.1 蜜罐的定義

Lance Spitzner 對(duì)蜜罐的定義是:“蜜罐是一個(gè)資源，它的價(jià)值在于它會(huì)受到攻擊或威脅。這意味著一個(gè)蜜罐希望受到探測(cè)、攻擊和潛在地被利用。蜜罐并不修正任何問(wèn)題，它們僅為我們提供額外的、有價(jià)值的信息。”因此上說(shuō)無(wú)論我們將什么指定為一個(gè)蜜罐，直接的目標(biāo)就是使該系統(tǒng)被探查、被攻擊和被潛在地利用。從實(shí)現(xiàn)上看，蜜罐是一類工具:它只模擬其它系統(tǒng)或應(yīng)用、創(chuàng)建一個(gè)被禁錮環(huán)境、或是標(biāo)準(zhǔn)的被拼成的系統(tǒng)。無(wú)論如何建立和使用蜜罐，它的價(jià)值首先就體現(xiàn)在它打算被攻擊。

因此，蜜罐技術(shù)的核心思想比較簡(jiǎn)單:它是一個(gè)故意要被威脅(期待黑客闖入)的系統(tǒng)，進(jìn)出蜜罐的所有流量都是可疑的，因此都可以被認(rèn)為是攻擊流量而得到進(jìn)一步的檢測(cè)和分析。

1.2 蜜罐的作用

蜜罐有兩種類型:產(chǎn)品型蜜罐和研究型蜜罐。

1.2.1 產(chǎn)品型蜜罐

產(chǎn)品型蜜罐用于增加一個(gè)組織機(jī)構(gòu)所處環(huán)境的安全性并降低其風(fēng)險(xiǎn)。可以從安全的三個(gè)領(lǐng)域進(jìn)行分析，看它是如何增加系統(tǒng)的安全性的。這三個(gè)領(lǐng)域是:預(yù)防、檢測(cè)和響應(yīng)。而其主要作用是檢測(cè)。對(duì)于預(yù)防來(lái)講，蜜罐所起的作用不大，因?yàn)槊酃薏荒茏柚箶橙诉M(jìn)入。蜜罐對(duì)攻擊者可以起到一定的欺騙和威懾作用。欺騙概念是使攻擊者浪費(fèi)時(shí)間和資源去攻擊蜜罐，而不去攻擊真正的生產(chǎn)性(production)系統(tǒng)。蜜罐大大地提高了檢測(cè)的能力。一般來(lái)講，檢測(cè)攻擊經(jīng)常是一件極其困難的事情，會(huì)被正常的生產(chǎn)性活動(dòng)所淹沒(méi)，如果有數(shù)千兆的系統(tǒng)日志，很難從中檢測(cè)到什么時(shí)候系統(tǒng)已經(jīng)被攻擊和使用了。檢測(cè)常見的問(wèn)題就是:誤報(bào)、漏報(bào)和數(shù)據(jù)聚集。誤報(bào)是系統(tǒng)錯(cuò)誤地警報(bào)了可疑或惡意行為，系統(tǒng)認(rèn)為是一個(gè)攻擊或漏洞利用企圖而實(shí)際上是有效的生產(chǎn)性數(shù)據(jù)流量。大多數(shù)蜜罐無(wú)真實(shí)的生產(chǎn)性流量，所以幾乎不會(huì)產(chǎn)生誤報(bào)。漏報(bào)出現(xiàn)在 IDS 系統(tǒng)沒(méi)有正確地檢測(cè)到有效的攻擊。蜜罐能夠消除漏報(bào)，因?yàn)閷?shí)施新的漏洞利用并不容易躲避和戰(zhàn)勝蜜罐。事實(shí)上，蜜罐的主要價(jià)值就在于它們可以檢測(cè)新的或未知的攻擊。蜜罐可以很恰當(dāng)?shù)夭蹲降絹?lái)的任何攻擊。蜜罐一天僅產(chǎn)生幾兆字節(jié)的數(shù)據(jù)，大部分的數(shù)據(jù)具有很高的價(jià)值，這使得極容易診斷來(lái)自蜜罐的有用的信息，從根本上解決了大量的數(shù)據(jù)聚集帶來(lái)的——如何收集在檢測(cè)和確認(rèn)攻擊中所有有價(jià)值數(shù)據(jù)的問(wèn)題。蜜罐可以簡(jiǎn)化檢測(cè)過(guò)程。所有進(jìn)出蜜罐的連接都是可疑的。任何時(shí)候前往蜜罐的連接很有可能是一個(gè)未被授權(quán)的探查、掃描、或攻擊。這有助于減少誤報(bào)和漏報(bào)，大大地簡(jiǎn)化了檢測(cè)過(guò)程。

1.2.2 研究型蜜罐

研究型蜜罐提供給我們一個(gè)平臺(tái)來(lái)研究這些計(jì)算機(jī)威脅。提供更好的方法去了解入侵者，觀察他們的行動(dòng)，當(dāng)他們攻擊系統(tǒng)時(shí)一步步地進(jìn)行記錄，更有意義的是了解他們?cè)谕{一個(gè)系統(tǒng)后做了些什么。這種情報(bào)收集是蜜罐最獨(dú)特的特性。同樣，研究型蜜罐在捕捉自動(dòng)化的攻擊方面是極好的工具，如 auto-rooter 或計(jì)算機(jī)網(wǎng)絡(luò)“蠕蟲”。因?yàn)檫@些攻擊以整個(gè)網(wǎng)絡(luò)為目標(biāo)，研究型蜜罐可以很快地捕捉這些攻擊以供分析之用。

1.3 蜜罐的放置

蜜罐可以放置在三個(gè)位置:防火墻前面(Internet)、DMZ、在防火墻后面(intranet)

2 入侵檢測(cè)系統(tǒng)(IDS)

入侵檢測(cè)系統(tǒng)利用硬件、軟件或兩者的結(jié)合對(duì)單個(gè)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的惡意行為進(jìn)行監(jiān)控并能夠?qū)粽咴谶m當(dāng)?shù)臅r(shí)間做出響應(yīng)。根據(jù)入侵檢測(cè)系統(tǒng)對(duì)惡意行為的搜集來(lái)源， 入侵檢測(cè)系統(tǒng)分為基于主機(jī)(HIDS)和基于網(wǎng)絡(luò)(NIDS)兩種。

3 蜜罐在入侵檢測(cè)中的應(yīng)用

在個(gè)系統(tǒng)中既安裝入侵檢測(cè)系統(tǒng)又配置蜜罐系統(tǒng)，同時(shí)利用ID S的檢測(cè)和蜜罐系統(tǒng)的誘惑功能。利用動(dòng)態(tài)蜜罐系統(tǒng)和入侵檢測(cè)系統(tǒng)組建防御系統(tǒng)基本結(jié)構(gòu)。在虛擬蜜罐系統(tǒng)中設(shè)置IP地址空間欺騙模塊、數(shù)據(jù)捕捉模塊和系統(tǒng)及服務(wù)模塊，在單個(gè)系統(tǒng)中模擬小同的主機(jī)系統(tǒng)和多個(gè)服務(wù)。在整個(gè)系統(tǒng)中需要利用重定向功能，入侵檢測(cè)系統(tǒng)在檢測(cè)到帶有惡意性質(zhì)的訪問(wèn)者時(shí)將連接轉(zhuǎn)移到物理蜜罐。同樣，若網(wǎng)絡(luò)內(nèi)部的惡意訪問(wèn)者闖入蜜罐系統(tǒng)，虛擬蜜罐也叫以利用自身的重定向模塊把訪問(wèn)者重新引導(dǎo)到物理蜜罐。

4 蜜罐在入侵檢測(cè)中部署及實(shí)現(xiàn)

將蜜罐技術(shù)嵌入到入侵檢測(cè)系統(tǒng)中，我們要解決以下問(wèn)題:IP 地址欺騙;數(shù)據(jù)捕捉;端口重定向;系統(tǒng)和服務(wù)模擬。

4.1 IP 地址欺騙

利用 ARP 地址解析協(xié)議，通過(guò) IP 地址空間欺騙達(dá)到增加黑客的搜索空間， 提高蜜罐利用率的目的。

4.2 數(shù)據(jù)捕捉

處于混雜模式的網(wǎng)絡(luò)接口卡把所有流經(jīng)的數(shù)據(jù)幀上傳到網(wǎng)絡(luò)層， 網(wǎng)絡(luò)層處理程序?qū)?shù)據(jù)報(bào)進(jìn)行 IP 地址判斷， 如果是本機(jī) IP 則繼續(xù)上傳， 否則丟棄。這樣， 即使網(wǎng)卡處于混雜模式， 上層應(yīng)用程序也捕捉不到 IP 地址不搭配的數(shù)據(jù)。分組捕獲機(jī)制解決了這一問(wèn)題， 不同的操作系統(tǒng)具有不同的包捕獲機(jī)制。對(duì)于應(yīng)用程序的開發(fā)者， 只需要利用針對(duì)底層捕獲機(jī)制而開發(fā)的庫(kù)或接口編寫應(yīng)用程序去捕獲還

4.3 端口重定向

IDS 檢測(cè)到入侵者后， 利用重定向把入侵者重定向到蜜罐系統(tǒng)。當(dāng)有對(duì)工作系統(tǒng)中未開啟端口的訪問(wèn)時(shí)， 把訪問(wèn)重定向到蜜罐系統(tǒng)中進(jìn)行欺騙、跟蹤。代理模式和直接響應(yīng)模式是重定向的兩種模式， 代理模式將外部連接經(jīng)過(guò)地址轉(zhuǎn)換后通過(guò)代理發(fā)送到蜜罐系統(tǒng)。直接響應(yīng)模式利用重定向程序?qū)⑼獠窟B接請(qǐng)求轉(zhuǎn)發(fā)到蜜罐系統(tǒng)， 由蜜罐服務(wù)器直接與外部建立一個(gè)連接。

4.4 系統(tǒng)和服務(wù)模擬

物理型蜜罐利用真實(shí)的主機(jī)提供多種真實(shí)的服務(wù)， 但是代價(jià)和風(fēng)險(xiǎn)高。虛擬蜜罐模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)， 部署方便風(fēng)險(xiǎn)小。服務(wù)模擬是虛擬蜜罐不可缺少的部分，沒(méi)有服務(wù)就招不來(lái)入侵者。以Shell或Perl語(yǔ)言編寫腳本文件是模擬網(wǎng)絡(luò)服務(wù)的兩個(gè)途徑。

5 結(jié)束語(yǔ)

實(shí)驗(yàn)證明，通過(guò)建立蜜罐系統(tǒng)，能夠?qū)崿F(xiàn)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)拓?fù)涞哪M，形成的虛擬系統(tǒng)和網(wǎng)絡(luò)成功欺騙了攻擊者;同時(shí)能夠?qū)粽叩男畔⑦M(jìn)行收集和進(jìn)一步的分析。蜜罐、防火墻、入侵檢測(cè)、被動(dòng)探測(cè)等多項(xiàng)網(wǎng)絡(luò)安全技術(shù)的綜合應(yīng)用，對(duì)構(gòu)建主動(dòng)的安全防御體系，提高實(shí)際生產(chǎn)性系統(tǒng)的安全，發(fā)現(xiàn)并確定攻擊者等方面可以發(fā)揮重要的作用。

參考文獻(xiàn):

[1] 崔志磊，房嵐. 一種全新的網(wǎng)絡(luò)安全策略——蜜罐及其技術(shù)[J]. 計(jì)算機(jī)應(yīng)用與軟件，2004，21(2):99-100.

[2] 王璐， 秦志光. 業(yè)務(wù)蜜網(wǎng)技術(shù)與應(yīng)用[J]. 計(jì)算機(jī)應(yīng)用， 2004，24(3): 43-45.

[3] Paul E.Proctor. 入侵檢測(cè)使用手冊(cè)[M]. 鄧琦皓， 許鴻飛， 張斌，譯. 北京: 中國(guó)電力出版社， 2002.