蜜罐技術在校園網系統中的應用研究

賀文娟

（安徽科技學院理學院計算機公共教學部，安徽鳳陽 233100）

蜜罐技術在校園網系統中的應用研究

賀文娟

（安徽科技學院理學院計算機公共教學部，安徽鳳陽 233100）

隨著網絡技術的發展，網絡安全問題日益嚴重.通過蜜罐技術，建立一個新型的主動防御的校園網安全系統.該系統可誘使攻擊者連接蜜罐，進而可以收集到攻擊者的相關信息.通過蜜罐技術結合傳統的網絡安全工具，可以保障校園網的正常運行.

蜜罐；校園網；主動防御

1 引言

校園網作為學校正常運轉的重要組成部分之一，對提高工作效率起到了重要的推動作用.但我們在享受網上便捷辦公的同時，也面臨著校園網的諸多安全問題：蠕蟲病毒，拒絕服務，各種網絡攻擊層出不窮，甚至影響到學校的正常教學工作.因此，構建一個安全的校園網絡系統成為眾多高校面臨的急需解決的問題之一.

目前校園網的安全體系是由傳統的網絡安全工具搭建，校園網是處于被動防御狀態，而蜜罐是一種主動防御技術，蜜罐可以及時發現攻擊者的活動，記錄下攻擊者的攻擊方法和攻擊工具.通過分析蜜罐中的數據，我們可以得到攻擊者的相關信息，及時發現系統漏洞.蜜罐技術結合傳統的網絡安全技術可以構建一個新型的主動的校園網絡安全系統.

2 蜜罐技術

蜜罐的定義是由“蜜罐項目組”的創始人Lance Spitzner給出的：蜜罐是一種安全資源，其價值體現在被黑客探測、攻擊或者摧毀的時候[1].蜜罐是事先設置好的系統，在蜜罐中安裝各種偽造的有“價值”的信息作為誘餌，等待攻擊者的攻擊.蜜罐系統收集到的信息是研究攻擊者攻擊方法、攻擊技術和攻擊目標的重要資料.蜜罐系統在攻擊者看來是非常具有吸引力的系統，由于蜜罐一般不含真實而有價值的數據，因而不會對重要數據和系統構成威脅[2].

攻擊者可能會攻擊網絡上的正常工作系統，如果這個系統帶有特定資源，那么被攻擊的可能性會比較大.我們可以將蜜罐布置在系統中，將攻擊者引入蜜罐，降低正常工作系統被攻擊的可能性.并且蜜罐可以記錄下攻擊者的各種攻擊數據，這些數據是研究黑客技術的重要資料.

在蜜罐系統中，布置一些帶有漏洞的主機作為誘餌，也可以安裝一些網絡服務和信息資源引誘攻擊者攻擊蜜罐系統.蜜罐系統可以監控攻擊者的攻擊行為，記錄下攻擊者的攻擊過程，通過分析數據，可以知道攻擊者的攻擊方法，采用的攻擊工具和攻擊目的，而且對未知的新型攻擊也有著很好的防御作用.蜜罐的作用就是用來被探測，被攻擊甚至被攻陷.蜜罐本身沒有正常的工作，它捕獲到的數據都是攻擊者的攻擊，所以它提供的數據都是有價值的數據.因此蜜罐是其他傳統的網絡安全工具不能取代的新型的主動防御工具.

3 蜜罐的分類

蜜罐的分類方法有很多種，按照蜜罐與攻擊者之間的交互程度可以將蜜罐分為3類：低交互蜜罐、中交互蜜罐和高交互蜜罐.這3種不同的蜜罐也可以說是蜜罐在被入侵程度上的不同，三者之間并沒有明確的分界[3].

（1）低交互蜜罐

低交互蜜罐沒有提供操作系統，只是通過一些端口監聽來實現一些虛擬服務，是一種最簡單配置的蜜罐，不能獲得通過復雜協議傳輸的數據.低交互蜜罐系統如圖1所示.

（2）中交互蜜罐

中交互蜜罐仍然沒有提供真實的操作系統，只是對真實系統的模擬，但是比低交互蜜罐提供了更多的交互信息，可以記錄下更復雜些的攻擊手段.整個系統有可能被攻擊者攻破，所以要定期檢查蜜罐系統，及時了解蜜罐狀態.中交互蜜罐系統如圖2所示.

（3）高交互蜜罐

高交互蜜罐包含一個真實的操作系統，可以提供真實的服務.攻擊者可以與操作系統和真實的服務進行交互，高交互蜜罐可以得到更多的攻擊者的攻擊信息.在構建高交互蜜罐系統時，必須采取有效的措施，防止蜜罐系統被攻陷后，作為攻擊者的跳板攻擊正常的系統.高交互蜜罐系統如圖3所示.

圖1 低交互蜜罐系統

圖2 中交互蜜罐系統

圖3 高交互蜜罐系統

4 基于蜜罐的校園網總體設計

（1）系統設計目標

一方面校園網要防御來自外部的攻擊，另一方面對于來自系統內部的攻擊也要有相應的安全措施.校園網具有硬件設施投入比較大，而管理和維護方面的投入較少的特點，所以來自內部的攻擊更容易造成校園網的癱瘓.因此通過蜜罐技術，結合傳統的網絡安全工具，設計并構造一個具有主動防御功能的校園網絡系統.

（2）系統模型

P2DR模型最早是由ISS公司提出的動態安全模型[4]，安全策略、防護、檢測和響應是該模型的四個組成部分.依據P2DR模型建立一個基于蜜罐技術的校園網系統.

新的校園網系統面臨七個技術問題：入侵檢測、入侵行為控制、入侵行為分析、入侵行為記錄、服務模型、行為捕獲和數據融合.在安全策略的基礎上，發揮已有的網絡安全工具的作用，并結合蜜罐技術，提出校園網安全系統模型，如圖4所示.

（3）系統結構

依據上面的模型，校園網安全系統由三個模塊組成.分別是數據捕獲模塊、數據控制模塊、日志管理模塊.系統結構圖如圖5所示.

①數據捕獲模塊

蜜罐的作用就是捕獲數據.蜜罐是模擬系統，它能使攻擊者誤認為這是一個真實的系統，誘導攻擊者攻擊蜜罐系統，蜜罐可以捕獲到攻擊者的相關數據.由于蜜罐模擬了操作系統的部分指令，我們可以通過測試這些指令來查看蜜罐的功能是否滿足系統的要求.Proc.c初始化模塊調用其他子程序.String.c擊鍵提取模塊作用是從網絡中抓取數據包并分析組合成可查看的擊鍵序列.

②數據控制模塊

數據控制模塊是蜜罐系統的核心模塊.如果它被攻破，攻擊者就會對蜜罐系統進行修改，更甚者整個系統可能會被攻擊者控制.數據控制可以分層來實現功能.本系統中采用防火墻和路由器的雙重控制.防火墻允許所有的入站鏈接，但是對于出站鏈接進行控制.蜜罐一旦有向外的鏈接，就說明蜜罐系統很有可能被攻擊者攻破.一般情況下，對外鏈接允許5至10個比較合適.也可以通過路由器的訪問控制功能過濾數據包.

③日志管理模塊

日志管理模塊就是一臺計算機，將蜜罐捕獲的數據進行遠程備份，主要是防止蜜罐系統被攻擊者攻破，攻擊者將其上的日志刪除或者惡意修改.

圖4 基于蜜罐系統的校園網安全系統模型

圖5 基于蜜罐系統的校園網安全系統結構

5 系統測試

圖6 攻擊者端運行界面

（1）測試環境

使用虛擬機技術，采用一臺配置比較高的計算機作為蜜罐系統，該計算機硬件配置為雙核處理器，2G內存，兩塊硬盤，兩塊網卡.采用另外一臺計算機作為測試主機，IP地址為192.168.51.70.

（2）功能測試

兩個蜜罐的IP地址為192.168.51.130、192.168.51.131，被攻擊主機的IP地址為192.168.51.200.圖6是攻擊者端的顯示信息，可以得出該系統可以對攻擊者進行有效欺騙.

下面測試蜜罐系統是否可以記錄下攻擊者的攻擊行為.圖7是蜜罐系統的運行界面，表明蜜罐系統可以正常運行.

6 結語

圖7 蜜罐系統的運行界面

通過系統測試，我們驗證了在校園網中部署蜜罐的可行性.可以做到讓攻擊者連接蜜罐，并準確記錄下攻擊日志.進而可以通過日志的分析，及時掌握攻擊者的情況.蜜罐技術結合傳統的網絡安全工具、防火墻、入侵檢測技術，可以建立一個新型的校園網安全系統.

[1]Lance Spiizner.Honeypot：追蹤黑客[M].北京：清華大學出版社，2004：20-50.

[2]LanceSpitzner.TheValueofHoneypots.PartOne：DefinitionsandValuesofHoneypots[EB/OL].2006.http：//www.spitzner.net.

[3]諸葛建偉.蜜罐及蜜網技術簡介[EB/OL].2006-02-24.http：//read.pudn.com/downloads68/doc/245219/honeypot.pdf.

[4]李江，張峰，秦志光.Telnet和FTP協議下跟蹤用戶操作的一種方法[J].計算機應用，2003（8）：133-135.

An Applied Research into School Network System Based on Honeypot Technology

HE Wen-juan
(Computer Public Teaching Department of College of Science,Anhui Science and Technology University,Fengyang 233100,China)

With the development of network technology,network security problems have become more and more serious.By means of honeypot technology,a new type of active defense of the school network safety system is created in this paper.This system can make the attacker connect honeypot and collect the attacker's related information.In combination with honeypot technology and traditional network security tools,the normal operation of the school network can be guaranteed.

honeypot;school network;initiative protection

TP393.08

A

1008-2794（2012）10-0121-04

2012-04-12

安徽科技學院青年基金項目“蜜網技術在網絡中的應用”（ZRC2011275）

賀文娟（1982—），女，安徽蚌埠人，助教，碩士，研究方向：網絡安全，數據庫.