蜜罐技術在網絡安全中的應用研究

陳向東，謝華成

CHEN Xiang-dong, XIE Hua-cheng

（信陽師范學院 網絡信息與計算中心，信陽 464000）

0 引言

計算機網絡的普及和應用，特別是電子商務及電子政務的快速發展，針對計算機網絡的各種攻擊手段及攻擊模式也呈現出快速發展之勢，網絡安全已經越來越重要。傳統的網絡安全防御工具，如：防火墻、殺毒軟件，入侵檢測系統(IDS)等，其運行機制大多是在網絡或主機的關鍵入口等待入侵者來襲，采用被動的防御方式。由于計算機系統以及網絡協議本身的設計缺陷，以及應用軟件的快速發展所帶來的安全隱患，這種基于已知事實攻擊特征所建立的入侵特征庫必然會產生一定的漏報和誤報。如何變網絡防御被動為主動是網絡安全研究者面臨的一個新問題。蜜罐(Honey pot)技術是一種主動的網絡安全誘騙技術，通過建立一個受嚴格監控的，真實的或者模擬的網絡誘騙系統來吸引入侵者的攻擊，并收集攻擊者入侵的行為和過程信息，對其特征進行分析，發現新的入侵行為，從而避免真實網絡系統受到侵害。

1 蜜罐的簡介

蜜罐(Honey pot)是一個包含漏洞的誘騙系統，它用真實的或虛擬的系統模擬一個或多個易受攻擊的主機，給入侵者提供一個容易攻擊的目標，蜜罐的價值在于被探測、被攻擊[1]。簡單的蜜罐可以用計算機所提供的仿真技術來模擬服務和漏洞，引誘攻擊者的入侵。由于蜜罐不對外提供有價值的服務，所以一切對蜜罐的訪問都被視為攻擊行為。網絡重定向技術能把攻擊行為重定向到蜜罐系統，進而消耗入侵者的時間和資源，可以避免對真實系統的攻擊。

網絡安全人員通過監控平臺實時監控到蜜罐系統所發生的一切行為，收集入侵者的入侵信息，分析其入侵方式和入侵工具，提取攻擊特征，發現新的入侵行為特征，更好地防患入侵的發生。

蜜罐的分類：按照部署蜜罐的目的可以分為：產品型和研究型蜜罐；按照交互等級的劃分可以分為：低交互、中交互和高交互蜜罐。代表性的蜜罐包括DTK、Honeyd、KFSensor和ManTraq等[2]。

蜜罐的優點：1）收集數據價值高：相比于IDS和防火墻來說，蜜罐收集的數據很少，但是卻具有極高的價值，基本不需要數據過濾，可以直接進行數據統計建模，分析入侵攻擊特征；2）搭建蜜罐系統所需資源少：防火墻和IDS在面對網絡的大流量時，會有資源耗盡的可能，一旦出現出現資源耗盡，就會丟包或者阻斷所有連接，導致無法為正常用戶提供服務；而蜜罐系統不存在這些問題，不需要占用大量資源，僅僅是普通的計算機就可以了。

2 蜜罐的拓撲結構

蜜罐的網絡部署如圖1所示，一般來講，網絡中可以部署幾個高度受控的網絡主機，簡稱蜜網(Honey net)，它是由多個蜜罐組成的一個高度受控的網絡[3]。蜜罐主機部署于防火墻之后，它可以是一個高交互的主機，向入侵者提供了一個完整的操作系統，在網絡中蜜罐主機看起來更加真實可信，很難被攻擊者察覺，是一個很好的研究攻擊行為的工具。

圖1蜜罐網絡架構中，包含了三個蜜罐主機、一個網關(Honey Wall)和一個管理控制中心。蜜罐用來收集入侵者的活動日志，并通過專用通道傳送到管理控制中心，經過對日志的分析處理，提取入侵特征，發現是否包含未知攻擊特征，來達到保護網絡安全的目的。

圖1 蜜罐的網絡位置

3 蜜罐中的核心技術分析

蜜罐的核心技術一般包括數據捕獲技術，數據控制技術以及數據分析技術等[4]。

數據控制技術：蜜罐要想收集攻擊者的活動日志，必須首先保證自身的安全。如果蜜罐被攻擊者攻陷，攻擊者就會破壞或者清除所收集的活動日志；或者以蜜罐為跳板向其它網絡發動攻擊，如：拒絕服務攻擊(DoS)。蜜罐系統既要對系統的外出流量進行限制，又要給攻擊者一定的活動自由與蜜罐網絡進行交互。對于所有進入蜜罐系統的連接記錄，蜜罐系統都允許進入；而對外出的連接要進行適當限制，或修改這些外出連接數據包目的地址，重定向到指定的主機，同時給攻擊者造成網絡數據包已正常發出的假象。

數據捕獲技術：數據捕獲就是在入侵者無察覺的情況下，完整地記錄所有進入蜜罐系統的連接行為及其活動。捕獲到的數據日志是數據分析的主要來源，通過對捕獲到的日志的分析，發現入侵者的攻擊方法、攻擊目的、攻擊技術和所使用的攻擊工具。一般來說收集蜜罐系統日志有兩種方式：基于主機的信息收集方式和基于網絡的信息收集方式[5]。

數據分析技術：數據分析就是把蜜罐系統所捕獲到的數據記錄進行分析處理，提取入侵規則，從中分析是否有新的入侵特征。數據分析包括網絡協議分析、網絡行為分析和攻擊特征分析等。對入侵數據的分析主要是找出所收集的數據哪些具有攻擊行為特征，哪些是正常數據流[6]。分析的主要目的有兩個：一個是分析攻擊者在蜜罐系統中的活動、掃描擊鍵行為、非法訪問系統所使用工具、攻擊目的何在以及提取攻擊特征；另一個是對攻擊者的行為建立數據統計模型，看其是否具有攻擊特征，若有則發出預警，保護其它正常網絡，避免受到相同攻擊。

4 蜜罐的實例配置

如圖1所示蜜罐系統，其中有三個蜜罐以及一個管理控制中心，構成的這個系統稱為蜜網，其中關鍵部分是HoneyWall，它是蜜罐與其它用戶之間的唯一連接點，是一個工作在數據鏈路層的橋接設備，所有進出蜜罐的數據流都要經過HoneyWall。HoneyWall有三個網卡，網絡接口Eth0與外網連接，Eth1與蜜罐系統連接，Eth2配置一個安全的內部網絡地址，通過接口Eth2可以把蜜罐系統收集到的網絡數據包和系統日志轉發到管理控制中心服務器。管理控制中心服務器負責對收集到的入侵數據日志進行處理和分析，并提取攻擊特征，發現新的攻擊特征。

本實驗環境將蜜罐網絡部署安裝在學校實驗室網絡當中，在網絡拓撲結構圖中，采用自包含虛擬蜜網架構，把各個組成部分都安裝在一臺機器上。按照Honeynet組織的定義：虛擬Honeynet是一種可讓你在一臺機器上運行所有系統的解決方案，運行在機器上的各個操作系統看起來與運行在單獨一臺機器的操作系統并沒有什么外觀上的區別[7]。蜜網的數據控制、數據捕獲和日志系統均在一個虛擬出來的蜜網網關的系統上實現，而所有的蜜罐仍然在另一臺主機上通過虛擬機實現，節省了部署多個物理蜜罐所帶來的資源代價。宿主機通過一塊網卡綁定兩個IP地址也用作管理日志服務器，蜜罐主機上的Sebek客戶端與日志服務器上的sebek服務器端來完成數據的傳送，采用單向通信的機制，圖2為蜜罐的實例配置圖，圖3為Sebek客戶端和服務器端通信機制。

圖2 蜜罐實例配置圖

圖3 Sebek的通信機制

HoneyWall是一臺Linux Redhat9.0的網關，安裝了HoneyWall CDROM—Roo，它集成了Iptables防火墻、蜜罐數據捕獲sebek客戶端以及Snort包抑制器三種功能，Iptables防火墻和Snort包抑制器用于數據控制及數據收集，它們所收集的數據量是所有通過網關的數據，數據量較大，并不用于數據分析的數據源，Sebek客戶端所收集的日志才是數據分析的數據源，Iptables和Snort收集的數據只作為其補充。HoneyWall網關中無需再另行配置Iptables防火墻和Snort包抑制器。其中宿舍主機(Ip為210.43.24.215)上用VMware虛擬出兩臺Windows XP系統和一臺Linux Redhat系統，其中宿主機也當作管理控制中心服務器，用作存放蜜罐主機所收集的日志記錄，這樣保證了日志記錄遠程存放的安全性。

Honeywall CDROMroo-1.4.h w-20090425114542.iso的下載地址鏈接：https://projects. honeynet.org/honeywall/.Sebek-Win32-latest.zip

客戶端下載地址鏈接：https://projects.honeynet.org/sebek。

HoneyWall網關ROO的安裝配置可以參照參考文獻[8]，需要配置相關環境的一些參數，目前ROO不支持不同網段的蜜罐IP，本系統三個蜜罐IP分別為210.43.24.216、210.43.24.217、210.43.24.218。由于在蜜罐系統只能識別四種協議：TCP、UDP、ICMP和除這三種協議之外的其它協議統稱為OTHER，在對數據控制時，要對各協議設置單位時間內發送包的上限，對于超出發送上限包的方式處理有三種：Drop、Reject和Replace。蜜罐的配置：Sebek客戶端對數據包的處理有Drop、Drop and Log、Accept和Accept and Log四種方式[9]。

在Windows平臺下sebek客戶端可以直接安裝。在Linux平臺下安裝sebek客戶端需要理改sbk_install.sh文件，更改各個對應的參數如下：

參數設置后就可以進行安裝了，安裝命令如下：

安裝后可以用Ping命令來測試與宿主機是否連通，監聽ICMP命令是否通過Eth0和Eth1網口

若監聽到ICMP命令，說明蜜罐機與宿主機連接成功。

5 結束語

本文介紹了蜜罐系統及其核心技術，并借助現有蜜罐工具搭建了一簡易的蜜罐網絡，實現了蜜罐的主要功能，但仍有不足，比如：如何對收集到的數據進行分析，這也是蜜罐技術的難點和今后的研究方向。蜜罐技術作為一種主動的網絡安全技術，有力地彌補了傳統網絡安全技術被動的缺點，在反蠕蟲病毒，僵尸網絡及遏制垃圾郵件方向都有極好的應用效果。隨著網絡技術的不斷發展，蜜罐技術的理論和實現也將不斷完善，與其它網絡安全技術相互協同工作，一起保護網絡的安全，促進整個網絡安全體系結構的發展。

[1]Honeynet Project.Know Your Enemy:GenII Honeynets[EB/OL].http://old.honeynet.org/papers/honeynet/index.html,2006-5-31.

[2]曾曉光,鄭成輝,賴海光,等.基于Honeyd的產品型蜜罐系統[J].鄭州大學學報,2010.3(42):63-66.

[3]馬勝甫,孟雅輝,田俊峰,等.蜜罐與入侵檢測協作模型的研究[J].計算機工程與應用,2005.41(31):127-130.

[4]程仁杰,殷建平,劉運,等.蜜罐及蜜網技術研究進展[J].計算機研究與發展,2008.45:375-378.

[5]https://projects.honeynet.org/.[EB/OL].

[6]Zi Chen Li,Xiao jia li,Lei gong.Proceedings of the Third International Symposium on Computer Science andComputational Technology(ISCSCT'10).August 2010:336-337.

[7]胡義召,王貞,安利.虛擬蜜網的設計與實現[J].計算機工程與科學,2009.31(8):21-23.

[8]諸葛建偉.在Win32平臺上基于VMware軟件部署并測試第三代虛擬蜜網[R].北京:北京大學計算機科學技術研究所,2006.

[9]馮朝輝,范銳軍,張彤.Honeynet技術研究與實例配置[J].計算機工程,2007.33(5):132-134.