試論蜜罐系統的設計

摘 要：現如今，電腦技術日益更新，人們對電腦的操作技術不斷進步，有些技術專員癡迷電腦，自憑借高超的電腦技術，認為自己在計算機方面的天賦過人，希望達到毫無顧忌地非法闖入某些敏感的信息禁區或者重要網站的水平，以竊取重要的信息資源、篡改網址信息或者刪除該網址的全部內容等惡作劇行為作為一種智力的挑戰而自我陶醉。但這就對別人的電腦系統安全性發起了極大的挑戰，為了研究黑客入侵的方式，大膽提出了“蜜罐系統“，本文將對蜜罐系統展開分析，與大家共同分享“蜜罐系統“。

關鍵詞：蜜罐系統；防火墻；防御功能

引言

一般來講，設置蜜罐系統的主要目的是對外來的網絡流量進行分析，它把任意一個進入到蜜罐系統內的網絡流量都設想成假想敵，對它進行數據分析，從而得到這一外來流量的目的和它入侵的方式。

我們可以利用蜜罐系統進行對入侵的網絡流量極大的警惕性，對外來的數據流量都進行數據分析和異常檢測，此時我們再蜜罐系統上加裝報警系統，這樣一來系統就可以再第一時間檢測到入侵的外來網絡流量并發出預警，提示人們有異常情況發生，以便提前做好網絡防御工作，可以在很大程度上減少計算機系統被惡意網絡流量進攻的可能性。

1 設計目標

有了報警蜜罐系統的設想后，計算機技術人員就可以按照技術需求進行系統設計。在這里，我們提到的即時報警蜜罐系統的工作目標如下：

第一，通過在計算機里安裝蜜罐系統，與現代先進的網絡安全技術，以此來達到在惡意入侵的網絡流量時發出預警。此外，還可以增加系統中蜜罐的數量以及隨需求的不同更換蜜罐的功能。

第二，可以做到對計算機系統內的網絡流量進行監測，不僅可以對已經入侵的惡意流量進行監控，還可以對網絡中潛存的網絡漏洞進行預警，這樣更大大加強了計算機的安全性能。

第三，要為進出計算機蜜罐系統創造一個良好的工作環境，蜜罐相對而言比較開放，而它的工作原理又是針對所有的外來入侵網絡流量，所以，要對能夠進出計算機系統的流量進行嚴格控制，最好能夠斷開與外界的聯系。

第四，即時記錄下蜜罐系統的工作記錄是很有必要的。

第五，蜜罐系統的操作界面可視，這樣可以更加直觀的對檢測到的數據進行查看和分析，實現即時報警功能。

2 蜜罐系統結構

總體上看，防火墻、IDS、蜜罐主機、日志服務器和異常檢測構建了蜜罐系統。具體來講，他們分別具有不同的作用，防火墻和IDS二層數據用于對網絡數據的控制，除了日志服務器用于對網絡數據的分析和預警以外，其它四項共同用于網絡數據的搜集。

打個比方，蜜罐系統就如同一個安全報警器被放置在一個密閉的盒子里，它不會對盒子內本身的IP請求發生預警，而當盒子以外的網絡流量請求進入盒子即是請求進行ARP[18]欺騙時，如若此時的端口和服務已經開啟，盒子內的蜜罐系統會第一時間與入侵的網絡流量進行交互，當然這是在偽裝成為平時的計算機的面目下。這時，蜜罐系統內部就會啟動異常檢測功能，對外來的流量進行數據采集和分析，經過計算后若認為是惡意流量就會發出預警通知人們。這樣，計算機技術人員就可以通過可視功能的蜜罐系統采取相應的保護措施。我們主要講一下防火墻，它在一定程度上也保護了蜜罐系統，通過它來嚴格控制數據，這樣就可以防止惡意入侵者利用蜜罐主機進行網絡破壞。然后通過IDS記下進出局域網的異常數據和預警，一旦發生惡意入侵時，技術人員就可以通過IDS的記錄拿到第一手詳細可靠的數據資料得知入侵的具體情況。而這一切活動都蜜罐系統的日志服務器都會自動記錄下來。

所以，我們可以講蜜罐系統大致分為五個模塊：管理模塊、防御和入侵檢測模塊、異常檢測模塊、蜜罐模塊和遠程日志模塊。

3 主要模塊設計

3.1 管理模塊

總體來講此模塊的主要功能是進行系統內的管理和配置，同時對日志服務器記錄下的數據信息進行數據分析。

①對防火墻Iptables的圖形化管理，即在Linux下利用Gtk開發了一個圖形化的Iptables管理工具。由于Linux下對Iptables的管理都是通過命令進行的，造成對Iptables的規則的增加、刪除和查看不方便和靈活，所以本文設計開發了Iptables的圖形管理工具，使得對Iptables規則的增加、刪除和查看更加直觀，減少了誤操作的發生。

②可以進行Snort日志的Web界面化管理。通過ACID技術和數據庫可以進行界面化管理甚至可以設置數據進行篩選。

3.2 防御和入侵檢測模塊

防御和入侵檢測模塊，主要有以下功能：

① 通過防火墻對外來數據流量的控制能力，來實現蜜罐系統與外界網絡環境的交互控制，并記錄下發生日志，這樣的大大降低了蜜罐系統受侵害的可能性。

② 利用IDS可以時刻收集網絡數據，這樣就能夠對當時的網絡流量進行即時監控和數據研究，并將此記錄到系統內部進行保存，以待他日使用。

3.3 異常檢測模塊

蜜罐系統對外來進入局域網的數據流量的極其敏感性形成了蜜罐系統的異常檢測模塊。它絲毫不停歇的即時記錄和收集進入局域網的數據流量，并對此進行詳細的數據分析。在此模塊中，使用異常檢測中的閉值方法，通過比對外來網絡流量的主要信息和正常流入網絡流量的主要信息進行智能比對，一旦外來網絡流量的數據信息超過系統預先設定的數據就會自動報警，同時在第一時間開啟設定的計算機保護程序，以此完成網絡保護工作。此外，網絡管理員也可以進行手動操作來保護網絡，即在收到系統發出的預警信息后將系統檢測到的異常IP地址拉入防火墻的黑名單，使之不能夠在進入局域網之中，這樣也可以降低系統唄入侵的風險。

3.4 蜜罐模塊

通俗來講，此模塊就是引誘入侵流量的誘餌，建立一個良好的蜜罐環境引誘惡意入侵者。這樣一切都通過honeyd軟件進行操作。Honeyd軟件具有以下性能優勢：

①honeyd軟件的目標性更強。只檢測一個網絡內不存在IP的連接并根據它的配置來響應服務。

②honeyd軟件可以虛擬出大量的蜜罐，這些蜜罐之間可以是操作系統之間的松散藕合，也可以是緊密相關的網絡拓撲結構，并用對操作系統的模擬不僅僅是在應用程序級，而且可以在IP棧級上。

③honeyd具有指紋匹配功能，能欺騙入侵者的指紋識別工具。鑒于設計蜜罐系統的目的既要捕獲入侵者的行為，又要保護網絡內其它正常運行的計算機，所以需要大量的入侵信息去分析統計。

3.5 遠程日志模塊

遠程日志模塊，主要是把蜜罐、IDS、防火墻、異常檢測等模塊產生的日志信息傳輸到日志服務器上。對于IDS、防火墻產生的日志信息，可以利用MySQL和Syslog進行遠程日志，但是honeyd產生的日志存儲在本地計算機上，自身不能進行日志的異地存儲，所以要設計遠程日志模塊實現honeyd的日志遠程轉儲，并且要保證日志信息在網絡傳輸中的安全性。

4 結語

蜜罐系統可以增強網絡的安全指數，但是隨著網絡入侵類型的多樣化發展，蜜罐系統也必須進行多樣化的發展，否則它有一天將無法面對入侵者的狂妄入侵。這也對網絡管理員的技術能力有了更高的要求。

參考文獻

[1]劉東華等.網絡與通信安全技術[M].北京：人民郵電出版社，2002.

[2]蔡立軍.網絡安全技術[M].北京：清華大學出版社.2006，9.

[3]田周蓮英等.虛擬蜜罐系統Honeyd的分析與研究[J].計算機工程與應用.2005，27：137-140.