基于Honeypot的虛擬環境數字資源安全研究

馮曉媛

（太原大學外語師范學院，山西太原 030012）

自Google推出云計算概念后，云計算吸引了眾多人的關注，并迅速成為業界研究的熱點。云計算是一種資源整合利用技術，其下層的技術支撐主要是虛擬化技術。但在各種信息服務引入虛擬化環境后，信息安全的威脅也逐漸進入到虛擬化環境，今天的虛擬化平臺遇到了更多新的信息安全問題，例如：虛擬平臺自身的弱點、共享資源的風險、跨虛擬主機的攻擊等。其中一個主要的問題是虛擬化技術能否將不同的虛擬化資源與實體環境有效地隔離，避免彼此之間相互干擾其服務的正常運作及存取對方的資源，對虛擬化環境的安全來說是一個嚴格的挑戰。

1 相關技術探討

1.1 云計算

云計算(Cloud Computing)是一種概念，是通過大量的網絡運算方式，共享彼此的軟件、硬件資源，彼此合作達到高服務性、資源最佳化的目的[1]。所謂云其實也可稱為網絡，云計算就是通過網絡存取遠程的主機資源或使用遠程的服務。云計算繼承了以往的分布式運算與網格運算的概念，分布式運算就是將需要進行大量計算的工程分割成許多小區塊，分配給不同的主機進行運算，將結果收集之后，再將結果組合，并得到結論的一項技術。而網格運算是分布式運算的延伸，利用大量不同平臺的空閑資源，將其結合在一個虛擬的群體中，利用分布式運算的方式來解決問題。

1.2 虛擬化

虛擬化技術可以將一臺實體主機的軟硬件資源轉換成純軟件，它是一臺具備完整功能的虛擬機，如同一臺實際的計算機，可以執行自己的操作系統和應用程序[2]。多部虛擬機雖然共同使用同一臺實體計算機的硬件資源，但卻是相互隔離，因此可以在單一實體計算機上安全地執行多種不同的操作系統和應用程序。

虛擬化可以分成桌面虛擬化和服務器虛擬化，桌面虛擬化安裝在各操作系統上，可用于測試、生產和開發，服務器虛擬化產品是整合一個精簡專用的操作系統，不須另行安裝操作系統；因操作系統無額外功能服務，可獲得較好的效能，但也無法在本機管理，由另一臺計算機聯機管理，適合用于多臺服務器整合。

圖1 全虛擬化主機架構

圖2 特征入侵收集架構圖

1.3 蜜罐系統

蜜罐系統是通過“誘敵”的概念所產生出來的信息安全技術，蜜罐系統主要是仿真成受攻擊的主機，提供給黑客一個攻擊的目標，通過分析這些攻擊我們可以得知攻擊的類型，提供進一步的安全防護動作[3]。為要成功地捕獲入侵者的攻擊信息，蜜罐在設置時的偽裝系統也要具備高的仿真性，這樣蜜罐才能在與入侵者互動時，順利欺騙入侵者，并獲得入侵者真實的攻擊記錄。分析蜜罐攻擊信息，應用在信息安全防護上可降低具有價值的主機系統受到直接的攻擊，并提供早期預警。

2 系統架構

2.1 特征入侵收集系統架構設計

通常的系統漏洞檢測過程有以下不足，系統漏洞事件發生時，其特征入侵分散儲存在不同的設備記錄文件內，分別對不同類型的事件紀錄進行描述，因為數據內容無統一標準，以致造成特征入侵值收集及分析的困難性。據此本研究將通過了解目前系統漏洞行為模式，選擇適用的數字收集方法，設計出可靠的特征入侵收集系統，系統結合防火墻、入侵檢測系統、誘捕系統等設置，完整收集網絡、系統活動信息，確保入侵來源完整（圖2）。

特征入侵分析：正規化收集的特征入侵，將特征入侵來源分別按照操作系統、處理程序、文件資源及網絡流量等建立數據關聯模型，以找出特征入侵因果關系（圖3）。

圖3 事件處理關系模型

按照特征入侵數據時間序列解釋所呈現的系統漏洞事件，還原系統漏洞原貌，本研究利用開放源代碼的自由軟件系統設計主體進行整合，并以適當的軟件程序代碼修正，建立特征入侵收集系統的模型，最后在虛擬環境導入系統漏洞仿真數據測試分析，驗證本系統的可用性。

2.2 蜜網架構

本研究利用蜜網的技術特性，調整蜜網的設置架構，解決虛擬機之間的安全問題，通過蜜網完整收集特性入侵事件，進而確定攻擊目標。為證明所收集入侵的完整性，將阻斷服務的功能改為開放模式，避免因為蜜網的學習功能所啟動的直接阻斷服務的功能，導致收集的不齊全。

蜜網系統直接安裝在虛擬環境上，其系統的數據控制、數據捕獲、數據分析及數據收集直接對虛擬機器進行監控及分析，其目的是利用蜜網系統的特性，取得攻擊者對虛擬機器攻擊的信息[4]。蜜網系統不改變原系統的信息安全設置、連線存取限制，以確保營運系統能正常運作。本研究采用傳統蜜網高互動、高活動監視能力的條件特性在虛擬環境內構建有利于特征入侵收集的環境，有效監控及記錄虛擬環境內的網絡攻擊行為。

2.3 虛擬環境入侵事件收集

本研究基于蜜網系統設計虛擬機器系統漏洞收集機制，系統收集的重點在于系統漏洞特征收集、分析與鑒定工作，并建立數字收集模型，在特征入侵結果呈現不完整或收集內容遺漏時，重新修正獲取目標、工具及關聯規則，進而確保研究的特征入侵收集機制實現設計的目標。

系統將收集的漏洞數據分為本地采集和網絡采集。在本地采集部分使用Sebek記錄加密會話中擊鍵，恢復使用SCP拷貝的文件，捕獲遠程系統被記錄的口令，恢復使用Burneye保護的二進制程序的口令還有其它的一些入侵分析任務相關的作用。而網絡采集部分，在密網防火墻設置Snort進行收集，主要是實時記錄和分析IP網絡中的數據流。通過對協議的分析、數據包內容的搜索和匹配，它能被用于監測許多攻擊和掃描，如緩沖區溢出、端口隱蔽掃描、CGI攻擊、SMB探測、操作系統識別探測等。將所收集的數據送交由系統進行分析，系統會按照事先設計好的法則進行數據聚合及關聯，將所收集的數據正規化及分類，并儲存在數據庫中，提供網頁界面存取。

3 結語

本系統基于云計算的虛擬化技術，建構蜜網系統并選擇適當的收集工具，以獲得網絡攻擊及入侵特征值。安全的虛擬化平臺建議的做法包括禁用未經使用的虛擬硬件、關閉需使用的虛擬化平臺服務，并且考慮使用虛擬化平臺監控虛擬機器與其運作上的安全，以及發生在虛擬機器間的安全活動，虛擬化平臺本身也需要進行監控。建立完整的安裝、設定及設置安全計劃，規劃有助于確保虛擬環境的安全和遵循組織相關安全政策，組織應該在系統開發生命周期計劃初始階段，以最大安全及最小成本考慮規劃。

[1]張路.Windows平臺下蜜罐系統的研究與實現[J].網絡安全技術與應用,2009(1):131-134.

[2]周向榮.基于蜜罐技術的局域網安全研究[J].網絡安全技術與應用,2009(8):15-18.

[3]楊冬,高為民.基于虛擬蜜罐的網絡安全系統的設計與實現[J].網絡安全技術與應用,2008(5):77-82.

[4]陳潔,連曉東.入侵檢測系統在列車調度指揮系統網絡中的應用[J].鐵道運營技術,2010(2):34-41.