蜜罐系統中的日志應用及保護

摘 要：本文闡述了蜜罐系統中的重要組成模塊日志的格式及其功能，介紹了相關應用軟件和工具，提出了遠程異地存儲日志、偽裝傳輸策略以及基于第三層的日志保護方式，完善了日志功能在蜜罐系統中的應用。

關鍵詞：日志；蜜罐系統；網絡安全；格式；存儲；偽裝

1 引言

日志是描述計算機系統行為的記錄，它可以監控系統的使用情況，通過對日志的監測和審計可以尋找可疑的攻擊行為或者發現潛在的攻擊可能性。[1]

在蜜罐系統中，其功能模塊主要包括網絡誘騙、數據控制、數據捕獲、數據報警、日志存儲和數據分析等，日志功能作為該系統的核心功能之一，其主要記錄各類網絡數據，如時間戳、協議類型、源地址及端口、目的地址及端口等等，其類型有防火墻日志、入侵檢測數據包日志、系統自身日志等。[2]我們可以通過分析日志，提取未知攻擊的特征碼，優化規則庫，結合入侵檢測系統改進系統設置提升網絡系統安全性能。

2 日志格式及分析應用

2.1 日志格式

日志分析需要將各類日志進行綜合，常見的日志格式如 EVT、WELF、CSV、TSV、XML、SYSLOG、W3C、IIS、SQL和TPL等。

其中，EVT日志是Windows系列的系統日志文件，它是一種二進制的日志格式。用于保存系統整體性能以及軟硬件方面的錯誤信息和所有用戶訪問系統時的操作信息和安全信息，主要分為系統日志文件、應用日志文件、安全日志文件三種，保存%systemroot%＼system32＼config＼目錄下，分別名為SysEvent.EVT、AppEvent.EVT、SecEvent.EVT。系統日志文件包含諸如在啟動時加載驅動程序或其他系統組件失敗等系統組件記錄的事件；應用日志文件包含由應用程序或系統程序記錄的事件；安全日志文件則記錄了諸如有效和無效的登錄嘗試等事件以及與資源使用相關的事件。

WELF是國際通用的防火墻日志規范格式，國外廠商如NetScreen、CheckPoint都支持這種格式。它提供簡單易用的GUI操作界面，也可以結合使用專業的第三方防火墻日志分析軟件。

通過日志我們可以在開機過程中檢測硬件訊息，了解硬件情況；系統登錄日志也會記錄系統資源耗盡，核心活動發生錯誤等事件信息；還可以解決網絡服務的問題；分析登錄日志來查明是否是遭到入侵，并繼續追查相關的信息。

2.2 蜜罐中的日志分析及應用

在整個蜜罐系統中，其核心是警報處理模塊，日志查詢主要只是用于安全人員分析入侵事件時參考其他安全設施的記錄，其關系如圖1所示。網絡環境數據庫則可以結合掃描器的日常評估結果、網絡拓撲結構、主機系統信息等用于初步過濾IDS的誤報。

但各種操作系統或應用程序通常都有自己的日志格式，我們需進行日志格式統一，運用類似Log Parser等日志分析工具可以解決這一問題。步驟包括日志文件數據融合、轉化和過濾。

把來源不同的日志文件數據進行融合是日志分析過程中最難和最重要的一環。首先要確定關聯數據，這主要取決于蜜罐系統所針對的攻擊類型和方式，如果是針對Web攻擊的，則需要融合防火墻、Web服務器、操作系統、IDS日志等；如果是針對應用程序攻擊的，則需要融合操作系統、特定的應用程序日志等，所有對這些日志的融合相當于提供了蜜罐系統的事件全景圖。然后就是對相關日志文件進行轉換融合。如果現在的蜜罐系統是專門用來針對IIS攻擊的，那么需要融合W3C格式的IIS日志、操作系統事件日志等。此外由于對蜜罐本身的特殊性，不需要進行日志過濾，而且蜜罐一般每天只會收集幾兆級別的數據，因此，使用蜜罐日志不僅降低了日志數據存儲的消耗，也大大降低了日志的噪聲級別。

利用Log Parser等軟件將日志文件進行格式統一后生成可讀性更強的XML報告。對日志文件的充分了解與分析是防止和跟蹤黑客入侵行為的基礎，在此基礎上提煉出的入侵規則知識庫更是一個優秀的安全產品的核心內容。

3 日志存儲及保護策略

日志文件是網絡安全系統中最重要的資源，它作為日后研究者研究和分析攻擊者行為和工具的重要信息來源，是網絡安全系統中需要重點保護的對象。

3.1 遠程存儲日志

蜜罐系統的日志是記錄攻擊者信息的重要資料。管理員通過對蜜罐日志的分析，回放整個攻擊的全過程，了解攻擊者使用的手段。但蜜罐主機極易被攻擊者入侵，攻擊者攻破后通常會對系統日志進行修改或刪除，因此，只把這些數據存放在蜜罐主機上是非常危險的?？梢钥紤]在系統中增加一臺安全性高、不提供任何服務的主機作為日志服務器用于遠程備份虛擬蜜罐捕捉的數據，采用遠程日志系統來保障數據存儲的安全，遠程日志信息如圖2所示。

此外，網絡設備日志亦可以實現遠程存儲。網絡設備的日志遠程存儲主要是指路由器、交換機、硬件防火墻等設備上的日志，日志類型包括NetFlow日志和WELF日志。如遠程連接Cisco路由器或者通過控制臺進入活動模式，運行如下命令即可實現將Cisco路由器上日志轉存于日志服務器192.168.1.100。

Config term

Logging on

Logging Facility Local 7 //設定消息級別高于7的日志被存儲

Logging 192.168.1.100

End

3.2 偽裝傳輸策略

我們在一個蜜罐系統中布置一個高安全性的遠程日志文件服務器用來保存日志文件，蜜罐主機上收集到的信息將發送到該服務器上，兩機之間的隱蔽通信顯得尤為重要，因為一旦攻擊者發現了日志服務器的存在，日志服務器將處于十分危險的處境。高明的攻擊者如果轉向攻擊日志服務器，有可能導致所有日志文件被損壞，造成不可估量的損失。

因此，遠程日志傳輸必須采用入侵者難以察覺的方法，將捕獲的各種入侵行為信息封裝成某種形式的數據包在部署有蜜罐的網絡中進行傳輸，由安全日志服務器被動地嗅探并重組這些數據包。如果保證這些偽裝的數據包具有來自于網絡其它系統的正常數據包同樣的特征，入侵者將很難意識到這些數據包正是自己行為的日志。

可以利用Libnet安全開發包來構造OSI每一層數據包頭，通過用偽造IP構造IP數據包，進一步迷惑攻擊者，從而增加日志傳輸的安全性?；赥CP連接過程需要進行三次握手，建立連接時不容易隱藏本地蜜罐和遠程日志服務器之間的連接關系，所以我們考慮采用偽裝的UDP數據包來傳輸。整個過程的實現如圖3所示：

先設定將要使用的IP和端口，其中IP地址和日志服務器設定的相同，用來判斷是否是日志文件，而端口則可以任意設定合法的端口。然后將日志文件讀取出來后放入一個字符指針變量中作為負載插入UDP數據包的負載內容字段。在構造好UDP協議頭并將日志文件封裝好后，繼續構造IP協議頭。在IP協議頭中最關心的就是IP地址和負載內容，此處構造的偽裝數據包可以任意指定合法的IP地址和端口，這樣可以隱藏本地蜜罐與日志服務器之間的通信關系，使攻擊者很難意識到自己是處在一個蜜罐系統中，同時也保護了遠程的日志服務器。另外，由于沒有在IP協議頭中封裝日志文件，所以負載內容設置為空。構造Ethemet協議頭跟前面構造UDP協議頭和IP協議頭類似。由于同樣沒有在Ethernet協議頭中攜帶日志文件，所以只需將MAC地址封裝即可，負載內容同樣為空。在構造好數據包后使用句柄隊列來循環發送數據包，先將數據包按順序添加到句柄隊列中，最后通過使用循環語句和數據包發送語句來發送己構造的數據包。實際使用時還可以采用頻繁更換日志數據包的IP地址及端口號來進行傳輸以達到更好地迷惑攻擊者的效果。

3.3 第三層保護策略

蜜罐系統上的日志是相對不安全的，需要把日志發送到遠程日志服務器上，這僅是對日志的第一層保護。日志遠程存儲時利用偽裝傳輸策略，避開攻擊者得發現和截獲，這是第二層保護。但高明的攻擊者依然能夠發現遠程日志服務器的存在并發動攻擊，因此還需要進行第三層的輔助保護。我們可以使用類似Sniffer一類的工具來對所有進出蜜罐系統的行為進行抓包，然后以二進制日志的方式進行記錄存儲在另一臺服務器。這樣即使黑客攻破了本地蜜罐和遠程日志服務器，他們的入侵行為還是在Sniffer中進行了記錄，如圖4所示。當然，我們也可以利用這一思路把日志進行多個服務器備份，實現多層次保護，增強日志的安全性。

4 總結

日志功能是蜜罐系統中的重要環節，它是記錄攻擊者信息的重要資料，我們可以通過對蜜罐日志的分析，把它作為日后研究者研究和分析攻擊者行為和工具的信息來源，因此它也是網絡安全系統中需要重點保護的對象，本文提出了遠程異地存儲、偽裝傳輸和第三層保護策略，意在更好的完善蜜罐系統，保護網絡安全。

[參考文獻]

[1]李靜.基于蜜罐日志分析的主動防御研究[J].信息安全與通信保密， 2009，3.

[2]蔣賢維.淺析引導型蜜罐群在網絡安全中的應用[J].計算機與網絡，2011.10.

[3]王彩玲.日志分析在計算機取證中的應用[J].福建電腦，2006.

[4]周子庭.系統日志分析及在主機入侵檢測中的應用[J].信息安全與通信保密，2004，9.

作者簡介：蔣賢維（1979-），男，碩士，講師，研究方向：信息安全。