基于蜜網技術的網絡信息安全研究

詹可強

(福建信息職業技術學院計算機工程系，福建福州 350001)

?

基于蜜網技術的網絡信息安全研究

詹可強

(福建信息職業技術學院計算機工程系，福建福州 350001)

面對網絡上復雜多變的安全環境，本文提出利用蜜網技術建立一個兼具安全性與使用效率的保護及預警體系，通過吸引入侵者攻擊的方法，來監視和跟蹤其攻擊行為并進行記錄，進而研究入侵者的攻擊意圖、攻擊策略及方法。通過實驗表明蜜網系統是一個高度可控的和行之有效的信息安全保護平臺。

蜜網；蜜罐；入侵檢測；數據捕獲；信息安全

遼闊無際的網絡讓全世界的信息資源共享更加便利，卻也造就了黑客犯罪的最佳環境。目前，一般的信息安全僅著重于自我防御措施，例如防火墻、入侵檢測系統和加解密機制等作為單個網絡系統安全的守護屏障。然而由于網絡的快速發展，各種操作系統漏洞迅速地被發現，已經逐漸改變了入侵行為和惡意程序散布的模式。如何強化系統安全防護措施已不是傳統軟硬件架構與防護技術所能應付的，一個兼具安全性與使用效率的保護及預警機制將是信息安全極迫切的需求。本研究的主要目標為利用蜜網技術快速建立安全控制的虛擬環境，以精心安排的方法預設陷阱，使得入侵者認為已經達到入侵目的，但實際上卻被系統設計者所控制、監督及控制。

1 蜜網技術

蜜網(Honeynet)是由若干能收集和交互信息的蜜罐(Honeypot)構成的一個以主動防御為目的的誘捕網絡體系。它是將蜜罐納入到一個完整的蜜網網絡體系，其目的是對入侵者群體進行研究，追蹤他們的行為舉動[1]。蜜網是蜜罐技術的擴展，其相對于蜜罐的優勢在于：首先，蜜罐是獨立工作，低交互性，其捕獲的信息量有限；而蜜網是由蜜罐、蜜網網關、入侵檢測系統、系統行為記錄系統等一系列系統和工具所組成的體系，可以通過集合方式實現與攻擊者進行高交互，可捕獲的信息量豐富。其次，蜜罐是一個單獨的個體，所有對攻擊活動的監視和控制均靠自身系統和工具完成，健壯性較差；而蜜網是一個整體的體系結構，這種體系結構通過一系列的系統和工具構建了一個高度可控的網絡，其健壯性和可控性高。

蜜網的概念最早由Lacne Spitzner等人于1999年提出，并在2000年6月成立致力于蜜網技術研究的蜜網項目組(The Honeynet Project)[2]。目前，蜜網技術的發展經歷了三代的變遷[3]。第一代蜜網是簡單的用防火墻、入侵檢測系統和日志服務器等所構建的體系結構，容易被攻擊者察覺；第二代蜜網增加了HoneyWall、Sebek等關鍵部件，使得蜜網技術趨于成熟；第三代蜜網更新了HoneyWall Roo以及Sebek 3.0版，并提供了基于Web解密的數據輔助分析工具Walleye，使得蜜網技術更加完整。

構建蜜網體系結構需要面對3個核心功能需求：數據控制、數據捕獲和數據分析[4]。數據控制是對攻擊者在蜜網中的行為進行限制的機制，其最關鍵的地方是必須給予攻擊者一定的自由度，允許他們做部分諸如下載入侵工具等可控的事情，以便獲取攻擊者的相關信息，但要拒絕其攻擊其它機器的行為而又不被攻擊者發現，這就需要在自由度和安全性上尋求一個平衡。數據捕獲則是要監控和記錄攻擊者的所有網絡流量， 包括他們在鍵盤上的敲擊行為以及他們傳送出去及接收到的數據包，其需要在攻擊者毫不察覺的情況下盡可能多地捕獲數據。數據分析則是對捕獲到的數據進行分析、整理和歸類，從中分析出這些數據背后蘊含的攻擊動機、方法和手段。在分布式部署的蜜網系統中，還需要將多個蜜網中捕獲的數據傳輸到一臺中央服務器進行集中化分析，以達到更準確獲得攻擊者動機、方法和手段的目的。

2 蜜網系統架構

為了實現數據捕獲這一核心功能需求，需要對進出蜜網的數據包以及網絡連接信息進行監控，這就必須在蜜網的前端部署蜜網網關(Honeywall)。蜜網網關采用橋接模式進行內外網的連接，這樣數據包在經過蜜網網關時就不會進行TTL遞減和路由，避免被攻擊者發現的可能，同時蜜網網關是蜜網與其他網絡之間的唯一接口，所有進出蜜網的網絡流量都須通過蜜網網關，受其監控和審計。按照上述要求，架構一個蜜網系統，其網絡拓撲結構如圖1所示。

圖1 蜜網網絡拓撲結構

在蜜網網關上通過部署IPTables、snort等實現多層次的數據控制機制。IPTables是一種防火墻機制，可對已知攻擊的數據進行分流和控制，并限制蜜網內的每臺蜜罐主機在單位時間內允許向外發起的連接數及速率，避免蜜罐主機成為攻擊者掃描、探測及攻擊他人的跳板。同時，在蜜網網關上部署入侵檢測系統snort_inline，通過它監聽eth0接口上的所有數據，如果監聽到包含已知攻擊特征的數據包，則立即告警并丟棄此數據包或使其無效。這種多層次的控制機制能最大限度地降低部署蜜網所帶來的安全風險，但尚不能完全消除風險，因此在蜜網網關的eth2接口上連接一臺日志∕控制服務器，用以記錄蜜網網關捕獲到的攻擊數據，供蜜網管理者研究判斷是否進一步采取措施。

在蜜網發展之初，許多Honeypots軟件的功能都是抓取網絡上的數據包，然后經重組后以了解入侵者在我們的系統上進行了什么操作。但是自從加密的機制(如SSH)普遍被使用之后，這種做法就行不通了，因為數據包已經被加密，除非能解密，不然得到的信息是沒有用的。因此現在的Honeypots軟件幾乎都是直接附加在操作系統的內核內，直接從內核中抓取入侵者在系統中的行為，不管它是否使用加密機制，都可以被記錄下來。把Honeypots放在內核的另一個好處就是操作系統把內核空間和用戶空間分開，我們可以利用這一點讓入侵者即使得到了root的權限，也無法知道Honeypots軟件正在做什么。

為了協助蜜網管理者更好、更快地對所捕獲到的攻擊數據進行深入分析，我們在蜜網中部署Sebek來捕獲攻擊者在蜜罐主機上的進一步攻擊行為。Sebek就是一種典型的可附加在系統內核中的Honeypots軟件，它可以在不被攻擊者察覺的前提下對其擊鍵記錄和系統行為進行捕獲，同時通過隱蔽的通訊信道將捕獲到的數據傳遞到日志∕控制服務器上的Sebek服務器端，讓蜜網管理者了解入侵者進入了蜜罐主機后進行了什么操作。

3 系統實現與仿真

我們利用虛擬蜜網技術架構如圖1所示的蜜網體系結構。虛擬蜜網技術[5]是借助VMWare等虛擬軟件在單機上運行多個操作系統，以部署整個蜜網的解決方案。虛擬蜜網技術的優點是降低資源成本且容易管理。將架構好的蜜網系統放在校園網絡中，保護一臺架設在內網的Web服務器。在蜜網網關上采用IPTables作為數據分流器(圖2)。對于正常的Web服務器連接請求，分流器IPTables實現NAT后正常訪問Web服務器；而當IDS系統通過Snort_inline檢測到非法掃描后，通知分流器將異常連接重定向到蜜罐主機。

圖2 數據控制和分流機制

在蜜罐主機遭攻擊者入侵后，入侵者一定會通過蜜罐主機產生對外網絡流量，這時在蜜網網關上通過設置Iptables腳本，限制對外發出的連接的頻率和連接數，若在單位時間內對外連接數達到上限，就將對外流量記錄下來由syslog-ng記錄到數據庫中，同時發送告警信息通知蜜網管理者，入侵者在蜜罐系統中執行的相關操作會由Sebek記錄下來，蜜網管理者可以通過查看Sebek了解入侵者的相關意圖。

對布署好的蜜網系統進行測試，在測試過程中收到蜜罐主機上發送來的E-mail告警信息，通過查看日志服務器上的Sebek 服務器端頁面，發現有一系列的鍵擊記錄，通過分析發現有黑客登錄了系統，并下載了一個叫 malware的文件，這個文件是用Burneye保護的可執行二進制程序。通過執行malware程序獲得在蜜罐上的root訪問權限。在獲得root權限后，攻擊者下載了一些掃描和攻擊工具文件，并通過139端口不斷對外部主機進行掃描，由于蜜網網關上的Iptables將對外發出的連接的頻率和連接數進行了限制，使得黑客不能成功利用蜜罐主機入侵其它主機。

通過對此攻擊案例的分析，我們發現通過Sebek所捕獲的黑客鍵擊記錄對了解由黑客發起的攻擊過程和攻擊意圖起到了巨大的作用。

4 結論

蜜網技術是一種通過構建高度可控的網絡結構，并結合一系列數據控制、捕獲和分析工具，使得安全研究人員能夠更深入地了解各種攻擊行為的新技術。在本研究中，為了快速搭建環境，我們使用現成的工具來顯示記錄檔：第一個是Sebek的Web界面監控程序，第二個是用php-syslog-ng以Web界面來顯示防火墻及入侵檢測系統的記錄，如此便需要開啟兩個界面以顯示蜜網中的狀態，雖然是Web界面，但并不是十分方便；在未來，我們可以依據需求，自行開發整合性的監控界面，這樣才能更方便、更簡單地掌控整個蜜網的現狀。

[1]詹可強.基于Honeypot技術的網絡主動防御技術研究[J].伊犁師范學院學報,2013,7(1):50-52.

[2]The Honeynet Project.Know Your Enemy:Honeynets[EB/OL].(2008-08-12)[2015-01-02]. http://project.honeynet.org/papers/honeynet/.

[3]諸葛建偉,唐勇,韓心慧.蜜罐技術研究與應用進展[J].軟件學報,2013,24(4):825-842.

[4]易秀雙,馬世偉,王衛東.虛擬蜜網核心功能剖析與實例部署[J].計算機科學,2012,39(3):101-103.

[5]董輝,馬建.基于虛擬蜜網的網絡攻防實驗平臺的構建[J].齊齊哈爾大學學報,2012,28(2):67-72.

Study of the Network Information Security Based on Honeynet

ZHAN Ke-qiang

(Fujian Polytechnic of Information Technology, Fuzhou Fujian 350001, China)

In the face of the complex security environment on the network, this paper introduces a safe and effective protecting and warning system based on the honeynet technology. By using the method of attracting intruder attacks, we can monitor and record the behaviors of attackers, and then study their intentions and strategies. The simulation results show that the honeynet is a highly controllable and effective information security platform.

Honeynet; Honeypot; intrusion detection; data capture; information security

2015-07-18

詹可強(1981- )，男，福建福州人，福建信息職業技術學院計算機工程系講師，碩士，從事網絡安全與系統集成研究。

TP393.8

A

2095-7602(2015)10-0042-03