基于HoneyGate入侵誘控監測數字化網絡平臺的設計與實現

摘 要： 面對復雜多變的網絡環境，傳統的入侵檢測方法只會被動地響應入侵行為，無法檢測到動態、隨機攻擊，存在較大的缺陷。為了提高網絡安全性能，設計并實現基于HoneyGate入侵誘控監測數字化網絡平臺，該平臺由封包采集、欺騙網絡、欺騙主機以及動態配置等模塊構成。通過WinPcap封包截獲模塊采集數據鏈路包，實現入侵行為的ARP欺騙。采用樹形數據結構塑造欺騙網絡模塊中的虛擬路由，完成入侵行為的網絡級誘騙功能。融合主動探測與被動探測的動態配置方法，處理內部網絡狀態波動，對網絡配置進行及時更新，增強網絡適應性。實驗結果表明，所設計網絡平臺可有效地誘騙入侵者，控制入侵行為，維護網絡安全。

關鍵詞： HoneyGate； 入侵誘控； 入侵監測； 數字化網絡平臺

中圖分類號： TN926?34； TP393.08 文獻標識碼： A 文章編號： 1004?373X（2016）20?0133?05

Abstract： In view of the complex network environment， the traditional intrusion detection method only responds to the intrusion behavior passively， and also exists some great defects that it can′t detect the dynamic and random attack. In order to improve the network security performance， the HoneyGate?based digital network platform monitored with invasion deception and control was design and implemented. The platform is composed of packet acquisition， cheat network， cheat host， dynamic configuration and other modules. The WinPcap packet capture module is used to gather the data link package to realize ARP deception of intrusion behavior. The tree?form data structure is used to construct the virtual routing in deception network module to accomplish the network?level deception function against intrusion behavior. The dynamic configuration method of fusing active detection and passive detection is adopted to deal with the fluctuation of the internal network state， update the network configuration timely， and enhance the network adaptability. The experimental results indicate that the designed network platform can lure the intruder effectively， control its intrusion behavior， and maintain the network security.

Keywords： HoneyGate； invasion deception and control； invasion monitoring； digital network platform

0 引 言

隨著互聯網技術的不斷發展，互聯網受到入侵攻擊的事件逐漸增加。因此，尋求高效的網絡入侵檢測技術，是網絡安全領域研究的重點[1?3]。傳統的入侵檢測方法只會被動地響應入侵行為，無法檢測到動態、隨機攻擊，存在較大的缺陷。而網絡入侵誘控能夠檢測并分析網絡入侵行為，對入侵攻擊進行主動管理。設計依據網絡入侵誘控的網絡安全監控平臺，具有重要的應用價值[4?5]。

現存的網絡入侵檢測方法存在較多的問題，如文獻[6]提出的依據主機的入侵檢測系統，同操作系統共同監測主機網絡的運行情況，但是其對主機網絡的穩定性要求較高，存在一定的局限性。文獻[1]分析了依據網絡的入侵檢測方法，對網絡數據包進行監測，采集有價值數據，若數據包同設置的相關規范一致，則進行報警，并終止網絡通信。該方法需要監測大量的數據，效率較低。文獻[7]采用已知的攻擊方法按照設置的入侵模式，分析是否產生網絡入侵事件，該方法按照具體的特征進行檢測，具有較高的檢測精度，但是，僅能檢測到己知的入侵攻擊。文獻[8]提出基于行為的網絡入侵檢測方法，其按照網絡用戶的行為或資源使用狀態，分析是否存在網絡入侵攻擊，但是該方法無法對總體網絡的全部用戶行為進行分析，存在較高的誤檢率。針對上述分析的相關問題，為了增強網絡安全性能，設計并實現了基于HoneyGate入侵誘控監測數字化網絡平臺，該平臺由封包采集、欺騙網絡、欺騙主機以及動態配置等模塊構成。

1 基于HoneyGate入侵誘控監測數字化網絡平

臺的設計與實現

網絡入侵誘控技術可確保網絡系統的安全。融合網絡誘騙技術、主機誘騙技術以及動態配置技術，設計并實現一種基于HoneyGate入侵誘控監測數字化的網絡平臺，增強網絡入侵誘控的性能。

1.1 網絡平臺總體框架結構設計

基于HoneyGate入侵誘控監測數字化網絡平臺的總體結構如圖1所示。

圖1描述的網絡平臺設置在內外網中的主機中，該主機存在三個網絡接口，平臺包括封包截獲模塊、欺騙網絡模塊、欺騙主機模塊以及動態配置模塊。封包截獲模塊對HoneyGate配置的IP地址空間的網絡傳輸信息進行配置和傳遞，欺騙網絡模塊以及欺騙主機模塊分別實現網絡級誘騙以及主機級誘騙，動態配置模塊探測內部網絡信息，對HoneyGate模型的的信息庫進行配置，完成總體網絡平臺的動態配置。

1.2 封包截獲模塊設計與實現

HoneyGate入侵誘控監測數字化網絡平臺，通過風波截獲模塊采集傳遞到相應網絡地址區域中的地址網絡數據包，實現對入侵攻擊的ARP欺騙。

1.2.1 WinPcap封包截獲

WinPcap是依據WIN32平臺的封包截獲與網絡分析體系結構，其由包過濾器、低層動態鏈接庫（packet.dll）以及高層系統無關庫（wpcap.dll）組成，如圖2所示。

包過濾器從網卡上捕獲、傳輸以及過濾原始數據包，將滿足過濾規范的數據包保存在核心緩沖區內。其通過函數對數據鏈路層內的數據進行讀寫，設置網卡為混雜模式。如果原始網絡數據包傳遞到網絡適配器中，則通過網卡驅動程序采集數據包，NDIS中間層驅動程序將數據包反饋到低層動態鏈接庫中，再傳輸到filter內進行過濾處理，將滿足規范的數據包保存在高層系統無關庫內。通過用戶級的應用程序從高層系統無關庫中采集數據，完成數據鏈路層封包的截獲。

1.2.2 封包截獲模塊工作流程

封包截獲模塊的工作包括接收和發送兩部分，具體流程如圖3所示。

封包截獲模塊的接收過程為：從配置信息數據庫中，采集HoneyGate設置的虛擬誘騙環境的IP地址信息，捕獲傳遞到該IP地址的網絡原始數據包。若捕獲到某IP地址的ARP申請報文，則反饋準確的ARP欺騙報文，否則向欺騙網絡模塊反饋原始數據包。持續分析網絡配置信息是否變動，如果沒有變動，則重復進行原始數據包的捕獲工作，否則采集新的監控IP地址，再實施原始數據包的捕獲工作。封包截獲模塊的發送過程，將欺騙網絡模塊反饋的數據包傳輸到外部網絡中。

1.3 欺騙網絡模塊的設計

HoneyGate入侵誘控監測模型通過欺騙網絡模塊中劃分出虛擬路由模塊對網絡拓撲結構進行虛擬設計，實現入侵行為的網絡級誘騙功能，

1.3.1 欺騙網絡模塊的運行過程

欺騙網絡模塊的運行過程主要是虛擬路由模塊的運行過程如圖4所示。

欺騙網絡模塊通過虛擬路由模塊先從配置信息數據庫中采集HoneyGate需要模擬的網絡拓撲結構，按照該結構信息塑造虛擬路由拓撲；然后欺騙網絡模塊從封包截獲模塊采集數據包并反饋給虛擬路由模塊，虛擬路由模塊采集IP數據包后對虛擬路由拓撲入口點進行檢索，獲取入口路由器IP地址、延遲、丟包率等信息；最后虛擬路由模塊分析IP數據包的目標IP是否同此刻虛擬路由器處于相同的本地網絡內，若不是，則從虛擬路由器的路由表內檢索后續虛擬路由節點，執行路由虛擬拓撲過程，實現網絡級誘騙；否則停止虛擬路由的工作，向欺騙主機模塊反饋IP數據包，完成主機級誘騙。

1.3.2 欺騙網絡模塊具體實現

欺騙網絡模塊的關鍵過程通過虛擬路由模塊完成，重點是通過樹形結構塑造虛擬路由拓撲，其中的關鍵數據結構為：

（1） 虛擬路由拓撲樹

如果傳送到某目標IP的數據包被接收，則后續的數據包也會傳遞到同一目標IP。通過伸展樹網的方式規劃虛擬路由拓撲樹，提高路由的檢索效率。

1.4 欺騙主機模塊以及動態配置模塊的設計與實現

1.4.1 欺騙主機模塊設計

網絡平臺中的HoneyGate模型將主機系統功能的模擬在欺騙主機模塊中進行處理，完成主機級誘騙。采用數據包劃分模塊、協議操作模塊和應用服務操作模塊，模擬主機網絡協議棧內的網絡層、傳遞層和應用層的服務過程，完成在網絡協議棧層次對入侵進行誘控，增強網絡平臺處理深度入侵攻擊的能力。

1.4.2 動態配置模塊的內部結構

網絡平臺的動態配置模塊融合主動檢測以及被動檢測技術，對HoneyGate模型中的其他模塊進行配置。動態配置模塊的內部結構圖如圖5所示。

主控中心是動態配置模塊的關鍵，網絡平臺開始通過HoneyGate入侵誘控模型進行入侵行為的檢測時，主控中心通過主動檢測模塊對內部網絡主機的地址、主機端口號和支撐不同服務的協議等信息進行分析，得到HoneyGate入侵誘控監測的原始配置策略，采用配置調整模塊將配置策略信息存儲配置信息數據庫中。主動檢測模塊停止運行，主控中心按照設定的時間對新網絡進行檢測，并對被動檢測模塊進行檢測。主控中心對比分析主動與被動檢測結果中臨時文件中的信息，若分析得到內部網絡狀態存在波動，則通過配置調整模塊對配置信息數據庫進行調整。

1.4.3 動態配置模塊關鍵數據結構

動態配置模塊的數據結構可確保主動和被動檢測模塊，依據數據結構將檢測信息反饋給主控中心。網絡端口中的信息有端口號、協議以及相關的服務，檢測網絡平臺中主機的結果不僅有網絡端口信息，還有主機地址以及開放端口數。主控中心讀取拓撲結構后得到主機的檢測結果，再對主機的狀況進行對比，判斷是否存在入侵攻擊行為。詳細的傳遞數據結構為：

（1） 存放各端口信息的結構

2 實驗分析

通過實驗測試驗證所設計的網絡平臺的準確性，平臺預防網絡攻擊的效果。采用本文設計的網絡平臺檢測到的入侵事件如圖6所示。

圖6通過面板呈現出入侵事件信息，通過“Summary”能夠獲取入侵事件的起始和終止時間以及入侵動作等信息，獲取的入侵事件的IP地址以及主機名通過“Visitor”呈現。因此能夠看出本文設計的網絡平臺是有效的，可準確獲取入侵事件。

2.1 ARP欺騙功能測試

本文設計的網絡平臺中的HoneyGate模型在宿主機上配置封包截獲模塊，對10.10.1.2～10.10.1.5地址段的申請進行監控，并傳達出相關的應答報文。由封包截獲模塊運行狀態可知，封包截獲模塊運行前，在入侵者主機（10.10.39.58）上對目標地址空間10.10.1.2～10.10.1.5發起的全部申請報文都無法收到反饋，入侵主機無法向網絡接入目標地址區域的主機，使得傳遞到該網絡地址區域的數據包出現缺陷，導致對應的虛擬誘騙環境運行中斷。但是當所設計網絡平臺中的封包截獲模塊運行后，其可反饋10.10.1.2～10.10.1.5地址區間的申請，將HoneyGate宿主機的MAC地址當成源主機地址，并傳達相關的反饋申請信息，將入侵者主機辨別地址區域內的系統連接到網絡中，使得網絡數據包可向HoneyGate宿主機傳遞，封包截獲模塊采集到數據包反饋給虛擬誘騙環境，確保該地址區域中的虛擬誘騙環境的順利運行，完成入侵行為的誘騙。

2.2 虛擬路由功能測試

通過探測程序tracert分析入侵主機（10.10.39.58），進而檢測HoneyGate中的虛擬誘騙環境 （10.10.1.4）的路由，結果如圖7所示。通過圖7能夠看出，向虛擬誘騙環境傳遞的ICMP申請報文直接向10.10.1.5傳遞。而本文設計的網絡平臺通過設置HoneyGate虛擬路由功能，可塑造中間路由器10.10.1.1和10.10.2.1，并通過tracert程序對10.10.1.5的路由信息進行檢測，結果如圖8所示。

對比分析圖7和圖8中的虛擬路由檢測結果可得，本文設計的網絡平臺通過HoneyGate入侵誘控模塊中的虛擬路由功能，塑造了兩個虛擬路由器，欺騙了入侵路由探測，保證了網絡的安全。綜合分析上述實驗結果可得，未采用HoneyGate入侵誘控的網絡平臺中，入侵者的檢測程序會采集到內部網絡中的敏感信息，同時使得網絡母板主機系統被入侵的程度增強。而采用HoneyGate入侵誘控的網絡平臺中，入侵者的探測程序tracert獲取實際信息同誘騙信息混淆，使得入侵者無法準確分析實際目標地址，說明所設計的基于HoneyGate入侵誘控監測數字化網絡平臺對入侵者具有較強的誘騙和控制作用，保證了目標主機的安全。

3 結 論

為了提高網絡安全性能，設計并實現基于HoneyGate入侵誘控監測數字化網絡平臺。該平臺由封包采集、欺騙網絡、欺騙主機以及動態配置等模塊構成。通過WinPcap封包截獲模塊采集數據鏈路包，實現入侵行為的ARP欺騙。采用樹形數據結構塑造欺騙網絡模塊中的虛擬路由，融合主動探測與被動探測的動態配置方法，處理內部網絡狀態波動，對網絡配置進行及時更新，增強網絡適應性。實驗結果說明，所設計網絡平臺可有效地誘騙入侵者，控制入侵行為，維護網絡安全。

參考文獻

[1] 張玲，白中英，羅守山，等.基于粗糖集和人工免疫的集成入侵檢測模型[J].通信學報，2013，34（9）：166?176.

[2] 林龍成，陳波，郭向民.傳統網絡安全防御面臨的新威脅：APT攻擊[J].信息安全與技術，2013（3）：20?25.

[3] 嵩天，李冬妮，汪東升，等.存儲有效的多模式匹配算法和體系結構[J].軟件學報，2013，24（7）：1650?1665.

[4] 劉雅菲，劉宴兵.WSN中一種新的基于重復博弈的入侵檢測研究[J].計算機應用研究，2013，30（5）：1540?1543.

[5] 劉昊.無線傳感器網絡中基于相關性的數據融合技術研究[D].邯鄲：河北工程大學，2013.

[6] 竇波，陳曉云，李均委.基于數據挖掘分析的電力營銷稽查監控系統[J].新疆電力技術，2014（3）：92?94.

[7] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[8] 彭義春，牛熠，胡琦偉.基于IRBF的入侵檢測系統的研究[J].計算機應用與軟件，2013，30（9）：187?190.