基于 Honeypot 安全防御關(guān)鍵技術(shù)研究

陳佩璇 榮志文

摘要：針對(duì) Honeypot 選擇合適安全防御技術(shù)將引起很大關(guān)注，結(jié)合服務(wù)方式應(yīng)用欺騙主動(dòng)安全防御 Honeypot 技術(shù)，分析各類 Honeypot 技術(shù)應(yīng)用安全領(lǐng)域體現(xiàn)獨(dú)特價(jià)值，系統(tǒng)研究 Honeypot 安全防御關(guān)鍵技術(shù)存在問(wèn)題。本文提出采用蜜罐技術(shù)實(shí)現(xiàn)高交互虛擬操作系統(tǒng)，實(shí)現(xiàn)主流操作系統(tǒng)數(shù)據(jù)分析技術(shù)和風(fēng)險(xiǎn)控制，通過(guò)蜜罐技術(shù)部署，實(shí)現(xiàn)一套位置、數(shù)據(jù)源、數(shù)量和操作系統(tǒng)選擇系統(tǒng)分析方法。

關(guān)鍵詞：關(guān)鍵技術(shù);安全防御;蜜罐技術(shù);網(wǎng)絡(luò)入侵檢測(cè)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-9129（2017）09-010-02

Abstract：Accordingtoselecttheappropriateoperatingsystemofhoneypottechnologyhasarousedgreatconcern，combinedwiththeclassificationofservices，ap- plication of deception thought of active defense honeypot technology， a large number of applications in the field of security to reflect the unique value， compare theadvantagesanddisadvantagesofvarioushoneypottechnology，existingproblemsanddevelopmenttrendsofhoneypottechnology.Thispaperpresentstheim- plementationofvirtualoperatingsystemwithhighinteractionhoneypottechnology，realizethemainstreamoperatingsystemdataanalysistechnologyandriskcon- trol， through the implementation of a honeypot deployment location， data source， quantity and operating system selection system analysis method.

Keywords：keytechnologies;supportoperatingsystem;Honeypottechnology;networkintrusiondetection

引言

近年來(lái)，網(wǎng)絡(luò)安全防御面臨形勢(shì)越來(lái)越嚴(yán)峻，信息安全領(lǐng)域Honeypot 安全防御關(guān)鍵技術(shù)發(fā)揮了重要的作用，針對(duì)網(wǎng)絡(luò)攻擊問(wèn)題出現(xiàn)的新情況，新攻擊技術(shù)和新方法不斷涌現(xiàn)，特征匹配防御措施方式，存在很大不確定性參數(shù)，其參數(shù)包括攻擊發(fā)起時(shí)間、攻擊者、攻擊發(fā)起地點(diǎn)和攻擊目標(biāo)等，被動(dòng)防御技術(shù)不能正確識(shí)別新攻擊方法[1]。因此，網(wǎng)絡(luò)安全的關(guān)注焦點(diǎn)逐漸轉(zhuǎn)移到主動(dòng)防御技術(shù)。主動(dòng)防御技術(shù)是獲得未知的攻擊技術(shù)資料，試圖牽制和轉(zhuǎn)移網(wǎng)絡(luò)攻擊行為，針對(duì)攻擊者進(jìn)行監(jiān)視和跟蹤，并且對(duì)網(wǎng)絡(luò)攻擊進(jìn)行取證。蜜罐技術(shù)主要是提供重要線索和信息的入侵取證，使入侵者攻擊被順利轉(zhuǎn)移， 誘騙攻擊者保護(hù)主機(jī)和網(wǎng)絡(luò)不受入侵，是一種非常有效和實(shí)用的方法。

本文研究 Honeypot 技術(shù)的網(wǎng)絡(luò)入侵檢測(cè)，能夠彌補(bǔ)原有安全防御的

不足，結(jié)合網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)安全措施，提出一種主動(dòng)防御安全 技術(shù)，提升網(wǎng)絡(luò)安全性能。

1 蜜罐關(guān)鍵技術(shù)

1.1 數(shù)據(jù)捕獲技術(shù)。Honeypot 技術(shù)的本質(zhì)是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，能夠使防御方清晰地了解安全威脅，通過(guò)關(guān)鍵技術(shù)管理手段增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。因此，針對(duì)數(shù)據(jù)捕獲時(shí) Honeypot 技術(shù)不被入侵者發(fā)現(xiàn)的問(wèn)題，其核心功能模塊完成攻擊工具參數(shù)設(shè)置，分析捕獲信息策略和動(dòng)機(jī)，包括屏幕、擊鍵、 輸出信息包和輸入等[2]。采用多重機(jī)制數(shù)據(jù)控制捕獲信息，實(shí)現(xiàn)層次化數(shù)據(jù)捕獲思維模式，能夠防止單點(diǎn)失效問(wèn)題出現(xiàn)。通過(guò)多層次數(shù)據(jù)捕獲并將信息整合起來(lái)，實(shí)現(xiàn)各個(gè)角度獲取攻擊者行為。攻擊者需要捕獲信息層次，主機(jī)或網(wǎng)絡(luò)安全任何級(jí)別安全防御都能實(shí)現(xiàn)。發(fā)出警報(bào)時(shí) Honeypot 企圖連接防火墻，利用數(shù)據(jù)控制連接 Honeypot 所有出入口記錄信息，捕獲機(jī)制通過(guò)防火墻實(shí)現(xiàn)數(shù)據(jù)捕獲過(guò)程，此時(shí)全部連接都被視為可疑。

1.2 數(shù)據(jù)控制技術(shù)。Honeypot 技術(shù)具有尤其重要的自身安全特性，網(wǎng)絡(luò)攻擊者經(jīng)常以Honeypot 作為攻擊目標(biāo)，網(wǎng)絡(luò)入侵者將 Honeypot 作為攻擊其他系統(tǒng)的跳板。因此，攻破 Honeypot 技術(shù)時(shí)，任何有價(jià)值的信息都不會(huì)得到[3]。針對(duì)網(wǎng)絡(luò)中任何系統(tǒng)發(fā)起攻擊，外出連接是一種常見(jiàn)的攻擊行為。Honeypot 主機(jī)被入侵者攻破時(shí)，Honeypot發(fā)起外出連接，通過(guò)Honeypot外出網(wǎng)絡(luò)連接進(jìn)行控制，允許 Honeypot 的任何訪問(wèn)行為。本文關(guān)注入侵者侵入系統(tǒng)后的動(dòng) 作和企圖，阻斷 Honeypot 對(duì)外所有的連接不能簡(jiǎn)單進(jìn)行控制。結(jié)合路由器和防火墻關(guān)鍵配置參數(shù)，使入侵者不會(huì)產(chǎn)生懷疑，并且相對(duì)自由地活動(dòng)。通過(guò)最大限度數(shù)據(jù)包進(jìn)行過(guò)濾，比較完美地對(duì)網(wǎng)絡(luò)發(fā)出請(qǐng)求操作。

1.3 欺騙技術(shù)。通常情況下，Honeypot技術(shù)采用各種欺騙手段，具有強(qiáng)

大的吸引力[4]。實(shí)現(xiàn)各種漏洞欺騙主機(jī)模擬操作，整個(gè)網(wǎng)絡(luò)安全防御需要 計(jì)算機(jī)模擬完成。網(wǎng)絡(luò)流量模擬數(shù)據(jù)通過(guò)系統(tǒng)仿真產(chǎn)生，相關(guān)真正有價(jià)值 的信息存儲(chǔ)在虛假文件路徑中。通過(guò)欺騙技術(shù)誘使攻擊者上當(dāng)，此時(shí)蜜罐 技術(shù)主機(jī)模擬環(huán)境如同真實(shí)的工作系統(tǒng)。

2 網(wǎng)絡(luò)中 Honeypot 位置

Honeypot 是一個(gè)標(biāo)準(zhǔn)服務(wù)器，不提供任何真實(shí)服務(wù)。網(wǎng)絡(luò)中固定位置不需要放置Honeypot特定用途的位置，需要具有更好的效果，Honeypot放置特殊位置顯得特別重要 [5]。根據(jù)不同需求，網(wǎng)絡(luò)任何位置都可以放置

Honeypot系統(tǒng)，Honeypot系統(tǒng)可以部署在防火墻停火區(qū)、防火墻內(nèi)或防火墻外。網(wǎng)絡(luò)中 Honeypot 位置如圖 1 所示。

圖 1 網(wǎng)絡(luò)中蜜罐位置

如果Honeypot 部署在防火墻的停火區(qū)，則會(huì)增強(qiáng)服務(wù)器的安全性能; 若部署在防火墻內(nèi)，則會(huì)保護(hù)服務(wù)器的安全;若部署在防火墻外，則會(huì)保護(hù)內(nèi)部主機(jī)的安全。

3 選擇Honeypot 支撐操作系統(tǒng)

3.1 Unix 操作系統(tǒng)。UNIX 操作系統(tǒng)實(shí)現(xiàn) Honeypot 安全防御關(guān)鍵技術(shù)非常方便，實(shí)現(xiàn)數(shù)據(jù)捕獲機(jī)制，具有非常廣闊的發(fā)展空間。實(shí)現(xiàn)源代碼應(yīng)用日志機(jī)制，其內(nèi)核都是開(kāi)放源代碼。Unix 系列操作系統(tǒng)具有良好的可擴(kuò)充性和日志記錄功能，IP堆棧穩(wěn)定可靠，適合Honeypot系統(tǒng)批量選擇。其中，VMWare虛擬軟件支持Linux操作系統(tǒng)。

3.2 Windows 系列操作系統(tǒng)。目前，微軟家族的操作系統(tǒng)都是 NT 內(nèi)核， 包括流行的 WindowsXP、Windows2003、Windows7、Windows2010、Win-

dows 10 等。Windows 系列操作系統(tǒng)容易發(fā)生 Honeypot 技術(shù)攻擊行為，蜜罐系統(tǒng)設(shè)計(jì)時(shí)需要綜合考慮 Windows 系列操作系統(tǒng)，修改微軟操作系統(tǒng)非常困難。因?yàn)椋琖indows系列操作系統(tǒng)源代碼至今尚未公開(kāi)。

3.3 虛擬 Honeypot 系統(tǒng)和純 Honeypot 系統(tǒng)。通過(guò)虛擬 Honeypot 系統(tǒng)和純 Honeypot 系統(tǒng)比較分析，虛擬 Honeypot 技術(shù)攻擊真實(shí)的宿主操作系統(tǒng)，攻擊者可能繞開(kāi)虛擬系統(tǒng)獨(dú)立完成。采用單獨(dú)窗口觀測(cè)運(yùn)行的客觀操 作系統(tǒng)，虛擬機(jī)不需要擔(dān)心被攻擊者發(fā)現(xiàn)，使其虛擬具有真實(shí)度和健壯性。因此，虛擬 Honeypot 技術(shù)可以在不同子操作系統(tǒng)之間共存。通過(guò)橋接方式宿主操作系統(tǒng)構(gòu)成一個(gè)網(wǎng)絡(luò)，子操作系統(tǒng)呈現(xiàn)出完全不同的特性，采用不同的宿主操作系統(tǒng)和虛擬技術(shù)實(shí)現(xiàn)虛擬 Honeypot 技術(shù)構(gòu)建。純

Honeypot 系統(tǒng)的資源使用率較低，操作系統(tǒng)只能安裝在一臺(tái)機(jī)器，純

Honeypot 可以在各種操作系統(tǒng)內(nèi)出現(xiàn)，實(shí)現(xiàn)起來(lái)比較容易。通過(guò)宿主操作系統(tǒng)攻擊者透明性，僅虛擬程序外部具有可見(jiàn)性，虛擬了特定系統(tǒng)功能時(shí)安裝了特殊客戶端程序。

4 結(jié)論

Honeypot 技術(shù)理論和實(shí)現(xiàn)方法不斷發(fā)展變化，根據(jù)不同需要和情況有針對(duì)性地進(jìn)行構(gòu)建、部署，Honeypot安全防御關(guān)鍵技術(shù)安全，增強(qiáng)了自身功能，Honeypot技術(shù)為了捕獲更多入侵行為。Honeypot技術(shù)不能解決安全防御問(wèn)題，彌補(bǔ)原網(wǎng)絡(luò)安全防御系統(tǒng)不足問(wèn)題。結(jié)合安全措施工具、入侵檢測(cè)和網(wǎng)絡(luò)防火墻，成為安全防御問(wèn)題解決主要工具，促進(jìn)了整個(gè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)發(fā)展，增強(qiáng)了網(wǎng)絡(luò)系統(tǒng)安全性能。任何漏洞功能都可能成為 入侵者突破口，加強(qiáng)自身安全性，引入新安全防御關(guān)鍵技術(shù)不能丟失原有安全性。Honeypot 安全防御關(guān)鍵技術(shù)優(yōu)勢(shì)發(fā)揮了安全領(lǐng)域重要作用，各種高質(zhì)量數(shù)據(jù)安全高效傳輸，高效貼近實(shí)際誘捕算法。Honeypot 技術(shù)不能取代任何現(xiàn)有安全機(jī)制，現(xiàn)有網(wǎng)絡(luò)安全機(jī)制有力補(bǔ)充，展現(xiàn)出了良好的應(yīng)用前景和潛力。

參考文獻(xiàn)：

[1]詹可強(qiáng).基于 Honeypot 技術(shù)的網(wǎng)絡(luò)主動(dòng)防御技術(shù)研究[J].伊犁師范學(xué)院學(xué)報(bào)，2013，7 （1）：50-52.

[2] 唐勇，盧錫城，胡華平，等.基于多序列聯(lián)配的攻擊特征自動(dòng)提取技術(shù)研究[J].計(jì)算機(jī)學(xué)報(bào)，2006，29（9）：1533-1541.

[3] PeymanKabiri， Ali A Ghorbani. Research on intrusion detection and re- sponseasurvey[J].InternationalJournalofNet-workSecurity，September2005， 1（2）：84-102.

[4] Geng Yang， Chunming Rong， Yunping Dai. A distributed honeypot sys- tem for grid security[C]. GCC， 2003（1）： 1083-1086.

[5] Tang Yong， Lu Xiheng， et al. Automatic generation of attack signatures basedonmulti-sequencealignment[J].ChineseJournalofComputers，2006，29 （9）：1533-1541.