基于蜜罐的網絡防御技術研究

◆楊 軼 劉恒馳

基于蜜罐的網絡防御技術研究

◆楊 軼 劉恒馳

（沈陽理工大學（沈陽）信息科學與工程學院 遼寧 110159）

蜜罐技術就是一種體現主動防御思想的安全資源，蜜罐的思想是一個故意設計為有缺陷的系統，專門用于引誘攻擊者進入受控環境中，然后使用各種監控技術來捕獲攻擊者的行為。本文設計實現了通過對虛擬蜜網技術的研究，利用相關的虛擬軟件和蜜網工具實現一個穩定的虛擬蜜網系統，通過對蜜網網關和蜜罐進行相關配置，構建出可真實攻擊的攻擊目標系統，為攻擊訓練平臺提供網絡攻擊訓練所需的攻擊目標環境，使用Zenmap軟件進行掃描測試，通過安裝在蜜罐主機上的Sebek進行數據捕獲，使用基于網頁的遠程管理平臺進行數據分析，以及安全報警。最后連接數據庫，記錄下攻擊活動的數據，為進一步的研究提供依據。

蜜罐；主動防御；預警

0 引言

當前，網絡已經進入到人民生活的方方面面，無論是在生活還是工作中，可以說是必不可少。然而由于種種應用程序存在的各種各樣的漏洞，網絡本身的缺陷以及黑客的存在，引發的網絡安全事件也越來越多，網絡安全受到了極大的威脅，信息詐騙、信息泄露事件已經變得十分普遍。

“蜜罐”的思想是主動防御，它的概念最早出現在1988年Clifford Stoll博士發表的一篇為《Stalking the Wily Hacker》的文章,最初的構想就是利用虛假情報引誘攻擊者進入到被監控環境。所以它專門設計成包含漏洞的可以被攻擊和入侵的系統，它的價值就在于黑客攻擊，從而能夠獲取有關于黑客的各種信息。

1 蜜罐和蜜罐網絡

蜜罐主要是一個預先配置好的、故意包含有漏洞的系統，引誘攻擊者主動進入到受控環境中來，使用各種監控方式來記錄攻擊者的一舉一動。同時產生關于當前攻擊行為的分析記錄，甚至可以分析出系統或者程序中存在的漏洞，掌握攻擊者所使用的工具和方法，自動修補系統中存在的漏洞，大大提升了系統和網絡的安全性，使得攻擊者此次的攻擊行為失敗。收集到的關于攻擊行為的相關記錄也為網絡管理員提供了一些當前系統的不足，采取更安全的保護措施，降低以后被攻擊成功的可能性，重要的系統或網絡的安全得到保障。

蜜罐與蜜網系統作為主動防御的一種方式，主要有下面兩點作用：

（1）收集攻擊者的信息

思想是什么，怎么實現的攻擊，使用的工具又是怎樣的，這都是在受到攻擊之后研究人員會考慮到的問題。現在有了蜜罐和蜜網，我們可以相對比較容易了解到黑客的這些信息，與此同時，找到自己的不足并彌補掉，避免以后遭受類似的攻擊。正是蜜罐這種變被動為主動的思想，讓它在網絡安全中占據了一席之地，使它的地位不能被替代。

（2）保障工作系統的安全

維護網絡始終處在相對安全的環境的最重要意義便是保障工作系統的安全。接下來對幾個方面進行說明：

①抵御攻擊。蜜罐與蜜網技術能夠使攻擊者把注意放在它們身上，不斷誘使黑客發起進攻。但是從其他角度出發，有些攻擊者在進行攻擊之前也會慎重的考慮，可能認為要進攻的網絡中設計了陷阱引誘他去跳，但是又不確定是什么樣的，就會放棄攻擊。所以可以說它也能夠一定程度上地提高了工作系統的安全性。

②檢測攻擊。什么樣的防御系統都可能被黑客攻擊，無論有多么強大，帶來的損失都將不可估量，所以在黑客進行攻擊時，檢測系統一定要盡早發現，把損失降到最低。

③響應。傳統入侵檢測技術對數據有很多錯誤的報告或者所有遺漏，蜜罐和蜜網技術完全沒有這方面的問題。經過蜜罐采集到的信息，誤報率特別低，可信度特別高。

入侵檢測系統對先進的、全新的攻擊手段的攻擊一般來說難以有所反應，蜜罐和蜜網技術對其這個漏洞做了良好的補充，它們的意義就是在于吸引攻擊者的注意，讓他們攻擊。只要黑客在蜜罐上攻擊了裝有蜜罐的網絡，它的行動便會被發現，就會采取相應的措施去盡量避免掉被攻擊的可能。

實現虛擬蜜網的關鍵就是虛擬機，能夠安裝虛擬機的技術有很多，例如VMware,UML，Virtual PC等，本設計使用的是VMware,下面對它進行介紹。

VMware是目前被應用最廣泛的實現虛擬機的軟件，它擁有強大的功能，能夠建立在操作系統為Windows和Linux的用戶主機上。它的優點主要有：

（1）操作系統的選擇很多樣化。

（2）VMmware有GHOST文件，便于蜜罐的備份。

（3）有良好的升級服務、技術支持。

（4）三種不同的聯網方式---NAT模式、主機模式和橋接模式，可以滿足不同的用戶需求。

2 虛擬蜜網系統的設計與實現

蜜網結構主要有主機(控制機)，和兩個虛擬機：Honeywall（蜜墻），Honepot（蜜罐）。蜜墻的網絡接口其中的eth1與eth2負責分配蜜罐和管理端的兩個網段。蜜墻類似于橋接器，VMware的默認接口VMnetl接到eth1上，因此蜜罐主機的IP與主機的eth0應在一個相同的網段，我將蜜罐主機的IP設為10.166.1.10，計算機主機的eth0的IP 設置為10.166.1.108，將10.166.1.1設為主機的eth1的 IP，蜜罐與管理機也因此不在相同的網段上，就能達到保護管理機的目的。eth0 (10.166.1.108)和eth2 (10.166.1.1)均定義在宿主主機上避免掉了網卡不夠用的問題。

3 掃描攻擊測試

在宿主主機上運行Zenmap對虛擬機蜜罐進行掃描，Zenmap主要是對端口進行掃描。掃描蜜罐機如圖1所示。

圖1 掃描蜜罐機

本設計采用了Navicat premium連接到MySQL數據庫，通過3306端口，獲取蜜墻的數據表，其中IDS表記錄了入侵檢測系統的數據，它的每一列都代表著一個屬性。數據表如圖2所示。

圖2 數據表

4 結束語

隨著攻擊者知識的日趨成熟，攻擊工具和方法的日趨復雜多樣，單純的防火墻、入侵檢測等策略己經無法滿足對安全高度敏感的部門需求。網絡的防衛必須采用一種縱深的多樣的手段。當今的網絡環境也變得越來越復雜，各式各樣的復雜設備，需要不斷升級、補漏，使得網絡管理員的工作不斷加重。在這種條件下，蜜罐技術成了一種新的網絡安全解決方案，不僅受到愈來愈多的人的關注，而且己經開始在不同的環境中發揮其關鍵作用。

[1]CNCERT.2014年我國互聯網網絡安全態勢報告.2015,4.

[2]程曦.基于蜜網的攻擊目標構建方法研究[D].廈門大學, 2013.

[3]董國鋒.基于協同的虛擬蜜網實現與分析[D].華東師范大學, 2010.

[4]岳洋.基于Snort的蜜罐系統的設計與實現[D].哈爾濱理工大學, 2009.

[5]姚東鈮.蜜罐技術的原理及現狀研究[D].企業導報, 2010.

[6]董婭妮.基于Honeyd的惡意網頁入侵檢測[D].中國礦業大學, 2014.

[7]王向輝.虛擬蜜網系統研究與設計[D].哈爾濱工程大學, 2006.

[8]馬肖.基于GAP技術的安全隔離網閘硬件平臺的設計[D].西北工業大學, 2005.

[9]鄭曉芳，陳晶，陳建軍，杜瑞穎，萬志偉.基于資源爭奪特征的蜜罐檢測方法[J].武漢大學學報(理學版), 2013.

[10]梁興柱.網絡安全—“蜜罐”技術研究與實現[D].大慶石油學院, 2006.

[11]樊萍.基于Honeypot技術的網絡信息安全研究[D].西北工業大學, 2004.

[12]徐蘭云.增強蜜罐系統安全性的相關技術研究[D].湖南大學, 2010.

[13]王文明，李海煒.SQL服務器注入攻擊的主動防御技術研究[J].計算機科學, 2012.

[14]路苑，劉素芹.蜜網技術在軍隊網絡安全中的應用研究[J].儀器儀表用戶, 2010.

[15]Xu Mingkun, Chen Xi, Hu Yan. Design of software to Search ASP Web Shell. Procedia Engineering,2012,29:123-127.

[16]Yung-Tsung Hou, Yimeng Chang, Tsuhan Chen. Malicious web content detection by machine learning. Expert Systems with Applications,2010,37(1):55-60.

[17]S.A. Parah，J.A. Sheikh.A secure and robust information hiding technique for covert communication. International Journal of Electronics，2015，Vol.102 (8)，pp.1253-1266.