鄭昌興　羅　揚

摘要：本文探討了Honeynet（陷阱網(wǎng)絡(luò)）的概念、實現(xiàn)、特點。闡述了從主動防御的角度解決網(wǎng)絡(luò)安全的問題，從而將入侵者的行為引入一個可以控制的范圍，了解其使用的方法和技術(shù)，追蹤其來源，記錄其所有的操作。

關(guān)鍵詞：網(wǎng)絡(luò)安全；陷阱網(wǎng)絡(luò)；主動防御；入侵檢測

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)18-20000-00

The analysis and implementation of Honeynet Based Proactive Defence

ZHENG Chang-xing1,LUO Yang2

(1.Nanjing Political College,Nanjing 210003,China;2.Jinling School of Science and Technology Institute of Information Technology,Nanjing 211169,China)

Abstract: This paper introduces Honeynet based on proactive defence, discusses its conception, implement and character. The Honeynet based on proactive defence can trap and track the hack and record his intrusion.

Key words: Network security; Honeynet; Proactive defence; Intrusion Detection

隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們對網(wǎng)絡(luò)的依賴程度越來越高，這使得如何保護網(wǎng)絡(luò)自身安全以及網(wǎng)絡(luò)上信息的安全成為一個迫切需要解決的問題。為了提高網(wǎng)絡(luò)及其信息的安全性，人們已經(jīng)采用了諸如防火墻、入侵檢測、加密等技術(shù)手段，然而，這些網(wǎng)絡(luò)防范技術(shù)大多基于規(guī)則和特征匹配的方式工作，且是針對現(xiàn)有攻擊技術(shù)的。隨著攻擊技術(shù)的發(fā)展，現(xiàn)有防護技術(shù)往往無法識別新的攻擊技術(shù)，因此總是處于被動地位。基于主動防御思想的Honeynet（陷阱網(wǎng)絡(luò)）的提出扭轉(zhuǎn)了這種局面，通過配置Honeynet（陷阱網(wǎng)絡(luò)），可以詳細了解入侵者的入侵過程、及時發(fā)現(xiàn)新的攻擊技術(shù)，同時還可以提供相同配置網(wǎng)絡(luò)所存在的安全風險和薄弱環(huán)節(jié)的信息，因此研究Honeynet對于提高防護能力具有極其重要的意義。

1 Honeynet的概念

Honeypot即蜜罐系統(tǒng)最初由幾位計算機安全專家在論文中提到，它是指建立一個或多個對網(wǎng)絡(luò)入侵者具有一定吸引力的系統(tǒng)，并且可以對系統(tǒng)內(nèi)所發(fā)生的活動進行監(jiān)測。通過監(jiān)測來往Honeypot的活動，來識別問題所在，并能夠合理地推斷出入侵者的入侵方式，以及他們在系統(tǒng)中的行為。Honeypot是與已有系統(tǒng)相聯(lián)的單獨系統(tǒng)，其目的在于吸引攻擊者。

Honeynet即陷阱網(wǎng)絡(luò)是Honeypot的發(fā)展，是專門為入侵者攻擊設(shè)計的網(wǎng)絡(luò)。其工作原理為：在主動引入或誘騙機制的作用下，將入侵者的入侵行為引入到一個可以控制的范圍，消耗其時間，了解其使用的技術(shù)和手段，追蹤其來源，記錄其所有操作。如圖1所示，Honeynet位于一個防火墻之后，由多個Honeypot組成，所有的進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)都會被容納、捕獲和控制。并對所捕獲的信息進行分析，以獲取關(guān)于入侵者攻擊的信息。

圖1Honeynet應(yīng)用示意圖

這里的Honeypot可以是各種類型的系統(tǒng)如Solaris、Linux、Windows NT、Cisco交換機等等，其優(yōu)勢在于可以為入侵者創(chuàng)造一個更具有真實“感覺”的網(wǎng)絡(luò)環(huán)境。所有置于Honeynet內(nèi)的系統(tǒng)都是標準的產(chǎn)品系統(tǒng)，這些系統(tǒng)都是真實的系統(tǒng)和應(yīng)用，與當前Internet上的系統(tǒng)一致。

2 Honeynet的設(shè)計實現(xiàn)

設(shè)計實現(xiàn)Honeynet包括兩個關(guān)鍵性的主要因素：數(shù)據(jù)控制和數(shù)據(jù)捕獲。

數(shù)據(jù)捕獲是指捕獲可疑入侵者在Honeynet中所有的行為以及流入和流出Honeynet的數(shù)據(jù)。由于Honeynet經(jīng)常處于入侵者的攻擊環(huán)境中，捕獲數(shù)據(jù)需要注意兩點：一是在捕獲數(shù)據(jù)時要防止入侵者知曉自己正處于監(jiān)視之下；二是捕獲到的數(shù)據(jù)不能保存在Honeypot本地，因為這樣入侵者就有可能會發(fā)現(xiàn)這些數(shù)據(jù)，從而提醒他們該Honeynet的實質(zhì)，而且當入侵者摧毀或者修改了系統(tǒng)時這些數(shù)據(jù)就會丟失掉。

數(shù)據(jù)控制是指進出Honeynet的流量必須要以一種自動的方式加以控制，以免引起入侵者的懷疑。一旦Honeynet內(nèi)部的某個Honeypot被入侵者攻破，就必須要容納該入侵者并且要確保該Honeypot不會被用來攻擊其他網(wǎng)絡(luò)中的正常系統(tǒng)。因此實現(xiàn)數(shù)據(jù)控制的方法是創(chuàng)建一個高度受控的網(wǎng)絡(luò)。圖2所示，為Honeynet的實現(xiàn)方式。

圖2 Honeynet結(jié)構(gòu)示意圖

2.1.數(shù)據(jù)捕獲

數(shù)據(jù)捕獲是Honeynet內(nèi)部所進行的全部活動的集合，是Honeynet的全部目的所在。如果捕獲數(shù)據(jù)失敗，Honeynet也就失去了作用。因此Honeynet采用分層技術(shù)來捕獲數(shù)據(jù)。

第一層為訪問控制設(shè)備層，如防火墻或者路由器。任何進出Honeynet的報文都必須經(jīng)過這些設(shè)備，正常情況下，它們的日志會記錄下進出Honeynet的活動。對于大多數(shù)網(wǎng)絡(luò)而言，TELNET、RPC以及ICMP是很常見的，因此區(qū)分出正常的RPC請求和惡意的攻擊掃描是比較困難的。可采取如下的解決方法：對所有進出網(wǎng)絡(luò)的數(shù)據(jù)進行標記。不僅要在防火墻處記錄下這部分信息，而且還希望能夠?qū)λ鼈兊某霈F(xiàn)加以預(yù)警。因此可以對Honeynet的防火墻進行配置，使得無論何時只要出現(xiàn)了請求連接的嘗試就進行預(yù)警。

第二層為網(wǎng)絡(luò)層，對網(wǎng)絡(luò)中流動的所有報文進行捕獲和分析。該層會收集兩類信息：可疑的簽名預(yù)警和報文載荷。其中可疑的簽名預(yù)警指的是根據(jù)報文簽名尋找可疑活動或者惡意活動的過程。一旦識別出了此類簽名，就會發(fā)出警報；由于報文載荷會準確地告知網(wǎng)絡(luò)上當前正在進行的活動，因而其對數(shù)據(jù)分析而言是極為重要。入侵檢測系統(tǒng)能夠根據(jù)可疑簽名捕獲到整個報文載荷及發(fā)出預(yù)警，可將上述兩項功能組合到其中。此外，使用入侵檢測系統(tǒng)不僅可以捕獲進出Honeynet的流量，而且可以捕獲進出Honeynet內(nèi)各honeypot的流量，進出Honeynet內(nèi)各honeypot的流量是防火墻和訪問控制日志所無法捕獲的數(shù)據(jù)。

要捕獲所有的數(shù)據(jù)，單純依靠防火墻日志或者入侵檢測系統(tǒng)是不夠的。例如，如果某個入侵者對Honeynet使用了諸如ssh之類的加密通信，那么進行數(shù)據(jù)捕獲會更加困難。在這種情況下，就只能依靠系統(tǒng)本身來捕獲擊鍵和系統(tǒng)活動。系統(tǒng)對數(shù)據(jù)的捕獲就構(gòu)成了數(shù)據(jù)捕獲的下一層。一旦系統(tǒng)被攻破，它就可以提供大量信息，這些信息包括入侵者所使用的工具、源代碼、rootkit、配置文件以及諸如.history或進程統(tǒng)計之類的系統(tǒng)文件。

然而，如前所述，不論系統(tǒng)捕獲到的數(shù)據(jù)是什么都不能將其保存在本地。所有的系統(tǒng)數(shù)據(jù)都必須進行遠程保存，以保證其完整性。在Honeynet內(nèi)部引入一個專用的系統(tǒng)日志服務(wù)器（Log/Alert服務(wù)器），其目的是收集來自Honeynet系統(tǒng)的所有系統(tǒng)日志。同時系統(tǒng)日志服務(wù)器本身也是一個復(fù)雜的Honeypot，而且是Honeynet中最受安全保護的系統(tǒng)，這樣就可以讓入侵者亮出他們最為復(fù)雜的工具和戰(zhàn)略。

2.2 數(shù)據(jù)控制

圖2中包含三大網(wǎng)絡(luò)，分別為：Internet，Honeynet和管理網(wǎng)絡(luò)，并且用防火墻隔開。其中Internet是不可信網(wǎng)絡(luò)，是入侵者的來源地。Honeynet是一組Honeypot的集合。管理網(wǎng)絡(luò)是一個可信的網(wǎng)絡(luò)，也是進行遠程數(shù)據(jù)搜集和Honeynet網(wǎng)絡(luò)管理的地方。進入Honeynet的所有流量都必須首先經(jīng)過防火墻。防火墻對于數(shù)據(jù)控制和網(wǎng)絡(luò)分割是相當關(guān)鍵的。防火墻定義了三條規(guī)則，用于控制數(shù)據(jù)的流向。

1)何人都可以發(fā)起從Internet到Honeynet的連接。

2)防火墻控制著Honeypot能夠發(fā)起與Internet連接的方式。

3)Honeynet和管理網(wǎng)絡(luò)之間沒有任何直接的通信。

第一條規(guī)則定義了防火墻允許一切入站的流量，從而也就允許入侵者探測、識別和攻擊易受攻擊的系統(tǒng)；第二條規(guī)則定義了允許從Honeynet向Internet發(fā)出連接的數(shù)量，這個數(shù)量必須仔細的選擇，因為一旦某個Honeypot被攻入，如果入侵者不能發(fā)起通往Internet的連接，他們中的大部分人就會迅速對該網(wǎng)絡(luò)產(chǎn)生懷疑；若允許無限制的對外連接，被攻入的系統(tǒng)就有可能被用于探測或者攻擊Internet上的其他系統(tǒng)；第三條規(guī)則禁止Honeynet和管理網(wǎng)絡(luò)直接通信，因為該網(wǎng)絡(luò)在Honeynet內(nèi)是極為關(guān)鍵的，負責數(shù)據(jù)的收集和Honeynet網(wǎng)絡(luò)的管理，禁止Honeynet和管理網(wǎng)絡(luò)的直接通信，就可以防止入侵者以Honeynet為跳板，入侵管理網(wǎng)絡(luò)，從而清除捕獲的數(shù)據(jù)。

2.3 實現(xiàn)Honeynet所要注意的問題

配置和使用Honeynet往往意味著要承擔一定的風險。在Honeynet的一般設(shè)置中，系統(tǒng)均為默認安裝。也可以通過設(shè)置系統(tǒng)可以“讓Honeynet更加甜美”，如：向系統(tǒng)中添加用戶賬號，甚至是一些真實賬號，并將這些用戶加入到郵件列表中，創(chuàng)建這些用戶間的E-mail，使得他們看上去處于活動狀態(tài)。入侵者常常會試圖去嗅探此類流量并從中捕獲登錄/密碼。不過在“讓Honeynet更加甜美”的同時，也相應(yīng)的增加了Honeynet的風險性。

要確保采取一切措施以降低其風險性，持續(xù)進行監(jiān)控，并要維持一個安全的環(huán)境。雖然防火墻可以監(jiān)控外網(wǎng)發(fā)起的連接，但入侵者還是有可能躲避訪問控制，即使對出站連接加以嚴格的限制也不例外。不妨假定高度安全的Honeynet嚴格限制了出站連接的數(shù)目，只允許其中的每個系統(tǒng)發(fā)起一次對外的連接。一旦某個honeypot被攻破，入侵者就可以利用這個惟一的允許連接，使用FTP從Internet上下載所需的工具包。

3 Honeynet的特點

Honeynet是一個在網(wǎng)絡(luò)信息攻防中產(chǎn)生的一個新技術(shù)，正如一切新技術(shù)一樣有待進一步完善。Honeynet的主要優(yōu)點包括：

1)Honeynet具有主動防御的特點：陷阱網(wǎng)絡(luò)系統(tǒng)具有記錄、分析入侵者入侵過程的功能，這樣就可以預(yù)先采取有效的手段防御以后類似的攻擊；由于吸引入侵者的入侵，使其在陷阱機上花費大量的時間和精力，從而確保了提供真實服務(wù)的主機的安全；跟蹤功能可以對入侵者進行有效的追蹤，配合入侵取證功能對計算機犯罪進行有力的打擊。

2)系統(tǒng)穩(wěn)定，具有很強的自保護功能：每個偽裝環(huán)境都具有入侵者不能突破的功能限制，完善的、復(fù)雜的偽裝使入侵者陷入其中，另外，為了保證所有的網(wǎng)絡(luò)通信安全和日志完整性，采用了加密和隔離的手段。

3)有效地抵御來自外部的攻擊和內(nèi)部的威脅：陷阱系統(tǒng)的安全策略建立在能同時抵御外部入侵和內(nèi)部攻擊的安全解決方案上，可以有效地抵御來自外部和內(nèi)部的威脅。

Honeynet的主要缺點包括：

1)Honeynet是復(fù)雜的系統(tǒng)，需要經(jīng)常的維護、管理和監(jiān)視。

2)構(gòu)建和使用Honeynet存在一定的危險性。

3)在一定程度上增大了系統(tǒng)開銷（增大網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)傳輸），增加了成本（硬件、軟件、人員工作量）。

4 結(jié)束語

Honeynet提供了一種主動地了解入侵者的目的、工具和手段的方法，其主要目的是學(xué)習(xí)和了解入侵者。它引入了不同的思想方法，不是消極防守，而是主動地實時監(jiān)視、觀察入侵者，陷阱和實際的網(wǎng)絡(luò)結(jié)構(gòu)比較相近，有重要的實際應(yīng)用價值，但是陷阱也不能解決所有的安全問題和觀測到所有入侵的手段，只有正確地管理和應(yīng)用陷阱，才能正確地評價自己的網(wǎng)絡(luò)和入侵者。

參考文獻：

[1] Honeynet Project. 入侵者大揭密[M].北京：中國電力出版社，2003.

[2] 王利林，許榕生.基于主動防御的陷阱網(wǎng)絡(luò)[J].計算機工程與應(yīng)用,2002,38（17）：177－179.

[3] 尤元建,畢建良,鄒榮金.入侵監(jiān)測－陷阱技術(shù)分析及實現(xiàn)[J].江蘇大學(xué)學(xué)報，2002，23(1):87－90.

[4] 劉寶旭,許榕生.主動型安全防護措施－陷阱網(wǎng)絡(luò)的研究與設(shè)計[J].計算機工程，2002，28(12):9-12.

收稿日期：2008-04-17

作者簡介：鄭昌興（1979-）男，新疆昌吉人，南京政治學(xué)院講師，碩士，主要從事網(wǎng)絡(luò)信息安全研究。