摘要：本文通過對傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)存在的問題進(jìn)行分析，引入了蜜網(wǎng)技術(shù)，并且在傳統(tǒng)的蜜網(wǎng)技術(shù)的基礎(chǔ)上進(jìn)行改進(jìn)，使蜜網(wǎng)具有自動學(xué)習(xí)的功能，并且添加了報警模塊，數(shù)據(jù)挖掘模塊以及管理員的人為分析因素。

關(guān)鍵詞：入侵檢測技術(shù)；防火墻技術(shù)；蜜網(wǎng)技術(shù)；數(shù)據(jù)挖掘

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)12-20ppp-0c

Design and Implementation on the Study Honeynet

ZHANG Qing-jun， LIU Xiao-qing， CUI Feng-yun

(School of Information Science Technology， SWJTU， Chengdu 610031， China)

Abstract: This article introduce the honey net technology， through carries on the analysis to the tradition network security technology existence's question，， and makes the improvement in the traditional honey net technology's foundation， enables the honey net technology to have the automatic study function， and increased the warning module， data mining module as well as increased manager's artificial analytical factor.

Key words: Intrusion Detection Technology， Firewall Technology， Honeynet Technology， Data mining

1 傳統(tǒng)安全模型存在的問題

防火墻技術(shù)和入侵檢測技術(shù)，都屬于傳統(tǒng)的安全模型，他們存在很多的缺陷和不足。如他們不能防止不繞過防火墻的攻擊，經(jīng)不起人為因素的攻擊。另外防火墻對網(wǎng)絡(luò)安全進(jìn)行單點控制，不能保證數(shù)據(jù)的秘密性，不能對數(shù)據(jù)進(jìn)行鑒別，也不能保證網(wǎng)絡(luò)不受病毒的攻擊。任何防火墻不可能對通過的數(shù)據(jù)流中每一個文件進(jìn)行掃描檢查病毒。

當(dāng)然入侵檢測技術(shù)也存在著很多得問題，如會產(chǎn)生大量警報，而這些警報中大部分都是誤警，在真正的警報中，又有很多是試探行為，并沒有實現(xiàn)真正的攻擊，這使得發(fā)現(xiàn)問題的真正所在非常困難。它缺乏足夠的與其他安全工具和網(wǎng)管系統(tǒng)的集成能力。不能協(xié)調(diào)、適應(yīng)多樣性的網(wǎng)絡(luò)環(huán)境中的不同安全策略。通常無法檢測新的攻擊方式和已有攻擊方式的新變種，因而需要不斷升級、不斷增大的網(wǎng)絡(luò)流量對入侵檢測技術(shù)的數(shù)據(jù)提取能力和實時報警失靈，入侵者其后的行為將無法被記錄。

從防火墻技術(shù)，入侵檢測技術(shù)出現(xiàn)上述問題而言，說明他們不是萬能的，而且他們的問題還在于他們所采取的安全策略是先考慮系統(tǒng)可能出現(xiàn)哪些問題，然后對問題進(jìn)行分析解決。這些問題大多很難在現(xiàn)有的理論體系框架下解決，于是必須引入一種新的、不同于現(xiàn)有的理論的技術(shù)以彌補(bǔ)他們的不足，進(jìn)而解決他們的問題，這就是蜜網(wǎng)技術(shù)。

2 蜜網(wǎng)技術(shù)

“蜜網(wǎng)項目組”的創(chuàng)始人Lance Spitze給出了蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和功陷。這個定義表明蜜罐并無其他實際作用，因此流入/流出蜜罐的網(wǎng)絡(luò)流量都預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對些攻擊活動進(jìn)行監(jiān)視、檢測和分析。它并不是傳統(tǒng)安全防御技術(shù)、工具的替代，而是它們的輔助和補(bǔ)充。相對于被動防御，蜜罐最大的優(yōu)勢在于它能主動地檢測和響應(yīng)網(wǎng)絡(luò)入侵和攻擊，并且采集的信息價值很高。

蜜網(wǎng)(honeynet) 是一種高交互性蜜罐，不是單一的系統(tǒng)，而是一個網(wǎng)絡(luò)。一個典型的蜜網(wǎng)通常由防火墻、入侵檢測系統(tǒng)(IDS)和多個蜜罐主機(jī)組成。防火墻和IDS對所有進(jìn)出蜜網(wǎng)的數(shù)據(jù)進(jìn)行捕獲和控制，然后對所捕獲的信息加以分析，以便獲取關(guān)于入侵者的一些情報。在蜜網(wǎng)內(nèi)部，可以放置任何類型的系統(tǒng)來充當(dāng)蜜罐，如Solaris、Linux、Windows NT、Cisco 交換機(jī)等。這樣，就為入侵者創(chuàng)造了一個感覺更真實的網(wǎng)絡(luò)環(huán)境。同時通過對各個系統(tǒng)配置不同的服務(wù)，例如Linux DNS、Windows NT Web 服務(wù)器或者Solaris FTP 服務(wù)器，就可以了解入侵者使用的各種工具和戰(zhàn)術(shù)。

與防火墻技術(shù)和入侵檢測技術(shù)不同的是，蜜網(wǎng)是引進(jìn)了主動控制、人工智能等思想，如機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、模糊理論、遺傳算法等。他們所做的就是改變傳統(tǒng)的思路，使其更具主動性、交互性、學(xué)習(xí)性——他們的主要功能是用來學(xué)習(xí)了解入侵者的思路、工具、目的。通過獲取這些技能，互聯(lián)網(wǎng)上的組織將會更好地理解他們所遇到的威脅，并且理解如何防止這些威脅。通過蜜網(wǎng)，組織可以在與入侵者的“游擊戰(zhàn)爭”中獲得最大的主動權(quán)。

2.1 系統(tǒng)設(shè)計方案

為了解決傳統(tǒng)防火墻和入侵檢測技術(shù)的安全問題，對于未知的攻擊進(jìn)行有效檢測和捕獲，通過引入Honeypot技術(shù)，結(jié)合NIDS、防火墻技術(shù)，我們設(shè)計了一個結(jié)合了Honeypot技術(shù)、NIDS、防火墻的聯(lián)動系統(tǒng)，聯(lián)動系統(tǒng)結(jié)構(gòu)如圖1所示。

對于Honeypot軟件本文選用linux平臺下的Honeyd 1.5b，數(shù)據(jù)控制技術(shù)的實現(xiàn)本文使用多層次的數(shù)據(jù)控制機(jī)制，入侵者進(jìn)入系統(tǒng)以后首先面對的路由器，它可以防止ICMP的攻擊或者一些欺騙性的攻擊，僅僅允許源地址是網(wǎng)內(nèi)部分的主機(jī)向外發(fā)包。第二層控制機(jī)制是Honeywall，當(dāng)IDS（由開放源代碼的Snort 2.4.4工具實現(xiàn)）檢測到異常數(shù)據(jù)時，由Honeywall完成路由重定向功能，將攻擊數(shù)據(jù)轉(zhuǎn)移到Honeypot，從而完成對業(yè)務(wù)網(wǎng)絡(luò)的保護(hù)以及對攻擊行為數(shù)據(jù)的捕捉和分析。對于數(shù)據(jù)捕獲我們可以有效利用防火墻日志信息以及IDS捕獲到的有效數(shù)據(jù)。另外還有Honeypot的日志信息供我們分析。對于數(shù)據(jù)分析我們將捕獲來的數(shù)據(jù)使用Apriori算法進(jìn)行數(shù)據(jù)挖掘。處理過的數(shù)據(jù)利用發(fā)郵件的方式向管理員發(fā)出警報，并且把形成的入侵規(guī)則發(fā)給管理員由管理員決定是否調(diào)整防火墻及入侵檢測系統(tǒng)策略，將新生成的規(guī)則加入到防火墻及入侵檢測系統(tǒng)。

2.2 部分模塊的實現(xiàn)（添加報警功能）

Honeyd 將日志記錄作為郵件內(nèi)容，每12小時向安全管理人員的郵箱發(fā)送一次最新的報警信息。間隔時間可根據(jù)系統(tǒng)的重要程度、實際狀況等而調(diào)整。發(fā)送前我們先對Honeyd記錄的日志進(jìn)行一次處理，將同一個源IP地址的攻擊信息放入一個文本文件，再依次發(fā)送不同源IP的文件內(nèi)容。已處理完的日志，我們將它的記錄復(fù)制到另一個備份文件，并將原日志文件清空，避免對同一記錄處理兩次。

報警流程為：

（1）設(shè)置定時器，達(dá)到報警間隔時間，便觸發(fā)日志處理；

（2）提取源IP地址，根據(jù)IP地址記錄攻擊信息；

（3）發(fā)送文件到電子郵箱。

2.3 實驗分析

本系統(tǒng)數(shù)據(jù)處理流程如圖2所示，綜合了Honeypot、防火墻、NIDS三者的優(yōu)點，對已知類型的攻擊，通過正確設(shè)置NIDS和防火墻規(guī)則，檢測率為100%；對未知類型的攻擊，根據(jù)其掃描策略的不同，檢測率平均在60%以上（此數(shù)據(jù)與試驗所使用到的本網(wǎng)段中未被使用到的IP地址數(shù)量有關(guān)）。

3 結(jié)束語

本文所部署的系統(tǒng)具有防火墻、NIDS、Honeypot三者單獨使用所達(dá)不到的效果，不但能檢測出未知攻擊，而且能成功捕獲攻擊副本、同時轉(zhuǎn)移攻擊流量以達(dá)到減輕攻擊對目標(biāo)網(wǎng)絡(luò)攻擊的目的，其缺點是當(dāng)服務(wù)器面對新型攻擊時也存在一個危險期，即在從攻擊數(shù)據(jù)挖掘出日志信息、得到新規(guī)則給NIDS和防火墻之間的這段時間，攻擊有可能繞過防火墻進(jìn)入敏感網(wǎng)絡(luò)并造成破壞。因此，對于本系統(tǒng)，實時性是一個巨大挑戰(zhàn)。

參考文獻(xiàn)：

[1] 王鐵方，李濤.蜜網(wǎng)與防火墻及入侵檢測的無縫結(jié)合的研究與實現(xiàn)[J].四川師范大學(xué)學(xué)報（自然科學(xué)版），2005，28(1).

[2] 賈坤，湯澤瀅.基于Honeypot的網(wǎng)絡(luò)蠕蟲聯(lián)動對抗技術(shù)[J].信息安全與通信保密，2006(9).

[3] 劉寶旭，曹愛娟，許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述[J].計算機(jī)工程，2004(9):1-3.

[4] Lance Spitzner， \" Honeypots， tracking the hackers \"， 2002， http://www.tracking-hackers.com.

[5] Honeynet Project. Know Your Enemy: GenII Honeynets[EB/OL]. http://project.honeynet.org.

[6] Honeynet Project. You’re your Enemy: Honeynets [EB/OL]. http://project.honeynet.org. Design of honeynet system.