摘要：隨著計算機網(wǎng)絡(luò)的發(fā)展，計算機犯罪現(xiàn)象呈現(xiàn)越來越嚴(yán)重化的趨勢，為了獲取犯罪證據(jù)，計算機取證問題近年也成為計算機領(lǐng)域的熱門話題。針對目前對網(wǎng)絡(luò)攻擊取證多采用案發(fā)后再采集證據(jù)的不足，重點討論了主動取證的工作模式，即在網(wǎng)絡(luò)攻擊的過程中完成預(yù)警和取證工作，HoneyPot就是解決此問題的一種技術(shù)。

關(guān)鍵詞：計算機犯罪；計算機取證；網(wǎng)絡(luò)安全；蜜罐

中圖分類號：TP3 文獻標(biāo)識碼：A文章編號：1009-3044(2008)30-0736-02

Application of HoneyPot in the Computer Forensics

LU Jian-wei，WANG De-guang

(Department of Computer Science and Technology， Da Lian Jiao Tong University， Dalian16028， China)

Abstract: With the development of computer networks， computer crime phenomenon of more and more serious trend， in order to obtain evidence of a crime， computer forensics problem in recent yearshas also become a hot topic in the computer field. In light of the attacks at the use of evidence collected after the lack of evidence， the paper focused on the evidence of the active mode， that is， network attacks in the course of the work completed early warning and Evidence， HoneyPot is to solve the problem of a technology.

Key words: computer crime; computer forensics; network security; honeypot

1 計算機取證的相關(guān)問題

1.1 什么是計算機取證

對于計算機取證概念的認(rèn)識， 主要有以下幾種觀點:

1) Lee Garber 在IEEE Security 發(fā)表的文章中認(rèn)為:“計算機取證是分析硬盤驅(qū)動、光盤、軟盤、Zip 和Jazz 磁盤、內(nèi)存緩沖以及其它形式的儲存介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程?！?/p>

2)計算機取證資深專家Judd Robbins 對計算機取證給出的定義如下:“計算機取證是將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取?！?/p>

3)計算機緊急事件響應(yīng)小組和取證咨詢公司New Technologies 的定義如下:“計算機取證包括了對以磁介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認(rèn)、提取和歸檔?！?/p>

4) SANS公司對計算機取證技術(shù)歸結(jié)為:“計算機取證是使用軟件和工具，按照一些預(yù)先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關(guān)計算機犯罪的證據(jù)?！?/p>

綜上，我們認(rèn)為:計算機取證就是利用計算機技術(shù)，依法對計算機證據(jù)進行發(fā)現(xiàn)、固定、提取、分析，從而提供具有說服力并能被司法機關(guān)用作呈堂證供的電子證據(jù)的過程。

1.2 計算機取證面臨的問題

由于計算機證據(jù)和傳統(tǒng)證據(jù)之間有很大的差別，造成了計算機取證的特殊性和復(fù)雜性。首先隨著計算機黑客技術(shù)的發(fā)展， 犯罪嫌疑人會利用各種技術(shù)手段清除證據(jù)或掩蓋痕跡， 而且犯罪的證據(jù)是很容易被更改; 其次， 根據(jù)具體產(chǎn)生日志的計算機的不同， 通常日志數(shù)據(jù)被覆蓋重寫的時間間隔短則幾分鐘， 長則數(shù)月， 在獲取證據(jù)階段， 取證人員必須盡快采取行動， 否則這些日志可能永遠消失了。因此在計算機系統(tǒng)已遭入侵的情況下， 對計算機犯罪的電子證據(jù)進行事后靜態(tài)取證， 很難保證獲得的證據(jù)是真實的和有效的， HoneyPot就是一種行之有效的解決方法。

2 HoneyPot的概念

2.1 HoneyPot的定義

HoneyPot，又稱為蜜罐技術(shù)，是一種可被黑客探測、攻擊甚至可被攻破而泄密的安全資源，即:不管一個HoneyPot是如何設(shè)計的，其目的就是被探測、攻擊甚至被利用。HoneyPot上的資源可以是仿效的操作系統(tǒng)或應(yīng)用程序，也可以是真實的系統(tǒng)或程序，總之是建立一個誘騙環(huán)境，吸引攻擊者或入侵者，觀察其在里面所作的一切行為并把這些行為記錄下來形成日志對此進行研究和分析攻擊者所使用的工具、策略及其目的。

2.2 HoneyPot的優(yōu)點

1) 阻止攻擊—極少的入侵者會侵襲一個設(shè)計用來監(jiān)控和捕獲他們詳細行為的網(wǎng)絡(luò)。

2) 使攻擊者保持興趣—如果沒對所攻擊的產(chǎn)品服務(wù)造成損失，攻擊會對這樣的系統(tǒng)更感興趣。

3) 教育—正確設(shè)計和配置的HoneyPot會提供攻擊系統(tǒng)所使用的方法等信息。

4) 檢測內(nèi)部攻擊—由于大多數(shù)IDS系統(tǒng)很難檢測來自內(nèi)部的攻擊，而HoneyPot在這方面卻很有價值。

5) 迷惑攻擊者—HoneyPot提供給攻擊者仿造的數(shù)據(jù)使其同真實的數(shù)據(jù)一樣，從而使本身不被攻擊者懷疑。

2.3 HoneyPot的主要技術(shù)

1) 欺騙技術(shù)

為了使HoneyPot對入侵者更具有吸引力，就要采用各種欺騙手段。比如，在欺騙主機上模擬一些操作系統(tǒng)或各種漏洞、在一臺計算機上模擬整個網(wǎng)絡(luò)、在系統(tǒng)中產(chǎn)生仿真網(wǎng)絡(luò)流量、裝上虛假的文件路徑及看起來象真正有價值的相關(guān)信息等等。通過這些辦法，使HoneyPot主機更象一個真實的工作系統(tǒng)，誘使入侵者上當(dāng)。

2) 端口重定向技術(shù)

利用端口重定向技術(shù)，可在工作系統(tǒng)中模擬一個非工作服務(wù)。例如，工作系統(tǒng)運行Web服務(wù)(端口80)，可以將Teinet服務(wù)(端口23)重定向到一個HoneyPot，因為這兩個服務(wù)在工作系統(tǒng)中沒有打開，所有對這兩個端口的訪問(可認(rèn)為是入侵行為)實際上都在HoneyPot系統(tǒng)中，而不是工作系統(tǒng)。

3) 報警技術(shù)

HoneyPot必須具備報警功能，當(dāng)系統(tǒng)被攻擊時能夠通知管理員，以便進行實時監(jiān)視和跟蹤。

4) 數(shù)據(jù)控制

HoneyPot是專門用于被攻占的系統(tǒng)，但不能允許入侵者將它作為跳板去攻擊其他系統(tǒng)，因此要控制系統(tǒng)的數(shù)據(jù)流量而不被入侵者懷疑。入侵者攻占一個系統(tǒng)后，最需要的是網(wǎng)絡(luò)連接，以便從網(wǎng)上下載工具包、建立IRC連接等，這正是要分析的內(nèi)容，因此必須給他做這些事情的權(quán)利。若不允許任何往Intemet發(fā)的包，入侵者會懷疑系統(tǒng)是HoneyPot，使他不敢再作逗留，擦掉所有蹤跡溜之大吉。

5) 數(shù)據(jù)捕獲

要在不被入侵者發(fā)現(xiàn)的情況下，捕獲盡可能多的信息，包括輸入;輸出信息、鍵擊和屏幕捕獲，以便從中分析他們所使用的工具、策略和動機。這可能要系統(tǒng)進行一些修改，但要盡可能少，以免被入侵者發(fā)覺。捕獲的數(shù)據(jù)不能放在oneyPot主機上，否則容易被入侵者發(fā)現(xiàn)，讓他知道該系統(tǒng)是一個HoneyPot時他會銷毀證據(jù)。因此要把數(shù)據(jù)記錄在遠程安全的主機上。

3 HoneyPot的部署

HoneyPot可以放置在網(wǎng)絡(luò)的任何位置，可在防火墻內(nèi)、防火墻外或者是DMz區(qū)。

1) 如果是單個的系統(tǒng)，通常與要保護的工作系統(tǒng)放在一起，以吸引攻擊者。例如，要保護公司網(wǎng)絡(luò)內(nèi)部主機的安全，可將HoneyPot部署在網(wǎng)絡(luò)內(nèi)部(防火墻內(nèi));若要保護Web、FTP等服務(wù)器，則將它部署在防火墻外的DMZ區(qū)。圖1表示了HoneyPot的位置。

2) 如果HoneyPot要保護的是一個網(wǎng)絡(luò)系統(tǒng)，通常不放在實際工作網(wǎng)絡(luò)內(nèi)部。圖2顯示了HoneyNet的位置。

3) 虛擬HoneyPot

如果為了解決為每一個需要保護的機器都安裝HoneyPot投入成本太多的問題，可以用虛擬HoneyPot技術(shù)來模擬多個系統(tǒng)，以吸引更多的攻擊者或入侵者。可以用相關(guān)軟件搭建一個虛擬HoneyPot系統(tǒng)，如Honeyd。Honeyd是一款源代碼開放，可免費使用的軟件，它是用C語言編寫的可創(chuàng)建虛擬蜜罐的框架。它可以同時模擬上百甚至上千臺不同的虛擬計算機，每個虛擬計算機和一個未使用的IP綁定在一起。這些虛擬機可以模擬不同的操作系統(tǒng)以及與該操作系統(tǒng)相關(guān)聯(lián)的服務(wù)。

4 結(jié)束語

文章討論了基于Honeypot理論的網(wǎng)絡(luò)入侵誘騙技術(shù)，它不同于一般的被動防范，而是一種主動防御的安全技術(shù)。隨著越來越多的用戶開始在網(wǎng)絡(luò)中使用Honeypot，更多的產(chǎn)品將會被開發(fā)。蜜罐技術(shù)的最終目標(biāo)是能夠?qū)Ω咧巧毯头磻?yīng)敏捷的黑客進行欺騙，而現(xiàn)有的蜜罐技術(shù)還遠未成熟，在欺騙的復(fù)雜性、部署維護的難度及范圍上都還存在著較大的缺陷，所以要形成成熟的蜜罐技術(shù)是非常具有挑戰(zhàn)性的。目前常用的方法是和防火墻、ids技術(shù)相結(jié)合，來綜合發(fā)揮各自的優(yōu)勢完成計算機犯罪的系統(tǒng)取證。

參考文獻：

[1] 徐超漢，柯宗貴.計算機網(wǎng)絡(luò)安全實用技術(shù)[M].北京:電子工業(yè)出版社，2005.

[2] 劉彥保.入侵誘騙技術(shù)分析及模型建立[J].河南科學(xué)，2006.

[3] 張斌，李輝.計算機取證——有效打擊計算機犯罪[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.

[4] 熊華，等，編著.網(wǎng)絡(luò)安全——取證與蜜罐[M]. 北京：人民郵電出版社.

[5] 諸葛建偉，張芳芳，吳智發(fā).撒下蜜網(wǎng)研究黑客[J].電腦安全專家.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文