王東來(lái)

WANG Dong-lai

（吉林農(nóng)業(yè)科技學(xué)院，吉林 132101）

入侵誘騙系統(tǒng)應(yīng)用技術(shù)研究

Application technology research in intrusion deception system

王東來(lái)

WANG Dong-lai

（吉林農(nóng)業(yè)科技學(xué)院，吉林 132101）

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，針對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的攻擊也屢見(jiàn)不鮮，網(wǎng)絡(luò)安全問(wèn)題變得日益嚴(yán)峻。本文提出的入侵誘騙系統(tǒng)，在保證網(wǎng)絡(luò)安全的情況下，增加對(duì)新的攻擊方法的了解，變被動(dòng)防御為主動(dòng)進(jìn)攻，使其具有主動(dòng)交互性，勾畫(huà)出了一種新的網(wǎng)絡(luò)安全防御策略。

入侵檢測(cè)；蜜罐；數(shù)據(jù)控制；數(shù)據(jù)捕獲

0 引言

隨著Internet在全球范圍內(nèi)的廣泛應(yīng)用，各種網(wǎng)絡(luò)應(yīng)用越來(lái)越豐富、網(wǎng)絡(luò)入侵和破壞手段也越來(lái)越先進(jìn)，網(wǎng)絡(luò)安全技術(shù)也日趨復(fù)雜。國(guó)內(nèi)外許多廠商開(kāi)發(fā)出防火墻等安全產(chǎn)品，然而在網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面的安全漏洞也越來(lái)越多。

如何建立一個(gè)既能有效保護(hù)網(wǎng)絡(luò)安全，又能夠全面分析入侵者動(dòng)態(tài)改變的入侵手段的安全防護(hù)系統(tǒng)，成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域中迫切需要解決的問(wèn)題。

本文針對(duì)目前的網(wǎng)絡(luò)安全狀況，設(shè)計(jì)了入侵誘騙系統(tǒng)，實(shí)現(xiàn)了Windows操作系統(tǒng)下的數(shù)據(jù)捕獲。

1 入侵誘騙系統(tǒng)的設(shè)計(jì)

近年來(lái)，隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)攻擊也隨之層出不窮，因此如何更加全面的了解攻擊者的信息，化被動(dòng)為主動(dòng)，成為網(wǎng)絡(luò)安全研究的熱點(diǎn)。針對(duì)防火墻技術(shù)，入侵檢測(cè)技術(shù)，蜜罐技術(shù)的缺陷，綜合了三種技術(shù)的優(yōu)點(diǎn)，提出了入侵誘騙系統(tǒng)的模型。

1.1 入侵誘騙系統(tǒng)的總體設(shè)計(jì)

入侵誘騙研究的目的在于如何設(shè)計(jì)一個(gè)嚴(yán)格控制的誘騙網(wǎng)絡(luò)（真實(shí)的網(wǎng)絡(luò)、主機(jī)或用軟件模擬的網(wǎng)絡(luò)和主機(jī)），在檢測(cè)出入侵者對(duì)實(shí)際系統(tǒng)有攻擊行為后，將攻擊重定向到該誘騙環(huán)境中。然后收集入侵信息，借此觀察入侵者的行為，記錄其活動(dòng)，以便分析入侵者的目的、所用工具、入侵手段等，并為入侵響應(yīng)以及隨后可能進(jìn)行的對(duì)入侵者的法律制裁提供證據(jù)。

通過(guò)以上的分析以及現(xiàn)有技術(shù)的研究，提出了一種新的網(wǎng)絡(luò)安全解決方案---入侵誘騙系統(tǒng)。模型如圖1所示。

圖1 入侵誘騙系統(tǒng)的模型圖

所有進(jìn)入蜜罐的連接全部是由入侵檢測(cè)系統(tǒng)重定向而來(lái)。當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)入侵者，立即阻斷并報(bào)警；若入侵檢測(cè)系統(tǒng)未發(fā)現(xiàn)檢測(cè)出入侵行為，則網(wǎng)絡(luò)包可以正常進(jìn)入真實(shí)環(huán)境中；若入侵檢測(cè)系統(tǒng)無(wú)法判斷是否有入侵行為，則被視為可疑行為，由入侵檢測(cè)系統(tǒng)重定向到蜜罐中。這不僅減輕了入侵檢測(cè)系統(tǒng)的負(fù)擔(dān)，還可以安心的讓可疑入侵者與蜜罐充分交互，做到收集入侵信息，觀察入侵行為，捕獲其活動(dòng)，以便全面的分析入侵者的目的、工具，特征。

1.2 入侵誘騙系統(tǒng)的模塊設(shè)計(jì)

防火墻模塊：在本系統(tǒng)中防火墻不僅擔(dān)當(dāng)著數(shù)據(jù)控制，保障蜜罐的安全的任務(wù)，還要把所捕獲到的數(shù)據(jù)包送往遠(yuǎn)程日志服務(wù)器。

入侵檢測(cè)模塊：入侵檢測(cè)系統(tǒng)放在防火墻之后，用于監(jiān)視系統(tǒng)的異常，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，將這些行為重定向到蜜罐系統(tǒng)，同時(shí)還肩負(fù)著捕獲網(wǎng)絡(luò)數(shù)據(jù)的任務(wù)。

誘騙網(wǎng)絡(luò)（蜜罐）模塊：將蜜罐系統(tǒng)放置在防火墻和入侵檢測(cè)系統(tǒng)之后的好處在于可以集中精力在蜜罐中對(duì)可疑行為進(jìn)行數(shù)據(jù)捕獲。

標(biāo)準(zhǔn)化模塊：負(fù)責(zé)對(duì)所有數(shù)據(jù)捕獲模塊得到的原始行為數(shù)據(jù)進(jìn)行解析與封裝，提取數(shù)據(jù)分析需要的標(biāo)準(zhǔn)格式數(shù)據(jù)。

數(shù)據(jù)分析模塊：根據(jù)捕獲到的數(shù)據(jù)及時(shí)抽象出入侵行為的特征和變種，從而更新入侵檢測(cè)系統(tǒng)的知識(shí)庫(kù)。

遠(yuǎn)程日志服務(wù)器模塊：通過(guò)定時(shí)把防火墻，IDS捕獲到的網(wǎng)絡(luò)數(shù)據(jù)，以及蜜罐系統(tǒng)捕獲到的主機(jī)數(shù)據(jù)全部送到SQL2000服務(wù)器中。保障了安全，也方便各個(gè)模塊之間存儲(chǔ)調(diào)用數(shù)據(jù)。

知識(shí)庫(kù)：主要是用來(lái)存放標(biāo)準(zhǔn)化的規(guī)則，這些規(guī)則都是模式規(guī)則，它們是用來(lái)判斷是否有入侵活動(dòng)的數(shù)據(jù)模型。

2 數(shù)據(jù)捕獲的實(shí)現(xiàn)

數(shù)據(jù)捕獲是指蜜罐在不被入侵者發(fā)現(xiàn)的情況下捕獲盡可能多的信息，包括輸入、輸出網(wǎng)絡(luò)數(shù)據(jù)包，系統(tǒng)信息，以便從中分析他們所使用的攻擊工具、策略和動(dòng)機(jī)等。數(shù)據(jù)捕獲是入侵誘騙系統(tǒng)的核心功能模塊。

2.1 數(shù)據(jù)捕獲的實(shí)現(xiàn)

圖2 數(shù)據(jù)捕獲系統(tǒng)處理流程圖

多層次的數(shù)據(jù)捕獲能夠獲取攻擊者行為各個(gè)角度的信息，捕獲信息的層次越多，能夠了解到的攻擊者信息就越多。因此，我們將入侵行為捕獲分為三層來(lái)實(shí)現(xiàn)，每一層記錄的數(shù)據(jù)不盡相同。第一層的數(shù)據(jù)捕獲由防火墻來(lái)完成，主要是對(duì)出入系統(tǒng)的數(shù)據(jù)包的通過(guò)情況進(jìn)行記錄；第二層數(shù)據(jù)捕獲由入侵檢測(cè)系統(tǒng)(IDS)來(lái)完成，IDS抓取網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)包；第三層的數(shù)據(jù)捕獲由蜜罐系統(tǒng)完成，蜜罐系統(tǒng)模擬真實(shí)系統(tǒng)環(huán)境與未知攻擊進(jìn)行交互，實(shí)現(xiàn)蜜罐系統(tǒng)的主機(jī)信息捕獲。所有捕獲到的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸送到遠(yuǎn)程日志服務(wù)器存放，防止被入侵者刪除、更改。數(shù)據(jù)捕獲系統(tǒng)處理流程如圖2所示。

2.1.1 防火墻數(shù)據(jù)捕獲

通常使用防火墻對(duì)所有出入蜜罐的網(wǎng)絡(luò)包進(jìn)行完整地日志記錄。由于所有進(jìn)出系統(tǒng)的數(shù)據(jù)必須通過(guò)防火墻，所以防火墻捕獲到的數(shù)據(jù)是最全面的，對(duì)入侵行為的分析起到了很重要的輔助作用。但是防火墻并不記錄具體的數(shù)據(jù)包內(nèi)容，而只是記錄各個(gè)數(shù)據(jù)包的通過(guò)情況。防火墻日志的價(jià)值在于它可以快速標(biāo)識(shí)那些未知攻擊。記錄內(nèi)容主要包括：數(shù)據(jù)包通過(guò)時(shí)間，包協(xié)議類(lèi)型，進(jìn)出的網(wǎng)絡(luò)接口，源地址，目的地址，源端口，目的端口，包長(zhǎng)度等。

2.1.2 IDS數(shù)據(jù)捕獲

第二層數(shù)據(jù)捕獲由入侵檢測(cè)系統(tǒng)(IDS)來(lái)完成，負(fù)責(zé)捕獲網(wǎng)絡(luò)信息。網(wǎng)絡(luò)信息主要是攻擊者所使用的各種協(xié)議數(shù)據(jù)包內(nèi)容。網(wǎng)絡(luò)信息捕獲是不可見(jiàn)的，相應(yīng)的其安全性更高，以及被檢測(cè)到的概率要更小。

本系統(tǒng)中主要使用WincPap來(lái)捕獲在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，監(jiān)聽(tīng)流入系統(tǒng)的網(wǎng)絡(luò)流。并把捕獲到的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)傳輸送到遠(yuǎn)程日志服務(wù)器存放，防止被入侵者刪除、更改。

網(wǎng)絡(luò)數(shù)據(jù)捕獲包括主動(dòng)數(shù)據(jù)捕獲和被動(dòng)數(shù)據(jù)捕獲。由于本系統(tǒng)是為了收集入侵者的信息，所以采用被動(dòng)數(shù)據(jù)捕獲。捕獲的過(guò)程為：監(jiān)聽(tīng)獲得原始數(shù)據(jù)，通過(guò)對(duì)捕獲的原始數(shù)據(jù)進(jìn)行解析，然后存入SQL數(shù)據(jù)庫(kù)。

2.1.3 蜜罐系統(tǒng)中的數(shù)據(jù)捕獲

系統(tǒng)捕獲主要在誘騙網(wǎng)絡(luò)即蜜罐中實(shí)現(xiàn)。通過(guò)重定向機(jī)制把未知攻擊轉(zhuǎn)移到蜜罐中后，蜜罐模擬真實(shí)系統(tǒng)環(huán)境與未知攻擊進(jìn)行交互，實(shí)現(xiàn)對(duì)攻擊行為的的數(shù)據(jù)捕獲。

2.2 數(shù)據(jù)控制的實(shí)現(xiàn)

數(shù)據(jù)控制是針對(duì)越權(quán)使用資源的防御措施，防止對(duì)資源進(jìn)行未授權(quán)的訪問(wèn)，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用。數(shù)據(jù)控制子系統(tǒng)是整個(gè)系統(tǒng)各功能模塊的核心，對(duì)入侵者在蜜網(wǎng)系統(tǒng)內(nèi)部的行為進(jìn)行控制，防止入侵者在該系統(tǒng)內(nèi)肆意破壞，同時(shí)防止入侵者利用該系統(tǒng)作為跳板對(duì)其它系統(tǒng)進(jìn)行攻擊。

在利用蜜罐系統(tǒng)與入侵者交互的過(guò)程中，存在著蜜罐系統(tǒng)被攻破的風(fēng)險(xiǎn)，當(dāng)系統(tǒng)被攻破之后，入侵者就可能對(duì)其進(jìn)行修改，使其喪失行為記錄和欺騙功能，同時(shí)，入侵者還可以將蜜罐主機(jī)作為攻擊其他系統(tǒng)的跳板。對(duì)蜜罐系統(tǒng)控制權(quán)的爭(zhēng)奪關(guān)系到蜜罐功能的實(shí)現(xiàn)和整個(gè)入侵誘騙系統(tǒng)的安全。但同時(shí)，對(duì)蜜罐系統(tǒng)的控制不能太嚴(yán)格，如果我們?yōu)榱颂颖茱L(fēng)險(xiǎn)而將各種策略設(shè)置得十分嚴(yán)格，則容易引起入侵者的懷疑，降低系統(tǒng)的欺騙逼真度?？梢韵拗埔欢〞r(shí)間段內(nèi)外出的連接數(shù)，甚至可以修改這些外出連接的網(wǎng)絡(luò)包，使其不能到達(dá)它的目的地，同時(shí)又給入侵者網(wǎng)絡(luò)包已正常發(fā)出的假象。

2.2.1 防火墻的數(shù)據(jù)控制

由于在本入侵誘騙系統(tǒng)中，蜜罐的作用是為了減輕入侵檢測(cè)系統(tǒng)的負(fù)擔(dān)，同時(shí)集中精力全面細(xì)致的分析可疑行為，對(duì)于網(wǎng)絡(luò)的入侵者它是不可見(jiàn)的，所有進(jìn)入蜜罐的連接全部是由入侵檢測(cè)系統(tǒng)重定向而來(lái)。所以需要阻隔外界網(wǎng)絡(luò)直接訪問(wèn)蜜罐，在這里通過(guò)配置防火墻把所有目的IP地址為蜜罐所在主機(jī)的網(wǎng)絡(luò)包全部丟棄，禁止他們進(jìn)入蜜罐系統(tǒng)，使蜜罐可以安心的與可疑入侵者交互，分析其特征。此為防火墻數(shù)據(jù)控制的第一個(gè)體現(xiàn)。

為了記錄入侵者的所有數(shù)據(jù)，允許所有對(duì)蜜罐的訪問(wèn)，進(jìn)入蜜罐的數(shù)據(jù)不會(huì)對(duì)組織的安全構(gòu)成威脅。但是，從蜜罐向外發(fā)出的連接就不一樣了，其中可能包含入侵者對(duì)其它系統(tǒng)進(jìn)行掃描和攻擊的數(shù)據(jù)。必須對(duì)從蜜罐外出的網(wǎng)絡(luò)連接進(jìn)行控制。當(dāng)蜜罐發(fā)起外出的連接，說(shuō)明蜜罐主機(jī)已經(jīng)被入侵者攻破了，而這些外出的連接很可能是入侵者利用蜜罐對(duì)其他的系統(tǒng)發(fā)起的攻擊連接。所以限制這些外出連接是非常必要的，本系統(tǒng)采用防火墻限制蜜罐外出的連接。防火墻采取“寬進(jìn)嚴(yán)出”策略，在防火墻上，對(duì)從蜜罐機(jī)器外發(fā)的連接數(shù)量設(shè)定一個(gè)合理的閾值，研究表明，允許外發(fā)連接數(shù)設(shè)定為5至10個(gè)比較合適，不會(huì)引起入侵者懷疑，而且避免了蜜罐系統(tǒng)成為入侵者掃描、探測(cè)或者攻擊其他系統(tǒng)的工具。防火墻追蹤從所有蜜罐主機(jī)外發(fā)的每一個(gè)連接，當(dāng)該蜜罐外發(fā)的數(shù)量達(dá)到設(shè)計(jì)時(shí)預(yù)先設(shè)定的閾值時(shí)，防火墻便會(huì)阻塞那些信息包。這樣能夠保證蜜罐不被濫用的前提下，允許入侵者做盡可能多他們想做的事。此為防火墻數(shù)據(jù)控制的第二個(gè)體現(xiàn)。

2.2.2 路由器的數(shù)據(jù)控制

路由控制由路由器來(lái)完成，主要利用路由器的訪問(wèn)控制功能對(duì)外出的數(shù)據(jù)包進(jìn)行過(guò)濾，以防止蜜罐被用于攻擊網(wǎng)絡(luò)其它部分，主要防止IP欺騙，Dos攻擊或者其它一些欺騙性攻擊。所有進(jìn)出陷阱網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)包都要經(jīng)過(guò)防火墻和路由器。經(jīng)過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，將防火墻與路由器聯(lián)合使用，可以在技術(shù)上比較完美地對(duì)向外發(fā)出的數(shù)據(jù)包進(jìn)行過(guò)濾，同時(shí)在最大限度上讓入侵者相對(duì)自由地活動(dòng)而又不會(huì)產(chǎn)生懷疑。

2.3 遠(yuǎn)程數(shù)據(jù)備份的實(shí)現(xiàn)

由于蜜罐主機(jī)的設(shè)置極易被入侵者所攻破，大多數(shù)的入侵者都會(huì)對(duì)攻破的系統(tǒng)的數(shù)據(jù)進(jìn)行修改或刪除，因此，如果把這些捕獲到的數(shù)據(jù)放置在蜜罐主機(jī)上是危險(xiǎn)的。必須用一臺(tái)安全性更高、不提供任何服務(wù)的系統(tǒng)作為日志服務(wù)器用于遠(yuǎn)程備份蜜罐系統(tǒng)捕捉到的數(shù)據(jù)。采用遠(yuǎn)程日志系統(tǒng)保障了數(shù)據(jù)存儲(chǔ)的安全，但在傳輸?shù)倪^(guò)程中也要防止入侵者對(duì)其進(jìn)行截獲和修改，在實(shí)際傳輸過(guò)程中我們可以通過(guò)蜜罐私有網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送，在傳送之前進(jìn)行數(shù)據(jù)的加密。通過(guò)遠(yuǎn)程的日志記錄，既保障了我們的數(shù)據(jù)的安全性，也方便我們以后對(duì)數(shù)據(jù)進(jìn)行分析、處理。

本文采用SQL Server2000作為遠(yuǎn)程日志服務(wù)器。通過(guò)把捕獲到的數(shù)據(jù)定時(shí)的發(fā)送到數(shù)據(jù)庫(kù)中，不但保證了數(shù)據(jù)的安全性，而且更加方便的與其它模塊進(jìn)行數(shù)據(jù)共享，為數(shù)據(jù)分析提供了極大的方便。

3 結(jié)束語(yǔ)

本文重點(diǎn)探討了入侵誘騙系統(tǒng)中數(shù)據(jù)捕獲的實(shí)現(xiàn)，采用多層數(shù)據(jù)捕獲機(jī)制，從防火墻，入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)三個(gè)層面上實(shí)現(xiàn)了數(shù)據(jù)捕獲。重點(diǎn)闡述了進(jìn)程關(guān)聯(lián)內(nèi)存，進(jìn)程關(guān)聯(lián)CPU利用率，進(jìn)程關(guān)聯(lián)端口，注冊(cè)表異動(dòng)，文件異動(dòng)的捕獲的實(shí)現(xiàn)方法。然后并從系統(tǒng)的安全性方面探討研究了數(shù)據(jù)控制技術(shù)，最后實(shí)現(xiàn)了把捕獲到的數(shù)據(jù)定時(shí)的發(fā)送到遠(yuǎn)程數(shù)據(jù)庫(kù)中，從而保證了數(shù)據(jù)的安全性。

[1] 吳震.入侵誘騙技術(shù)中誘騙環(huán)境的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究,2003(04):78-80.

[2] 趙雙紅,劉壽強(qiáng),夏娟.基于誘騙式蜜罐系統(tǒng)設(shè)計(jì)與應(yīng)用[J].計(jì)算機(jī)安全,2003,10:19-22.

[3] 連一峰,王航.網(wǎng)絡(luò)攻擊原理和技術(shù)[M].北京:科學(xué)出版社,2004:279-348.

[4] 韓東海,王超,李群.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].北京:清華大學(xué)出版社,2002:78-79.

[5] 曹愛(ài)娟,劉寶旭,許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述[J].計(jì)算機(jī)工程,2004,30(9):1-3.

[6] 陶文林.基于VMware的虛擬蜜網(wǎng)系統(tǒng)的研究[J].計(jì)算機(jī)應(yīng)用與軟件,2006,23(5):131-136.

TP391

A

1009-0134(2010)12(上)-0180-03

10.3969/j.issn.1009-0134.2010.12(上).58

2010-07-12

王東來(lái)（1973 -），男，吉林人，碩士研究生，研究方向?yàn)樾畔踩夹g(shù)、計(jì)算機(jī)應(yīng)用技術(shù)。