摘 要：本文闡述了蜜罐系統(tǒng)中的重要組成模塊日志的格式及其功能，介紹了相關(guān)應(yīng)用軟件和工具，提出了遠(yuǎn)程異地存儲(chǔ)日志、偽裝傳輸策略以及基于第三層的日志保護(hù)方式，完善了日志功能在蜜罐系統(tǒng)中的應(yīng)用。

關(guān)鍵詞：日志；蜜罐系統(tǒng)；網(wǎng)絡(luò)安全；格式；存儲(chǔ)；偽裝

1 引言

日志是描述計(jì)算機(jī)系統(tǒng)行為的記錄，它可以監(jiān)控系統(tǒng)的使用情況，通過(guò)對(duì)日志的監(jiān)測(cè)和審計(jì)可以尋找可疑的攻擊行為或者發(fā)現(xiàn)潛在的攻擊可能性。[1]

在蜜罐系統(tǒng)中，其功能模塊主要包括網(wǎng)絡(luò)誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)報(bào)警、日志存儲(chǔ)和數(shù)據(jù)分析等，日志功能作為該系統(tǒng)的核心功能之一，其主要記錄各類(lèi)網(wǎng)絡(luò)數(shù)據(jù)，如時(shí)間戳、協(xié)議類(lèi)型、源地址及端口、目的地址及端口等等，其類(lèi)型有防火墻日志、入侵檢測(cè)數(shù)據(jù)包日志、系統(tǒng)自身日志等。[2]我們可以通過(guò)分析日志，提取未知攻擊的特征碼，優(yōu)化規(guī)則庫(kù)，結(jié)合入侵檢測(cè)系統(tǒng)改進(jìn)系統(tǒng)設(shè)置提升網(wǎng)絡(luò)系統(tǒng)安全性能。

2 日志格式及分析應(yīng)用

2.1 日志格式

日志分析需要將各類(lèi)日志進(jìn)行綜合，常見(jiàn)的日志格式如 EVT、WELF、CSV、TSV、XML、SYSLOG、W3C、IIS、SQL和TPL等。

其中，EVT日志是Windows系列的系統(tǒng)日志文件，它是一種二進(jìn)制的日志格式。用于保存系統(tǒng)整體性能以及軟硬件方面的錯(cuò)誤信息和所有用戶(hù)訪問(wèn)系統(tǒng)時(shí)的操作信息和安全信息，主要分為系統(tǒng)日志文件、應(yīng)用日志文件、安全日志文件三種，保存%systemroot%＼system32＼config＼目錄下，分別名為SysEvent.EVT、AppEvent.EVT、SecEvent.EVT。系統(tǒng)日志文件包含諸如在啟動(dòng)時(shí)加載驅(qū)動(dòng)程序或其他系統(tǒng)組件失敗等系統(tǒng)組件記錄的事件；應(yīng)用日志文件包含由應(yīng)用程序或系統(tǒng)程序記錄的事件；安全日志文件則記錄了諸如有效和無(wú)效的登錄嘗試等事件以及與資源使用相關(guān)的事件。

WELF是國(guó)際通用的防火墻日志規(guī)范格式，國(guó)外廠商如NetScreen、CheckPoint都支持這種格式。它提供簡(jiǎn)單易用的GUI操作界面，也可以結(jié)合使用專(zhuān)業(yè)的第三方防火墻日志分析軟件。

通過(guò)日志我們可以在開(kāi)機(jī)過(guò)程中檢測(cè)硬件訊息，了解硬件情況；系統(tǒng)登錄日志也會(huì)記錄系統(tǒng)資源耗盡，核心活動(dòng)發(fā)生錯(cuò)誤等事件信息；還可以解決網(wǎng)絡(luò)服務(wù)的問(wèn)題；分析登錄日志來(lái)查明是否是遭到入侵，并繼續(xù)追查相關(guān)的信息。

2.2 蜜罐中的日志分析及應(yīng)用

在整個(gè)蜜罐系統(tǒng)中，其核心是警報(bào)處理模塊，日志查詢(xún)主要只是用于安全人員分析入侵事件時(shí)參考其他安全設(shè)施的記錄，其關(guān)系如圖1所示。網(wǎng)絡(luò)環(huán)境數(shù)據(jù)庫(kù)則可以結(jié)合掃描器的日常評(píng)估結(jié)果、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主機(jī)系統(tǒng)信息等用于初步過(guò)濾IDS的誤報(bào)。

但各種操作系統(tǒng)或應(yīng)用程序通常都有自己的日志格式，我們需進(jìn)行日志格式統(tǒng)一，運(yùn)用類(lèi)似Log Parser等日志分析工具可以解決這一問(wèn)題。步驟包括日志文件數(shù)據(jù)融合、轉(zhuǎn)化和過(guò)濾。

把來(lái)源不同的日志文件數(shù)據(jù)進(jìn)行融合是日志分析過(guò)程中最難和最重要的一環(huán)。首先要確定關(guān)聯(lián)數(shù)據(jù)，這主要取決于蜜罐系統(tǒng)所針對(duì)的攻擊類(lèi)型和方式，如果是針對(duì)Web攻擊的，則需要融合防火墻、Web服務(wù)器、操作系統(tǒng)、IDS日志等；如果是針對(duì)應(yīng)用程序攻擊的，則需要融合操作系統(tǒng)、特定的應(yīng)用程序日志等，所有對(duì)這些日志的融合相當(dāng)于提供了蜜罐系統(tǒng)的事件全景圖。然后就是對(duì)相關(guān)日志文件進(jìn)行轉(zhuǎn)換融合。如果現(xiàn)在的蜜罐系統(tǒng)是專(zhuān)門(mén)用來(lái)針對(duì)IIS攻擊的，那么需要融合W3C格式的IIS日志、操作系統(tǒng)事件日志等。此外由于對(duì)蜜罐本身的特殊性，不需要進(jìn)行日志過(guò)濾，而且蜜罐一般每天只會(huì)收集幾兆級(jí)別的數(shù)據(jù)，因此，使用蜜罐日志不僅降低了日志數(shù)據(jù)存儲(chǔ)的消耗，也大大降低了日志的噪聲級(jí)別。

利用Log Parser等軟件將日志文件進(jìn)行格式統(tǒng)一后生成可讀性更強(qiáng)的XML報(bào)告。對(duì)日志文件的充分了解與分析是防止和跟蹤黑客入侵行為的基礎(chǔ)，在此基礎(chǔ)上提煉出的入侵規(guī)則知識(shí)庫(kù)更是一個(gè)優(yōu)秀的安全產(chǎn)品的核心內(nèi)容。

3 日志存儲(chǔ)及保護(hù)策略

日志文件是網(wǎng)絡(luò)安全系統(tǒng)中最重要的資源，它作為日后研究者研究和分析攻擊者行為和工具的重要信息來(lái)源，是網(wǎng)絡(luò)安全系統(tǒng)中需要重點(diǎn)保護(hù)的對(duì)象。

3.1 遠(yuǎn)程存儲(chǔ)日志

蜜罐系統(tǒng)的日志是記錄攻擊者信息的重要資料。管理員通過(guò)對(duì)蜜罐日志的分析，回放整個(gè)攻擊的全過(guò)程，了解攻擊者使用的手段。但蜜罐主機(jī)極易被攻擊者入侵，攻擊者攻破后通常會(huì)對(duì)系統(tǒng)日志進(jìn)行修改或刪除，因此，只把這些數(shù)據(jù)存放在蜜罐主機(jī)上是非常危險(xiǎn)的。可以考慮在系統(tǒng)中增加一臺(tái)安全性高、不提供任何服務(wù)的主機(jī)作為日志服務(wù)器用于遠(yuǎn)程備份虛擬蜜罐捕捉的數(shù)據(jù)，采用遠(yuǎn)程日志系統(tǒng)來(lái)保障數(shù)據(jù)存儲(chǔ)的安全，遠(yuǎn)程日志信息如圖2所示。

此外，網(wǎng)絡(luò)設(shè)備日志亦可以實(shí)現(xiàn)遠(yuǎn)程存儲(chǔ)。網(wǎng)絡(luò)設(shè)備的日志遠(yuǎn)程存儲(chǔ)主要是指路由器、交換機(jī)、硬件防火墻等設(shè)備上的日志，日志類(lèi)型包括NetFlow日志和WELF日志。如遠(yuǎn)程連接Cisco路由器或者通過(guò)控制臺(tái)進(jìn)入活動(dòng)模式，運(yùn)行如下命令即可實(shí)現(xiàn)將Cisco路由器上日志轉(zhuǎn)存于日志服務(wù)器192.168.1.100。

Config term

Logging on

Logging Facility Local 7 //設(shè)定消息級(jí)別高于7的日志被存儲(chǔ)

Logging 192.168.1.100

End

3.2 偽裝傳輸策略

我們?cè)谝粋€(gè)蜜罐系統(tǒng)中布置一個(gè)高安全性的遠(yuǎn)程日志文件服務(wù)器用來(lái)保存日志文件，蜜罐主機(jī)上收集到的信息將發(fā)送到該服務(wù)器上，兩機(jī)之間的隱蔽通信顯得尤為重要，因?yàn)橐坏┕粽甙l(fā)現(xiàn)了日志服務(wù)器的存在，日志服務(wù)器將處于十分危險(xiǎn)的處境。高明的攻擊者如果轉(zhuǎn)向攻擊日志服務(wù)器，有可能導(dǎo)致所有日志文件被損壞，造成不可估量的損失。

因此，遠(yuǎn)程日志傳輸必須采用入侵者難以察覺(jué)的方法，將捕獲的各種入侵行為信息封裝成某種形式的數(shù)據(jù)包在部署有蜜罐的網(wǎng)絡(luò)中進(jìn)行傳輸，由安全日志服務(wù)器被動(dòng)地嗅探并重組這些數(shù)據(jù)包。如果保證這些偽裝的數(shù)據(jù)包具有來(lái)自于網(wǎng)絡(luò)其它系統(tǒng)的正常數(shù)據(jù)包同樣的特征，入侵者將很難意識(shí)到這些數(shù)據(jù)包正是自己行為的日志。

可以利用Libnet安全開(kāi)發(fā)包來(lái)構(gòu)造OSI每一層數(shù)據(jù)包頭，通過(guò)用偽造IP構(gòu)造IP數(shù)據(jù)包，進(jìn)一步迷惑攻擊者，從而增加日志傳輸?shù)陌踩??；赥CP連接過(guò)程需要進(jìn)行三次握手，建立連接時(shí)不容易隱藏本地蜜罐和遠(yuǎn)程日志服務(wù)器之間的連接關(guān)系，所以我們考慮采用偽裝的UDP數(shù)據(jù)包來(lái)傳輸。整個(gè)過(guò)程的實(shí)現(xiàn)如圖3所示：

先設(shè)定將要使用的IP和端口，其中IP地址和日志服務(wù)器設(shè)定的相同，用來(lái)判斷是否是日志文件，而端口則可以任意設(shè)定合法的端口。然后將日志文件讀取出來(lái)后放入一個(gè)字符指針變量中作為負(fù)載插入U(xiǎn)DP數(shù)據(jù)包的負(fù)載內(nèi)容字段。在構(gòu)造好UDP協(xié)議頭并將日志文件封裝好后，繼續(xù)構(gòu)造IP協(xié)議頭。在IP協(xié)議頭中最關(guān)心的就是IP地址和負(fù)載內(nèi)容，此處構(gòu)造的偽裝數(shù)據(jù)包可以任意指定合法的IP地址和端口，這樣可以隱藏本地蜜罐與日志服務(wù)器之間的通信關(guān)系，使攻擊者很難意識(shí)到自己是處在一個(gè)蜜罐系統(tǒng)中，同時(shí)也保護(hù)了遠(yuǎn)程的日志服務(wù)器。另外，由于沒(méi)有在IP協(xié)議頭中封裝日志文件，所以負(fù)載內(nèi)容設(shè)置為空。構(gòu)造Ethemet協(xié)議頭跟前面構(gòu)造UDP協(xié)議頭和IP協(xié)議頭類(lèi)似。由于同樣沒(méi)有在Ethernet協(xié)議頭中攜帶日志文件，所以只需將MAC地址封裝即可，負(fù)載內(nèi)容同樣為空。在構(gòu)造好數(shù)據(jù)包后使用句柄隊(duì)列來(lái)循環(huán)發(fā)送數(shù)據(jù)包，先將數(shù)據(jù)包按順序添加到句柄隊(duì)列中，最后通過(guò)使用循環(huán)語(yǔ)句和數(shù)據(jù)包發(fā)送語(yǔ)句來(lái)發(fā)送己構(gòu)造的數(shù)據(jù)包。實(shí)際使用時(shí)還可以采用頻繁更換日志數(shù)據(jù)包的IP地址及端口號(hào)來(lái)進(jìn)行傳輸以達(dá)到更好地迷惑攻擊者的效果。

3.3 第三層保護(hù)策略

蜜罐系統(tǒng)上的日志是相對(duì)不安全的，需要把日志發(fā)送到遠(yuǎn)程日志服務(wù)器上，這僅是對(duì)日志的第一層保護(hù)。日志遠(yuǎn)程存儲(chǔ)時(shí)利用偽裝傳輸策略，避開(kāi)攻擊者得發(fā)現(xiàn)和截獲，這是第二層保護(hù)。但高明的攻擊者依然能夠發(fā)現(xiàn)遠(yuǎn)程日志服務(wù)器的存在并發(fā)動(dòng)攻擊，因此還需要進(jìn)行第三層的輔助保護(hù)。我們可以使用類(lèi)似Sniffer一類(lèi)的工具來(lái)對(duì)所有進(jìn)出蜜罐系統(tǒng)的行為進(jìn)行抓包，然后以二進(jìn)制日志的方式進(jìn)行記錄存儲(chǔ)在另一臺(tái)服務(wù)器。這樣即使黑客攻破了本地蜜罐和遠(yuǎn)程日志服務(wù)器，他們的入侵行為還是在Sniffer中進(jìn)行了記錄，如圖4所示。當(dāng)然，我們也可以利用這一思路把日志進(jìn)行多個(gè)服務(wù)器備份，實(shí)現(xiàn)多層次保護(hù)，增強(qiáng)日志的安全性。

4 總結(jié)

日志功能是蜜罐系統(tǒng)中的重要環(huán)節(jié)，它是記錄攻擊者信息的重要資料，我們可以通過(guò)對(duì)蜜罐日志的分析，把它作為日后研究者研究和分析攻擊者行為和工具的信息來(lái)源，因此它也是網(wǎng)絡(luò)安全系統(tǒng)中需要重點(diǎn)保護(hù)的對(duì)象，本文提出了遠(yuǎn)程異地存儲(chǔ)、偽裝傳輸和第三層保護(hù)策略，意在更好的完善蜜罐系統(tǒng)，保護(hù)網(wǎng)絡(luò)安全。

[參考文獻(xiàn)]

[1]李靜.基于蜜罐日志分析的主動(dòng)防御研究[J].信息安全與通信保密， 2009，3.

[2]蔣賢維.淺析引導(dǎo)型蜜罐群在網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2011.10.

[3]王彩玲.日志分析在計(jì)算機(jī)取證中的應(yīng)用[J].福建電腦，2006.

[4]周子庭.系統(tǒng)日志分析及在主機(jī)入侵檢測(cè)中的應(yīng)用[J].信息安全與通信保密，2004，9.

作者簡(jiǎn)介：蔣賢維（1979-），男，碩士，講師，研究方向：信息安全。