羅江洲 王朝輝

摘要：蜜罐技術(shù)是一種主動(dòng)防御網(wǎng)絡(luò)攻擊的技術(shù)，通過(guò)真實(shí)的網(wǎng)絡(luò)系統(tǒng)或模擬真實(shí)網(wǎng)絡(luò)環(huán)境的方式為攻擊者提供一個(gè)網(wǎng)絡(luò)陷阱，收集和分析流入該系統(tǒng)中數(shù)據(jù)，從而發(fā)現(xiàn)攻擊，并保護(hù)網(wǎng)絡(luò)或計(jì)算機(jī)。但由于蜜罐系統(tǒng)更為顯著的作用是檢測(cè)功能，并不能實(shí)現(xiàn)完全防御。該文在簡(jiǎn)要介紹蜜罐技術(shù)的定義、分類和關(guān)鍵技術(shù)之后，設(shè)計(jì)了一種將蜜罐系統(tǒng)與防火墻、入侵檢測(cè)系統(tǒng)相結(jié)合的聯(lián)動(dòng)模型。

關(guān)鍵詞：蜜罐；防火墻；入侵檢測(cè)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）22-5206-03

隨著網(wǎng)絡(luò)的普及與發(fā)展，已經(jīng)而且正在改變著人們的工作和生活方式，網(wǎng)絡(luò)帶給人們方便的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越引起了人們的關(guān)注。傳統(tǒng)的防御技術(shù)大多為被動(dòng)防御，如入侵檢測(cè)、防火墻等，這些防御手段只能根據(jù)現(xiàn)有的攻擊方式被動(dòng)進(jìn)行防御，存在著很大的局限性和脆弱性，往往對(duì)新的攻擊方式根本起不到防御的目的。蜜罐（Honeypot）是基于主動(dòng)防御理論提出的一種網(wǎng)絡(luò)誘捕技術(shù)，其主要功能是對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析，但其通常只是作為一種檢測(cè)方法來(lái)檢測(cè)攻擊。結(jié)合兩種策略的優(yōu)缺點(diǎn)，將當(dāng)前最為常用的防火墻、入侵檢測(cè)系統(tǒng)與蜜罐技術(shù)相結(jié)合，設(shè)計(jì)了一種防火墻、入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)聯(lián)動(dòng)協(xié)作的防御模型。通過(guò)聯(lián)動(dòng)控制系統(tǒng)，將防火墻、入侵檢測(cè)系統(tǒng)與蜜罐系統(tǒng)的檢測(cè)與響應(yīng)互動(dòng)，從而最大程度地保護(hù)網(wǎng)絡(luò)或計(jì)算機(jī)的安全。

1 蜜罐的定義

蜜網(wǎng)項(xiàng)目組的創(chuàng)始人Lance Spitzner對(duì)蜜罐的定義[1]是：“蜜罐是一個(gè)資源，它的價(jià)值在于它會(huì)受到攻擊或威脅。這意味著一個(gè)蜜罐希望受到探測(cè)、攻擊和潛在地被利用。蜜罐并不修正任何問(wèn)題，它們僅為我們提供額外的、有價(jià)值的信息。”蜜罐是一種計(jì)算機(jī)和網(wǎng)絡(luò)安全資源，可以是真實(shí)的網(wǎng)絡(luò)系統(tǒng)或是真實(shí)網(wǎng)絡(luò)環(huán)境的模擬，作為蜜網(wǎng)技術(shù)的低級(jí)形式，物理上通常是一臺(tái)運(yùn)行單個(gè)操作系統(tǒng)或者借助于虛擬化軟件運(yùn)行多個(gè)虛擬操作系統(tǒng)的“牢籠”主機(jī)。蜜罐系統(tǒng)所收集的信息可以作為跟蹤、研究黑客現(xiàn)有技術(shù)的重要資料。

2 蜜罐的分類

隨著多年的研究，蜜罐技術(shù)已經(jīng)越來(lái)越成熟，按照部署目的主要分為產(chǎn)品型蜜罐和研究型蜜罐[2]，按照交互性等級(jí)蜜罐可以分為低交互型蜜罐、中交互型蜜罐和高交互型蜜罐[3]。

1） 產(chǎn)品型蜜罐具有事件檢測(cè)和欺騙功能，主要目的是減輕部署組織受到的攻擊威脅，檢測(cè)并對(duì)付攻擊者，一般用在商業(yè)組織中，用來(lái)提高商業(yè)組織的安全性能，增強(qiáng)受保護(hù)組織的安全性。研究型蜜網(wǎng)的主要目的是用于獲取黑客的信息，研究型蜜罐也是觀察、記錄、學(xué)習(xí)攻擊者及其攻擊行為的最好工具，而且還能學(xué)習(xí)到攻擊者在攻陷一個(gè)系統(tǒng)后如何與其它黑客通信或者上載新的工具包等更高價(jià)值的信息。

2） 低交互型蜜罐主要是用于協(xié)助保護(hù)特定組織的產(chǎn)品型蜜罐。它的主要目的在于檢測(cè)，具體說(shuō)來(lái)就是對(duì)未授權(quán)掃描或者未授權(quán)連接嘗試的檢測(cè)，沒(méi)有提供真實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，所允許的交互是有限的，通常只對(duì)某些網(wǎng)絡(luò)服務(wù)或操作系統(tǒng)進(jìn)行簡(jiǎn)單的模擬，風(fēng)險(xiǎn)小的同時(shí)收集的信息也少，并且存在著易被黑客識(shí)別的指紋信息。典型的低交互型蜜罐有BOF、Speeter、Honeyd等。中交互型蜜罐仍然沒(méi)有提供真實(shí)的操作系統(tǒng)與攻擊者交互，但為攻擊者提供了更多復(fù)雜的誘捕進(jìn)程，模擬了更多更復(fù)雜的特定服務(wù)。高交互型蜜罐給入侵者提供了一個(gè)真實(shí)的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，在這種環(huán)境下一切都不是模擬的或者受限的，可以收集到更加豐富有用的信息，包括完全不了解的網(wǎng)絡(luò)攻擊方式。然而與此同時(shí)，操作系統(tǒng)的介入將會(huì)大大增加系統(tǒng)的復(fù)雜度，相應(yīng)地系統(tǒng)所面臨的威脅也就更大，部署和維護(hù)更加復(fù)雜。

3 蜜罐的關(guān)鍵技術(shù)

1） 網(wǎng)絡(luò)欺騙技術(shù)。沒(méi)有網(wǎng)絡(luò)欺騙功能的蜜罐是沒(méi)有價(jià)值的，因?yàn)槊酃薜膬r(jià)值體現(xiàn)是在其被探測(cè)、攻擊或者攻陷的時(shí)候。網(wǎng)絡(luò)欺騙技術(shù)因此也認(rèn)為是蜜罐技術(shù)體系中最關(guān)鍵和最核心的技術(shù)和難題。

2） 數(shù)據(jù)捕獲技術(shù)。蜜罐必須有強(qiáng)大的信息捕獲功能，在不被入侵者發(fā)現(xiàn)的情況下，捕獲盡可能多的信息。蜜罐的主要目的之一就是獲取有關(guān)攻擊和攻擊者的所有信息，捕捉入侵者從掃描、探測(cè)、攻擊、攻陷蜜罐主機(jī)到最后離開(kāi)蜜罐的每一步動(dòng)作。

3） 數(shù)據(jù)控制技術(shù)。數(shù)據(jù)控制用于保障蜜罐系統(tǒng)自身的安全。為了使其更像一個(gè)真實(shí)的網(wǎng)絡(luò)或系統(tǒng)，通常數(shù)據(jù)控制必須在不被入侵者察覺(jué)的情形下對(duì)流入、流出的通信進(jìn)行監(jiān)聽(tīng)和控制。

4） 數(shù)據(jù)分析技術(shù)。數(shù)據(jù)分析是包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。蜜罐系統(tǒng)收集信息格式也不相同，應(yīng)該有一個(gè)統(tǒng)一的數(shù)據(jù)分析模塊，在同一控制臺(tái)對(duì)收集的所有信息進(jìn)行分析、綜合和關(guān)聯(lián)，這樣有助于更好地分析攻擊者的入侵過(guò)程及其在系統(tǒng)中的活動(dòng)。

4 蜜罐系統(tǒng)與防火墻、入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型

入侵檢測(cè)系統(tǒng)和防火墻采用的是被動(dòng)的網(wǎng)絡(luò)檢測(cè)和防御技術(shù)，它們一般對(duì)網(wǎng)絡(luò)入侵行為發(fā)生時(shí)和發(fā)生后入侵檢測(cè)才能起到作用。而蜜罐技術(shù)是基于主動(dòng)防御理論提出的，在某些情況下，蜜罐收集用于跟蹤攻擊者的有用信息。由于通向蜜罐的流量都是高度可疑的，同時(shí)系統(tǒng)也可以把可疑流量導(dǎo)入蜜罐，把蜜罐作為暫時(shí)的訪問(wèn)替身，但由于其主要是發(fā)現(xiàn)攻擊，防御方面有所欠缺。因此，將蜜罐技術(shù)與入侵檢測(cè)系統(tǒng)、防火墻這三個(gè)當(dāng)前最常用的防御方法相結(jié)合，實(shí)現(xiàn)聯(lián)動(dòng)防御，可以最大程度實(shí)現(xiàn)網(wǎng)絡(luò)攻擊的防御目的。其設(shè)計(jì)思想為在入侵檢測(cè)系統(tǒng)和防火墻的功能基礎(chǔ)上增加了蜜罐系統(tǒng)主動(dòng)防御功能和聯(lián)動(dòng)功能。蜜罐系統(tǒng)與防火墻、入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)模型如圖1。

4.1 工作方式

通過(guò)開(kāi)放接口實(shí)現(xiàn)互動(dòng)。即防火墻、入侵檢測(cè)系統(tǒng)或者蜜罐系統(tǒng)開(kāi)放一個(gè)接口供彼此調(diào)用。按照一定的協(xié)議進(jìn)行通信、傳輸警報(bào)。這種方式比較靈活，系統(tǒng)啟動(dòng)后偽裝成有漏洞的蜜罐系統(tǒng)。防火墻可以行使訪問(wèn)控制的防御功能，入侵檢測(cè)系統(tǒng)可以實(shí)現(xiàn)數(shù)據(jù)采集和檢測(cè)入侵的功能，丟棄惡意通信，確保這個(gè)通信不能到達(dá)目的地，并通知防火墻進(jìn)行阻斷，將可疑的網(wǎng)絡(luò)流引入到蜜罐系統(tǒng)中，蜜罐系統(tǒng)主動(dòng)誘捕通信信息，對(duì)通信信息進(jìn)行分析，發(fā)現(xiàn)攻擊，將攻擊信息存放在日志服務(wù)器中。通過(guò)開(kāi)放接口實(shí)現(xiàn)互動(dòng)不影響防火墻、IDS產(chǎn)品和蜜罐系統(tǒng)的性能，但由于是三個(gè)系統(tǒng)的配合，所以要重點(diǎn)考慮到三者聯(lián)動(dòng)時(shí)的開(kāi)銷問(wèn)題。

4.2 模型功能系統(tǒng)劃分

該模型中分為四個(gè)部分：防火墻、入侵檢測(cè)系統(tǒng)、蜜罐系統(tǒng)、聯(lián)動(dòng)控制系統(tǒng)。其各部分的主要作用為：

1） 防火墻。防火墻作為安全的第一道防線，可以配置在主機(jī)外或內(nèi)部網(wǎng)絡(luò)外，根據(jù)其機(jī)制從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計(jì)算機(jī)的數(shù)據(jù)是否有害，盡可能地將有害數(shù)據(jù)丟棄，達(dá)到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。同時(shí)，根據(jù)入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)所提供的攻擊信息進(jìn)行相應(yīng)防御。

2） 入侵檢測(cè)系統(tǒng)。該模塊主要實(shí)現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng)三個(gè)功能。該系統(tǒng)首先要對(duì)所有經(jīng)防火墻過(guò)濾后流入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和事件進(jìn)行數(shù)據(jù)采集，對(duì)數(shù)據(jù)和各事件進(jìn)行分析，根據(jù)數(shù)據(jù)流特征信息從中發(fā)現(xiàn)違反安全策略的行為。當(dāng)確定發(fā)生了入侵行為，將確定的入侵行為特征上傳到聯(lián)動(dòng)控制系統(tǒng)并報(bào)警，由聯(lián)動(dòng)控制系統(tǒng)來(lái)控制防火墻和入侵檢測(cè)系統(tǒng)本身的防御響應(yīng)機(jī)制進(jìn)行防御；當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)異常行為，但確定不了是否真的為入侵行為，則上傳到聯(lián)動(dòng)控制系統(tǒng)并報(bào)警，由聯(lián)動(dòng)控制系統(tǒng)發(fā)出控制指令，采用地址或端口重定向機(jī)制將網(wǎng)絡(luò)流導(dǎo)入到已設(shè)置好的蜜罐作進(jìn)一步的研究，避免像單一的入侵檢測(cè)系統(tǒng)那樣出現(xiàn)誤報(bào)或漏報(bào)的情況，直接攻擊到了主機(jī)。

3） 蜜罐系統(tǒng)。該模塊主要在受保護(hù)的主機(jī)或系統(tǒng)上配置蜜罐系統(tǒng)，該系統(tǒng)實(shí)際上是一個(gè)網(wǎng)絡(luò)陷阱，網(wǎng)絡(luò)中的異常行為經(jīng)過(guò)聯(lián)動(dòng)控制系統(tǒng)重定向到該模塊后，一方面可以通過(guò)精心設(shè)置蜜罐系統(tǒng)，使其盡可能的像一個(gè)真實(shí)的系統(tǒng)，從而吸引并迷惑入侵者，掩蓋蜜罐的欺騙性，使入侵者相信其入侵的是一個(gè)真實(shí)的系統(tǒng)，起到欺騙入侵者的作用；另一方面進(jìn)行數(shù)據(jù)捕獲及日志記錄，將捕獲的內(nèi)容進(jìn)行分析，如果發(fā)現(xiàn)了入侵檢測(cè)系統(tǒng)漏報(bào)的和新出現(xiàn)的攻擊方式，則上傳至聯(lián)動(dòng)控制系統(tǒng)發(fā)出報(bào)警，由防火墻和入侵檢測(cè)系統(tǒng)的響應(yīng)機(jī)制進(jìn)行防御，并進(jìn)行反跟蹤信息采集和分析，在保護(hù)主機(jī)的同時(shí)進(jìn)行反攻擊。

4） 聯(lián)動(dòng)控制系統(tǒng)。該模塊主要負(fù)責(zé)協(xié)調(diào)各部分之間工作，及時(shí)上報(bào)各種信息，根據(jù)入侵檢測(cè)系統(tǒng)和蜜罐系統(tǒng)發(fā)現(xiàn)的攻擊進(jìn)行報(bào)警響應(yīng)，而且可以各種情況協(xié)同控制，給系統(tǒng)的各個(gè)部分下達(dá)相應(yīng)的響應(yīng)指令。

5 總結(jié)

蜜罐技術(shù)作為一種主動(dòng)防御網(wǎng)絡(luò)安全的方法，已經(jīng)成為安全專家所青睞的對(duì)付黑客的有效工具之一，它既可作為獨(dú)立的安全工具，還可以與其他的安全機(jī)制聯(lián)合使用。蜜罐技術(shù)本身并不能完全解決安全問(wèn)題，但在與防火墻和入侵檢測(cè)系統(tǒng)的配合下，能夠彌補(bǔ)原有網(wǎng)絡(luò)安全防御系統(tǒng)的不足，構(gòu)成更加安全的網(wǎng)絡(luò)防御體系。

參考文獻(xiàn)：

[1] （美）Lance Spitzner著. honeypot： 追蹤黑客[M].鄧云佳，譯.北京：清華大學(xué)出版社， 2004：9-10.

[2] 熊華， 郭世澤， 慧勤. 網(wǎng)絡(luò)安全——取證與蜜罐[M].北京：人民郵電出版社， 2003：97-13.

[3] Baumann， Reto， Plattner， Christian.蜜罐S[C]. March 14 2003. Pages 3-40.

[4] 連紅， 胡谷雨. 網(wǎng)絡(luò)防御中的蜜罐技術(shù)研究[J]. 軍事通信技術(shù)， 2005（2）： 57-61.

[5] Lance Spitzner. Honeypots： Definitions and Value of Honeypots[EB/OL]. http：//www.tracking- hackers.com， 2003，5.29.

[6] 裴建. 防火墻的局限性和脆弱性及蜜罐技術(shù)的研究[J]. 科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì).2005（5）：251-252.

[7] 馮嵩， 張潔等. 構(gòu)建基于蜜罐技術(shù)的入侵檢測(cè)系統(tǒng)[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用， 2006（7）：31-34.

[8] 張興東， 胡華平， 況曉輝， 陳輝忠. 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)的研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與科學(xué)， 2004，26（4）：22-26.