詹可強(qiáng)

(福建信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，福建福州 350001)

?

基于蜜網(wǎng)技術(shù)的網(wǎng)絡(luò)信息安全研究

詹可強(qiáng)

(福建信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系，福建福州 350001)

面對(duì)網(wǎng)絡(luò)上復(fù)雜多變的安全環(huán)境，本文提出利用蜜網(wǎng)技術(shù)建立一個(gè)兼具安全性與使用效率的保護(hù)及預(yù)警體系，通過吸引入侵者攻擊的方法，來監(jiān)視和跟蹤其攻擊行為并進(jìn)行記錄，進(jìn)而研究入侵者的攻擊意圖、攻擊策略及方法。通過實(shí)驗(yàn)表明蜜網(wǎng)系統(tǒng)是一個(gè)高度可控的和行之有效的信息安全保護(hù)平臺(tái)。

蜜網(wǎng)；蜜罐；入侵檢測(cè)；數(shù)據(jù)捕獲；信息安全

遼闊無際的網(wǎng)絡(luò)讓全世界的信息資源共享更加便利，卻也造就了黑客犯罪的最佳環(huán)境。目前，一般的信息安全僅著重于自我防御措施，例如防火墻、入侵檢測(cè)系統(tǒng)和加解密機(jī)制等作為單個(gè)網(wǎng)絡(luò)系統(tǒng)安全的守護(hù)屏障。然而由于網(wǎng)絡(luò)的快速發(fā)展，各種操作系統(tǒng)漏洞迅速地被發(fā)現(xiàn)，已經(jīng)逐漸改變了入侵行為和惡意程序散布的模式。如何強(qiáng)化系統(tǒng)安全防護(hù)措施已不是傳統(tǒng)軟硬件架構(gòu)與防護(hù)技術(shù)所能應(yīng)付的，一個(gè)兼具安全性與使用效率的保護(hù)及預(yù)警機(jī)制將是信息安全極迫切的需求。本研究的主要目標(biāo)為利用蜜網(wǎng)技術(shù)快速建立安全控制的虛擬環(huán)境，以精心安排的方法預(yù)設(shè)陷阱，使得入侵者認(rèn)為已經(jīng)達(dá)到入侵目的，但實(shí)際上卻被系統(tǒng)設(shè)計(jì)者所控制、監(jiān)督及控制。

1 蜜網(wǎng)技術(shù)

蜜網(wǎng)(Honeynet)是由若干能收集和交互信息的蜜罐(Honeypot)構(gòu)成的一個(gè)以主動(dòng)防御為目的的誘捕網(wǎng)絡(luò)體系。它是將蜜罐納入到一個(gè)完整的蜜網(wǎng)網(wǎng)絡(luò)體系，其目的是對(duì)入侵者群體進(jìn)行研究，追蹤他們的行為舉動(dòng)[1]。蜜網(wǎng)是蜜罐技術(shù)的擴(kuò)展，其相對(duì)于蜜罐的優(yōu)勢(shì)在于：首先，蜜罐是獨(dú)立工作，低交互性，其捕獲的信息量有限；而蜜網(wǎng)是由蜜罐、蜜網(wǎng)網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、系統(tǒng)行為記錄系統(tǒng)等一系列系統(tǒng)和工具所組成的體系，可以通過集合方式實(shí)現(xiàn)與攻擊者進(jìn)行高交互，可捕獲的信息量豐富。其次，蜜罐是一個(gè)單獨(dú)的個(gè)體，所有對(duì)攻擊活動(dòng)的監(jiān)視和控制均靠自身系統(tǒng)和工具完成，健壯性較差；而蜜網(wǎng)是一個(gè)整體的體系結(jié)構(gòu)，這種體系結(jié)構(gòu)通過一系列的系統(tǒng)和工具構(gòu)建了一個(gè)高度可控的網(wǎng)絡(luò)，其健壯性和可控性高。

蜜網(wǎng)的概念最早由Lacne Spitzner等人于1999年提出，并在2000年6月成立致力于蜜網(wǎng)技術(shù)研究的蜜網(wǎng)項(xiàng)目組(The Honeynet Project)[2]。目前，蜜網(wǎng)技術(shù)的發(fā)展經(jīng)歷了三代的變遷[3]。第一代蜜網(wǎng)是簡(jiǎn)單的用防火墻、入侵檢測(cè)系統(tǒng)和日志服務(wù)器等所構(gòu)建的體系結(jié)構(gòu)，容易被攻擊者察覺；第二代蜜網(wǎng)增加了HoneyWall、Sebek等關(guān)鍵部件，使得蜜網(wǎng)技術(shù)趨于成熟；第三代蜜網(wǎng)更新了HoneyWall Roo以及Sebek 3.0版，并提供了基于Web解密的數(shù)據(jù)輔助分析工具Walleye，使得蜜網(wǎng)技術(shù)更加完整。

構(gòu)建蜜網(wǎng)體系結(jié)構(gòu)需要面對(duì)3個(gè)核心功能需求：數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析[4]。數(shù)據(jù)控制是對(duì)攻擊者在蜜網(wǎng)中的行為進(jìn)行限制的機(jī)制，其最關(guān)鍵的地方是必須給予攻擊者一定的自由度，允許他們做部分諸如下載入侵工具等可控的事情，以便獲取攻擊者的相關(guān)信息，但要拒絕其攻擊其它機(jī)器的行為而又不被攻擊者發(fā)現(xiàn)，這就需要在自由度和安全性上尋求一個(gè)平衡。數(shù)據(jù)捕獲則是要監(jiān)控和記錄攻擊者的所有網(wǎng)絡(luò)流量， 包括他們?cè)阪I盤上的敲擊行為以及他們傳送出去及接收到的數(shù)據(jù)包，其需要在攻擊者毫不察覺的情況下盡可能多地捕獲數(shù)據(jù)。數(shù)據(jù)分析則是對(duì)捕獲到的數(shù)據(jù)進(jìn)行分析、整理和歸類，從中分析出這些數(shù)據(jù)背后蘊(yùn)含的攻擊動(dòng)機(jī)、方法和手段。在分布式部署的蜜網(wǎng)系統(tǒng)中，還需要將多個(gè)蜜網(wǎng)中捕獲的數(shù)據(jù)傳輸?shù)揭慌_(tái)中央服務(wù)器進(jìn)行集中化分析，以達(dá)到更準(zhǔn)確獲得攻擊者動(dòng)機(jī)、方法和手段的目的。

2 蜜網(wǎng)系統(tǒng)架構(gòu)

為了實(shí)現(xiàn)數(shù)據(jù)捕獲這一核心功能需求，需要對(duì)進(jìn)出蜜網(wǎng)的數(shù)據(jù)包以及網(wǎng)絡(luò)連接信息進(jìn)行監(jiān)控，這就必須在蜜網(wǎng)的前端部署蜜網(wǎng)網(wǎng)關(guān)(Honeywall)。蜜網(wǎng)網(wǎng)關(guān)采用橋接模式進(jìn)行內(nèi)外網(wǎng)的連接，這樣數(shù)據(jù)包在經(jīng)過蜜網(wǎng)網(wǎng)關(guān)時(shí)就不會(huì)進(jìn)行TTL遞減和路由，避免被攻擊者發(fā)現(xiàn)的可能，同時(shí)蜜網(wǎng)網(wǎng)關(guān)是蜜網(wǎng)與其他網(wǎng)絡(luò)之間的唯一接口，所有進(jìn)出蜜網(wǎng)的網(wǎng)絡(luò)流量都須通過蜜網(wǎng)網(wǎng)關(guān)，受其監(jiān)控和審計(jì)。按照上述要求，架構(gòu)一個(gè)蜜網(wǎng)系統(tǒng)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 蜜網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

在蜜網(wǎng)網(wǎng)關(guān)上通過部署IPTables、snort等實(shí)現(xiàn)多層次的數(shù)據(jù)控制機(jī)制。IPTables是一種防火墻機(jī)制，可對(duì)已知攻擊的數(shù)據(jù)進(jìn)行分流和控制，并限制蜜網(wǎng)內(nèi)的每臺(tái)蜜罐主機(jī)在單位時(shí)間內(nèi)允許向外發(fā)起的連接數(shù)及速率，避免蜜罐主機(jī)成為攻擊者掃描、探測(cè)及攻擊他人的跳板。同時(shí)，在蜜網(wǎng)網(wǎng)關(guān)上部署入侵檢測(cè)系統(tǒng)snort_inline，通過它監(jiān)聽eth0接口上的所有數(shù)據(jù)，如果監(jiān)聽到包含已知攻擊特征的數(shù)據(jù)包，則立即告警并丟棄此數(shù)據(jù)包或使其無效。這種多層次的控制機(jī)制能最大限度地降低部署蜜網(wǎng)所帶來的安全風(fēng)險(xiǎn)，但尚不能完全消除風(fēng)險(xiǎn)，因此在蜜網(wǎng)網(wǎng)關(guān)的eth2接口上連接一臺(tái)日志∕控制服務(wù)器，用以記錄蜜網(wǎng)網(wǎng)關(guān)捕獲到的攻擊數(shù)據(jù)，供蜜網(wǎng)管理者研究判斷是否進(jìn)一步采取措施。

在蜜網(wǎng)發(fā)展之初，許多Honeypots軟件的功能都是抓取網(wǎng)絡(luò)上的數(shù)據(jù)包，然后經(jīng)重組后以了解入侵者在我們的系統(tǒng)上進(jìn)行了什么操作。但是自從加密的機(jī)制(如SSH)普遍被使用之后，這種做法就行不通了，因?yàn)閿?shù)據(jù)包已經(jīng)被加密，除非能解密，不然得到的信息是沒有用的。因此現(xiàn)在的Honeypots軟件幾乎都是直接附加在操作系統(tǒng)的內(nèi)核內(nèi)，直接從內(nèi)核中抓取入侵者在系統(tǒng)中的行為，不管它是否使用加密機(jī)制，都可以被記錄下來。把Honeypots放在內(nèi)核的另一個(gè)好處就是操作系統(tǒng)把內(nèi)核空間和用戶空間分開，我們可以利用這一點(diǎn)讓入侵者即使得到了root的權(quán)限，也無法知道Honeypots軟件正在做什么。

為了協(xié)助蜜網(wǎng)管理者更好、更快地對(duì)所捕獲到的攻擊數(shù)據(jù)進(jìn)行深入分析，我們?cè)诿劬W(wǎng)中部署Sebek來捕獲攻擊者在蜜罐主機(jī)上的進(jìn)一步攻擊行為。Sebek就是一種典型的可附加在系統(tǒng)內(nèi)核中的Honeypots軟件，它可以在不被攻擊者察覺的前提下對(duì)其擊鍵記錄和系統(tǒng)行為進(jìn)行捕獲，同時(shí)通過隱蔽的通訊信道將捕獲到的數(shù)據(jù)傳遞到日志∕控制服務(wù)器上的Sebek服務(wù)器端，讓蜜網(wǎng)管理者了解入侵者進(jìn)入了蜜罐主機(jī)后進(jìn)行了什么操作。

3 系統(tǒng)實(shí)現(xiàn)與仿真

我們利用虛擬蜜網(wǎng)技術(shù)架構(gòu)如圖1所示的蜜網(wǎng)體系結(jié)構(gòu)。虛擬蜜網(wǎng)技術(shù)[5]是借助VMWare等虛擬軟件在單機(jī)上運(yùn)行多個(gè)操作系統(tǒng)，以部署整個(gè)蜜網(wǎng)的解決方案。虛擬蜜網(wǎng)技術(shù)的優(yōu)點(diǎn)是降低資源成本且容易管理。將架構(gòu)好的蜜網(wǎng)系統(tǒng)放在校園網(wǎng)絡(luò)中，保護(hù)一臺(tái)架設(shè)在內(nèi)網(wǎng)的Web服務(wù)器。在蜜網(wǎng)網(wǎng)關(guān)上采用IPTables作為數(shù)據(jù)分流器(圖2)。對(duì)于正常的Web服務(wù)器連接請(qǐng)求，分流器IPTables實(shí)現(xiàn)NAT后正常訪問Web服務(wù)器；而當(dāng)IDS系統(tǒng)通過Snort_inline檢測(cè)到非法掃描后，通知分流器將異常連接重定向到蜜罐主機(jī)。

圖2 數(shù)據(jù)控制和分流機(jī)制

在蜜罐主機(jī)遭攻擊者入侵后，入侵者一定會(huì)通過蜜罐主機(jī)產(chǎn)生對(duì)外網(wǎng)絡(luò)流量，這時(shí)在蜜網(wǎng)網(wǎng)關(guān)上通過設(shè)置Iptables腳本，限制對(duì)外發(fā)出的連接的頻率和連接數(shù)，若在單位時(shí)間內(nèi)對(duì)外連接數(shù)達(dá)到上限，就將對(duì)外流量記錄下來由syslog-ng記錄到數(shù)據(jù)庫中，同時(shí)發(fā)送告警信息通知蜜網(wǎng)管理者，入侵者在蜜罐系統(tǒng)中執(zhí)行的相關(guān)操作會(huì)由Sebek記錄下來，蜜網(wǎng)管理者可以通過查看Sebek了解入侵者的相關(guān)意圖。

對(duì)布署好的蜜網(wǎng)系統(tǒng)進(jìn)行測(cè)試，在測(cè)試過程中收到蜜罐主機(jī)上發(fā)送來的E-mail告警信息，通過查看日志服務(wù)器上的Sebek 服務(wù)器端頁面，發(fā)現(xiàn)有一系列的鍵擊記錄，通過分析發(fā)現(xiàn)有黑客登錄了系統(tǒng)，并下載了一個(gè)叫 malware的文件，這個(gè)文件是用Burneye保護(hù)的可執(zhí)行二進(jìn)制程序。通過執(zhí)行malware程序獲得在蜜罐上的root訪問權(quán)限。在獲得root權(quán)限后，攻擊者下載了一些掃描和攻擊工具文件，并通過139端口不斷對(duì)外部主機(jī)進(jìn)行掃描，由于蜜網(wǎng)網(wǎng)關(guān)上的Iptables將對(duì)外發(fā)出的連接的頻率和連接數(shù)進(jìn)行了限制，使得黑客不能成功利用蜜罐主機(jī)入侵其它主機(jī)。

通過對(duì)此攻擊案例的分析，我們發(fā)現(xiàn)通過Sebek所捕獲的黑客鍵擊記錄對(duì)了解由黑客發(fā)起的攻擊過程和攻擊意圖起到了巨大的作用。

4 結(jié)論

蜜網(wǎng)技術(shù)是一種通過構(gòu)建高度可控的網(wǎng)絡(luò)結(jié)構(gòu)，并結(jié)合一系列數(shù)據(jù)控制、捕獲和分析工具，使得安全研究人員能夠更深入地了解各種攻擊行為的新技術(shù)。在本研究中，為了快速搭建環(huán)境，我們使用現(xiàn)成的工具來顯示記錄檔：第一個(gè)是Sebek的Web界面監(jiān)控程序，第二個(gè)是用php-syslog-ng以Web界面來顯示防火墻及入侵檢測(cè)系統(tǒng)的記錄，如此便需要開啟兩個(gè)界面以顯示蜜網(wǎng)中的狀態(tài)，雖然是Web界面，但并不是十分方便；在未來，我們可以依據(jù)需求，自行開發(fā)整合性的監(jiān)控界面，這樣才能更方便、更簡(jiǎn)單地掌控整個(gè)蜜網(wǎng)的現(xiàn)狀。

[1]詹可強(qiáng).基于Honeypot技術(shù)的網(wǎng)絡(luò)主動(dòng)防御技術(shù)研究[J].伊犁師范學(xué)院學(xué)報(bào),2013,7(1):50-52.

[2]The Honeynet Project.Know Your Enemy:Honeynets[EB/OL].(2008-08-12)[2015-01-02]. http://project.honeynet.org/papers/honeynet/.

[3]諸葛建偉,唐勇,韓心慧.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào),2013,24(4):825-842.

[4]易秀雙,馬世偉,王衛(wèi)東.虛擬蜜網(wǎng)核心功能剖析與實(shí)例部署[J].計(jì)算機(jī)科學(xué),2012,39(3):101-103.

[5]董輝,馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的構(gòu)建[J].齊齊哈爾大學(xué)學(xué)報(bào),2012,28(2):67-72.

Study of the Network Information Security Based on Honeynet

ZHAN Ke-qiang

(Fujian Polytechnic of Information Technology, Fuzhou Fujian 350001, China)

In the face of the complex security environment on the network, this paper introduces a safe and effective protecting and warning system based on the honeynet technology. By using the method of attracting intruder attacks, we can monitor and record the behaviors of attackers, and then study their intentions and strategies. The simulation results show that the honeynet is a highly controllable and effective information security platform.

Honeynet; Honeypot; intrusion detection; data capture; information security

2015-07-18

詹可強(qiáng)(1981- )，男，福建福州人，福建信息職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程系講師，碩士，從事網(wǎng)絡(luò)安全與系統(tǒng)集成研究。

TP393.8

A

2095-7602(2015)10-0042-03