蘇世洵++朱志祥

摘 要：嵌入式系統(tǒng)由于具有便利靈活、性價比高、嵌入性強等特點，已廣泛應用于信息家電和工業(yè)控制系統(tǒng)中。但面對層出不窮的嵌入式設備安全問題，防火墻、入侵檢測系統(tǒng)及漏洞掃描等軟件各自功能獨立，僅在不同的側面保護著嵌入式設備的安全，無法從整體上防范攻擊。針對這一問題，本系統(tǒng)將蜜罐技術融入到嵌入式設備的設計中，提出一種基于蜜罐的嵌入式主動型防御系統(tǒng)，同時還建立了蜜罐與防御系統(tǒng)聯(lián)動機制。經(jīng)實驗驗證，該系統(tǒng)可有效保證嵌入式設備網(wǎng)絡內部及外部的安全運行。

關鍵詞：嵌入式系統(tǒng)；蜜罐；信息共享互動；主動防御

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2017）07-00-03

0 引 言

隨著智能設備的快速發(fā)展，嵌入式系統(tǒng)在工業(yè)制造、交通運輸、智能家電、家庭智能管理、POS網(wǎng)絡、環(huán)境工程、國防軍事等各領域的高速發(fā)展，不僅優(yōu)化了我們的工作方式，加快了工作節(jié)奏，方便了生活學習，還大大降低了生活成本，時刻發(fā)揮著重要作用。但嵌入式設備層出不窮的安全問題也為人們的日常帶來了不可估量的損失，比如汽車在行駛過程中被不法分子遠程控制；家中的智能門禁設備遭到遠程攻擊；智能機器人被遠程控制對人行兇等，保證嵌入式系統(tǒng)的安全已成為人們關注的焦點。一般的嵌入式系統(tǒng)只有在受到攻擊后才去查找相應的攻擊源并采取防御措施，但顯然這種被動式的防護策略無法有效保證嵌入式系統(tǒng)的正常運行。系統(tǒng)根據(jù)網(wǎng)絡安全問題防范對策的全局性， 依據(jù)各類安全系統(tǒng)信息共享與互動的思想，利用蜜罐技術與防御系統(tǒng)聯(lián)動實現(xiàn)了主動防御，建立了基于蜜罐的嵌入式主動防御系統(tǒng)模型，使得嵌入式系統(tǒng)在遭受網(wǎng)絡攻擊時能夠更加有效的保證各類嵌入式設備的安全運行，提高容災能力。

1 蜜罐

蜜罐是一種吸引不法分子入侵的“安全資源”，在不法分子入侵時發(fā)揮作用[1]。蜜罐一般虛擬成與被保護設備環(huán)境相同的虛擬設備，并主動暴露虛假的敏感數(shù)據(jù)，它可以虛擬成一個網(wǎng)絡、一臺關鍵設備或一項服務，也可以是數(shù)據(jù)庫中偽裝成敏感數(shù)據(jù)的某些無用數(shù)據(jù)項以及偽裝的用戶名及其弱口令，部署在各內部子網(wǎng)或關鍵設備上，它并不對外提供正常服務，只充當“受害者”的角色，誘騙來自網(wǎng)絡內部和外部黑客攻擊其“敏感數(shù)據(jù)或服務”，并進行交互，消耗對方的時間和資源。與此同時，蜜罐還可實時記錄入侵過程，獲取攻擊信息，對攻擊進行深入分析，提取入侵特征并寫入日志文件，使網(wǎng)絡管理者能夠在可能的攻擊發(fā)生前對真實設備修補安全漏洞，主動進行防御[2]，是一種在通過誘惑攻擊的同時對入侵行為進行分析的誘騙技術[3]。蜜罐的工作模型如圖1所示。

2 系統(tǒng)體系結構

蜜罐技術是一種具有主動性的入侵響應技術[4]，它可以虛擬出一臺或多臺與被保護設備環(huán)境相同的虛擬設備，充當黑客的目標，誘騙攻擊者攻擊，從而有效保護真實設備的安全運行。與此同時，還會實時記錄入侵過程、獲取攻擊信息，對攻擊進行深入分析，提取入侵特征，并寫入日志文件。系統(tǒng)根據(jù)網(wǎng)絡安全問題防范對策的全局性， 依據(jù)各類安全系統(tǒng)信息共享與互動的思想，通過編寫聯(lián)動機制程序提取日志中攻擊者的特征信息，實時動態(tài)聯(lián)動netfilter/iptables設置防火墻規(guī)則，完善防御規(guī)則，保護真實設備，對各類攻擊行為進行提前防御，達到主動防御的目的。可將其部署在各內部子網(wǎng)或關鍵設備上，以有效防御來自網(wǎng)絡系統(tǒng)內部及外部的攻擊[5]。系統(tǒng)體系結構如圖2所示。

3 系統(tǒng)實現(xiàn)

3.1 Honeyd

系統(tǒng)所應用的蜜罐軟件為Honeyd，Honeyd能夠虛擬出一臺或多臺環(huán)境各異的虛擬設備，因此也稱虛擬蜜罐。這些虛擬蜜罐能夠根據(jù)需要被配置以提供相應的服務，系統(tǒng)特征也與所保護設備一致，如同真實的系統(tǒng)在運行。Honeyd可以根據(jù)需要虛擬出多個蜜罐，既可以單個蜜罐工作，也可以多個蜜罐組成一個蜜罐網(wǎng)絡體系，形成虛擬的蜜罐網(wǎng)絡。

與傳統(tǒng)安全軟件相比[6]，Honeyd可以虛擬出任意TCP/UDP網(wǎng)絡服務，如IIS，Telnet，pop3等；支持同時模擬多個IP地址主機；支持ICMP，對ping和traceroute可做出響應；通過代理和重定向支持對實際主機、網(wǎng)絡服務的整合；提供UI用戶界面；通過部署Honeyd誘騙黑客攻擊，可以對黑客的攻擊行為進行捕獲和分析，了解黑客在干什么，捕獲黑客的攻擊方法、鍵擊記錄、攻擊工具，監(jiān)控其會話等。此外，Honeyd還存在如下優(yōu)勢：

（1） Honeyd具有Linux“open”精神，用戶可根據(jù)需要進行改進。

（2）基于程序的模塊化設計，Honeyd擁有滿足各樣功能的插件接口，也可根據(jù)用戶自身需要進行改進。

（3）可以模擬的主機系統(tǒng)類型基本覆蓋現(xiàn)有的所有系統(tǒng)，如Windows、Linux、FreeBSD、Cisco Router 7200、Zyxel Router等。

（4） Honeyd占用的系統(tǒng)資源非常少。

3.2 系統(tǒng)實現(xiàn)

將虛擬機作為被保護的設備，在虛擬機上利用Honeyd軟件虛擬出一臺（或多臺）蜜罐作為引誘黑客攻擊的設備，將虛擬蜜罐與被保護設備軟硬件條件及各項參數(shù)環(huán)境設置一致，在Honeyd上建立Honeyd.log文件，即Honeyd日志文件，當有黑客攻擊時，Honeyd日志文件會根據(jù)自定義編寫的規(guī)則實時動態(tài)捕獲攻擊者的信息，并寫入日志文件。將Honeyd日志文件中捕獲的攻擊者特征數(shù)據(jù)與iptables建立聯(lián)動關系。系統(tǒng)實現(xiàn)模型如圖3所示。

編寫聯(lián)動機制程序，建立聯(lián)動關系。其操作內容包括對蜜罐日志的讀取，啟動防火墻并將日志中捕獲的特征數(shù)據(jù)添加到防火墻列表中。自動啟動防火墻，對入侵行為過頻繁的源地址IP進行阻攔（更多規(guī)則可自定義編寫）。程序運行流程圖如圖4所示。

3.3 Honeyd移植

Honeyd移植，編譯環(huán)境建立在Linux操作系統(tǒng)的PC上，在ARM-Linux實驗平臺（ARM11）實現(xiàn)Honeyd移植。Honeyd依賴三個庫和一個Arpd工具，三個庫分別為異步事件響應庫、數(shù)據(jù)包構造與發(fā)送庫、數(shù)據(jù)包捕獲庫。Honeyd所需的庫文件成功創(chuàng)建之后，對Honeyd進行編譯和安裝。

4 驗證系統(tǒng)功能及實例測試

系統(tǒng)功能測試圖如圖5所示。用一臺系統(tǒng)環(huán)境為Win7的電腦來模擬黑客對開發(fā)板進行攻擊測試（其IP地址為200.1.1.100），用已經(jīng)移植了Honeyd的嵌入式開發(fā)板（ARM11）充當被保護的對象（其IP地址為200.1.1.101），打開超級終端，設置好相應的端口號和波特率，給板子加電，板子自動運行Honeyd_log.sh腳本文件，然后虛擬一個具有Win7環(huán)境及相應配置的蜜罐（其IP地址為200.1.1.88），建立日志文件Honeyd.log，輸入相應命令配置文件Honeyd.conf來創(chuàng)建所需蜜罐系統(tǒng)環(huán)境，執(zhí)行./start-arpd.sh和./start-Honeyd.sh啟動命令。此時，運行scanport端口掃描程序可以查看板子和板子虛擬出來的端口號及IP地址，表示蜜罐虛擬成功。

主動防御系統(tǒng)功能測試：

（1）ICMP攻擊測試打開兩個“cmd”，分別ping板子和蜜罐的IP，此時會發(fā)現(xiàn)，板子的IP一段時間后無法ping通，因為蜜罐的IP被訪問10次后，“黑客”的IP地址會被防火墻自動屏蔽，訪問板子失敗。

（2）TCP攻擊測試，執(zhí)行./Honeyd_monitor命令打開監(jiān)控程序與瀏覽器，地址欄輸入200.1.1.101/index.html，可正?？吹降卿涰撁妗５刂窓谥匦螺斎?00.1.1.88，并多次刷新，即增加訪問次數(shù)，達到10次便關掉監(jiān)控程序，執(zhí)行iptables-L命令查看防火墻列表，同樣“黑客”IP地址被防火墻屏蔽，訪問板子失敗。

（3）UDP攻擊測試，打開網(wǎng)絡調試助手，選擇UDP協(xié)議，本地IP地址為200.1.1.100，選擇數(shù)據(jù)流循環(huán)發(fā)送，目標主機IP地址為200.1.1.88，若超過10次，“黑客”IP地址被防火墻屏蔽，訪問板子失敗。

經(jīng)多次ICMP/TCP/UDP攻擊測試驗證[7-9]，基于蜜罐的嵌入式主動型防御系統(tǒng)能夠達到設計要求，建立了蜜罐與防御系統(tǒng)聯(lián)動機制，實現(xiàn)了主動防御，提高了容災能力，可有效保證嵌入式設備網(wǎng)絡內部及外部的運行安全。實驗數(shù)據(jù)統(tǒng)計結果見表1所列。

5 結 語

文章利用蜜罐技術建立了主動防御的嵌入式安全系統(tǒng)，與傳統(tǒng)的嵌入式安全系統(tǒng)相比，具有自主對網(wǎng)絡攻擊進行防御的特點。經(jīng)過多次攻擊測試，驗證了本系統(tǒng)可將Honeyd日志文件中記錄的特征數(shù)據(jù)與防御系統(tǒng)建立聯(lián)動關系，完善防御規(guī)則，對各類攻擊行為進行提前防御，動態(tài)實現(xiàn)蜜罐與防御系統(tǒng)的聯(lián)動，有效防御了來自內部和外部的攻擊，實現(xiàn)了主動防御的目的。

參考文獻

[1]連紅，胡谷雨.網(wǎng)絡防御中的蜜罐技術研究[J].軍事通信技術，2005（2）：57-61.

[2]殷聯(lián)甫.主動防護網(wǎng)絡入侵的蜜罐技術川[J].計算機系統(tǒng)應用，2004，13（7）：29-31.

[3] Lance Spitzner.Honeypots： Tracking Haclcers[M].Addision Wesley，2002.

[4]胡志勇.網(wǎng)絡安全之蜜罐技術篇[J].電子材料與電子技術，2004 （2）：22-28.

[5]應錦鑫，曹元大.利用蜜罐技術捕捉來自內部的威脅[J].網(wǎng)絡安全技術與應用，2005（1）：37-39.

[6]裴建.防火墻的局限性和脆弱性及密罐技術的研究[J].科技情報導刊，2005，15（7）：251-252.

[7]汪靜，王能.入侵檢測系統(tǒng)設計方案的改進[J].計算機應用研究，2004，21（7）：208-210.

[8]李學寶，宋如順.利用蜜罐抵御網(wǎng)絡蠕蟲[J].計算機與現(xiàn)代化，2005（3）：75-78.

[9]張濤，董占球.網(wǎng)絡攻擊行為分類技術的研究[J].計箅機應用，2004，24（4）：115-118.