賀文娟

（安徽科技學(xué)院理學(xué)院計算機公共教學(xué)部，安徽鳳陽 233100）

蜜罐技術(shù)在校園網(wǎng)系統(tǒng)中的應(yīng)用研究

賀文娟

（安徽科技學(xué)院理學(xué)院計算機公共教學(xué)部，安徽鳳陽 233100）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)重.通過蜜罐技術(shù)，建立一個新型的主動防御的校園網(wǎng)安全系統(tǒng).該系統(tǒng)可誘使攻擊者連接蜜罐，進(jìn)而可以收集到攻擊者的相關(guān)信息.通過蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具，可以保障校園網(wǎng)的正常運行.

蜜罐；校園網(wǎng)；主動防御

1 引言

校園網(wǎng)作為學(xué)校正常運轉(zhuǎn)的重要組成部分之一，對提高工作效率起到了重要的推動作用.但我們在享受網(wǎng)上便捷辦公的同時，也面臨著校園網(wǎng)的諸多安全問題：蠕蟲病毒，拒絕服務(wù)，各種網(wǎng)絡(luò)攻擊層出不窮，甚至影響到學(xué)校的正常教學(xué)工作.因此，構(gòu)建一個安全的校園網(wǎng)絡(luò)系統(tǒng)成為眾多高校面臨的急需解決的問題之一.

目前校園網(wǎng)的安全體系是由傳統(tǒng)的網(wǎng)絡(luò)安全工具搭建，校園網(wǎng)是處于被動防御狀態(tài)，而蜜罐是一種主動防御技術(shù)，蜜罐可以及時發(fā)現(xiàn)攻擊者的活動，記錄下攻擊者的攻擊方法和攻擊工具.通過分析蜜罐中的數(shù)據(jù)，我們可以得到攻擊者的相關(guān)信息，及時發(fā)現(xiàn)系統(tǒng)漏洞.蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)可以構(gòu)建一個新型的主動的校園網(wǎng)絡(luò)安全系統(tǒng).

2 蜜罐技術(shù)

蜜罐的定義是由“蜜罐項目組”的創(chuàng)始人Lance Spitzner給出的：蜜罐是一種安全資源，其價值體現(xiàn)在被黑客探測、攻擊或者摧毀的時候[1].蜜罐是事先設(shè)置好的系統(tǒng)，在蜜罐中安裝各種偽造的有“價值”的信息作為誘餌，等待攻擊者的攻擊.蜜罐系統(tǒng)收集到的信息是研究攻擊者攻擊方法、攻擊技術(shù)和攻擊目標(biāo)的重要資料.蜜罐系統(tǒng)在攻擊者看來是非常具有吸引力的系統(tǒng)，由于蜜罐一般不含真實而有價值的數(shù)據(jù)，因而不會對重要數(shù)據(jù)和系統(tǒng)構(gòu)成威脅[2].

攻擊者可能會攻擊網(wǎng)絡(luò)上的正常工作系統(tǒng)，如果這個系統(tǒng)帶有特定資源，那么被攻擊的可能性會比較大.我們可以將蜜罐布置在系統(tǒng)中，將攻擊者引入蜜罐，降低正常工作系統(tǒng)被攻擊的可能性.并且蜜罐可以記錄下攻擊者的各種攻擊數(shù)據(jù)，這些數(shù)據(jù)是研究黑客技術(shù)的重要資料.

在蜜罐系統(tǒng)中，布置一些帶有漏洞的主機作為誘餌，也可以安裝一些網(wǎng)絡(luò)服務(wù)和信息資源引誘攻擊者攻擊蜜罐系統(tǒng).蜜罐系統(tǒng)可以監(jiān)控攻擊者的攻擊行為，記錄下攻擊者的攻擊過程，通過分析數(shù)據(jù)，可以知道攻擊者的攻擊方法，采用的攻擊工具和攻擊目的，而且對未知的新型攻擊也有著很好的防御作用.蜜罐的作用就是用來被探測，被攻擊甚至被攻陷.蜜罐本身沒有正常的工作，它捕獲到的數(shù)據(jù)都是攻擊者的攻擊，所以它提供的數(shù)據(jù)都是有價值的數(shù)據(jù).因此蜜罐是其他傳統(tǒng)的網(wǎng)絡(luò)安全工具不能取代的新型的主動防御工具.

3 蜜罐的分類

蜜罐的分類方法有很多種，按照蜜罐與攻擊者之間的交互程度可以將蜜罐分為3類：低交互蜜罐、中交互蜜罐和高交互蜜罐.這3種不同的蜜罐也可以說是蜜罐在被入侵程度上的不同，三者之間并沒有明確的分界[3].

（1）低交互蜜罐

低交互蜜罐沒有提供操作系統(tǒng)，只是通過一些端口監(jiān)聽來實現(xiàn)一些虛擬服務(wù)，是一種最簡單配置的蜜罐，不能獲得通過復(fù)雜協(xié)議傳輸?shù)臄?shù)據(jù).低交互蜜罐系統(tǒng)如圖1所示.

（2）中交互蜜罐

中交互蜜罐仍然沒有提供真實的操作系統(tǒng)，只是對真實系統(tǒng)的模擬，但是比低交互蜜罐提供了更多的交互信息，可以記錄下更復(fù)雜些的攻擊手段.整個系統(tǒng)有可能被攻擊者攻破，所以要定期檢查蜜罐系統(tǒng)，及時了解蜜罐狀態(tài).中交互蜜罐系統(tǒng)如圖2所示.

（3）高交互蜜罐

高交互蜜罐包含一個真實的操作系統(tǒng)，可以提供真實的服務(wù).攻擊者可以與操作系統(tǒng)和真實的服務(wù)進(jìn)行交互，高交互蜜罐可以得到更多的攻擊者的攻擊信息.在構(gòu)建高交互蜜罐系統(tǒng)時，必須采取有效的措施，防止蜜罐系統(tǒng)被攻陷后，作為攻擊者的跳板攻擊正常的系統(tǒng).高交互蜜罐系統(tǒng)如圖3所示.

圖1 低交互蜜罐系統(tǒng)

圖2 中交互蜜罐系統(tǒng)

圖3 高交互蜜罐系統(tǒng)

4 基于蜜罐的校園網(wǎng)總體設(shè)計

（1）系統(tǒng)設(shè)計目標(biāo)

一方面校園網(wǎng)要防御來自外部的攻擊，另一方面對于來自系統(tǒng)內(nèi)部的攻擊也要有相應(yīng)的安全措施.校園網(wǎng)具有硬件設(shè)施投入比較大，而管理和維護(hù)方面的投入較少的特點，所以來自內(nèi)部的攻擊更容易造成校園網(wǎng)的癱瘓.因此通過蜜罐技術(shù)，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具，設(shè)計并構(gòu)造一個具有主動防御功能的校園網(wǎng)絡(luò)系統(tǒng).

（2）系統(tǒng)模型

P2DR模型最早是由ISS公司提出的動態(tài)安全模型[4]，安全策略、防護(hù)、檢測和響應(yīng)是該模型的四個組成部分.依據(jù)P2DR模型建立一個基于蜜罐技術(shù)的校園網(wǎng)系統(tǒng).

新的校園網(wǎng)系統(tǒng)面臨七個技術(shù)問題：入侵檢測、入侵行為控制、入侵行為分析、入侵行為記錄、服務(wù)模型、行為捕獲和數(shù)據(jù)融合.在安全策略的基礎(chǔ)上，發(fā)揮已有的網(wǎng)絡(luò)安全工具的作用，并結(jié)合蜜罐技術(shù)，提出校園網(wǎng)安全系統(tǒng)模型，如圖4所示.

（3）系統(tǒng)結(jié)構(gòu)

依據(jù)上面的模型，校園網(wǎng)安全系統(tǒng)由三個模塊組成.分別是數(shù)據(jù)捕獲模塊、數(shù)據(jù)控制模塊、日志管理模塊.系統(tǒng)結(jié)構(gòu)圖如圖5所示.

①數(shù)據(jù)捕獲模塊

蜜罐的作用就是捕獲數(shù)據(jù).蜜罐是模擬系統(tǒng)，它能使攻擊者誤認(rèn)為這是一個真實的系統(tǒng)，誘導(dǎo)攻擊者攻擊蜜罐系統(tǒng)，蜜罐可以捕獲到攻擊者的相關(guān)數(shù)據(jù).由于蜜罐模擬了操作系統(tǒng)的部分指令，我們可以通過測試這些指令來查看蜜罐的功能是否滿足系統(tǒng)的要求.Proc.c初始化模塊調(diào)用其他子程序.String.c擊鍵提取模塊作用是從網(wǎng)絡(luò)中抓取數(shù)據(jù)包并分析組合成可查看的擊鍵序列.

②數(shù)據(jù)控制模塊

數(shù)據(jù)控制模塊是蜜罐系統(tǒng)的核心模塊.如果它被攻破，攻擊者就會對蜜罐系統(tǒng)進(jìn)行修改，更甚者整個系統(tǒng)可能會被攻擊者控制.數(shù)據(jù)控制可以分層來實現(xiàn)功能.本系統(tǒng)中采用防火墻和路由器的雙重控制.防火墻允許所有的入站鏈接，但是對于出站鏈接進(jìn)行控制.蜜罐一旦有向外的鏈接，就說明蜜罐系統(tǒng)很有可能被攻擊者攻破.一般情況下，對外鏈接允許5至10個比較合適.也可以通過路由器的訪問控制功能過濾數(shù)據(jù)包.

③日志管理模塊

日志管理模塊就是一臺計算機，將蜜罐捕獲的數(shù)據(jù)進(jìn)行遠(yuǎn)程備份，主要是防止蜜罐系統(tǒng)被攻擊者攻破，攻擊者將其上的日志刪除或者惡意修改.

圖4 基于蜜罐系統(tǒng)的校園網(wǎng)安全系統(tǒng)模型

圖5 基于蜜罐系統(tǒng)的校園網(wǎng)安全系統(tǒng)結(jié)構(gòu)

5 系統(tǒng)測試

圖6 攻擊者端運行界面

（1）測試環(huán)境

使用虛擬機技術(shù)，采用一臺配置比較高的計算機作為蜜罐系統(tǒng)，該計算機硬件配置為雙核處理器，2G內(nèi)存，兩塊硬盤，兩塊網(wǎng)卡.采用另外一臺計算機作為測試主機，IP地址為192.168.51.70.

（2）功能測試

兩個蜜罐的IP地址為192.168.51.130、192.168.51.131，被攻擊主機的IP地址為192.168.51.200.圖6是攻擊者端的顯示信息，可以得出該系統(tǒng)可以對攻擊者進(jìn)行有效欺騙.

下面測試蜜罐系統(tǒng)是否可以記錄下攻擊者的攻擊行為.圖7是蜜罐系統(tǒng)的運行界面，表明蜜罐系統(tǒng)可以正常運行.

6 結(jié)語

圖7 蜜罐系統(tǒng)的運行界面

通過系統(tǒng)測試，我們驗證了在校園網(wǎng)中部署蜜罐的可行性.可以做到讓攻擊者連接蜜罐，并準(zhǔn)確記錄下攻擊日志.進(jìn)而可以通過日志的分析，及時掌握攻擊者的情況.蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具、防火墻、入侵檢測技術(shù)，可以建立一個新型的校園網(wǎng)安全系統(tǒng).

[1]Lance Spiizner.Honeypot：追蹤黑客[M].北京：清華大學(xué)出版社，2004：20-50.

[2]LanceSpitzner.TheValueofHoneypots.PartOne：DefinitionsandValuesofHoneypots[EB/OL].2006.http：//www.spitzner.net.

[3]諸葛建偉.蜜罐及蜜網(wǎng)技術(shù)簡介[EB/OL].2006-02-24.http：//read.pudn.com/downloads68/doc/245219/honeypot.pdf.

[4]李江，張峰，秦志光.Telnet和FTP協(xié)議下跟蹤用戶操作的一種方法[J].計算機應(yīng)用，2003（8）：133-135.

An Applied Research into School Network System Based on Honeypot Technology

HE Wen-juan
(Computer Public Teaching Department of College of Science,Anhui Science and Technology University,Fengyang 233100,China)

With the development of network technology,network security problems have become more and more serious.By means of honeypot technology,a new type of active defense of the school network safety system is created in this paper.This system can make the attacker connect honeypot and collect the attacker's related information.In combination with honeypot technology and traditional network security tools,the normal operation of the school network can be guaranteed.

honeypot;school network;initiative protection

TP393.08

A

1008-2794（2012）10-0121-04

2012-04-12

安徽科技學(xué)院青年基金項目“蜜網(wǎng)技術(shù)在網(wǎng)絡(luò)中的應(yīng)用”（ZRC2011275）

賀文娟（1982—），女，安徽蚌埠人，助教，碩士，研究方向：網(wǎng)絡(luò)安全，數(shù)據(jù)庫.