羅江洲 王朝輝

摘要：蜜罐技術(shù)是一種主動防御網(wǎng)絡(luò)攻擊的技術(shù)，通過真實的網(wǎng)絡(luò)系統(tǒng)或模擬真實網(wǎng)絡(luò)環(huán)境的方式為攻擊者提供一個網(wǎng)絡(luò)陷阱，收集和分析流入該系統(tǒng)中數(shù)據(jù)，從而發(fā)現(xiàn)攻擊，并保護網(wǎng)絡(luò)或計算機。但由于蜜罐系統(tǒng)更為顯著的作用是檢測功能，并不能實現(xiàn)完全防御。該文在簡要介紹蜜罐技術(shù)的定義、分類和關(guān)鍵技術(shù)之后，設(shè)計了一種將蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)相結(jié)合的聯(lián)動模型。

關(guān)鍵詞：蜜罐；防火墻；入侵檢測；網(wǎng)絡(luò)安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）22-5206-03

隨著網(wǎng)絡(luò)的普及與發(fā)展，已經(jīng)而且正在改變著人們的工作和生活方式，網(wǎng)絡(luò)帶給人們方便的同時，網(wǎng)絡(luò)安全問題也越來越引起了人們的關(guān)注。傳統(tǒng)的防御技術(shù)大多為被動防御，如入侵檢測、防火墻等，這些防御手段只能根據(jù)現(xiàn)有的攻擊方式被動進行防御，存在著很大的局限性和脆弱性，往往對新的攻擊方式根本起不到防御的目的。蜜罐（Honeypot）是基于主動防御理論提出的一種網(wǎng)絡(luò)誘捕技術(shù)，其主要功能是對攻擊活動進行監(jiān)視、檢測和分析，但其通常只是作為一種檢測方法來檢測攻擊。結(jié)合兩種策略的優(yōu)缺點，將當前最為常用的防火墻、入侵檢測系統(tǒng)與蜜罐技術(shù)相結(jié)合，設(shè)計了一種防火墻、入侵檢測系統(tǒng)和蜜罐系統(tǒng)聯(lián)動協(xié)作的防御模型。通過聯(lián)動控制系統(tǒng)，將防火墻、入侵檢測系統(tǒng)與蜜罐系統(tǒng)的檢測與響應(yīng)互動，從而最大程度地保護網(wǎng)絡(luò)或計算機的安全。

1 蜜罐的定義

蜜網(wǎng)項目組的創(chuàng)始人Lance Spitzner對蜜罐的定義[1]是：“蜜罐是一個資源，它的價值在于它會受到攻擊或威脅。這意味著一個蜜罐希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題，它們僅為我們提供額外的、有價值的信息?！泵酃奘且环N計算機和網(wǎng)絡(luò)安全資源，可以是真實的網(wǎng)絡(luò)系統(tǒng)或是真實網(wǎng)絡(luò)環(huán)境的模擬，作為蜜網(wǎng)技術(shù)的低級形式，物理上通常是一臺運行單個操作系統(tǒng)或者借助于虛擬化軟件運行多個虛擬操作系統(tǒng)的“牢籠”主機。蜜罐系統(tǒng)所收集的信息可以作為跟蹤、研究黑客現(xiàn)有技術(shù)的重要資料。

2 蜜罐的分類

隨著多年的研究，蜜罐技術(shù)已經(jīng)越來越成熟，按照部署目的主要分為產(chǎn)品型蜜罐和研究型蜜罐[2]，按照交互性等級蜜罐可以分為低交互型蜜罐、中交互型蜜罐和高交互型蜜罐[3]。

1） 產(chǎn)品型蜜罐具有事件檢測和欺騙功能，主要目的是減輕部署組織受到的攻擊威脅，檢測并對付攻擊者，一般用在商業(yè)組織中，用來提高商業(yè)組織的安全性能，增強受保護組織的安全性。研究型蜜網(wǎng)的主要目的是用于獲取黑客的信息，研究型蜜罐也是觀察、記錄、學(xué)習(xí)攻擊者及其攻擊行為的最好工具，而且還能學(xué)習(xí)到攻擊者在攻陷一個系統(tǒng)后如何與其它黑客通信或者上載新的工具包等更高價值的信息。

2） 低交互型蜜罐主要是用于協(xié)助保護特定組織的產(chǎn)品型蜜罐。它的主要目的在于檢測，具體說來就是對未授權(quán)掃描或者未授權(quán)連接嘗試的檢測，沒有提供真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，所允許的交互是有限的，通常只對某些網(wǎng)絡(luò)服務(wù)或操作系統(tǒng)進行簡單的模擬，風(fēng)險小的同時收集的信息也少，并且存在著易被黑客識別的指紋信息。典型的低交互型蜜罐有BOF、Speeter、Honeyd等。中交互型蜜罐仍然沒有提供真實的操作系統(tǒng)與攻擊者交互，但為攻擊者提供了更多復(fù)雜的誘捕進程，模擬了更多更復(fù)雜的特定服務(wù)。高交互型蜜罐給入侵者提供了一個真實的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，在這種環(huán)境下一切都不是模擬的或者受限的，可以收集到更加豐富有用的信息，包括完全不了解的網(wǎng)絡(luò)攻擊方式。然而與此同時，操作系統(tǒng)的介入將會大大增加系統(tǒng)的復(fù)雜度，相應(yīng)地系統(tǒng)所面臨的威脅也就更大，部署和維護更加復(fù)雜。

3 蜜罐的關(guān)鍵技術(shù)

1） 網(wǎng)絡(luò)欺騙技術(shù)。沒有網(wǎng)絡(luò)欺騙功能的蜜罐是沒有價值的，因為蜜罐的價值體現(xiàn)是在其被探測、攻擊或者攻陷的時候。網(wǎng)絡(luò)欺騙技術(shù)因此也認為是蜜罐技術(shù)體系中最關(guān)鍵和最核心的技術(shù)和難題。

2） 數(shù)據(jù)捕獲技術(shù)。蜜罐必須有強大的信息捕獲功能，在不被入侵者發(fā)現(xiàn)的情況下，捕獲盡可能多的信息。蜜罐的主要目的之一就是獲取有關(guān)攻擊和攻擊者的所有信息，捕捉入侵者從掃描、探測、攻擊、攻陷蜜罐主機到最后離開蜜罐的每一步動作。

3） 數(shù)據(jù)控制技術(shù)。數(shù)據(jù)控制用于保障蜜罐系統(tǒng)自身的安全。為了使其更像一個真實的網(wǎng)絡(luò)或系統(tǒng)，通常數(shù)據(jù)控制必須在不被入侵者察覺的情形下對流入、流出的通信進行監(jiān)聽和控制。

4） 數(shù)據(jù)分析技術(shù)。數(shù)據(jù)分析是包括網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)行為分析和攻擊特征分析等。蜜罐系統(tǒng)收集信息格式也不相同，應(yīng)該有一個統(tǒng)一的數(shù)據(jù)分析模塊，在同一控制臺對收集的所有信息進行分析、綜合和關(guān)聯(lián)，這樣有助于更好地分析攻擊者的入侵過程及其在系統(tǒng)中的活動。

4 蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)聯(lián)動模型

入侵檢測系統(tǒng)和防火墻采用的是被動的網(wǎng)絡(luò)檢測和防御技術(shù)，它們一般對網(wǎng)絡(luò)入侵行為發(fā)生時和發(fā)生后入侵檢測才能起到作用。而蜜罐技術(shù)是基于主動防御理論提出的，在某些情況下，蜜罐收集用于跟蹤攻擊者的有用信息。由于通向蜜罐的流量都是高度可疑的，同時系統(tǒng)也可以把可疑流量導(dǎo)入蜜罐，把蜜罐作為暫時的訪問替身，但由于其主要是發(fā)現(xiàn)攻擊，防御方面有所欠缺。因此，將蜜罐技術(shù)與入侵檢測系統(tǒng)、防火墻這三個當前最常用的防御方法相結(jié)合，實現(xiàn)聯(lián)動防御，可以最大程度實現(xiàn)網(wǎng)絡(luò)攻擊的防御目的。其設(shè)計思想為在入侵檢測系統(tǒng)和防火墻的功能基礎(chǔ)上增加了蜜罐系統(tǒng)主動防御功能和聯(lián)動功能。蜜罐系統(tǒng)與防火墻、入侵檢測系統(tǒng)聯(lián)動模型如圖1。

4.1 工作方式

通過開放接口實現(xiàn)互動。即防火墻、入侵檢測系統(tǒng)或者蜜罐系統(tǒng)開放一個接口供彼此調(diào)用。按照一定的協(xié)議進行通信、傳輸警報。這種方式比較靈活，系統(tǒng)啟動后偽裝成有漏洞的蜜罐系統(tǒng)。防火墻可以行使訪問控制的防御功能，入侵檢測系統(tǒng)可以實現(xiàn)數(shù)據(jù)采集和檢測入侵的功能，丟棄惡意通信，確保這個通信不能到達目的地，并通知防火墻進行阻斷，將可疑的網(wǎng)絡(luò)流引入到蜜罐系統(tǒng)中，蜜罐系統(tǒng)主動誘捕通信信息，對通信信息進行分析，發(fā)現(xiàn)攻擊，將攻擊信息存放在日志服務(wù)器中。通過開放接口實現(xiàn)互動不影響防火墻、IDS產(chǎn)品和蜜罐系統(tǒng)的性能，但由于是三個系統(tǒng)的配合，所以要重點考慮到三者聯(lián)動時的開銷問題。

4.2 模型功能系統(tǒng)劃分

該模型中分為四個部分：防火墻、入侵檢測系統(tǒng)、蜜罐系統(tǒng)、聯(lián)動控制系統(tǒng)。其各部分的主要作用為：

1） 防火墻。防火墻作為安全的第一道防線，可以配置在主機外或內(nèi)部網(wǎng)絡(luò)外，根據(jù)其機制從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計算機的數(shù)據(jù)是否有害，盡可能地將有害數(shù)據(jù)丟棄，達到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。同時，根據(jù)入侵檢測系統(tǒng)和蜜罐系統(tǒng)所提供的攻擊信息進行相應(yīng)防御。

2） 入侵檢測系統(tǒng)。該模塊主要實現(xiàn)數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng)三個功能。該系統(tǒng)首先要對所有經(jīng)防火墻過濾后流入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和事件進行數(shù)據(jù)采集，對數(shù)據(jù)和各事件進行分析，根據(jù)數(shù)據(jù)流特征信息從中發(fā)現(xiàn)違反安全策略的行為。當確定發(fā)生了入侵行為，將確定的入侵行為特征上傳到聯(lián)動控制系統(tǒng)并報警，由聯(lián)動控制系統(tǒng)來控制防火墻和入侵檢測系統(tǒng)本身的防御響應(yīng)機制進行防御；當發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)異常行為，但確定不了是否真的為入侵行為，則上傳到聯(lián)動控制系統(tǒng)并報警，由聯(lián)動控制系統(tǒng)發(fā)出控制指令，采用地址或端口重定向機制將網(wǎng)絡(luò)流導(dǎo)入到已設(shè)置好的蜜罐作進一步的研究，避免像單一的入侵檢測系統(tǒng)那樣出現(xiàn)誤報或漏報的情況，直接攻擊到了主機。

3） 蜜罐系統(tǒng)。該模塊主要在受保護的主機或系統(tǒng)上配置蜜罐系統(tǒng)，該系統(tǒng)實際上是一個網(wǎng)絡(luò)陷阱，網(wǎng)絡(luò)中的異常行為經(jīng)過聯(lián)動控制系統(tǒng)重定向到該模塊后，一方面可以通過精心設(shè)置蜜罐系統(tǒng)，使其盡可能的像一個真實的系統(tǒng)，從而吸引并迷惑入侵者，掩蓋蜜罐的欺騙性，使入侵者相信其入侵的是一個真實的系統(tǒng)，起到欺騙入侵者的作用；另一方面進行數(shù)據(jù)捕獲及日志記錄，將捕獲的內(nèi)容進行分析，如果發(fā)現(xiàn)了入侵檢測系統(tǒng)漏報的和新出現(xiàn)的攻擊方式，則上傳至聯(lián)動控制系統(tǒng)發(fā)出報警，由防火墻和入侵檢測系統(tǒng)的響應(yīng)機制進行防御，并進行反跟蹤信息采集和分析，在保護主機的同時進行反攻擊。

4） 聯(lián)動控制系統(tǒng)。該模塊主要負責(zé)協(xié)調(diào)各部分之間工作，及時上報各種信息，根據(jù)入侵檢測系統(tǒng)和蜜罐系統(tǒng)發(fā)現(xiàn)的攻擊進行報警響應(yīng)，而且可以各種情況協(xié)同控制，給系統(tǒng)的各個部分下達相應(yīng)的響應(yīng)指令。

5 總結(jié)

蜜罐技術(shù)作為一種主動防御網(wǎng)絡(luò)安全的方法，已經(jīng)成為安全專家所青睞的對付黑客的有效工具之一，它既可作為獨立的安全工具，還可以與其他的安全機制聯(lián)合使用。蜜罐技術(shù)本身并不能完全解決安全問題，但在與防火墻和入侵檢測系統(tǒng)的配合下，能夠彌補原有網(wǎng)絡(luò)安全防御系統(tǒng)的不足，構(gòu)成更加安全的網(wǎng)絡(luò)防御體系。

參考文獻：

[1] （美）Lance Spitzner著. honeypot： 追蹤黑客[M].鄧云佳，譯.北京：清華大學(xué)出版社， 2004：9-10.

[2] 熊華， 郭世澤， 慧勤. 網(wǎng)絡(luò)安全——取證與蜜罐[M].北京：人民郵電出版社， 2003：97-13.

[3] Baumann， Reto， Plattner， Christian.蜜罐S[C]. March 14 2003. Pages 3-40.

[4] 連紅， 胡谷雨. 網(wǎng)絡(luò)防御中的蜜罐技術(shù)研究[J]. 軍事通信技術(shù)， 2005（2）： 57-61.

[5] Lance Spitzner. Honeypots： Definitions and Value of Honeypots[EB/OL]. http：//www.tracking- hackers.com， 2003，5.29.

[6] 裴建. 防火墻的局限性和脆弱性及蜜罐技術(shù)的研究[J]. 科技情報開發(fā)與經(jīng)濟.2005（5）：251-252.

[7] 馮嵩， 張潔等. 構(gòu)建基于蜜罐技術(shù)的入侵檢測系統(tǒng)[J]. 計算機系統(tǒng)應(yīng)用， 2006（7）：31-34.

[8] 張興東， 胡華平， 況曉輝， 陳輝忠. 防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與實現(xiàn)[J]. 計算機工程與科學(xué)， 2004，26（4）：22-26.