薛瑩

（陜西警官職業(yè)學(xué)院，陜西西安 710016）

隨著計(jì)算機(jī)與通信技術(shù)的不斷發(fā)展，針對(duì)各類互聯(lián)網(wǎng)設(shè)備的犯罪案件逐漸增多。傳統(tǒng)的偵查取證手段受制于人力與時(shí)間，無(wú)法適應(yīng)計(jì)算機(jī)犯罪快速、大量的特點(diǎn)，我國(guó)亟需新型的網(wǎng)絡(luò)安全監(jiān)控手段彌補(bǔ)計(jì)算機(jī)犯罪偵察的空缺。

蜜網(wǎng)技術(shù)能夠檢測(cè)數(shù)據(jù)網(wǎng)絡(luò)和信息系統(tǒng)中存在的任何類型入侵者或漏洞[1]。通過(guò)引入數(shù)據(jù)挖掘工具對(duì)蜜網(wǎng)捕獲的惡意連接進(jìn)行分析，可以有效提高對(duì)網(wǎng)絡(luò)攻擊的識(shí)別效率并降低誤報(bào)率。該文為了配置蜜罐，創(chuàng)建了蜜網(wǎng)網(wǎng)絡(luò)，并在虛擬主機(jī)上配置相應(yīng)蜜罐，同時(shí)為管理員設(shè)計(jì)了后臺(tái)管理程序。

1 蜜網(wǎng)設(shè)計(jì)與安裝

為方便后臺(tái)管理，順利實(shí)現(xiàn)數(shù)據(jù)的監(jiān)測(cè)與集中分析，該文在蜜網(wǎng)中配置了一個(gè)虛擬網(wǎng)絡(luò)。該網(wǎng)絡(luò)通過(guò)虛擬化軟件充當(dāng)一臺(tái)計(jì)算機(jī)，允許同時(shí)執(zhí)行多個(gè)操作系統(tǒng)，從而創(chuàng)建主機(jī)系統(tǒng)的資源來(lái)模擬執(zhí)行不同機(jī)器中的服務(wù)[2]。

1.1 GUI瀏覽器界面

因?yàn)榫W(wǎng)絡(luò)中建立了單個(gè)訪問(wèn)地址，該文通過(guò)建立Web 瀏覽器以實(shí)現(xiàn)對(duì)監(jiān)視服務(wù)的管理與更優(yōu)的控制[3]。網(wǎng)絡(luò)管理員可以專門(mén)修改蜜網(wǎng)從而避免消耗蜜罐，實(shí)現(xiàn)檢測(cè)現(xiàn)有入侵的類型[4]，利用監(jiān)視功能增加防火墻規(guī)則或阻止與數(shù)據(jù)網(wǎng)絡(luò)的惡意連接。

1.2 命令行工具設(shè)置

該次使用的Linux 系統(tǒng)通過(guò)命令或bash 配置來(lái)處理所有類型的管理。其用于修改此文件的配置位于根目錄與文件夾etc中，名稱為honeywall.conf[5]。通過(guò)使用系統(tǒng)中安裝的某些文本編輯器或使用發(fā)送相應(yīng)的命令在終端上運(yùn)行HWCTL[6]。

1.3 GUI瀏覽器界面

由于菜單可以直接與蜜網(wǎng)防火墻系統(tǒng)交互，因此使用菜單進(jìn)行配置。該次定義的管理具有6 種訪問(wèn)類型：

1）狀態(tài)[7]：用于表達(dá)蜜網(wǎng)防火墻的當(dāng)前狀態(tài)；

2）操作系統(tǒng)管理[8]：蜜罐配置基本操作系統(tǒng)；

3）蜜網(wǎng)防火墻管理[9]：用于確定蜜罐的配置或參數(shù)化模塊規(guī)則；

4）蜜網(wǎng)防火墻配置[10]：用于從蜜網(wǎng)網(wǎng)絡(luò)排除過(guò)程中的配置文件；

5）文件[11]：蜜網(wǎng)防火墻所用的常規(guī)信息；

6）退出[12]：退出管理界面的工具。

1.4 蜜網(wǎng)防火墻安裝

蜜網(wǎng)防火墻通過(guò)只讀存儲(chǔ)器光盤(pán)（CDROM）在本地硬盤(pán)中安裝和配置蜜罐的網(wǎng)關(guān)，一旦安裝結(jié)束，安裝信息即被擦除[13]。蜜網(wǎng)防火墻基于Fedora Core 6，默認(rèn)情況下工作環(huán)境為GNOME Shell[14]。其操作是捕獲并分析蜜罐的所有傳入和傳出的流量，基本的網(wǎng)絡(luò)配置如圖1 所示。

圖1 蜜網(wǎng)防火墻基本配置

為提高蜜網(wǎng)的自動(dòng)化運(yùn)行程度，將蜜網(wǎng)防火墻配置為自動(dòng)更新，并尋找蜜網(wǎng)防火墻的最新操作系統(tǒng)和軟件包管理器。如圖1 所示，至少配置兩個(gè)網(wǎng)卡，一個(gè)網(wǎng)卡可連接到外部Internet 網(wǎng)絡(luò)，另一個(gè)網(wǎng)卡可以連接到內(nèi)部網(wǎng)絡(luò)或陷阱網(wǎng)絡(luò)[15-16]。

為了對(duì)蜜罐進(jìn)行適當(dāng)?shù)墓芾?，蜜網(wǎng)防火墻為管理員提供了3 個(gè)配置選項(xiàng)，如圖2 所示。

圖2 蜜網(wǎng)防火墻結(jié)構(gòu)

2 特征生成算法設(shè)計(jì)

蜜網(wǎng)的正常運(yùn)行需要建立在對(duì)網(wǎng)絡(luò)數(shù)據(jù)的正常識(shí)別之上，文中使用特征生成算法對(duì)通信網(wǎng)絡(luò)中的蠕蟲(chóng)進(jìn)行識(shí)別。針對(duì)單個(gè)和多個(gè)多態(tài)蠕蟲(chóng)，使用特征生成算法生成身份簽名，實(shí)現(xiàn)檢測(cè)多態(tài)蠕蟲(chóng)實(shí)例之間共享的不變子字符串，最終完成對(duì)惡意流量的識(shí)別。

2.1 單個(gè)多態(tài)蠕蟲(chóng)簽名

若輸入是單個(gè)多態(tài)蠕蟲(chóng)（即同一多態(tài)蠕蟲(chóng)的諸多實(shí)例），則該算法將執(zhí)行以下步驟：

1）子字符串提?。簩?duì)于每個(gè)實(shí)例提取子字符串；

2）二進(jìn)制表示形式轉(zhuǎn)換：算法將每個(gè)實(shí)例子字符串轉(zhuǎn)換為二進(jìn)制表示形式，并按升序?qū)ζ渑判颍缓髮⑺袑?shí)例中的一個(gè)實(shí)例作為度量實(shí)例；

3）比較：在所有實(shí)例中，算法均會(huì)將每個(gè)實(shí)例的二進(jìn)制表示形式與測(cè)量實(shí)例進(jìn)行比較，以找出在所有實(shí)例之間共享的不變子字符串并將其用作簽名。

單個(gè)多態(tài)蠕蟲(chóng)的簽名生成如下：定義一個(gè)具有n個(gè)實(shí)例（A1,…,An）的多態(tài)蠕蟲(chóng)A，Ai的長(zhǎng)度等于mi，i=1,…,n?，F(xiàn)將實(shí)例A1視為字符串令X為從A1中提取的子串最小長(zhǎng)度，A1中第一個(gè)長(zhǎng)度為X的子字符串是(a1a2…aX)。然后向右移動(dòng)一個(gè)位置，提取一個(gè)新的子字符串(a2a3…aX+1) 。繼續(xù)這種方式，Ai的最后一個(gè)子字符串將是通常而言，若Ai長(zhǎng)度等于M，最小長(zhǎng)度等于X，則將通過(guò)以下等式獲得TSE(Ai)的總子串提取：

然后將X加1，并從A1的頭部開(kāi)始提取新的子字符串。即第一個(gè)子字符串為(a1a2…aX+1)，子串的提取將繼續(xù)滿足X

在字符串提取的基礎(chǔ)上，對(duì)其進(jìn)行二進(jìn)制表示。對(duì)于多態(tài)蠕蟲(chóng)A 的每個(gè)實(shí)例，該算法均會(huì)將其子字符串轉(zhuǎn)換為二進(jìn)制表示形式，然后使用快速排序?qū)γ總€(gè)實(shí)例的二進(jìn)制表示形式進(jìn)行排序。字符串的二進(jìn)制表示形式，如表1 所示。

表1 字符串二進(jìn)制表示形式

對(duì)生成的二進(jìn)制字符串，通過(guò)比較法來(lái)提取實(shí)例之間的關(guān)系，采用不變的二進(jìn)制子字符串表示簽名。對(duì)于i=2,…,n，將A1的二進(jìn)制表示與Ai的二進(jìn)制表示進(jìn)行比較。當(dāng)Ai的二進(jìn)制表示值等于A1時(shí)，即可將其轉(zhuǎn)換為字符串并視為簽名。

比較算法的運(yùn)作方式如下：首先，比較A1(S1J)和A2(S2K)的二進(jìn)制表示形式。若J≤M1且K≤M2，則算法繼續(xù)；否則停止?？赡艹霈F(xiàn)如下3 種情況：

1）若S1J>S2K，則忽略連字符串間的比較，然后將S1J與S2K+1進(jìn)行比較；

2）若S1J=S2K，則將S1J視為簽名，然后將S1J+1與S2K+1進(jìn)行比較；

3）若S1J

該文將所有不變的二進(jìn)制表示形式存儲(chǔ)在簽名池中。簽名池將新的不變二進(jìn)制表示形式與現(xiàn)有不變二進(jìn)制表示形式進(jìn)行比較，以防止簽名冗余。然后，將對(duì)應(yīng)于不變二進(jìn)制表示形式的子字符串作為多態(tài)蠕蟲(chóng)簽名。

2.2 多個(gè)多態(tài)蠕蟲(chóng)簽名

假設(shè)有兩種不同類型的多態(tài)蠕蟲(chóng)A 和B，A 有n個(gè)實(shí)例(A1,…,An)，B有m個(gè)實(shí)例(B1,…,Bm)。在多態(tài)蠕蟲(chóng)A 和B上，執(zhí)行在單個(gè)多態(tài)蠕蟲(chóng)上應(yīng)用的相同步驟。

在比較步驟中，將一個(gè)實(shí)例作為其余實(shí)例的度量實(shí)例。若測(cè)量實(shí)例為A1，則將其與其余實(shí)例(A2,…,An，B1,…,Bm)進(jìn)行比較?？梢园l(fā)現(xiàn)，在其余實(shí)例中，有一些具有與A1匹配高的二進(jìn)制表示，還有一些則具有與A1匹配低的或零二進(jìn)制表示。這意味著具有較高匹配的二進(jìn)制表示實(shí)例是A 的其余實(shí)例(A2,A3,…,An)，其他實(shí)例則是B 實(shí)例。采用“單蠕蟲(chóng)”中相同的方式，將較高匹配的二進(jìn)制表示形式存儲(chǔ)在簽名池中，然后將與較高匹配的二進(jìn)制表示形式相對(duì)應(yīng)的子字符串作為多態(tài)蠕蟲(chóng)簽名進(jìn)行匹配。

由此即可完成多態(tài)蠕蟲(chóng)A 生成簽名，但隨后仍需要為多態(tài)蠕蟲(chóng)B 生成一個(gè)簽名。

3 實(shí)驗(yàn)驗(yàn)證

通過(guò)設(shè)計(jì)實(shí)驗(yàn)，對(duì)基于蜜網(wǎng)技術(shù)的安全網(wǎng)絡(luò)進(jìn)行實(shí)際測(cè)試驗(yàn)證。為了創(chuàng)建規(guī)則來(lái)檢測(cè)和阻止對(duì)蜜網(wǎng)的惡意攻擊，收集有關(guān)針對(duì)服務(wù)器的攻擊或攻擊模式的信息尤為重要。例如，若有意訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，則所研究的蜜罐系統(tǒng)必須了解其攻擊類型以及違反了哪種服務(wù)。一旦服務(wù)器陷阱獲得了攻擊模式，保護(hù)系統(tǒng)則會(huì)根據(jù)之前在防火墻或入侵檢測(cè)系統(tǒng)中配置的規(guī)則類型生成警報(bào)。每條指令均會(huì)生成一個(gè)行為統(tǒng)計(jì)信息，可以按服務(wù)、協(xié)議、IP 等進(jìn)行區(qū)分。在服務(wù)器上檢測(cè)到的攻擊時(shí)間取決于攻擊者使用的機(jī)制，如圖3 所示。

圖3 DDoS攻擊統(tǒng)計(jì)

該文使用Wireshark 工具用于分析數(shù)據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包，并將結(jié)果制成表格。表2 顯示了在受控環(huán)境中幾種攻擊類型的作法，以及可能攻擊者的IP、連接的類型以及IDS 訪問(wèn)的規(guī)則，還觀察到了整個(gè)蜜網(wǎng)網(wǎng)絡(luò)中蜜罐的IP。

表2 可疑網(wǎng)絡(luò)接入報(bào)告

根據(jù)網(wǎng)絡(luò)檢測(cè)的統(tǒng)計(jì)結(jié)果，網(wǎng)絡(luò)管理員可使用兩種類型的限制來(lái)檢測(cè)、阻止網(wǎng)絡(luò)接入，分別是黑白名單和鼻息規(guī)則。

為了對(duì)搭載在硬件上的蜜網(wǎng)進(jìn)行性能評(píng)估，基于SMTP 協(xié)議設(shè)計(jì)了一個(gè)測(cè)試，以監(jiān)視在并發(fā)入站連接下到達(dá)蜜罐的第一個(gè)推送數(shù)據(jù)包的延遲，蜜罐中安裝了SMTP 服務(wù)器（Postfix）。SMTP 客戶端腳本已安裝在遠(yuǎn)程攻擊設(shè)備上，該腳本由以下5 個(gè)SMTP 命令序列組成：

實(shí)驗(yàn)以每秒10 個(gè)連接的速度運(yùn)行自動(dòng)SMTP 客戶端腳本。該文記錄了到達(dá)蜜罐的每個(gè)連接的第一個(gè)推送數(shù)據(jù)包的持續(xù)時(shí)間，圖4 為不同場(chǎng)景下的實(shí)驗(yàn)結(jié)果。

圖4 不同場(chǎng)景下的連接延遲

圖4中，當(dāng)包含有效載荷的第一個(gè)推送數(shù)據(jù)包到達(dá)蜜罐，則意味著攻擊者與蜜罐之間的TCP 連接已建立。因此到達(dá)蜜罐網(wǎng)絡(luò)接口的第一個(gè)數(shù)據(jù)包時(shí)間戳，可用于計(jì)算建立TCP 連接的持續(xù)時(shí)間。實(shí)驗(yàn)結(jié)果表明，由網(wǎng)關(guān)和流量重定向機(jī)制處理后的連接比正常的前向連接所需要的等待時(shí)間長(zhǎng)得多，而由流量重定向機(jī)制處理的連接等待時(shí)間短于正常的前向連接。分析可知，蜜罐網(wǎng)絡(luò)的等待時(shí)間較短，因此更適合于捕獲自動(dòng)攻擊的情況。進(jìn)一步表明了添加的蜜網(wǎng)流量控制機(jī)制提供了更復(fù)雜的功能，但不會(huì)造成性能損失。

在實(shí)時(shí)攻擊捕獲期間，發(fā)現(xiàn)了28 099 起攻擊事件。通過(guò)分析這些攻擊數(shù)據(jù)可知，多數(shù)網(wǎng)絡(luò)數(shù)據(jù)可通過(guò)設(shè)置過(guò)濾規(guī)則來(lái)減少計(jì)算機(jī)負(fù)載。為了盡可能多地捕獲數(shù)據(jù)，文中未設(shè)置數(shù)據(jù)過(guò)濾規(guī)則。若獲得更細(xì)粒度的流量，則可以實(shí)現(xiàn)數(shù)據(jù)縮減。通過(guò)引入鼻息規(guī)則，攻擊頻率從每天幾百次減少到每天幾次，因此自定義流量分類可強(qiáng)制執(zhí)行有效的數(shù)據(jù)縮減。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)攻擊通常針對(duì)數(shù)據(jù)網(wǎng)絡(luò)或其提供的服務(wù)。文中使用模擬蜜罐網(wǎng)絡(luò)陷阱來(lái)確定攻擊的源頭從而獲取數(shù)據(jù)，通過(guò)先前在網(wǎng)絡(luò)陷阱模擬中檢測(cè)到的攻擊模式來(lái)生成流量警報(bào)。通過(guò)實(shí)驗(yàn)對(duì)設(shè)計(jì)的蜜網(wǎng)網(wǎng)絡(luò)的攔截?cái)?shù)據(jù)統(tǒng)計(jì)分析、連接延遲等關(guān)鍵指標(biāo)進(jìn)行驗(yàn)證，證明該設(shè)計(jì)的魯棒性與安全性。

在通信網(wǎng)絡(luò)日益擴(kuò)大的背景下，如何將集中式的蜜網(wǎng)安全網(wǎng)絡(luò)擴(kuò)展至分布式網(wǎng)絡(luò)中并提高設(shè)備接入的管理靈活性，將是今后研究的重點(diǎn)。