姚东铌
(陕西学前师范学院实验室与网络管理处,西安陕西,710061)
分布式蜜罐技术在网络安全中的应用
姚东铌
(陕西学前师范学院实验室与网络管理处,西安陕西,710061)
本文以蜜罐技术为基础设计了一种分布式蜜罐系统,针对外部网和内部网不同平台建立的分布式蜜罐系统形成一个交互的体系,通过模拟多种操作系统甚至是应用系统的漏洞,对网络攻击者进行信息采集和分析。同时运用多种安全资源结合的思想,使分布式蜜罐技术与传统安全资源的入侵检测系统(IDS)和防火墙协同联动,全面反馈网络情况。该分布式蜜罐系统的部署提供了大量网络攻击行为的数据资料并积极发挥其主动防御功能,较大程度减少所造成的安全威胁,对网络安全稳定运行奠定了良好的基础和保障。
蜜罐;分布式蜜罐;主动防御;网络安全
随着计算机网络技术的突飞猛进, 网络安全问题显得尤为重要。蜜罐是一种主动防御工具,在网络安全的预防、检测和响应阶段都发挥着它的作用。随着网络入侵攻击越来越多,蜜罐技术正逐渐成为网络安全的新型防御手段。目前比较常见的是单一的蜜罐技术,本文结合传统安全防御措施设计了一种分布式蜜罐技术,使其能更好的发挥安全作用。
蜜罐是一种由攻击者的入侵行为而体现其价值的网络安全设施,它以牺牲自我为代价通过真实或模拟的网络服务主动来吸引攻击, 及时发现入侵威胁,并对网络攻击期间的行为和过程进行信息搜集、分析数据、发出预警等,可以延缓攻击和转移攻击目标,以此保护真正的网络服务免受威胁。与传统网络防御工具相比,蜜罐使用方便,资源占用少,数据价值高,大部分数据能真实有效地反映网络的入侵状况;一旦系统崩溃,蜜罐还可以通过自动脱机的方式很好的保护真实网络。但蜜罐自身的局限性是它只能检测被入侵的网络且收集数据单一,提供信息量少,不能很全面的分析数据并及时更新数据库。理论上分散的嵌入在网络中配置多个蜜罐可以有效地弥补上述不足,但需要大量人力物力来实现,如果该系统很少被入侵,大量蜜罐的设置不但发挥不了应有的作用,还为日后的维护造成了不必要的麻烦。
因此在对蜜罐本身的特点进行了一系列研究之后,本文提出了一种分布式蜜罐技术用于网络的安全防御。分布式蜜罐系统是对现有蜜罐技术的改良,它的优点主要体现在以下三个方面:(1)、在保留原有蜜罐全部优点的基础上,有效的弥补了单一蜜罐
数据量少的不足,可提供准确度高且内容丰富的数据库;(2)、由于蜜罐系统间相互独立的设置,即使某一系统遭受攻击,也不会影响到其它系统的正常运转,在保证安全性的同时也保证了网络的畅通性。(3)、通过庞大的信息更新,系统能及时掌握常用及最新的网络攻击方式,可根据这些反馈信息对系统进行调整,采取有效的措施防御来阻止攻击。
网络中通常存在多个系统,各个系统有各自相匹配的蜜罐。蜜罐的类型不同会造成各系统间的划分不同,给时间与空间的分配造成混乱,同时也使蜜罐的升级造成一定困难甚至带来安全隐患。因此在这种情况下,组建一个能合理规划的分布式蜜罐系统就显得尤为重要。根据网络规模设计分布式蜜罐系统,作为网络主动防御的一个重要工具制定安全策略,网络中分布式蜜罐系统的构架应该与实际网络保持一致,通常具有分布和树形等特点的多级体系结构。
在分布式蜜罐系统中,对外部网采取高交互式、对内部网采取低交互式的蜜罐模式,除了预防外部攻击也能了解内部网遭受到的攻击,检测防御中的失误并采取相应措施。分布式蜜罐的构架是对于不同的操作系统,其地理位置可能相同,但具体设置的蜜罐之间可以没有联系;同时对于相同操作系统内的蜜罐,可能位于不同的地理位置,但实际上蜜罐设置之间有相互依赖的关系,各蜜罐属于同一个操作系统。因此在分布式蜜罐系统中,在系统间是物理联系但逻辑独立;在系统内是物理独立但逻辑联系。
对于外部网而言,良好的高交互型分布式蜜罐系统,必须具备以下几种功能:高交互的特性使其可分配不同的系统,它可以灵活的安装嵌入到各个不同的系统当中,因此具有系统的特性,并且有效的扩展了蜜罐的使用范围;同时分布式的特点可以把网络设计成监控和捕获外部入侵的智能化网络,通过提供给攻击者基于伪造数据的蜜罐来转移和混淆攻击者的视线,发挥其阻止功能使攻击的危害程度降到最低,从而保护真正的系统;分布式蜜罐能合理的划分相互独立的系统,在系统外部保证了系统的安全,而在系统内部则是一个整体,有效解决了蜜罐升级和维护困难的问题,还可以通过蜜罐系统获得的数据分析掌握和破解攻击者所使用的技术手段,更好地保护网络安全。
3.1 分布式蜜罐的设计目标
对于设计网络分布式蜜罐系统来说,针对不同的系统建立不同平台的蜜罐形成一个交互体系,需要达到的目标如下:(1)、自身必须具备一定的系统安全性,能够对攻击者行为进行控制;(2)、通过具有良好数据捕获能力的系统获得大量有价值的信息,对收集到的信息要保证其完整性和安全性。并能及时对于威胁做出及时响应。(3)、系统要包含能较好的自动分析日志审计的工具,安全预警信息能够自动分类处理获取信息情况并可以根据日志审计的结果及时调整安全策略,采取有效的防御措施;;(4)、采用集中式管理模式灵活管理分布式蜜罐监控系统,易于扩充和配置。
3.2 分布式蜜罐的逻辑层次结构
分布式蜜罐系统从理论上改善了原有单个蜜罐的部署方式,具有获取更大范围的信息收集面积。既保持了蜜罐本身的全部优点,还有效克服了原有单个蜜罐收集数据量少且相互没有联系的缺点,即使入侵者对其中某一个蜜罐主机进行破坏性攻击,也不会立即破坏到网络其它主机节点的正常工作,这种树形网状结构增强了分布式蜜罐模型的安全性和健壮性。
整个系统共分为三层:总控制中心、各级节点控制中心和蜜罐层。总控制中心层集成了用户管理、分布站点管理、数据管理、报警处理等各种功能和数据库,负责整个分布式系统的管理和数据分析,接受下层各级节点控制中心汇聚并传输上来的威胁数据信息,将其记录于日志并加以分析处理,将结果存入数据库中,当发生威胁时及时产生报警结果;各级节点控制中心层实际上是蜜罐代理主机,对网段内的蜜罐进行配置和管理,负责子网中各个节点的控制,它将下层捕获到的威胁数据信息进行汇聚,存放所管理蜜罐中的各种日志信息,对相关捕获信息进行分析和及时产生报警等应急措施,并传输到上层的总控制中心层。通常可以在同一网段内至少设置一个充当网关的主机,也可根据情况灵活的设置多个不同级别的节点控制中心;蜜罐层是由各级节点控制中心层分出的若干数量的真实或虚拟主机的网络服务。通过数据包捕获插件,获取试图与蜜罐主机建立连接的相关数据信息并传送至上一层。
其模型图如图 1 分布式蜜罐的模型图所示。
图 1 分布式蜜罐的模型图
3.3 分布式蜜罐的网络拓扑图结构
理论上蜜罐本身并不直接提高网络的安全性, 它只是通过吸引入侵的方式搜集信息,其安全防御能力相对有限,因此将分布式蜜罐系统与入侵检测系统(IDS)、防火墙等结合使用, 可以
大幅度有效增强系统的安全性。本文针对外部网和内部网两个不同区域分别构建分布式蜜罐,并结合入侵检测系统和防火墙等传统安全资源的协作互动共同完成系统的安全防御。
在外部网中部署虚拟蜜罐代理主机,由静态的蜜罐与动态的防火墙共同检测外部攻击来确认威胁事件,外部防火墙结合蜜罐的预警结果,能克服其本身的局限性,降低入侵检测系统的误报率和提高网络威胁的识别精准度,当外部攻击难以被阻止时,蜜罐将主动承载攻击数据流并向上层提供数据信息。
在内部网中部署一定规模低交互度的分布式部署结构,由分布型蜜罐系统和入侵检测系统(IDS)共同进行威胁检测以减小主机受攻击的概率,其设计原理是将分布式蜜罐嵌入到真实的系统中,使入侵者无法区分真正的主机和诱惑的陷阱,降低主机受扫描入侵的命中率。内部网各个蜜罐系统设置和一个真正的主机相似,分别有自己的操作系统,增加了蜜罐的高仿真程度,使主机和蜜罐形式上没有什么区别,从而达到隐蔽内部网络结构和保护真正系统的目的。分布型蜜罐系统和入侵检测系统(IDS)收集的数据信息共同送达警报控制中心统一进行数据的分析和处理。网络拓扑图如图 2分布式蜜罐的网络拓扑图所示。
本文结合网络安全的现状引入主动防御的分布式蜜罐技术,构建的分布式蜜罐系统充分发挥了蜜罐的特点,相对单个蜜罐而言能够更广泛的收集数据,安全指数相对较高,当某一个蜜罐主机被攻破时,树状结构的分布式蜜罐模型并不影响其他主机的正常工作,仍可以通过分析、记录入侵者的攻击行为得出其攻击的手段和目的,以采取相应主动的防御措施。分布式蜜罐的部署采用分布式结构,在蜜罐的部署上分别兼顾了内部网与外部网双重的网络安全问题。在重视蜜罐技术的同时与传统安全资源整合与交互,通过结合入侵检测系统(IDS)、防火墙进行整合统一,运用多种安全资源的协同联动,增加了系统的安全性能,较大程度保证了网络安全。
[1] Babak Khosravifar,Jamal Bentahar.An experience improving intrusion detection systems false alarm ratio by using Honeypot [C].22nd International Conference on Advanced Information Networking and Applications,2008.
[2] 汪洁,王建新等.分布式虚拟陷阱网络系统的设计与实现[J].计算机工程,2006.
[3] Spitzner L.Honey pot,Tracking Hackers[M].邓云佳,译.北京:清华大学出版社,2004.
姚东铌,(1982-),女(汉族),陕西西安人,计算机工学学士,现任职于陕西学前师范学院实验室与网络管理处从事计算机管理和研究工作。
图 2分布式蜜罐的网络拓扑图
表1
通过AHK脚本和AutoHotKey程序,将人工打印步骤交由计算机来实现,简化了打印过程,实现了自动打印整个目录中所有文件的目标,解除了重复劳动,极大地提升了工作效率。
参考文献
Chris Mallet.AutoHotKey[OL].[2013].http://www. autohotkey.com/
Application of distributed honeypot technology in network security
Yao Dongni
(Shaanxi preschool teachers college laboratory and network management department,Xi'an,Shaanxi,710061)
In this paper,based on the honeypot technology,we design a distributed honeypot system for extranet and Intranet platform to establish different form an interactive system,a distributed honeypot system by simulating a variety of operating system,or even a loophole in the application system of network information collection and analysis of the attacker.At the same time,based on the idea of combining multiple security resources,makes the distributed honeypot technology with traditional security resources of intrusion detection system(IDS)and firewall coordination,comprehensive feedback network.The deployment of distributed honeypot system provides a large amount of network attack behavior data and actively play its active defense function,reduce the security threats caused by the larger degree,the safe and stable operation of network laid a good foundation and the safeguard.
honeypot;distributed honeypot;active defense;network security