基于蜜网技术的网络信息安全研究

詹可强

(福建信息职业技术学院计算机工程系，福建福州 350001)



基于蜜网技术的网络信息安全研究

詹可强

(福建信息职业技术学院计算机工程系，福建福州 350001)

面对网络上复杂多变的安全环境，本文提出利用蜜网技术建立一个兼具安全性与使用效率的保护及预警体系，通过吸引入侵者攻击的方法，来监视和跟踪其攻击行为并进行记录，进而研究入侵者的攻击意图、攻击策略及方法。通过实验表明蜜网系统是一个高度可控的和行之有效的信息安全保护平台。

蜜网；蜜罐；入侵检测；数据捕获；信息安全

辽阔无际的网络让全世界的信息资源共享更加便利，却也造就了黑客犯罪的最佳环境。目前，一般的信息安全仅着重于自我防御措施，例如防火墙、入侵检测系统和加解密机制等作为单个网络系统安全的守护屏障。然而由于网络的快速发展，各种操作系统漏洞迅速地被发现，已经逐渐改变了入侵行为和恶意程序散布的模式。如何强化系统安全防护措施已不是传统软硬件架构与防护技术所能应付的，一个兼具安全性与使用效率的保护及预警机制将是信息安全极迫切的需求。本研究的主要目标为利用蜜网技术快速建立安全控制的虚拟环境，以精心安排的方法预设陷阱，使得入侵者认为已经达到入侵目的，但实际上却被系统设计者所控制、监督及控制。

1 蜜网技术

蜜网(Honeynet)是由若干能收集和交互信息的蜜罐(Honeypot)构成的一个以主动防御为目的的诱捕网络体系。它是将蜜罐纳入到一个完整的蜜网网络体系，其目的是对入侵者群体进行研究，追踪他们的行为举动[1]。蜜网是蜜罐技术的扩展，其相对于蜜罐的优势在于：首先，蜜罐是独立工作，低交互性，其捕获的信息量有限；而蜜网是由蜜罐、蜜网网关、入侵检测系统、系统行为记录系统等一系列系统和工具所组成的体系，可以通过集合方式实现与攻击者进行高交互，可捕获的信息量丰富。其次，蜜罐是一个单独的个体，所有对攻击活动的监视和控制均靠自身系统和工具完成，健壮性较差；而蜜网是一个整体的体系结构，这种体系结构通过一系列的系统和工具构建了一个高度可控的网络，其健壮性和可控性高。

蜜网的概念最早由Lacne Spitzner等人于1999年提出，并在2000年6月成立致力于蜜网技术研究的蜜网项目组(The Honeynet Project)[2]。目前，蜜网技术的发展经历了三代的变迁[3]。第一代蜜网是简单的用防火墙、入侵检测系统和日志服务器等所构建的体系结构，容易被攻击者察觉；第二代蜜网增加了HoneyWall、Sebek等关键部件，使得蜜网技术趋于成熟；第三代蜜网更新了HoneyWall Roo以及Sebek 3.0版，并提供了基于Web解密的数据辅助分析工具Walleye，使得蜜网技术更加完整。

构建蜜网体系结构需要面对3个核心功能需求：数据控制、数据捕获和数据分析[4]。数据控制是对攻击者在蜜网中的行为进行限制的机制，其最关键的地方是必须给予攻击者一定的自由度，允许他们做部分诸如下载入侵工具等可控的事情，以便获取攻击者的相关信息，但要拒绝其攻击其它机器的行为而又不被攻击者发现，这就需要在自由度和安全性上寻求一个平衡。数据捕获则是要监控和记录攻击者的所有网络流量， 包括他们在键盘上的敲击行为以及他们传送出去及接收到的数据包，其需要在攻击者毫不察觉的情况下尽可能多地捕获数据。数据分析则是对捕获到的数据进行分析、整理和归类，从中分析出这些数据背后蕴含的攻击动机、方法和手段。在分布式部署的蜜网系统中，还需要将多个蜜网中捕获的数据传输到一台中央服务器进行集中化分析，以达到更准确获得攻击者动机、方法和手段的目的。

2 蜜网系统架构

为了实现数据捕获这一核心功能需求，需要对进出蜜网的数据包以及网络连接信息进行监控，这就必须在蜜网的前端部署蜜网网关(Honeywall)。蜜网网关采用桥接模式进行内外网的连接，这样数据包在经过蜜网网关时就不会进行TTL递减和路由，避免被攻击者发现的可能，同时蜜网网关是蜜网与其他网络之间的唯一接口，所有进出蜜网的网络流量都须通过蜜网网关，受其监控和审计。按照上述要求，架构一个蜜网系统，其网络拓扑结构如图1所示。

图1 蜜网网络拓扑结构

在蜜网网关上通过部署IPTables、snort等实现多层次的数据控制机制。IPTables是一种防火墙机制，可对已知攻击的数据进行分流和控制，并限制蜜网内的每台蜜罐主机在单位时间内允许向外发起的连接数及速率，避免蜜罐主机成为攻击者扫描、探测及攻击他人的跳板。同时，在蜜网网关上部署入侵检测系统snort_inline，通过它监听eth0接口上的所有数据，如果监听到包含已知攻击特征的数据包，则立即告警并丢弃此数据包或使其无效。这种多层次的控制机制能最大限度地降低部署蜜网所带来的安全风险，但尚不能完全消除风险，因此在蜜网网关的eth2接口上连接一台日志∕控制服务器，用以记录蜜网网关捕获到的攻击数据，供蜜网管理者研究判断是否进一步采取措施。

在蜜网发展之初，许多Honeypots软件的功能都是抓取网络上的数据包，然后经重组后以了解入侵者在我们的系统上进行了什么操作。但是自从加密的机制(如SSH)普遍被使用之后，这种做法就行不通了，因为数据包已经被加密，除非能解密，不然得到的信息是没有用的。因此现在的Honeypots软件几乎都是直接附加在操作系统的内核内，直接从内核中抓取入侵者在系统中的行为，不管它是否使用加密机制，都可以被记录下来。把Honeypots放在内核的另一个好处就是操作系统把内核空间和用户空间分开，我们可以利用这一点让入侵者即使得到了root的权限，也无法知道Honeypots软件正在做什么。

为了协助蜜网管理者更好、更快地对所捕获到的攻击数据进行深入分析，我们在蜜网中部署Sebek来捕获攻击者在蜜罐主机上的进一步攻击行为。Sebek就是一种典型的可附加在系统内核中的Honeypots软件，它可以在不被攻击者察觉的前提下对其击键记录和系统行为进行捕获，同时通过隐蔽的通讯信道将捕获到的数据传递到日志∕控制服务器上的Sebek服务器端，让蜜网管理者了解入侵者进入了蜜罐主机后进行了什么操作。

3 系统实现与仿真

我们利用虚拟蜜网技术架构如图1所示的蜜网体系结构。虚拟蜜网技术[5]是借助VMWare等虚拟软件在单机上运行多个操作系统，以部署整个蜜网的解决方案。虚拟蜜网技术的优点是降低资源成本且容易管理。将架构好的蜜网系统放在校园网络中，保护一台架设在内网的Web服务器。在蜜网网关上采用IPTables作为数据分流器(图2)。对于正常的Web服务器连接请求，分流器IPTables实现NAT后正常访问Web服务器；而当IDS系统通过Snort_inline检测到非法扫描后，通知分流器将异常连接重定向到蜜罐主机。

图2 数据控制和分流机制

在蜜罐主机遭攻击者入侵后，入侵者一定会通过蜜罐主机产生对外网络流量，这时在蜜网网关上通过设置Iptables脚本，限制对外发出的连接的频率和连接数，若在单位时间内对外连接数达到上限，就将对外流量记录下来由syslog-ng记录到数据库中，同时发送告警信息通知蜜网管理者，入侵者在蜜罐系统中执行的相关操作会由Sebek记录下来，蜜网管理者可以通过查看Sebek了解入侵者的相关意图。

对布署好的蜜网系统进行测试，在测试过程中收到蜜罐主机上发送来的E-mail告警信息，通过查看日志服务器上的Sebek 服务器端页面，发现有一系列的键击记录，通过分析发现有黑客登录了系统，并下载了一个叫 malware的文件，这个文件是用Burneye保护的可执行二进制程序。通过执行malware程序获得在蜜罐上的root访问权限。在获得root权限后，攻击者下载了一些扫描和攻击工具文件，并通过139端口不断对外部主机进行扫描，由于蜜网网关上的Iptables将对外发出的连接的频率和连接数进行了限制，使得黑客不能成功利用蜜罐主机入侵其它主机。

通过对此攻击案例的分析，我们发现通过Sebek所捕获的黑客键击记录对了解由黑客发起的攻击过程和攻击意图起到了巨大的作用。

4 结论

蜜网技术是一种通过构建高度可控的网络结构，并结合一系列数据控制、捕获和分析工具，使得安全研究人员能够更深入地了解各种攻击行为的新技术。在本研究中，为了快速搭建环境，我们使用现成的工具来显示记录档：第一个是Sebek的Web界面监控程序，第二个是用php-syslog-ng以Web界面来显示防火墙及入侵检测系统的记录，如此便需要开启两个界面以显示蜜网中的状态，虽然是Web界面，但并不是十分方便；在未来，我们可以依据需求，自行开发整合性的监控界面，这样才能更方便、更简单地掌控整个蜜网的现状。

[1]詹可强.基于Honeypot技术的网络主动防御技术研究[J].伊犁师范学院学报,2013,7(1):50-52.

[2]The Honeynet Project.Know Your Enemy:Honeynets[EB/OL].(2008-08-12)[2015-01-02]. http://project.honeynet.org/papers/honeynet/.

[3]诸葛建伟,唐勇,韩心慧.蜜罐技术研究与应用进展[J].软件学报,2013,24(4):825-842.

[4]易秀双,马世伟,王卫东.虚拟蜜网核心功能剖析与实例部署[J].计算机科学,2012,39(3):101-103.

[5]董辉,马建.基于虚拟蜜网的网络攻防实验平台的构建[J].齐齐哈尔大学学报,2012,28(2):67-72.

Study of the Network Information Security Based on Honeynet

ZHAN Ke-qiang

(Fujian Polytechnic of Information Technology, Fuzhou Fujian 350001, China)

In the face of the complex security environment on the network, this paper introduces a safe and effective protecting and warning system based on the honeynet technology. By using the method of attracting intruder attacks, we can monitor and record the behaviors of attackers, and then study their intentions and strategies. The simulation results show that the honeynet is a highly controllable and effective information security platform.

Honeynet; Honeypot; intrusion detection; data capture; information security

2015-07-18

詹可强(1981- )，男，福建福州人，福建信息职业技术学院计算机工程系讲师，硕士，从事网络安全与系统集成研究。

TP393.8

A

2095-7602(2015)10-0042-03