利用蜜罐技术实现对互联网非法活动进行监控.pdfVIP

维普资讯 中国人民公安大学学报(自然科学版) 2007年第4期No．42007 JournalofChinesePeople’SPublicSecurityUniversity(ScienceandTechnology) 总第54期Sum54 利用蜜罐技术实现对互联网 非法活动进行监控 杜 彦 辉 (中国人民公安大学信息安全工程系，北京 102600) 摘 要 蜜罐技术是一种能够深入分析各种攻击行为的新技术，它通过网络欺骗、端 口重定向、 报警、数据控制和数据捕获等关键技术，实现对网络攻击的控制、捕获和分析。通过对黑客攻击 案例的捕获和分析，展示利用蜜罐技术实现互联网非法活动进行监控。 关键词 蜜罐；网络攻击；网络欺骗 中图分类号 TtB93．08 0 引言 1 Honeyd软件体系结构 蜜罐技术作为一种主动型的网络安全防护技 Honeyd体系由几个组件构成，这些组件是配置 术，与入侵检测系统、防火墙、杀毒软件等结合， 数据库、中央包分配模块、协议处理模块、个性引 可以有效提高系统安全性。蜜罐技术是一r一种对攻击 擎和可选路由构件。图1为Honeyd软件框架结构。 者进行欺骗的技术，通过部署作为诱饵的主机、网 络服务 以及信息诱使攻击者对他们进行攻击，减少 对实际系统造成安全威胁，更重要的是蜜罐技术可 以对攻击行为进行监控和分析，了解攻击者所使用 的攻击工具和攻击方法，推测攻击者的意图和动 机。在此基础上尽可能地追踪攻击者的来源，对其 攻击行为进行审计和取证，从而能够让防御者清晰 地 了解他们所面对的安全威胁，并通过法律手段去 追究攻击者的责任，或者通过技术和管理手段来增 强对实际系统的安全防护能力。 我们在实验室利用 Honeyd构建了蜜罐并连入 图l Honeyd软件框架结构l】 互联网，通过该蜜罐工具捕获了一些攻击行为，通 系统接受到的数据由中央包分配模块进行处 过对这些攻击案例的深入分析，可以了解攻击者进 理，首先中央包分配模块进行处理会检查 IP包的 行非法活动的整个过程以及所使用的攻击工具和方 长度，并修改包的校验和。Honeyd主要响应 IC— 法，从而对互联网非法活动进行监控。 MP、TCP和UDP等3种网络协议，其他协议包在 记人 日志后会被丢弃。其他请求的处理主要依赖于 个性引擎的配置。 基金项 目 本文得到公安部2005年应用创新计戈IJ的资助 作者简介 杜彦辉 (1969一 )，男，山西人，副教授。丰要研究方向为刚络安全 · 78 · 维普资讯 杜彦辉：利用蜜罐技术实现对互联网非法活动进行监控 在处理数据包之前 ，中央包分配模块查询配置 就是网络连接 ，以便从网络上下载攻击工具包、打 数据库，以查找到一个符合 目标地址的蜜罐配置。 开 IRC连接等等，蜜罐允许他们做大部分的 “合 给定配置后，数据包和相应的配置会被转交给相应 法”事情。但是对攻击其他系统的 “需求”，比如 的协议处理模块处理。 发起拒绝服务攻击、对外部扫描以及使用漏洞攻击 除了可以建立本地服务连接外，Honeyd还支持 他人的行为，则一概禁止。对于高包含性的蜜罐， 网络连接的重定向。这种重定向可以是静态的，也 则必须采取外部数据控制的措施，如 IDS或带宽