蜜网中基于Linux平台的蜜罐技术的研究_计算机论文.docVIP

蜜网中基于Linux平台的蜜罐技术的研究_计算机论文 蜜网中基于Linux平台的蜜罐技术的研究_计算机论文 摘　要　传统蜜罐有着不少的优点，比如收集数据的保真度，不依赖于任何复杂的检测技术等。然而随着应用的广泛，传统蜜罐的缺点也开始显现了出来。取而代之的是由一组高交互用来获取广泛威胁信息的蜜罐组成的蜜网。本文针对蜜网中蜜罐所面临的挑战：捕获工具隐藏、加密会话数据的捕获、数据传输隐蔽通道，给出了详细的解决方案。 关键词　蜜罐；Linux；模块隐藏；加密会话捕获；隐蔽通道 １ 引言 蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷[1]。它以牺牲真实的没有打补丁的操作系统(一般以Linux为平台)为代价欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标。 传统蜜罐有着不少的优点，比如收集数据的保真度，蜜罐不依赖于任何复杂的检测技术等[2]，因此减少了漏报率和误报率。使用蜜罐技术能够收集到新的攻击工具和攻击方法，而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。但是随着应用的广泛，传统蜜罐的缺点也开始暴露了出来，综合起来主要有3个方面： （1）蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视图不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。 （2）蜜罐技术不能直接防护有漏洞的信息系统并有可能被攻击者利用带来一定的安全风险。 （3）攻击者的活动在加密通道上进行（ IPSec，SSH，SSL，等等）增多，数据捕获后需要花费时间破译，这给分析攻击行为增加了困难。 针对以上问题出现了蜜网技术[3]。蜜网技术实质上是一类研究型的高交互蜜罐技术，与传统蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证了网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。图1给出了蜜网的结构及其蜜罐在蜜网中的位置。其中最为关键的部件为称为HoneyWall的蜜网网关，包括三个网络接口，网卡1接入外网，网卡2连接蜜网，而网卡3作为一个秘密通道，连接到一个监控网络。HoneyWall是一个工作在链路层的桥接设备，作为蜜网与其他网络的惟一连接点，所有流入流出蜜网的网络流量都将通过HoneyWall，并受其控制和审计，同时不会对网络数据包进行 TTL 递减和网络路由，也不会提供本身的 MAC 地址，因此对黑客而言，HoneyWall 是完全不可见的，因此黑客不会识别出其所攻击的网络是蜜网。 图1 蜜网体系架构2 蜜网中蜜罐所面临的挑战 蜜网是一个体系结构，成功地部署一个蜜网环境，这里有两个严格的需求，这也是针对传统蜜罐的缺点而提出来的。这两个需求是：数据控制和数据捕获[3]。 数据控制就是限制攻击者活动的机制，它可以降低安全风险。这是图1中蜜网网关所要做的一部分工作。 数据捕获就是监控和记录所有攻击者在蜜网内部的活动，包括记录加密会话中击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复使用保护的二进制程序的口令等[4]。这些捕获的数据将会被用于分析，从中学习黑客界成员们使用的工具、策略以及他们的动机。这正是蜜罐所要做的工作。 这其中的难点就是： （1）使黑客无法侦测到数据捕获这个进程的同时搜集尽可能多的数据。 （2）黑客们越来越多的使用加密工具来保护他们的传输通道。如果目标机器没有安装加密服务，那么他们也会自己安装上如SSH、加密的GUI客户端或者SSL等服务。如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据。 （3）要将收集到的数据通过一个秘密通道汇总到蜜墙中的数据收集服务器。 3 解决方案 3.1 捕获工具隐藏 3.1.1 隐藏模块 捕获数据的工具是以模块化的机制[5]在Linux系统启动后动态地加载到内核成为内核的一部分进行工作的。当捕获程序的模块被加载到内核时，一个记载已加载模块信息的安装模块链表里面就记录下已加载模块的信息，用户可以通过内存里动态生成的proc文件系统[6]下的module文件来查看到。当特权用户root调用/sbin/insmod命令加载模块时会有一个系统调用sys_create_module()[7]，这个函数在Linux2.4的源代码中位于kernel/module.c。它会将含有新加载的模块信息的数据结构struct module插入到名为moudle_list的模块链表中去。 281 sys_create_module(const char *name_user，size_ t size) 282 { …… 309 mod-gtnext = module_list； 310 mod-gtname = (char *)(mod + 1)； 311 mod-gtsize = size； 31