基于snort的企业网络安全蜜罐系统的设计与实现.docVIP

基于snort的企业网络安全蜜罐系统的设计与实现 　　摘要：该文使其它安全技术与蜜罐技术相结合，在snort入侵检测技术的基础上，研究和设计了一个具有高交互度级别特征的蜜罐信息安全系统，从而构成统一的网络安全基础设施。 　　关键词：snort；IPTables；Sebek；入侵检测技术；蜜罐系统；信息安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)26-6392-02 　　作为一种新型的信息安全技术，蜜罐技术不再因循传统信息安全的被动防御体系，它一方面能够作为独立的信息安全工具，另一方面也能够与其它信息安全工具协作。蜜罐技术通过构造网络诱骗环境，来研究网络入侵者的具体技术与行为。传统的网络安全系统往往拘泥于一种体系，该文的创新之处在于研究如何使其它安全技术与蜜罐技术相结合，从而实现一个高交互度级别的蜜罐系统，进而构成统一的网络安全基础设施。 　　1 网络安全蜜罐系统的理论设计与实现 　　1.1 系统总体设计 　　该文所设计的蜜罐系统由三部分构成：网关、监控机和虚拟蜜罐，如图1所示。 　　网关(HoneyWall)是以桥接模式部署的，网关接口以桥接方式连接，不会提供本身的 MAC 地址，对网络数据包也不会进行网络路由 和TTL递减，网关将控制和审计所有流入流出蜜罐系统的网络流量。 　　该文所设计的蜜罐系统引入多层次的数据捕获机制，分别是： 　　1) 防火墙。截获所有IP包，从其传输层协议头 以及IP头中获取相关信息，与事先设定的访问控制规则按顺序依次匹配，并执行其规定的动作。 　　2) 入侵检测系统。基于Snort的入侵检测系统监听流入流出蜜罐系统的全部网络流量，根据配置，对与Snort攻击特征相匹配的数据包产生报警日志，避免攻击。 　　3) 系统行为监视器。使用了Sebek来捕获攻击者基于加密信道的攻击行为。在蜜罐主机上以内核模块的方式安装Sebek客户端，在网关上安装Sebek服务端，存储来自多个蜜罐主机发来的Sebek数据。 　　蜜罐系统在网关上运行IPTables防火墙、Sebek服务端以及网络入侵检测系统Snort。引入VMware虚拟机软件虚拟出分别运行Windows XP和Linux操作系统的两个蜜罐主机，系统结构图如图2所示。 　　1.2 核心模块的理论分析与设计 　　1.2.1 数据控制模块 　　该文引入Linux 开放源代码的自带的防火墙IPTables实现数据控制，系统侦测到数据包的进入时，会通过路由表查询，来决定数据包的流向。接下来，将信息包所传递到的链中的每条规则与数据包的头信息进行比较，看与某条规则是否完全匹配。该文所设计的网络安全蜜罐系统信息包过滤过程如图3所示。 　　在信息安全主系统上IPTables发挥了两个作用，首先是记录流经主系统的数据流量，其次是限制由蜜罐网络发出的对外连接。引入IPTables的作用就是在数据捕获的同时实现第三方保护，有效的降低整个系统的风险，控制蜜罐的对外连接。 　　IPTables蜜罐系统中对数据包进行处理时，为减少日志中的冗余信息，对入站连接而言，仅仅对新建的连接进行记录，并默认所有的对内连接均为允许。相反，严格控制出站连接，只要原地址并非蜜罐地址，便记录并丢弃，从而避免由蜜罐发起的IP欺骗攻击；IPTables允许蜜罐系统发送和接收广播包，并使用基于广播的一些服务，从而诱骗黑客相信这是正常的一台服务器；此外，IPTables蜜罐系统对出站的连接数进行限制，从而避免黑客发动DoS攻击，同时也支持对第三方的保护。 　　1.2.2 入侵检测模块 　　本系统由Snort来实现轻量级的网络入侵检测。它能够对攻击进行实时报警，检测各种不同的攻击方式。 　　Snort 在本系统中的主要功能，首先是采集和分析在网关对进出蜜罐系统的数据，实现攻击的检测；其次是控制蜜罐系统的数据，根据策略对数据包进行规则匹配，以判定是否有第三方发起攻击，进行丢弃或修改。 　　本系统在设计中，将 snort sensor 网卡设置为混杂模式，对进入局域网的数据，引入libpcap抓包函数库的API进行截获和监控，同时通过相应的解包函数逐层按协议栈解码截获的数据包。在此基础上形成可被分析系统识别的数据包。根据 Snort 配置文件进行匹配，并记录匹配结果。图4所示为该文所设计的Snort的结构。 　　在入侵检测模块中，Snort的规则分析是实现的重点。Snort的规则逻辑由两部分构成，分别是：Rule Option(规则选项)和Rule Header(规则头)。在规则头中，包括所匹配网络报文的协议、规则的行为、目标地址、源地址和源端口和目标端口、网络掩码等信息；在规则选项中，则包含了判定报文是否为攻击报文的信息以及显示给