蜜网核心技术及发展趋势.docVIP

蜜网核心技术及发展趋势 　　摘要：虚拟蜜网的三大核心技术数据控制、数据捕获、数据分析介绍及对蜜网发展的展望。 　　关键词：数据控制；数据捕获；数据分析 　　一、蜜网的介绍 　　当前网络技术突飞猛进，随着虚拟技术的发展，蜜网技术也得到了长足的发展。蜜网简单的说就是由若干个蜜罐组成的网络，蜜网的概念由蜜网项目组（Honeynet Project）提出，前身是1999年Lance Spitzer等人发起制作的蜜网技术邮件列表。 　　蜜网是从蜜罐技术基础上发展起来的，蜜罐技术侧重于使用单个系统进行引诱攻击，蜜网侧重于在整个内部网络形成一个诱捕框架，在内部网络各个子网设置虚拟蜜罐，实现对整个网络的高度监控。另外，蜜网架构注重整合资源，将真实的系统、蜜罐系统、各种服务、防火墙及入侵检测等资源有机结合在一起，具有多层次的数据控制机制，全面的数据捕获机制，并能够辅助研究人员对捕获的数据进行深入分析。因此蜜网也可以理解为一个集防火墙、入侵检测、数据分析软件、各类蜜罐等于一体的综合体。 　　二、蜜网的三大核心技术 　　整个蜜网体系主要由蜜网网关、虚拟蜜罐、物理蜜罐和监控机组成。蜜网体系结构解决了三大核心功能：数据控制、数据捕获和数据分析[1]。主要涉及到的软件是Iptables、Snort_inline、Sebek等。 　　2.1 数据控制 　　当攻击者攻陷蜜罐后，一般不会满足于在所攻陷的主机上进行操作，往往会以此主机为跳板对其他网络进行攻击。数据控制的目的就是阻止攻击者的这种行为，但如果完全禁止，攻击者可能会意识到进入防御者的圈套，从而得不到攻击者真实的操作意图。蜜罐的作用是引诱攻击者攻击，记录攻击者行为，一旦蜜罐被攻陷，就可能成为攻击者攻击整个网络的跳板。因此既要通过蜜罐来引诱攻击，分析攻击者的行为，又要防止蜜罐被攻击者作为跳板来攻击整个网络这样的情况发生。数据控制就是通过设置策略限制攻击者的活动进行网络防护。如果攻击者进入蜜网，既要给攻击者一定的活动自由，也要对攻击者的活动进行限制，不能让攻击者危害蜜网之外的系统，更不能让攻击者发现数据控制的活动。一般通过两种方式来进行数据控制。 　　（1） 对外连接数限制 　　Netfilter/iptables是Linux平台下的免费包过滤防火墙，其中netfilter称为内核空间，iptables称为用户空间。通过添加、修改和删除规则进行配置防火墙。 　　通过防火墙iptables设置规则，严格控制单位时间内向外连接数量。在rc.firewall脚本中设定对外连接数。在无人值守的情况下，可以设置向外连接数量的上限，超出这个上限的连接由防火墙进行阻塞，并生成警告通知管理员。一般向外连接数设置在五个到十个之间。在全天候值守的前提下，也可以不设定上限，由专人观察。 　　（2） 攻击包抑制：网络信息防御系统Snort_inline[2] 　　Snort_inline是通过对snort修改而产生的，由iptables获取数据包并对数据包进行检测。如果检测出从蜜网向外发出的数据包中含有异常特征，则丢弃此数据包并对管理员发出报警信息。在Snort_inline中由queue选项来决定对数据包的丢弃、修改或回拒。由于是通过iptables进行检测，检测过程依赖于iptables的规则库。 　　第三代蜜网对数据控制又增加了内容。在防火墙规则上添加了黑名单、白名单、防护名单等功能。 　　2.2 数据捕获 　　数据捕获是蜜网的重要功能，只有捕获了攻击者的入侵数据，才能对其进行分析整理，才能对防火墙和入侵检测等系统进行规则调整。捕获的数据需要传输到另外的主机上，保证所捕获数据的安全性。 　　蜜网通过三重捕获手段对数据进行捕获：一是防火墙日志；二是网络流；三是系统活动。 　　第一重捕获手段是防火墙，防火墙记录数据包的一些简单信息。防火墙记录多种数据包类型：TCP、UDP、ICMP及其他数据包。记录的内容主要有：包协议类型、源地址、目的地址、源端口、目的端口、进出的网络接口、包长度、数据包通过时间等。但是防火墙日志记录的内容不够全面，主要是防火墙对数据包的内容不进行记录，因此对攻击行为不能做全面分析。 　　第二层捕获手段是网络入侵检测系统snort[3]。 　　Snort是一个轻量级的入侵检测系统，Snort有三种工作模式，分别为：嗅探器、数据包记录器和网络入侵检测系统。 　　Snort以嗅探器模式来完成对数据的捕获。通过tcpdump实现嗅探功能。 　　第三重捕获手段是Sebek。 　　Sebek开发于Linux上，现在WIN，SOLARIS，OPENBSD也有相应的sebek版本。目前sebek已经升级到qebek版本。 　　2.3 数据分析 　　当混合蜜网捕获到攻击者数