基于Honeyd蜜罐系统架构分析及优化设计.docVIP

基于Honeyd蜜罐系统架构分析及优化设计 　　摘 要：蜜罐系统是应用于计算机网络安全领域的信息系统资源，目前蜜罐及其相关技术已经开始步入大规模的商业应用阶段。本文通过研究Honeyd这款强大的蜜罐应用工具，对其在使用过程中包括各逻辑模块的的协调，在各种网络协议下的数据包处理等功能进行了详细研究，在此基础上完善了Honeyd的日志记录这一薄弱功能，并对其架构进行了分析及优化设计，使其搜集到的信息更有利用价值。 　　关键词：Honeyd；蜜罐；系统调用劫持 　　中图分类号：TP393.08 　　1 蜜罐技术简介 　　1.1 蜜罐的定义 　　蜜网项目组的创始人Lancee Spitzer给出了蜜罐的基本定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用，因此流入/流出蜜罐的网络流量都预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对些攻击活动进行监视、检测和分析。[1] 　　1.2 蜜罐技术的原理 　　（1）模拟欺骗。通过模拟、欺骗技术诱引入侵者；（2）捕获入侵。吸引入侵者后，对入侵行为的日志记录、用户行为进行捕获记录；（3）数据分析。对攻击行为的所有记录性数据分类、挖掘、分析；（4）危险预警。经过数据分析比较，对入侵者可能的入侵行为和目的进行预测，并向网络安全人员提供预警；（5）数据控制。通过系统调用劫持技术保护蜜罐自身安全。 　　1.3 蜜罐的不足 　　（1）只能看见针对自身的攻击行为，并记录下来，没有有效的反击黑客的能力；（2）蜜罐的专有特性会使有经验的入侵者发现它，并在安全退出之前破坏日志信息；（3）蜜罐中Honeyd的日志记录机制只能记录未被加密协议的部分信息且自身保护能力不足。（4）蜜罐可能将风险引入它所在的环境，一旦它被攻陷，就有可能被作为攻击、渗透其他系统的跳板。[2] 　　2 Honeyd的结构分析 　　Honeyd是一款开源软件，通过采用很多功能强大的开源函数库，可以搭建虚拟蜜罐与蜜罐网络的轻量级守护进程，它几乎可以模拟任何一种类型的应用层服务与任意一个版本的操作系统。 　　2.1 Honeyd逻辑框架分析 　　Honeyd结构组成：（1）路由器，路由是一个可选择的逻辑部件；（2）数据包分配器；（3）协议管理器包括ICMP/UDP/TCP协议管理和服务处理单元；（4）特征引擎；（5）配置数据库包含了一切配置参数。 　　2.2 主要函数分析 　　（1）Honeyd_recv_cb（）：接收数据包函数，接受到数据包后便开始工作；（2）Honeyd_input（）：数据包转发函数，对进入的数据包进行路由转发或者直接转发；（3）Honeyd_route_packet（）：数据包处理函数，在处理数据包时会参考配置数据库中的配置数据，根据数据库中配置的逻辑链路，调用相关函数；（4）Honeyd_delay_packet（）：链路延时处理函数；（5）Honeyd_delay_cb（）：发送被延迟函数处理好的数据包函数；根据送来的数据包的标记进行分流。（6）Honeyd_dispatch（）：协议处理机函数，根据ip包的头部字段的类型，分别调用不同的协议处理函数；（7）Honeyd_ip_send（）：发送函数；用来加工完成协议方面处理的数据包。 　　2.3 路由拓扑分析 　　通常情况下，Honeyd架构支持平行共存的多个网络入口。在模拟网络时，当Honeyd框架系统接收到一个发送给真实系统的数据包时，该数据包会同样的周游该网络拓扑，直到发现一个可以直接响应该真实系统所处网络空间的虚拟路由器。需要的时候，Honeyd框架系统会发送ARP请求来确定真实系统的硬件地址，然后将该数据包封装在一个以太网帧里发送给该地址。类似的，Honeyd框架系统也可以利用相应的虚拟路由器来响应真实系统所发送的ARP请求。[3] 　　3 系统优化设计 　　3.1 日志模块改进需求 　　Honeyd的日志记录模块就是将搜集到的流量信息中分析出的各种攻击信息记录到日志文件中。通过这些信息来确定入侵者的一系列攻击行为。而Honeyd的日志记录机制一般是不会记录加密的部分信息。 　　此外，Honeyd的日志文件也缺少隐藏功能，这样攻击者一旦攻陷了蜜罐主机，既可将日志文件删除。所以，很有必要为Honeyd开发一个日志记录系统，它既有很高的安全性，隐蔽性，也可对加密协议进行处理，从而使Honeyd搜集到的信息更有利用价值。 　　3.2 Linux的系统调用设计 　　传统的从内核截获交互数据（攻击者与目标蜜罐终端进行交互的数据）的方法为中断sys_read（）或sys_write（）系统调用，在其中加入记录击键的相关函数。但是，很显然，这种方法是很不稳定的并且会明显的降低系统的额速度，因为中断的恰恰是系统使用最频繁的两个系统调