基于Honeyd动态蜜罐设计与实现.docVIP

基于Honeyd动态蜜罐设计与实现 　　摘要：该文主要设计了一个基于Honeyd的动态蜜罐系统，然后将其部署到网络安全系统中，进一步将其得以实现，该系统能较好的欺骗黑客，并通过与黑客的交互获取攻击信息，能有效的确保网络安全。 　　关键词：Honeyd；蜜罐；主动探测；被动识别 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)01-0135-02 　　随着计算机互联网技术的迅速发展，网络安全的隐患也日益剧增，目前主要采用的网络安全技术有防火墙、入侵检测、数据加密、访问控制等。但这些网络安全技术都是采用被动防御的手段，很难以对付复杂多边的黑客攻击，在此背景下，我们提出了一种主动防御的网络安全技术―蜜罐技术。蜜罐技术是一种网络诱骗技术，它通过真实或模拟的网络和服务来吸引黑客攻击，从而收取黑客的攻击信息，再对其进行分析和处理，掌握黑客的攻击目的和动机，使得系统能及时修补安全漏洞，避免攻击的发生。 　　1 基于Honeyd的动态蜜罐设计 　　Honeyd是由Michigan大学的Niels Provos开发的，它是一种低交互的应用型蜜罐。由于其低交互性，它存在着一定的缺陷。而基于Honeyd的动态蜜罐能弥补它的一些缺陷。下面我们针对Honeyd来设计动态蜜罐。 　　1.1 动态蜜罐环境获取设计 　　获取周围的环境主要目的是学习周围的网络环境，是解决蜜罐系统配置的必要条件，即要解决配置问题必须首先知道周围的网络环境。它主要有主动探测和被动识别技术。 　　1）主动探测的设计 　　主动探测的设计的思路如图1。 　　图1表示，对于带有操作系统和服务器类型的数据库，通过主动探测工具Nmap发送数据包给各个操作系统或者服务器，这些系统反馈系统类型信息和服务器类型信息给Namp工具，Namp探测工具把这些系统类型信息传递给动态蜜罐服务器，从而得到网络中的系统操作系统类型和服务器类型。 　　2）被动指纹识别技术 　　被动指纹识别技术是基于每种操作系统的IP协议栈都有其自身特点的原理，维护了一个指纹数据库，如表1所示，里面记录有各种不同操作系统数据包的特点，在捕捉到网络中的数据包后将它与数据库内的记录进行比较，从而判断出操作系统的类别。 　　1.2 动态蜜罐体系结构设计 　　动态蜜罐技术是由蜜网组织首先提出的一种设计方法。针对蜜罐在配置和维护方面存在的挑战，运用动态蜜罐技术对其分析，该系统主要运用主动探测技术、被动指纹识别技术和Honeyd技术。其结构主要包括以下几个部分： 　　1）主动探测工具，比如Nmap； 　　2）被动指纹识别工具，比如P0f和Snort； 　　3）虚拟蜜罐Honeyd； 　　4）物理蜜罐信息的收集； 　　5）数据库，包含主机描述和日志信息； 　　6）动态蜜罐引擎，与较早的组件结合，可以动态的配置Honeyd和输出量； 　　7）管理员界面，实时配置动态蜜罐服务器和查看报告。 　　我们知道，使用动态蜜罐方法的最重要的优势在于，可以依赖其在小的方面比如主机的观测（真实系统蜜罐日志）和大的方面比如网络观测（虚拟系统蜜罐日志）捕捉恶意攻击的能力。 　　2 基于Honeyd的动态蜜罐实现 　　我们通过对设计好的动态蜜罐进行部署，其系统模型关系图如图2。 　　2.1 数据控制 　　Honeyd通常有两层数据控制，分别是防火墙数据控制和路由器数据控制，防火墙数据控制主要是通过防火墙来控制蜜罐外出的连接，防火墙采取“宽进严出策略，在防火墙上对从蜜罐机器外发的连接数量设定一个合理的阈值，当该蜜罐外发的数量达到设计时预先设定的阈值时，防火墙便会阻塞那些信息包。路由控制由路由器完成，主要是利用路由器的访问控制功能对外出的数据包进行过滤，以免蜜罐被用于攻击网络其它部分。我们采用Honeynet开发的rc．Firewal脚本来进行配置和实现，并采用IPTables来进行限制。 　　2.2 数据捕获 　　1）用Snort实现数据捕获 　　Snort是一个轻量级的入侵检测系统，它有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。我们主要是用到Snort的入侵检测模式。以上配置文件是Snort将收集到的数据输出到本地名为Snortdb的Mysql数据库中，其用户名为Snortoper，验证码是Password。同时将数据包以Tcpdump格式记录到Snort.log文件中。 　　2）Sebek实现数据捕获 　　Sebek是一个基于内核的数据捕获工具，它可以用来隐蔽的捕获蜜罐上的所有活动。Sebek在捕获加密的数据包时具有很大的优势，因为不管什么样的加密数据到达目的主机后要想有所动作，都会解密后去调用系统调用。Sebek由两个组成部分：客户端和服务端。客户端从蜜罐