基于蜜网技术主动式网络安全系统研究.docVIP

基于蜜网技术主动式网络安全系统研究 　　摘要：该文提出并设计了一个能将网络攻击流重定向到蜜网环境中的主动式网络安全系统。并对其中的数据流重定向，数据捕获，数据控制与自动告警等功能给出了具体的实现方法。 　　关键词：数据流重定向；蜜网系统；攻击流；数据捕获 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3038-03 　　Research of Initiative Honeynet System Based on Data Traffic Redirection 　　LUO Lai-jun 　　(Nanchang Campus, Jiangxi University of Science and Technology, Nanchang 330013, China) 　　Abstract: The paper design a initiative Honeynet system which can redirected the network attack traffic to the Honeynet Environment. The paper describes the Implementation of data traffic redirection, data capture, data control and automatic alarm functions. 　　Key words: data traffic redirection; honeynet system; attack traffic; data capture 　　随着网络技术的飞速发展与应用的深入，网络安全问题也变得日益突出。传统网络安全系统均采取被动防御策略，只能防御已知攻击，对未知攻击则无能为力。蜜网(honeynet)技术作为近年来出现的一种新型防御技术，在检测、分析和应对网络攻击，特别是未知攻击方面日益显示出了优越性。蜜网系统利用引诱和欺骗等手段，使攻击者对预设的蜜网进行攻击，从中捕获其攻击信息，网络安全人员通过分析攻击者的攻击手段、方法和工具等信息，找到防御其攻击的方法。本文以蜜网技术为基础，设计一个不仅能将攻击流重定向至蜜网环境，同时对于网络攻击行为也具备良好的的捕获、控制与自动告警的功能的主动式网络安全系统。 　　1 系统概述 　　主动式网络安全系统由数据流重定向器与蜜网环境两大部分构成。网络攻击流重定向是系统中的关键技术之一，其功能主要包括对网络攻击流的检测与对被检测出的攻击流进行重定向。本文提出基于非业务访问与入侵检测技术相结合的网络攻击检流测机制，并通过策略路由将网络攻击流与正常业务访问流分别重定向到蜜网环境与业务网络中。 　　蜜网环境的主要功能是对进入其中的攻击行为进行捕获。蜜网环境由若干个蜜罐（Honeypot）与蜜网网关（Honeywall）经合理部署而成。其中的蜜罐是一种包含了漏洞且易于被黑客攻击的计算机系统，用来主动吸引、诱骗非法入侵的黑客。蜜罐可以由多种高交互系统来充当，比如：Linux、WindowsNT、Solaris等。蜜网网关处在整个蜜网环境与外部连接的关键位置上，系蜜网中的核心部件，蜜网的主要功能也是在其上实现的，其中集合了数据控制、数据捕获与自动告警等重要功能。 　　2 系统构架 　　系统的整体构架分为数据流重定向器与蜜网环境两大模块，系统的构架如图1所示。数据流重定向器包括了3个接口，其中eth0与路由器连接，eth1与业务网络连接，eht2与蜜网网关相连接。数据流重定向器的操作系统是由一个最小化的Linux内核的为基础构建的，在其上安装的核心软件为Snort与 Iptables，前者用于数据流的入侵检测，后者结合策略路由规则实现数据流的重定向。 　　在蜜网环境中，蜜网网关也设有3个网络接口，其eth0与数据流重定向器相连，eth1与蜜网内部相连，第三个接口（eht2）与远程管理主机相连。蜜网网关的操作系统同样是由一个最小化的Linux内核的为基础构建的，在其上安装了实现数据控制、数据捕获等功能的相关工具软件，主要包括Iptables、Snort、Sebek等软件。为有利于双向检测进出蜜网系统的网络攻击，本系统将内外两接口（eth0与eth1）的工作层次设计在数据链路层上。由于eth0与eth1基于桥接模式通信，两接口同属一个IP网段，因此两接口间没有路由跳变与TTL值递减等现象，这使得蜜网网关对于外界攻击者来说几乎是透明的，隐蔽性极强。蜜网网关的第三个接口（eht2）配有IP堆栈，是网关中唯一配置IP地址的接口，主要用其来连接远程管理主机。 　　3 攻击流的检测与重定向的实现 　　3.1 攻击流的检测 　　网络攻击流