网络环境感知工具NEye设计.pdfVIP

网络环境感知工具NEye设计文档

诸葛建伟

2005年8月

1.目标

网络环境信息对于深入了解当前状况具有巨大的意义。系统管理员或安全态

势评估系统只有在充分了解受保护网络环境信息的前提下，才能够有效地对当前发生的攻

击及其等级做出准确的判断，从而支持其及时正确的应急响应处理。

网络环境信息包括网络拓扑结构、主机、主机开放的网络服务以及存在的等。对

网络环境信息的获取工具可以根据其是否对目标发起主动的探测分为两大类：获取工

具和主动获取工具。

获取工具仅通过对数据包的，根据数据包中包含的提取对应的一些网络

环境信息。属于此类的著名开源工具有p0f（操作系统辨识工具）和pads（网络

服务发现工具）。

主动获取工具会对目标主动发起探测，从而确定其操作系统、开启的端口以及存

在的等信息。属于此类的著名开源工具有nmap（结合IP扫描、端口扫描以及

操作系统辨识功能）和nessus（扫描工具）。

这些开源工具均是安全界极为优秀和知名的大家之作，但它们并不满足非常有效地对

一个受防网络的网络环境信息进行获取和的要求，这表现在各个工具所获取的环境信

息未能有效地融合，为安全管理员一个全面的受防系统网络环境的视图，以及大部分

工具缺乏GUI界面，对结果无法进行有效地管理，这对于使用这些工具进行探测的者

来说并无作用，但对需要长期受防系统安全的管理员有极大的帮助。

Honeynet同样这样的问题，Honeynet的部署方要想深入地分析在

Honeynet中发生的，首先必须对其部署的Honeynet环境信息了如指掌，如

部署了多少台Honeypot？操作系统各版本？各开放什么网络服务？网络服务存

在哪些？如果连自己布的陷阱在哪都不知道，那还谈什么诱捕呢？另外，对流

入流出Honeynet的网络流量相关的环境信息，如源/目标的操作系统、攻击的网

络服务及存在的，Honeypot连接的外部主机操作系统及网络服务等，能够帮助研

究人员更有效地分析当前Honeynet中所发生的。

但目前虽然Honeynet技术已发展到第三代，但对网络环境信息获取和的支

持还远远不够，仅在Roo中包含了p0f，从而给出源的操作系统版本。

鉴于目前网络防御和Honeynet数据分析对一个整合的网络环境信息获取工具的需

求，Artemis项目计划在现有的优秀网络环境信息获取工具的基础上，根据需求定义

网络环境信息数据库的Schema，通过在各个工具上实现mysql输出模块将其结果输出

到mysql数据库中，并实现一个简单易用的基于Web的GUI界面，从而构成一个在

网络防御和Honeynet数据分析方面均适用的NEye工具。

网络环境感知工具NEye设计文档

诸葛建伟

2005年8月

1.目标

网络环境信息对深入了解当前状况具有巨大的意义，系统管理员或安全态

势评估系统只有在充分了解受防网络环境信息的前提下，才能够有效地对当前发生的攻

击及其等级做出准确的判断，从而支持其及时正确的应急响应处理。

网络环境信息包括网络拓扑结构、主机、主机开放的网络服务、以及存在的等，对

网络环境信息的获取工具可以按照其是否对目标发起主动的探测分为两大类：获取

工具和主动获取工具。

获取工具仅通过对数据包的，根据数据包中包含的提取对应的一些网

络环境信息，属于此类的著名开源工具有p0f