蜜罐与蜜网技术的研究与分析
邹文.唐心玉
(湖南商学院,湖南长沙410205)
摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。
关键词:蜜罐;蜜网;防火墙;入侵检测系统
文章编号:1009-3044(2008)们r-1121枷3
中图分类号:TP393文献标识码:A
TheResearchandAnalysisofHoneypotandHoneynet
ZOUWen,TANGXin-yu
O-IunanUniversityofCommerce,Cl[1angsha410205,chim)
Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet.
Keywords:honeypot;honeynet;inumiondetectionsystem;firewall
1引言
随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。
2蜜罐的定义和国内外研究现状
2.1譬罐的定义
蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。
蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。
2.2蜜罐的国内外研究现状
目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。
在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。
3蜜罐的分类~按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐:
产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。
研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研
收稿日期:2008一01—08
作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。
1214,劫电_知识与拄木
万方数据本栏目责任编辑:冯蕾······网络通讯及安全·
究组织面对各类网络威胁,并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于,安全研究组织。
按照蜜罐的交互性可将蜜罐分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐:
低交互的蜜罐通常只提供某些特定的模拟服务.这些服务能够通过监听一个特定的端口来实现。在低交互的蜜罐中没有真实的操作系统让黑客操作,这很大程度地减小了蜜罐的风险。但另一方面,这也是它的一个弊端,它不能观察黑客与操作系统的交互,而这也许才是真正有价值的。
中交互的蜜罐也不提供真实的操作系统.而是应用脚本或小程序来模拟服务行为。在不同的端口进行监听.通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉.能够收集更多数据。开发中交互蜜罐.要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
高交互性蜜罐给黑客提供一个真实的操作系统,可以掌握学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客.所以也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
蜜罐交互性的高低决定了它提供的功能的多少。交互性越高,通过蜜罐获得的有价值的信息越多。对黑客和其攻击的了解越深;相应地蜜罐的复杂性也越高。由蜜罐所带来的危险性也越高。
4蜜罐技术原理
蜜罐的主要技术有网络欺骗,数据控制和数据捕获等。
4.1网络欺骗
由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现。所以如果没有网络欺骗功能的蜜罐是没有价值的.网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种:模拟服务端口、模拟系统漏洞和应用服务、IP空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。
4.2数据捕获
数据捕获是蜜罐的核心功能模块。数据捕获的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作.为了达到这个目标。我们将数据捕捉分为了三层来实现。最外层数据捕捉由防火墙来完成.主要是对出入蜜罐系统的网络连接进行日志记录,这些日志记录存放在防火墙本地。第二层数据捕捉由入侵检测系统(IDS)来完成,IDS抓取蜜罐系统内所有的网络包,这些抓取的网络包存放在IDS本地。最里层的数据捕捉由蜜罐主机来完成,主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示.这些数据通过网络传输送到远程日志服务器存放。
4.3数据分析
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。数据分析是蜜罐技术中的难点。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。
4.4数据控制
蜜罐系统作为网络攻击者的攻击目标,如果被攻破,那么我们将得不到任何有价值的信息。同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一.用于保障蜜罐系统自身的安全。
我们允许所有对蜜罐的访问,但是要对从蜜罐系统外出的网络连接进行控制。我们可以一定时间段内外出的连接数,甚至可以修改这些外出连接的网络包,使其不能到达它的目的地。同时又给入侵者网络包已正常发出的假象。蜜罐通常有两层数据控制,分别是连接控制和路由控制完成。连接控制由防火墙来完成,路由控制由路由器来完成,主要利用路由器的访问控制功能对外出的数据包进行控制。
5蜜网模型
5.1第一代蜜网模型
第一代蜜网模型由蜜网项目提出,蜜网模型见图1.防火墙把这个蜜网分隔成三个部分,即陷阱部分、外部网络和管理控制平台。陷阱部分是由一个或多个蜜罐机组成的引诱系统,处于同一网段中。外部网络包括Intemet和内部工作网络两部分。管理控制平台是用来控制和收集敷据的地方,有较高的安全性,由防火墙、入侵检测、路由器和日志服务器组成。可由一台或多台机器组成。
所有进出陷阱部分的数据包都将通过最前端的防火墙进出.它能对所有从蜜罐机器往外的每一个连接进行追踪和控制。外发连接达到预先设定的上限值时,防火墙便会阻塞那些数据包,避免蜜罐成为攻击其它系统的跳板,起到数据控制作用。防火墙与蜜罐之间还放置了一个路由器,使防火墙变得透明,使得蜜网更像一个真实网络。并且路由器也可以对访问控制进行一些,是对防火墙的一个很好补充。路由器仅仅允许源地址是蜜罐的IP包往外发。入侵检测器能检测到网络中的所有的机器,能捕获所有的入侵并存入二进制文件中便于检索和分析。当数据包中特征字串匹配入侵特征库时及时发出报警,将数据发送到日志报警服务器上。日志报警服务器主要用于存储蜜罐主机发来的日志、防火墙日志和入侵检测收集到的数据,便于管理员进行分析并做出及时报警。
1215 万方数据\.网络通讯及安全......本栏目责任编辑:冯蕾
图1第一代蜜网模型
5.2第二代蜜网模型
在第一代蜜网中,数据控制与数据捕获分别由两台不同的机器实现,但由于有了路由器,这样经过蜜网网络的数据包的7兀L将会少一些。而且,由于整个网络对外可见,这样就增加了攻击者攻陷网络的可能性。由于第一代蜜网的以上缺点。蜜网项目提出了第二代蜜网模型。它的体系架构模型如图2所示。
Hone)wall用两层的桥接模式来实现,Honeywall把产品系统网络和蜜罐网络隔离开。网卡ethO连接到产品系统,网卡ethl连接到蜜罐网络。由于网桥的透明性,蜜罐网络和产品系统网络将处在同一个网段。由于没有了路由跳转.进出Hone)wall的数据包的‘兀L将不会减少,这样就没有把Honeywall直接暴露在攻击者面前,减少了Honeywall被攻陷的可能。同时为了方便管理和提高重要数据的安全性,还有另外一个网卡接121eth2用于管理连接,管理者通过该接口来管理Honeywall,并且通过该接121。可以把重要的数据,发到另外一台服务器。这样,即使在Hone)wall被攻陷的时候,部署者收集到的珍贵信息也不至于遭到破坏。为了便于数据控制和数据捕获可将防火墙、入侵检测系统和报瞥系统都安装在Hone)wall上。
在第二代蜜网中数据控制主要是通过防火墙和NIPS(网络入侵防御系统)来实现。NIPs主要是通过Snort的改进版Snort—inline来实现的,当外发数据包不在异常特征规则库时才可以通过,由于未知的攻击特征不在异常特征库里所以要对外发连接进行计数。
蜜网中的数据捕获的方式主要有防火墙日志、系统日志和网络数据包。防火墙日志并不记录具体的数据包内容.只记录各个数据包的通过情况。Snort在ethl端121监听将避免了噪音数据,将数据以Tcpdump日志的格式存储便于以后分析。Sebek可以记录蜜罐机上发生的情况,即使攻击者利用SSH来传输数据,Sebek也可以捕获得到加密前的数据。
6结束语
_矿V、√、0日志,撤警0ff10服务器0产品服务器产品服务器00产品服务器0
由
0HoneywallP2叫I掣l叫lIn}1
图2第二代蜜网模型
蜜罐已经成为安全专家所青睐的对付黑客的有效工具之一。蜜罐使用简单,配置灵活,占用的资源少。不仅仅可以捕获到那些防火墙之外的脚本.还可以发现自己组织中的入侵者;收集的数据和信息有很好的针对性和研究价值。既可作为的安全工具.还可以与其他的安全机制联合使用。蜜罐也有缺点和不足,主要是收集数据面比较狭窄和可能会引入新的风险。面对不断该进的黑客技术。蜜罐技术也要不断的完善和更新。
参考文献:
【1】LanceSpitzner.Honeypota:TrackingHackers[M].北京:清华大学出版社,2004.
【2】熊华。等.网络安全——取证与蜜罐【M】.人民邮电出版社,2003,∽:115—128.
【3】崔志磊,房岚.等.一种全新的网络安全策略一蜜罐及其技术阴.计算机应用与软件,2004,21(2):99—101.
【4】肖蓉,曾绍杰.等.检测未知网络攻击的蜜罐系统忉.计算机与数字工程,2006,(02):16-18.
【5】冯嵩,张洁,等.构建基于蜜罐技术的入侵检测系统叨.计算机系统应用,2006,(07):31-34.
1216,妇电-知识与技木
万方数据
蜜罐与蜜网技术的研究与分析
作者:邹文, 唐心玉, ZOU Wen, TANG Xin-yu
作者单位:湖南商学院,湖南,长沙,410205
刊名:
电脑知识与技术
英文刊名:COMPUTER KNOWLEDGE AND TECHNOLOGY
年,卷(期):2008,1(7)
被引用次数:1次
1.Lance Spitzner Honeypots:Tracking Hackers 2004
2.熊华网络安全--取证与蜜罐 2003
3.崔志磊.房岚一种全新的网络安全策略--蜜罐及其技术[期刊论文]-计算机应用与软件 2004(02)
4.肖蓉.曾绍杰检测未知网络攻击的蜜罐系统[期刊论文]-计算机与数字工程 2006(02)
5.冯嵩.张洁构建基于蜜罐技术的入侵检测系统[期刊论文]-计算机系统应用 2006(07)
1.期刊论文程杰仁.殷建平.刘运.钟经伟.Cheng Jieren.Yin Jianping.Liu Yun.Zhong Jingwei蜜罐及蜜网技术研究进展-计算机研究与发展2008,45(z1)
蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.
2.学位论文杨欣松蜜网系统的研究和实现2005
当今信息社会,互联网络技术得到快速发展和广泛应用,网络安全技术的研究也在不断深入进行着。因应黑客技术的不断发展,新的网络安全产品和技术层出不穷,蜜网是从蜜罐发展而来的研究入侵者目的、策略、工具和方法的一门新兴的网络安全技术,蜜网的任务就是在不被攻击者发现的前提下,尽可能多地捕获攻击者在蜜网中的所作所为,同时要保证蜜网内的蜜罐系统不被作为跳板来攻击非蜜网系统,最后分析捕获的数据,发现新的攻击方法和对未来的攻击作出预测。
本文在研究蜜网技术的基础上,实现了一个完备的蜜网系统,同时为完善和发展蜜网技术提出了一些新的理论和方法。主要内容有:
1、结合相关的网络及网络安全知识,详细分析了蜜网系统的各种功能和各项指标,剖析了蜜网的关键技术,总结了蜜网新技术的特点,提出了蜜网技术改进的方案。
2、使用所捕获的各种数据进行蜜网数据分析,提出了利用数据挖掘技术,发现新攻击的理论和方法。
3、利用蜜网技术的特有功能,结合蜜标实现对来自内部网络攻击的检测;利用捕获的数据,实现对来自外部网络攻击的检测和分析。
4、在实验室条件下实现了一个比较完善的蜜网系统,经过仔细的测试,各项指标均达到要求,能够正常使用,实现了蜜网系统数据控制、数据捕获及数据分析等各方面的功能。
蜜网技术的发展,为研究网络安全提供了一个新的可行方法和思路,为网络安全技术的发展注入了新的活力,蜜网技术的方案可被、、企业、院校、组织和个人所采用,达到研究网络入侵行为,提高抵御入侵的能力,保护自身网络资源,甚至可以作出相应反制的目的。
3.会议论文程杰仁.殷建平.刘运.钟经伟蜜罐及蜜网技术研究进展2007
蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.
4.期刊论文曾荣生.晁爱农.ZENG RONGSHENG.CAO AINONG蜜罐与蜜网技术及应用-微计算机信息2007,23(36)
本文介绍了蜜罐技术的发展历史和现状,分析了蜜罐在网络安全防护体系中的作用,并且利用DTK工具包设计实现的蜜罐应用.以及目前研究的蜜网技术.此外本文还给出了蜜罐及蜜网技术的进一步研究发展方向.
5.学位论文邱建新基于honeyd的大学蜜网研究及应用2006
蜜罐是一种资源,其价值体现在被探测、攻击或损害,它能够转移攻击者视线,使之远离有价值的主机,对于新型的攻击和探测提供早期预警,并能够对收集到的攻击信息事后进行深入分析,是网络安全的重要辅助手段。本论文的目的之一就是介绍蜜罐(蜜网)的各种类型及其在教育行业的实际应用。
本文首先从当前的网络安全现状进行描述,进而对蜜罐产生的历史、蜜罐作用、其优势与劣势进行了介绍。按照交互程度的不同,蜜罐可分为低交互度、中交互度和高交互度蜜罐,低交互度的蜜罐主要是用于保护特定组织,它安装简单,功能有限,但风险较低。高交互度的蜜罐安装、配置繁杂
,但功能强大,能够收集更多和黑客交互的信息,风险较大。从另一个角度分,蜜罐可分为物理蜜罐与虚拟蜜罐,物理蜜罐带有真实的操作系统,虚拟蜜罐则使用仿真技术。虚拟蜜罐比较廉价,风险低,但记录的信息种类有限,在抓住黑客方面做得没有真实的honeypot好。而物理蜜罐对于黑客的操作响应与网络上其它主机完全一样,但有可能被高级黑客征服而变为进攻其他正常网络的跳板。
本文中还介绍了蜜网的概念,到今天,蜜网技术已发展到第三代,成功部署蜜需要三个严格需求:数据控制、数据捕获和数据收集。
本文的中心是建立基于honeyd的虚拟蜜网技术的大学蜜网网络,文中对整个应用的实现进行了系统详细的介绍。具体介绍了honeyd的思想、honeyd及其相关套件的安装、配置与管理,及其他辅助honeyd工作的软件工具。首先介绍了学校蜜网应用的背景,给出了虚拟蜜网的框架结构,在网络设备上对蜜网监听范围的IP进行了数据控制,采用linux操作系统下的软件工具进行了数据捕获,最后对收集到的数据进行了总结分析。此应用达到了预期的设计效果,但还存在许多不足之处,并在总结中提出了改进方向。
6.期刊论文翟继强.叶飞.Zai Jiqiang.Ye Fei蜜罐技术的研究与分析-网络安全技术与应用2006(4)
文章介绍的是一种新的主动型的网络安全防护技术--蜜罐.给出了蜜罐的定义和分类,研究了蜜罐的安全价值,讨论了蜜网和虚拟蜜网的相关原理和概念,同时也分析了蜜罐的风险性和降低风险的基本策略.7.期刊论文牛少彰.张玮蜜罐与蜜网技术-通信市场2006(11)
网络安全领域日益受到重视,新兴的蜜罐与蜜网技术,基于主动防御理论而提出.蜜罐与蜜网技术通过精心布置的诱骗环境来吸引容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息.根据获取的攻击者的情报能更好地理解网络系统当前面临的危险,并且知道如何阻止这些危险的发生,在网络安全防护中做到有的放矢,获得最大的主动权.
8.学位论文贺庆涛蜜罐技术研究及蜜网设计2005
蜜罐技术是一种新兴的基于主动防御的网络安全技术,目前日益受到人们的关注,发展前景广阔。蜜罐是一种网络安全资源,它通过监视入侵者的活动,使用户能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机,从而提高网络安全防御能力。
本文分析研究了蜜罐技术的基本原理,重点对蜜网进行了深入地研究。作者在论文中所做的主要工作如下:在分析了国内外同类研究成果的基础上,构建了一个以研究为主要目的的虚拟蜜网,设计并实现了该蜜网的数据控制、数据捕获、报警等功能;在蜜罐本身的数据捕获方面,在分析比较现有解决方案的基础上,开发了MyBash作为蜜罐本身数据捕获的解决方案。MyBash综合了现有解决方案的众多优点,不仅可以记录入侵者的击键信息,还可以记录击键回复,并通过串口将捕获的数据转储到日志服务器。MyBash为蜜网的研究人员提供了实现蜜罐数据捕获的一种解决方案;对蜜网的报警机制进行了改进,提出了通过手机短信报警的思路。通过对现有发送手机短信软件SMM的协议分析,采用模拟该软件数据包的方法,验证了蜜网使用手机短信报警的可行性;对所设计的蜜网的数据控制、数据捕获、报警和IP空间欺骗等功能进行了系统的测试。
9.期刊论文蔺旭东.薄静仪.王宇宾.曾晓宁.LIN Xu-dong.BO Jing-yi.WANG Yu-bin.ZENG Xiao-ning网络安全中
的蜜罐技术和蜜网技术-中国环境管理干部学院学报2007,17(3)
当前,网络安全正在受到严重的威胁,传统的防御技术存在其固有的被动防御的缺陷,而蜜罐技术正以其主动防御的特性受到越来越多的关注.本文说明了其在网络安全中所起到的防御作用和通过收集信息而起到的研究作用,讨论了涉及到的诱骗机制、数据控制、数据捕获和数据分析等关键技术以及实际应用中的部署方案.
10.学位论文贺青基于Xen的高隐秘性虚拟蜜网设计与研究2007
蜜网是一种高交互性的蜜罐技术。与传统的被动安全技术相比,由于其采用主动诱捕的方式对攻击行为进行监控,可以给系统管理员提供更多信息,使其了解攻击者所使用的技术,工具和方法,以提高对攻击行为的防御能力。而将蜜网技术与虚拟化结合的虚拟蜜网系统,在保留了蜜网技术的强大探查能力的同时,极大地减低了系统所需的资源,同时减少了部署和维护的难度,正在得到人们广泛的关注,其发展前景广阔。然而,随着大范围的针对性研究,出现了大量的反蜜罐技术。攻击者一旦通过蛛丝马迹了解到目标系统的蜜罐性质,往往会放弃攻击或采取其他手段进行反制,依赖诱骗为根本手段的主动防御系统蜜罐就会丧失其作用。因此,隐秘性就成了蜜罐技术发展的一个瓶颈。
虚拟机的引入为虚拟蜜网带来了两个方面的影响:一方面,由于系统规模更加庞大,通用虚拟机往往会给攻击者更多的提示,增加蜜网系统暴露的可能;但另外一方面,由于虚拟机的特性,可以构建基于虚拟机的数据捕获和采集装置,使得现有的反蜜罐技术无效化。通过特别设计的基于虚拟机的蜜网系统,可以将前者的影响减至最小的同时,更加有效地隐蔽蜜网系统和虚拟机的存在,进一步加大反蜜罐的难度。本文首先讨论了蜜网技术的基本原理,分析了常见的隐蔽方法及检测手段,然后介绍了虚拟化技术及开源虚拟机Xen。在此基础上,提出了在Xen的硬件虚拟域中使用Xen 接口加强反检测的方法。最后详细介绍了基于Xen的高隐秘性虚拟蜜网的系统架构及数据捕获模块。
1.余鹏.王浩基于蜜罐的入侵检测系统[期刊论文]-网络安全技术与应用 2008(10)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnzsyjs-itrzyksb200807014.aspx
授权使用:石河子大学图书馆(wfxjshz),授权号:09b2526f-1135-405f-a7c9-9e6901447cd7
下载时间:2011年1月12日下载本文
