蜜罐系统的设计

试论蜜罐系统的设计

摘要：现如今，电脑技术日益更新，人们对电脑的操作技术不断进步，有些技术专员痴迷电脑，自凭借高超的电脑技术，认为自己在计算机方面的天赋过人，希望达到毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站的水平，以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。但这就对别人的电脑系统安全性发起了极大的挑战，为了研究黑客入侵的方式，大胆提出了“蜜罐系统“，本文将对蜜罐系统展开分析，与大家共同分享“蜜罐系统“。

关键词：蜜罐系统；防火墙；防御功能

引言

一般来讲，设置蜜罐系统的主要目的是对外来的网络流量进行分析，它把任意一个进入到蜜罐系统内的网络流量都设想成假想敌，对它进行数据分析，从而得到这一外来流量的目的和它入侵的方式。

我们可以利用蜜罐系统进行对入侵的网络流量极大的警惕性，对外来的数据流量都进行数据分析和异常检测，此时我们再蜜罐系统上加装报警系统，这样一来系统就可以再第一时间检测到入侵的外来网络流量并发出预警，提示人们有异常情况发生，以便提前做好网络防御工作，可以在很大程度上减少计算机系统被恶意网络流量进攻的可能性。

1 设计目标

有了报警蜜罐系统的设想后，计算机技术人员就可以按照技术需求进行系统设计。在这里，我们提到的即时报警蜜罐系统的工作目标如下：

第一，通过在计算机里安装蜜罐系统，与现代先进的网络安全技术，以此来达到在恶意入侵的网络流量时发出预警。此外，还可以增加系统中蜜罐的数量以及随需求的不同更换蜜罐的功能。

第二，可以做到对计算机系统内的网络流量进行监测，不仅可以对已经入侵的恶意流量进行监控，还可以对网络中潜存的网络漏洞进行预警，这样更大大加强了计算机的安全性能。

第三，要为进出计算机蜜罐系统创造一个良好的工作环境，蜜罐相对而言比较开放，而它的工作原理又是针对所有的外来入侵网络流量，所以，要对能够进出计算机系统的流量进行严格控制，最好能够断开与外界的联系。

第四，即时记录下蜜罐系统的工作记录是很有必要的。

第五，蜜罐系统的操作界面可视，这样可以更加直观的对检测到的数据进行查看和分析，实现即时报警功能。

2 蜜罐系统结构

总体上看，防火墙、ids、蜜罐主机、日志服务器和异常检测构建了蜜罐系统。具体来讲，他们分别具有不同的作用，防火墙和ids 二层数据用于对网络数据的控制，除了日志服务器用于对网络数据的分析和预警以外，其它四项共同用于网络数据的搜集。

打个比方，蜜罐系统就如同一个安全报警器被放置在一个密闭的

盒子里，它不会对盒子内本身的ip请求发生预警，而当盒子以外的网络流量请求进入盒子即是请求进行arp[18]欺骗时，如若此时的端口和服务已经开启，盒子内的蜜罐系统会第一时间与入侵的网络流量进行交互，当然这是在伪装成为平时的计算机的面目下。这时，蜜罐系统内部就会启动异常检测功能，对外来的流量进行数据采集和分析，经过计算后若认为是恶意流量就会发出预警通知人们。这样，计算机技术人员就可以通过可视功能的蜜罐系统采取相应的保护措施。我们主要讲一下防火墙，它在一定程度上也保护了蜜罐系统，通过它来严格控制数据，这样就可以防止恶意入侵者利用蜜罐主机进行网络破坏。然后通过ids记下进出局域网的异常数据和预警，一旦发生恶意入侵时，技术人员就可以通过ids的记录拿到第一手详细可靠的数据资料得知入侵的具体情况。而这一切活动都蜜罐系统的日志服务器都会自动记录下来。

所以，我们可以讲蜜罐系统大致分为五个模块：管理模块、防御和入侵检测模块、异常检测模块、蜜罐模块和远程日志模块。

3 主要模块设计

3.1 管理模块

总体来讲此模块的主要功能是进行系统内的管理和配置，同时对日志服务器记录下的数据信息进行数据分析。

①对防火墙iptables的图形化管理，即在linux下利用gtk开发了一个图形化的iptables管理工具。由于linux下对iptables 的管理都是通过命令进行的，造成对iptables的规则的增加、删

除和查看不方便和灵活，所以本文设计开发了iptables的图形管理工具，使得对iptables规则的增加、删除和查看更加直观，减少了误操作的发生。

②可以进行snort日志的web界面化管理。通过acid技术和数据库可以进行界面化管理甚至可以设置数据进行筛选。

3.2 防御和入侵检测模块

防御和入侵检测模块，主要有以下功能：

①通过防火墙对外来数据流量的控制能力，来实现蜜罐系统与外界网络环境的交互控制，并记录下发生日志，这样的大大降低了蜜罐系统受侵害的可能性。

②利用ids可以时刻收集网络数据，这样就能够对当时的网络流量进行即时监控和数据研究，并将此记录到系统内部进行保存，以待他日使用。

3.3 异常检测模块

蜜罐系统对外来进入局域网的数据流量的极其敏感性形成了蜜罐系统的异常检测模块。它丝毫不停歇的即时记录和收集进入局域网的数据流量，并对此进行详细的数据分析。在此模块中，使用异常检测中的闭值方法，通过比对外来网络流量的主要信息和正常流入网络流量的主要信息进行智能比对，一旦外来网络流量的数据信息超过系统预先设定的数据就会自动报警，同时在第一时间开启设定的计算机保护程序，以此完成网络保护工作。此外，网络管理员也可以进行手动操作来保护网络，即在收到系统发出的预警信息后

将系统检测到的异常ip地址拉入防火墙的黑名单，使之不能够在进入局域网之中，这样也可以降低系统呗入侵的风险。

3.4 蜜罐模块

通俗来讲，此模块就是引诱入侵流量的诱饵，建立一个良好的蜜罐环境引诱恶意入侵者。这样一切都通过honeyd软件进行操作。honeyd软件具有以下性能优势：

①honeyd软件的目标性更强。只检测一个网络内不存在ip的连接并根据它的配置来响应服务。

②honeyd软件可以虚拟出大量的蜜罐，这些蜜罐之间可以是操作系统之间的松散藕合，也可以是紧密相关的网络拓扑结构，并用对操作系统的模拟不仅仅是在应用程序级，而且可以在ip栈级上。

③honeyd具有指纹匹配功能，能欺骗入侵者的指纹识别工具。鉴于设计蜜罐系统的目的既要捕获入侵者的行为，又要保护网络内其它正常运行的计算机，所以需要大量的入侵信息去分析统计。

3.5 远程日志模块

远程日志模块，主要是把蜜罐、ids、防火墙、异常检测等模块产生的日志信息传输到日志服务器上。对于ids、防火墙产生的日志信息，可以利用mysql和syslog进行远程日志，但是honeyd产生的日志存储在本地计算机上，自身不能进行日志的异地存储，所以要设计远程日志模块实现honeyd的日志远程转储，并且要保证日志信息在网络传输中的安全性。

4 结语