蜜罐与蜜网技术的研究与分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

\.网络通讯及安全......本栏目责任编辑:冯誓

蜜罐与蜜网技术的研究与分析

邹文.唐心玉

(湖南商学院,湖南长沙410205)

摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。

关键词:蜜罐;蜜网;防火墙;入侵检测系统

文章编号:1009-3044(2008)们r-1121枷3

中图分类号:TP393文献标识码:A

TheResearchandAnalysisofHoneypotandHoneynet

ZOUWen,TANGXin-yu

O-IunanUniversityofCommerce,Cl[1angsha410205,chim)

Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet.

Keywords:honeypot;honeynet;inumiondetectionsystem;firewall

1引言

随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。

2蜜罐的定义和国内外研究现状

2.1譬罐的定义

蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。

蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。

2.2蜜罐的国内外研究现状

目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。

在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。

3蜜罐的分类~按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐:

产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。

研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研

收稿日期:2008一01—08

作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。

1214,劫电_知识与拄木

 万方数据

本栏目责任编辑:冯蕾······网络通讯及安全·

究组织面对各类网络威胁,并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队,安全研究组织。

按照蜜罐的交互性可将蜜罐分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐:

低交互的蜜罐通常只提供某些特定的模拟服务.这些服务能够通过监听一个特定的端口来实现。在低交互的蜜罐中没有真实的操作系统让黑客操作,这很大程度地减小了蜜罐的风险。但另一方面,这也是它的一个弊端,它不能观察黑客与操作系统的交互,而这也许才是真正有价值的。

中交互的蜜罐也不提供真实的操作系统.而是应用脚本或小程序来模拟服务行为。在不同的端口进行监听.通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉.能够收集更多数据。开发中交互蜜罐.要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。

高交互性蜜罐给黑客提供一个真实的操作系统,可以掌握学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客.所以也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。

蜜罐交互性的高低决定了它提供的功能的多少。交互性越高,通过蜜罐获得的有价值的信息越多。对黑客和其攻击的了解越深;相应地蜜罐的复杂性也越高。由蜜罐所带来的危险性也越高。

4蜜罐技术原理

蜜罐的主要技术有网络欺骗,数据控制和数据捕获等。

4.1网络欺骗

由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现。所以如果没有网络欺骗功能的蜜罐是没有价值的.网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种:模拟服务端口、模拟系统漏洞和应用服务、IP空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。

4.2数据捕获

数据捕获是蜜罐的核心功能模块。数据捕获的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作.为了达到这个目标。我们将数据捕捉分为了三层来实现。最外层数据捕捉由防火墙来完成.主要是对出入蜜罐系统的网络连接进行日志记录,这些日志记录存放在防火墙本地。第二层数据捕捉由入侵检测系统(IDS)来完成,IDS抓取蜜罐系统内所有的网络包,这些抓取的网络包存放在IDS本地。最里层的数据捕捉由蜜罐主机来完成,主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示.这些数据通过网络传输送到远程日志服务器存放。

4.3数据分析

数据分析包括网络协议分析、网络行为分析和攻击特征分析等。数据分析是蜜罐技术中的难点。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。

4.4数据控制

蜜罐系统作为网络攻击者的攻击目标,如果被攻破,那么我们将得不到任何有价值的信息。同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一.用于保障蜜罐系统自身的安全。

我们允许所有对蜜罐的访问,但是要对从蜜罐系统外出的网络连接进行控制。我们可以限制一定时间段内外出的连接数,甚至可以修改这些外出连接的网络包,使其不能到达它的目的地。同时又给入侵者网络包已正常发出的假象。蜜罐通常有两层数据控制,分别是连接控制和路由控制完成。连接控制由防火墙来完成,路由控制由路由器来完成,主要利用路由器的访问控制功能对外出的数据包进行控制。

5蜜网模型

5.1第一代蜜网模型

第一代蜜网模型由蜜网项目提出,蜜网模型见图1.防火墙把这个蜜网分隔成三个部分,即陷阱部分、外部网络和管理控制平台。陷阱部分是由一个或多个蜜罐机组成的引诱系统,处于同一网段中。外部网络包括Intemet和内部工作网络两部分。管理控制平台是用来控制和收集敷据的地方,有较高的安全性,由防火墙、入侵检测、路由器和日志服务器组成。可由一台或多台机器组成。

所有进出陷阱部分的数据包都将通过最前端的防火墙进出.它能对所有从蜜罐机器往外的每一个连接进行追踪和控制。外发连接达到预先设定的上限值时,防火墙便会阻塞那些数据包,避免蜜罐成为攻击其它系统的跳板,起到数据控制作用。防火墙与蜜罐之间还放置了一个路由器,使防火墙变得透明,使得蜜网更像一个真实网络。并且路由器也可以对访问控制进行一些限制,是对防火墙的一个很好补充。路由器仅仅允许源地址是蜜罐的IP包往外发。入侵检测器能检测到网络中的所有的机器,能捕获所有的入侵并存入二进制文件中便于检索和分析。当数据包中特征字串匹配入侵特征库时及时发出报警,将数据发送到日志报警服务器上。日志报警服务器主要用于存储蜜罐主机发来的日志、防火墙日志和入侵检测收集到的数据,便于管理员进行分析并做出及时报警。

1215 万方数据

相关文档
最新文档