The Design of the System About High Interaction Honeypot in Network Security
TIAN Wang-lan1, ZHAO Zhuan-zheng2
(1.Department of Physics and Telecom Engineering, Hunan City University, Yiyang 413000, China; 2.Department of Mathematics and Computer Science, Hunan City University, Yiyang 413000, China)
Abstract: Facing to the threat of network security nowadays, this thesis represents a new method of mutil-level data capture and data control. Combining with the current technology and tools, an improved honeypot system is designed. It can effectively fulfill the function of data capture and data control and has some practical significance.
Key words: network security; honeypot technology; data capture and data control
蜜罐技术的主要思想是采用一个故意设计为有缺陷的系统,专门用于引诱攻击者进入受控环境中,然后使用各种监控技术来捕获攻击者的行为,同时产生关于当前攻击行为、工具、技术的记录,甚至可以通过对应用程序中存在漏洞的数据分析,通过学习攻击者的工具和思路,对系统和网络中存在的漏洞进行修补,进一步提高系统和网络的安全性能,从而降低攻击者取得成功的可能性,有效地减少攻击对重要系统和网络信息的威胁。蜜罐提供了高效收集数据能力和极低的误报漏报率,虽然收集的资料少,但收集的资料有较高价值。
成功实现蜜罐的第一步是确定要用它来做什么?我们希望用蜜罐实现什么?希望蜜罐能怎样来实现保护功能?蜜罐不能取代防火墙、入侵检测系统,但它是整个安全构架中的一部分。所以,我们必须针对自己的要求来定位蜜罐。蜜罐可以通过欺骗或者是威慑来阻止攻击,可以检测攻击,可以响应攻击,收集攻击者活动的数据和证据,可以用于研究攻击者的工具、战术和动机。作者主要完成一个高交互度蜜罐系统的设计。
1 多层次数据捕获和数据控制思想的提出
该蜜罐系统由网关、虚拟蜜罐和控制台三部分构成,如图1所示。其中最为重要的是以桥接模式部署的网关(HoneyWall),网关包括三个网络接口,其中eth0 连接外网,eth1 连接蜜罐主机, 两个接口以桥接方式连接,不会对网络数据包进行TTL递减和网络路由,也不会提供本身的MAC 地址,因此对攻击者而言,网关是完全不可见的,同时网关是蜜罐系统与其他网络连接的唯一连接点,所有流入流出蜜罐系统的网络流量都将通过网关,并受其控制和审计。网关的另一网络接口eth2 连接监控机,使得安全研究人员能够远程对网关进行控制,该接口一般使用内部IP,并严密防护。
系统在网关上使用了多层次的数据控制机制,包括使用IP Tables 防火墙提供外出流量限制和使用网络入侵检测系统对已知攻击进行无效化。外出流量限制机制通过IPTables 限制每台蜜罐主机在单位时间内允许向外发起的连接数以及流量速率,一旦攻击者试图利用攻陷的蜜罐主机向外发起扫描、拒绝服务攻击等,网关上的 IPTables 将丢弃超过限制的外出数据包,并生成警告通知安全研究人员,从而不会对第三方网络构成危害。网络入侵检测系统则通过以著名开源网络入侵检测系统Snort实现,通过查看外出的每个数据包,若发现其中包含有已知攻击特征,将生成警报并根据配置选择丢弃数据包或修改数据包使得攻击无效。 同样,为了满足蜜罐系统的数据捕获需求,该蜜罐系统在网关以及各个蜜罐主机上使用了多层次的数据捕获机制,以保证为进一步分析攻击行为提供全面而丰富的攻击数据。主要包含以下几个层次:
① IPTables记录所有的流入蜜罐系统的网络连接,并记录攻击者攻陷蜜罐系统后向外发起的网络连接以及超过连接数和流量速度限制的报警。
② 在网关上部署的网络入侵检测系统Snort 在eth1 接口上监听全部流入流出蜜罐系统的网络流量并抓取到本地的pcap文件中,并且对其中符合Snort 攻击特征的数据包产生报警日志,这些数据为安全分析人员追查并还原一个攻击行为提供了全面的网络流量信息。
③ 攻击者通常会在攻击过程中使用SSH 等加密信道发出攻击指令,而网关提供的数据捕获机制即使将全部的数据包都截获并监听下来,也不能够了解其中所包含的攻击行为。但这些加密流量最终会在蜜罐主机上接收并进行解密,所以可以在蜜罐主机上安装一个系统行为监视器来对攻击者通过加密信道进行的攻击行为进行捕获。在此蜜罐系统架构中,使用了Sebek 来捕获攻击者在蜜罐主机上的进一步攻击行为,Sebek 客户端以内核模块的方式安装在蜜罐主机上,在不被攻击者发现的前提下对其键击记录和系统行为进行捕获,并通过一个隐蔽的通讯信道传递到Sebek 的服务器端,Sebek 服务器端安装在网关上,对多个蜜罐主机发来的Sebek 数据进行存储。
2 系统结构
蜜罐系统由网关、虚拟蜜罐主机和监控机三部分构成,网关上运行防火墙 IPTables、网络入侵检测系统 Snort 和 Sebek 服务器。利用虚拟机软件 Vmware 虚拟出两个蜜罐主机,分别运行 Linux 和 Windows XP 操作系统。并在每个虚拟蜜罐主机上运行 Sebek 客户端。系统结构图如图 2。
为了更好地实现蜜罐系统各个组成部分,后继工作主要针对蜜罐系统中所用到的工具和技术进行详细的分析研究,主要集中在虚拟机、防火墙 IPtables、入侵检测系统 Snort 和数据捕获工具 Sebek 的相关理论研究和实现上。
3 结论
本文对蜜罐的关键技术进行了深入研究并进行了详细论述,并在此基础上结合现有工具和技术设计实现了一个改进的高交互度的蜜罐系统。该蜜罐系统成功实现了多层次的数据捕获和数据控制功能。
该系统的特点:
大量采用Linux下开源代码的免费软件,如IPtables、 Honeyd、 Snort、 Sebek等。这些软件在网络中都可以方便地获得,及时地更新。
Linux网桥对连接在其上的设备是透明的,对攻击者来说几乎是不可见的,不容易被黑客发现。
应用虚拟蜜罐技术,实现了快速的安装和恢复,方便了系统的部署,节约了系统在遭到破坏之后的恢复时间。
实现了多个层次上的数据捕获功能。结合防火墙、入侵检测系统以及Sebek的捕获数据监测到黑客所进行的网络活动、系统活动、应用活动和用户活动。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)