基于學(xué)習(xí)型蜜網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)

摘要：本文通過對(duì)傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)存在的問題進(jìn)行分析，引入了蜜網(wǎng)技術(shù)，并且在傳統(tǒng)的蜜網(wǎng)技術(shù)的基礎(chǔ)上進(jìn)行改進(jìn)，使蜜網(wǎng)具有自動(dòng)學(xué)習(xí)的功能，并且添加了報(bào)警模塊，數(shù)據(jù)挖掘模塊以及管理員的人為分析因素。

關(guān)鍵詞：入侵檢測(cè)技術(shù)；防火墻技術(shù)；蜜網(wǎng)技術(shù)；數(shù)據(jù)挖掘

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)12-20ppp-0c

Design and Implementation on the Study Honeynet

ZHANG Qing-jun， LIU Xiao-qing， CUI Feng-yun

(School of Information Science Technology， SWJTU， Chengdu 610031， China)

Abstract: This article introduce the honey net technology， through carries on the analysis to the tradition network security technology existence's question，， and makes the improvement in the traditional honey net technology's foundation， enables the honey net technology to have the automatic study function， and increased the warning module， data mining module as well as increased manager's artificial analytical factor.

Key words: Intrusion Detection Technology， Firewall Technology， Honeynet Technology， Data mining

1 傳統(tǒng)安全模型存在的問題

防火墻技術(shù)和入侵檢測(cè)技術(shù)，都屬于傳統(tǒng)的安全模型，他們存在很多的缺陷和不足。如他們不能防止不繞過防火墻的攻擊，經(jīng)不起人為因素的攻擊。另外防火墻對(duì)網(wǎng)絡(luò)安全進(jìn)行單點(diǎn)控制，不能保證數(shù)據(jù)的秘密性，不能對(duì)數(shù)據(jù)進(jìn)行鑒別，也不能保證網(wǎng)絡(luò)不受病毒的攻擊。任何防火墻不可能對(duì)通過的數(shù)據(jù)流中每一個(gè)文件進(jìn)行掃描檢查病毒。

當(dāng)然入侵檢測(cè)技術(shù)也存在著很多得問題，如會(huì)產(chǎn)生大量警報(bào)，而這些警報(bào)中大部分都是誤警，在真正的警報(bào)中，又有很多是試探行為，并沒有實(shí)現(xiàn)真正的攻擊，這使得發(fā)現(xiàn)問題的真正所在非常困難。它缺乏足夠的與其他安全工具和網(wǎng)管系統(tǒng)的集成能力。不能協(xié)調(diào)、適應(yīng)多樣性的網(wǎng)絡(luò)環(huán)境中的不同安全策略。通常無法檢測(cè)新的攻擊方式和已有攻擊方式的新變種，因而需要不斷升級(jí)、不斷增大的網(wǎng)絡(luò)流量對(duì)入侵檢測(cè)技術(shù)的數(shù)據(jù)提取能力和實(shí)時(shí)報(bào)警失靈，入侵者其后的行為將無法被記錄。

從防火墻技術(shù)，入侵檢測(cè)技術(shù)出現(xiàn)上述問題而言，說明他們不是萬能的，而且他們的問題還在于他們所采取的安全策略是先考慮系統(tǒng)可能出現(xiàn)哪些問題，然后對(duì)問題進(jìn)行分析解決。這些問題大多很難在現(xiàn)有的理論體系框架下解決，于是必須引入一種新的、不同于現(xiàn)有的理論的技術(shù)以彌補(bǔ)他們的不足，進(jìn)而解決他們的問題，這就是蜜網(wǎng)技術(shù)。

2 蜜網(wǎng)技術(shù)

“蜜網(wǎng)項(xiàng)目組”的創(chuàng)始人Lance Spitze給出了蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和功陷。這個(gè)定義表明蜜罐并無其他實(shí)際作用，因此流入/流出蜜罐的網(wǎng)絡(luò)流量都預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。它并不是傳統(tǒng)安全防御技術(shù)、工具的替代，而是它們的輔助和補(bǔ)充。相對(duì)于被動(dòng)防御，蜜罐最大的優(yōu)勢(shì)在于它能主動(dòng)地檢測(cè)和響應(yīng)網(wǎng)絡(luò)入侵和攻擊，并且采集的信息價(jià)值很高。

蜜網(wǎng)(honeynet) 是一種高交互性蜜罐，不是單一的系統(tǒng)，而是一個(gè)網(wǎng)絡(luò)。一個(gè)典型的蜜網(wǎng)通常由防火墻、入侵檢測(cè)系統(tǒng)(IDS)和多個(gè)蜜罐主機(jī)組成。防火墻和IDS對(duì)所有進(jìn)出蜜網(wǎng)的數(shù)據(jù)進(jìn)行捕獲和控制，然后對(duì)所捕獲的信息加以分析，以便獲取關(guān)于入侵者的一些情報(bào)。在蜜網(wǎng)內(nèi)部，可以放置任何類型的系統(tǒng)來充當(dāng)蜜罐，如Solaris、Linux、Windows NT、Cisco 交換機(jī)等。這樣，就為入侵者創(chuàng)造了一個(gè)感覺更真實(shí)的網(wǎng)絡(luò)環(huán)境。同時(shí)通過對(duì)各個(gè)系統(tǒng)配置不同的服務(wù)，例如Linux DNS、Windows NT Web 服務(wù)器或者Solaris FTP 服務(wù)器，就可以了解入侵者使用的各種工具和戰(zhàn)術(shù)。

與防火墻技術(shù)和入侵檢測(cè)技術(shù)不同的是，蜜網(wǎng)是引進(jìn)了主動(dòng)控制、人工智能等思想，如機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、模糊理論、遺傳算法等。他們所做的就是改變傳統(tǒng)的思路，使其更具主動(dòng)性、交互性、學(xué)習(xí)性——他們的主要功能是用來學(xué)習(xí)了解入侵者的思路、工具、目的。通過獲取這些技能，互聯(lián)網(wǎng)上的組織將會(huì)更好地理解他們所遇到的威脅，并且理解如何防止這些威脅。通過蜜網(wǎng)，組織可以在與入侵者的“游擊戰(zhàn)爭(zhēng)”中獲得最大的主動(dòng)權(quán)。

2.1 系統(tǒng)設(shè)計(jì)方案

為了解決傳統(tǒng)防火墻和入侵檢測(cè)技術(shù)的安全問題，對(duì)于未知的攻擊進(jìn)行有效檢測(cè)和捕獲，通過引入Honeypot技術(shù)，結(jié)合NIDS、防火墻技術(shù)，我們?cè)O(shè)計(jì)了一個(gè)結(jié)合了Honeypot技術(shù)、NIDS、防火墻的聯(lián)動(dòng)系統(tǒng)，聯(lián)動(dòng)系統(tǒng)結(jié)構(gòu)如圖1所示。

對(duì)于Honeypot軟件本文選用linux平臺(tái)下的Honeyd 1.5b，數(shù)據(jù)控制技術(shù)的實(shí)現(xiàn)本文使用多層次的數(shù)據(jù)控制機(jī)制，入侵者進(jìn)入系統(tǒng)以后首先面對(duì)的路由器，它可以防止ICMP的攻擊或者一些欺騙性的攻擊，僅僅允許源地址是網(wǎng)內(nèi)部分的主機(jī)向外發(fā)包。第二層控制機(jī)制是Honeywall，當(dāng)IDS（由開放源代碼的Snort 2.4.4工具實(shí)現(xiàn)）檢測(cè)到異常數(shù)據(jù)時(shí)，由Honeywall完成路由重定向功能，將攻擊數(shù)據(jù)轉(zhuǎn)移到Honeypot，從而完成對(duì)業(yè)務(wù)網(wǎng)絡(luò)的保護(hù)以及對(duì)攻擊行為數(shù)據(jù)的捕捉和分析。對(duì)于數(shù)據(jù)捕獲我們可以有效利用防火墻日志信息以及IDS捕獲到的有效數(shù)據(jù)。另外還有Honeypot的日志信息供我們分析。對(duì)于數(shù)據(jù)分析我們將捕獲來的數(shù)據(jù)使用Apriori算法進(jìn)行數(shù)據(jù)挖掘。處理過的數(shù)據(jù)利用發(fā)郵件的方式向管理員發(fā)出警報(bào)，并且把形成的入侵規(guī)則發(fā)給管理員由管理員決定是否調(diào)整防火墻及入侵檢測(cè)系統(tǒng)策略，將新生成的規(guī)則加入到防火墻及入侵檢測(cè)系統(tǒng)。

2.2 部分模塊的實(shí)現(xiàn)（添加報(bào)警功能）

Honeyd 將日志記錄作為郵件內(nèi)容，每12小時(shí)向安全管理人員的郵箱發(fā)送一次最新的報(bào)警信息。間隔時(shí)間可根據(jù)系統(tǒng)的重要程度、實(shí)際狀況等而調(diào)整。發(fā)送前我們先對(duì)Honeyd記錄的日志進(jìn)行一次處理，將同一個(gè)源IP地址的攻擊信息放入一個(gè)文本文件，再依次發(fā)送不同源IP的文件內(nèi)容。已處理完的日志，我們將它的記錄復(fù)制到另一個(gè)備份文件，并將原日志文件清空，避免對(duì)同一記錄處理兩次。

報(bào)警流程為：

（1）設(shè)置定時(shí)器，達(dá)到報(bào)警間隔時(shí)間，便觸發(fā)日志處理；

（2）提取源IP地址，根據(jù)IP地址記錄攻擊信息；

（3）發(fā)送文件到電子郵箱。

2.3 實(shí)驗(yàn)分析

本系統(tǒng)數(shù)據(jù)處理流程如圖2所示，綜合了Honeypot、防火墻、NIDS三者的優(yōu)點(diǎn)，對(duì)已知類型的攻擊，通過正確設(shè)置NIDS和防火墻規(guī)則，檢測(cè)率為100%；對(duì)未知類型的攻擊，根據(jù)其掃描策略的不同，檢測(cè)率平均在60%以上（此數(shù)據(jù)與試驗(yàn)所使用到的本網(wǎng)段中未被使用到的IP地址數(shù)量有關(guān)）。

3 結(jié)束語

本文所部署的系統(tǒng)具有防火墻、NIDS、Honeypot三者單獨(dú)使用所達(dá)不到的效果，不但能檢測(cè)出未知攻擊，而且能成功捕獲攻擊副本、同時(shí)轉(zhuǎn)移攻擊流量以達(dá)到減輕攻擊對(duì)目標(biāo)網(wǎng)絡(luò)攻擊的目的，其缺點(diǎn)是當(dāng)服務(wù)器面對(duì)新型攻擊時(shí)也存在一個(gè)危險(xiǎn)期，即在從攻擊數(shù)據(jù)挖掘出日志信息、得到新規(guī)則給NIDS和防火墻之間的這段時(shí)間，攻擊有可能繞過防火墻進(jìn)入敏感網(wǎng)絡(luò)并造成破壞。因此，對(duì)于本系統(tǒng)，實(shí)時(shí)性是一個(gè)巨大挑戰(zhàn)。

參考文獻(xiàn)：

[1] 王鐵方，李濤.蜜網(wǎng)與防火墻及入侵檢測(cè)的無縫結(jié)合的研究與實(shí)現(xiàn)[J].四川師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2005，28(1).

[2] 賈坤，湯澤瀅.基于Honeypot的網(wǎng)絡(luò)蠕蟲聯(lián)動(dòng)對(duì)抗技術(shù)[J].信息安全與通信保密，2006(9).

[3] 劉寶旭，曹愛娟，許榕生.網(wǎng)絡(luò)陷阱與誘捕防御技術(shù)綜述[J].計(jì)算機(jī)工程，2004(9):1-3.

[4] Lance Spitzner， \" Honeypots， tracking the hackers \"， 2002， http://www.tracking-hackers.com.

[5] Honeynet Project. Know Your Enemy: GenII Honeynets[EB/OL]. http://project.honeynet.org.

[6] Honeynet Project. You’re your Enemy: Honeynets [EB/OL]. http://project.honeynet.org. Design of honeynet system.