ＨｏｎｅｙＰｏｔ在計算機取證中的應用探討

摘要：隨著計算機網絡的發展，計算機犯罪現象呈現越來越嚴重化的趨勢，為了獲取犯罪證據，計算機取證問題近年也成為計算機領域的熱門話題。針對目前對網絡攻擊取證多采用案發后再采集證據的不足，重點討論了主動取證的工作模式，即在網絡攻擊的過程中完成預警和取證工作，HoneyPot就是解決此問題的一種技術。

關鍵詞：計算機犯罪；計算機取證；網絡安全；蜜罐

中圖分類號：TP3 文獻標識碼：A文章編號：1009-3044(2008)30-0736-02

Application of HoneyPot in the Computer Forensics

LU Jian-wei，WANG De-guang

(Department of Computer Science and Technology， Da Lian Jiao Tong University， Dalian16028， China)

Abstract: With the development of computer networks， computer crime phenomenon of more and more serious trend， in order to obtain evidence of a crime， computer forensics problem in recent yearshas also become a hot topic in the computer field. In light of the attacks at the use of evidence collected after the lack of evidence， the paper focused on the evidence of the active mode， that is， network attacks in the course of the work completed early warning and Evidence， HoneyPot is to solve the problem of a technology.

Key words: computer crime; computer forensics; network security; honeypot

1 計算機取證的相關問題

1.1 什么是計算機取證

對于計算機取證概念的認識， 主要有以下幾種觀點:

1) Lee Garber 在IEEE Security 發表的文章中認為:“計算機取證是分析硬盤驅動、光盤、軟盤、Zip 和Jazz 磁盤、內存緩沖以及其它形式的儲存介質以發現犯罪證據的過程。”

2)計算機取證資深專家Judd Robbins 對計算機取證給出的定義如下:“計算機取證是將計算機調查和分析技術應用于對潛在的、有法律效力的證據的確定與獲取。”

3)計算機緊急事件響應小組和取證咨詢公司New Technologies 的定義如下:“計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。”

4) SANS公司對計算機取證技術歸結為:“計算機取證是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。”

綜上，我們認為:計算機取證就是利用計算機技術，依法對計算機證據進行發現、固定、提取、分析，從而提供具有說服力并能被司法機關用作呈堂證供的電子證據的過程。

1.2 計算機取證面臨的問題

由于計算機證據和傳統證據之間有很大的差別，造成了計算機取證的特殊性和復雜性。首先隨著計算機黑客技術的發展， 犯罪嫌疑人會利用各種技術手段清除證據或掩蓋痕跡， 而且犯罪的證據是很容易被更改; 其次， 根據具體產生日志的計算機的不同， 通常日志數據被覆蓋重寫的時間間隔短則幾分鐘， 長則數月， 在獲取證據階段， 取證人員必須盡快采取行動， 否則這些日志可能永遠消失了。因此在計算機系統已遭入侵的情況下， 對計算機犯罪的電子證據進行事后靜態取證， 很難保證獲得的證據是真實的和有效的， HoneyPot就是一種行之有效的解決方法。

2 HoneyPot的概念

2.1 HoneyPot的定義

HoneyPot，又稱為蜜罐技術，是一種可被黑客探測、攻擊甚至可被攻破而泄密的安全資源，即:不管一個HoneyPot是如何設計的，其目的就是被探測、攻擊甚至被利用。HoneyPot上的資源可以是仿效的操作系統或應用程序，也可以是真實的系統或程序，總之是建立一個誘騙環境，吸引攻擊者或入侵者，觀察其在里面所作的一切行為并把這些行為記錄下來形成日志對此進行研究和分析攻擊者所使用的工具、策略及其目的。

2.2 HoneyPot的優點

1) 阻止攻擊—極少的入侵者會侵襲一個設計用來監控和捕獲他們詳細行為的網絡。

2) 使攻擊者保持興趣—如果沒對所攻擊的產品服務造成損失，攻擊會對這樣的系統更感興趣。

3) 教育—正確設計和配置的HoneyPot會提供攻擊系統所使用的方法等信息。

4) 檢測內部攻擊—由于大多數IDS系統很難檢測來自內部的攻擊，而HoneyPot在這方面卻很有價值。

5) 迷惑攻擊者—HoneyPot提供給攻擊者仿造的數據使其同真實的數據一樣，從而使本身不被攻擊者懷疑。

2.3 HoneyPot的主要技術

1) 欺騙技術

為了使HoneyPot對入侵者更具有吸引力，就要采用各種欺騙手段。比如，在欺騙主機上模擬一些操作系統或各種漏洞、在一臺計算機上模擬整個網絡、在系統中產生仿真網絡流量、裝上虛假的文件路徑及看起來象真正有價值的相關信息等等。通過這些辦法，使HoneyPot主機更象一個真實的工作系統，誘使入侵者上當。

2) 端口重定向技術

利用端口重定向技術，可在工作系統中模擬一個非工作服務。例如，工作系統運行Web服務(端口80)，可以將Teinet服務(端口23)重定向到一個HoneyPot，因為這兩個服務在工作系統中沒有打開，所有對這兩個端口的訪問(可認為是入侵行為)實際上都在HoneyPot系統中，而不是工作系統。

3) 報警技術

HoneyPot必須具備報警功能，當系統被攻擊時能夠通知管理員，以便進行實時監視和跟蹤。

4) 數據控制

HoneyPot是專門用于被攻占的系統，但不能允許入侵者將它作為跳板去攻擊其他系統，因此要控制系統的數據流量而不被入侵者懷疑。入侵者攻占一個系統后，最需要的是網絡連接，以便從網上下載工具包、建立IRC連接等，這正是要分析的內容，因此必須給他做這些事情的權利。若不允許任何往Intemet發的包，入侵者會懷疑系統是HoneyPot，使他不敢再作逗留，擦掉所有蹤跡溜之大吉。

5) 數據捕獲

要在不被入侵者發現的情況下，捕獲盡可能多的信息，包括輸入;輸出信息、鍵擊和屏幕捕獲，以便從中分析他們所使用的工具、策略和動機。這可能要系統進行一些修改，但要盡可能少，以免被入侵者發覺。捕獲的數據不能放在oneyPot主機上，否則容易被入侵者發現，讓他知道該系統是一個HoneyPot時他會銷毀證據。因此要把數據記錄在遠程安全的主機上。

3 HoneyPot的部署

HoneyPot可以放置在網絡的任何位置，可在防火墻內、防火墻外或者是DMz區。

1) 如果是單個的系統，通常與要保護的工作系統放在一起，以吸引攻擊者。例如，要保護公司網絡內部主機的安全，可將HoneyPot部署在網絡內部(防火墻內);若要保護Web、FTP等服務器，則將它部署在防火墻外的DMZ區。圖1表示了HoneyPot的位置。

2) 如果HoneyPot要保護的是一個網絡系統，通常不放在實際工作網絡內部。圖2顯示了HoneyNet的位置。

3) 虛擬HoneyPot

如果為了解決為每一個需要保護的機器都安裝HoneyPot投入成本太多的問題，可以用虛擬HoneyPot技術來模擬多個系統，以吸引更多的攻擊者或入侵者。可以用相關軟件搭建一個虛擬HoneyPot系統，如Honeyd。Honeyd是一款源代碼開放，可免費使用的軟件，它是用C語言編寫的可創建虛擬蜜罐的框架。它可以同時模擬上百甚至上千臺不同的虛擬計算機，每個虛擬計算機和一個未使用的IP綁定在一起。這些虛擬機可以模擬不同的操作系統以及與該操作系統相關聯的服務。

4 結束語

文章討論了基于Honeypot理論的網絡入侵誘騙技術，它不同于一般的被動防范，而是一種主動防御的安全技術。隨著越來越多的用戶開始在網絡中使用Honeypot，更多的產品將會被開發。蜜罐技術的最終目標是能夠對高智商和反應敏捷的黑客進行欺騙，而現有的蜜罐技術還遠未成熟，在欺騙的復雜性、部署維護的難度及范圍上都還存在著較大的缺陷，所以要形成成熟的蜜罐技術是非常具有挑戰性的。目前常用的方法是和防火墻、ids技術相結合，來綜合發揮各自的優勢完成計算機犯罪的系統取證。

參考文獻：

[1] 徐超漢，柯宗貴.計算機網絡安全實用技術[M].北京:電子工業出版社，2005.

[2] 劉彥保.入侵誘騙技術分析及模型建立[J].河南科學，2006.

[3] 張斌，李輝.計算機取證——有效打擊計算機犯罪[J].網絡安全技術與應用.

[4] 熊華，等，編著.網絡安全——取證與蜜罐[M]. 北京：人民郵電出版社.

[5] 諸葛建偉，張芳芳，吳智發.撒下蜜網研究黑客[J].電腦安全專家.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文