入侵誘騙系統應用技術研究

王東來

WANG Dong-lai

（吉林農業科技學院，吉林 132101）

入侵誘騙系統應用技術研究

Application technology research in intrusion deception system

王東來

WANG Dong-lai

（吉林農業科技學院，吉林 132101）

隨著計算機和網絡技術的迅速發展，針對網絡和計算機系統的攻擊也屢見不鮮，網絡安全問題變得日益嚴峻。本文提出的入侵誘騙系統，在保證網絡安全的情況下，增加對新的攻擊方法的了解，變被動防御為主動進攻，使其具有主動交互性，勾畫出了一種新的網絡安全防御策略。

入侵檢測；蜜罐；數據控制；數據捕獲

0 引言

隨著Internet在全球范圍內的廣泛應用，各種網絡應用越來越豐富、網絡入侵和破壞手段也越來越先進，網絡安全技術也日趨復雜。國內外許多廠商開發出防火墻等安全產品，然而在網絡結構、服務器、操作系統、防火墻、TCP/IP協議等方面的安全漏洞也越來越多。

如何建立一個既能有效保護網絡安全，又能夠全面分析入侵者動態改變的入侵手段的安全防護系統，成為當前網絡安全領域中迫切需要解決的問題。

本文針對目前的網絡安全狀況，設計了入侵誘騙系統，實現了Windows操作系統下的數據捕獲。

1 入侵誘騙系統的設計

近年來，隨著網絡的普及，網絡攻擊也隨之層出不窮，因此如何更加全面的了解攻擊者的信息，化被動為主動，成為網絡安全研究的熱點。針對防火墻技術，入侵檢測技術，蜜罐技術的缺陷，綜合了三種技術的優點，提出了入侵誘騙系統的模型。

1.1 入侵誘騙系統的總體設計

入侵誘騙研究的目的在于如何設計一個嚴格控制的誘騙網絡（真實的網絡、主機或用軟件模擬的網絡和主機），在檢測出入侵者對實際系統有攻擊行為后，將攻擊重定向到該誘騙環境中。然后收集入侵信息，借此觀察入侵者的行為，記錄其活動，以便分析入侵者的目的、所用工具、入侵手段等，并為入侵響應以及隨后可能進行的對入侵者的法律制裁提供證據。

通過以上的分析以及現有技術的研究，提出了一種新的網絡安全解決方案---入侵誘騙系統。模型如圖1所示。

圖1 入侵誘騙系統的模型圖

所有進入蜜罐的連接全部是由入侵檢測系統重定向而來。當入侵檢測系統發現入侵者，立即阻斷并報警；若入侵檢測系統未發現檢測出入侵行為，則網絡包可以正常進入真實環境中；若入侵檢測系統無法判斷是否有入侵行為，則被視為可疑行為，由入侵檢測系統重定向到蜜罐中。這不僅減輕了入侵檢測系統的負擔，還可以安心的讓可疑入侵者與蜜罐充分交互，做到收集入侵信息，觀察入侵行為，捕獲其活動，以便全面的分析入侵者的目的、工具，特征。

1.2 入侵誘騙系統的模塊設計

防火墻模塊：在本系統中防火墻不僅擔當著數據控制，保障蜜罐的安全的任務，還要把所捕獲到的數據包送往遠程日志服務器。

入侵檢測模塊：入侵檢測系統放在防火墻之后，用于監視系統的異常，當發現可疑行為時，將這些行為重定向到蜜罐系統，同時還肩負著捕獲網絡數據的任務。

誘騙網絡（蜜罐）模塊：將蜜罐系統放置在防火墻和入侵檢測系統之后的好處在于可以集中精力在蜜罐中對可疑行為進行數據捕獲。

標準化模塊：負責對所有數據捕獲模塊得到的原始行為數據進行解析與封裝，提取數據分析需要的標準格式數據。

數據分析模塊：根據捕獲到的數據及時抽象出入侵行為的特征和變種，從而更新入侵檢測系統的知識庫。

遠程日志服務器模塊：通過定時把防火墻，IDS捕獲到的網絡數據，以及蜜罐系統捕獲到的主機數據全部送到SQL2000服務器中。保障了安全，也方便各個模塊之間存儲調用數據。

知識庫：主要是用來存放標準化的規則，這些規則都是模式規則，它們是用來判斷是否有入侵活動的數據模型。

2 數據捕獲的實現

數據捕獲是指蜜罐在不被入侵者發現的情況下捕獲盡可能多的信息，包括輸入、輸出網絡數據包，系統信息，以便從中分析他們所使用的攻擊工具、策略和動機等。數據捕獲是入侵誘騙系統的核心功能模塊。

2.1 數據捕獲的實現

圖2 數據捕獲系統處理流程圖

多層次的數據捕獲能夠獲取攻擊者行為各個角度的信息，捕獲信息的層次越多，能夠了解到的攻擊者信息就越多。因此，我們將入侵行為捕獲分為三層來實現，每一層記錄的數據不盡相同。第一層的數據捕獲由防火墻來完成，主要是對出入系統的數據包的通過情況進行記錄；第二層數據捕獲由入侵檢測系統(IDS)來完成，IDS抓取網絡上傳輸的網絡包；第三層的數據捕獲由蜜罐系統完成，蜜罐系統模擬真實系統環境與未知攻擊進行交互，實現蜜罐系統的主機信息捕獲。所有捕獲到的數據通過網絡傳輸送到遠程日志服務器存放，防止被入侵者刪除、更改。數據捕獲系統處理流程如圖2所示。

2.1.1 防火墻數據捕獲

通常使用防火墻對所有出入蜜罐的網絡包進行完整地日志記錄。由于所有進出系統的數據必須通過防火墻，所以防火墻捕獲到的數據是最全面的，對入侵行為的分析起到了很重要的輔助作用。但是防火墻并不記錄具體的數據包內容，而只是記錄各個數據包的通過情況。防火墻日志的價值在于它可以快速標識那些未知攻擊。記錄內容主要包括：數據包通過時間，包協議類型，進出的網絡接口，源地址，目的地址，源端口，目的端口，包長度等。

2.1.2 IDS數據捕獲

第二層數據捕獲由入侵檢測系統(IDS)來完成，負責捕獲網絡信息。網絡信息主要是攻擊者所使用的各種協議數據包內容。網絡信息捕獲是不可見的，相應的其安全性更高，以及被檢測到的概率要更小。

本系統中主要使用WincPap來捕獲在網絡上傳輸的數據包，監聽流入系統的網絡流。并把捕獲到的數據包通過網絡傳輸送到遠程日志服務器存放，防止被入侵者刪除、更改。

網絡數據捕獲包括主動數據捕獲和被動數據捕獲。由于本系統是為了收集入侵者的信息，所以采用被動數據捕獲。捕獲的過程為：監聽獲得原始數據，通過對捕獲的原始數據進行解析，然后存入SQL數據庫。

2.1.3 蜜罐系統中的數據捕獲

系統捕獲主要在誘騙網絡即蜜罐中實現。通過重定向機制把未知攻擊轉移到蜜罐中后，蜜罐模擬真實系統環境與未知攻擊進行交互，實現對攻擊行為的的數據捕獲。

2.2 數據控制的實現

數據控制是針對越權使用資源的防御措施，防止對資源進行未授權的訪問，從而使計算機系統在合法范圍內使用。數據控制子系統是整個系統各功能模塊的核心，對入侵者在蜜網系統內部的行為進行控制，防止入侵者在該系統內肆意破壞，同時防止入侵者利用該系統作為跳板對其它系統進行攻擊。

在利用蜜罐系統與入侵者交互的過程中，存在著蜜罐系統被攻破的風險，當系統被攻破之后，入侵者就可能對其進行修改，使其喪失行為記錄和欺騙功能，同時，入侵者還可以將蜜罐主機作為攻擊其他系統的跳板。對蜜罐系統控制權的爭奪關系到蜜罐功能的實現和整個入侵誘騙系統的安全。但同時，對蜜罐系統的控制不能太嚴格，如果我們為了逃避風險而將各種策略設置得十分嚴格，則容易引起入侵者的懷疑，降低系統的欺騙逼真度。可以限制一定時間段內外出的連接數，甚至可以修改這些外出連接的網絡包，使其不能到達它的目的地，同時又給入侵者網絡包已正常發出的假象。

2.2.1 防火墻的數據控制

由于在本入侵誘騙系統中，蜜罐的作用是為了減輕入侵檢測系統的負擔，同時集中精力全面細致的分析可疑行為，對于網絡的入侵者它是不可見的，所有進入蜜罐的連接全部是由入侵檢測系統重定向而來。所以需要阻隔外界網絡直接訪問蜜罐，在這里通過配置防火墻把所有目的IP地址為蜜罐所在主機的網絡包全部丟棄，禁止他們進入蜜罐系統，使蜜罐可以安心的與可疑入侵者交互，分析其特征。此為防火墻數據控制的第一個體現。

為了記錄入侵者的所有數據，允許所有對蜜罐的訪問，進入蜜罐的數據不會對組織的安全構成威脅。但是，從蜜罐向外發出的連接就不一樣了，其中可能包含入侵者對其它系統進行掃描和攻擊的數據。必須對從蜜罐外出的網絡連接進行控制。當蜜罐發起外出的連接，說明蜜罐主機已經被入侵者攻破了，而這些外出的連接很可能是入侵者利用蜜罐對其他的系統發起的攻擊連接。所以限制這些外出連接是非常必要的，本系統采用防火墻限制蜜罐外出的連接。防火墻采取“寬進嚴出”策略，在防火墻上，對從蜜罐機器外發的連接數量設定一個合理的閾值，研究表明，允許外發連接數設定為5至10個比較合適，不會引起入侵者懷疑，而且避免了蜜罐系統成為入侵者掃描、探測或者攻擊其他系統的工具。防火墻追蹤從所有蜜罐主機外發的每一個連接，當該蜜罐外發的數量達到設計時預先設定的閾值時，防火墻便會阻塞那些信息包。這樣能夠保證蜜罐不被濫用的前提下，允許入侵者做盡可能多他們想做的事。此為防火墻數據控制的第二個體現。

2.2.2 路由器的數據控制

路由控制由路由器來完成，主要利用路由器的訪問控制功能對外出的數據包進行過濾，以防止蜜罐被用于攻擊網絡其它部分，主要防止IP欺騙，Dos攻擊或者其它一些欺騙性攻擊。所有進出陷阱網絡系統的數據包都要經過防火墻和路由器。經過實驗發現，將防火墻與路由器聯合使用，可以在技術上比較完美地對向外發出的數據包進行過濾，同時在最大限度上讓入侵者相對自由地活動而又不會產生懷疑。

2.3 遠程數據備份的實現

由于蜜罐主機的設置極易被入侵者所攻破，大多數的入侵者都會對攻破的系統的數據進行修改或刪除，因此，如果把這些捕獲到的數據放置在蜜罐主機上是危險的。必須用一臺安全性更高、不提供任何服務的系統作為日志服務器用于遠程備份蜜罐系統捕捉到的數據。采用遠程日志系統保障了數據存儲的安全，但在傳輸的過程中也要防止入侵者對其進行截獲和修改，在實際傳輸過程中我們可以通過蜜罐私有網絡進行數據傳送，在傳送之前進行數據的加密。通過遠程的日志記錄，既保障了我們的數據的安全性，也方便我們以后對數據進行分析、處理。

本文采用SQL Server2000作為遠程日志服務器。通過把捕獲到的數據定時的發送到數據庫中，不但保證了數據的安全性，而且更加方便的與其它模塊進行數據共享，為數據分析提供了極大的方便。

3 結束語

本文重點探討了入侵誘騙系統中數據捕獲的實現，采用多層數據捕獲機制，從防火墻，入侵檢測系統和蜜罐系統三個層面上實現了數據捕獲。重點闡述了進程關聯內存，進程關聯CPU利用率，進程關聯端口，注冊表異動，文件異動的捕獲的實現方法。然后并從系統的安全性方面探討研究了數據控制技術，最后實現了把捕獲到的數據定時的發送到遠程數據庫中，從而保證了數據的安全性。

[1] 吳震.入侵誘騙技術中誘騙環境的研究與實現[J].計算機應用研究,2003(04):78-80.

[2] 趙雙紅,劉壽強,夏娟.基于誘騙式蜜罐系統設計與應用[J].計算機安全,2003,10:19-22.

[3] 連一峰,王航.網絡攻擊原理和技術[M].北京:科學出版社,2004:279-348.

[4] 韓東海,王超,李群.入侵檢測系統實例剖析[M].北京:清華大學出版社,2002:78-79.

[5] 曹愛娟,劉寶旭,許榕生.網絡陷阱與誘捕防御技術綜述[J].計算機工程,2004,30(9):1-3.

[6] 陶文林.基于VMware的虛擬蜜網系統的研究[J].計算機應用與軟件,2006,23(5):131-136.

TP391

A

1009-0134(2010)12(上)-0180-03

10.3969/j.issn.1009-0134.2010.12(上).58

2010-07-12

王東來（1973 -），男，吉林人，碩士研究生，研究方向為信息安全技術、計算機應用技術。