蜜罐系統(tǒng)中的日志應(yīng)用及保護(hù)

摘 要：本文闡述了蜜罐系統(tǒng)中的重要組成模塊日志的格式及其功能，介紹了相關(guān)應(yīng)用軟件和工具，提出了遠(yuǎn)程異地存儲日志、偽裝傳輸策略以及基于第三層的日志保護(hù)方式，完善了日志功能在蜜罐系統(tǒng)中的應(yīng)用。

關(guān)鍵詞：日志；蜜罐系統(tǒng)；網(wǎng)絡(luò)安全；格式；存儲；偽裝

1 引言

日志是描述計算機(jī)系統(tǒng)行為的記錄，它可以監(jiān)控系統(tǒng)的使用情況，通過對日志的監(jiān)測和審計可以尋找可疑的攻擊行為或者發(fā)現(xiàn)潛在的攻擊可能性。[1]

在蜜罐系統(tǒng)中，其功能模塊主要包括網(wǎng)絡(luò)誘騙、數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)報警、日志存儲和數(shù)據(jù)分析等，日志功能作為該系統(tǒng)的核心功能之一，其主要記錄各類網(wǎng)絡(luò)數(shù)據(jù)，如時間戳、協(xié)議類型、源地址及端口、目的地址及端口等等，其類型有防火墻日志、入侵檢測數(shù)據(jù)包日志、系統(tǒng)自身日志等。[2]我們可以通過分析日志，提取未知攻擊的特征碼，優(yōu)化規(guī)則庫，結(jié)合入侵檢測系統(tǒng)改進(jìn)系統(tǒng)設(shè)置提升網(wǎng)絡(luò)系統(tǒng)安全性能。

2 日志格式及分析應(yīng)用

2.1 日志格式

日志分析需要將各類日志進(jìn)行綜合，常見的日志格式如 EVT、WELF、CSV、TSV、XML、SYSLOG、W3C、IIS、SQL和TPL等。

其中，EVT日志是Windows系列的系統(tǒng)日志文件，它是一種二進(jìn)制的日志格式。用于保存系統(tǒng)整體性能以及軟硬件方面的錯誤信息和所有用戶訪問系統(tǒng)時的操作信息和安全信息，主要分為系統(tǒng)日志文件、應(yīng)用日志文件、安全日志文件三種，保存%systemroot%＼system32＼config＼目錄下，分別名為SysEvent.EVT、AppEvent.EVT、SecEvent.EVT。系統(tǒng)日志文件包含諸如在啟動時加載驅(qū)動程序或其他系統(tǒng)組件失敗等系統(tǒng)組件記錄的事件；應(yīng)用日志文件包含由應(yīng)用程序或系統(tǒng)程序記錄的事件；安全日志文件則記錄了諸如有效和無效的登錄嘗試等事件以及與資源使用相關(guān)的事件。

WELF是國際通用的防火墻日志規(guī)范格式，國外廠商如NetScreen、CheckPoint都支持這種格式。它提供簡單易用的GUI操作界面，也可以結(jié)合使用專業(yè)的第三方防火墻日志分析軟件。

通過日志我們可以在開機(jī)過程中檢測硬件訊息，了解硬件情況；系統(tǒng)登錄日志也會記錄系統(tǒng)資源耗盡，核心活動發(fā)生錯誤等事件信息；還可以解決網(wǎng)絡(luò)服務(wù)的問題；分析登錄日志來查明是否是遭到入侵，并繼續(xù)追查相關(guān)的信息。

2.2 蜜罐中的日志分析及應(yīng)用

在整個蜜罐系統(tǒng)中，其核心是警報處理模塊，日志查詢主要只是用于安全人員分析入侵事件時參考其他安全設(shè)施的記錄，其關(guān)系如圖1所示。網(wǎng)絡(luò)環(huán)境數(shù)據(jù)庫則可以結(jié)合掃描器的日常評估結(jié)果、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、主機(jī)系統(tǒng)信息等用于初步過濾IDS的誤報。

但各種操作系統(tǒng)或應(yīng)用程序通常都有自己的日志格式，我們需進(jìn)行日志格式統(tǒng)一，運(yùn)用類似Log Parser等日志分析工具可以解決這一問題。步驟包括日志文件數(shù)據(jù)融合、轉(zhuǎn)化和過濾。

把來源不同的日志文件數(shù)據(jù)進(jìn)行融合是日志分析過程中最難和最重要的一環(huán)。首先要確定關(guān)聯(lián)數(shù)據(jù)，這主要取決于蜜罐系統(tǒng)所針對的攻擊類型和方式，如果是針對Web攻擊的，則需要融合防火墻、Web服務(wù)器、操作系統(tǒng)、IDS日志等；如果是針對應(yīng)用程序攻擊的，則需要融合操作系統(tǒng)、特定的應(yīng)用程序日志等，所有對這些日志的融合相當(dāng)于提供了蜜罐系統(tǒng)的事件全景圖。然后就是對相關(guān)日志文件進(jìn)行轉(zhuǎn)換融合。如果現(xiàn)在的蜜罐系統(tǒng)是專門用來針對IIS攻擊的，那么需要融合W3C格式的IIS日志、操作系統(tǒng)事件日志等。此外由于對蜜罐本身的特殊性，不需要進(jìn)行日志過濾，而且蜜罐一般每天只會收集幾兆級別的數(shù)據(jù)，因此，使用蜜罐日志不僅降低了日志數(shù)據(jù)存儲的消耗，也大大降低了日志的噪聲級別。

利用Log Parser等軟件將日志文件進(jìn)行格式統(tǒng)一后生成可讀性更強(qiáng)的XML報告。對日志文件的充分了解與分析是防止和跟蹤黑客入侵行為的基礎(chǔ)，在此基礎(chǔ)上提煉出的入侵規(guī)則知識庫更是一個優(yōu)秀的安全產(chǎn)品的核心內(nèi)容。

3 日志存儲及保護(hù)策略

日志文件是網(wǎng)絡(luò)安全系統(tǒng)中最重要的資源，它作為日后研究者研究和分析攻擊者行為和工具的重要信息來源，是網(wǎng)絡(luò)安全系統(tǒng)中需要重點(diǎn)保護(hù)的對象。

3.1 遠(yuǎn)程存儲日志

蜜罐系統(tǒng)的日志是記錄攻擊者信息的重要資料。管理員通過對蜜罐日志的分析，回放整個攻擊的全過程，了解攻擊者使用的手段。但蜜罐主機(jī)極易被攻擊者入侵，攻擊者攻破后通常會對系統(tǒng)日志進(jìn)行修改或刪除，因此，只把這些數(shù)據(jù)存放在蜜罐主機(jī)上是非常危險的。可以考慮在系統(tǒng)中增加一臺安全性高、不提供任何服務(wù)的主機(jī)作為日志服務(wù)器用于遠(yuǎn)程備份虛擬蜜罐捕捉的數(shù)據(jù)，采用遠(yuǎn)程日志系統(tǒng)來保障數(shù)據(jù)存儲的安全，遠(yuǎn)程日志信息如圖2所示。

此外，網(wǎng)絡(luò)設(shè)備日志亦可以實現(xiàn)遠(yuǎn)程存儲。網(wǎng)絡(luò)設(shè)備的日志遠(yuǎn)程存儲主要是指路由器、交換機(jī)、硬件防火墻等設(shè)備上的日志，日志類型包括NetFlow日志和WELF日志。如遠(yuǎn)程連接Cisco路由器或者通過控制臺進(jìn)入活動模式，運(yùn)行如下命令即可實現(xiàn)將Cisco路由器上日志轉(zhuǎn)存于日志服務(wù)器192.168.1.100。

Config term

Logging on

Logging Facility Local 7 //設(shè)定消息級別高于7的日志被存儲

Logging 192.168.1.100

End

3.2 偽裝傳輸策略

我們在一個蜜罐系統(tǒng)中布置一個高安全性的遠(yuǎn)程日志文件服務(wù)器用來保存日志文件，蜜罐主機(jī)上收集到的信息將發(fā)送到該服務(wù)器上，兩機(jī)之間的隱蔽通信顯得尤為重要，因為一旦攻擊者發(fā)現(xiàn)了日志服務(wù)器的存在，日志服務(wù)器將處于十分危險的處境。高明的攻擊者如果轉(zhuǎn)向攻擊日志服務(wù)器，有可能導(dǎo)致所有日志文件被損壞，造成不可估量的損失。

因此，遠(yuǎn)程日志傳輸必須采用入侵者難以察覺的方法，將捕獲的各種入侵行為信息封裝成某種形式的數(shù)據(jù)包在部署有蜜罐的網(wǎng)絡(luò)中進(jìn)行傳輸，由安全日志服務(wù)器被動地嗅探并重組這些數(shù)據(jù)包。如果保證這些偽裝的數(shù)據(jù)包具有來自于網(wǎng)絡(luò)其它系統(tǒng)的正常數(shù)據(jù)包同樣的特征，入侵者將很難意識到這些數(shù)據(jù)包正是自己行為的日志。

可以利用Libnet安全開發(fā)包來構(gòu)造OSI每一層數(shù)據(jù)包頭，通過用偽造IP構(gòu)造IP數(shù)據(jù)包，進(jìn)一步迷惑攻擊者，從而增加日志傳輸?shù)陌踩浴；赥CP連接過程需要進(jìn)行三次握手，建立連接時不容易隱藏本地蜜罐和遠(yuǎn)程日志服務(wù)器之間的連接關(guān)系，所以我們考慮采用偽裝的UDP數(shù)據(jù)包來傳輸。整個過程的實現(xiàn)如圖3所示：

先設(shè)定將要使用的IP和端口，其中IP地址和日志服務(wù)器設(shè)定的相同，用來判斷是否是日志文件，而端口則可以任意設(shè)定合法的端口。然后將日志文件讀取出來后放入一個字符指針變量中作為負(fù)載插入UDP數(shù)據(jù)包的負(fù)載內(nèi)容字段。在構(gòu)造好UDP協(xié)議頭并將日志文件封裝好后，繼續(xù)構(gòu)造IP協(xié)議頭。在IP協(xié)議頭中最關(guān)心的就是IP地址和負(fù)載內(nèi)容，此處構(gòu)造的偽裝數(shù)據(jù)包可以任意指定合法的IP地址和端口，這樣可以隱藏本地蜜罐與日志服務(wù)器之間的通信關(guān)系，使攻擊者很難意識到自己是處在一個蜜罐系統(tǒng)中，同時也保護(hù)了遠(yuǎn)程的日志服務(wù)器。另外，由于沒有在IP協(xié)議頭中封裝日志文件，所以負(fù)載內(nèi)容設(shè)置為空。構(gòu)造Ethemet協(xié)議頭跟前面構(gòu)造UDP協(xié)議頭和IP協(xié)議頭類似。由于同樣沒有在Ethernet協(xié)議頭中攜帶日志文件，所以只需將MAC地址封裝即可，負(fù)載內(nèi)容同樣為空。在構(gòu)造好數(shù)據(jù)包后使用句柄隊列來循環(huán)發(fā)送數(shù)據(jù)包，先將數(shù)據(jù)包按順序添加到句柄隊列中，最后通過使用循環(huán)語句和數(shù)據(jù)包發(fā)送語句來發(fā)送己構(gòu)造的數(shù)據(jù)包。實際使用時還可以采用頻繁更換日志數(shù)據(jù)包的IP地址及端口號來進(jìn)行傳輸以達(dá)到更好地迷惑攻擊者的效果。

3.3 第三層保護(hù)策略

蜜罐系統(tǒng)上的日志是相對不安全的，需要把日志發(fā)送到遠(yuǎn)程日志服務(wù)器上，這僅是對日志的第一層保護(hù)。日志遠(yuǎn)程存儲時利用偽裝傳輸策略，避開攻擊者得發(fā)現(xiàn)和截獲，這是第二層保護(hù)。但高明的攻擊者依然能夠發(fā)現(xiàn)遠(yuǎn)程日志服務(wù)器的存在并發(fā)動攻擊，因此還需要進(jìn)行第三層的輔助保護(hù)。我們可以使用類似Sniffer一類的工具來對所有進(jìn)出蜜罐系統(tǒng)的行為進(jìn)行抓包，然后以二進(jìn)制日志的方式進(jìn)行記錄存儲在另一臺服務(wù)器。這樣即使黑客攻破了本地蜜罐和遠(yuǎn)程日志服務(wù)器，他們的入侵行為還是在Sniffer中進(jìn)行了記錄，如圖4所示。當(dāng)然，我們也可以利用這一思路把日志進(jìn)行多個服務(wù)器備份，實現(xiàn)多層次保護(hù)，增強(qiáng)日志的安全性。

4 總結(jié)

日志功能是蜜罐系統(tǒng)中的重要環(huán)節(jié)，它是記錄攻擊者信息的重要資料，我們可以通過對蜜罐日志的分析，把它作為日后研究者研究和分析攻擊者行為和工具的信息來源，因此它也是網(wǎng)絡(luò)安全系統(tǒng)中需要重點(diǎn)保護(hù)的對象，本文提出了遠(yuǎn)程異地存儲、偽裝傳輸和第三層保護(hù)策略，意在更好的完善蜜罐系統(tǒng)，保護(hù)網(wǎng)絡(luò)安全。

[參考文獻(xiàn)]

[1]李靜.基于蜜罐日志分析的主動防御研究[J].信息安全與通信保密， 2009，3.

[2]蔣賢維.淺析引導(dǎo)型蜜罐群在網(wǎng)絡(luò)安全中的應(yīng)用[J].計算機(jī)與網(wǎng)絡(luò)，2011.10.

[3]王彩玲.日志分析在計算機(jī)取證中的應(yīng)用[J].福建電腦，2006.

[4]周子庭.系統(tǒng)日志分析及在主機(jī)入侵檢測中的應(yīng)用[J].信息安全與通信保密，2004，9.

作者簡介：蔣賢維（1979-），男，碩士，講師，研究方向：信息安全。