蜜罐技術在網絡安全系統中的應用與研究

孫中廷

（江蘇聯合職業技術學院徐州機電工程分院江蘇徐州 221011）

1 引言

隨著計算機技術的不斷進步和互聯網規模的不斷擴大，存在于網絡中的攻擊行為也在不斷增多，網絡安全和信息安全問題日益凸顯。傳統上使用的網絡安全和網絡防御技術都只能被動地對攻擊行為進行檢測和阻隔，無法對可能發生的攻擊進行預測，處于被動挨打的狀態。而在近年來興起的主動防御技術則可以改變這一狀態，其通過對攻擊者意圖的分析和預測，化解可能發生的攻擊。基于蜜罐的網絡欺騙技術正是主動防御和入侵檢測技術的代表，該技術除了可以防御入侵者的攻擊外，還可以對攻擊行為進行分析和取證，具有很高的實用價值[1,2]。

2 蜜罐技術

蜜罐技術，是一種在需要保護的網絡附近運行的，存在一定漏洞的網絡系統，用于對主動發起攻擊者進行欺騙，吸引其對蜜罐網絡發起攻擊，把原來可能針對目標網絡的攻擊轉移到蜜罐網絡上，而蜜罐網絡中又不存在有價值的信息，這樣就成功轉移了攻擊目標，使得受保護目標免于受到攻擊。同時，由于蜜罐網絡中不對外提供有價值的服務，因此所有對蜜罐網絡的訪問都可以被視為是攻擊行為，在蜜罐中可以部署日志記錄服務器，對攻擊行為進行記錄和分析，并且保存證據。簡單的說，蜜罐就是用于欺騙攻擊者的一個陷阱。蜜罐技術具有以下一些優勢[3,4]：

①記錄攻擊行為的正確率：由于蜜罐服務器本身不會對外提供任何有價值的服務，因此不會有用戶對蜜罐服務器進行訪問，只有當攻擊者對網絡進行攻擊，對網絡中的服務器進行掃描時才會有請求進入到蜜罐系統中。因此可以認為蜜罐系統收到的請求都是來自于攻擊者。排除了正常用戶訪問請求的干擾，檢測正確率得到了大幅提升；

②適應性強：蜜罐系統對攻擊行為的監測不會局限于某種特定的攻擊技術或者是特定的攻擊行為，對不同的攻擊行為有較好的適應能力，即使攻擊者使用新的攻擊技術，在一定程度上也可以對其進行防御；

③成本較低：蜜罐系統構建簡單，只需要在網絡的特定位置搭建簡單的服務器就可以構建蜜罐系統，一般的機構或是公司都有能力在網絡中搭建多個蜜罐系統，并且其維護和升級都比較簡單，不需要投入太多的資金和人力。

在此基礎上，采用VB.NET 編寫專門的數據庫應用程序,利用DATA 控件來動態訪問數據庫,便于客運站問詢工作管理人員對相關表單中的記錄進行錄入、修改、刪除、查詢、統計和打印等操作[10]。

3 蜜罐部署方案分析

3.1 蜜罐交互性分析

根據蜜罐和攻擊者之間信息交互的頻率和數量不同，將蜜罐分為不同交互程度的等級，其特點和比較如表1 所示[5,6]。

表1 不同交互度的蜜罐系統比較

從表1 中可以看出，隨著蜜罐和攻擊者之間交互程度的變化，蜜罐的風險性和獲取到的信息業在不斷的提高，在實際的應用中，根據需要保護網絡的基本特點和蜜罐系統部署的實際位置來選擇合適交互程度的蜜罐。目前，中等交互程度的蜜罐由于其部署的復雜性較高但是獲得的信息較少一般不被使用，在實際的應用中形成高交互度和低交互度蜜罐的互相搭配使用，可以取得更好的效果。

3.2 蜜罐部署位置分析

根據需要保護網絡的規模和實際情況，將蜜罐系統部署的位置如圖1 所示[4]。

圖1 蜜罐部署位置

A 位置在需要保護的網絡防火墻之外，主要目的是可以誘導攻擊者對該網絡進行攻擊，轉移對需要保護網絡的攻擊，同時可以對攻擊行為進行分析和統計，由于該蜜罐系統可以檢測所有攻擊行為，因此被攻破的概率很大，并且由于網絡中大量存在攻擊行為，可能會導致該網絡經常癱瘓，所以很少將蜜罐部署在該位置。

B 位置部署在需要保護網絡內部，并且在隔離區（demilitarized zone，DMZ）中，其功能是監測對被保護網絡高風險的攻擊行為，這類蜜罐系統和其他服務器一樣被部署在需要保護的網絡中，使其功能行服務類似于其他服務器。當攻擊者開始對網絡中的各個端口和服務進行掃描時，該蜜罐系統就可以對其攻擊行為進行響應，并且通過和其進行信息交互獲取攻擊者的信息，可以實現對攻擊進行分析和取證。該位置部署的蜜罐可能被攻擊者繞過，但是如果監測到攻擊行為，都可以視為高風險的入侵行為，是目前最常用的蜜罐部署方案。

C 位置的蜜罐主要監測用于來自網絡內部的攻擊行為，根據相關研究表明，最常見并且危害性最大的攻擊都是來自于網絡內部。在該位置部署蜜罐系統，可以有效監測來自內部的攻擊行為，是目前使用較多的針對內部攻擊的蜜罐部署方案。

D 位置的蜜罐部署在防火墻之后，主要是監測突破防火墻之后的攻擊行為，該位置的蜜罐主要用于對攻擊者的欺騙，引誘其對蜜罐服務器進行攻擊，轉移其攻擊目標或者是拖延入侵者對需要保護網絡的攻擊時間，以此來對目標網絡進行保護，同時也可以通過交互實現取證和分析。

3.3 部署數量分析

對蜜罐系統的性能和防御效果進行分析時，引入防御期望值，該值為蜜罐數量和網絡中存在的總服務器數量之比，以在圖1 中的C 位置部署蜜罐為例，如果蜜罐數量增加，需要保護服務器被攻擊的概率就會降低，這樣防御期望值就會提高[7,8]。

假設在網絡中只存在一臺需要保護的服務器，設N 為蜜罐數量，P 為防御期望值，可以得到公式

并且可以得到

防御期望值和蜜罐數量之間的關系，如圖2 所示。

圖2 防御期望值和蜜罐數量之間的關系

同時可以得到防御期望值的增長和蜜罐數量增長之間的關系如圖3 所示

圖3 防御期望值增長和蜜罐數量之間的關系

從圖3 中可以看出，隨著蜜罐數量的增長，防御期望值增長速度在不斷下降，因此在部署時需要選擇合適的蜜罐數量，達到防御效果和經濟效益的最優。假設存在一個最優值可以表示蜜罐數量和網絡中需要保護主機數量的比值，R=N/m 其中m 為需要保護主機的數量，N 為蜜罐數量，就可以得到當R 值最優時其性質為[9,10]：

根據分析和計算可以得到當R=2 時，蜜罐保護效果和經濟效果之間達到最優，也就是蜜罐數量是需要保護主機數量的2 倍。

4 蜜罐系統實現

4.1 取證服務器

取證服務器是蜜罐系統中最重要的控制中心，其功能是用來記錄攻擊者對網絡的入侵證據，并且要防止攻擊者在攻陷蜜罐系統后將其作為橋梁繼續攻擊需要保護的服務器。在部署時取證服務器和其他服務器之間使用橋相連，由于在橋連接時工作在數據鏈路層，使得取證服務器不需要IP 地址，沒有路由信息也不會產生TTL的消耗，這樣可以做到對攻擊者隱藏蜜罐系統的存在。同時取證服務器還兼具網關功能，可以將蜜罐系統和其他需要保護的服務器隔離開來，一旦發現攻擊就可以實現攔截，讓入侵者無法再攻擊其他服務器。

當入侵者進入蜜罐系統后，一般會使用明文通信協議比如HTTPhe FTP 等進行操作，會產生一定的數據交互，通過對交互信息的記錄和重現，取證服務器就可以記錄下所有入侵者的行動，保留下入侵行為的證據。如果入侵者使用加密手段對會話中的數據傳輸進行加密，取證服務器可以記錄下加密的數據流，同時在系統內核中記錄下攻擊者對系統的操作行為，同樣可以獲取到入侵者的控制命令或者傳輸的文件，其行為在取證服務器面前一覽無余。

4.2 取證客戶代理

對攻擊行為進行取證，首先需要進行數據捕捉。在Linux系統中，攻擊者通過輸入命令對系統進行遠程控制，并且可能會使用加密手段對會話中的數據傳輸進行加密。可以在內核中對這種行為加以捕捉,可以修改系統內核中的相關接口，加入記錄攻擊行為的相關操作，并使得自己定義的接口成為系統調用的一部分，在攻擊者使用系統命令時，就調用了自定義的接口，可以將攻擊行為進行記錄。

可以自定義new_read 接口代替系統函數read，在new_read 函數中添加了寫日志的相關操作，這樣當系統進行調用時，其實是調用了自定義的new_read 接口，就可以保存下所有的攻擊數據。

對攻擊數據進行捕捉和記錄后，需要將其發送到監控服務器中，如果直接使用UDP 或者TCP 通信協議來發送數據包，會在網絡中產生數據流，入侵者通過簡單的抓包工具就可以截取數據并且意識到蜜罐系統的存在，就可以有意識的繞過蜜罐系統攻擊其他服務器。所以需要一種隱蔽的方式對數據包進行處理，在實際部署中蜜罐系統對數據包進行處理的方法和流程如圖4 所示。

圖4 蜜罐系統數據包處理流程

在定義新接口new_read 時，直接將攻擊行為封裝成數據包，數據包中記錄下調用該接口的時間、用戶名、會話過程和數據流信息等。數據包產生后不使用TCP/IP 協議進行傳輸，而是直接將其發送到網絡驅動器中。這樣在主機中進行操作的用戶無法使用抓包工具對本機發送的數據包進行截取，也無法使用IPTABLES 對網絡傳輸進行控制，保證了數據傳輸的隱蔽性和安全性。

另外，當系統中含有多個蜜罐系統時，為了防止蜜罐系統之間互相監測，需要在發送數據包包頭上封裝一個隨機數，并且所有蜜罐系統使用相同的隨機數發生器，當蜜罐系統捕捉到數據包后首先對該隨機數進行校驗，如果發現是其他蜜罐系統發送的數據包就忽略，如果隨機數不一致或是不存在該隨機數就認為是攻擊數據包。

4.3 實驗測試

根據上述分析，在局域網中進行了小規模實現，使用Solaris ftp 服務器作為蜜罐服務器，該服務使用缺省安裝使其還存在一些漏洞，然后使用端口掃描軟件對該局域網中的主機進行掃描，取證服務器中顯示的日志信息，如圖5 所示，測試結果表明該蜜罐系統可以實現對攻擊行為進行捕捉和記錄的功能。

圖5 取證服務器日志顯示

5 結束語

作為一種新型的主動防御安全系統，蜜罐技術已經越來越在網絡安全防護技術中占據重要的地位。通過分析蜜罐技術的主要特點，分析其部署位置和部署數量，得到了蜜罐系統個數和網絡中需要保護服務資源個數的最佳配比，然后對蜜罐系統中關鍵部分取證服務器的實現進行了研究，并進行了實驗測試。測試結果表明該蜜罐系統可以實現對攻擊行為進行捕捉和記錄的功能。蜜罐系統最大優勢是可以對攻擊者進行欺騙，引導其對蜜罐系統進行攻擊，然后對攻擊者的攻擊行為進行記錄和分析，基于蜜罐系統的網絡欺騙技術將會在未來有更多的應用場景。

[1]楊 雄,朱宇光,徐則中.基于蜜罐識別的僵尸網絡多時區改進擴散模型[J].計算機工程與設計,2011(3):400-404.

[2]張建忠,張 健,董大凡.網絡安全高級軟件編程技術[M].北京:清華大學出版社,2010(4):150-176.

[3]諸葛建偉,唐 勇,韓心慧,等.蜜罐技術研究與應用進展[J].軟件學報,2013,24(4):825-842.

[4]石樂義,姜藍藍,賈春福,等.蜜罐誘騙防御機理的博弈理論分析[J].電子與信息學報,2012,34(6):1420-1424.

[5]喬佩利,岳 洋.蜜罐技術在網絡安全中的應用研究[J].哈爾濱理工大學學報,2009(3):37-41.

[6]崔志磊,房 嵐,陶文林,等.一種全新的網絡安全策略--蜜罐及其技術[J].計算機應用與軟件,2004,21(2):99-101.

[7]ARTAIL H,SAFA H,SRAJ M.A Hybrid Honeypot Framework for Improving Intrusion Detection Systems Inprotecting Organizational Networks[J].Computers and Security,2006(4):274-288.

[8]DURAISWAMY K,PALANIVEL G.Intrusion Detection System in UDP Protocol[J].International Journal of Computer Science and Network Security,2010(3):1-5.

[9]ARTAIL H,SARA H,SRAJ M.A Hybrid Honeypot-frame-work for Improving Intrusion Detection Systems in Protecting Organizational Networks[J].Computers&Security,2006(4):274-288.

[10]CHUVAKIN A.Honeynets:High Value Security Data:Analysis of Real Attacks Launched at a Honeypot[J].Network Security,2003(8):11-15.