论文部分内容阅读
摘要:与传统的防火墙技术和入侵检测技术不同,基于陷阱技术的安全系统不仅能主动吸引入侵者攻击进入陷阱环境,通过观察和记录攻击行为,研究入侵者所使用的攻击工具、攻击策略及方法,同时能有效解决入侵与入侵检测之间的矛盾,更好地保护正常网络的安全。
关键词:陷阱;防御;信息控制
中图分类号:TP393 文献标识码:A 文章编号:1671—7597(2012)0510049-01
0 引言
随着网络应用的不断深入,入侵和攻击行为愈来愈猖獗,要有效的阻止和防范各种各样的入侵和攻击行为,需要及时了解入侵和攻击行为的特点和技术原理,将网络的安全防护由被动防御转为主动防御。本文设计的网络诱骗系统将入侵者引入预先构建好的陷阱环境,对入侵者的所有行为进行跟踪与记录,以提高对已知和未知入侵行为的发现能力,实现网络的主动防御。
1 陷阱技术
目前研究的陷阱技术主要有两大类,就是通常所说的蜜罐(honeypot)和蜜网(honeynet)。honeypot也称为“数字沙箱”,有“网络陷阱”之称,它的价值就在于被探测、被攻击或被攻陷,通过模拟某些常见的漏洞吸引攻击者,诱骗入侵者进入构建好的虚拟网络环境,避免对真实网络造成危害的同时,将入侵者实施的一切行为包括攻击的全过程、所使用的工具等都记录下来。honeynet也称为“诱捕网络”,是在蜜罐的基础是逐步发展起来的一个具有新功能的技术,是隐藏在防火墙后面的独立的网络系统,关注、捕获及控制所有进出网络的数据都受到,主要用于研究攻击的特征和发展趋势。
2 系统的设计目标
诱骗防御系统的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,可以用来阻止未来的攻击。本文结合黑客用于入侵工具的一些技术,构建了一个基于陷阱技术的诱骗防御系统,希望达到以下几个目标:
系统的有效性。陷阱技术就在于引诱、欺骗潜在和现实的攻击者,陷阱的启用与真实的入侵密切相关,陷阱并不是人为设计的威胁,被探测到的入侵者是真实的,可以安全地提供威胁的度。如果陷阱设置地过于简单,敏感的入侵者会很容易识别到陷阱的存在,会失去系统的有效性。
系统的隐蔽性。为了完成对信息的收集,系统需要做一些改动,例如设置SCSI分析器、网络协议分析、加载内核模块等,这样就为入侵者识别本系统留下了痕迹,因此在全面收集入侵者信息的同时,需要很好地隐藏自己,以防止入侵者发现系统的特征而导致泄漏。本文构建的系统采用内核模块隐藏技术进行隐蔽性设计,并贯穿于系统设计的全过程。
系统的自安全性。作为诱骗系统,为了吸引入侵者的攻击,要设置一些有价值的资源作为诱饵设置陷阱,诱使入侵者进入,然而进入陷阱的入侵者有可能利用本系统作为跳板对真实的网络进行攻击。如何有效的防止本系统被利用和滥用提供的资源是系统设计过程中的一个关键性问题,使得陷阱客户机不能访问有用数据、管理或控制其他计算机,根本没有任何合法的用户或通信。
3 系统的总体结构
系统主要用于记录入侵者的行为,转移行为记录,以及进行数据分析,由陷阱环境、信息控制、系统隔离、数据传输和数据分析等五大功能模块组成,总体结构如图1所示。整个系统融入了强大的数据捕获、数据分析和数据控制工具,将Honeynet纳入到一个完整的网络陷阱系统中,使得研究人员能够更方便地追踪入侵者,并对他们的攻击行为进行分析。每个功能模块之间相互隐藏,有机结合在一起,进一步加强了系统的隐蔽性,有效地提高了诱骗的质量。
4 模块功能分析
4.1 构建陷阱环境:系统的关键是如何构建一个有效的伪装环境,当入侵者进入特定的虚假系统后,会相信他所入侵的是一个真实的系统,负责与入侵者交互,是捕捉入侵者活动的主要场所。在陷阱环境的构建过程中,首先采用多种伪装策略进行主体架构,采用操作系统伪装,程序运行伪装、应用服务伪装,文件伪装等来迷惑入侵者;其次需要完善监控机制,每一台陷阱客户机始终处于严密的监控之下,以不被入侵者觉察的方式捕捉尽可能多的活动,完成隐蔽的数据采集和捕获。
4.2 信息控制模块:主要功能是对入侵者的行为进行规则定义,规定他们能执行的行为以及禁止的行为。一般来说,进入陷阱的入侵者需要对外发起连接,为了不引起他们的怀疑和更好地分析入侵行为,必须允许这些行为,然而允许入侵者向外连接的活动越多,面临的风险也会更大。本模块的重点是如何在允许若干必需行为的同时又不会引起怀疑,本文采用连接网桥作为控制模块设置在陷阱环境的出口处,对由内部每台主机发起的各种类型的连接进行限制,以减少虚假系统被利用的风险。
4.3 系统隔离模块:从上面的图1中可以看出,路由器和防火墙放置在所有进出本系统的必经节点,管控所有的数据包。其中路由器作为第一道关卡,位于防火墙之前控制访问的数据量,进入陷阱的入侵者察觉到和外部网络之间有一个路由器的存在,就能更相信所处环境的真实性,也能防止防火墙被轻易发现。防火墙则是主要的控制连接工具,设置为不完全单向控制连接,允许所有外来的连接,严格控制向外的连接,一旦超过了规定的连接数,将阻断任何后续的连接。同时对由陷阱向外发起的连接进行全程跟踪和实时管控。
4.4 数据传输模块:陷阱环境成功捕获的数据都不能存放在陷阱客户机中,本地存储的信息很可能会被发现,必须进行异地存储,在传输过程中同时要有效防止入侵者发现从而对其进行截获和修改。本系统采用一台安全性高、不提供任何其他服务的独立系统作为服务器,客户机能绕过网络协议栈,直接通过私有局域网进行数据传输。
4.5 数据分析模块:构建本系统最终的目的是分析入侵者的工具、策略,因此本模块是整个系统的核心和关键,服务器接受到陷阱环境捕获的入侵数据如系统行为、系统连接和网络交互行为等,根据配置的规则进行详细的统计、分析和过滤,提取并记录数据攻击的行为特征,发现与跟踪已有的僵尸网络等,进一步分析他们使用的工具、采用的策略及攻击目的,从而完善现有的网络防御系统。
5 结束语
随着网络攻击力度越来越强,越来越智能化,因此依靠单一的被动防御手段也越发显得不可靠。本文设计的基于陷阱机制的防御系统弥补了入侵检测系统守株待兔的不足,将Honeypot纳入到一个完整的网络陷阱系统中,将网络的入侵行为进行重定向,使入侵者滞留于陷阱环境中,观察入侵者的行为,并采取必要的措施有效防止入侵者的再次进攻,从而更好地保障正常网络的安全。
参考文献:
[1]杨奕,基于入侵诱骗技术的网络安全研究与实现,计算机应用研究[J].2004(3).
[2]郑君杰等,基Honeypot技术的网络入侵检测系统[J].电子科技大学学报,2007,4,36(2).
[3]张海,基于陷阱机制的网络安全体系的研究.现代计算机[J].2005.10.30.
关键词:陷阱;防御;信息控制
中图分类号:TP393 文献标识码:A 文章编号:1671—7597(2012)0510049-01
0 引言
随着网络应用的不断深入,入侵和攻击行为愈来愈猖獗,要有效的阻止和防范各种各样的入侵和攻击行为,需要及时了解入侵和攻击行为的特点和技术原理,将网络的安全防护由被动防御转为主动防御。本文设计的网络诱骗系统将入侵者引入预先构建好的陷阱环境,对入侵者的所有行为进行跟踪与记录,以提高对已知和未知入侵行为的发现能力,实现网络的主动防御。
1 陷阱技术
目前研究的陷阱技术主要有两大类,就是通常所说的蜜罐(honeypot)和蜜网(honeynet)。honeypot也称为“数字沙箱”,有“网络陷阱”之称,它的价值就在于被探测、被攻击或被攻陷,通过模拟某些常见的漏洞吸引攻击者,诱骗入侵者进入构建好的虚拟网络环境,避免对真实网络造成危害的同时,将入侵者实施的一切行为包括攻击的全过程、所使用的工具等都记录下来。honeynet也称为“诱捕网络”,是在蜜罐的基础是逐步发展起来的一个具有新功能的技术,是隐藏在防火墙后面的独立的网络系统,关注、捕获及控制所有进出网络的数据都受到,主要用于研究攻击的特征和发展趋势。
2 系统的设计目标
诱骗防御系统的核心是强大的网络和系统活动的监视能力,以及监视机制的隐蔽性,可以用来阻止未来的攻击。本文结合黑客用于入侵工具的一些技术,构建了一个基于陷阱技术的诱骗防御系统,希望达到以下几个目标:
系统的有效性。陷阱技术就在于引诱、欺骗潜在和现实的攻击者,陷阱的启用与真实的入侵密切相关,陷阱并不是人为设计的威胁,被探测到的入侵者是真实的,可以安全地提供威胁的度。如果陷阱设置地过于简单,敏感的入侵者会很容易识别到陷阱的存在,会失去系统的有效性。
系统的隐蔽性。为了完成对信息的收集,系统需要做一些改动,例如设置SCSI分析器、网络协议分析、加载内核模块等,这样就为入侵者识别本系统留下了痕迹,因此在全面收集入侵者信息的同时,需要很好地隐藏自己,以防止入侵者发现系统的特征而导致泄漏。本文构建的系统采用内核模块隐藏技术进行隐蔽性设计,并贯穿于系统设计的全过程。
系统的自安全性。作为诱骗系统,为了吸引入侵者的攻击,要设置一些有价值的资源作为诱饵设置陷阱,诱使入侵者进入,然而进入陷阱的入侵者有可能利用本系统作为跳板对真实的网络进行攻击。如何有效的防止本系统被利用和滥用提供的资源是系统设计过程中的一个关键性问题,使得陷阱客户机不能访问有用数据、管理或控制其他计算机,根本没有任何合法的用户或通信。
3 系统的总体结构
系统主要用于记录入侵者的行为,转移行为记录,以及进行数据分析,由陷阱环境、信息控制、系统隔离、数据传输和数据分析等五大功能模块组成,总体结构如图1所示。整个系统融入了强大的数据捕获、数据分析和数据控制工具,将Honeynet纳入到一个完整的网络陷阱系统中,使得研究人员能够更方便地追踪入侵者,并对他们的攻击行为进行分析。每个功能模块之间相互隐藏,有机结合在一起,进一步加强了系统的隐蔽性,有效地提高了诱骗的质量。
4 模块功能分析
4.1 构建陷阱环境:系统的关键是如何构建一个有效的伪装环境,当入侵者进入特定的虚假系统后,会相信他所入侵的是一个真实的系统,负责与入侵者交互,是捕捉入侵者活动的主要场所。在陷阱环境的构建过程中,首先采用多种伪装策略进行主体架构,采用操作系统伪装,程序运行伪装、应用服务伪装,文件伪装等来迷惑入侵者;其次需要完善监控机制,每一台陷阱客户机始终处于严密的监控之下,以不被入侵者觉察的方式捕捉尽可能多的活动,完成隐蔽的数据采集和捕获。
4.2 信息控制模块:主要功能是对入侵者的行为进行规则定义,规定他们能执行的行为以及禁止的行为。一般来说,进入陷阱的入侵者需要对外发起连接,为了不引起他们的怀疑和更好地分析入侵行为,必须允许这些行为,然而允许入侵者向外连接的活动越多,面临的风险也会更大。本模块的重点是如何在允许若干必需行为的同时又不会引起怀疑,本文采用连接网桥作为控制模块设置在陷阱环境的出口处,对由内部每台主机发起的各种类型的连接进行限制,以减少虚假系统被利用的风险。
4.3 系统隔离模块:从上面的图1中可以看出,路由器和防火墙放置在所有进出本系统的必经节点,管控所有的数据包。其中路由器作为第一道关卡,位于防火墙之前控制访问的数据量,进入陷阱的入侵者察觉到和外部网络之间有一个路由器的存在,就能更相信所处环境的真实性,也能防止防火墙被轻易发现。防火墙则是主要的控制连接工具,设置为不完全单向控制连接,允许所有外来的连接,严格控制向外的连接,一旦超过了规定的连接数,将阻断任何后续的连接。同时对由陷阱向外发起的连接进行全程跟踪和实时管控。
4.4 数据传输模块:陷阱环境成功捕获的数据都不能存放在陷阱客户机中,本地存储的信息很可能会被发现,必须进行异地存储,在传输过程中同时要有效防止入侵者发现从而对其进行截获和修改。本系统采用一台安全性高、不提供任何其他服务的独立系统作为服务器,客户机能绕过网络协议栈,直接通过私有局域网进行数据传输。
4.5 数据分析模块:构建本系统最终的目的是分析入侵者的工具、策略,因此本模块是整个系统的核心和关键,服务器接受到陷阱环境捕获的入侵数据如系统行为、系统连接和网络交互行为等,根据配置的规则进行详细的统计、分析和过滤,提取并记录数据攻击的行为特征,发现与跟踪已有的僵尸网络等,进一步分析他们使用的工具、采用的策略及攻击目的,从而完善现有的网络防御系统。
5 结束语
随着网络攻击力度越来越强,越来越智能化,因此依靠单一的被动防御手段也越发显得不可靠。本文设计的基于陷阱机制的防御系统弥补了入侵检测系统守株待兔的不足,将Honeypot纳入到一个完整的网络陷阱系统中,将网络的入侵行为进行重定向,使入侵者滞留于陷阱环境中,观察入侵者的行为,并采取必要的措施有效防止入侵者的再次进攻,从而更好地保障正常网络的安全。
参考文献:
[1]杨奕,基于入侵诱骗技术的网络安全研究与实现,计算机应用研究[J].2004(3).
[2]郑君杰等,基Honeypot技术的网络入侵检测系统[J].电子科技大学学报,2007,4,36(2).
[3]张海,基于陷阱机制的网络安全体系的研究.现代计算机[J].2005.10.30.