賀文娟

（安徽科技學(xué)院理學(xué)院計(jì)算機(jī)公共教學(xué)部，安徽鳳陽(yáng) 233100）

蜜罐技術(shù)在校園網(wǎng)系統(tǒng)中的應(yīng)用研究

賀文娟

（安徽科技學(xué)院理學(xué)院計(jì)算機(jī)公共教學(xué)部，安徽鳳陽(yáng) 233100）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重.通過(guò)蜜罐技術(shù)，建立一個(gè)新型的主動(dòng)防御的校園網(wǎng)安全系統(tǒng).該系統(tǒng)可誘使攻擊者連接蜜罐，進(jìn)而可以收集到攻擊者的相關(guān)信息.通過(guò)蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具，可以保障校園網(wǎng)的正常運(yùn)行.

蜜罐；校園網(wǎng)；主動(dòng)防御

1 引言

校園網(wǎng)作為學(xué)校正常運(yùn)轉(zhuǎn)的重要組成部分之一，對(duì)提高工作效率起到了重要的推動(dòng)作用.但我們?cè)谙硎芫W(wǎng)上便捷辦公的同時(shí)，也面臨著校園網(wǎng)的諸多安全問(wèn)題：蠕蟲(chóng)病毒，拒絕服務(wù)，各種網(wǎng)絡(luò)攻擊層出不窮，甚至影響到學(xué)校的正常教學(xué)工作.因此，構(gòu)建一個(gè)安全的校園網(wǎng)絡(luò)系統(tǒng)成為眾多高校面臨的急需解決的問(wèn)題之一.

目前校園網(wǎng)的安全體系是由傳統(tǒng)的網(wǎng)絡(luò)安全工具搭建，校園網(wǎng)是處于被動(dòng)防御狀態(tài)，而蜜罐是一種主動(dòng)防御技術(shù)，蜜罐可以及時(shí)發(fā)現(xiàn)攻擊者的活動(dòng)，記錄下攻擊者的攻擊方法和攻擊工具.通過(guò)分析蜜罐中的數(shù)據(jù)，我們可以得到攻擊者的相關(guān)信息，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞.蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)可以構(gòu)建一個(gè)新型的主動(dòng)的校園網(wǎng)絡(luò)安全系統(tǒng).

2 蜜罐技術(shù)

蜜罐的定義是由“蜜罐項(xiàng)目組”的創(chuàng)始人Lance Spitzner給出的：蜜罐是一種安全資源，其價(jià)值體現(xiàn)在被黑客探測(cè)、攻擊或者摧毀的時(shí)候[1].蜜罐是事先設(shè)置好的系統(tǒng)，在蜜罐中安裝各種偽造的有“價(jià)值”的信息作為誘餌，等待攻擊者的攻擊.蜜罐系統(tǒng)收集到的信息是研究攻擊者攻擊方法、攻擊技術(shù)和攻擊目標(biāo)的重要資料.蜜罐系統(tǒng)在攻擊者看來(lái)是非常具有吸引力的系統(tǒng)，由于蜜罐一般不含真實(shí)而有價(jià)值的數(shù)據(jù)，因而不會(huì)對(duì)重要數(shù)據(jù)和系統(tǒng)構(gòu)成威脅[2].

攻擊者可能會(huì)攻擊網(wǎng)絡(luò)上的正常工作系統(tǒng)，如果這個(gè)系統(tǒng)帶有特定資源，那么被攻擊的可能性會(huì)比較大.我們可以將蜜罐布置在系統(tǒng)中，將攻擊者引入蜜罐，降低正常工作系統(tǒng)被攻擊的可能性.并且蜜罐可以記錄下攻擊者的各種攻擊數(shù)據(jù)，這些數(shù)據(jù)是研究黑客技術(shù)的重要資料.

在蜜罐系統(tǒng)中，布置一些帶有漏洞的主機(jī)作為誘餌，也可以安裝一些網(wǎng)絡(luò)服務(wù)和信息資源引誘攻擊者攻擊蜜罐系統(tǒng).蜜罐系統(tǒng)可以監(jiān)控攻擊者的攻擊行為，記錄下攻擊者的攻擊過(guò)程，通過(guò)分析數(shù)據(jù)，可以知道攻擊者的攻擊方法，采用的攻擊工具和攻擊目的，而且對(duì)未知的新型攻擊也有著很好的防御作用.蜜罐的作用就是用來(lái)被探測(cè)，被攻擊甚至被攻陷.蜜罐本身沒(méi)有正常的工作，它捕獲到的數(shù)據(jù)都是攻擊者的攻擊，所以它提供的數(shù)據(jù)都是有價(jià)值的數(shù)據(jù).因此蜜罐是其他傳統(tǒng)的網(wǎng)絡(luò)安全工具不能取代的新型的主動(dòng)防御工具.

3 蜜罐的分類(lèi)

蜜罐的分類(lèi)方法有很多種，按照蜜罐與攻擊者之間的交互程度可以將蜜罐分為3類(lèi)：低交互蜜罐、中交互蜜罐和高交互蜜罐.這3種不同的蜜罐也可以說(shuō)是蜜罐在被入侵程度上的不同，三者之間并沒(méi)有明確的分界[3].

（1）低交互蜜罐

低交互蜜罐沒(méi)有提供操作系統(tǒng)，只是通過(guò)一些端口監(jiān)聽(tīng)來(lái)實(shí)現(xiàn)一些虛擬服務(wù)，是一種最簡(jiǎn)單配置的蜜罐，不能獲得通過(guò)復(fù)雜協(xié)議傳輸?shù)臄?shù)據(jù).低交互蜜罐系統(tǒng)如圖1所示.

（2）中交互蜜罐

中交互蜜罐仍然沒(méi)有提供真實(shí)的操作系統(tǒng)，只是對(duì)真實(shí)系統(tǒng)的模擬，但是比低交互蜜罐提供了更多的交互信息，可以記錄下更復(fù)雜些的攻擊手段.整個(gè)系統(tǒng)有可能被攻擊者攻破，所以要定期檢查蜜罐系統(tǒng)，及時(shí)了解蜜罐狀態(tài).中交互蜜罐系統(tǒng)如圖2所示.

（3）高交互蜜罐

高交互蜜罐包含一個(gè)真實(shí)的操作系統(tǒng)，可以提供真實(shí)的服務(wù).攻擊者可以與操作系統(tǒng)和真實(shí)的服務(wù)進(jìn)行交互，高交互蜜罐可以得到更多的攻擊者的攻擊信息.在構(gòu)建高交互蜜罐系統(tǒng)時(shí)，必須采取有效的措施，防止蜜罐系統(tǒng)被攻陷后，作為攻擊者的跳板攻擊正常的系統(tǒng).高交互蜜罐系統(tǒng)如圖3所示.

圖1 低交互蜜罐系統(tǒng)

圖2 中交互蜜罐系統(tǒng)

圖3 高交互蜜罐系統(tǒng)

4 基于蜜罐的校園網(wǎng)總體設(shè)計(jì)

（1）系統(tǒng)設(shè)計(jì)目標(biāo)

一方面校園網(wǎng)要防御來(lái)自外部的攻擊，另一方面對(duì)于來(lái)自系統(tǒng)內(nèi)部的攻擊也要有相應(yīng)的安全措施.校園網(wǎng)具有硬件設(shè)施投入比較大，而管理和維護(hù)方面的投入較少的特點(diǎn)，所以來(lái)自內(nèi)部的攻擊更容易造成校園網(wǎng)的癱瘓.因此通過(guò)蜜罐技術(shù)，結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具，設(shè)計(jì)并構(gòu)造一個(gè)具有主動(dòng)防御功能的校園網(wǎng)絡(luò)系統(tǒng).

（2）系統(tǒng)模型

P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型[4]，安全策略、防護(hù)、檢測(cè)和響應(yīng)是該模型的四個(gè)組成部分.依據(jù)P2DR模型建立一個(gè)基于蜜罐技術(shù)的校園網(wǎng)系統(tǒng).

新的校園網(wǎng)系統(tǒng)面臨七個(gè)技術(shù)問(wèn)題：入侵檢測(cè)、入侵行為控制、入侵行為分析、入侵行為記錄、服務(wù)模型、行為捕獲和數(shù)據(jù)融合.在安全策略的基礎(chǔ)上，發(fā)揮已有的網(wǎng)絡(luò)安全工具的作用，并結(jié)合蜜罐技術(shù)，提出校園網(wǎng)安全系統(tǒng)模型，如圖4所示.

（3）系統(tǒng)結(jié)構(gòu)

依據(jù)上面的模型，校園網(wǎng)安全系統(tǒng)由三個(gè)模塊組成.分別是數(shù)據(jù)捕獲模塊、數(shù)據(jù)控制模塊、日志管理模塊.系統(tǒng)結(jié)構(gòu)圖如圖5所示.

①數(shù)據(jù)捕獲模塊

蜜罐的作用就是捕獲數(shù)據(jù).蜜罐是模擬系統(tǒng)，它能使攻擊者誤認(rèn)為這是一個(gè)真實(shí)的系統(tǒng)，誘導(dǎo)攻擊者攻擊蜜罐系統(tǒng)，蜜罐可以捕獲到攻擊者的相關(guān)數(shù)據(jù).由于蜜罐模擬了操作系統(tǒng)的部分指令，我們可以通過(guò)測(cè)試這些指令來(lái)查看蜜罐的功能是否滿足系統(tǒng)的要求.Proc.c初始化模塊調(diào)用其他子程序.String.c擊鍵提取模塊作用是從網(wǎng)絡(luò)中抓取數(shù)據(jù)包并分析組合成可查看的擊鍵序列.

②數(shù)據(jù)控制模塊

數(shù)據(jù)控制模塊是蜜罐系統(tǒng)的核心模塊.如果它被攻破，攻擊者就會(huì)對(duì)蜜罐系統(tǒng)進(jìn)行修改，更甚者整個(gè)系統(tǒng)可能會(huì)被攻擊者控制.數(shù)據(jù)控制可以分層來(lái)實(shí)現(xiàn)功能.本系統(tǒng)中采用防火墻和路由器的雙重控制.防火墻允許所有的入站鏈接，但是對(duì)于出站鏈接進(jìn)行控制.蜜罐一旦有向外的鏈接，就說(shuō)明蜜罐系統(tǒng)很有可能被攻擊者攻破.一般情況下，對(duì)外鏈接允許5至10個(gè)比較合適.也可以通過(guò)路由器的訪問(wèn)控制功能過(guò)濾數(shù)據(jù)包.

③日志管理模塊

日志管理模塊就是一臺(tái)計(jì)算機(jī)，將蜜罐捕獲的數(shù)據(jù)進(jìn)行遠(yuǎn)程備份，主要是防止蜜罐系統(tǒng)被攻擊者攻破，攻擊者將其上的日志刪除或者惡意修改.

圖4 基于蜜罐系統(tǒng)的校園網(wǎng)安全系統(tǒng)模型

圖5 基于蜜罐系統(tǒng)的校園網(wǎng)安全系統(tǒng)結(jié)構(gòu)

5 系統(tǒng)測(cè)試

圖6 攻擊者端運(yùn)行界面

（1）測(cè)試環(huán)境

使用虛擬機(jī)技術(shù)，采用一臺(tái)配置比較高的計(jì)算機(jī)作為蜜罐系統(tǒng)，該計(jì)算機(jī)硬件配置為雙核處理器，2G內(nèi)存，兩塊硬盤(pán)，兩塊網(wǎng)卡.采用另外一臺(tái)計(jì)算機(jī)作為測(cè)試主機(jī)，IP地址為192.168.51.70.

（2）功能測(cè)試

兩個(gè)蜜罐的IP地址為192.168.51.130、192.168.51.131，被攻擊主機(jī)的IP地址為192.168.51.200.圖6是攻擊者端的顯示信息，可以得出該系統(tǒng)可以對(duì)攻擊者進(jìn)行有效欺騙.

下面測(cè)試蜜罐系統(tǒng)是否可以記錄下攻擊者的攻擊行為.圖7是蜜罐系統(tǒng)的運(yùn)行界面，表明蜜罐系統(tǒng)可以正常運(yùn)行.

6 結(jié)語(yǔ)

圖7 蜜罐系統(tǒng)的運(yùn)行界面

通過(guò)系統(tǒng)測(cè)試，我們驗(yàn)證了在校園網(wǎng)中部署蜜罐的可行性.可以做到讓攻擊者連接蜜罐，并準(zhǔn)確記錄下攻擊日志.進(jìn)而可以通過(guò)日志的分析，及時(shí)掌握攻擊者的情況.蜜罐技術(shù)結(jié)合傳統(tǒng)的網(wǎng)絡(luò)安全工具、防火墻、入侵檢測(cè)技術(shù)，可以建立一個(gè)新型的校園網(wǎng)安全系統(tǒng).

[1]Lance Spiizner.Honeypot：追蹤黑客[M].北京：清華大學(xué)出版社，2004：20-50.

[2]LanceSpitzner.TheValueofHoneypots.PartOne：DefinitionsandValuesofHoneypots[EB/OL].2006.http：//www.spitzner.net.

[3]諸葛建偉.蜜罐及蜜網(wǎng)技術(shù)簡(jiǎn)介[EB/OL].2006-02-24.http：//read.pudn.com/downloads68/doc/245219/honeypot.pdf.

[4]李江，張峰，秦志光.Telnet和FTP協(xié)議下跟蹤用戶操作的一種方法[J].計(jì)算機(jī)應(yīng)用，2003（8）：133-135.

An Applied Research into School Network System Based on Honeypot Technology

HE Wen-juan
(Computer Public Teaching Department of College of Science,Anhui Science and Technology University,Fengyang 233100,China)

With the development of network technology,network security problems have become more and more serious.By means of honeypot technology,a new type of active defense of the school network safety system is created in this paper.This system can make the attacker connect honeypot and collect the attacker's related information.In combination with honeypot technology and traditional network security tools,the normal operation of the school network can be guaranteed.

honeypot;school network;initiative protection

TP393.08

A

1008-2794（2012）10-0121-04

2012-04-12

安徽科技學(xué)院青年基金項(xiàng)目“蜜網(wǎng)技術(shù)在網(wǎng)絡(luò)中的應(yīng)用”（ZRC2011275）

賀文娟（1982—），女，安徽蚌埠人，助教，碩士，研究方向：網(wǎng)絡(luò)安全，數(shù)據(jù)庫(kù).