李源

摘要：

關(guān)鍵詞：蜜罐原理 開源軟件 網(wǎng)絡(luò)攻擊源

中圖分類號(hào)： TP393.08文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2016） 04（c）-0000-00

一、引言

近年來隨著社會(huì)的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)變得發(fā)達(dá)，人們之間的溝通變得方便了許多。而隨之而來的就是網(wǎng)絡(luò)安全的問題，其影響足以引發(fā)每個(gè)人的關(guān)注。本文將圍繞網(wǎng)絡(luò)安全問題對(duì)網(wǎng)絡(luò)攻擊源進(jìn)行有針對(duì)性的信息搜集和監(jiān)測(cè)。

本文針對(duì)網(wǎng)路攻擊源主要對(duì)其攻擊行為進(jìn)行搜集和監(jiān)測(cè)工作，包括仿冒低安全性的主機(jī)并搜集監(jiān)測(cè)攻擊者的登錄信息（攻擊時(shí)間，攻擊者IP，攻擊者輸入的用戶名、密碼等）和攻擊行為[1]。

二、監(jiān)測(cè)發(fā)布系統(tǒng)原理

本系統(tǒng)根據(jù)攻擊者的攻擊行為在Linux系統(tǒng)上制定了一系列的監(jiān)測(cè)防御措施，采用Linux Shell，php，curl，python等腳本語言對(duì)總系統(tǒng)進(jìn)行編寫。

此系統(tǒng)總共分為兩部分：監(jiān)測(cè)搜集信息部分和信息處理發(fā)布部分。監(jiān)測(cè)搜集信息部分旨在將含有攻擊行為的舉動(dòng)進(jìn)行搜集，并能夠?qū)崟r(shí)監(jiān)測(cè)其舉動(dòng)，達(dá)到未受到攻擊先進(jìn)行預(yù)防的目的。信息處理發(fā)布部分將會(huì)對(duì)搜集的攻擊信息進(jìn)行實(shí)時(shí)分析處理，錄入數(shù)據(jù)庫，并能夠?qū)?shù)據(jù)庫進(jìn)行分組排序，實(shí)時(shí)統(tǒng)計(jì)，最終呈現(xiàn)在客戶端， 清晰明了，簡(jiǎn)單實(shí)用[2]。

三、監(jiān)測(cè)發(fā)布系統(tǒng)應(yīng)用范圍

此監(jiān)測(cè)發(fā)布系統(tǒng)可以對(duì)有攻擊行為的攻擊源進(jìn)行搜集和監(jiān)測(cè)。其功能能夠搜集攻擊源的攻擊時(shí)間，攻擊IP，記錄攻擊者輸入的用戶名，密碼，最終能夠?qū)@些搜集的信息以某種媒體的方式呈現(xiàn)出來。

四、系統(tǒng)流程

下面是監(jiān)測(cè)發(fā)布系統(tǒng)總的流程：

搜集攻擊源信息-遠(yuǎn)程上傳至中心服務(wù)器-分析攻擊源信息-中心數(shù)據(jù)庫進(jìn)行處理-中心數(shù)據(jù)庫數(shù)據(jù)統(tǒng)計(jì)-攻擊源監(jiān)測(cè)發(fā)布客戶端呈現(xiàn)。

五、信息搜集服務(wù)器工作原理

信息搜集服務(wù)器為分散在各地的子服務(wù)器，專門用來搜集具有攻擊行為的攻擊源。

其中中心處理服務(wù)器將負(fù)責(zé)收集由各地子服務(wù)器上傳上來的攻擊信息，進(jìn)行選取實(shí)時(shí)錄入數(shù)據(jù)庫。

六、基于蜜罐原理的信息搜集系統(tǒng)的設(shè)計(jì)

1.蜜罐技術(shù)的發(fā)展背景

網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行有效的防護(hù)，而蜜罐技術(shù)可以采取主動(dòng)的方式來進(jìn)行防護(hù)。顧名思義，就是用特有的特征吸引攻擊者，同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付辦法 [3]。

2.kojoney開源軟件介紹

Kojoney是一套仿SSH 服務(wù)器的低階互動(dòng)式誘補(bǔ)系統(tǒng)。本軟件是以Python 所寫的daemon，使用Twisted Conch 函數(shù)庫。

3.文件上傳部分的設(shè)計(jì)

上傳部分代碼主要分為兩部分：upload.sh和upload.php。

upload.sh負(fù)責(zé)在子服務(wù)器上將含有攻擊信息的文本文件attacklist.txt上傳到中心處理服務(wù)器，upload.php負(fù)責(zé)將上傳上來的文件轉(zhuǎn)移到其他的目錄下，等待中心服務(wù)器來進(jìn)行處理。

以下為upload.sh主要代碼：

#To upload file to remote service

curl -F userfile=@attacklist.txt -F username=$usr -F password=$pass $URL

下面介紹upload.php主要流程和代碼：

upload.php流程分兩部分：數(shù)據(jù)庫驗(yàn)證部分和文件轉(zhuǎn)移部分。

下面是upload.php的主要代碼：

//put the file where we like it

$upfile ='/uploads/'.$_FILES['userfile']['name']；

4.數(shù)據(jù)處理和統(tǒng)計(jì)部分的設(shè)計(jì)

將攻擊信息錄入數(shù)據(jù)庫，通過shell腳本將attacklist.txt中的攻擊信息錄入到MySQL數(shù)據(jù)庫中，其關(guān)鍵代碼為：

INSERT INTO info（datetime，ip，user，pass） VALUES（'$J'，'$K'，'$L'，'$M'）

以下為mysql_in.sh中主要循環(huán)遍歷的代碼：

for J in ${datetime[@]}

do

mysql -uroot -proot -e "INSERT INTO info（datetime，ip，user，pass） VALUES（'$J'，'$K'，'$L'，'$M'）" attack[18]

done

5.數(shù)據(jù)庫實(shí)時(shí)統(tǒng)計(jì)

需要有一定的MySQL數(shù)據(jù)庫命令經(jīng)驗(yàn)，選取相對(duì)數(shù)據(jù)信息進(jìn)行分組并降序排序，取前10位記錄量最多的元素進(jìn)行顯示，其中主要MySQL代碼為：

select pass，count（pass） as count from info group by pass order by count desc limit 0，10

select user，count（user） as count from info group by user order by count desc limit 0，10

以下為mysql_count.sh的主要代碼：

mysql -uroot -proot -e "select pass，count（pass） as count from info group by pass order by count desc limit 0，10；" attack | grep -v count > pass

mysql_in.sh負(fù)責(zé)將上傳上來的攻擊信息逐條錄入數(shù)據(jù)庫，mysql_count.sh負(fù)責(zé)將數(shù)據(jù)庫中錄入的攻擊信息進(jìn)行分組排序，實(shí)時(shí)匯總。

七、信息發(fā)布部分的設(shè)計(jì)

發(fā)布平臺(tái)是以Javascript+flash結(jié)合，通過對(duì)含有攻擊信息的xml文件或文本文件進(jìn)行讀取，將信息以餅狀圖或云圖的形式實(shí)時(shí)顯示出來。本人通過編寫腳本將密碼，用戶名，攻擊IP記錄量最多的前10位的記錄載入發(fā)布平臺(tái)的攻擊信息記錄文本文件中，最后形成了數(shù)據(jù)庫信息與發(fā)布平臺(tái)的交互過程。

以下是數(shù)據(jù)庫中攻擊信息傳遞給餅狀圖過程的主要代碼：

echo "