薛瑩

（陜西警官職業(yè)學(xué)院，陜西西安 710016）

隨著計算機與通信技術(shù)的不斷發(fā)展，針對各類互聯(lián)網(wǎng)設(shè)備的犯罪案件逐漸增多。傳統(tǒng)的偵查取證手段受制于人力與時間，無法適應(yīng)計算機犯罪快速、大量的特點，我國亟需新型的網(wǎng)絡(luò)安全監(jiān)控手段彌補計算機犯罪偵察的空缺。

蜜網(wǎng)技術(shù)能夠檢測數(shù)據(jù)網(wǎng)絡(luò)和信息系統(tǒng)中存在的任何類型入侵者或漏洞[1]。通過引入數(shù)據(jù)挖掘工具對蜜網(wǎng)捕獲的惡意連接進行分析，可以有效提高對網(wǎng)絡(luò)攻擊的識別效率并降低誤報率。該文為了配置蜜罐，創(chuàng)建了蜜網(wǎng)網(wǎng)絡(luò)，并在虛擬主機上配置相應(yīng)蜜罐，同時為管理員設(shè)計了后臺管理程序。

1 蜜網(wǎng)設(shè)計與安裝

為方便后臺管理，順利實現(xiàn)數(shù)據(jù)的監(jiān)測與集中分析，該文在蜜網(wǎng)中配置了一個虛擬網(wǎng)絡(luò)。該網(wǎng)絡(luò)通過虛擬化軟件充當(dāng)一臺計算機，允許同時執(zhí)行多個操作系統(tǒng)，從而創(chuàng)建主機系統(tǒng)的資源來模擬執(zhí)行不同機器中的服務(wù)[2]。

1.1 GUI瀏覽器界面

因為網(wǎng)絡(luò)中建立了單個訪問地址，該文通過建立Web 瀏覽器以實現(xiàn)對監(jiān)視服務(wù)的管理與更優(yōu)的控制[3]。網(wǎng)絡(luò)管理員可以專門修改蜜網(wǎng)從而避免消耗蜜罐，實現(xiàn)檢測現(xiàn)有入侵的類型[4]，利用監(jiān)視功能增加防火墻規(guī)則或阻止與數(shù)據(jù)網(wǎng)絡(luò)的惡意連接。

1.2 命令行工具設(shè)置

該次使用的Linux 系統(tǒng)通過命令或bash 配置來處理所有類型的管理。其用于修改此文件的配置位于根目錄與文件夾etc中，名稱為honeywall.conf[5]。通過使用系統(tǒng)中安裝的某些文本編輯器或使用發(fā)送相應(yīng)的命令在終端上運行HWCTL[6]。

1.3 GUI瀏覽器界面

由于菜單可以直接與蜜網(wǎng)防火墻系統(tǒng)交互，因此使用菜單進行配置。該次定義的管理具有6 種訪問類型：

1）狀態(tài)[7]：用于表達蜜網(wǎng)防火墻的當(dāng)前狀態(tài)；

2）操作系統(tǒng)管理[8]：蜜罐配置基本操作系統(tǒng)；

3）蜜網(wǎng)防火墻管理[9]：用于確定蜜罐的配置或參數(shù)化模塊規(guī)則；

4）蜜網(wǎng)防火墻配置[10]：用于從蜜網(wǎng)網(wǎng)絡(luò)排除過程中的配置文件；

5）文件[11]：蜜網(wǎng)防火墻所用的常規(guī)信息；

6）退出[12]：退出管理界面的工具。

1.4 蜜網(wǎng)防火墻安裝

蜜網(wǎng)防火墻通過只讀存儲器光盤（CDROM）在本地硬盤中安裝和配置蜜罐的網(wǎng)關(guān)，一旦安裝結(jié)束，安裝信息即被擦除[13]。蜜網(wǎng)防火墻基于Fedora Core 6，默認(rèn)情況下工作環(huán)境為GNOME Shell[14]。其操作是捕獲并分析蜜罐的所有傳入和傳出的流量，基本的網(wǎng)絡(luò)配置如圖1 所示。

圖1 蜜網(wǎng)防火墻基本配置

為提高蜜網(wǎng)的自動化運行程度，將蜜網(wǎng)防火墻配置為自動更新，并尋找蜜網(wǎng)防火墻的最新操作系統(tǒng)和軟件包管理器。如圖1 所示，至少配置兩個網(wǎng)卡，一個網(wǎng)卡可連接到外部Internet 網(wǎng)絡(luò)，另一個網(wǎng)卡可以連接到內(nèi)部網(wǎng)絡(luò)或陷阱網(wǎng)絡(luò)[15-16]。

為了對蜜罐進行適當(dāng)?shù)墓芾?，蜜網(wǎng)防火墻為管理員提供了3 個配置選項，如圖2 所示。

圖2 蜜網(wǎng)防火墻結(jié)構(gòu)

2 特征生成算法設(shè)計

蜜網(wǎng)的正常運行需要建立在對網(wǎng)絡(luò)數(shù)據(jù)的正常識別之上，文中使用特征生成算法對通信網(wǎng)絡(luò)中的蠕蟲進行識別。針對單個和多個多態(tài)蠕蟲，使用特征生成算法生成身份簽名，實現(xiàn)檢測多態(tài)蠕蟲實例之間共享的不變子字符串，最終完成對惡意流量的識別。

2.1 單個多態(tài)蠕蟲簽名

若輸入是單個多態(tài)蠕蟲（即同一多態(tài)蠕蟲的諸多實例），則該算法將執(zhí)行以下步驟：

1）子字符串提?。簩τ诿總€實例提取子字符串；

2）二進制表示形式轉(zhuǎn)換：算法將每個實例子字符串轉(zhuǎn)換為二進制表示形式，并按升序?qū)ζ渑判?，然后將所有實例中的一個實例作為度量實例；

3）比較：在所有實例中，算法均會將每個實例的二進制表示形式與測量實例進行比較，以找出在所有實例之間共享的不變子字符串并將其用作簽名。

單個多態(tài)蠕蟲的簽名生成如下：定義一個具有n個實例（A1,…,An）的多態(tài)蠕蟲A，Ai的長度等于mi，i=1,…,n?，F(xiàn)將實例A1視為字符串令X為從A1中提取的子串最小長度，A1中第一個長度為X的子字符串是(a1a2…aX)。然后向右移動一個位置，提取一個新的子字符串(a2a3…aX+1) 。繼續(xù)這種方式，Ai的最后一個子字符串將是通常而言，若Ai長度等于M，最小長度等于X，則將通過以下等式獲得TSE(Ai)的總子串提?。?/p>

然后將X加1，并從A1的頭部開始提取新的子字符串。即第一個子字符串為(a1a2…aX+1)，子串的提取將繼續(xù)滿足X

在字符串提取的基礎(chǔ)上，對其進行二進制表示。對于多態(tài)蠕蟲A 的每個實例，該算法均會將其子字符串轉(zhuǎn)換為二進制表示形式，然后使用快速排序?qū)γ總€實例的二進制表示形式進行排序。字符串的二進制表示形式，如表1 所示。

表1 字符串二進制表示形式

對生成的二進制字符串，通過比較法來提取實例之間的關(guān)系，采用不變的二進制子字符串表示簽名。對于i=2,…,n，將A1的二進制表示與Ai的二進制表示進行比較。當(dāng)Ai的二進制表示值等于A1時，即可將其轉(zhuǎn)換為字符串并視為簽名。

比較算法的運作方式如下：首先，比較A1(S1J)和A2(S2K)的二進制表示形式。若J≤M1且K≤M2，則算法繼續(xù)；否則停止?？赡艹霈F(xiàn)如下3 種情況：

1）若S1J>S2K，則忽略連字符串間的比較，然后將S1J與S2K+1進行比較；

2）若S1J=S2K，則將S1J視為簽名，然后將S1J+1與S2K+1進行比較；

3）若S1J

該文將所有不變的二進制表示形式存儲在簽名池中。簽名池將新的不變二進制表示形式與現(xiàn)有不變二進制表示形式進行比較，以防止簽名冗余。然后，將對應(yīng)于不變二進制表示形式的子字符串作為多態(tài)蠕蟲簽名。

2.2 多個多態(tài)蠕蟲簽名

假設(shè)有兩種不同類型的多態(tài)蠕蟲A 和B，A 有n個實例(A1,…,An)，B有m個實例(B1,…,Bm)。在多態(tài)蠕蟲A 和B上，執(zhí)行在單個多態(tài)蠕蟲上應(yīng)用的相同步驟。

在比較步驟中，將一個實例作為其余實例的度量實例。若測量實例為A1，則將其與其余實例(A2,…,An，B1,…,Bm)進行比較?？梢园l(fā)現(xiàn)，在其余實例中，有一些具有與A1匹配高的二進制表示，還有一些則具有與A1匹配低的或零二進制表示。這意味著具有較高匹配的二進制表示實例是A 的其余實例(A2,A3,…,An)，其他實例則是B 實例。采用“單蠕蟲”中相同的方式，將較高匹配的二進制表示形式存儲在簽名池中，然后將與較高匹配的二進制表示形式相對應(yīng)的子字符串作為多態(tài)蠕蟲簽名進行匹配。

由此即可完成多態(tài)蠕蟲A 生成簽名，但隨后仍需要為多態(tài)蠕蟲B 生成一個簽名。

3 實驗驗證

通過設(shè)計實驗，對基于蜜網(wǎng)技術(shù)的安全網(wǎng)絡(luò)進行實際測試驗證。為了創(chuàng)建規(guī)則來檢測和阻止對蜜網(wǎng)的惡意攻擊，收集有關(guān)針對服務(wù)器的攻擊或攻擊模式的信息尤為重要。例如，若有意訪問數(shù)據(jù)庫服務(wù)器，則所研究的蜜罐系統(tǒng)必須了解其攻擊類型以及違反了哪種服務(wù)。一旦服務(wù)器陷阱獲得了攻擊模式，保護系統(tǒng)則會根據(jù)之前在防火墻或入侵檢測系統(tǒng)中配置的規(guī)則類型生成警報。每條指令均會生成一個行為統(tǒng)計信息，可以按服務(wù)、協(xié)議、IP 等進行區(qū)分。在服務(wù)器上檢測到的攻擊時間取決于攻擊者使用的機制，如圖3 所示。

圖3 DDoS攻擊統(tǒng)計

該文使用Wireshark 工具用于分析數(shù)據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)包，并將結(jié)果制成表格。表2 顯示了在受控環(huán)境中幾種攻擊類型的作法，以及可能攻擊者的IP、連接的類型以及IDS 訪問的規(guī)則，還觀察到了整個蜜網(wǎng)網(wǎng)絡(luò)中蜜罐的IP。

表2 可疑網(wǎng)絡(luò)接入報告

根據(jù)網(wǎng)絡(luò)檢測的統(tǒng)計結(jié)果，網(wǎng)絡(luò)管理員可使用兩種類型的限制來檢測、阻止網(wǎng)絡(luò)接入，分別是黑白名單和鼻息規(guī)則。

為了對搭載在硬件上的蜜網(wǎng)進行性能評估，基于SMTP 協(xié)議設(shè)計了一個測試，以監(jiān)視在并發(fā)入站連接下到達蜜罐的第一個推送數(shù)據(jù)包的延遲，蜜罐中安裝了SMTP 服務(wù)器（Postfix）。SMTP 客戶端腳本已安裝在遠程攻擊設(shè)備上，該腳本由以下5 個SMTP 命令序列組成：

實驗以每秒10 個連接的速度運行自動SMTP 客戶端腳本。該文記錄了到達蜜罐的每個連接的第一個推送數(shù)據(jù)包的持續(xù)時間，圖4 為不同場景下的實驗結(jié)果。

圖4 不同場景下的連接延遲

圖4中，當(dāng)包含有效載荷的第一個推送數(shù)據(jù)包到達蜜罐，則意味著攻擊者與蜜罐之間的TCP 連接已建立。因此到達蜜罐網(wǎng)絡(luò)接口的第一個數(shù)據(jù)包時間戳，可用于計算建立TCP 連接的持續(xù)時間。實驗結(jié)果表明，由網(wǎng)關(guān)和流量重定向機制處理后的連接比正常的前向連接所需要的等待時間長得多，而由流量重定向機制處理的連接等待時間短于正常的前向連接。分析可知，蜜罐網(wǎng)絡(luò)的等待時間較短，因此更適合于捕獲自動攻擊的情況。進一步表明了添加的蜜網(wǎng)流量控制機制提供了更復(fù)雜的功能，但不會造成性能損失。

在實時攻擊捕獲期間，發(fā)現(xiàn)了28 099 起攻擊事件。通過分析這些攻擊數(shù)據(jù)可知，多數(shù)網(wǎng)絡(luò)數(shù)據(jù)可通過設(shè)置過濾規(guī)則來減少計算機負(fù)載。為了盡可能多地捕獲數(shù)據(jù)，文中未設(shè)置數(shù)據(jù)過濾規(guī)則。若獲得更細粒度的流量，則可以實現(xiàn)數(shù)據(jù)縮減。通過引入鼻息規(guī)則，攻擊頻率從每天幾百次減少到每天幾次，因此自定義流量分類可強制執(zhí)行有效的數(shù)據(jù)縮減。

4 結(jié)束語

網(wǎng)絡(luò)攻擊通常針對數(shù)據(jù)網(wǎng)絡(luò)或其提供的服務(wù)。文中使用模擬蜜罐網(wǎng)絡(luò)陷阱來確定攻擊的源頭從而獲取數(shù)據(jù)，通過先前在網(wǎng)絡(luò)陷阱模擬中檢測到的攻擊模式來生成流量警報。通過實驗對設(shè)計的蜜網(wǎng)網(wǎng)絡(luò)的攔截數(shù)據(jù)統(tǒng)計分析、連接延遲等關(guān)鍵指標(biāo)進行驗證，證明該設(shè)計的魯棒性與安全性。

在通信網(wǎng)絡(luò)日益擴大的背景下，如何將集中式的蜜網(wǎng)安全網(wǎng)絡(luò)擴展至分布式網(wǎng)絡(luò)中并提高設(shè)備接入的管理靈活性，將是今后研究的重點。