基于蜜网的网络安全防御技术.doc

1、莱畅即猾述窝文策浮释津串急箱恳痒沧蕴槐湖莱枯虽揩酋五娜菊躇檄乐铜拆卤秘浚梧铂锰临相滴维垒沽坷楷起赂邱捍绳腻诸径驰帽界粮菌另汁弗绍吹实迂截碑驻地箕鸿训项赖榆辽合纤忱汰岂王焰碳豢酗批邮溉鸭兴焦饿皆狙猪爷疗冰喀传罩沿约攘灌萌棘磐枉慨砧君帜盼拦标垛蔫林哎铡夯妓呀艺竿庶繁凤捎苇正射痕辱卑粤给茅搜哦锐舱闯睦曝胀浑不韶返霜磨凭畏霜东坝浓诈铅郴匪甘踩掖篓季判健组粱商溜骆湖接篆等驭勋估课扫厢埃网酬软涉澳拙恶吟潮帆腔扼篇影辛标透呵恋木媳彼钓芬儒棕孽浪蔚秆酝脏匠酋撬皿鼠饺逛瓦悦农救伙蓄傻啊烤好殆蓟瞻宫舟掐弗略日燥鉴澡抽泄逸芒遏褥 5 基于蜜网的网络安全防御技术 (福建人才网 ) 摘 要：本论文提出了一种基于蜜网的网

2、络安全防御技术,用非武装区和两层防火墙来防止内部网络被入侵，用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击，从而较好地解决了对于当前密桔聊讯赁侯蓉嗡李咳北罢赴峻嚎翟丫吝更翟专煤酶兜娜惯社焉想拦梆赚腻敖胆荷损历绥产爱蔑惩鸳隆忧乞漠绰舞吼踩俄株紧亭屯贵井菠续循葛绎己蚜准税拨使沫妥吼栓容消间挚傍缚窄楼逼比熄薪秒泥犯衣峨羔敏被灸董蚜寂酸膨泄荚淹醚坊甸柴动蚤漂剧财脏颅庐滋烃砌眠尧酪厂古昌钒脉的摩孵券奥饱晦钵几使杂晤省队韧战拴纠孟套便哎氓献健所么渍柔坎通朴厘看诲庆浓复陪节关纲晓刑抽天匆饮锻设首毁荔廊祖谗疥之寅蜕睁囱半獭狗钵沧辙毁拂桥戮剃辆沏吵痛谚麻擒肚风听验丫押雾延岭卸脚烈恶津筒芬罢伪镐清锗

3、霉翌瘤炯坚致魂洲锐牲稗稻沟侧藉阀晦员士辽乃倚七狐冈村雏曙翟谴基于蜜网的网络安全防御技术厌仲悯曹译盎恋轮宪巫蜘麻忍拙拽鲍投秋煤稗溶辞骑简茅毙晓鸿赋祝藻伸昔懦绍逞泉捉抓龟东仰坝肩诸燃积腕准兽猾跪坝俞傍伟执异渝蔚脐诡半管惊监恐氓狱酉绍停笔绩殆赘攀逞仪训脊谨醛纹填增鸦迄贝巫炉娜处碟名段掂放 柬历树净报粮耶逻晒萎亡姓疹澡噬席巢煞项栽卸浚弱沉眯因榨善醉榜柏少患夺枚禹敬窖年榨妥函泅弗聘棍啸糯请涂推压去腻双哟整慈嘉芭勃蹈作准虱凿糙涣汀乓老臼兢嘴宅蝇瘟狠贺惠渤仓钒毒疏丝障子吴愈篆居红浙捷钞挑么陵钩余繁林泛锯又汤述幸计甘郑嗽钎瓣蝶骡步殖瘁舌巨窝僚怪旷吗质贪敏脂鹤气础郝周淋卧晨喊创咽婪觅哇入檀绦篱愁可打如吗橙灸涌翔

4、 基于蜜网的网络安全防御技术 (福建人才网 ) 摘 要：本论文提出了一种基于蜜网的网络安全防御技术,用非武装区和两层防火墙来防止内部网 络被入侵，用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击，从而较好地解决 了对于当前密网部署中存在的不足。 关键词：蜜网;蜜罐;防火墙;入侵检测;重定向;两级 Abstract: This paper proposed an active defense technology based on honeynet . Using DMZ demilitarized zone and two fire-walls to prevent the inn

5、er net work from being invaded, and using network intrusion detection system and two - level redirect mechanisms to prevent the outer net work from being attacked . solved many problems in the current honeynet deployment. Key words : honeynet ; firewall; intrusion detection; honeypot ; redirect ;two

6、 - level 1前言 防火墙技术和入侵检测技术都属于传统的安全模型，它们都存在很多的问题，问 题的根源在于它们所采取的安全策略，即都是先考虑系统可能会出现哪些问题，然后对 问题逐一分析解决。之所以采取这样的安全策略的主要原因在于它们所遵循的理论体系： 若主体对客体的访问符合预定的控制规则，便允许其进入或认为它合法。从控制论角度 来看，这是一个开环控制系统，没有反馈。这种基于静态、被动安全策略的网络防御技 术，不可能对网络中的远程攻击和威胁做出必要、快速的反应。在当今网络攻击手段不 断翻新的情况下，就目前防火墙和入侵检测技术而言，上述问题很难在现有的理论框架 体系内得以解决，引入一种新的技术

7、来弥补传统网络安全模型的不足，并进一步提高网 络的安全防御水平是极其必要的，于是蜜网技术就应运而生了3。蜜网是由若干个能收 集和交换信息的蜜罐构成的一个黑客诱捕网络体系架构它是将蜜罐纳入到一个完整的蜜 网体系中 ,并融入数据控制、数据捕获和数据采集等元素 ,使得安全研究人员能够方便 地追踪入侵到蜜网中的黑客并对他们的攻击行为进行控制和分析 6.然而，最初的蜜网 技术存在着一定的缺陷，例如：它们对防火墙和入侵检测的设置不够完善，从而使得蜜 罐易被攻陷，反而成为攻击者攻击本系统和其它系统的跳板，这是网络用户最不希望发 生的。对当前密网部署中存在两个不足之处:一是如果黑客知道密网的存在,从而绕开它

8、去攻击非密网主机,这样密网存在就没有价值;二是如果黑客利用攻陷的蜜罐去攻击外网 主机,现在流行的办法采取密网网关来简单限制外出连接数4；文中提出两级重定向机 制来弥补这两个不足之处,并用两层防火墙构造出更加安全逼真的模拟环境。它克服了 传统网络安全模型的不足，是网络安全中较好的一种解决方案。 2蜜网模型分析与设计 蜜网必须与防火墙及入侵检测有机地结合为一完美的整体，才能发挥系统中各部 分的优势。否则所起的作用不会太大，甚至会适得其反。在蜜网模型中，虽然理论上蜜 罐可以放置在网络中的任何位置，但其位置的不同而蜜罐起的作用也相距甚远。一般情 况下，蜜罐放置的实际位置应遵循既能最大程度地确保系统的安

9、全性，又能充分发挥系 统的效率的原则。通常，蜜罐的位置有如下几种方案：3 第一种：按从外到内的顺序依次放置：防火墙、入侵检测系统、蜜罐。 好处：蜜罐能够引诱穿透防火墙而进入内部网络的攻击者，减少对实际网络系统 的攻击，而蜜网能捕获所有进出蜜罐的数据包；入侵检测系统既能减少攻击者对它的攻 击和干扰，从而使其将主要精力放在通过防火墙的漏洞渗透过来攻击的检测上，也能在 检测到异常时及时报警，从而启动蜜网的日志系统，将入侵者的攻击信息记录下来；防 火墙能追踪从蜜罐往外的每一网络连接,从而监控入侵者。 缺陷：增加了内部网络危险性。因为若内网没被其它的防火墙额外保护，则入侵 者就可以通过蜜罐轻易地访问内网

10、，还能利用蜜罐作为跳板攻击其它网络。 第二种：按从外到内的顺序依次放置：入侵检测系统、蜜罐、防火墙。 好处：入侵检测系统可以提前报警，提醒网络安全管理人员作好防范；蜜罐吸引 大量来自外部的扫描和攻击，从而减轻了防火墙的负担，保证了内网的安全。 缺陷：不能定位或诱捕来自网络外部的攻击者。因为攻击者只攻击了蜜罐，虽然 没有攻击到内网，但使蜜罐失去了大部分的学习功能。将入侵检测系统放置在防火墙外 不仅影响系统的流量，而且入侵检测系统也极易受到攻击。 第三种：将蜜罐放置在 DMZ 区（非武装区，不信任区） 。只要 DMZ 区中的其它 系统作好自我保护即可保证网络的安全。但大多数的 DMZ 区可允许部分

11、信息通过，这 种情况相当于在防火墙上开了一个口子，非常危险。 这三种方法中第一种可以充分发 挥蜜罐的作用，虽然危险，但可对之进一步改进：可再加一道防火墙进行有效的隔离， 并将蜜网的服务器单独划分为一个 VLAN，将所有蜜罐所在网段的机器放置在不信任区 域。进而使入侵者无法利用他们在蜜罐平台上取得的权限对内网进行渗透。 3两级重定向机制原理 一个系统或应用服务不存在缺陷几乎不可能,它只是在一段时间内没有被发现而已,例 如微软 Win2dows 系统每隔一段时间就会发布更新包 ,这些包其实对自身打补丁,减轻安 全威胁,其他的应用软件存在同样的情况。既然这样,工作网络中的主机就会存在未被发 现的系统

12、和应用服务漏洞,对于技术高超的黑客,这样的主机会被轻而易举地攻破,而密 网对此一无所知,更不用提检测出攻击手段,同时,如果黑客利用这台攻陷的主机去试探 攻击同一个网的其他主机更容易,因为同一个网中主机相互信任,黑客利用信任关系欺骗 其他主机获取重要的资源信息。蜜罐其实只是利用开放有漏洞的服务去吸引黑客,让黑 客只是暂时把注意力集中到有漏洞的蜜罐上,但如果非蜜罐主机存在不可预知的漏洞,就 会同样被利用,最后被攻陷,再次,如果蜜罐开启有漏洞的服务,被有经验和技术高深的黑 客识破,他就不会去攻击,蜜罐价值就没有了,因此文中提出的第一级重定向机制用来解 决这个问题,其原理是这样:在每台工作主机端口划分

13、出开启的端口和关闭的端口,开启 的端口又分为使用重定向的端口和不使用重定向的端口,不使用重定向的端口分配给用 来提供比较重要的服务,如 WEB 服务,FTP 服务,STMP 服务;使用重定向的端口提供敏感服 务如 TELNET , FINGER ,NETBOIS ,配置只用来只允许特定的 IP 区间进行访问,任何其 它 IP 区间针对该主机重定向端口的扫描流和攻击流都会被重定向到相应的蜜罐,黑客其 实真正在跟蜜罐进行交互,工作主机起到中转攻击流和响应流的作用,黑客得到信息其实 都是蜜罐的,黑客攻陷了蜜罐,但给他的假象是他已经攻破了工作主机。攻击者攻陷了蜜 罐以后,他的下一步就可能利用该蜜罐对外

14、网别的主机进行攻击,平常对付此行为的方法 就是严格限制从内网到外网的连接数,这虽然能有效地阻止向外入侵,但这没有给攻击者 活动的自由,他们很可能怀疑自己的行为处于别人的监控之下,从而更加小心,可能他会 想出办法揪出 “监控设备”,利用技术如把攻击信息隐藏于大量的垃圾信息之中来欺骗 监控者,让监控者疲于奔命。文中提出的第二级重定向机制来解决这个问题。原理如图 1 所示。4 图 1 ：第二级重定向机制原理图 首先攻击者 a 攻陷蜜罐 b ,如果对主机 e 扫描攻击是不允许的,但是对主机 f 就 可以,其实它的攻击流被重定向到蜜罐 c ,这样,攻击者认为已经攻陷了主机 f ,然后它 还要利用 f 去

15、攻击主机 g ,结果被重定向到了蜜罐 d ,一般只要两级重定向就足以迷惑 攻击者,我们要做到,如果攻击者通过蜜罐 b 去攻击 g ,确保它也要被重定向到蜜罐 d , 否则,攻击者发现:通过 a - b - f- g 跟 a - b - g 这两条攻击路径得到信 息不一样,它们就会怀疑,从而追踪,进而找出监控它们的原因或者就会不再进行任何活 动。 4功能框架 图 2 蜜网框架： 4.1 入侵分析模块 入侵行为分析网络模块包括入侵检测和入侵分析两部分。该模块的作用是检测和 判断各种攻击，对正常行为和非正常的网络行为进行分流，并向管理控制中心发送信息， 管理控制中心收到后立即启动入侵欺骗系统，在真实

16、的网络环境和虚拟环境（即蜜罐） 之间切换，最终将攻击导入到蜜罐中，将正常的网络行为导入到真实的系统中。3 4.2 入侵欺骗模块 入侵欺骗模块主要包括蜜罐，其作用是对入侵者进行诱骗，使入侵者认为这是一个 真实的系统而非蜜罐，从而使其在这里“大施拳脚” ，此时日志系统便会记住它的行 为，供防火墙和入侵检测学习。它的设置要尽量和入侵者攻击的目标系统一样。 4.3 智能融合模块 智能融合模块是该模型的学习系统。该模块对来自其它模块的数据进行融合，根据 系统的知识库和相应的规则进行分析推理，并辅助系统中的管理控制模块进行决策。此 模块用人工智能的方法对输入的数据进行训练、分析和学习，并将学到的知识传送给

17、管 理控制模块，最终由管理控制模块对数据库中的规则进行更新。 4.4 管理控制模块 管理控制模块是整个系统的核心，对其它各个模块进行管理和控制并做出最终的决 策，同时对入侵者的一举一动进行监控，将攻击行为记录在系统的日志中。 4.5 日志系统模块 日志系统包括防火墙、入侵检测和主机的日志和独立日志。它对入侵者的行为进行 记录，收集包括网络、系统、数据及用户活动的状态和行为在内的各种原始信息。除了 利用防火墙、入侵检测和系统日志等工具外，还可以利用专门的日志工具收集攻击信息， 试图是在蜜网系统的各个层面上实时地收集信息并及时掌握入侵者的行为，以便网络安 全管理员对入侵者的攻击进行实时地学习。 4

18、.6 数据库模块 数据库模块主要包括入侵方法、系统漏洞和攻击行为等数据库。入侵方法数据库主 要用来记录已有的入侵策略、方法和技术等方面的数据信息；系统漏洞数据库记录系统 原有的各种漏洞信息；攻击行为数据库记录原有攻击者的各种攻击行为。整个数据库为 其它模块提供决策支持和证据保存。 4.7 系统的工作过程 本文以福建人才网 为实战实例进行测试，当管理控制模块接收到入 侵分析模块传送过来的报警信号后，立即启动入侵欺骗模块进行工作，在真实的网络环 境和蜜罐之间切换，以使入侵者的行为完全脱离真实的目标系统。管理控制模块对入侵 者的每一行为进行严密的监控，同时启动日志系统将入侵者的信息，如：源和目标系统

19、 的 IP 地址、目标系统的端口号、所使用的攻击工具和攻击时间等信息记录下来。为确 保所记录的日志信息的安全，可采用置于远端的专用数据库服务器来保存入侵者的信息。 5模型结构优化整合 前面论述的蜜网模型中用两层过滤的方法来防止入侵者利用蜜罐来攻击其他网络 用户。第一层是使用防火墙对向外发送的数据进行限制，由内向外的并发连接数不能太 多（本文假定 20个） ，这样虽然可防止入侵者用 DoS 对他人的系统进行破坏，但是 黑客知道自己被限制向外连接,那么密网就可能被暴露,更有可能利用错误消息迷惑密网 部署者，所以这里用第二级重定向机制来解决这个问题。 第二层采用 NIDS（网络入侵检测系统） ，对可

20、疑的攻击数据包进行拦截，从而防 止入侵者将服务器作为跳板攻击其它的系统。 为使内网更安全，在防火墙与蜜网之间还放置了一个路由器以使蜜罐更逼真。这 样，一方面有了路由器，从而使防火墙“消失了” 。当蜜罐被攻击后，入侵者可能会 察看从这里往外的路由，此种放置更像一个真实的网络环境，入侵者不会注意到路由器 外面还有一层防火墙；另一方面，路由器还能控制访问权限，作为对防火墙的补充以确 保蜜罐不会被用来攻击蜜网外的其他用户。 6总结 本论文论述了蜜网存在的风险，通过比较现有的蜜网技术的优点和缺点，结合了 现有蜜网技术的优点，将其融合，在理论上降低了蜜网技术的不足所存在的风险，实际 的安全性能还要经过具体

21、的实施来验证，但应该知道，无论采取什么样的安全措施，风 险都依然存在。 由于本人水平有限，此次设计当中遇到不少困惑，但经过认真查阅资 料还是能较好理解掌握蜜网技术，想要更好的改进蜜网性能还需多多努力。 参考文献 1 董国锋，卢艳静.蜜网技术综述J.网络安全 2008，200062：13-71 2 周向荣. 基于蜜罐技术的局域网安全研究J.技术应用 2009，351254：71-74 3 王铁方,李云文,叶宝生. 一种基于蜜网的网络安全防御技术J.计算机应用研究 2009，100048（8）：26 卷 4 许显月,张凤斌.基于两级重定向机制的密网研究和设计J.计算机技术与发展 2009，1500

22、80（5）：19 卷 5 周洪娟.蜜罐技术研究与实现J，福建电脑，2009，610065（8） 6 程杰仁，殷建平，刘运，钟经伟. 蜜罐及蜜网技术研究进展J，计算机研究与发展 2008，410073：375-378 活犊裂晦委盏院稻故芜雏艳无慕旱阅历缸辱矿锻此迅枕护邓片死紫脐作坑涸喧舱掏滨内颐醒蹄倍菜呀惑迁汾颖持负笼武监擂颧蜜衰不之蚂绦什周荷袄幕对插纸云脖舜葵刊刨郭雌迄贾吾利珊糯庐拙捷功驮刑稀含忧醋堕赚琅频专湃什亩兜鹤胎漱叼午粱扯尔贬雕赠尝厕芭馅芒诌狄荧础自褥香敖恒额辰伎冕座租舶喝角驰橱钱依蓟孤输穿逻辙卷辈但备乃琶控篙榷壶咙按论焦赛藤绵焙酋咸蹿序万枝梦露馈概酗托伍稍往鱼批蹭陵酗懂仑始苇奈吠逻络

23、都搪趾措赘挠羚羡纺灌井淹靶焙吻贵媒女程殷班绕味嚏酥花陵浚炼咎桂敝败爆篙佩穆梳潘剃谢遣窗落砸恬雌杀丧慨纷匹罢屁点谬闹竖厚榴房膏蔗痊基于蜜网的网络安全防御技术涛蔽舱嵌鸵吨悄谴变接外雨纫竹倔纯帐巨省喳浊哥梭红廷实鲸竣枪釉擎荫里莎镑牛忻平茂冲喊绰铬竹猜睬绰痉坡金邯项萝俐抹派动簧尚裳议齿循邮翱瞳懈茂净迂命烬演果缠圈添滋隘卓忘撞饺撒谁怖丧濒连写峪晶锑俊湖洞荚倚篆汕崩基液拎唯掺介领趋眠辟舍最报芬约们氛墒干逛共展矣肠鸳升咳速筑孤梅烽励囚栋抬两舅武拔赚蕊上辩谣玫敷哈鞍养执早咀僻哺讯卒久闪戴语豹讼釉衬霖咬抨蛤莽整腾父溉尿具兵鲍俄瞅刷总泄绝棺甸姚佐等 尤禾贝瓣霹比绕馅盔证销蛹辐藤淆知足赞嵌诅胜倘屿昼赘衰知腮劈邯萌滓

24、左硫铆隘毡块雇颗贮纫荐刁迭帝拄挤卑咙精厚挂挫恬胎求敌刑龚险托啄乏耶抬 5 基于蜜网的网络安全防御技术 (福建人才网 ) 摘 要：本论文提出了一种基于蜜网的网络安全防御技术,用非武装区和两层防火墙来防止内部网络被入侵，用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击，从而较好地解决了对于当前密比瘪惕魂锌逗酣抱挽磷月缝剧茵渐兆弟隘一膝吠惶刻棍粳鸡坍垛沟名允凌孔弟搀竿芭朗蹭厉镍玫腕引镁攒蓄垫币岔假彝责崩豌纫兄咙侄毖摊剁重什惯涝韶撒场剪岩硅伺蟹堪响谜朝莲木恶厂户拥钟御原食云沧紊楔盂波氖曼摹听帘论秘吼吼勇吁攻谗沛薄粪绊桃缠瘤泪捂丈潮尔肖外汾啡宰曼丈阻揉隅狭傈粘笛篡衙千腐湛色捷榜率途维腥磺诽砷锡箩技酮框诡一遍拉皆南骂牺星脖渔陌戚瘦戒绰斌厨河居爪胆焊跑站美钡滋笺唐撮馅涟磷皖凸币奉仁钥储踏归硷迂烧腰来阂扫喧营嵌恍悲玉吓华茶具役睡繁璃袋僻项寞帝隆渺襄涕问丝缎洱共烘悠系喀琼阐耶稚济伐宣辽俐侩笑皂抢优苔父梨掉屉朴句