维普资讯 http://www.cqvip.com 基于主动防御的陷阱网络系统 王利林 ・ 许榕生 (中国科技大学研究生院,北京100039) (中国科学院高能物理研究所计算中心,北京100039) E-mail:wll@nsg.ihep.ac.cn 摘要文章阐述了一个基于主动防御的陷阱网络系统,探讨了陷阱网络的概念、结构、实现和特点。从主动防御的角度 去解决网络安全问题,从而将黑客的入侵行为引入一个可以控制的范围,消耗其时间,了解其使用的方法和技术,追踪其 来源,记录其犯罪证据。 关键词 网络安全陷阱网络主动防御入侵检测入侵取证 文章编号1002—8331一(2002)17_0177_03 文献标识码A 中图分类号TP309 The Honeynet Security System Based on Proactive Defence Wang Lilin - Xu Rongsheng2 (Graduate School,University of Science&Technology of China,Beijing 100039) (Computing Center,Institute of High Energy Physics,CAS,Beijing 100039) Abstract:This paper introduces a Honeynet system based on proacfive defence,discusses its conception,construction, implement and character.hTe honeynet system based on proactive defence Can trap and track the hack,waste the hack's time and record his intrusion. Keywords:Network security,Honeynet,Proactive securiyt,IDS,Forensic l 前言 防御。 目前所采用的网络安全是建立在防火墙、入侵检测、漏洞 陷阱网络系统实用性之一是在网络上收集攻击信息,将收 扫描等这些被动防御的措施上,而在网络安全体系中采用主动 集到的信息作为学习和研究的资料,发现网络潜在漏洞,研究 防御的措施很少。为此作者研究了陷阱网络的概念、结构、实现 提升系统安全性的方法。 和特点,从主动防御的角度去解决网络安全问题,它能够完成 牵制和转移黑客的攻击,对黑客人侵方法进行技术分析,对网 3陷阱网络系统的结构 络入侵进行取证甚至对入侵者进行跟踪。 3.1 结构概述 陷阱网络系统是由分布在整个网络中的若干陷阱机系统 2陷阱网络的概念 和一个陷阱管理监控台组成。陷阱机系统是一个能够完成牵制 陷阱网络是一种专门设计来让黑客攻陷的网络或主机,陷 和控制网络攻击的子系统。它的一些外部特征可以将黑客攻击 阱网络在主动引入机制或诱骗机制的作用下,将黑客的入侵行 引入陷阱机系统的伪装环境,间接起到保护真实系统的作用, 同时也为将要发生的危险提供了预警功能。管理控制台是一台 为引入到一个可以控制的范围,消耗其时间,了解其使用的方 远程主机。对陷阱网络系统的所有陷阱机系统进行管理和监 法和技术,追踪其来源,记录其犯罪证据。陷阱网络系统可以适 控。网络陷阱系统包含了一个高效安全欺骗系统的所有的特 用于各种规格的网络,在网络防火墙、入侵检测系统等其他安 性:伪装环境、各种手段的欺骗、日志系统、报警和灵活简单的 全措施的配合下,能弥补原有安全防御的不足,大大地提升网 管理。如图1所示。 络安全性能。 3.2陷阱机系统概述 陷阱网络的构造思想是基于网络的开放性。只要一个系统 对于一个攻击者,陷阱机扮演一个合理的攻击目标的角 在网络上运行,就有可能被探知和攻击。因此,网络上的每台主 色。攻击者一旦选定这个目标,就可能施展各种攻击手段攻击 机都存在被攻击的可能性,且越是带有某些特定资源的系统越 陷阱机。陷阱机可以很容易地捕捉到各种攻击方法,从而及时 是容易受到攻击者的注意。对系统或网络进行一定的伪装和配 地采取措施对付这些方法。陷阱机系统根据搜集调查到的攻击 置,就有可能将入侵者成功地引入受控环境中。降低正常系统 信息,监视、欺骗攻击者,甚至可以使用一些工具对攻击者进行 被攻击的危险。从而将网络系统单纯的被动防御转变为主动 跟踪。 基金项目:中国科学院知识创新工程重大项目之子项目(编号:KJCXI-09);国家信息关防与网络安全保障持续发展计划项目子课题(编号:2001一 研3-004) 作者筒介:王利林,中国科技大学研究生院硕士生,研究方向为网络安全。许榕生,中国科学院高能物理研究所研究员、博士生导师,中科院信息办 专家组成员,研究方向为网络安全、黑客防范。 计算机工程与应用2O02.17 177 维普资讯 http://www.cqvip.com 任何应用软件,安装配置任何的应用程序或数据,只要它被主 机操作系统支持。一个伪装的环境在外表上可以蒙蔽攻击者, 使之相信他正在进行一次成功的攻击,特别是对那些有经验和 有专业知识的攻击者。 (2)目录系统伪装 在陷阱机的陷阱能够建立通用目录。这些目录由陷阱机的 通用目录生成模块产生,这些目录是随机创建的,因此没有两 个陷阱机的陷阱目录相同。陷阱机也产生可变的多层结构,使 攻击者要想检测到陷阱机的安装会有更多的困难。 (3)数据和文件伪装 陷阱机不在陷阱中放置数据的类型和数量。陷阱能装 图1陷阱网络系统结构 载任何类型的数据,只要它被主机操作系统支持。在功能允许 3.3陷阱机系统结构 下,陷阱中能够安装适当的数据,例如,如果一个陷阱伪装成一 陷阱机系统使用专门技术构建一个欺骗主机。在这台计算 个公开的web站点,这个陷阱就可镜像那个真实web站点, 并响应web请求。 机上,可建立多个操作系统伪装环境,称作陷阱。在一台陷阱机 (4)应用程序运行和服务伪装 上,可以创建若干个陷阱用来模拟被保护的主机。陷阱中的操 一个成功的陷阱必须能够运行与数据关联的应用程序。由 作系统和主机的操作系统相同,根据网络欺骗的需要,也可以 此,陷阱机系统几乎不各类型的应用程序在陷阱中运行, 伪装成另外的操作系统。陷阱机系统通过创建一个内核套,作 为陷阱和系统内核的接口,使陷阱的系统操作不能直接访问到 这些应用软件包括办公软件、浏览器、企业管理、个人信息管 理,以及大多数的应用服务,如web服务、FrrP服务、Telnet服 内核,起到很好的隔离作用。陷阱机系统安装在主机的操作系 务、DNS服务、文件服务和邮件服务,都将能运行在陷阱机系统 统上,而其内部陷阱可以作为几种单独的系统出现,每一个系 的各个陷阱中。出于安全的考虑,陷阱机系统仅与系统内 统都有它自己的网络接口。如图2所示。 核之间有直接接口的应用程序的运行。 4.3 陷阱机设置的策略 陷阱机应该是攻击者可能会首先攻击的目标。陷阱机成为 攻击目标的概率受多种因素影响,包括数量、名字配置、布置、 网络结构和系统的安全策略。每个因素的作用如下: (1)数量——成功防御攻击的百分比可以用一个陷阱机数 量和可提供的网络资源的总数的比值表示。所以,随着陷阱机 放置数量的增多,成功防御攻击的百分比就会增大。 (2)名字设置——通过使用给“陷阱”配置有吸引力的名 图2陷阱机系统结构 字,能够增大吸引攻击者入侵的概率。 (3)放置位置——当陷阱机连接了一个有吸引力的服务的 4陷阱网络系统的实现 时候,它受到攻击的可能性就会增大。如放置一个陷阱机到 DMZ,并且配置成一个web服务器或是兀1P服务器、DNS服 4.1概述 务器等,在逻辑上,陷阱机和服务器内在的服务是相同的,这样 陷阱网络系统的效能由它的结构和各个陷阱的功能决定。 就会更好地吸引黑客攻击。 当使用陷阱网络解决方案的时候,可以使用一个单机的解决方 (4)伪装策略——在陷阱机上可以伪装一些漏洞,使其看 案,也可以使用一个多机联合方案。通过使用一个多机联合的 起来在整个网络中相对于别的主机更容易被攻破。 方案,形成陷阱网络,可以大大增加网络系统抵御攻击的能力。 4.4陷阱网络日志系统 4.2陷阱机系统环境伪装 陷阱机系统需要安全高效的日志系统。陷阱机收集到的所 提供一个有效的伪装环境,这是完成成功欺骗的关键。黑 有信息,被存储在黑客不能够探测到的区域。黑客在每次攻击 客非常了解他们攻击的目标,包括目标的操作环境和系统。如 后都会非常仔细地删除他们的足迹。因此陷阱机日志不能被攻 果黑客对攻击目标的系统及其交互的环境感觉到不舒服,他们 击者访问到,而且这些日志信息不能被任何脚本和工具改变或 就会停止攻击当前主机而转向另一台。因为这个原因,单纯仿 删除。 真一个服务是不能完美地完成欺骗的,因为它仅提供功能 陷阱机的日志可以存储在本地,也可以被加密后,传送到 的伪执行。因此,陷阱机使用了一个近似真实的操作系统,并带 远程的日志服务器上。当加密的日志文件通过一个网段时,必 有那个操作系统应有的数据和应用程序,攻击者将不能检测到 须使外部的攻击者截取不到这个网络传输,同时在网络上还要 欺骗的存在。 隐藏所有陷阱机系统和别的系统之间的管理通信。 (1)操作系统伪装 在一个攻击行为或一个抵御攻击的管理行为发生时,保证 陷阱机系统通过使用主机的操作系统可以在陷阱中创建 陷阱机日志内容的完整性至关重要,这也是保证其法律有效性 伪装操作系统。通过使用主机的操作系统,在陷阱中可以装载 的关键。陷阱机可以使用RSA不对称签名算法产生一个数字 178 2002.17 计算机工程与应用 .l l一. l l__l 维普资讯 http://www.cqvip.com 签名序列,在每个日志文件都加入了一个HMAC,当每一次登 录发生时HMAC都会被更新,附加一个时间戳和一个数字签 名,然后再被插入日志文件。在事后通过验证工具能验证日志 视和跟踪。 (4)系统稳定,具有很强的自保护功能 完善的、复杂的伪装使黑客陷入其中,即便这样,每个陷阱 机的伪装环境都具有黑客不能突破的功能,并对操作系统 进行裁减,去除不需要的和危害安全的功能,另外,为了保证所 文件没有被篡改过,从而保证日志系统的安全。 4.5 陷阱网络管理监控系统 陷阱机管理监控系统是一个基于图形用户界面的控制台。 有的网络通信安全和日志完整性,采用了加密和隔离的手段。 (5)有效地抵御来自外部的攻击和内部的威胁 陷阱系统的安全策略建立在能同时抵御外部入侵和内部 系统管理员能够方便地管理陷阱网络的每一个陷阱机,陷阱机 和陷阱的所有设置都可通过管理控制台远程实现。 监控系统用于监视黑客的入侵过程。了解黑客的攻击方法 是对其最好的防御。陷阱机能在每一次攻击期间收集大量的数 据,并在被攻击时或被攻击之后,通过对这些数据的分析可以 了解更多的信息,采用更有效的对策。通过了解黑客的方法和 动机,也可以预先进行有准备的防御。 6攻击的安全解决方案上,可以有效地抵御来自内部的威胁。 (6)系统缺点 在一定程度上增大了系统开销(增大网络规模、网络传 输),增加了成本(硬件、软件、人员工作量)。 小结 陷阱网络系统是主动防御网络安全系统,它可以和现有的 防火墙、入侵检测系统产生互动,互为补充,实现网络安全的综 5陷阱网络的特点 (1)在功能上具有主动防御的特点 陷阱网络系统具有记录、分析黑客入侵过程的功能,这样 合防御。多个网络陷阱系统的相连形成陷阱网络,可以充分发 挥其安全特性,极大程度地提升网络安全。陷阱网络系统也可 就可以预先采取有效的手段防御以后类似的攻击;由于吸引黑 客的入侵,使其在陷阱机上花费大量的时间和精力,从而确保 了提供真实服务的主机的安全;跟踪功能可以对黑客进行有效 的追踪,配合入侵取证功能对计算机犯罪进行有力的打击。 (2)结构上具有分布式防御,集中监控管理的特点 作为欺骗主机的陷阱机可以被放置在任何一个网络节点 上,包括受保护的内部网络和“军事缓冲区”(DMZ),在这些地 方陷阱机可以起到相应的作用,而对它们的管理是通过一个远 程主机上的管理控制台来完成的。 (3)应用上适用范围广泛、使用灵活,可以伪装任何服务和 系统 以和入侵取证系统配合使用,有效地用于打击计算机犯罪领 域。(收稿日期:2002年6月) 参考文献 1.刘宝旭,许榕生等著.黑客防范技术揭秘【M】.机械工业出版社,2002 2.Know Your Enemy:Honeynets一20 Ap ,2001 Honeynet Project, http://project.honeynet.org 3.Josephine Schwabel,Nick Rohring.Lessons Learned from Deploying a Honey Pot.Inform ̄ion Security Bulletin,2000 4.David Rmkow.Building your own honeypot.http://www.1inuxseeurity. com 在任何规格的网络上都可以使用,模块化结构,便于实现 功能的增减。远程主机的管理控制台,实时实现控制、配置、监 5.Douglas B Moran.Tapping and Tracking Hackers.http://www.re— nIlfSe. nm (上接166页) 而决定是否允许用户登陆数据库系统。 5 QH—PDM系统采用Kerberos安全系统的软件实 现方法 Windows 2000操作系统为在其环境下运行的分布式应用 系统提供了调用Kerberos安全系统的程序实现方法,这些方法 简单易行,通过使用面向对象的技术,使原本对于程序开发者 非常复杂的调用过程变得非常简单。 使用Windows环境的面向对象的开发工具Delphi、C++、 6结束语 在一个开放的网络环境中,如何保护一个分布式应用系统 的安全,软件开发者应根据用户的安全需求等级在设计阶段提 出安全解决方案并对其可实现性加以分析论证,对于一个企业 级的应用系统,Windows 2000操作系统中的Kerberos安全系 统提供了一个高认证安全标准且易于实现的途径。 (收稿日期:2002年6月) Visual Basic编写QH—PDM系统的客户应用程序时,利用 Windows系统中的面向对象的数据库服务组件ADO、0LEDB 的附加安全属性设置支持Kerberos SSP的Net Library及相应 的网络传输协议便可实现对Kerberos系统的透明调用。 参考文献 1.宾晓华,周世斌.企业网路安全问题叨.计算机工程与应用,2002;38(1): 179-l82 SQL Server 2000是Microsoft为其Windows 2000操作系 统开发的SQL Server版本,为提高安全性,Microsoft为其开发 了支持Kerberos安全的接口,要使QH—PDM系统支持Ker- beros安全系统,软件开发人员可通过SQL Server服务器管理 工具将其身份验证模式设置为集成Windows方式,这样在无 需增加代码的情况下SQL Server便可透明地调用Windows环 境中的Kerberos SSP通过对客户端提交的Ticket进行验证,从 2.田凌,童秉枢.网路化产品协同设计的理论与实践叨.计算机工程应用, 2002;38(5):3-6 3.Steven A H.An Immunological Model of Distributed Detection and its Application to computer Security[D].PhD thesis.New Mexico,1999 4.童秉枢等.产品数据管理(PDM)技术【M】.清华大学出版社,2000 5.【美】Roberta Bragg著.倪小强,沈立译.Windows 2000安全技术【M】. 清华大学出版社,2002 计算机工程与应用2002.17 179
