基于主動防御的Ｈｏｎｅｙｎｅｔ的分析與實現

鄭昌興　羅　揚

摘要：本文探討了Honeynet（陷阱網絡）的概念、實現、特點。闡述了從主動防御的角度解決網絡安全的問題，從而將入侵者的行為引入一個可以控制的范圍，了解其使用的方法和技術，追蹤其來源，記錄其所有的操作。

關鍵詞：網絡安全；陷阱網絡；主動防御；入侵檢測

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)18-20000-00

The analysis and implementation of Honeynet Based Proactive Defence

ZHENG Chang-xing1,LUO Yang2

(1.Nanjing Political College,Nanjing 210003,China;2.Jinling School of Science and Technology Institute of Information Technology,Nanjing 211169,China)

Abstract: This paper introduces Honeynet based on proactive defence, discusses its conception, implement and character. The Honeynet based on proactive defence can trap and track the hack and record his intrusion.

Key words: Network security; Honeynet; Proactive defence; Intrusion Detection

隨著計算機網絡技術的快速發展，人們對網絡的依賴程度越來越高，這使得如何保護網絡自身安全以及網絡上信息的安全成為一個迫切需要解決的問題。為了提高網絡及其信息的安全性，人們已經采用了諸如防火墻、入侵檢測、加密等技術手段，然而，這些網絡防范技術大多基于規則和特征匹配的方式工作，且是針對現有攻擊技術的。隨著攻擊技術的發展，現有防護技術往往無法識別新的攻擊技術，因此總是處于被動地位?；谥鲃臃烙枷氲腍oneynet（陷阱網絡）的提出扭轉了這種局面，通過配置Honeynet（陷阱網絡），可以詳細了解入侵者的入侵過程、及時發現新的攻擊技術，同時還可以提供相同配置網絡所存在的安全風險和薄弱環節的信息，因此研究Honeynet對于提高防護能力具有極其重要的意義。

1 Honeynet的概念

Honeypot即蜜罐系統最初由幾位計算機安全專家在論文中提到，它是指建立一個或多個對網絡入侵者具有一定吸引力的系統，并且可以對系統內所發生的活動進行監測。通過監測來往Honeypot的活動，來識別問題所在，并能夠合理地推斷出入侵者的入侵方式，以及他們在系統中的行為。Honeypot是與已有系統相聯的單獨系統，其目的在于吸引攻擊者。

Honeynet即陷阱網絡是Honeypot的發展，是專門為入侵者攻擊設計的網絡。其工作原理為：在主動引入或誘騙機制的作用下，將入侵者的入侵行為引入到一個可以控制的范圍，消耗其時間，了解其使用的技術和手段，追蹤其來源，記錄其所有操作。如圖1所示，Honeynet位于一個防火墻之后，由多個Honeypot組成，所有的進出內部網絡的數據都會被容納、捕獲和控制。并對所捕獲的信息進行分析，以獲取關于入侵者攻擊的信息。

圖1Honeynet應用示意圖

這里的Honeypot可以是各種類型的系統如Solaris、Linux、Windows NT、Cisco交換機等等，其優勢在于可以為入侵者創造一個更具有真實“感覺”的網絡環境。所有置于Honeynet內的系統都是標準的產品系統，這些系統都是真實的系統和應用，與當前Internet上的系統一致。

2 Honeynet的設計實現

設計實現Honeynet包括兩個關鍵性的主要因素：數據控制和數據捕獲。

數據捕獲是指捕獲可疑入侵者在Honeynet中所有的行為以及流入和流出Honeynet的數據。由于Honeynet經常處于入侵者的攻擊環境中，捕獲數據需要注意兩點：一是在捕獲數據時要防止入侵者知曉自己正處于監視之下；二是捕獲到的數據不能保存在Honeypot本地，因為這樣入侵者就有可能會發現這些數據，從而提醒他們該Honeynet的實質，而且當入侵者摧毀或者修改了系統時這些數據就會丟失掉。

數據控制是指進出Honeynet的流量必須要以一種自動的方式加以控制，以免引起入侵者的懷疑。一旦Honeynet內部的某個Honeypot被入侵者攻破，就必須要容納該入侵者并且要確保該Honeypot不會被用來攻擊其他網絡中的正常系統。因此實現數據控制的方法是創建一個高度受控的網絡。圖2所示，為Honeynet的實現方式。

圖2 Honeynet結構示意圖

2.1.數據捕獲

數據捕獲是Honeynet內部所進行的全部活動的集合，是Honeynet的全部目的所在。如果捕獲數據失敗，Honeynet也就失去了作用。因此Honeynet采用分層技術來捕獲數據。

第一層為訪問控制設備層，如防火墻或者路由器。任何進出Honeynet的報文都必須經過這些設備，正常情況下，它們的日志會記錄下進出Honeynet的活動。對于大多數網絡而言，TELNET、RPC以及ICMP是很常見的，因此區分出正常的RPC請求和惡意的攻擊掃描是比較困難的?？刹扇∪缦碌慕鉀Q方法：對所有進出網絡的數據進行標記。不僅要在防火墻處記錄下這部分信息，而且還希望能夠對它們的出現加以預警。因此可以對Honeynet的防火墻進行配置，使得無論何時只要出現了請求連接的嘗試就進行預警。

第二層為網絡層，對網絡中流動的所有報文進行捕獲和分析。該層會收集兩類信息：可疑的簽名預警和報文載荷。其中可疑的簽名預警指的是根據報文簽名尋找可疑活動或者惡意活動的過程。一旦識別出了此類簽名，就會發出警報；由于報文載荷會準確地告知網絡上當前正在進行的活動，因而其對數據分析而言是極為重要。入侵檢測系統能夠根據可疑簽名捕獲到整個報文載荷及發出預警，可將上述兩項功能組合到其中。此外，使用入侵檢測系統不僅可以捕獲進出Honeynet的流量，而且可以捕獲進出Honeynet內各honeypot的流量，進出Honeynet內各honeypot的流量是防火墻和訪問控制日志所無法捕獲的數據。

要捕獲所有的數據，單純依靠防火墻日志或者入侵檢測系統是不夠的。例如，如果某個入侵者對Honeynet使用了諸如ssh之類的加密通信，那么進行數據捕獲會更加困難。在這種情況下，就只能依靠系統本身來捕獲擊鍵和系統活動。系統對數據的捕獲就構成了數據捕獲的下一層。一旦系統被攻破，它就可以提供大量信息，這些信息包括入侵者所使用的工具、源代碼、rootkit、配置文件以及諸如.history或進程統計之類的系統文件。

然而，如前所述，不論系統捕獲到的數據是什么都不能將其保存在本地。所有的系統數據都必須進行遠程保存，以保證其完整性。在Honeynet內部引入一個專用的系統日志服務器（Log/Alert服務器），其目的是收集來自Honeynet系統的所有系統日志。同時系統日志服務器本身也是一個復雜的Honeypot，而且是Honeynet中最受安全保護的系統，這樣就可以讓入侵者亮出他們最為復雜的工具和戰略。

2.2 數據控制

圖2中包含三大網絡，分別為：Internet，Honeynet和管理網絡，并且用防火墻隔開。其中Internet是不可信網絡，是入侵者的來源地。Honeynet是一組Honeypot的集合。管理網絡是一個可信的網絡，也是進行遠程數據搜集和Honeynet網絡管理的地方。進入Honeynet的所有流量都必須首先經過防火墻。防火墻對于數據控制和網絡分割是相當關鍵的。防火墻定義了三條規則，用于控制數據的流向。

1)何人都可以發起從Internet到Honeynet的連接。

2)防火墻控制著Honeypot能夠發起與Internet連接的方式。

3)Honeynet和管理網絡之間沒有任何直接的通信。

第一條規則定義了防火墻允許一切入站的流量，從而也就允許入侵者探測、識別和攻擊易受攻擊的系統；第二條規則定義了允許從Honeynet向Internet發出連接的數量，這個數量必須仔細的選擇，因為一旦某個Honeypot被攻入，如果入侵者不能發起通往Internet的連接，他們中的大部分人就會迅速對該網絡產生懷疑；若允許無限制的對外連接，被攻入的系統就有可能被用于探測或者攻擊Internet上的其他系統；第三條規則禁止Honeynet和管理網絡直接通信，因為該網絡在Honeynet內是極為關鍵的，負責數據的收集和Honeynet網絡的管理，禁止Honeynet和管理網絡的直接通信，就可以防止入侵者以Honeynet為跳板，入侵管理網絡，從而清除捕獲的數據。

2.3 實現Honeynet所要注意的問題

配置和使用Honeynet往往意味著要承擔一定的風險。在Honeynet的一般設置中，系統均為默認安裝。也可以通過設置系統可以“讓Honeynet更加甜美”，如：向系統中添加用戶賬號，甚至是一些真實賬號，并將這些用戶加入到郵件列表中，創建這些用戶間的E-mail，使得他們看上去處于活動狀態。入侵者常常會試圖去嗅探此類流量并從中捕獲登錄/密碼。不過在“讓Honeynet更加甜美”的同時，也相應的增加了Honeynet的風險性。

要確保采取一切措施以降低其風險性，持續進行監控，并要維持一個安全的環境。雖然防火墻可以監控外網發起的連接，但入侵者還是有可能躲避訪問控制，即使對出站連接加以嚴格的限制也不例外。不妨假定高度安全的Honeynet嚴格限制了出站連接的數目，只允許其中的每個系統發起一次對外的連接。一旦某個honeypot被攻破，入侵者就可以利用這個惟一的允許連接，使用FTP從Internet上下載所需的工具包。

3 Honeynet的特點

Honeynet是一個在網絡信息攻防中產生的一個新技術，正如一切新技術一樣有待進一步完善。Honeynet的主要優點包括：

1)Honeynet具有主動防御的特點：陷阱網絡系統具有記錄、分析入侵者入侵過程的功能，這樣就可以預先采取有效的手段防御以后類似的攻擊；由于吸引入侵者的入侵，使其在陷阱機上花費大量的時間和精力，從而確保了提供真實服務的主機的安全；跟蹤功能可以對入侵者進行有效的追蹤，配合入侵取證功能對計算機犯罪進行有力的打擊。

2)系統穩定，具有很強的自保護功能：每個偽裝環境都具有入侵者不能突破的功能限制，完善的、復雜的偽裝使入侵者陷入其中，另外，為了保證所有的網絡通信安全和日志完整性，采用了加密和隔離的手段。

3)有效地抵御來自外部的攻擊和內部的威脅：陷阱系統的安全策略建立在能同時抵御外部入侵和內部攻擊的安全解決方案上，可以有效地抵御來自外部和內部的威脅。

Honeynet的主要缺點包括：

1)Honeynet是復雜的系統，需要經常的維護、管理和監視。

2)構建和使用Honeynet存在一定的危險性。

3)在一定程度上增大了系統開銷（增大網絡規模、網絡傳輸），增加了成本（硬件、軟件、人員工作量）。

4 結束語

Honeynet提供了一種主動地了解入侵者的目的、工具和手段的方法，其主要目的是學習和了解入侵者。它引入了不同的思想方法，不是消極防守，而是主動地實時監視、觀察入侵者，陷阱和實際的網絡結構比較相近，有重要的實際應用價值，但是陷阱也不能解決所有的安全問題和觀測到所有入侵的手段，只有正確地管理和應用陷阱，才能正確地評價自己的網絡和入侵者。

參考文獻：

[1] Honeynet Project. 入侵者大揭密[M].北京：中國電力出版社，2003.

[2] 王利林，許榕生.基于主動防御的陷阱網絡[J].計算機工程與應用,2002,38（17）：177－179.

[3] 尤元建,畢建良,鄒榮金.入侵監測－陷阱技術分析及實現[J].江蘇大學學報，2002，23(1):87－90.

[4] 劉寶旭,許榕生.主動型安全防護措施－陷阱網絡的研究與設計[J].計算機工程，2002，28(12):9-12.

收稿日期：2008-04-17

作者簡介：鄭昌興（1979-）男，新疆昌吉人，南京政治學院講師，碩士，主要從事網絡信息安全研究。