基于蜜网的网络安全防御技术

1基于蜜网的网络安全防御技术(福建人才网)摘要：本论文提出了一种基于蜜网的网络安全防御技术,用非武装区和两层防火墙来防止内部网络被入侵，用网络入侵检测系统和两级重定向机制的方法来防止外部网络被攻击，从而较好地解决了对于当前密网部署中存在的不足。关键词：蜜网;蜜罐;防火墙;入侵检测;重定向;两级Abstract:Thispaperproposedanactivedefensetechnologybasedonhoneynet.UsingDMZdemilitarizedzoneandtwofire-wallstopreventtheinnernetworkfrombeinginvaded,andusingnetworkintrusiondetectionsystemandtwo-levelredirectmechanismstopreventtheouternetworkfrombeingattacked.solvedmanyproblemsinthecurrenthoneynetdeployment.Keywords:honeynet;firewall;intrusiondetection;honeypot;redirect;two-level1．前言防火墙技术和入侵检测技术都属于传统的安全模型，它们都存在很多的问题，问题的根源在于它们所采取的安全策略，即都是先考虑系统可能会出现哪些问题，然后对问题逐一分析解决。之所以采取这样的安全策略的主要原因在于它们所遵循的理论体系：若主体对客体的访问符合预定的控制规则，便允许其进入或认为它合法。从控制论角度来看，这是一个开环控制系统，没有反馈。这种基于静态、被动安全策略的网络防御技术，不可能对网络中的远程攻击和威胁做出必要、快速的反应。在当今网络攻击手段不断翻新的情况下，就目前防火墙和入侵检测技术而言，上述问题很难在现有的理论框架体系内得以解决，引入一种新的技术来弥补传统网络安全模型的不足，并进一步提高网络的安全防御水平是极其必要的，于是蜜网技术就应运而生了[3]。蜜网是由若干个能收集和交换信息的蜜罐构成的一个黑客诱捕网络体系架构它是将蜜罐纳入到一个完整的蜜网体系中,并融入数据控制、数据捕获和数据采集等元素,使得安全研究人员能够方便地追踪入侵到蜜网中的黑客并对他们的攻击行为进行控制和分析[6].然而，最初的蜜网技术存在着一定的缺陷，例如：它们对防火墙和入侵检测的设置不够完善，从而使得蜜罐易被攻陷，反而成为攻击者攻击本系统和其它系统的跳板，这是网络用户最不希望发生的。对当前密网部署中存在两个不足之处:一是如果黑客知道密网的存在,从而绕开它去攻击非密网主机,这样密网存在就没有价值;二是如果黑客利用攻陷的蜜罐去攻击外网主机,现在流行的办法采取密网网关来简单限制外出连接数[4]；文中提出两级重定向机制2来弥补这两个不足之处,并用两层防火墙构造出更加安全逼真的模拟环境。它克服了传统网络安全模型的不足，是网络安全中较好的一种解决方案。2．蜜网模型分析与设计蜜网必须与防火墙及入侵检测有机地结合为一完美的整体，才能发挥系统中各部分的优势。否则所起的作用不会太大，甚至会适得其反。在蜜网模型中，虽然理论上蜜罐可以放置在网络中的任何位置，但其位置的不同而蜜罐起的作用也相距甚远。一般情况下，蜜罐放置的实际位置应遵循既能最大程度地确保系统的安全性，又能充分发挥系统的效率的原则。通常，蜜罐的位置有如下几种方案：[3]第一种：按从外到内的顺序依次放置：防火墙、入侵检测系统、蜜罐。好处：蜜罐能够引诱穿透防火墙而进入内部网络的攻击者，减少对实际网络系统的攻击，而蜜网能捕获所有进出蜜罐的数据包；入侵检测系统既能减少攻击者对它的攻击和干扰，从而使其将主要精力放在通过防火墙的漏洞渗透过来攻击的检测上，也能在检测到异常时及时报警，从而启动蜜网的日志系统，将入侵者的攻击信息记录下来；防火墙能追踪从蜜罐往外的每一网络连接,从而监控入侵者。缺陷：增加了内部网络危险性。因为若内网没被其它的防火墙额外保护，则入侵者就可以通过蜜罐轻易地访问内网，还能利用蜜罐作为跳板攻击其它网络。第二种：按从外到内的顺序依次放置：入侵检测系统、蜜罐、防火墙。好处：入侵检测系统可以提前报警，提醒网络安全管理人员作好防范；蜜罐吸引大量来自外部的扫描和攻击，从而减轻了防火墙的负担，保证了内网的安全。缺陷：不能定位或诱捕来自网络外部的攻击者。因为攻击者只攻击了蜜罐，虽然没有攻击到内网，但使蜜罐失去了大部分的学习功能。将入侵检测系统放置在防火墙外不仅影响系统的流量，而且入侵检测系统也极易受到攻击。第三种：将蜜罐放置在DMZ区（非武装区，不信任区）。只要DMZ区中的其它系统作好自我保护即可保证网络的安全。但大多数的DMZ区可允许部分信息通过，这种情况相当于在防火墙上开了一个口子，非常危险。这三种方法中第一种可以充分发挥蜜罐的作用，虽然危险，但可对之进一步改进：可再加一道防火墙进行有效的隔离，并将蜜网的服务器单独划分为一个VLAN，将所有蜜罐所在网段的机器放置在不信任区域。进而使入侵者无法利用他们在蜜罐平台上取得的权限对内网进行渗透。3．两级重定向机制原理一个系统或应用服务不存在缺陷几乎不可能,它只是在一段时间内没有被发现而已,3例如微软Win2dows系统每隔一段时间就会发布更新包,这些包其实对自身打补丁,减轻安全威胁,其他的应用软件存在同样的情况。既然这样,工作网络中的主机就会存在未被发现的系统和应用服务漏洞,对于技术高超的黑客,这样的主机会被轻而易举地攻破,而密网对此一无所知,更不用提检测出攻击手段,同时,如果黑客利用这台攻陷的主机去试探攻击同一个网的其他主机更容易,因为同一个网中主机相互信任,黑客利用信任关系欺骗其他主机获取重要的资源信息。蜜罐其实只是利用开放有漏洞的服务去吸引黑客,让黑客只是暂时把注意力集中到有漏洞的蜜罐上,但如果非蜜罐主机存在不可预知的漏洞,就会同样被利用,最后被攻陷,再次,如果蜜罐开启有漏洞的服务,被有经验和技术高深的黑客识破,他就不会去攻击,蜜罐价值就没有了,因此文中提出的第一级重定向机制用来解决这个问题,其原理是这样:在每台工作主机端口划分出开启的端口和关闭的端口,开启的端口又分为使用重定向的端口和不使用重定向的端口,不使用重定向的端口分配给用来提供比较重要的服务,如WEB服务,FTP服务,STMP服务;使用重定向的端口提供敏感服务如TELNET,FINGER,NETBOIS,配置只用来只允许特定的IP区间进行访问,任何其它IP区间针对该主机重定向端口的扫描流和攻击流都会被重定向到相应的蜜罐,黑客其实真正在跟蜜罐进行交互,工作主机起到中转攻击流和响应流的作用,黑客得到信息其实都是蜜罐的,黑客攻陷了蜜罐,但给他的假象是他已经攻破了工作主机。攻击者攻陷了蜜罐以后,他的下一步就可能利用该蜜罐对外网别的主机进行攻击,平常对付此行为的方法就是严格限制从内网到外网的连接数,这虽然能有效地阻止向外入侵,但这没有给攻击者活动的自由,他们很可能怀疑自己的行为处于别人的监控之下,从而更加小心,可能他会想出办法揪出“监控设备”,利用技术如把攻击信息隐藏于大量的垃圾信息之中来欺骗监控者,让监控者疲于奔命。文中提出的第二级重定向机制来解决这个问题。原理如图1所示。[4]图1：第二级重定向机制原理图首先攻击者a攻陷蜜罐b,如果对主机e扫描攻击是不允许的,但是对主机f就4可以,其实它的攻击流被重定向到蜜罐c,这样,攻击者认为已经攻陷了主机f,然后它还要利用f去攻击主机g,结果被重定向到了蜜罐d,一般只要两级重定向就足以迷惑攻击者,我们要做到,如果攻击者通过蜜罐b去攻击g,确保它也要被重定向到蜜罐d,否则,攻击者发现:通过a-b-f-g跟a-b-g这两条攻击路径得到信息不一样,它们就会怀疑,从而追踪,进而找出监控它们的原因或者就会不再进行任何活动。4．功能框架图2蜜网框架：4.1入侵分析模块入侵行为分析网络模块包括入侵检测和入侵分析两部分。该模块的作用是检测和判断各种攻击，对正常行为和非正常的网络行为进行分流，并向管理控制中心发送信息，管理控制中心收到后立即启动入侵欺骗系统，在真实的网络环境和虚拟环境（即蜜罐）之间切换，最终将攻击导入到蜜罐中，将正常的网络行为导入到真实的系统中。[3]4.2入侵欺骗模块入侵欺骗模块主要包括蜜罐，其作用是对入侵者进行诱骗，使入侵者认为这是一个真实的系统而非蜜罐，从而使其在这里“大施拳脚”，此时日志系统便会记住它的行为，供防火墙和入侵检测学习。它的设置要尽量和入侵者攻击的目标系统一样。4.3智能融合模块智能融合模块是该模型的学习系统。该模块对来自其它模块的数据进行融合，根据系统的知识库和相应的规则进行分析推理，并辅助系统中的管理控制模块进行决策。此模块用人工智能的方法对输入的数据进行训练、分析和学习，并将学到的知识传送给管理控制模块，最终由管理控制模块对数据库中的规则进行更新。4.4管理控制模块管理控制模块是整个系统的核心，对其它各个模块进行管理和控制并做出最终的决5策，同时对入侵者的一举一动进行监控，将攻击行为记录在系统的日志中。4.5日志系统模块日志系统包括防火墙、入侵检测和主机的日志和独立日志。它对入侵者的行为进行记录，收集包括网络、系统、数据及用户活动的状态和行为在内的各种原始信息。除了利用防火墙、入侵检测和系统日志等工具外，还可以利用专门的日志工具收集攻击信息，试图是在蜜网系统的各个层面上实时地收集信息并及时掌握入侵者的行为，以便网络安全管理员对入侵者的攻击进行实时地学习。4.6数据库模块数据库模块主要包括入侵方法、系统漏洞和攻击行为等数据库。入侵方法数据库主要用来记录已有的入侵策略、方法和技术等方面的数据信息；系统漏洞数据库记录系统原有的各种漏洞信息；攻击行为数据库记录原有攻击者的各种攻击行为。整个数据库为其它模块提供决策支持和证据保存。4.7系统的工作过程本文以福建人才网为实战实例进行测试，当管理控制模块接收到入侵分析模块传送过来的报警信号后，立即启动入侵欺骗模块进行工作，在真实的网络环境和蜜罐之间切换，以使入侵者的行为完全脱离真实的目标系统。管理控制模块对入侵者的每一行为进行严密的监控，同时启动日志系统将入侵者的信息，如：源和目标系统的IP地址、目标系统的端口号、所使用的攻击工具和攻击时间等信息记录下来。为确保所记录的日志信息的安全，可采用置于远端的专用数据库服务器来保存入侵者的信息。5．模型结构优化整合前面论述的蜜网模型中用两层过滤的方法来防止入侵者利用蜜罐来攻击其他网络用户。第一层是使用防火墙对向外发送的数据进行限制，由内向外的并发连接数不能太多（本文假定20个），这样虽然可防止入侵者用DoS对他人的系统进行破坏，但是黑客知道自己被限制向外连接,那么密网就可能被暴露,更有可能利用错误消息迷惑密网部署者，所以这里用第二级重定向机制来解决这个问题。第二层采用NIDS（网络入侵检测系统），对可疑的攻击数据包进行拦截，从而防止入侵者将服务器作为跳板攻击其它的系统。为使内网更安全，在防火墙与蜜网之间还放置了一个路由器以使蜜罐更逼真。这样，一方面有了路由器，从而使防火墙“消失了”。当蜜罐被攻击后，入侵者可能会察看从这里往外的路由，此种放置更像一个真实的网络环境，入侵者不会注意到路由器外面还6有一层防火墙；另一方面，路由器还能控制访问权限，作为对防火墙的补充以确保蜜罐不会被用来攻击蜜网外的其他用户。6．总结本论文论述了蜜网存在的风险，通过比较现有的蜜网技术的优点和缺点，结合了现有蜜网技术的优点，将其融合，在理论上降低了蜜网技术的不足所存在的风险，实际的安全性能还要经过具体的实施来验证，但应该知道，无论采取什么样的安全措施，风险都依然存在。由于本人水平有限，此次设计当中遇到不少困惑，但经过认真查阅资料还是能较好理解掌握蜜网技术，想要更好的改进蜜网性能还需多多努力。参考文献[1]董国锋，卢艳静.蜜网技术综述[J].网络安全2008，200062：13-71[2]