基于虚拟蜜网的网络攻防实验平台的构建

—————————————————————————作者简介:董辉（1975—），男，汉族，安徽亳州人，讲师，硕士，主要从事数据挖掘、人工智能方面研究。基于虚拟蜜网的网络攻防实验平台的构建董辉，马建（亳州职业技术学院安徽.亳州236800）摘要：针对传统被动防御式网络安全教学实验平台的缺点，研究虚拟机和蜜网关键技术，构建基于虚拟蜜网技术的网络安全教学实验平台，并给出平台核心功能实现过程。在实践中，运用平台模拟网络攻击行为和安全防御过程，结果证明该平台完全可以胜任网络安全攻防教学实验，同时可以兼顾网络管理操作实验任务，减少了对网络硬件设备的依赖，具有较强的可伸缩性和可扩充性。关键词：网络安全虚拟机虚拟蜜网数据控制数据捕获中图分类号：TP393.1文献标识码：AConstructionofNetworkAttack-DefenceExperimentalPlatformBasedonVirtualHoneynetAbstarct:Aimingatthedefectoftraditionalnetworkattack-defenceexperimentalteachingplatform,thepaperstudyonthekeytechnologyofvirtualcomputerandbuildanetworksecurityattack-defenceExperimentalteachingplatformbasedonvirtualhoneynet,Thengivetherealizationprocessofplatformcorefunction.Inpracticeteaching,Usingtheplatformtosimulatethenetworkattack-defenceprocess,Theresultsshowthattheplatformcanbefullycompetentinnetworksecurityattack-defenceexperimentteaching,anditTakesintoaccountthenetworkmanagement,andalsoreducethedependenceonthenetworkhardware,therefortheplatformhasstrongscalabilityandexpandability.KeyWords:NetworkSecurity,VirtualComputer,VirtualHoneynet,DataControl,DataCapture0引言互联网是一个混杂的信息世界，网络攻击防御一直都是信息安全领域重要的研究课题。目前许多高校及组织都非常注重信息安全技术人才的培养，并搭建各自网络安全教学实验平台，重点进行网络攻防认识、验证类型及被动防御的实验。但随着网络技术的进步，“入侵与防御”此消彼长，原有的被动式防御平台无法满足信息安全技术教学的需要。另一方面由于网络实验设备昂贵，囿于资金条件，许多高校网络安全实验室不愿或是无力更换新的安全实验设备，致使对于新型的入侵行为，学员无法动手实验体会，不利于对网络安全最新技术的了解和掌握。基于以上原因，本文深入研究了蜜网最新技术，设计基于GenⅢ蜜网(第三代蜜网)关键技术并集攻击和防御功能于一体的网络安全攻防实验平台，该平台充分利用现有的网络设备和局域网环境，构建成本低廉但设备利用率高，组建灵活且维护简易，又利于操作，可方便学员完成各种攻防实践、各种安全工具学习与网络管理实验。在网络攻防教学实际演练中，取得较好的成效，有助于学员理解信息安全的抽象概念及认识网络整体架构。1构建平台的关键技术1.1虚拟机技术虚拟机系统是支持多种操作系统并行于一个物理计算机上的应用系统软件，是一种可更加有效的使用底层硬件的技术。但并发的多个操作系统及其上的应用程序是在“保护模式”环境下运行的，即每个虚拟系统由一组虚拟化设备构成，都有对应的虚拟硬件，每虚拟系统单独运行而互不干扰，各自拥有自己独立的CMOS、硬盘和操作系统，同时可将它们联成一个虚拟网络，用来学习和实验网络方面的有关知识，又可节省物理硬件设备，管理方便，安全性又高，非常适合用来构建网络实验平台。1.2虚拟蜜网技术(1)蜜网概念蜜网是在蜜罐的基础上逐步发展起来的一种性的网络安全防御技术，其本质是一种被严密监控的网络2/5诱骗环境，所以又被称为诱捕网络。与传统的防火墙、入侵检测技术相比，蜜网是由真实的计算机构成一个诱捕攻击者的网络体系架构，在其中布置若干蜜罐，用真实操作系统、应用程序和服务来与入侵者进行交互，并引进了主动控制、人工智能等思想，在确保网络高可控的前提下，采用多种技术软件对入侵数据进行检测、采集与分析处理，网络安全工作人员通过蜜网能深入的研究入侵者的思路、攻击工具和目的，进而及时采取相应措施，在与入侵者的“战斗”中有更大的主动权，因此蜜网更具交互性、主动性和学习性，改变传统网络安全技术的被动防御局面。典型蜜网组成通常包含有蜜网网关、入侵检测系统及若干个蜜罐主机组成。蜜网网关是控制蜜网网络的枢纽，其上安装多种工具软件，对数据进行重定向、捕获、控制和分析处理，如IPTables、Snort、SebekServer、Walleye等，访问业务主机的流量不经过蜜网网关，而访问蜜罐的网络连接，都由重定向器引向蜜网。(2)虚拟蜜网技术虚拟蜜网是指通过应用虚拟机软件，在同一时间、同一硬件平台上模拟运行多个操作系统，部署若干个虚拟蜜罐，构成的一个虚拟网络。该虚拟网络既能运行传统蜜网的所有组成部分，具备传统蜜网的所有功能，又可在单个主机上实现整个蜜网的体系架构，从而实现在单一主机上部署整个蜜网系统的解决方案。与传统蜜网相比，虚拟不仅节省硬件资源，成本低廉，而且蜜网部署便捷,配置集中，维护简易，系统容易恢复，引入的安全风险较低，非常适合在设备不足的情况下搭建网络安全攻防实验平台。2平台的设计与实现本文基于最新虚拟机软件VMware8.0和虚拟蜜网技术，构建集网络攻击、防御实验于一体的网络安全实验平台，并用实验验证平台的功能。应用该平台，学员可以任意选取攻击对象和防御策略，在模拟真实环境情况下，参与攻与防对抗演练，在实战模拟中理解网络攻击产生的本源，掌握信息安全防御技术。2.1平台体系结构根据网络安全攻防实验功能的需求和现有的网络设备，本实验平台架构如图1所示：根设计的目标，为了使实验平台能达到真实环境下的效果，又不影响学生机的正常工作，本平台是在一个真实的局域网环境中实现的。虚拟蜜网部分，除日志/管理计算机外，其他的都是基于虚拟机之上，安装虚拟机系统的宿主计算机（蜜网网关）的配置要求要稍高，CPU最好是双核至四核的，内存应配置2G以上，这样可更好地运行多个虚拟蜜罐操作系统。局域网内的其他计算机一部分做成内部服务器，模拟诸如、Email、FTP服务器的角色，当然也可以选择一台计算机利用虚拟技术来模拟多个服务器，其它的作为日常工作PC，组成业务网络。在虚拟蜜网网关中，有3个网络接口：Eth0是面向业务网络的外部接口；Eth1是面向多虚拟蜜罐系统的内部接口，Eth0和Eth1在网桥模式，均无IP地址，数据包经过网关时TTL值也不会变化,也不会提供自身的MAC地址,因此蜜网网关对于攻击者是透明不可见的，入侵者不会识别出其所攻击的网络是一个蜜网系统；Eth2是用作远程管理，具有有IP地址，作秘密通道，可把出入虚拟蜜罐系统的数据包及蜜网系统日志转发给一台作远程管理主机。图1实验平台架构图图2数据控制与捕获2.2实验平台核心功能实现(1).数据控制和重定向功能数据控制是蜜网必需的核心功能之一。蜜网采用“宽进严出”的方式，所有外来数据都被接入，但向3/5外部发出的数据却严格控制，目的是保障蜜网系统自身的安全的同时，又能防止被攻破的蜜罐主机被用来攻击蜜网之外其他主机系统。本平台数据控制功能是通过在网关虚拟系统中安装了入侵检测软件Snort和IP包过滤软件IPtables来实现的。Snort用来监控和记录网络数据流，根据已有的攻击特征检测数据库库，对符合特征库的数据发出的警报，起到网络流中的攻击事件进行标识的功能。另外，Snort软件还可以可实现对数据包进行修改、丢弃或放行等操作，并限制攻击者在蜜网中对第三方发起的攻击行为，降低安全风险。IPtables是IP信息包过滤功工具，具有功能能强大的过滤规则，可通过添加、编辑和删除过虑规则，实现数据的重定向功能。Iptables数据重定向过程是当捕包程序侦听到所有流向蜜罐的数据包，经过滤程序过滤后的特定数据包，由包转移程序重新封装再经蜜网网关转移到虚拟蜜罐，让入侵者感觉就是正在真实产品服务器中行动，达到欺骗入侵者的目的。这样既可监视入侵者的活动，有利于捕获攻击者信息，阻止其达到目的，又不易被入侵者发现身处蜜网之中。虚拟蜜网数据控制机制如图2所示。在网关上通过设置IPtables的rc.Firewall脚本，可限制对向外发出的连接的频率和连接数，实现对它们要采取的措施，进行删除、禁止或丢弃等操作。若在单位时间内，发出数据包达至上限，则记下有关信息，并发出警告。有关规则设置代码如下：Scale=Timeunits----设置时间单位(Timeunits)可为日、时、分、秒等Tcprate=N----单位时间内TCP连接数目Udprate=M----单位时间内TCP连接数目Icmprate=X----单位时间内TCP连接数目Otherrate=Y----单位时间内IP协议连接数Stop_out=No|”Yes”----是否允许向外进行各种连接(2).数据捕获功能数据捕获是蜜网系统中最难实现的核心功能，本平台采用Argus、P0f、Sebek等多种工具相结合的方法来实现这一功能。通过这些工具，对攻击数据进行多层次捕获，捕获到的入侵数据及蜜网日志被通过Eth2端口转存到不易被攻击者觉察的单独的安全系统内，为进一步分析攻击行为提供全面而丰富的数据。Argus(流量监视器)软件负责监视网络数据流，其利用libpcap来收集规范的网络通信数据，其收集的数据可以描述数据的数量和每个数据流的持续时间，并能把所收集的数据处理成一个导出数据源；P0f是一个基于Pcap的监控器，可根据Argus监听到的网络流指纹特征，对攻击者的操作系统指纹进行被动辨认；Sniffer软件(网络嗅探器)可被用来获取网络数据包的具体内容，监视数据包的类型、地址、端口等，根据具体的网络问题，还可对捕获的数据包进行分析；Sebek软件分为客户端和服务器端，可用来记录攻击者读取的数据、击键和运行程序的情况，可用来分析攻击者的活动，再现攻击者的行为。Sebek客户端被安装到蜜罐主机上，被用来在蜜罐捕获数据并发送到网关的Sebek服务器端的数据库中。网络安全人员可利用SebekWeb来浏览、查询、分析这些数据。图3中包含了数据捕获机制。(3).数据分析与报警功能对捕获的数据进行分析有助于研究入侵者的击键特征、入侵意图、入侵工具及攻击方法等，通过采用数据预处理和行为提取与跟踪的技术手段，及时捕获黑客信息，获得新的入侵特征，有利于预测攻击并在攻击发生之前发生响应，建立早期预警和威胁预测机制。在本实验平台中，利用Walleye软件和Swatch工具，可非常方便的实现这一功能。Walleye软件提供了一个基Web的蜜网数据分析接口，它被安装在蜜网网关上，可处理多个数据源，并精确高效分析蜜网所收集的数据，如Sebek捕获的数据、IDS报警信息、p0f系统识别结果、Argus的分析结果等，以便安全人员快速识别蜜网中所发生的入侵事件。Swatch工具被用来监视日志文件，利用它的自动报警功能，一旦入侵者攻击蜜罐主机，攻击信息符合配置文件的相关特征时，Swatch自动发送E-mail报警通知，并标识向外外连接的目标IP、端口号以及连接时间等关键信息，安全技术人员通过Walleye的辅助分析功能，即可获知入侵者的攻击方法和动机。3配置操作和实验测试为了验证本实验平台，在局域网环境中做了蜜网配置