王东来

WANG Dong-lai

（吉林农业科技学院，吉林 132101）

入侵诱骗系统应用技术研究

Application technology research in intrusion deception system

王东来

WANG Dong-lai

（吉林农业科技学院，吉林 132101）

随着计算机和网络技术的迅速发展，针对网络和计算机系统的攻击也屡见不鲜，网络安全问题变得日益严峻。本文提出的入侵诱骗系统，在保证网络安全的情况下，增加对新的攻击方法的了解，变被动防御为主动进攻，使其具有主动交互性，勾画出了一种新的网络安全防御策略。

入侵检测；蜜罐；数据控制；数据捕获

0 引言

随着Internet在全球范围内的广泛应用，各种网络应用越来越丰富、网络入侵和破坏手段也越来越先进，网络安全技术也日趋复杂。国内外许多厂商开发出防火墙等安全产品，然而在网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面的安全漏洞也越来越多。

如何建立一个既能有效保护网络安全，又能够全面分析入侵者动态改变的入侵手段的安全防护系统，成为当前网络安全领域中迫切需要解决的问题。

本文针对目前的网络安全状况，设计了入侵诱骗系统，实现了Windows操作系统下的数据捕获。

1 入侵诱骗系统的设计

近年来，随着网络的普及，网络攻击也随之层出不穷，因此如何更加全面的了解攻击者的信息，化被动为主动，成为网络安全研究的热点。针对防火墙技术，入侵检测技术，蜜罐技术的缺陷，综合了三种技术的优点，提出了入侵诱骗系统的模型。

1.1 入侵诱骗系统的总体设计

入侵诱骗研究的目的在于如何设计一个严格控制的诱骗网络（真实的网络、主机或用软件模拟的网络和主机），在检测出入侵者对实际系统有攻击行为后，将攻击重定向到该诱骗环境中。然后收集入侵信息，借此观察入侵者的行为，记录其活动，以便分析入侵者的目的、所用工具、入侵手段等，并为入侵响应以及随后可能进行的对入侵者的法律制裁提供证据。

通过以上的分析以及现有技术的研究，提出了一种新的网络安全解决方案---入侵诱骗系统。模型如图1所示。

图1 入侵诱骗系统的模型图

所有进入蜜罐的连接全部是由入侵检测系统重定向而来。当入侵检测系统发现入侵者，立即阻断并报警；若入侵检测系统未发现检测出入侵行为，则网络包可以正常进入真实环境中；若入侵检测系统无法判断是否有入侵行为，则被视为可疑行为，由入侵检测系统重定向到蜜罐中。这不仅减轻了入侵检测系统的负担，还可以安心的让可疑入侵者与蜜罐充分交互，做到收集入侵信息，观察入侵行为，捕获其活动，以便全面的分析入侵者的目的、工具，特征。

1.2 入侵诱骗系统的模块设计

防火墙模块：在本系统中防火墙不仅担当着数据控制，保障蜜罐的安全的任务，还要把所捕获到的数据包送往远程日志服务器。

入侵检测模块：入侵检测系统放在防火墙之后，用于监视系统的异常，当发现可疑行为时，将这些行为重定向到蜜罐系统，同时还肩负着捕获网络数据的任务。

诱骗网络（蜜罐）模块：将蜜罐系统放置在防火墙和入侵检测系统之后的好处在于可以集中精力在蜜罐中对可疑行为进行数据捕获。

标准化模块：负责对所有数据捕获模块得到的原始行为数据进行解析与封装，提取数据分析需要的标准格式数据。

数据分析模块：根据捕获到的数据及时抽象出入侵行为的特征和变种，从而更新入侵检测系统的知识库。

远程日志服务器模块：通过定时把防火墙，IDS捕获到的网络数据，以及蜜罐系统捕获到的主机数据全部送到SQL2000服务器中。保障了安全，也方便各个模块之间存储调用数据。

知识库：主要是用来存放标准化的规则，这些规则都是模式规则，它们是用来判断是否有入侵活动的数据模型。

2 数据捕获的实现

数据捕获是指蜜罐在不被入侵者发现的情况下捕获尽可能多的信息，包括输入、输出网络数据包，系统信息，以便从中分析他们所使用的攻击工具、策略和动机等。数据捕获是入侵诱骗系统的核心功能模块。

2.1 数据捕获的实现

图2 数据捕获系统处理流程图

多层次的数据捕获能够获取攻击者行为各个角度的信息，捕获信息的层次越多，能够了解到的攻击者信息就越多。因此，我们将入侵行为捕获分为三层来实现，每一层记录的数据不尽相同。第一层的数据捕获由防火墙来完成，主要是对出入系统的数据包的通过情况进行记录；第二层数据捕获由入侵检测系统(IDS)来完成，IDS抓取网络上传输的网络包；第三层的数据捕获由蜜罐系统完成，蜜罐系统模拟真实系统环境与未知攻击进行交互，实现蜜罐系统的主机信息捕获。所有捕获到的数据通过网络传输送到远程日志服务器存放，防止被入侵者删除、更改。数据捕获系统处理流程如图2所示。

2.1.1 防火墙数据捕获

通常使用防火墙对所有出入蜜罐的网络包进行完整地日志记录。由于所有进出系统的数据必须通过防火墙，所以防火墙捕获到的数据是最全面的，对入侵行为的分析起到了很重要的辅助作用。但是防火墙并不记录具体的数据包内容，而只是记录各个数据包的通过情况。防火墙日志的价值在于它可以快速标识那些未知攻击。记录内容主要包括：数据包通过时间，包协议类型，进出的网络接口，源地址，目的地址，源端口，目的端口，包长度等。

2.1.2 IDS数据捕获

第二层数据捕获由入侵检测系统(IDS)来完成，负责捕获网络信息。网络信息主要是攻击者所使用的各种协议数据包内容。网络信息捕获是不可见的，相应的其安全性更高，以及被检测到的概率要更小。

本系统中主要使用WincPap来捕获在网络上传输的数据包，监听流入系统的网络流。并把捕获到的数据包通过网络传输送到远程日志服务器存放，防止被入侵者删除、更改。

网络数据捕获包括主动数据捕获和被动数据捕获。由于本系统是为了收集入侵者的信息，所以采用被动数据捕获。捕获的过程为：监听获得原始数据，通过对捕获的原始数据进行解析，然后存入SQL数据库。

2.1.3 蜜罐系统中的数据捕获

系统捕获主要在诱骗网络即蜜罐中实现。通过重定向机制把未知攻击转移到蜜罐中后，蜜罐模拟真实系统环境与未知攻击进行交互，实现对攻击行为的的数据捕获。

2.2 数据控制的实现

数据控制是针对越权使用资源的防御措施，防止对资源进行未授权的访问，从而使计算机系统在合法范围内使用。数据控制子系统是整个系统各功能模块的核心，对入侵者在蜜网系统内部的行为进行控制，防止入侵者在该系统内肆意破坏，同时防止入侵者利用该系统作为跳板对其它系统进行攻击。

在利用蜜罐系统与入侵者交互的过程中，存在着蜜罐系统被攻破的风险，当系统被攻破之后，入侵者就可能对其进行修改，使其丧失行为记录和欺骗功能，同时，入侵者还可以将蜜罐主机作为攻击其他系统的跳板。对蜜罐系统控制权的争夺关系到蜜罐功能的实现和整个入侵诱骗系统的安全。但同时，对蜜罐系统的控制不能太严格，如果我们为了逃避风险而将各种策略设置得十分严格，则容易引起入侵者的怀疑，降低系统的欺骗逼真度。可以限制一定时间段内外出的连接数，甚至可以修改这些外出连接的网络包，使其不能到达它的目的地，同时又给入侵者网络包已正常发出的假象。

2.2.1 防火墙的数据控制

由于在本入侵诱骗系统中，蜜罐的作用是为了减轻入侵检测系统的负担，同时集中精力全面细致的分析可疑行为，对于网络的入侵者它是不可见的，所有进入蜜罐的连接全部是由入侵检测系统重定向而来。所以需要阻隔外界网络直接访问蜜罐，在这里通过配置防火墙把所有目的IP地址为蜜罐所在主机的网络包全部丢弃，禁止他们进入蜜罐系统，使蜜罐可以安心的与可疑入侵者交互，分析其特征。此为防火墙数据控制的第一个体现。

为了记录入侵者的所有数据，允许所有对蜜罐的访问，进入蜜罐的数据不会对组织的安全构成威胁。但是，从蜜罐向外发出的连接就不一样了，其中可能包含入侵者对其它系统进行扫描和攻击的数据。必须对从蜜罐外出的网络连接进行控制。当蜜罐发起外出的连接，说明蜜罐主机已经被入侵者攻破了，而这些外出的连接很可能是入侵者利用蜜罐对其他的系统发起的攻击连接。所以限制这些外出连接是非常必要的，本系统采用防火墙限制蜜罐外出的连接。防火墙采取“宽进严出”策略，在防火墙上，对从蜜罐机器外发的连接数量设定一个合理的阈值，研究表明，允许外发连接数设定为5至10个比较合适，不会引起入侵者怀疑，而且避免了蜜罐系统成为入侵者扫描、探测或者攻击其他系统的工具。防火墙追踪从所有蜜罐主机外发的每一个连接，当该蜜罐外发的数量达到设计时预先设定的阈值时，防火墙便会阻塞那些信息包。这样能够保证蜜罐不被滥用的前提下，允许入侵者做尽可能多他们想做的事。此为防火墙数据控制的第二个体现。

2.2.2 路由器的数据控制

路由控制由路由器来完成，主要利用路由器的访问控制功能对外出的数据包进行过滤，以防止蜜罐被用于攻击网络其它部分，主要防止IP欺骗，Dos攻击或者其它一些欺骗性攻击。所有进出陷阱网络系统的数据包都要经过防火墙和路由器。经过实验发现，将防火墙与路由器联合使用，可以在技术上比较完美地对向外发出的数据包进行过滤，同时在最大限度上让入侵者相对自由地活动而又不会产生怀疑。

2.3 远程数据备份的实现

由于蜜罐主机的设置极易被入侵者所攻破，大多数的入侵者都会对攻破的系统的数据进行修改或删除，因此，如果把这些捕获到的数据放置在蜜罐主机上是危险的。必须用一台安全性更高、不提供任何服务的系统作为日志服务器用于远程备份蜜罐系统捕捉到的数据。采用远程日志系统保障了数据存储的安全，但在传输的过程中也要防止入侵者对其进行截获和修改，在实际传输过程中我们可以通过蜜罐私有网络进行数据传送，在传送之前进行数据的加密。通过远程的日志记录，既保障了我们的数据的安全性，也方便我们以后对数据进行分析、处理。

本文采用SQL Server2000作为远程日志服务器。通过把捕获到的数据定时的发送到数据库中，不但保证了数据的安全性，而且更加方便的与其它模块进行数据共享，为数据分析提供了极大的方便。

3 结束语

本文重点探讨了入侵诱骗系统中数据捕获的实现，采用多层数据捕获机制，从防火墙，入侵检测系统和蜜罐系统三个层面上实现了数据捕获。重点阐述了进程关联内存，进程关联CPU利用率，进程关联端口，注册表异动，文件异动的捕获的实现方法。然后并从系统的安全性方面探讨研究了数据控制技术，最后实现了把捕获到的数据定时的发送到远程数据库中，从而保证了数据的安全性。

[1] 吴震.入侵诱骗技术中诱骗环境的研究与实现[J].计算机应用研究,2003(04):78-80.

[2] 赵双红,刘寿强,夏娟.基于诱骗式蜜罐系统设计与应用[J].计算机安全,2003,10:19-22.

[3] 连一峰,王航.网络攻击原理和技术[M].北京:科学出版社,2004:279-348.

[4] 韩东海,王超,李群.入侵检测系统实例剖析[M].北京:清华大学出版社,2002:78-79.

[5] 曹爱娟,刘宝旭,许榕生.网络陷阱与诱捕防御技术综述[J].计算机工程,2004,30(9):1-3.

[6] 陶文林.基于VMware的虚拟蜜网系统的研究[J].计算机应用与软件,2006,23(5):131-136.

TP391

A

1009-0134(2010)12(上)-0180-03

10.3969/j.issn.1009-0134.2010.12(上).58

2010-07-12

王东来（1973 -），男，吉林人，硕士研究生，研究方向为信息安全技术、计算机应用技术。