论文部分内容阅读
[摘要]信息时代的到来需要计算机网络安全防护由被动防御转为主动防御,从而使蜜罐技术在网络对抗中日益受到重视。蜜罐是深入了解黑客的一种有效手段,并且可以提高网络安全防护水平。本文通过分析校园网安全现状和安全设计原则,通过Winsock编程,构建设计校园网蜜罐系统,并通过测试验证了蜜罐系统在校园网中部署的可行性。
[关键词]网络安全 蜜罐技术 系统设计
一、校园网络安全现状与安全设计原则
(一)校园网络安全现状
从网络安全的角度来看,整个网络分为三大部分,第一部分为重点信息安全保护区;第二部分为校园网普通网络区域;第三部分为外部网络区域。国内校园网的安全问题有其历史原因,因为意识与资金的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互连网之间放一个防火墙就万事大吉,有些甚至直接连接互连网,这就给病毒、黑客提供了充分施展身手的空间。
校园网现在的工作系统大多是基于客户/服务器模式和Intenret/Intranet网络计算模式的分布式应用。在这样一个分布式应用的环境中,学校的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。如何保证和加强网络的安全性和保密性对于校园网的正常、安全运行至关重要。
(二)校园网安全设计原则
1.安全性。网络应在具有开放性的同时,保证其安全性。要制定合适的安全策略,建立有效的网络安全制度;对资源访问控制进行实时有效的监控,保证通信传递的安全性。
2.高可靠性。为保证信息能够及时可靠地发布,信息中心的系统应能保障不间断运行,在系统设计上应考虑关键部件采用冗余设计和容错技术,通讯子网间应留有备用信道。
3.开放性。网络信息中心所采用的技术遵循国际标准,不仅要和现有的设备能够完全互连互通,而且能与未来网络技术发展相适应,因此网络系统须采用支持局域网、广域网、路由等国际标准协议。
4.可扩展性。要充分考虑到今后网络的发展,在网络、服务器以及软件系统的设计上保证系统性能能够平滑升级,保护现有投资。
二、基于蜜罐系统若干关键技术研究
(一)蜜罐的分类
牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点,假扮为攻击的受害者,它为攻击者提供了极好的攻击目标。
外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击,从而蜜罐的安全不会受到威胁。外观型蜜罐也具有牺牲型蜜罐的弱点,但是它们不会提供牺牲型蜜罐那么多的数据。
测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上,测量型蜜罐为攻击者提供高度可信的系统。由于记录攻击信息的原因,测量型蜜罐非常容易访问但是很难绕过。与此同时,高级的测量型蜜罐还防止攻击者将系统作为进一步攻击的跳板。
(二)蜜罐系统设计思想
蜜罐系统要确定蜜罐的交互级别,因为研究型蜜罐是高交互的蜜罐系统。使用蜜罐的目的是希望了解黑客的攻击方式,这就要求采集尽量完整的黑客活动信息。显然,仿真技术不适合的需要,它所采集的到信息量太少、太单一。在高交互级别上应当提供给攻击者一个真实的操作系统与之交互,这样黑客不易发觉蜜罐主机的身份。
(三)蜜罐系统设计关键技术
1.端口重定向技术。端口重定向的特性允许终端会话期间运行的应用程序访问客户端上的串行与并行端口。重定向技术可以分为两类,一类是客户端重定向,一类是服务器端重定向。实现重定向是为了让Hacker进入一个模拟的服务,从而使Hacker入侵的是一个蜜罐系统,而真实操作系统的服务并没有开启。
2.数据控制。蜜罐系统本身就可以模拟成一个操作系统,可以把其本身设定成为易攻破的一台主机,例如,开放一些端口和设置脆弱口令,并设定出相应的回应程序,如在LINUX中的SHELL,和FTP程序,当攻击者“入侵”进入系统(这里所指是HONEYPOT虚拟出来的系统)后,就相当于攻击者进入一个设定“陷阱”,那么攻击者所做一切都在其监视之中。
3.数据捕获。数据捕获是蜜罐系统的意义所在,完整的数据可以清楚地再现入侵者的一举一动。在入侵者们不发现的情况下,捕获尽可能多的数据信息。另外,捕获到的数据不能放在欺骗主机上,否则很可能会被入侵者们发现,从而得知该系统是一个陷阱平台。
三、校园网络蜜罐系统设计与实现
(一)系统概述
在对校园网络调研的基础上,基于Windows操作系统设计,采用C语言开发,系统向校园网内和外界开放了虚拟的Linux操作系统下的Telnet服务,引诱黑客进入,这有利于保护真实的系统资源,同时获取黑客的攻击行为信息。整个系统由信息预处理模块、信息处理模块和日志记录模块三部分组成,其中信息预处理模块和信息处理模块构成了虚拟Telnet服务。
(二)功能模块设计与实现
1.信息预处理模块
设计的蜜罐功能是虚拟Linux系统下的Telnet服务,信息预处理模块需要实现三个方面的功能:
(1)利用端口重定向技术绑定虚拟的Linux的Telnet的系统服务端口,在黑客侵入时,将黑客发送的命令导向虚拟系统。
(2)系统启动时创建一个线程启动监听服务程序,等待有入侵者发送的指令,当黑客发送入侵指令的时候,提供连接给入侵者,并返回虚拟系统的假信息迷惑入侵者,使入侵者在未察觉的情况下,继续入侵行为,并留下使用痕迹,同时创建一个新的线程等待另一个黑客入侵连接。
(3)当黑客入侵建立连接后,接受黑客的攻击信息,同时发送相应模块的响应信息给黑客。
2.信息处理模块
主要实现模拟系统中的模拟信息能根据黑客的指令进行正确的显示,以使黑客不会发现系统的虚假性,而诱使黑客继续入侵行为。如入侵者在某台终端输入Linux指令后,信息处理模块将根据输入的指令,将虚拟系统的虚拟信息返回给入侵者,使入侵者感受到是进入了真实的用户环境,因为是进行蜜罐系统的功能测试,所以只虚拟了部分Linux的指令,主要目的是通过这些指令来实验蜜罐系统的功能是否能达到预期的目标。在能正确实现蜜罐功能后,通过增加关键字来实现更真实的Linux命令,使系统具有更强更大的迷惑性
3.日志记录模块
数据捕获能够获得所有入侵者的行动记录,这些记录最终将有助于分析黑客所使用的工具、策略以及攻击目的。这就实现日志记录模块的目的,它的主要功能就是收集和记录黑客的攻击行为。具体实现过程是捕获蜜罐和黑客之间通信的数据包、为每一个黑客创建记录文件(记录文件名为黑客的IP地址)并记录数据包包含的信息。由于虚拟的服务不提供任何实际的作用,因此其收集到的数据很少。
系统开发完成后,选定在校园网内进行蜜罐系统功能的测试,通过在一台机器上运行服务程序,模拟出虚拟系统后,通过其他几台终端对蜜罐所在机器进行连接测试,并输入操作命令,整个测试过程,蜜罐能够及时响应输入的命令,并能将使用痕迹进行准确的记录,打开记录文件,能看到与系统屏幕上实时监视的信息相同的内容,每一个黑客的不同连接能够实现分开记录。通过以上测试,验证了蜜罐系统在校园网中部署的可行性,因此较好的实现了网络蜜罐系统的功能。
参考文献:
[1]王艳平著.Windows程序设计.北京:人民邮电出版社,2005.421-427.
[2]胡建伟,杨绍全.欺骗网络体系框架研究.网络安全技术与应用,2004(3):20-23.
[3]熊明辉,蔡皖东.高交互型蜜罐的设计与实现.信息安全与通信保密,2005(2):80-82.
(作者单位:浙江工业大学,温州乐清中学)
[关键词]网络安全 蜜罐技术 系统设计
一、校园网络安全现状与安全设计原则
(一)校园网络安全现状
从网络安全的角度来看,整个网络分为三大部分,第一部分为重点信息安全保护区;第二部分为校园网普通网络区域;第三部分为外部网络区域。国内校园网的安全问题有其历史原因,因为意识与资金的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互连网之间放一个防火墙就万事大吉,有些甚至直接连接互连网,这就给病毒、黑客提供了充分施展身手的空间。
校园网现在的工作系统大多是基于客户/服务器模式和Intenret/Intranet网络计算模式的分布式应用。在这样一个分布式应用的环境中,学校的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。如何保证和加强网络的安全性和保密性对于校园网的正常、安全运行至关重要。
(二)校园网安全设计原则
1.安全性。网络应在具有开放性的同时,保证其安全性。要制定合适的安全策略,建立有效的网络安全制度;对资源访问控制进行实时有效的监控,保证通信传递的安全性。
2.高可靠性。为保证信息能够及时可靠地发布,信息中心的系统应能保障不间断运行,在系统设计上应考虑关键部件采用冗余设计和容错技术,通讯子网间应留有备用信道。
3.开放性。网络信息中心所采用的技术遵循国际标准,不仅要和现有的设备能够完全互连互通,而且能与未来网络技术发展相适应,因此网络系统须采用支持局域网、广域网、路由等国际标准协议。
4.可扩展性。要充分考虑到今后网络的发展,在网络、服务器以及软件系统的设计上保证系统性能能够平滑升级,保护现有投资。
二、基于蜜罐系统若干关键技术研究
(一)蜜罐的分类
牺牲型蜜罐就是一台简单的为某种特定攻击设计的计算机。牺牲型蜜罐实际上是放置在易受攻击地点,假扮为攻击的受害者,它为攻击者提供了极好的攻击目标。
外观型蜜罐技术仅仅对网络服务进行仿真而不会导致机器真正被攻击,从而蜜罐的安全不会受到威胁。外观型蜜罐也具有牺牲型蜜罐的弱点,但是它们不会提供牺牲型蜜罐那么多的数据。
测量型蜜罐建立在牺牲型蜜罐和外观型蜜罐的基础之上,测量型蜜罐为攻击者提供高度可信的系统。由于记录攻击信息的原因,测量型蜜罐非常容易访问但是很难绕过。与此同时,高级的测量型蜜罐还防止攻击者将系统作为进一步攻击的跳板。
(二)蜜罐系统设计思想
蜜罐系统要确定蜜罐的交互级别,因为研究型蜜罐是高交互的蜜罐系统。使用蜜罐的目的是希望了解黑客的攻击方式,这就要求采集尽量完整的黑客活动信息。显然,仿真技术不适合的需要,它所采集的到信息量太少、太单一。在高交互级别上应当提供给攻击者一个真实的操作系统与之交互,这样黑客不易发觉蜜罐主机的身份。
(三)蜜罐系统设计关键技术
1.端口重定向技术。端口重定向的特性允许终端会话期间运行的应用程序访问客户端上的串行与并行端口。重定向技术可以分为两类,一类是客户端重定向,一类是服务器端重定向。实现重定向是为了让Hacker进入一个模拟的服务,从而使Hacker入侵的是一个蜜罐系统,而真实操作系统的服务并没有开启。
2.数据控制。蜜罐系统本身就可以模拟成一个操作系统,可以把其本身设定成为易攻破的一台主机,例如,开放一些端口和设置脆弱口令,并设定出相应的回应程序,如在LINUX中的SHELL,和FTP程序,当攻击者“入侵”进入系统(这里所指是HONEYPOT虚拟出来的系统)后,就相当于攻击者进入一个设定“陷阱”,那么攻击者所做一切都在其监视之中。
3.数据捕获。数据捕获是蜜罐系统的意义所在,完整的数据可以清楚地再现入侵者的一举一动。在入侵者们不发现的情况下,捕获尽可能多的数据信息。另外,捕获到的数据不能放在欺骗主机上,否则很可能会被入侵者们发现,从而得知该系统是一个陷阱平台。
三、校园网络蜜罐系统设计与实现
(一)系统概述
在对校园网络调研的基础上,基于Windows操作系统设计,采用C语言开发,系统向校园网内和外界开放了虚拟的Linux操作系统下的Telnet服务,引诱黑客进入,这有利于保护真实的系统资源,同时获取黑客的攻击行为信息。整个系统由信息预处理模块、信息处理模块和日志记录模块三部分组成,其中信息预处理模块和信息处理模块构成了虚拟Telnet服务。
(二)功能模块设计与实现
1.信息预处理模块
设计的蜜罐功能是虚拟Linux系统下的Telnet服务,信息预处理模块需要实现三个方面的功能:
(1)利用端口重定向技术绑定虚拟的Linux的Telnet的系统服务端口,在黑客侵入时,将黑客发送的命令导向虚拟系统。
(2)系统启动时创建一个线程启动监听服务程序,等待有入侵者发送的指令,当黑客发送入侵指令的时候,提供连接给入侵者,并返回虚拟系统的假信息迷惑入侵者,使入侵者在未察觉的情况下,继续入侵行为,并留下使用痕迹,同时创建一个新的线程等待另一个黑客入侵连接。
(3)当黑客入侵建立连接后,接受黑客的攻击信息,同时发送相应模块的响应信息给黑客。
2.信息处理模块
主要实现模拟系统中的模拟信息能根据黑客的指令进行正确的显示,以使黑客不会发现系统的虚假性,而诱使黑客继续入侵行为。如入侵者在某台终端输入Linux指令后,信息处理模块将根据输入的指令,将虚拟系统的虚拟信息返回给入侵者,使入侵者感受到是进入了真实的用户环境,因为是进行蜜罐系统的功能测试,所以只虚拟了部分Linux的指令,主要目的是通过这些指令来实验蜜罐系统的功能是否能达到预期的目标。在能正确实现蜜罐功能后,通过增加关键字来实现更真实的Linux命令,使系统具有更强更大的迷惑性
3.日志记录模块
数据捕获能够获得所有入侵者的行动记录,这些记录最终将有助于分析黑客所使用的工具、策略以及攻击目的。这就实现日志记录模块的目的,它的主要功能就是收集和记录黑客的攻击行为。具体实现过程是捕获蜜罐和黑客之间通信的数据包、为每一个黑客创建记录文件(记录文件名为黑客的IP地址)并记录数据包包含的信息。由于虚拟的服务不提供任何实际的作用,因此其收集到的数据很少。
系统开发完成后,选定在校园网内进行蜜罐系统功能的测试,通过在一台机器上运行服务程序,模拟出虚拟系统后,通过其他几台终端对蜜罐所在机器进行连接测试,并输入操作命令,整个测试过程,蜜罐能够及时响应输入的命令,并能将使用痕迹进行准确的记录,打开记录文件,能看到与系统屏幕上实时监视的信息相同的内容,每一个黑客的不同连接能够实现分开记录。通过以上测试,验证了蜜罐系统在校园网中部署的可行性,因此较好的实现了网络蜜罐系统的功能。
参考文献:
[1]王艳平著.Windows程序设计.北京:人民邮电出版社,2005.421-427.
[2]胡建伟,杨绍全.欺骗网络体系框架研究.网络安全技术与应用,2004(3):20-23.
[3]熊明辉,蔡皖东.高交互型蜜罐的设计与实现.信息安全与通信保密,2005(2):80-82.
(作者单位:浙江工业大学,温州乐清中学)