论文部分内容阅读
摘要:虚拟蜜网的三大核心技术数据控制、数据捕获、数据分析介绍及对蜜网发展的展望。
关键词:数据控制;数据捕获;数据分析
一、蜜网的介绍
当前网络技术突飞猛进,随着虚拟技术的发展,蜜网技术也得到了长足的发展。蜜网简单的说就是由若干个蜜罐组成的网络,蜜网的概念由蜜网项目组(Honeynet Project)提出,前身是1999年Lance Spitzer等人发起制作的蜜网技术邮件列表。
蜜网是从蜜罐技术基础上发展起来的,蜜罐技术侧重于使用单个系统进行引诱攻击,蜜网侧重于在整个内部网络形成一个诱捕框架,在内部网络各个子网设置虚拟蜜罐,实现对整个网络的高度监控。另外,蜜网架构注重整合资源,将真实的系统、蜜罐系统、各种服务、防火墙及入侵检测等资源有机结合在一起,具有多层次的数据控制机制,全面的数据捕获机制,并能够辅助研究人员对捕获的数据进行深入分析。因此蜜网也可以理解为一个集防火墙、入侵检测、数据分析软件、各类蜜罐等于一体的综合体。
二、蜜网的三大核心技术
整个蜜网体系主要由蜜网网关、虚拟蜜罐、物理蜜罐和监控机组成。蜜网体系结构解决了三大核心功能:数据控制、数据捕获和数据分析[1]。主要涉及到的软件是Iptables、Snort_inline、Sebek等。
2.1 数据控制
当攻击者攻陷蜜罐后,一般不会满足于在所攻陷的主机上进行操作,往往会以此主机为跳板对其他网络进行攻击。数据控制的目的就是阻止攻击者的这种行为,但如果完全禁止,攻击者可能会意识到进入防御者的圈套,从而得不到攻击者真实的操作意图。蜜罐的作用是引诱攻击者攻击,记录攻击者行为,一旦蜜罐被攻陷,就可能成为攻击者攻击整个网络的跳板。因此既要通过蜜罐来引诱攻击,分析攻击者的行为,又要防止蜜罐被攻击者作为跳板来攻击整个网络这样的情况发生。数据控制就是通过设置策略限制攻击者的活动进行网络防护。如果攻击者进入蜜网,既要给攻击者一定的活动自由,也要对攻击者的活动进行限制,不能让攻击者危害蜜网之外的系统,更不能让攻击者发现数据控制的活动。一般通过两种方式来进行数据控制。
(1) 对外连接数限制
Netfilter/iptables是Linux平台下的免费包过滤防火墙,其中netfilter称为内核空间,iptables称为用户空间。通过添加、修改和删除规则进行配置防火墙。
通过防火墙iptables设置规则,严格控制单位时间内向外连接数量。在rc.firewall脚本中设定对外连接数。在无人值守的情况下,可以设置向外连接数量的上限,超出这个上限的连接由防火墙进行阻塞,并生成警告通知管理员。一般向外连接数设置在五个到十个之间。在全天候值守的前提下,也可以不设定上限,由专人观察。
(2) 攻击包抑制:网络信息防御系统Snort_inline[2]
Snort_inline是通过对snort修改而产生的,由iptables获取数据包并对数据包进行检测。如果检测出从蜜网向外发出的数据包中含有异常特征,则丢弃此数据包并对管理员发出报警信息。在Snort_inline中由queue选项来决定对数据包的丢弃、修改或回拒。由于是通过iptables进行检测,检测过程依赖于iptables的规则库。
第三代蜜网对数据控制又增加了内容。在防火墙规则上添加了黑名单、白名单、防护名单等功能。
2.2 数据捕获
数据捕获是蜜网的重要功能,只有捕获了攻击者的入侵数据,才能对其进行分析整理,才能对防火墙和入侵检测等系统进行规则调整。捕获的数据需要传输到另外的主机上,保证所捕获数据的安全性。
蜜网通过三重捕获手段对数据进行捕获:一是防火墙日志;二是网络流;三是系统活动。
第一重捕获手段是防火墙,防火墙记录数据包的一些简单信息。防火墙记录多种数据包类型:TCP、UDP、ICMP及其他数据包。记录的内容主要有:包协议类型、源地址、目的地址、源端口、目的端口、进出的网络接口、包长度、数据包通过时间等。但是防火墙日志记录的内容不够全面,主要是防火墙对数据包的内容不进行记录,因此对攻击行为不能做全面分析。
第二层捕获手段是网络入侵检测系统snort[3]。
Snort是一个轻量级的入侵检测系统,Snort有三种工作模式,分别为:嗅探器、数据包记录器和网络入侵检测系统。
Snort以嗅探器模式来完成对数据的捕获。通过tcpdump实现嗅探功能。
第三重捕获手段是Sebek。
Sebek开发于Linux上,现在WIN,SOLARIS,OPENBSD也有相应的sebek版本。目前sebek已经升级到qebek版本。
2.3 数据分析
当混合蜜网捕获到攻击者数据包信息后,如何对所捕获的数据进行分析,如何从大量的数据中得到有用的数据也是非常重要的。
第三代蜜网的数据分析采用多层次机制,包括自动报警和辅助分析两种机制。
自动报警功能是通过Swatch工具实现,Swatch是一个用于实时监视日志的PERL程序,通过触发器监视日志记录,当日志内容与触发器条件匹配时,swatch会通过Email等方式向管理员告警。
第三代蜜网提供了强大的数据分析功能,由Walleye软件展现。Walleye提供了基于web的可视化网络图,从而使得管理员能够清晰了解蜜网中所发生的任何攻击事件。
三、蜜网的发展方向
蜜网作为一种网络安全的主动防御方式,目前已经向蜜场、蜜标、集中式蜜网技术等方面发展。随着网络发展的日新月异,随着人们对网络完全防护越来越重视,蜜网将得到更进一步的发展。(作者单位:南京特殊教育职业技术学院)
参考文献:
[1]ROBERT MCGREW.Experiences With Honeypot Systems:Development,Deployment and Analysis[J].IEEE Transactions on Software Engineering,2006:1-9
[2]BRIAN CASWELL.Snort2.0 入侵检测[M].宋劲松等,译.北京:国防工业出版社,2004:112-120
[3]The snort homepage[EB/OL]. http://www.snort.org, 2012-12-15.
关键词:数据控制;数据捕获;数据分析
一、蜜网的介绍
当前网络技术突飞猛进,随着虚拟技术的发展,蜜网技术也得到了长足的发展。蜜网简单的说就是由若干个蜜罐组成的网络,蜜网的概念由蜜网项目组(Honeynet Project)提出,前身是1999年Lance Spitzer等人发起制作的蜜网技术邮件列表。
蜜网是从蜜罐技术基础上发展起来的,蜜罐技术侧重于使用单个系统进行引诱攻击,蜜网侧重于在整个内部网络形成一个诱捕框架,在内部网络各个子网设置虚拟蜜罐,实现对整个网络的高度监控。另外,蜜网架构注重整合资源,将真实的系统、蜜罐系统、各种服务、防火墙及入侵检测等资源有机结合在一起,具有多层次的数据控制机制,全面的数据捕获机制,并能够辅助研究人员对捕获的数据进行深入分析。因此蜜网也可以理解为一个集防火墙、入侵检测、数据分析软件、各类蜜罐等于一体的综合体。
二、蜜网的三大核心技术
整个蜜网体系主要由蜜网网关、虚拟蜜罐、物理蜜罐和监控机组成。蜜网体系结构解决了三大核心功能:数据控制、数据捕获和数据分析[1]。主要涉及到的软件是Iptables、Snort_inline、Sebek等。
2.1 数据控制
当攻击者攻陷蜜罐后,一般不会满足于在所攻陷的主机上进行操作,往往会以此主机为跳板对其他网络进行攻击。数据控制的目的就是阻止攻击者的这种行为,但如果完全禁止,攻击者可能会意识到进入防御者的圈套,从而得不到攻击者真实的操作意图。蜜罐的作用是引诱攻击者攻击,记录攻击者行为,一旦蜜罐被攻陷,就可能成为攻击者攻击整个网络的跳板。因此既要通过蜜罐来引诱攻击,分析攻击者的行为,又要防止蜜罐被攻击者作为跳板来攻击整个网络这样的情况发生。数据控制就是通过设置策略限制攻击者的活动进行网络防护。如果攻击者进入蜜网,既要给攻击者一定的活动自由,也要对攻击者的活动进行限制,不能让攻击者危害蜜网之外的系统,更不能让攻击者发现数据控制的活动。一般通过两种方式来进行数据控制。
(1) 对外连接数限制
Netfilter/iptables是Linux平台下的免费包过滤防火墙,其中netfilter称为内核空间,iptables称为用户空间。通过添加、修改和删除规则进行配置防火墙。
通过防火墙iptables设置规则,严格控制单位时间内向外连接数量。在rc.firewall脚本中设定对外连接数。在无人值守的情况下,可以设置向外连接数量的上限,超出这个上限的连接由防火墙进行阻塞,并生成警告通知管理员。一般向外连接数设置在五个到十个之间。在全天候值守的前提下,也可以不设定上限,由专人观察。
(2) 攻击包抑制:网络信息防御系统Snort_inline[2]
Snort_inline是通过对snort修改而产生的,由iptables获取数据包并对数据包进行检测。如果检测出从蜜网向外发出的数据包中含有异常特征,则丢弃此数据包并对管理员发出报警信息。在Snort_inline中由queue选项来决定对数据包的丢弃、修改或回拒。由于是通过iptables进行检测,检测过程依赖于iptables的规则库。
第三代蜜网对数据控制又增加了内容。在防火墙规则上添加了黑名单、白名单、防护名单等功能。
2.2 数据捕获
数据捕获是蜜网的重要功能,只有捕获了攻击者的入侵数据,才能对其进行分析整理,才能对防火墙和入侵检测等系统进行规则调整。捕获的数据需要传输到另外的主机上,保证所捕获数据的安全性。
蜜网通过三重捕获手段对数据进行捕获:一是防火墙日志;二是网络流;三是系统活动。
第一重捕获手段是防火墙,防火墙记录数据包的一些简单信息。防火墙记录多种数据包类型:TCP、UDP、ICMP及其他数据包。记录的内容主要有:包协议类型、源地址、目的地址、源端口、目的端口、进出的网络接口、包长度、数据包通过时间等。但是防火墙日志记录的内容不够全面,主要是防火墙对数据包的内容不进行记录,因此对攻击行为不能做全面分析。
第二层捕获手段是网络入侵检测系统snort[3]。
Snort是一个轻量级的入侵检测系统,Snort有三种工作模式,分别为:嗅探器、数据包记录器和网络入侵检测系统。
Snort以嗅探器模式来完成对数据的捕获。通过tcpdump实现嗅探功能。
第三重捕获手段是Sebek。
Sebek开发于Linux上,现在WIN,SOLARIS,OPENBSD也有相应的sebek版本。目前sebek已经升级到qebek版本。
2.3 数据分析
当混合蜜网捕获到攻击者数据包信息后,如何对所捕获的数据进行分析,如何从大量的数据中得到有用的数据也是非常重要的。
第三代蜜网的数据分析采用多层次机制,包括自动报警和辅助分析两种机制。
自动报警功能是通过Swatch工具实现,Swatch是一个用于实时监视日志的PERL程序,通过触发器监视日志记录,当日志内容与触发器条件匹配时,swatch会通过Email等方式向管理员告警。
第三代蜜网提供了强大的数据分析功能,由Walleye软件展现。Walleye提供了基于web的可视化网络图,从而使得管理员能够清晰了解蜜网中所发生的任何攻击事件。
三、蜜网的发展方向
蜜网作为一种网络安全的主动防御方式,目前已经向蜜场、蜜标、集中式蜜网技术等方面发展。随着网络发展的日新月异,随着人们对网络完全防护越来越重视,蜜网将得到更进一步的发展。(作者单位:南京特殊教育职业技术学院)
参考文献:
[1]ROBERT MCGREW.Experiences With Honeypot Systems:Development,Deployment and Analysis[J].IEEE Transactions on Software Engineering,2006:1-9
[2]BRIAN CASWELL.Snort2.0 入侵检测[M].宋劲松等,译.北京:国防工业出版社,2004:112-120
[3]The snort homepage[EB/OL]. http://www.snort.org, 2012-12-15.