基于学习型蜜网的设计与实现

摘要：本文通过对传统网络安全技术存在的问题进行分析，引入了蜜网技术，并且在传统的蜜网技术的基础上进行改进，使蜜网具有自动学习的功能，并且添加了报警模块，数据挖掘模块以及管理员的人为分析因素。

关键词：入侵检测技术；防火墙技术；蜜网技术；数据挖掘

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)12-20ppp-0c

Design and Implementation on the Study Honeynet

ZHANG Qing-jun, LIU Xiao-qing, CUI Feng-yun

(School of Information Science & Technology, SWJTU, Chengdu 610031, China)

Abstract: This article introduce the honey net technology, through carries on the analysis to the tradition network security technology existence's question,, and makes the improvement in the traditional honey net technology's foundation, enables the honey net technology to have the automatic study function, and increased the warning module, data mining module as well as increased manager's artificial analytical factor.

Key words: Intrusion Detection Technology, Firewall Technology, Honeynet Technology, Data mining

1 传统安全模型存在的问题

防火墙技术和入侵检测技术,都属于传统的安全模型，他们存在很多的缺陷和不足。如他们不能防止不绕过防火墙的攻击，经不起人为因素的攻击。另外防火墙对网络安全进行单点控制，不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。

当然入侵检测技术也存在着很多得问题，如会产生大量警报,而这些警报中大部分都是误警，在真正的警报中，又有很多是试探行为，并没有实现真正的攻击，这使得发现问题的真正所在非常困难。它缺乏足够的与其他安全工具和网管系统的集成能力。不能协调、适应多样性的网络环境中的不同安全策略。通常无法检测新的攻击方式和已有攻击方式的新变种，因而需要不断升级、不断增大的网络流量对入侵检测技术的数据提取能力和实时报警失灵，入侵者其后的行为将无法被记录。

从防火墙技术，入侵检测技术出现上述问题而言，说明他们不是万能的，而且他们的问题还在于他们所采取的安全策略是先考虑系统可能出现哪些问题，然后对问题进行分析解决。这些问题大多很难在现有的理论体系框架下解决，于是必须引入一种新的、不同于现有的理论的技术以弥补他们的不足，进而解决他们的问题，这就是蜜网技术。

2 蜜网技术

“蜜网项目组”的创始人Lance Spitze给出了蜜罐的权威定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和功陷。这个定义表明蜜罐并无其他实际作用，因此流入/流出蜜罐的网络流量都预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对些攻击活动进行监视、检测和分析。它并不是传统安全防御技术、工具的替代，而是它们的辅助和补充。相对于被动防御，蜜罐最大的优势在于它能主动地检测和响应网络入侵和攻击，并且采集的信息价值很高。

蜜网(honeynet) 是一种高交互性蜜罐，不是单一的系统，而是一个网络。一个典型的蜜网通常由防火墙、入侵检测系统(IDS)和多个蜜罐主机组成。防火墙和IDS对所有进出蜜网的数据进行捕获和控制，然后对所捕获的信息加以分析，以便获取关于入侵者的一些情报。在蜜网内部，可以放置任何类型的系统来充当蜜罐，如Solaris、Linux、Windows NT、Cisco 交换机等。这样，就为入侵者创造了一个感觉更真实的网络环境。同时通过对各个系统配置不同的服务,例如Linux DNS、Windows NT Web 服务器或者Solaris FTP 服务器，就可以了解入侵者使用的各种工具和战术。

与防火墙技术和入侵检测技术不同的是，蜜网是引进了主动控制、人工智能等思想，如机器学习、数据挖掘、模糊理论、遗传算法等。他们所做的就是改变传统的思路，使其更具主动性、交互性、学习性――他们的主要功能是用来学习了解入侵者的思路、工具、目的。通过获取这些技能，互联网上的组织将会更好地理解他们所遇到的威胁，并且理解如何防止这些威胁。通过蜜网，组织可以在与入侵者的“游击战争”中获得最大的主动权。

2.1 系统设计方案

为了解决传统防火墙和入侵检测技术的安全问题，对于未知的攻击进行有效检测和捕获，通过引入Honeypot技术，结合NIDS、防火墙技术，我们设计了一个结合了Honeypot技术、NIDS、防火墙的联动系统，联动系统结构如图1所示。

对于Honeypot软件本文选用linux平台下的Honeyd 1.5b，数据控制技术的实现本文使用多层次的数据控制机制，入侵者进入系统以后首先面对的路由器，它可以防止ICMP的攻击或者一些欺骗性的攻击，仅仅允许源地址是网内部分的主机向外发包。第二层控制机制是Honeywall，当IDS（由开放源代码的Snort 2.4.4工具实现）检测到异常数据时，由Honeywall完成路由重定向功能，将攻击数据转移到Honeypot，从而完成对业务网络的保护以及对攻击行为数据的捕捉和分析。对于数据捕获我们可以有效利用防火墙日志信息以及IDS捕获到的有效数据。另外还有Honeypot的日志信息供我们分析。对于数据分析我们将捕获来的数据使用Apriori算法进行数据挖掘。处理过的数据利用发邮件的方式向管理员发出警报，并且把形成的入侵规则发给管理员由管理员决定是否调整防火墙及入侵检测系统策略，将新生成的规则加入到防火墙及入侵检测系统。

2.2 部分模块的实现（添加报警功能）

Honeyd 将日志记录作为邮件内容，每12小时向安全管理人员的邮箱发送一次最新的报警信息。间隔时间可根据系统的重要程度、实际状况等而调整。发送前我们先对Honeyd记录的日志进行一次处理，将同一个源IP地址的攻击信息放入一个文本文件，再依次发送不同源IP的文件内容。已处理完的日志，我们将它的记录复制到另一个备份文件，并将原日志文件清空，避免对同一记录处理两次。

报警流程为：

（1）设置定时器，达到报警间隔时间，便触发日志处理；

（2）提取源IP地址，根据IP地址记录攻击信息；

（3）发送文件到电子邮箱。

2.3 实验分析

本系统数据处理流程如图2所示，综合了Honeypot、防火墙、NIDS三者的优点，对已知类型的攻击，通过正确设置NIDS和防火墙规则，检测率为100%；对未知类型的攻击，根据其扫描策略的不同，检测率平均在60%以上（此数据与试验所使用到的本网段中未被使用到的IP地址数量有关）。

3 结束语

本文所部署的系统具有防火墙、NIDS、Honeypot三者单独使用所达不到的效果，不但能检测出未知攻击，而且能成功捕获攻击副本、同时转移攻击流量以达到减轻攻击对目标网络攻击的目的，其缺点是当服务器面对新型攻击时也存在一个危险期，即在从攻击数据挖掘出日志信息、得到新规则给NIDS和防火墙之间的这段时间，攻击有可能绕过防火墙进入敏感网络并造成破坏。因此，对于本系统，实时性是一个巨大挑战。

参考文献：

[1] 王铁方,李涛.蜜网与防火墙及入侵检测的无缝结合的研究与实现[J].四川师范大学学报（自然科学版）,2005,28(1).

[2] 贾坤，汤泽滢.基于Honeypot的网络蠕虫联动对抗技术[J].信息安全与通信保密,2006(9).

[3] 刘宝旭,曹爱娟,许榕生.网络陷阱与诱捕防御技术综述[J].计算机工程,2004(9):1-3.

[4] Lance Spitzner, " Honeypots, tracking the hackers ", 2002, .

[5] Honeynet Project. Know Your Enemy: GenII Honeynets[EB/OL]. .

[6] Honeynet Project. You’re your Enemy: Honeynets [EB/OL]. . Design of honeynet system.