基于蜜罐的网站安全防御系统的设计

摘要：随着互联网的飞速发展，网络安全已经日趋重要，针对不断出现的网络攻击技术，主动防御系统的出现是必然的。主动防御技术中的蜜罐技术将传统攻击手段中的欺骗技术引入了安全防御领域，从一个新的方向出发来处理网络安全问题。设计中应用蜜罐技术的基本思想，模拟设计了一个低交互式的小型蜜罐系统。在VMwar上安装操作系统，应用网站开发搭建了一个虚拟交互网站。通过对模拟网站的日志文件的自动读取和处理，最终达到了对网站交互平台上的访问者进行判断，设计中用到了伪真、数据捕获和数据分析等技术，可以在虚拟与真实系统间完成对入侵者重定向的目的。

Abstract： With the rapid development of the Internet， network security has become increasingly important. In view of the continuous network attack technology， the emergence of active defense system is inevitable. Active defense technology of the honeypot technology brings traditional means of attack in deceit technology introduced into the field of security defense to deal with the problem of network security proceeding from a new direction. The basic idea of honeypot technology is applied in the design， simulation and design of a small low interactive honeypot system. The operating system is installed on VMwar， the application of Web site development builds a virtual interactive website. Through the automatic reading and processing of the log files of simulation website， the visitor can be judged by the web site. The technology of the virtual reality system is used in the design.

关键词：蜜罐；日志；网络安全，

Key words： honeypot；log；network security

中图分类号：TP393.0 文献标识码：A 文章编号：1006-4311（2016）01-0191-03

0 引言

随着互联网的飞速发展，网络安全已经日趋重要，基于网络安全方面的网络数据包时刻要求进行高速的数据处理，这些应用对硬件性能的要求相当高，因此，针对不断出现的网络攻击技术，主动防御系统的出现是必然的。主动防御技术中的蜜罐技术将传统攻击手段中的欺骗技术引入了安全防御领域，从一个新的方向出发来处理网络安全问题。蜜罐技术通过伪装成真实系统或服务来诱骗攻击者攻击，能主动诱惑攻击，克服了防火墙静态防御的缺点；又因为只作为诱饵，没有其他用途，所以进出蜜罐的数据都是可疑的，这样就弥补了入侵检测系统的高误报率和高漏报率的缺陷。[1]

1 系统设计

1.1 设计思想

本文设计思想主要完成的是一种低交互蜜罐系统的设计和实现，利用完成一个网站系统，并在装有网站系统的主机上虚拟一个一样的网站系统，用局域网内的另一台PC模拟远程访问攻击，根据现有的日志文件判断：若是正常的访问，则导入主机上的网站，若非正常访问，则导入虚拟系统。[2，3]

1.2 系统实现

本系统为模拟蜜罐技术实现的一个小的简单的安全系统[4，5]，要实现远程访问者对网站的访问及攻击，首先要在主机上布置一个网站，为了得到访问记录的日志文件，就需要将服务器放置于此主机之上。其次，要实现主动防御的蜜罐系统，就要有和实际网站无差别的虚拟的网站来消耗入侵者的资源，那么就要有虚拟机、虚拟系统，及在虚拟系统上的对网站的部署。

1.2.1 系统构建

本系统使用VMware虚拟机软件，在一台PC机上模拟蜜罐系统的实现，这种方式不仅减少了对资源的需求，而且模拟出来的操作系统和服务等与本来的要防御的操作系统和服务的逼真度和相似度值更高，能够更好地欺骗入侵者，达到对入侵者的攻击行为有效监控的效果。然后利用基本开发软件JDK、Tomcat、MyEclipse和SQL Server 2005搭建了一个论坛贴吧的小型网站。

1.2.2 日志记录实现

日志记录可以将用户的登录信息以及攻击者登入系统后的所有活动记录下来。为将来分析攻击者的攻击方式或者是攻击者的犯罪行为提供了依据。日志记录模块又可以分为登陆记录和系统命令记录两个子模块。分别完成对攻击者登录信息的记录和对攻击者登入系统后的行为的记录。

在tomcat服务器下的访问日志文件是将登录记录和命令记录两个模块的内容合在一起的，一条记录包括了访问者的IP，服务器的IP，访问者的命令，服务器对其的响应，还有访问的时间等。

1.2.3 日志文件分析实现

对于如何识别某一用户是否是正常访问，要基于访问日志记录来判断。在判断用户的正常性时基于访问者规定时间内的访问次数即连接次数和访问者的发生访问所产生的流量来统计。假设若访问者在1分钟内对网站系统访问的次数超过某一次数时，我们就认为此用户有恶意攻击的嫌疑，下次此用户攻击时根据IP地址判断将其导入虚拟系统中去。若访问者产生的访问流量很大，也可以认为此访问者有恶意攻击的嫌疑。图1为日志分析流程图。

数据库内，可以很明了地读取出某一IP的访问次数，如果此IP为嫌疑IP，则再查看此IP的访问记录，判断此IP的访问时间段的长短看访问是否正常，若根据访问记录判断出访问者可能是入侵者则将此IP标注，下次此IP攻击时引入虚拟系统内。

数据库内主要判断依据如下：

selectip，count（*）as次数

fromlogtable

groupbyip

执行结果后的截图如图2所示。

由此结果及前面所述的阈值的确定可以发现IP 192.168.0.101的访问次数有些偏高，存在攻击的嫌疑，然后要调出此IP的访问记录，查看他的访问时间段。

数据库内找出IP 为192.168.0.101的访问记录的SQL语句如下：

selectip，logtime

fromlogtable

whereip='192.168.0.101'

IP 192.168.0.101访问的时间是从10：41：42至10：42：41这一时间段，在这接近一秒的时间内的访问次数就有51次，则根剧前文的设定，此IP为入侵者。则要将此IP标注，下次入侵时引入虚拟系统去。

1.2.4 入侵重定向的实现

当访问系统次数超出预设值时，则判断为入侵行为，重定向子系统则截断入侵者同实际系统的连接，而把所有的入境数据导向欺骗系统。根据分析结果，要把非正常的IP地址引入虚拟系统去，在这里把IP为192.168.0.101这一入侵者引入虚拟系统。要实现重定向，就要更改路由策略。以下仅为入侵重定向功能实现的部分步骤。

①首先连接到此路由器，然后打开浏览器，输入网址http：//192.168.0.1/index.asp，进行上网方式和无线密码设置。在上网设置里选择自动获取，在无线密码栏目里输入无线密码。

②然后单击确定，就会进入路由器相关策略的设置界面。可以在这里修改上网的设置，无线设置，行为管理等。

③可以根据本次设计的相关结果，来根据端口号进行端口号的路由配置策略，即对于重定向是根据端口号来做的，不同的端口号根据不同的设定，可以导入虚拟机、实际系统内，具体设置，开始端口号为80，结束端口号为8080，内网IP地址为192.168.0.100到192.168.0.135，并启用全部协议。本次设计是要将80端口的访问引入真实系统内，即就是IP地址为192.168.0.100的系统，所以在设定时将端口段设为80到80，内网IP设为真实操作系统的IP，所有的协议通过。同理，8080端口号的引入虚拟操作系统，虚拟操作系统固定分配了IP是192.168.0.135。

以上为在路由器内根据相关分析结果进行简单的策略配置更改的过程，在这一更改的过程中，实现了根据端口号来更改策略，其实此配置的更改与根据源IP来配置是类似的。

2 仿真结果及分析

对本次所完成系统的测试有两种方案，一种是使真实系统和操作系统内的网站可以同时运行，然后基于不同的端口号从外部直接链接；另一种是基于日志文件分析结果所判别出来的非正常用户IP地址，当这些用户攻击时引入虚拟系统的网站去，相反，正常的用户依旧引入PC操作系统下的网站系统。

2.1 基于端口号的测试

根据端口号来测试两个网站的差异性，同时运作性。这一方案的基本原理如图3所示。

首先在PC机上虚拟一个操作系统，然后再在虚拟的操作系统内生产一个web服务器，在PC机上同样生成一个web服务器。然后当外部的攻击者攻击时，若攻击者输入的网址是http：//192.168.0.100/则将此链接引入PC机。若输入的网址是http：//192.168.0.135：8080/则将此链接引入虚拟机上的网站。

以下为根据端口号的系统测试，当用另一台PC机输入网址http：//192.168.0.100/时，则进入的网站会是基于实际操作系统的网站。进入链接后的网站系统，则在主机操作系统的web服务器下会有其访问记录，端口号为80时访问的日志记录信息，以下为其访问记录内容：

上述的测试方案就是基于端口号的不同而进行的测试，可以看出最终的测试结果与预期的结果是一致的。根据前面的分析，要使得IP为192.168.0.102访问网站系统时，链接到的是实际操作系统，同时使用的端口号是80。使得IP为192.168.0.101访问网站时链接到的是虚拟的操作系统，给虚拟操作系统分配的端口号是8080。

2.2 基于日志分析结果的测试

通过对此特定的蜜罐系统的识别，可以验证识别系统的准确性和有效性。客户端通过网络连接开放的指定网站，根据现有的连接记录形成的判别文件判别此次连接是否为正常连接，若正常则直接导入主机的真实系统的网站下，同时记录日志文件。若不是正常的连接则判定此次连接可能有攻击性，则导入蜜罐中去，同时记录此次连接的日志文件，分析记录。

根据得到的是日志文件的内容，所有的访问记录都会存在生成的日志文件里面。生成的日志文件名字是localhost_access_log..txt，存进去的记录有IP、访问时间、访问网址、端口号等。然后将日志文件的主要存入数据库以方便进行数据分析，再从数据库内分析IP是否有攻击性，最后根据分析的结果来做重定向。

3 结束语

本次设计实现的最终功能是对网站系统的访问均能给出响应信息，能够正确记录不同用户的不同活动，并确保真实系统、日志文件的安全。系统为了使得系统的仿真性更高从而欺骗到入侵者，采用欺骗技术的伪装仿真技术，使得入侵者不易怀疑系统的真实性。其次，为使入侵者不能破坏真实系统，采用入侵行为重定向技术将入侵者的攻击引入虚拟蜜罐中去。接着，对于入侵者的入侵、行为的分析就要做到记录其行为，然后分析防范，就用到了信息捕获、信息控制和数据分析技术。最后，对于蜜罐系统而言，它是需要与入侵检测技术和防火墙技术等一起协作实现主动防御的。

参考文献：

[1]诸葛建伟，等.蜜罐技术研究与应用进展.软件学报，2013（04）.

[2]赖英旭，胡少龙，杨震.基于虚拟机的安全技术研究.中国科学技术大学学报，2011（10）.

[3]李燕南，等.主机日志分析与研究.中国高新技术企业， 2010（04）.

[4]杨慧.网络安全技术的发展现状和未来发展趋势.电脑知识与技术，2010（35）.

[5]龚伏廷.计算机网络安全技术探析.电脑知识与技术，2010（15）.