基于聚类分流算法的分布式蜜罐系统设计

0引言

伴随着计算机和网络技术的不断发展，人们在享受其带来的高品质生活的同时，也遭受着各种安全问题的侵扰，网络攻击一刻也没有停过。传统的网络安全防御手段如防火墙、入侵检测系统（Intrusion Detection System，IDS）、身份认证等虽已得到广泛应用，但是面对日新月异的攻击方法，它们也只能被动“接招”。蜜罐技术的提出和应用，大大提高了网络安全系统的主动防御能力和对未知类型攻击的响应速度。

蜜罐（Honeypot）从本质上来说是一种资源，其本身价值是引诱攻击者对网络进行攻击。蜜罐能够实时监视攻击者的所有活动，诱惑或者欺骗入侵者，转移攻击目标使他们优先攻击蜜罐系统，并从捕获到的数据中学习入侵者使用的工具、方式和方法，从而赢得研究入侵对策的时间。

蜜罐按照交互能力主要分为低交互型和高交互型，前者的价值在于检测，为网络提供直接的安全保护；而后者的价值在于对恶意软件及黑客攻击的捕获和分析。蜜罐系统主要包括了网络诱骗、数据控制、数据捕获、数据报警、数据分析和日志远程存储等功能模块。由于蜜罐系统一般要结合防火墙、路由器和IDS来进行数据控制，因此，整个蜜罐系统的数据包括防火墙日志、IDS网络数据包和日志、蜜罐本身日志等。数据报警通常借助一些监视工具（例如Swatch）来实现，通过字符串模式匹配去判断，然后实现 Email等方式报警[1]。

1研究现状

蜜罐技术作为一种新型的网络安全技术，已经得到国外很多研究机构和公司的重视。目前该领域较大型的研究项目有：致力于部署分布式蜜罐的“分布式蜜罐项目组”（Distributed Honeypot Project）；研究蜜罐网络诱骗技术的“蜜网项目组”（Honeynet Project）；而“蜜网研究联盟”（Honeynet Research Alliance）在此领域有较大影响。“分布式蜜罐项目组”主要研究将蜜罐散布在网络的正常系统和资源中，利用闲置的服务器端口进行欺骗，将欺骗分布到更广范围的IP地址和端口空间中，从而增大欺骗在网络中的百分比。“蜜网项目组”致力于提高人们的网络安全意识，同时提供必要的网络安全知识及该组织开发的开源工具软件。“蜜网研究联盟”主要是通过使用蜜罐网络这样一个真实的环境来研究入侵者使用的工具、策略和动机，其所有的研究成果都是开放的，向整个安全研究领域公布。目前蜜罐网络研究的重点被放在数据捕获和数据分析上，以提高蜜罐网络的易用性，即增加工具软件的界面友好性和操作的简便性等，并在此基础之上提出了第三代蜜罐网络结构模型。

我国在蜜罐技术研究方面起步较晚，2001年才对其立项研究。2004年9月北京大学计算机研究所正式成立的蜜罐网络项目研究组，开展“狩猎女神”项目研究，该研究组于2005年2月22日正式成为“蜜网研究联盟”的一员。这是我国第一个正式研究蜜罐技术的组织，标志着我国蜜罐技术研究与世界接轨[2]。

虽然如此，蜜罐技术在我国的应用现状仍不理想。它自身存在着几个局限性。首先是视野狭窄：蜜罐只能看见针对它自身的攻击行为进行记录和响应，不能对同一网络中其他部分的攻击作任何数据采集和分析。其次是蜜罐可能将新的风险引入到它所在的环境中：蜜罐系统一般设置较为简单，自身防护能力弱。一旦被黑客攻破，就可能被当作攻击和渗透其他系统的跳板。

本文采用一种改进的聚类算法，对在基于分布式蜜罐技术的系统中的经过防火墙和IDS检测后仍未被识别出类型的数据进行聚类分析，对聚类成功的数据通过其分簇情况来判断其所属类型，并采取相应措施。而对于聚类失败的数据，则重定向到蜜罐中，对其进行监视、特征提取。这样可以拓宽蜜罐监视的视野，接触到更多未知种类的攻击。而通过聚类算法，又可以对未知类型数据即疑似攻击数据做分析，将可以判断出类型的数据从疑似攻击数据中分离出来，以此减少进入蜜罐的数据量，降低蜜罐被攻破的概率，进而提高基于分布式蜜罐系统的网络的主动防御能力。