基于HoneyGate入侵诱控监测数字化网络平台的设计与实现

摘 要： 面对复杂多变的网络环境，传统的入侵检测方法只会被动地响应入侵行为，无法检测到动态、随机攻击，存在较大的缺陷。为了提高网络安全性能，设计并实现基于HoneyGate入侵诱控监测数字化网络平台，该平台由封包采集、欺骗网络、欺骗主机以及动态配置等模块构成。通过WinPcap封包截获模块采集数据链路包，实现入侵行为的ARP欺骗。采用树形数据结构塑造欺骗网络模块中的虚拟路由，完成入侵行为的网络级诱骗功能。融合主动探测与被动探测的动态配置方法，处理内部网络状态波动，对网络配置进行及时更新，增强网络适应性。实验结果表明，所设计网络平台可有效地诱骗入侵者，控制入侵行为，维护网络安全。

关键词： HoneyGate； 入侵诱控； 入侵监测； 数字化网络平台

中图分类号： TN926?34； TP393.08 文献标识码： A 文章编号： 1004?373X（2016）20?0133?05

Abstract： In view of the complex network environment， the traditional intrusion detection method only responds to the intrusion behavior passively， and also exists some great defects that it can′t detect the dynamic and random attack. In order to improve the network security performance， the HoneyGate?based digital network platform monitored with invasion deception and control was design and implemented. The platform is composed of packet acquisition， cheat network， cheat host， dynamic configuration and other modules. The WinPcap packet capture module is used to gather the data link package to realize ARP deception of intrusion behavior. The tree?form data structure is used to construct the virtual routing in deception network module to accomplish the network?level deception function against intrusion behavior. The dynamic configuration method of fusing active detection and passive detection is adopted to deal with the fluctuation of the internal network state， update the network configuration timely， and enhance the network adaptability. The experimental results indicate that the designed network platform can lure the intruder effectively， control its intrusion behavior， and maintain the network security.

Keywords： HoneyGate； invasion deception and control； invasion monitoring； digital network platform

0 引 言

随着互联网技术的不断发展，互联网受到入侵攻击的事件逐渐增加。因此，寻求高效的网络入侵检测技术，是网络安全领域研究的重点[1?3]。传统的入侵检测方法只会被动地响应入侵行为，无法检测到动态、随机攻击，存在较大的缺陷。而网络入侵诱控能够检测并分析网络入侵行为，对入侵攻击进行主动管理。设计依据网络入侵诱控的网络安全监控平台，具有重要的应用价值[4?5]。

现存的网络入侵检测方法存在较多的问题，如文献[6]提出的依据主机的入侵检测系统，同操作系统共同监测主机网络的运行情况，但是其对主机网络的稳定性要求较高，存在一定的局限性。文献[1]分析了依据网络的入侵检测方法，对网络数据包进行监测，采集有价值数据，若数据包同设置的相关规范一致，则进行报警，并终止网络通信。该方法需要监测大量的数据，效率较低。文献[7]采用已知的攻击方法按照设置的入侵模式，分析是否产生网络入侵事件，该方法按照具体的特征进行检测，具有较高的检测精度，但是，仅能检测到己知的入侵攻击。文献[8]提出基于行为的网络入侵检测方法，其按照网络用户的行为或资源使用状态，分析是否存在网络入侵攻击，但是该方法无法对总体网络的全部用户行为进行分析，存在较高的误检率。针对上述分析的相关问题，为了增强网络安全性能，设计并实现了基于HoneyGate入侵诱控监测数字化网络平台，该平台由封包采集、欺骗网络、欺骗主机以及动态配置等模块构成。

1 基于HoneyGate入侵诱控监测数字化网络平

台的设计与实现

网络入侵诱控技术可确保网络系统的安全。融合网络诱骗技术、主机诱骗技术以及动态配置技术，设计并实现一种基于HoneyGate入侵诱控监测数字化的网络平台，增强网络入侵诱控的性能。

1.1 网络平台总体框架结构设计

基于HoneyGate入侵诱控监测数字化网络平台的总体结构如图1所示。

图1描述的网络平台设置在内外网中的主机中，该主机存在三个网络接口，平台包括封包截获模块、欺骗网络模块、欺骗主机模块以及动态配置模块。封包截获模块对HoneyGate配置的IP地址空间的网络传输信息进行配置和传递，欺骗网络模块以及欺骗主机模块分别实现网络级诱骗以及主机级诱骗，动态配置模块探测内部网络信息，对HoneyGate模型的的信息库进行配置，完成总体网络平台的动态配置。

1.2 封包截获模块设计与实现

HoneyGate入侵诱控监测数字化网络平台，通过风波截获模块采集传递到相应网络地址区域中的地址网络数据包，实现对入侵攻击的ARP欺骗。

1.2.1 WinPcap封包截获

WinPcap是依据WIN32平台的封包截获与网络分析体系结构，其由包过滤器、低层动态链接库（packet.dll）以及高层系统无关库（wpcap.dll）组成，如图2所示。

包过滤器从网卡上捕获、传输以及过滤原始数据包，将满足过滤规范的数据包保存在核心缓冲区内。其通过函数对数据链路层内的数据进行读写，设置网卡为混杂模式。如果原始网络数据包传递到网络适配器中，则通过网卡驱动程序采集数据包，NDIS中间层驱动程序将数据包反馈到低层动态链接库中，再传输到filter内进行过滤处理，将满足规范的数据包保存在高层系统无关库内。通过用户级的应用程序从高层系统无关库中采集数据，完成数据链路层封包的截获。

1.2.2 封包截获模块工作流程

封包截获模块的工作包括接收和发送两部分，具体流程如图3所示。

封包截获模块的接收过程为：从配置信息数据库中，采集HoneyGate设置的虚拟诱骗环境的IP地址信息，捕获传递到该IP地址的网络原始数据包。若捕获到某IP地址的ARP申请报文，则反馈准确的ARP欺骗报文，否则向欺骗网络模块反馈原始数据包。持续分析网络配置信息是否变动，如果没有变动，则重复进行原始数据包的捕获工作，否则采集新的监控IP地址，再实施原始数据包的捕获工作。封包截获模块的发送过程，将欺骗网络模块反馈的数据包传输到外部网络中。

1.3 欺骗网络模块的设计

HoneyGate入侵诱控监测模型通过欺骗网络模块中划分出虚拟路由模块对网络拓扑结构进行虚拟设计，实现入侵行为的网络级诱骗功能，

1.3.1 欺骗网络模块的运行过程

欺骗网络模块的运行过程主要是虚拟路由模块的运行过程如图4所示。

欺骗网络模块通过虚拟路由模块先从配置信息数据库中采集HoneyGate需要模拟的网络拓扑结构，按照该结构信息塑造虚拟路由拓扑；然后欺骗网络模块从封包截获模块采集数据包并反馈给虚拟路由模块，虚拟路由模块采集IP数据包后对虚拟路由拓扑入口点进行检索，获取入口路由器IP地址、延迟、丢包率等信息；最后虚拟路由模块分析IP数据包的目标IP是否同此刻虚拟路由器处于相同的本地网络内，若不是，则从虚拟路由器的路由表内检索后续虚拟路由节点，执行路由虚拟拓扑过程，实现网络级诱骗；否则停止虚拟路由的工作，向欺骗主机模块反馈IP数据包，完成主机级诱骗。

1.3.2 欺骗网络模块具体实现

欺骗网络模块的关键过程通过虚拟路由模块完成，重点是通过树形结构塑造虚拟路由拓扑，其中的关键数据结构为：

（1） 虚拟路由拓扑树

如果传送到某目标IP的数据包被接收，则后续的数据包也会传递到同一目标IP。通过伸展树网的方式规划虚拟路由拓扑树，提高路由的检索效率。

1.4 欺骗主机模块以及动态配置模块的设计与实现

1.4.1 欺骗主机模块设计

网络平台中的HoneyGate模型将主机系统功能的模拟在欺骗主机模块中进行处理，完成主机级诱骗。采用数据包划分模块、协议操作模块和应用服务操作模块，模拟主机网络协议栈内的网络层、传递层和应用层的服务过程，完成在网络协议栈层次对入侵进行诱控，增强网络平台处理深度入侵攻击的能力。

1.4.2 动态配置模块的内部结构

网络平台的动态配置模块融合主动检测以及被动检测技术，对HoneyGate模型中的其他模块进行配置。动态配置模块的内部结构图如图5所示。

主控中心是动态配置模块的关键，网络平台开始通过HoneyGate入侵诱控模型进行入侵行为的检测时，主控中心通过主动检测模块对内部网络主机的地址、主机端口号和支撑不同服务的协议等信息进行分析，得到HoneyGate入侵诱控监测的原始配置策略，采用配置调整模块将配置策略信息存储配置信息数据库中。主动检测模块停止运行，主控中心按照设定的时间对新网络进行检测，并对被动检测模块进行检测。主控中心对比分析主动与被动检测结果中临时文件中的信息，若分析得到内部网络状态存在波动，则通过配置调整模块对配置信息数据库进行调整。

1.4.3 动态配置模块关键数据结构

动态配置模块的数据结构可确保主动和被动检测模块，依据数据结构将检测信息反馈给主控中心。网络端口中的信息有端口号、协议以及相关的服务，检测网络平台中主机的结果不仅有网络端口信息，还有主机地址以及开放端口数。主控中心读取拓扑结构后得到主机的检测结果，再对主机的状况进行对比，判断是否存在入侵攻击行为。详细的传递数据结构为：

（1） 存放各端口信息的结构

2 实验分析

通过实验测试验证所设计的网络平台的准确性，平台预防网络攻击的效果。采用本文设计的网络平台检测到的入侵事件如图6所示。

图6通过面板呈现出入侵事件信息，通过“Summary”能够获取入侵事件的起始和终止时间以及入侵动作等信息，获取的入侵事件的IP地址以及主机名通过“Visitor”呈现。因此能够看出本文设计的网络平台是有效的，可准确获取入侵事件。

2.1 ARP欺骗功能测试

本文设计的网络平台中的HoneyGate模型在宿主机上配置封包截获模块，对10.10.1.2～10.10.1.5地址段的申请进行监控，并传达出相关的应答报文。由封包截获模块运行状态可知，封包截获模块运行前，在入侵者主机（10.10.39.58）上对目标地址空间10.10.1.2～10.10.1.5发起的全部申请报文都无法收到反馈，入侵主机无法向网络接入目标地址区域的主机，使得传递到该网络地址区域的数据包出现缺陷，导致对应的虚拟诱骗环境运行中断。但是当所设计网络平台中的封包截获模块运行后，其可反馈10.10.1.2～10.10.1.5地址区间的申请，将HoneyGate宿主机的MAC地址当成源主机地址，并传达相关的反馈申请信息，将入侵者主机辨别地址区域内的系统连接到网络中，使得网络数据包可向HoneyGate宿主机传递，封包截获模块采集到数据包反馈给虚拟诱骗环境，确保该地址区域中的虚拟诱骗环境的顺利运行，完成入侵行为的诱骗。

2.2 虚拟路由功能测试

通过探测程序tracert分析入侵主机（10.10.39.58），进而检测HoneyGate中的虚拟诱骗环境 （10.10.1.4）的路由，结果如图7所示。通过图7能够看出，向虚拟诱骗环境传递的ICMP申请报文直接向10.10.1.5传递。而本文设计的网络平台通过设置HoneyGate虚拟路由功能，可塑造中间路由器10.10.1.1和10.10.2.1，并通过tracert程序对10.10.1.5的路由信息进行检测，结果如图8所示。

对比分析图7和图8中的虚拟路由检测结果可得，本文设计的网络平台通过HoneyGate入侵诱控模块中的虚拟路由功能，塑造了两个虚拟路由器，欺骗了入侵路由探测，保证了网络的安全。综合分析上述实验结果可得，未采用HoneyGate入侵诱控的网络平台中，入侵者的检测程序会采集到内部网络中的敏感信息，同时使得网络母板主机系统被入侵的程度增强。而采用HoneyGate入侵诱控的网络平台中，入侵者的探测程序tracert获取实际信息同诱骗信息混淆，使得入侵者无法准确分析实际目标地址，说明所设计的基于HoneyGate入侵诱控监测数字化网络平台对入侵者具有较强的诱骗和控制作用，保证了目标主机的安全。

3 结 论

为了提高网络安全性能，设计并实现基于HoneyGate入侵诱控监测数字化网络平台。该平台由封包采集、欺骗网络、欺骗主机以及动态配置等模块构成。通过WinPcap封包截获模块采集数据链路包，实现入侵行为的ARP欺骗。采用树形数据结构塑造欺骗网络模块中的虚拟路由，融合主动探测与被动探测的动态配置方法，处理内部网络状态波动，对网络配置进行及时更新，增强网络适应性。实验结果说明，所设计网络平台可有效地诱骗入侵者，控制入侵行为，维护网络安全。

参考文献

[1] 张玲，白中英，罗守山，等.基于粗糖集和人工免疫的集成入侵检测模型[J].通信学报，2013，34（9）：166?176.

[2] 林龙成，陈波，郭向民.传统网络安全防御面临的新威胁：APT攻击[J].信息安全与技术，2013（3）：20?25.

[3] 嵩天，李冬妮，汪东升，等.存储有效的多模式匹配算法和体系结构[J].软件学报，2013，24（7）：1650?1665.

[4] 刘雅菲，刘宴兵.WSN中一种新的基于重复博弈的入侵检测研究[J].计算机应用研究，2013，30（5）：1540?1543.

[5] 刘昊.无线传感器网络中基于相关性的数据融合技术研究[D].邯郸：河北工程大学，2013.

[6] 窦波，陈晓云，李均委.基于数据挖掘分析的电力营销稽查监控系统[J].新疆电力技术，2014（3）：92?94.

[7] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[8] 彭义春，牛熠，胡琦伟.基于IRBF的入侵检测系统的研究[J].计算机应用与软件，2013，30（9）：187?190.