基于Linux的蜜罐识别技术的研究
VIP免费
摘 要
随着 Internet 的发展,基于网络的应用系统越来越多,现代社会对网络的依
赖日益增强,同时网络的安全也面临着巨大的挑战。面对威胁,众多安全机构研
发了许多安全产品,但攻击者的技术水平也在不断提高,安全产品的更新换代始
终跟不上新问题的出现,往往在某个攻击造成了巨大损失后,才采取补救措施。
单一的安全技术,如防火墙或入侵检测技术,不足以保护网络安全。因此,在防
火墙和 IDS 后加入入侵诱骗技术,既可以用作研究入侵者的有效工具,又可以作
为检测攻击者的有力武器,使得被动防御的网络安全技术加强了主动性,对网络
的保护更加及时和全面。
蜜罐技术是一种新兴的基于主动防御的网络安全技术,蜜罐是应用于网络安
全领域的信息系统资源,它的价值体现在被扫描、攻击和攻陷[1]。通过蜜罐可以
获取攻击者和攻击技术的相关信息,也可以用来吸引和分散攻击者的注意力,以
保护真实的网络系统。蜜罐技术的兴起和飞速发展、以及在实际应用中发挥的巨
大作用,促使越来越多的组织和个人开始研究反蜜罐技术。对于攻击者,他们希
望在攻击别人的时候更好的保护自己的攻击技术、工具和目标等不被发现,所以
进行反蜜罐的研究与试验,在攻击前进行蜜罐识别,如果目标主机是蜜罐,则放
弃攻击或进行进一步的攻击。对于蜜罐的部署者和维护者,他们也同样进行反蜜
罐的研究,目的是从反蜜罐的研究中发现蜜罐本身的薄弱环节和漏洞,完善蜜罐
系统,以使自己的蜜罐变得更加安全可靠,系统资源得到更有效的保护。
如今,蜜罐领域的研究刚刚起步,有着巨大的发展空间和应用前景。为了使
蜜罐捕获更多的入侵行为,在不断增强自身功能的同时必须加强自身的安全,不
然比任何一个有漏洞的主机都更可能成为入侵者的突破口。蜜罐技术和蜜罐识别
技术之间是一个博弈问题,将会在相互竞争中共同发展。
本文首先对国内外的研究现状进行了分析,并对现有的蜜罐和蜜罐识别技术
进行了深入的研究和分析,综合并扩展了现有的蜜罐识别技术,最后详细介绍了
蜜罐识别子系统的设计、实现和测试。
关键词:蜜罐 蜜罐识别 网络诱骗 信息隐藏
ABSTRACT
With the development of the Internet, a growing number of Web-based applications,
modern society increasingly dependent on the network, and network security are also
faced with enormous challenges. In the face of threats, many security agencies to
develop a number of security products, but the attackers are constantly improving the
level of technology, security products always keep upgrading the emergence of new
issues, often resulting in a tremendous loss of attacks after remedial measures. The sole
security technology, like the firewall or the intrusion detection technology, is
insufficient to protect the network security. Thus, after joining in the firewall and IDs
invasion into technology can be used to study the invaders effective tool, and can serve
as a powerful weapon testing attackers make passive defense network security
technology to enhance the initiative for network protection more timely and
comprehensive.
Honeypot technology is a new initiative based on the defense network security
technology. Honeypot is a information system resource which is applied to the field of
network security, its value is lie in scanned, attacks and captures. Through the
honeypot we can gain information about the aggressor and the attack technology, and
can also be used to attract and disperse the attention of the attackers, in order to protect
the real network system. The emergence of honeypot technology and its rapid
development, as well as the tremendous effect which displays in the practical
application, urges more and more organization and individual starts to study the
anti-honeypot technology. About the aggressor, they hoped when they attack others
they can better protect their attack technology, tool and the goal and so on was not
discovered, therefore they do the study of anti-honeypot and do experiment about
anti-honeypot. Before attacks they will try to judge if the target host is a honeypot or
not, if the target host is honeypot, they will give up the attacks or carry out further
attacks. To the people who deploy and defend the honeypot, they also do the research
of the anti-honeypot, in order to find the weakness and leak of the honeypot they
deployed, and improve honeypot system to make their own honeypot become more
secure, reliable, and system resources to be more effective protection.
Today, and research in the field of honeypot has just begun, and enjoys huge room
for development and application prospects. In order to capture more honeypot invasion,
constantly strengthen its function at the same time they need to strengthen its own
security, otherwise they are more likely to become the starting point for an intruder
than other hosts. Honeypot technology and identification technology is a game, will be
competing in common development.
In this paper, we first analyzed the study of the status at home and abroad
analyzed, and about the existing honeypot honeypot recognition technology we
conducted in-depth research and analysis, we integrated and the expansed of existing
honeypot identification technology, finally we introduced the honeypot identification
subsystem design, implementation and testing.
Key Words: Honeypot, Anti-honeypot, Network trap, Information hiding
目 录
摘 要
ABSTRACT
第一章 绪 论................................................................................................................ 1
§1.1 课题研究的目的和意义................................................................................ 1
§1.2 国内外的研究现状........................................................................................ 2
§1.3 论文的主要工作和内容................................................................................ 4
第二章 蜜罐技术概要.................................................................................................. 5
§2.1 网络陷阱与网络诱骗.................................................................................... 5
§2.2 蜜罐技术原理................................................................................................ 6
第三章 蜜罐识别的技术方法.................................................................................... 11
§3.1 蜜罐体系结构和部署方案.......................................................................... 11
§3.2 蜜罐识别技术.............................................................................................. 15
§3.3 对honeyd 和蜜罐部署工具的识别............................................................ 18
第四章 蜜罐识别系统的设计和实现........................................................................ 32
§4.1 蜜罐识别系统的设计概述.......................................................................... 32
§4.1.1 设计原则.............................................................................................. 32
§4.1.2 设计目标.............................................................................................. 32
§4.2 蜜罐识别系统模型...................................................................................... 33
§4.3 蜜罐识别系统的实现.................................................................................. 34
§4.3.1 对honeyd 的识别................................................................................ 34
§4.3.2 对虚拟机 VMware 的识别 ..................................................................42
§4.3.3 对虚拟机 VMware 的识别的扩展 ......................................................49
第五章 蜜罐识别系统的测试及结果分析................................................................ 56
§5.1 对honeyd 的识别的测试.............................................................................. 56
§5.2 对VMware 识别的测试 ................................................................................57
§5.3 对VMware 扩展识别的测试 ........................................................................59
§5.4 测试结果分析................................................................................................ 61
第六章 结束语.......................................................................................................... 63
参考文献........................................................................................................................ 65
第一章 绪 论
1
第一章 绪 论
§1.1 课题研究的目的和意义
互联网的应用越普及,安全问题就越严重。与过去相比,攻击者的数量和种
类,攻击的方法和手段都有质的变化,而传统的信息安全技术,如防火墙、入侵
检测系统、加密等等,都属于防御性的保护策略。这种方法的问题是:它只是纯
粹的防守,而攻击者掌握着主动。
蜜罐(Honeypot)就是为了扭转这种不利局面而提出的。蜜罐(Honeypot)是
一种在互联网上运行的计算机系统,它是专门为吸引并诱骗那些试图非法闯入他
人计算机系统的人(如电脑黑客等)而设计的。部署Honeypot 的目的有两个[2]:
一是在不被攻击者察觉的情况下监视他们的活动,收集与攻击者有关的所有信息;
二是牵制攻击者,让他们将时间和资源都耗费在攻击Honeypot上,使他们远离实
际的工作网络。也就是说,蜜罐就是诱捕攻击者的一个陷阱。
蜜罐系统是一个包含漏洞的计算机系统,它通过模拟一个或多个易受攻击的
主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供有价值的
服务,因此所有对蜜罐的链接尝试都被视为是可疑的。蜜罐的另一个用途是拖延
攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。这样最初的攻击目标得
到保护,真正有价值的内容没有受到侵犯。此外,蜜罐也可以为追踪攻击者提供
有用的线索,为计算机取证提供有力的证据。从这个意义上来说,蜜罐就是诱捕
攻击者的一个陷阱。
Honeypot发展至今,虽然还在起步阶段,但也产生了可观的研究成果,发布
了一些商用或开源的具体产品,在保护系统安全、观测黑客攻击活动等方面发挥
了巨大作用。
任何事物的发展都充斥着正与反、矛与盾的较量。正因为蜜罐的主动防御能
力越来越高,这给攻击者实施攻击带来了极大的制约,所以越来越多的攻击者开
始研究如何识别蜜罐,以及在识别出蜜罐的存在以后,如何绕过它、攻击它,甚
至利用攻陷的蜜罐作为跳板去攻击第三方资源,这就是反蜜罐(Anti-Honeypot)技
术。攻击者研究反蜜罐技术,必定带来防御者对反蜜罐技术的研究,进而产生反
反蜜罐技术,这是蜜罐技术在反蜜罐技术激励下的进一步成长。这一切争斗都可
以归结为蜜罐和反蜜罐两大阵营的较量,并且这场博弈已经开始。
基于 Linux 的蜜罐识别技术的研究
2
要进行反蜜罐,首先就要识别蜜罐。一些网络安全组织和大量的黑客也在进
行Honeypot的识别技术(Anti-Honeypot )领域的研究并试图设计出一种检测
Honeypot或其它可疑环境的工具,并提出了一些识别技术,也出现了一个Honeypot
识别工具Send-Safe Honeypot Hunter,虽然功能非常有限,但标志着在蜜罐识别领
域的一高成果。到目前为止,没有一个组织或者研究者将对各种Honeypot的识别
技术应用化、工具化。很可能是黑客们怕泄密而没有公开他们的研究成果。所以
如何使各种Honeypot识别技术相融合、相综合,使Honeypot识别技术得到更好的实
际应用,成了网络安全技术业内和相关技术人员急需解决的课题。
本课题的目的就对现有不同类型的Honeypot进行研究,全面系统的分析其技
术特征及存在的漏洞,结合和扩展各种检测技术,设计出蜜罐的识别工具,目的
是为了进一步完善Honeypot,从而从另一个角度推动Honeypot技术以及网络安全技
术的发展。
§1.2 国内外的研究现状
由于Honeypot是一种主动防御的网络安全技术,与以往的被动防御在有效性
上有很大提高,所以很多安全组织都在研究Honeypot并取得了很大的成果。已经
开发出一些蜜罐系统,他们的功能、复杂性和易用度都有很大的区别。如Mantrap、
DTK、BOF(Back Orifice Friendly)、Specter、Honeyd、KFSensor、Honeynet 等。
下面对其中一些做些介绍。
ManTrap 是一个由赛门铁客公司开发的商业蜜罐系统,运行在Solaris上的系
统,支持Inter X-86和SunSparc架构。因为该公司调查显示最大的网络安全威胁是
来自内部的攻击,所以这个产品的主要设计用意是针对内部网络安全,当然我们
还是可以使用它来防范来自外部的攻蜜罐技术研究与设计实现击。ManTrap的特点
是它在系统上设置了一个虚拟的地雷区,如果一个来自内部的攻击者想要向系统
发起攻击,他必须首先通过这个地雷区,然后才能iA问真正的目标,如果攻击者
有一步走错了,那么它的所有行动都会暴露在ManTrap的监视之下。ManTrap提出
了“牢笼”主机的概念, “牢笼”是指一个基本的宿主操作系统的拷贝,他有直接相
连的网络界面。在一台计算机上ManTrap可以支持最多4个这样的操作系统。
ManTrap还提供了内核保护层,它可以控制虚拟机和真实宿主操作系统的联系。
ManTrap主机只存在于一台计算机上,但是从网络上却可以看到4各独立的操作系
统。
Specter是由NeoWorx公司出品的蜜罐系统,Specter可以模拟一个完全的计算
机,它提供了一些有趣的特性来吸引黑客的攻击目标,使得真正的计算机受到保
摘要:
展开>>
收起<<
摘要随着Internet的发展,基于网络的应用系统越来越多,现代社会对网络的依赖日益增强,同时网络的安全也面临着巨大的挑战。面对威胁,众多安全机构研发了许多安全产品,但攻击者的技术水平也在不断提高,安全产品的更新换代始终跟不上新问题的出现,往往在某个攻击造成了巨大损失后,才采取补救措施。单一的安全技术,如防火墙或入侵检测技术,不足以保护网络安全。因此,在防火墙和IDS后加入入侵诱骗技术,既可以用作研究入侵者的有效工具,又可以作为检测攻击者的有力武器,使得被动防御的网络安全技术加强了主动性,对网络的保护更加及时和全面。蜜罐技术是一种新兴的基于主动防御的网络安全技术,蜜罐是应用于网络安全领域的信息...
相关推荐
作者:高德中
分类:高等教育资料
价格:15积分
属性:70 页
大小:3.22MB
格式:PDF
时间:2024-11-19
