（計(jì)算機(jī)應(yīng)用技術(shù)專(zhuān)業(yè)論文）入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn).pdf

南京航空航天大學(xué)碩士學(xué)位論文 i 摘要 隨著 internet 的發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用系統(tǒng)越來(lái)越多，現(xiàn)代社會(huì)對(duì)網(wǎng)絡(luò)的 依賴(lài)日益增強(qiáng)，同時(shí)網(wǎng)絡(luò)的安全也面臨著巨大的挑戰(zhàn)。面對(duì)威脅，眾多安全機(jī) 構(gòu)研發(fā)了許多安全產(chǎn)品，但攻擊者的技術(shù)水平也在不斷提高，安全產(chǎn)品的更新 換代始終跟不上新問(wèn)題的出現(xiàn)，往往在某個(gè)攻擊造成了巨大損失后，才采取補(bǔ) 救措施。原有單一的安全技術(shù)，如防火墻或入侵檢測(cè)技術(shù)，不足以保護(hù)網(wǎng)絡(luò)安 全。因此只有通過(guò)在對(duì)網(wǎng)絡(luò)安全防御體系和各種網(wǎng)絡(luò)安全技術(shù)和工具的研究基 礎(chǔ)上，制定具體的系統(tǒng)安全策略，通過(guò)設(shè)立多道的安全防線(xiàn)、集成各種可靠的 安全機(jī)制，建立完善的多層安全防御體系，才能抵御來(lái)自系統(tǒng)內(nèi)、外的入侵攻 擊，達(dá)到維護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。 本文在基于入侵誘騙技術(shù)的思想上，提出了一種新的主動(dòng)防御系統(tǒng)-入 侵誘騙系統(tǒng)。該入侵誘騙體系的設(shè)計(jì)思想是以誘騙虛擬環(huán)境為核心，在其中對(duì) 可疑行為進(jìn)行監(jiān)視分析，同時(shí)自動(dòng)地收集相關(guān)的信息、進(jìn)行審計(jì)跟蹤，并把審 計(jì)信息反饋到入侵檢測(cè)系統(tǒng)，以達(dá)到增強(qiáng)入侵檢測(cè)能力的目的。該系統(tǒng)的體系 結(jié)構(gòu)由防火墻、入侵檢測(cè)系統(tǒng)、主機(jī)特征檢測(cè)、入侵規(guī)則生成、入侵誘騙虛擬 環(huán)境組成。 本文重點(diǎn)對(duì)入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)和實(shí)現(xiàn)給出了詳細(xì)的說(shuō)明。虛 擬環(huán)境是真實(shí)環(huán)境的仿真，它的作用在于可以降低真實(shí)環(huán)境受到隨機(jī)攻擊或刺 探的可能性， 以達(dá)到保護(hù)真實(shí)環(huán)境的功能。 本文所設(shè)計(jì)的虛擬環(huán)境可以提供ftp、 telnet虛擬網(wǎng)絡(luò)服務(wù)、虛擬文件系統(tǒng)服務(wù)、系統(tǒng)保護(hù)功能、攻擊行為記錄功能、 日志記錄遠(yuǎn)程傳出服務(wù)等。經(jīng)實(shí)驗(yàn)證明，該虛擬環(huán)境對(duì)攻擊者能夠起到良好的 欺騙效果，同時(shí)能夠記錄攻擊者的行為。 關(guān)鍵詞關(guān)鍵詞：入侵誘騙，虛擬環(huán)境，虛擬服務(wù)，虛擬文件系統(tǒng) 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) ii abstract with the development of internet, a growing number of web-based applications, modern society increasingly dependent on the network, and network security are also faced with enormous challenges. in the face of threats, many security agencies to develop a number of security products, but the attackers are constantly improving the level of technology, security products always keep upgrading the emergence of new issues, often resulting in a tremendous loss of attacks after remedial measures. the sole security technology, like the firewall or the intrusion detection technology, is insufficient to protect the network security. good multi system security strategy based on the research of all kinds of network security technologies and defense system can avoid being attacked from the inside and outside attackers. the paper proposes intrusion deception system based on intrusion deception technology. the design idea of intrusion deception system is that the intrusion deception virtual environment is core. doubtful behavior redirected to the strictly controlled deception environment can be supervised, audited, and analyzed. all audited information is sent to the intrusion detection system to improve the ability of intrusion detection. intrusion deception virtual environment is emphasized on its design and implement. virtual environment mimics the real environment, which can protect the real environment from the attackers probe and attack. the designed virtual environment can provide ftp and telnet virtual network service, virtual file system, system protection function, log record transmission service. after experimentation, the virtual environment has good effect on attacker and at the same time it can record the behavior of the attacker. key words: intrusion deception, virtual environment, virtual service, virtual file system 承諾書(shū) 本人鄭重聲明：所呈交的學(xué)位論文，是本人在導(dǎo)師指導(dǎo)下，獨(dú)立 進(jìn)行研究工作所取得的成果。 盡我所知， 除文中已經(jīng)注明引用的內(nèi)容 外， 本學(xué)位論文的研究成果不包含任何他人享有著作權(quán)的內(nèi)容。 對(duì)本 論文所涉及的研究工作做出貢獻(xiàn)的其他個(gè)人和集體， 均已在文中以明 確方式標(biāo)明。 本人授權(quán)南京航空航天大學(xué)可以有權(quán)保留送交論文的復(fù)印件， 允 許論文被查閱和借閱,可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù) 據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或其他復(fù)制手段保存論文。 (保密的學(xué)位論文在解密后適用本承諾書(shū)) 作者簽名： 日 期： 南京航空航天大學(xué)碩士學(xué)位論文 1 第一章 緒論 1.1 課題的背景 1.1.1 網(wǎng)絡(luò)面臨的安全問(wèn)題 隨著 internet 的不斷發(fā)展，黑客的攻擊手段也日益復(fù)雜。繼病毒、惡意攻 擊之后，間諜軟件、惡意代碼、僵尸網(wǎng)絡(luò)、ddos 等新的網(wǎng)絡(luò)安全威脅層出不窮， 這些網(wǎng)絡(luò)安全威脅不僅造成了網(wǎng)絡(luò)狀況的混亂，而且對(duì)金融、電力等關(guān)系國(guó)計(jì) 民生的領(lǐng)域帶來(lái)了極大的風(fēng)險(xiǎn)和損失。以蠕蟲(chóng)病毒為例，它是目前危害最大的 一種惡意代碼攻擊，它是可以自我復(fù)制的獨(dú)立程序并通過(guò)系統(tǒng)存在的漏洞和設(shè) 置的不安全性來(lái)進(jìn)行入侵。蠕蟲(chóng)自身的特性可以使它以極快的速度傳播。1988 年 11 月 2 日，morris 蠕蟲(chóng)發(fā)作，幾天之內(nèi) 6000 臺(tái)以上的 internet 服務(wù)器被 感染而癱瘓，損失超過(guò)一千萬(wàn)美元。2001 年 7 月 19 日，codered1蠕蟲(chóng)爆發(fā)， 在爆發(fā)后的 9 小時(shí)內(nèi)就攻擊了 25 萬(wàn)臺(tái)計(jì)算機(jī)，造成的損失估計(jì)超過(guò) 20 億美元， 隨后幾個(gè)月內(nèi)產(chǎn)生了威力更強(qiáng)的幾個(gè)變種，其中 codered ii 造成的損失估計(jì)超 過(guò) 12 億美元。2001 年 9 月 18 日，nimda2蠕蟲(chóng)被發(fā)現(xiàn)，對(duì) nimda 造成的損失評(píng) 估數(shù)據(jù)已經(jīng)從 5 億美元攀升到 26 億美元。近年來(lái)從漏洞發(fā)現(xiàn)到蠕蟲(chóng)產(chǎn)生的時(shí)間 間隔越來(lái)越短，蠕蟲(chóng)的傳播速度越來(lái)越快，造成的損失越來(lái)越巨大，這導(dǎo)致網(wǎng) 絡(luò)安全問(wèn)題變得日益嚴(yán)峻。 1.1.2 網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生的根源 網(wǎng)絡(luò)不安全問(wèn)題是個(gè)不可以回避的現(xiàn)實(shí)，造成不安全的原因也是多方面的， 歸結(jié)起來(lái)主要有以下幾方面的因素3。 首先，網(wǎng)絡(luò)的開(kāi)放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。由于 tcp/ip4協(xié)議缺乏相應(yīng)的安全機(jī)制，且 internet 最初設(shè)計(jì)時(shí)基本沒(méi)有考慮安全 問(wèn)題，且 internet 的共享性和開(kāi)放性使網(wǎng)上信息安全存在先天不足。internet 自設(shè)立之初就缺乏對(duì)安全性的總體構(gòu)想和設(shè)計(jì)，而 tcp/ip 協(xié)議最初是建立在可 信的環(huán)境之下，主要考慮的是網(wǎng)絡(luò)互聯(lián)，所以它缺乏對(duì)安全方面的考慮。廣播 傳輸、易被監(jiān)視與竊聽(tīng)、脆弱的認(rèn)證機(jī)制、沒(méi)有有效的發(fā)送源定位機(jī)制，這些 都是由于 tcp/ip 開(kāi)放機(jī)制引發(fā)的缺陷。 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 2 其次，隨著軟件系統(tǒng)規(guī)模的不斷擴(kuò)大，系統(tǒng)軟件、應(yīng)用軟件正變得越來(lái)越 復(fù)雜，要設(shè)計(jì)一個(gè)絕對(duì)安全的系統(tǒng)是非常困難的。即使是 windonws 和 unix 系 統(tǒng)也都或多或少地存在安全漏洞，眾多的服務(wù)器、瀏覽器和桌面軟件也被發(fā)現(xiàn) 存在安全隱患，組成計(jì)算機(jī)網(wǎng)絡(luò)的某些關(guān)鍵技術(shù)也并非安全，這就導(dǎo)致大多數(shù) 攻擊可以通過(guò)操作系統(tǒng)或安全服務(wù)軟件漏洞而實(shí)現(xiàn)5。 第三，互聯(lián)網(wǎng)寬帶的不斷增加，使得獲取大數(shù)據(jù)包和各種其他信息變得越 來(lái)越快捷，也為攻擊者在網(wǎng)絡(luò)上發(fā)動(dòng)攻擊提供了一個(gè)途徑，使攻擊不再存在于 地域的限制、時(shí)間的限制6。 第四，黑客獲取系統(tǒng)核心技術(shù)資料的途徑增多，使攻擊者有足夠的條件來(lái) 分析軟件中可能存在的漏洞，也很方便的將安全檢測(cè)用于網(wǎng)絡(luò)攻擊7。 最后，網(wǎng)絡(luò)管理不完善造成許多安全隱患。網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是網(wǎng)絡(luò)用 戶(hù)免受攻擊的重要措施。此外，管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機(jī)密 或外部人員通過(guò)非法手段截獲而導(dǎo)致機(jī)密信息的泄漏，從而造成來(lái)自系統(tǒng)內(nèi)部 的攻擊。 1.1.3 網(wǎng)絡(luò)安全防護(hù)技術(shù) 為了解決網(wǎng)絡(luò)中面對(duì)的各種威脅與攻擊，構(gòu)建安全的網(wǎng)絡(luò)體系，就涉及到 對(duì)各種網(wǎng)絡(luò)安全技術(shù)的應(yīng)用。常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)8包括身份認(rèn)證、加密技 術(shù)、訪(fǎng)問(wèn)控制、防火墻、入侵檢測(cè)等。 身份認(rèn)證 身份認(rèn)證是證實(shí)一個(gè)聲稱(chēng)的身份或角色(如用戶(hù)機(jī)器、節(jié)點(diǎn)等)是否真實(shí)的 過(guò)程，它是實(shí)現(xiàn)授權(quán)、審計(jì)等訪(fǎng)問(wèn)控制過(guò)程的必要條件，是計(jì)算機(jī)網(wǎng)絡(luò)安全系 統(tǒng)不可缺少的組成部分。為了證明自己的身份，用戶(hù)一般是出示只有自己知道 的機(jī)密信息，例如口令、個(gè)人身份號(hào)碼(pin)、密鑰等，其弱點(diǎn)是用戶(hù)的認(rèn)證信 息在傳輸和存儲(chǔ)過(guò)程中可能被破解、竊取和盜用。 加密技術(shù) 加密技術(shù)一般用來(lái)保護(hù)存儲(chǔ)或傳輸信息的機(jī)密性，也可用來(lái)驗(yàn)證數(shù)據(jù)的完 整性和用戶(hù)、計(jì)算機(jī)、消息的“身份” ，還可以用于數(shù)字簽名。加密系統(tǒng)既可單 獨(dú)實(shí)現(xiàn)，也可以集成到應(yīng)用程序或者網(wǎng)絡(luò)服務(wù)內(nèi)。在加密技術(shù)使用中，管理上 很可能出現(xiàn)漏洞。另外，公開(kāi)加密算法的破解水平也在不斷提高。 南京航空航天大學(xué)碩士學(xué)位論文 3 訪(fǎng)問(wèn)控制 訪(fǎng)問(wèn)控制技術(shù)用來(lái)控制對(duì)網(wǎng)絡(luò)、應(yīng)用程序、信息的訪(fǎng)問(wèn)，需要認(rèn)證機(jī)制來(lái) 確認(rèn)用戶(hù)的身份。訪(fǎng)問(wèn)控制一般被集成到應(yīng)用程序和系統(tǒng)軟件內(nèi)，它的弱點(diǎn)是 可能會(huì)被攻擊者繞過(guò)，安全策略也可能出現(xiàn)漏洞。 防火墻技術(shù) 防火墻設(shè)備對(duì)所有進(jìn)出受保護(hù)主機(jī)和網(wǎng)絡(luò)的信息流進(jìn)行控制，在網(wǎng)絡(luò)中一 般放在單位內(nèi)部網(wǎng)和因特網(wǎng)之間，用以控制入侵者不能進(jìn)入內(nèi)部網(wǎng)絡(luò)，內(nèi)部敏 感信息不泄露到外部網(wǎng)絡(luò)。防火墻可以檢查進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議類(lèi)型、源地 址、目的地址和端口號(hào)以及數(shù)據(jù)包的內(nèi)容，并決定是否允許其通過(guò)。 防火墻從邏輯上看是一個(gè)分離器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng) 和外部網(wǎng)之間的任何活動(dòng)。其工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)測(cè) 并過(guò)濾所有通向外部網(wǎng)絡(luò)或從外部網(wǎng)絡(luò)傳來(lái)的信息，只允許授權(quán)的數(shù)據(jù)通過(guò)。 防火墻的基本策略有兩種： (1)一切未被允許的就是禁止的。基于該準(zhǔn)則，防火墻應(yīng)封鎖所有信息流， 然后對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。這是一種非常實(shí)用的方法，可以造成一種十 分安全的環(huán)境，因?yàn)橹挥薪?jīng)過(guò)仔細(xì)挑選的服務(wù)才被允許使用。其弊端是，用戶(hù) 所能使用的服務(wù)范圍受到嚴(yán)格限制。 (2)一切未被禁止的就是允許的。 基于該準(zhǔn)則， 防火墻應(yīng)轉(zhuǎn)發(fā)所有的信息流， 然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可 為用戶(hù)提供更多的服務(wù)。其弊端是，在日益增多的網(wǎng)絡(luò)服務(wù)面前，特別是在受 保護(hù)的網(wǎng)絡(luò)范圍增大時(shí)，很難提供可靠的安全保護(hù)。 過(guò)濾技術(shù)是防火墻技術(shù)的核心，已有的過(guò)濾技術(shù)有以下幾種類(lèi)型9： 1.數(shù)據(jù)包過(guò)濾：數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行分析、選擇。其 依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，稱(chēng)為訪(fǎng)問(wèn)控制表(access control table)。通 過(guò)檢查數(shù)據(jù)流中的每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)， 或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。 2.應(yīng)用層網(wǎng)關(guān)：應(yīng)用層網(wǎng)關(guān)技術(shù)是在應(yīng)用層上實(shí)現(xiàn)協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。 針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)對(duì)數(shù) 據(jù)包進(jìn)行必要的分析統(tǒng)計(jì)等。一般安裝在專(zhuān)用工作站上。應(yīng)用層網(wǎng)關(guān)技術(shù)和數(shù) 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 4 據(jù)包過(guò)濾技術(shù)有一個(gè)共同點(diǎn)就是僅僅依靠特定的邏輯來(lái)判斷是否允許數(shù)據(jù)包通 過(guò)。一旦符合條件，防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)便可建立聯(lián)系。 3.應(yīng)用層代理服務(wù)器：應(yīng)用層代理服務(wù)器技術(shù)能將所有跨越防火墻的網(wǎng)絡(luò) 通信鏈路分為兩段，防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接由兩個(gè)代理服務(wù)器 之間的連接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到隔 離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。另外，代理服務(wù)器也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分 析和記錄。 4.狀態(tài)檢測(cè)防火墻：狀態(tài)檢測(cè)又稱(chēng)動(dòng)態(tài)包過(guò)濾，是在網(wǎng)絡(luò)層由一個(gè)檢查引 擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對(duì)該連 接是接受還是拒絕。檢查引擎維護(hù)一個(gè)動(dòng)態(tài)的狀態(tài)信息表并對(duì)后續(xù)的數(shù)據(jù)包進(jìn) 行檢查。一旦發(fā)現(xiàn)任何連接的參數(shù)有意外的變化，該連接就被中止。這種技術(shù) 提供了高度安全的解決方案，同時(shí)也具有較好的性能、適應(yīng)性和擴(kuò)展性。 實(shí)際構(gòu)筑防火墻時(shí)一般選用上述一種或幾種過(guò)濾技術(shù)，綜合運(yùn)用多種策略， 將多個(gè)不同的部件組合在一起構(gòu)成不同的防火墻體系結(jié)構(gòu)，可以實(shí)現(xiàn)控制不安 全的服務(wù)、站點(diǎn)訪(fǎng)問(wèn)控制、集中安全保護(hù)等保護(hù)措施，提高來(lái)自外部網(wǎng)絡(luò)非法 用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)攻擊的安全性，但是防火墻防范的前提仍舊是對(duì)各種已經(jīng)識(shí)別 的攻擊進(jìn)行正確的配置。隨著網(wǎng)絡(luò)攻擊技術(shù)及工具的發(fā)展，防火墻在網(wǎng)絡(luò)安全 防護(hù)中的缺點(diǎn)逐漸暴露出來(lái)。 (1)不能防御內(nèi)部攻擊者。來(lái)自?xún)?nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的，他 們的所有攻擊行為都不通過(guò)防火墻。由于防火墻只是用來(lái)隔離內(nèi)部網(wǎng)與 internet上的主機(jī)，監(jiān)控內(nèi)部網(wǎng)與internet間的通信，而對(duì)內(nèi)部網(wǎng)的通信情況 不作檢查，因而對(duì)于來(lái)自?xún)?nèi)部的攻擊無(wú)能為力。 (2)不能防御繞過(guò)防火墻的攻擊。根本上講，防火墻是一種被動(dòng)的防御手段， 只能守株待兔式地對(duì)通過(guò)它的數(shù)據(jù)包進(jìn)行檢查，如果該數(shù)據(jù)包由于某種原因沒(méi) 有通過(guò)防火墻，則防火墻就不會(huì)采取任何主動(dòng)的措施.并不是所有通信都從防火 端通過(guò)，這有可能是因?yàn)殄e(cuò)誤的配置或者是人為在防火墻后設(shè)置了“后門(mén)” 。 (3)不能防御完全新的威脅。防火墻被用來(lái)防備已知的威脅。一個(gè)好的設(shè)置 也許可以防備許多潛在的威脅，例如，通過(guò)禁止除極少數(shù)被信任的服務(wù)以外的 所有服務(wù)，來(lái)防備這些服務(wù)中可能存在的潛在的安全隱患，但是人們發(fā)現(xiàn)以前 認(rèn)為是可信賴(lài)的服務(wù)中存在新的侵襲方法，可信賴(lài)的服務(wù)變成不可信賴(lài)的了。 所以不能期待只設(shè)置一次防火墻，它就能永遠(yuǎn)有效地保護(hù)網(wǎng)絡(luò)。 南京航空航天大學(xué)碩士學(xué)位論文 5 (4)不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊。防火墻不能防御基于數(shù)據(jù)驅(qū)動(dòng)的攻擊。雖然 防火墻掃描分析所有通過(guò)的信息，但是這種掃描分析多半是針對(duì)ip地址和端口 號(hào)或者協(xié)議內(nèi)容的，而非數(shù)據(jù)細(xì)節(jié)。這種基于數(shù)據(jù)驅(qū)動(dòng)的攻擊，比如病毒，可 以附在諸如電子郵件之類(lèi)的東西上面進(jìn)入到系統(tǒng)中并發(fā)動(dòng)攻擊。因此，防火墻 只能作為整體安全防范策略中的一部分。 入侵檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)即是指對(duì)入侵行為的發(fā)覺(jué)，它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系 統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略 的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)(intrusion detection system, ids)則 是進(jìn)行入侵檢測(cè)的軟件與硬件的組合。其的作用在于識(shí)別入侵者和入侵行為； 檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)抗入侵及時(shí)提供重要信息，阻止入侵事件 的發(fā)生和事態(tài)的擴(kuò)大。 入侵檢測(cè)通過(guò)對(duì)入侵行為的過(guò)程與特征進(jìn)行研究，使安全系統(tǒng)對(duì)入侵時(shí)間 和入侵過(guò)程做出實(shí)時(shí)響應(yīng)。入侵檢測(cè)系統(tǒng)的入侵分析方法通常有兩種技術(shù)10： 一是異常檢測(cè)技術(shù)，它對(duì)系統(tǒng)的正常行為建模，特征庫(kù)中沒(méi)有描述的行為被懷 疑為攻擊。假定所有入侵行為都是與正常行為不同的，如果建立系統(tǒng)正常行為 軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖，比如 通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常檢測(cè)技術(shù)的局限 是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新。二是誤用 檢測(cè)技術(shù)，它是對(duì)不正常的行為進(jìn)行建模，符合特征庫(kù)中描述的特征就被視為 攻擊。假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征，那么所有已知 的入侵方法都可以用匹配的方法來(lái)發(fā)現(xiàn)，誤用檢測(cè)的關(guān)鍵是如何表達(dá)入侵的模 式，把真正的入侵與正常行為區(qū)分開(kāi)來(lái)。模式發(fā)現(xiàn)的優(yōu)點(diǎn)是誤報(bào)少，局限是它 只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。 入侵檢測(cè)系統(tǒng)按其輸入數(shù)據(jù)的來(lái)源來(lái)看，可以分為三類(lèi)11：一是基于主機(jī) 的入侵檢測(cè)系統(tǒng)，其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志，一般只能檢測(cè)該主機(jī)上 發(fā)生的入侵，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查、非法訪(fǎng)問(wèn)的闖入等。如果 其中主體活動(dòng)十分可疑,入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)的措施報(bào)警或拒絕服務(wù)?；?于主機(jī)的方法優(yōu)點(diǎn)是性?xún)r(jià)比高，適用于主機(jī)數(shù)量較少的情況下。對(duì)網(wǎng)絡(luò)流量不 敏感，不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉主機(jī)網(wǎng)絡(luò)行為的監(jiān)視。這種方法可以很 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 6 容易地檢測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng) 很難在基于協(xié)議的線(xiàn)索中被發(fā)現(xiàn)。但基于主機(jī)的入侵檢測(cè)系統(tǒng)也有明顯的不足， 該系統(tǒng)安裝在需要保護(hù)的設(shè)備上，也會(huì)降低系統(tǒng)的效率，帶來(lái)額外的安全問(wèn)題。 另外，全面部署主機(jī)入侵檢測(cè)系統(tǒng)代價(jià)較大，局域網(wǎng)中很難將所有主機(jī)用主機(jī) 入侵檢測(cè)系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)，那么未安裝主機(jī)入侵檢測(cè)系統(tǒng)的 機(jī)器就成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。二是基于網(wǎng)絡(luò) 的入侵檢測(cè)系統(tǒng)，其數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)。三是采用上述兩種數(shù)據(jù)來(lái)源的分布入侵 檢測(cè)系統(tǒng)，它能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系 統(tǒng)，一般為分布式結(jié)構(gòu)，由多個(gè)部件組成。 入侵檢測(cè)系統(tǒng)能夠?qū)崟r(shí)地檢測(cè)網(wǎng)絡(luò)的信息，防止入侵者的惡意攻擊。其主 要功能有用戶(hù)和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系 統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知攻擊行為模式的類(lèi)別、異常行為模式的統(tǒng)計(jì) 分析和操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶(hù)行為的識(shí)別12。但是ids 也面臨如下的挑戰(zhàn)： (1)數(shù)據(jù)過(guò)載。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)般都會(huì)產(chǎn)生大量的報(bào)警信息。產(chǎn)生這些 報(bào)警信息既耗費(fèi)資源又費(fèi)時(shí)間，并且要對(duì)這些海量的報(bào)警信息進(jìn)行分析以取得 有價(jià)值的信息是非常昂貴的，而且需要專(zhuān)業(yè)人士進(jìn)行分析。 (2)誤報(bào)。所有的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)都會(huì)產(chǎn)生虛假的報(bào)警信息。許多ids在鑒 別合法的行為和可疑的連接之間，都存在著困難。例如個(gè)帶有演示某個(gè)攻擊 實(shí)例的html頁(yè)面都會(huì)被ids認(rèn)為是攻擊行為， 因?yàn)閷?shí)例代碼匹配了某條規(guī)則， ids 的虛假報(bào)警信息仍然在所難免。 (3)漏報(bào)。正如ids會(huì)經(jīng)常產(chǎn)生虛假的報(bào)警信息一樣，它們也可能漏報(bào)，尤其 是對(duì)新出現(xiàn)的攻擊。攻擊者有可能開(kāi)發(fā)出新的工具或者方法繞過(guò)ids，或者這些 新的攻擊以前就從來(lái)沒(méi)有被截獲過(guò)。這樣網(wǎng)絡(luò)對(duì)新的攻擊工具或者方法就沒(méi)有 任何免疫力。 (4)資源。 ids需要一定的硬件資源以匹配所在網(wǎng)絡(luò)的帶寬。 網(wǎng)絡(luò)帶寬越大寬， 流量越大，對(duì)ids的硬件資源要求就越高。另外，還需要大型數(shù)據(jù)庫(kù)存儲(chǔ)收集到 的報(bào)警信息。當(dāng)局域網(wǎng)的帶寬從百兆到千兆時(shí)，這個(gè)問(wèn)題會(huì)越來(lái)越嚴(yán)重。 (5)加密。越來(lái)越多的組織都將網(wǎng)絡(luò)連接進(jìn)行加密。加密的方法有ssh、ssl 以及ipsec，這顯然對(duì)提高網(wǎng)絡(luò)的安全性以及用戶(hù)數(shù)據(jù)的保密性都有好處。但是 這個(gè)技術(shù)使得入侵檢測(cè)系統(tǒng)也就毫無(wú)作為了。總體上ids仍然是被動(dòng)的、靜態(tài)的 南京航空航天大學(xué)碩士學(xué)位論文 7 檢測(cè)技術(shù)。 1.2 課題的意義 通過(guò)上面的介紹可以看到，任何單個(gè)的安全防護(hù)技術(shù)都存在弱點(diǎn)，但它們 有一個(gè)相同的缺陷就是發(fā)現(xiàn)和預(yù)防的能力不夠，都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊 時(shí)才對(duì)系統(tǒng)進(jìn)行被動(dòng)響應(yīng)。也就是說(shuō)，這些防御手段都是通過(guò)把入侵阻擋在被 保護(hù)系統(tǒng)之外來(lái)完成系統(tǒng)防護(hù)的，即入侵者在剛剛侵入到系統(tǒng)或者還沒(méi)有侵入 系統(tǒng)的時(shí)候就已經(jīng)被發(fā)現(xiàn)并被禁止做進(jìn)一步的入侵行為，所以就不可能知道入 侵者的確切的入侵目的，以及入侵者想要進(jìn)行的進(jìn)一步入侵行為。這些被動(dòng)防 范措施只是在一定程度上改善了網(wǎng)絡(luò)的安全狀況，但不能從根本上解決網(wǎng)絡(luò)安 全的問(wèn)題。 為了不斷提高網(wǎng)絡(luò)對(duì)攻擊的防范能力，我們需要改變被動(dòng)防御的思路，從 主動(dòng)防御的角度去解決網(wǎng)絡(luò)安全問(wèn)題，使系統(tǒng)/網(wǎng)絡(luò)在對(duì)抗攻擊時(shí)更加積極、主 動(dòng)而有效。然而，目前國(guó)內(nèi)關(guān)于主動(dòng)防御技術(shù)的研究工作比較欠缺，相關(guān)產(chǎn)品 比較少見(jiàn)，所以，本文開(kāi)展對(duì)主動(dòng)防御體系技術(shù)的研究和實(shí)現(xiàn)具有重要的理論 研究與實(shí)際應(yīng)用意義。 1.3 論文的主要工作 本文的主要工作有以下幾個(gè)部分： 1.對(duì)網(wǎng)絡(luò)誘騙技術(shù)原理和入侵誘騙系統(tǒng)體系結(jié)構(gòu)研究； 2.對(duì)入侵誘騙系統(tǒng)進(jìn)行需求分析、概要設(shè)計(jì)及詳細(xì)設(shè)計(jì)； 3.負(fù)責(zé)入侵誘騙系統(tǒng)中虛擬環(huán)境子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。 1.4 論文的組織結(jié)構(gòu) 本文分為五章，其結(jié)構(gòu)為： 第一章簡(jiǎn)要介紹了本文的研究背景與意義，并從網(wǎng)絡(luò)安全問(wèn)題及其產(chǎn)生的 根源和常見(jiàn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)等三個(gè)方面介紹了被動(dòng)防御技術(shù)的現(xiàn)狀。同時(shí) 也介紹了本論文的相關(guān)工作和結(jié)構(gòu)。 第二章介紹了主動(dòng)防御技術(shù)蜜罐的概念、特點(diǎn)、分類(lèi)、主要技術(shù)等，并引 入了入侵誘騙技術(shù)的概念。 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 8 第三章介紹了入侵誘騙系統(tǒng)的設(shè)計(jì)思想、體系結(jié)構(gòu)、功能模塊的作用。 第四章詳細(xì)闡述了入侵誘騙虛擬環(huán)境子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，包括虛擬文件 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)、基于虛擬文件的 ftp 服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)、基于虛擬文件的 telnet 服務(wù)的設(shè)計(jì)與實(shí)現(xiàn)。 第五章對(duì)本論文工作進(jìn)行了總結(jié)，說(shuō)明在該領(lǐng)域的研究中所做的創(chuàng)新性， 并提出了今后需要改進(jìn)的地方。 南京航空航天大學(xué)碩士學(xué)位論文 9 第二章 主動(dòng)防御技術(shù) 本章首先從蜜罐的概念出發(fā)，介紹了蜜罐系統(tǒng)的研究現(xiàn)狀，對(duì)市場(chǎng)上的主要 產(chǎn)品進(jìn)行了介紹和對(duì)比。然后介紹了蜜罐系統(tǒng)運(yùn)行的基礎(chǔ)操作系統(tǒng)，并對(duì)互聯(lián) 網(wǎng)上的常見(jiàn)攻擊進(jìn)行了描述，針對(duì)蜜罐的缺點(diǎn)引入了入侵誘騙技術(shù)的概念。 2.1 蜜罐 2.1.1 蜜罐的概念和用途 蜜罐系統(tǒng)是一種網(wǎng)絡(luò)資源，它的價(jià)值就是被攻擊或者攻陷13。它表面上被 做成一個(gè)真實(shí)存在的，對(duì)黑客具有吸引力的主機(jī)，而它的主要目的就是用來(lái)被 攻擊和探索的，其上一般要放置一些看似重要的資料和數(shù)據(jù)，但其實(shí)是無(wú)用的， 這樣才使它看上去更像一臺(tái)真正提供重要服務(wù)的主機(jī)，成為所謂的“牢籠”主 機(jī)。當(dāng)有黑客對(duì)其實(shí)施攻擊時(shí)，就可通過(guò)執(zhí)行后臺(tái)軟件，記錄黑客與蜜罐主機(jī) 的交互數(shù)據(jù)，然后利用工具把這些數(shù)據(jù)加以分析，從而發(fā)現(xiàn)攻擊者進(jìn)入系統(tǒng)的 方法和動(dòng)機(jī)。 目前對(duì)于蜜罐系統(tǒng)普遍接受的定義是honeynet14項(xiàng)目的領(lǐng)導(dǎo)者lance spitzne提出的定義15:“蜜罐是一種用來(lái)引誘未經(jīng)驗(yàn)證或非法訪(fǎng)問(wèn)的信息系統(tǒng) 資源。 ”蜜罐系統(tǒng)是一種具有吸引和誘捕價(jià)值的資源，它期待被檢測(cè)、攻擊和潛 在的利用。蜜罐系統(tǒng)不修補(bǔ)任何安全漏洞，它能提供附加的、有價(jià)值的信息。 同時(shí)蜜罐還具有轉(zhuǎn)移攻擊者注意力，消耗其攻擊資源、意志，間接保護(hù)真實(shí)目 標(biāo)系統(tǒng)的作用。理想的蜜罐提供一個(gè)入侵者可以被捕獲的環(huán)境，或者提供一些 可以被入侵的弱點(diǎn)，這些弱點(diǎn)都是以真實(shí)的系統(tǒng)為背景建立的。建立誘捕系統(tǒng) 的目的不是為了抓住入侵者，而是要監(jiān)視和學(xué)習(xí)它們的行為，找出它們是如何 探測(cè)和入侵系統(tǒng)的，以及如何才能在真實(shí)的系統(tǒng)中阻止類(lèi)似入侵行為的發(fā)生。 2.1.2 蜜罐的分類(lèi) 蜜罐按其用途可分為兩種類(lèi)型:應(yīng)用型蜜罐和研究型蜜罐。應(yīng)用型蜜罐具有 事件檢測(cè)和欺騙功能，它們所要做的工作就是檢測(cè)并對(duì)付惡意攻擊者，目的是 減輕受保護(hù)組織將受到的攻擊威脅。用來(lái)提高商業(yè)組織的安全性能，在網(wǎng)絡(luò)安 全響應(yīng)環(huán)節(jié)也發(fā)揮著積極的作用，它通常放置在一個(gè)部門(mén)的內(nèi)部網(wǎng)絡(luò)環(huán)境中， 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 10 由于它對(duì)攻擊者具有相當(dāng)?shù)奈?，可以誘惑或欺騙攻擊者將時(shí)間和資源都用 于攻擊這個(gè)蜜罐上，使它們遠(yuǎn)離實(shí)際的工作網(wǎng)絡(luò)。因此從某種意義上來(lái)說(shuō)應(yīng)用 型蜜罐減輕了實(shí)際工作網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。一般情況下，商業(yè)組織利用產(chǎn)品型蜜 罐對(duì)自己的網(wǎng)絡(luò)系統(tǒng)講行保護(hù)。 而研究型蜜罐并不能為應(yīng)用系統(tǒng)帶來(lái)直接的安全防護(hù)，它是專(zhuān)門(mén)以研究和 獲取攻擊信息為目的而設(shè)計(jì)的，尋找能夠?qū)Ω哆@些威脅的更好方式，以此來(lái)提 高應(yīng)用系統(tǒng)的防護(hù)、檢測(cè)和響應(yīng)能力。研究型蜜罐的主要價(jià)值在于能提供一個(gè) 學(xué)習(xí)攻擊信息的平臺(tái)，它是觀察、記錄、學(xué)習(xí)攻擊者及其攻擊行為的最好工具， 而且它還能學(xué)習(xí)到攻擊者在攻陷一個(gè)系統(tǒng)后如何與其它黑客通信或者上載新的 工具包等更高價(jià)值的信息。相對(duì)于應(yīng)用型蜜罐而言，研究型蜜罐還是捕捉蠕蟲(chóng) 等自動(dòng)攻擊的優(yōu)秀工具。它雖然不能直接保護(hù)系統(tǒng)，但是它能間接的保護(hù)系統(tǒng) 安全。 蜜罐根據(jù)交互程度16還可分為低交互性蜜罐、中交互性蜜罐和高交互性蜜 罐。低交互性蜜罐通常只提供某些特定的模擬服務(wù)。在一種基本的形式中，這 些服務(wù)能夠通過(guò)監(jiān)聽(tīng)一個(gè)特定的端口實(shí)現(xiàn)。例如一個(gè)簡(jiǎn)單的netcat命令就可以 監(jiān)聽(tīng)http80端口，并且將所有進(jìn)入的網(wǎng)絡(luò)流量記錄到日志文件。這樣所有進(jìn)入 的網(wǎng)絡(luò)流量能夠很容易地被識(shí)別并予以保存。這種簡(jiǎn)單的方法不可能捕獲復(fù)雜 的協(xié)議間的通信。一個(gè)外界發(fā)起的smtp握手連接不會(huì)提供多少有用的信息，因 為沒(méi)有內(nèi)部服務(wù)對(duì)它進(jìn)行應(yīng)答。在低交互性蜜罐中沒(méi)有真實(shí)的操所系統(tǒng)讓黑客 操作，這很大程度地減小了蜜罐的風(fēng)險(xiǎn)。而另一方面，這也是它的一個(gè)弊端， 它不能觀察黑客與操作系統(tǒng)的交互，不能獲得有用的價(jià)值。 中交互性蜜罐仍然沒(méi)有提供真實(shí)的操作系統(tǒng)與黑客交互，但是卻為黑客提 供了更多復(fù)雜的誘騙進(jìn)程，模擬了更多更復(fù)雜的特定服務(wù)。復(fù)雜服務(wù)的增加， 加大了攻擊者發(fā)現(xiàn)系統(tǒng)安全漏洞的可能性，同時(shí)也增加了使用蜜罐的風(fēng)險(xiǎn)。但 是中交互性蜜罐一般提供完善的日志系統(tǒng)來(lái)時(shí)刻監(jiān)控著黑客行動(dòng)，緩解了黑客 攻破蜜罐的威脅。中交互性蜜罐為攻擊者提供一個(gè)更好的真實(shí)系統(tǒng)的幻影，蜜 罐學(xué)習(xí)攻擊能力顯著增強(qiáng)。實(shí)現(xiàn)中交互性蜜罐需要花費(fèi)更多的時(shí)間精力，設(shè)計(jì) 者必須深刻理解各種網(wǎng)絡(luò)協(xié)議以及服務(wù)的實(shí)現(xiàn)過(guò)程，這樣才能保證虛擬進(jìn)程的 真實(shí)性。蜜罐系統(tǒng)不應(yīng)和真實(shí)系統(tǒng)一樣具有難以控制的安全漏洞，而必須采取 專(zhuān)門(mén)的安全措施來(lái)控制并利用這些安全漏洞，這也是使用誘騙進(jìn)程而非真實(shí)進(jìn) 程的原因。 南京航空航天大學(xué)碩士學(xué)位論文 11 高交互性蜜罐有一個(gè)真實(shí)的底層操作系統(tǒng)，此類(lèi)蜜罐復(fù)雜度和甜度大大增 加，收集攻擊者信息的能力也大大增強(qiáng)，通過(guò)它可以發(fā)現(xiàn)新的黑客工具、識(shí)別 操作系統(tǒng)和應(yīng)用程序中新的安全漏洞和弱點(diǎn)、甚至獲得黑客之間的交流信息。 多數(shù)高交互性蜜罐放置于一個(gè)受控的環(huán)境中，例如在一個(gè)防火墻后面，防火墻 允許黑客攻擊其中的蜜罐，但是不允許黑客用它來(lái)發(fā)起新的攻擊。這種結(jié)構(gòu)難 于部署和維護(hù)，因?yàn)楸仨毑蛔尯诳陀X(jué)察到正在被監(jiān)視。高交互性蜜罐的維護(hù)非 常地困難和耗時(shí)，必須經(jīng)常更新防火墻規(guī)則和ids特征數(shù)據(jù)庫(kù)，晝夜不停地對(duì)它 進(jìn)行監(jiān)視。伴隨著高的復(fù)雜性的是高風(fēng)險(xiǎn)，任何一個(gè)失誤都可能導(dǎo)致黑客對(duì)整 個(gè)操作系統(tǒng)的控制，用它來(lái)攻擊其他的系統(tǒng)或者截獲應(yīng)用系統(tǒng)的信息。但是如 果能被恰當(dāng)?shù)木S護(hù)，也會(huì)有高受益的。 2.1.3 蜜罐產(chǎn)品的介紹 目前，有很多新的商業(yè)和研究用途的蜜罐系統(tǒng)被研制出來(lái)。商業(yè)用途的蜜 罐系統(tǒng)相對(duì)推出的速度要快一些，而研究用途的免費(fèi)蜜罐系統(tǒng)還是早些時(shí)候推 出的產(chǎn)品，總的來(lái)說(shuō)有以下一些常用的蜜罐產(chǎn)品。 1.dtk dtk17是第一個(gè)公開(kāi)發(fā)布的蜜罐，使用perl和c兩種語(yǔ)言編寫(xiě)。其基本思想 使用欺騙來(lái)反擊黑客，使黑客感覺(jué)到運(yùn)行dtk的系統(tǒng)有著大量廣為人知的漏洞。 dtk的欺騙是可編程的，它的特點(diǎn)就是在黑客輸入的情況下產(chǎn)生輸出，模擬輸出 這個(gè)系統(tǒng)的漏洞，dtk僅僅監(jiān)聽(tīng)輸入并提供較為合理的應(yīng)答。dtk的誘騙應(yīng)答是 可編程的，通過(guò)狀態(tài)機(jī)方式工作，實(shí)際上能夠虛擬任何服務(wù)，并可方便地利用 其中的功能模塊直接模仿許多服務(wù)程序。早期的dtk發(fā)布非常容易編譯和安裝， 但是隨著版本不斷升高，己逐漸變得難以配置。 dtk還有一個(gè)有趣的被稱(chēng)之為“欺騙端口”的概念，fred cohen提出如果一 個(gè)系統(tǒng)在tcp的365端口監(jiān)聽(tīng)，就表明運(yùn)行這個(gè)系統(tǒng)的機(jī)器是一個(gè)運(yùn)行欺騙防御 的蜜罐系統(tǒng)，這樣黑客為了避開(kāi)欺騙防御就會(huì)首先檢查出這樣一個(gè)端口。cohen 說(shuō)當(dāng)dtk被廣泛認(rèn)知和使用時(shí)，最終一個(gè)僅僅包含簡(jiǎn)單的欺騙防御的監(jiān)聽(tīng)端口系 統(tǒng)就能?chē)樑懿簧俚暮诳汀?2bof bof18是一個(gè)簡(jiǎn)單但又十分實(shí)用的蜜罐，由nfr公司開(kāi)發(fā)用來(lái)監(jiān)控back orifice這一攻擊工具。bof可以運(yùn)行在windows 9x和nt系列的操作系統(tǒng)上。此 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 12 外，在unix系統(tǒng)下bof也有相應(yīng)的版本，bof是低交互蜜罐中較為出色的代表。 back orifice是一個(gè)較為常見(jiàn)的攻擊工具，相當(dāng)于一個(gè)遠(yuǎn)程系統(tǒng)管理工具。 具有查看文件、按鍵記錄、設(shè)置網(wǎng)絡(luò)文件共享、修改注冊(cè)條目、激活web服務(wù)器 并放置供他人下載的文件、包括文件的復(fù)制等、重新啟動(dòng)機(jī)器或使系統(tǒng)崩潰、 用用戶(hù)的機(jī)器查找其所在網(wǎng)絡(luò)中的其他機(jī)器，并用back orifice對(duì)它們進(jìn)行感 染等功能。 bof可以監(jiān)控back orifice的這些攻擊，且使用方式十分簡(jiǎn)便。bof所完成 的工作就是在特定端口監(jiān)聽(tīng)并模仿一些基本的服務(wù)， 如http、 ftp、 telnet、 smtp、 pop3、 imap2等服務(wù)。bof還具有“偽造答復(fù)”功能，即為黑客提供一些偽造的 連接，通過(guò)bof可以記錄http攻擊、遠(yuǎn)程登錄或者其他各種攻擊行為，從而了解 何種類(lèi)型的攻擊行為正在發(fā)生。 3specter specter19是一個(gè)商業(yè)的低交互蜜罐，它類(lèi)似于bof，主要功能是模擬服務(wù)， 不過(guò)它可以模擬的服務(wù)和功能范圍更加廣泛。除了可以模擬服務(wù)之外，specter 還可以模擬多種不同類(lèi)型的操作系統(tǒng)。與bof類(lèi)似，specter的操作也非常簡(jiǎn)單 并且風(fēng)險(xiǎn)很低，specter同樣運(yùn)行在windows系列操作系統(tǒng)上。由于與入侵者進(jìn) 行交互的并不是真實(shí)的操作系統(tǒng)，所以風(fēng)險(xiǎn)就降得很低。例如specter可以通過(guò) 其有限的模擬功能模擬指定操作系統(tǒng)的web服務(wù)或遠(yuǎn)程登錄服務(wù)。當(dāng)黑客進(jìn)行連 接的時(shí)候，specter就會(huì)激活一個(gè)http頭或登錄標(biāo)識(shí)，接下來(lái)黑客如果嘗試獲得 web網(wǎng)頁(yè)或登錄到系統(tǒng)中，其行為就會(huì)被specter捕獲并記錄。specter支持多種 告警和記錄機(jī)制。因?yàn)槭聦?shí)上并沒(méi)有真正的應(yīng)用程序與黑客進(jìn)行交互，所以黑 客不可能對(duì)系統(tǒng)進(jìn)行深層次的入侵。 specter的特性之一是它還可以進(jìn)行雙向信息采集，對(duì)于需要采集的信息除 了可以被動(dòng)收集外，specter甚至可以通過(guò)whois查詢(xún)主動(dòng)調(diào)查入侵者，獲取 finger信息，通過(guò)traceroute發(fā)現(xiàn)其入侵源，進(jìn)而進(jìn)行反端口掃描。 specter由引擎部分和控制部分兩部分組成。引擎部分進(jìn)行數(shù)據(jù)包嗅探并對(duì) 各種網(wǎng)絡(luò)連接進(jìn)行處理，而控制部分則提供圖形用戶(hù)界面供使用者進(jìn)行各項(xiàng)配 置，所有的配置都可以在一個(gè)界面內(nèi)完成。 目前，specter系統(tǒng)可以模擬9類(lèi)操作系統(tǒng)(windows nt，windows 95/98, macos, linux, sunos/solaris, digital unix, nextstep, irix和unisys unix)。 根據(jù)模擬的不同類(lèi)型操作系統(tǒng)，specter還可以提供不同格式的偽造口令文件。 南京航空航天大學(xué)碩士學(xué)位論文 13 specter可以將模擬主機(jī)的安全程度設(shè)為5種級(jí)別open(不設(shè)防)、secure(安 全)、failing(軟硬件都有問(wèn)題)、strange(不可預(yù)知)和aggressive(收集攻擊 者信息并發(fā)出通知)。 specter可以模擬4種不同的網(wǎng)絡(luò)服務(wù)(smtp, ftp, telnet和finger)和7種 traps(特定端口的連接， 比如dns、 http、 sun-rpc、 pop、 imap4和back orifice)。 所有連接的記錄都具有遠(yuǎn)程主機(jī)的ip地址、確切時(shí)間、服務(wù)類(lèi)型和連接建立時(shí) 引擎的狀態(tài)等信息。另外，specter還提供一個(gè)用戶(hù)自定義trap，用戶(hù)可以指定 進(jìn)行監(jiān)控的端口?？刂撇糠值膱D形用戶(hù)界面上有一個(gè)實(shí)時(shí)狀態(tài)窗口，用于在告 警發(fā)生時(shí)提供簡(jiǎn)短信息。如果想獲得更加詳細(xì)的信息，可以通過(guò)電子郵件接收 或者查看硬盤(pán)記錄。 4. mantrap 賽門(mén)鐵克公司的mantrap20是一個(gè)商業(yè)蜜罐，運(yùn)行于solaris系統(tǒng)上。除了 可以模擬服務(wù)之外，mantrap還可以創(chuàng)建4個(gè)子系統(tǒng)，通常稱(chēng)為“牢籠”。這些 “牢籠”是在邏輯上離散的并且與主操作系統(tǒng)分離的操作系統(tǒng)。安全管理人員 可以像修改任何普通操作系統(tǒng)那樣對(duì)這些“牢籠”進(jìn)行修改，包括根據(jù)自己的 需要安裝各種應(yīng)用軟件，比如office,oracle或apache等。這些特性使mantrap 顯得非常靈活，可以完成多種多樣的工作。黑客可以與整個(gè)“牢籠”系統(tǒng)進(jìn)行 交互，還可以對(duì)各種各樣的應(yīng)用程序進(jìn)行攻擊，當(dāng)然所有這些行為也都可以被 捕獲并記錄下來(lái)。安全管理人員通過(guò)mantrap不僅可以檢測(cè)端口掃描和遠(yuǎn)程登錄 攻擊，還可以捕獲rootkit、應(yīng)用層攻擊、irc聊天對(duì)話(huà)和其他各種攻擊。 然而， 可以了解的信息越多出現(xiàn)問(wèn)題的可能性就越大。 mantrap一旦被攻破， 入侵者就可以運(yùn)用其所有功能對(duì)其他系統(tǒng)進(jìn)行攻擊，所以必須小心謹(jǐn)慎地使用 mantrap，將其安全風(fēng)險(xiǎn)降至最低。通過(guò)合理的使用，mantrap既可用作對(duì)入侵 進(jìn)行檢測(cè)和響應(yīng)的工具，也可作為對(duì)各種入侵威脅進(jìn)行研究的平臺(tái)。 5.honeyd honeyd21最初發(fā)布于2002年4月，它基于unix平臺(tái)設(shè)計(jì)，源碼開(kāi)放，是一種 交互的應(yīng)用型蜜罐，用于檢測(cè)攻擊和非授權(quán)行為，可以進(jìn)行定制來(lái)監(jiān)聽(tīng)任何端 口。最初發(fā)布的版本可以模擬5種不同的服務(wù)，這些模擬服務(wù)用來(lái)欺騙黑客并捕 獲他們的行為。 honeyd不檢測(cè)指向它自身ip地址的攻擊，相反，它檢測(cè)對(duì)非有效系統(tǒng)的ip 地址的攻擊。當(dāng)檢測(cè)到對(duì)非有效系統(tǒng)的連接企圖時(shí)，它會(huì)接受這個(gè)連接，假扮 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 14 為該系統(tǒng)與黑客交互。honeyd可以監(jiān)視指向數(shù)百萬(wàn)個(gè)不存在有效系統(tǒng)的ip地址 的連接，主動(dòng)與成千上萬(wàn)個(gè)黑客交互。honeyd可以監(jiān)視一個(gè)不存在有效系統(tǒng)的 大型網(wǎng)絡(luò)。和specter一樣，honeyd也能夠模擬多種不同的操作系統(tǒng)。另外， honeyd可以模擬473種不同類(lèi)型和版本的操作系統(tǒng)。 bof只是一個(gè)非常簡(jiǎn)單的解決方案，可以說(shuō)是一個(gè)提供有限服務(wù)和有限記錄 功能的小玩具， 但是很容易安裝， 觀察它的表現(xiàn)也很有趣。 特別是那些使用modem 或者撥號(hào)的用戶(hù)，他們會(huì)發(fā)現(xiàn)大量的攻擊，因?yàn)檫@些網(wǎng)絡(luò)很容易被諸如back orifice這樣的工具掃描。 specter容易安裝，具有良好的圖形用戶(hù)界面，并且能夠有效地降低網(wǎng)絡(luò)風(fēng) 險(xiǎn)。但是它的價(jià)格非常昂貴，需要真正的操作系統(tǒng)。 mantrap、dtk都具有較高的可配置性，它們的價(jià)值和風(fēng)險(xiǎn)一樣的高。因此 除了獲取這些蜜罐系統(tǒng)所花的費(fèi)用之外，平時(shí)的維護(hù)費(fèi)用也是非常之高的。 mantrap最大的優(yōu)勢(shì)就是擁有圖形用戶(hù)界面，容易配置、分析和管理。 2.1.4 蜜罐系統(tǒng)平臺(tái)的選擇 對(duì)操作系統(tǒng)的選擇主要是基于系統(tǒng)使用目標(biāo)和軟件應(yīng)用難度來(lái)決定的。對(duì) 于虛擬蜜罐22而言,它需要在已有的操作系統(tǒng)基礎(chǔ)上，安裝特殊的客戶(hù)級(jí)程序來(lái) 虛擬一些特定系統(tǒng)的功能，從外部來(lái)看只有虛擬程序是可見(jiàn)的，操作系統(tǒng)對(duì)于 攻擊者是透明的。對(duì)于不使用虛擬機(jī)制的蜜罐系統(tǒng)來(lái)說(shuō)，其安裝和配置對(duì)于任 何操作系統(tǒng)都是可行的，沒(méi)有任何限制。但是同一臺(tái)計(jì)算機(jī)上同時(shí)只能運(yùn)行一 種操作系統(tǒng)，對(duì)計(jì)算機(jī)資源的有效利用率不高。 而虛擬蜜罐的實(shí)現(xiàn)是基于原操作系統(tǒng)和虛擬技術(shù)，附加的操作系統(tǒng)可以實(shí) 現(xiàn)很多的功能，能夠在一個(gè)宿主操作系統(tǒng)上并行安裝多個(gè)虛擬操作系統(tǒng)，這些 虛擬操作系統(tǒng)可以是不同種類(lèi)的。如果虛擬的客戶(hù)機(jī)遭到了攻擊者的破壞，要 重裝虛擬機(jī)是非常容易的，很多客戶(hù)機(jī)是基于宿主操作系統(tǒng)上的一個(gè)單獨(dú)的文 件，要對(duì)它進(jìn)行備份是非常容易實(shí)現(xiàn)的，僅僅需要把這個(gè)文件放大一個(gè)備份介 質(zhì)上，然后當(dāng)需要恢復(fù)的時(shí)候把它們從備份介質(zhì)上覆蓋回去就可以了。 虛擬蜜罐系統(tǒng)的最大問(wèn)題是虛擬的真實(shí)性和健壯性。攻擊者可能會(huì)通過(guò)一 些很基本的方法來(lái)探測(cè)到虛擬系統(tǒng)的存在，然后他們就可能繞開(kāi)虛擬的系統(tǒng)而 去攻擊真實(shí)的宿主操作系統(tǒng)。但是這些特性也可以不看成是一種缺點(diǎn)。因?yàn)楝F(xiàn) 在越來(lái)越多的開(kāi)始使用虛擬技術(shù)來(lái)提高他們的接入服務(wù)器的利用率，攻擊者有 南京航空航天大學(xué)碩士學(xué)位論文 15 時(shí)自己都不能確定哪些是真實(shí)的操作系統(tǒng)哪些是用作蜜罐的虛擬操作系統(tǒng)，這 在很大程度上取決于虛擬系統(tǒng)的真實(shí)性 1windows操作系統(tǒng) 由于當(dāng)前發(fā)現(xiàn)的攻擊行為大量基于windows系列操作系統(tǒng)23，很對(duì)人在設(shè)計(jì) 蜜罐系統(tǒng)特別是為了數(shù)據(jù)捕獲的時(shí)候會(huì)考慮windows操作系統(tǒng)。windows操作系 統(tǒng)主要分為2個(gè)大類(lèi):基于ms-dos如win95、win98 、winme等，還有就是基于nt 內(nèi)核的如winnt、win2000、winx等。 按照傳統(tǒng)的使用習(xí)慣，基于nt內(nèi)核的系統(tǒng)主要應(yīng)用在網(wǎng)絡(luò)服務(wù)和商業(yè)應(yīng)用 領(lǐng)域。而基于dos的操作系統(tǒng)主要應(yīng)用于家用市場(chǎng)。通過(guò)windows2000和 windowsxp的推出，家用領(lǐng)域也可以使用基于nt內(nèi)核的產(chǎn)品了。 windows操作系統(tǒng)最早發(fā)布于1992年，當(dāng)時(shí)windowsnt系統(tǒng)支持進(jìn)程、線(xiàn)程、 對(duì)稱(chēng)多處理器、分布計(jì)算和使用對(duì)象模型進(jìn)行資源管理等先進(jìn)技術(shù)。nt的系統(tǒng) 構(gòu)架是綜合了分層模式結(jié)構(gòu)和客戶(hù)/服務(wù)器結(jié)構(gòu)的產(chǎn)物，分層結(jié)構(gòu)是使用在程序 執(zhí)行上的，它是windowsnt內(nèi)核中唯一可執(zhí)行構(gòu)架。而后者提供給用戶(hù)與多種操 作系統(tǒng)相通信的能力，例如:windows ms-dos, os/2, unix等。windows系統(tǒng)經(jīng) 過(guò)多年的發(fā)展，在網(wǎng)絡(luò)處理方面取得了很大的成功，同時(shí)針對(duì)windows系統(tǒng)的攻 擊也愈來(lái)愈專(zhuān)業(yè)和多樣化，現(xiàn)在有專(zhuān)門(mén)針對(duì)windows系統(tǒng)設(shè)計(jì)的病毒、蠕蟲(chóng)和木 馬等攻擊手段。 windows系統(tǒng)在世界上被廣泛使用著，并且被發(fā)現(xiàn)有大量的安全漏洞，因此 windows系統(tǒng)變成了黑客社團(tuán)們競(jìng)相攻擊的目標(biāo)。但是通過(guò)使用vmware等虛擬軟 件和intel兼容pc機(jī)系統(tǒng)，windows可以成為一個(gè)比較理想的用于虛擬蜜罐系統(tǒng) 的操作系統(tǒng)環(huán)境，它不但可以作為一個(gè)宿主操作系統(tǒng)，還可以被做成虛擬系統(tǒng) 的對(duì)象。 2.unix操作系統(tǒng) unix操作系統(tǒng)24最早被at cstring strtruedisk = _t (?:); int i = 0; int nsel = 0; 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 36 for( i=0;i10;i+) strtruedisk.setat(0,ucturediski); if( 0 = strtruedisk.compare(_t(pszdrive) nsel = i; break; *ppszdrive = pszdrive; if(i 10) (*ppszdrive).setat(0,ucmapdisknsel); void cdriveview:unmapdriveitem(lpctstr pszdrive, cstring* ppszdrive) cstring str; cstring strtruedisk = _t (?:); int i = 0; int nsel = 0; for( i=0;i10;i+) strtruedisk.setat(0,ucmapdiski); if( 0 = strtruedisk.compare(_t(pszdrive) nsel = i; break; *ppszdrive = pszdrive; if(i 10) 南京航空航天大學(xué)碩士學(xué)位論文 37 (*ppszdrive).setat(0,ucturedisknsel); 為了實(shí)現(xiàn)對(duì)真實(shí)系統(tǒng)的某些分區(qū)進(jìn)行屏蔽的功能，在虛擬文件系統(tǒng)中通 過(guò)分區(qū)掩碼實(shí)現(xiàn)了該功能。 核心部分代碼如下： dword cdriveview:hidedisk(dword truedisklist) dword tempdisklist; int i=0,j=0; tempdisklist = truedisklist; while(truedisklist) /*當(dāng)該分區(qū)真實(shí)存在時(shí)，判斷屏蔽位是否為 1，為 1 則屏蔽該分區(qū)； 當(dāng)該分區(qū)不存在時(shí)，直接屏蔽該分區(qū)*/ if(truedisklist i+; else tempdisklist = tempdisklist j+; return tempdisklist; 入侵誘騙系統(tǒng)中虛擬環(huán)境的設(shè)計(jì)與實(shí)現(xiàn) 38 4.3.4 文件運(yùn)行限制功能的實(shí)現(xiàn) windows 系統(tǒng)的文件運(yùn)行限制操作是通過(guò)用 setwindowshookex 來(lái)設(shè)置鉤子 函數(shù)，在鉤子函數(shù)里面直接返回，不執(zhí)行任何操作實(shí)現(xiàn)的。 4.3.5 文件刪除復(fù)制功能的實(shí)現(xiàn) windows 系統(tǒng)的文件修改、刪除操作是通過(guò)用 setwindowshookex 設(shè)置鉤子