利用蜜罐技术实现对互联网非法活动进行监控.pdf.pdf

中国人民公安大学学报(自然科学版)’SPublicSecurityUniversity(ScienceandTechnology)总第54期Sum54利用蜜罐技术实现对互联网非法活动进行监控杜彦辉(中国人民公安大学信息安全工程系,北京102600)摘要蜜罐技术是一种能够深入分析各种攻击行为的新技术,它通过网络欺骗、端口重定向、报警、数据控制和数据捕获等关键技术,实现对网络攻击的控制、捕获和分析。通过对黑客攻击案例的捕获和分析,展示利用蜜罐技术实现互联网非法活动进行监控。关键词蜜罐;网络攻击;,与入侵检测系统、防火墙、杀毒软件等结合,可以有效提高系统安全性。蜜罐技术是一r一种对攻击者进行欺骗的技术,通过部署作为诱饵的主机、网络服务以及信息诱使攻击者对他们进行攻击,减少对实际系统造成安全威胁,更重要的是蜜罐技术可以对攻击行为进行监控和分析,了解攻击者所使用的攻击工具和攻击方法,推测攻击者的意图和动机。在此基础上尽可能地追踪攻击者的来源,对其攻击行为进行审计和取证,从而能够让防御者清晰地了解他们所面对的安全威胁,并通过法律手段去追究攻击者的责任,或者通过技术和管理手段来增强对实际系统的安全防护能力。我们在实验室利用Honeyd构建了蜜罐并连入互联网,通过该蜜罐工具捕获了一些攻击行为,通过对这些攻击案例的深入分析,可以了解攻击者进行非法活动的整个过程以及所使用的攻击工具和方法,从而对互联网非法活动进行监控。Honeyd体系由几个组件构成,这些组件是配置数据库、中央包分配模块、协议处理模块、个性引擎和可选路由构件。图1为Honeyd软件框架结构。图lHoneyd软件框架结构l】系统接受到的数据由中央包分配模块进行处理,首先中央包分配模块进行处理会检查IP包的长度,并修改包的校验和。Honeyd主要响应IC—MP、TCP和UDP等3种网络协议,其他协议包在记人日志后会被丢弃。其他请求的处理主要依赖于个性引擎的配置。基金项目本文得到公安部2005年应用创新计戈IJ的资助作者简介杜彦辉(1969一),男,山西人,副教授。丰要研究方向为刚络安全78·维普资讯:利用蜜罐技术实现对互联网非法活动进行监控在处理数据包之前,中央包分配模块查询配置数据库,以查找到一个符合目标地址的蜜罐配置。给定配置后,数据包和相应的配置会被转交给相应的协议处理模块处理。除了可以建立本地服务连接外,Honeyd还支持网络连接的重定向。这种重定向可以是静态的,也可以根据参数(源地址与源端口、目标地址与目标端口)判断。重定向将一个到虚拟蜜罐上的服务连接请求转发到一台真实服务器上运行的服务进程。在发送数据到外部网络之前,数据包会经个性引擎处理。个性引擎会修改数据包的内容,,就要采用各种欺骗手段来诱骗攻击者。例如在欺骗主机上模拟些网络攻击者最“喜欢”的端口和漏洞。网络流量仿真也是常用来迷惑并吸引攻击者的方法。采用实时方式或重现方式复制真正的网络流量,或者从远程产生伪造流量,诱骗人侵者。蜜罐主要的网络欺骗技术包括:模