基于虚拟机技术的产品型蜜网设计与实现.pdfVIP

维普资讯 大 庆 石 油 学 院 学 报 第 29卷 第 5期 2005年 10月 JOURNAIOFDAQING PETROlEUM INSTITUTE V01．29 No．5 OCt． 2005 基于虚拟机技术的产品型蜜网设计与实现 唐世伟 ，梁兴柱 ，司国海 (1．大庆石油学院计算机与信息技术学院，黑龙江 大庆 163318； 2．大庆石油学院科研处，黑龙江 大庆 163318) 摘 要：研究了产品型蜜网系统的体系结构，阐述 了蜜网中的数据捕获和数据控制模块的实现．结合 已有的网络安 全措施给出了一种基于虚拟机技术的产品型蜜网的拓扑结构及其在 Linux下的具体实现，测试表 明，该方案能够对攻击 进行捕获和控制，而且实现简单． 关 键 词：网络安全 ；蜜罐 ；虚拟机 ；产品型蜜网 中图分类号 ：TP393．08 文献标识码 ：A 文章编号 ：1000—1891(2005)05—0092—04 计算机网络因其分布的广域性、体系结构的开放性、资源共享性和信道 的共用性等特点而增加 了网络 的实用性，但同时也不可避免地带来 了网络的脆弱性和被攻击性．网络面临着严重的安全 问题，解决网络 安全问题已成为当务之急Ⅲ．目前的网络系统采取的防护大多是防火墙和入侵检测等被动防御策略．蜜 罐是一种安全资源，能够吸引探测、攻击和入侵活动，分析攻击信息进而获得其攻击手段、方法和策略． 1 系统特点 蜜网是高交互性的蜜罐，可分为产品型蜜网和研究型蜜网．产品型蜜网主要用来降低网络的安全风 险，提高入侵检测能力和系统安全系数，吸引黑客的入侵，使其在蜜罐上花费大量的时间和精力，确保提供 真实服务的主机系统的安全．产品型蜜网系统一般包括蜜罐机 、防火墙 、入侵检测器、路由器和产品服务 器等几部分．通过定义一些相应的规则 ，防火墙和路 由器对进 出蜜网的数据和连接进行必要的控制 ，防止 攻击者把蜜网作为攻击其它非蜜网系统的跳板．产品型蜜网系统是一个装有多个操作系统和应用软件 ， 提供各种标准服务，各个部分相互协作的网络系统． 数据控制和数据捕获是决定产品型蜜网成败的关键．数据控制是在不被入侵者发现的前提下，对入 侵者进入蜜网后的行为进行限制，防止入侵者利用蜜网对非蜜网系统进行攻击和破坏．一方面，通过防火 墙来控制连接请求，允许进入蜜网外部的请求，限制蜜网内对外的请求；研究表明，外发连接数 目设定为 5 ～ lO个，能够最大限度保证蜜罐主机不被滥用，同时可使入侵者尽可能多地做他们想做的事情[2]，其具体 的实现技术是连接计数和NIPS(Network--BasedIntrusionPreventionSystems)．另一方面 ，通过路由器 控制蜜网的路 由，防止ICMP攻击与其它基于蜜罐主机 IP地址 的欺骗性 网络攻击． 蜜网的目的就是要学习和研究攻击信息．没有数据捕获，蜜网将没有任何价值．蜜网的数据捕获渠 道是由防火墙 、入侵检测系统和蜜罐 3部分组成．防火墙在 1P层记录所有出入蜜 网的连接 ；入侵检测系 统在数据链路层对蜜 网中的网络流量进行监控 、分析和抓取 以便将来能够重现攻击行为 ，同时对一些可疑 举动进行报警． 2 系统设计与实现 采用虚拟技术建立产品型蜜 网的方式有 UMI(UserModelLinux)和虚拟机 (VirtualMachine)2种． 收稿 日期：2005—04—15；审稿人：李从信 ；编辑 ：王文礼 作者简介：唐世伟 (1967一)，男，硕士，副教授 ，主要从事计算机网络安全、智能信息处理等方面的研究 ·92 · 维普资讯 第 5期 唐世伟等：基于虚拟机技术的产品型蜜网设计与实现 针对小型企业或研究组织，联合 已有的传统网络 安全措施 ，设计了一种采用虚拟机技术建立 自包 防火墙 ——一 外网 卜——一 攻击者 含虚拟方式 的产 品型蜜网，用 以完善和提高网络