面向蜜罐技术的企业网络防御系统研究
2024-05-09
来源:年旅网
技术探讨・Techno l ogy and Study 面向蜜罐技术的 企业网络防御系统研究 沈煜 (江苏林海动力机械集团公司 江苏泰州225500) 【摘要】企业网络一旦受到严重的安全威胁,将会给企业带来巨大的经济损失。因此企业网络安全需要提出更高的要求和更好 ,的解决方案。本文主要研究了面向蜜罐技术的企业网络防御系统首先对系统的体系结构以及功能模块进行了设计.并进一步详 ,细探讨了蜜罐技术在企业网络防御系统中的应用。 【关键词】蜜罐技术:防御系统:企业网络:网络安全 The Research of Enterprise Network Defense System Based on Honeypot Technology Shen Yu (JiangsuLinhaiPowerMachineryGroup Company Jiangsu Taizhou225300) [Abstract]Once the enterprise network suffered serious security threatsthe enterprise will been given buge economic losses.Therefore,the ,enterprise network security needs to put forward the higer requirement and better solutionsThe paper has mainly studied the enterprise network .defenses based on the honeypot technoloty,and firstly designed the structure and function module of the system.and further discussed the application in the enterprise network defense system based on the honeypot technology. [Keywords]honeypot technology;defense system;enterprise network;network security 1.引言 随着网络技术的应用和发展,被发现的网络服务、操作系统 和应用软件的漏洞和缺陷也随之迅速增多,层出不穷的各种黑 客工具利用这些漏洞对主机进行攻击,以及人为的失误操作或 其中,统一认证和授权服务器管理用户访问权限,无论用户 需要从Internet还是从内网访问企业网络资源,都必须先认证 身份的合法性,再授予用户相应的读取权限,以达到限制用户访 问范围或进行其他业务操作的目的。证书服务器负责管理企业 内所有用户的证书生成和颁发。资源管理服务器负责监控和管 理服务器资源和其他网络资源。客户端使用多重认证,确保合 法用户在使用对应合法主机和已注册的IP地址。 缺乏安全意识的网络应用,都会给企业网络带来各种各样的安 全风险,所以网络安全是一个过程,不存在绝对的网络安全解决 方案,加强网络安全具体工作需要适时地改进并持续下去。而 蜜罐技术在追踪和记录黑客行为的同时,也可以欺骗黑客进入 一2.2系统的功能模块 (1)网络管理 网络文件系统加密 有选择地设置用户对局域网内重要的 个受控环境中,消耗黑客大量的时间和资源,间接阻止或减缓 黑客对真正系统的攻击。本文就是主要针对企业安全现状,探 讨面向蜜罐技术的企业网络防御系统。 2.企业网络防御系统的总体设计 2.1系统的体系结构 企业网络防御系统主要由四个部分组成:统一认证和授权 服务器、证书服务器、资源管理服务器和客户端。图l所示为企 业网络防御系统体系结构图。 交舞滩繁 l 器 鎏 垂 f辫童 疆 一 叫差 }图1企业网络防御系统体系结构图 信息安全与技术・2011.04・5・ Technology and Study・技术探讨 包括其合法和非法的行为。例如,登录或退出计算机的时间、访 问的网络资源、浏览的网页、网络传输的文件等。 3.蜜罐技术在企业网络防御系统中的应用 3.1蜜网的部署 本文研究的企业网络防御系统采用虚拟技术搭建第三代 HoneyWall,虚拟蜜网可分两类,一类是自包含虚拟Honeynet (Self—Contained Honeynet):这种类别的Honeynet把它的各 H H删 图2蜜网部署图 文件或目录进行必要加密,防止企业的重要数据泄露。 网络文件访问控制 根据USB Key已设置的用户权限,设 置用户允许或禁止访问的网络服务及相关文件,对失败三次的尝 试访问要立即发出报警。 网络通信过程加密根据需要,用户在网络通信时可采用指 定的密钥和算法加密。也可以协商密钥,随机选择加密算法的方 式进行加密通信。 全网扫描 定期对全网扫描,及时发现未受控的客户机,或 用户不按要求使用共享文件等。 (2)网络行为监控 通过远程屏幕监控和远程进程查看手段,监控用户网络行 为,例如,记录用户发送和接收邮件使用的邮件客户端工具,查 看用户使用的聊天工具,发现并阻止用户使用耗费网络带宽的 P2P下载工具等。 (3)安全控制 用户身份认证提供三重认证保护:硬件USB Key认证、 用户USB Key密码认证和Windows认证。 网络访问控制 对客户机使用的网络协议和访问URL进 行控制,及根据条件启动或关闭加密通信。 硬件使用控制 对便携式存储器、MP3、数码相机、各种接口 进行管理和控制,均要求注册后方能使用,尤其便携式存储器,需 要限制未注册的U盘、移动硬盘或其他闪存卡的使用,这样不仅 可以减少病毒传播的几率,而且可以作为防范信息泄露—个手段 还有应用程序控制。 (4)安全审计 用户本地行为审计记录用户在自己主机上操作的所有相关 信息,例如,对文件创建、打印、访问、复制、改名、恢复、删除、移动、 加解密等操作,使用的所有应用程序、更换主机或部分硬件等。 用户网络行为审计 记录用户使用网络的所有相关信息, ・6・2011.04・WWW.infosting org 个组成部分都安装在单一的一台机器上。 另一类是混合虚拟Honeynet(H ̄fid工程Honeynet): 这种类别的Honeynet并不局限与一台机器,而是把它的组成 部分分开在多台机器上部署。蜜网部署图见图2所示。 蜜网的设计需求在不影响企业业务网络的正常运行的情 况下,保障企业网络安全,同时又能迷惑攻击者,把攻击者引入 到蜜网构成的受控环境中,阻止或减缓攻击者对企业业务网络 的攻击。当网络流量流人或流出蜜网时,蜜网网关会对数据包 进行入侵检测分析,若发现入侵行为,即立即报警。 如果攻击者采用通信加密手段进行攻击,网关未能及时发 现入侵行为,但安装在蜜罐主机上的按键记录工具会记录攻击 者的攻击详细过程和相关信息,然后发送至日志服务器。另一 自动报警工具能够实时监视和分析日志,一旦发现攻击特征的 行为立即向网络管理员发出邮件告警。 3。2系统的重定向功能 黑客在发起攻击前,需要经过扫描和查点的手段获取被攻 击主机所使用的操作系统、提供的服务、开放的端口等相关信息。 然后使用缓冲溢出、Web应用程序攻击、蠕虫等方法发现并利用 主机的漏洞,达到操纵主机的目的。重定向子模块的功能就是早 期阻止可能造成I两络威胁的连接,把可疑访问重定向至蜜网。 企业网络防御系统重定向子模块在中间层截获进入主机 的网络数据包,当前主机建立一个关于可疑端口队列,过滤网络 数据包,若发现将要对可疑端口队列中的某一端口进行访问时, 则视为可疑访问,修改网络数据据包的源地址、目的地址及检验 和等相关参数,并将此次可疑访问归人相关通信队列,修改的数 据包不经过上层协议,直接在网络驱动层转发至蜜网中的相应 蜜罐,由蜜网来跟踪、分析和取证这次不友好的访问。 同样,需要将蜜网回应的网络数据包进行处理转发至攻击 者一方。 当主机受到被动访问时,对捕获的网络数据包分析判断为 可疑访问后,根据已判定的可疑端口号先检查是否已经建立了 攻击者和蜜罐之间的对应关系,用结构体类型来表示这个对应 技术探讨・Technology and Study 关系,结构体Struct RdafionOfAH的成员由攻击者的rP和 port、对应蜜罐的IP和port、攻击者和蜜罐是否已发送FIN包 情况发生,减少备份次数。 另外,由记录URLs的进程负责把爬虫获取的大量URLs 存储到数据库中。 然后Capture server扶数据库中取得—定数量的需要检测的 IIRI s,交由CapmreClient ̄U,并把返回的俭测结果写^数据库中。 最后,检测数据交由网络安全人员进行统计分析。 共6个成员组成。该结构体定义如下: Struct RelationOfAH { UL0NG AttackerAddr t ULONG Honeyl ̄tAddr; UL0NG AttackerPortt ULONG Honeyl ̄tPort; bool AttackerFin; bool HoneyI ̄tFin; 4.总结 总之,随着网络技术的飞速发展,计算机网络的规模在不断扩 大,各行各业在得益于网络应用。同时,企业也面临着日益严重的 网络安全问题。 蜜罐技术引入了主动防御的思想,它利用各种监控和分析技 术检测和研究黑客们正在或有可能使用的攻击方法,帮助人们了 解黑客攻击的过程、技术和思想,并能及时发现已知或未知的系统 漏洞及网络安全隐患,进而保护企业网络资源。 } 3。3系统客户端的蜜罐功能 客户端蜜罐在功能上存在一些不足,人工干预较多,停止后 不能较好的继续工作,从URLs数据源的采集归类到检测结果 的备份还需要手工完成等。于是为了使客户端蜜罐能更快捷更 有效地运行,对其功能进行了改进。 首先,避免URLS数据源有重复项。 客户端蜜罐通过读取一个文本文件中记录的URLs来获 参考文献 【I】孙晓妍,王洋等.基于客户端蜜罐的恶意网页检测系统的 设计与实现[J].计算机应用,2010. [2】赵双红,刘寿强,夏娟.基于诱骗式蜜罐系统设计与应用 得数据源,而大量的URLs会出现重复的情况,影响了检测效 率。所以利用MySql数据库对URLs进行管理,把URL名称 相关字段设置为唯一性即可。 其次,减少备份工作量。 客户端蜜罐每次检测完一个文件中的URLs后,运行结果 [J].计算机安全,2011. 【3]Huaqiang Wei,Deborah Frincke et a1.Rationality Validation of fl Layered Decision Model for Network Defense.IEEE,2009. 会保存在log文件夹内。如果不及时备份log的数据,则在下 次运行客户端蜜罐时会覆盖之前获得并保存在log中的数据。 若使用MySql保存每个URL的检测结果可避免数据被覆盖的 作者简介: 沈煜(1 975一).男.扬州大学工学院大专毕业,现任江苏林海动力机 械集团公司工程师 研究方向:计算机网络及其安全技术。 【上接第4页】有效监管、认证机构规范运营、依赖方便捷应用、 电子签名人得到有效法律保障的目标t可以为电子认证行业提 关信息的备份,及时对CA的运营状况进行监控和引导;可以 通过采用科学、规范的方法,依据不同层次的证书策略要求,对 认证机构进行不同安全要求的评估和认定,规范电子签名证书 的质量,保证证书策略的有效实施。 供必要的技术引导,寻求产业发展新方向和新模式;可以促进国 际合作的发展,提升我国电子认证服务行业在国际上的竞争力。 (3)建立国家级证书备份库。实现电子认证业务连续性 保证 建立各CA资料的备份库,实现对CA机构证书资料库的灵 注:本文得到国家科技支撑计划项目(项目编号:2009BAH39BO0 课 题编号2009BAH39B05)资助。 活调用、统一查验,做到对证书的统一管理,完成对CRL列表和 OCA服务器等的统一监管,做好CA机构业务承接中的应急响 应,保证电子认证业务的连续性,保障证书使用者的合法利益。 建立国家级证书备份库,可以通过对CA机构证书库及相 作者简介: 严霄凤(1964~),通信专业硕士,中国软件评测中心信息安全测试 部副总经理.主要从事信息安全.电子认证相关标准.规范和测评方法的 研究.长期从事信息系统测试和信息安全测评工作。 信息安全与技术・2011.04・7・