1、xxxxxxxx課程設計報告課程名稱：計算機病毒防治 題目：基于蜜場的計算機電子取證研究報告 學院：信息工程學院 班級： 姓名： 學號： 指導老師： 2015年12月14日 - 2015年12月25日目錄第一章：蜜罐11.1蜜罐的定義：11.2蜜罐的作用：11.3蜜罐的使用：11.3.1迷惑入侵者，保護服務器11.3.2抵御入侵者，加固服務器21.3.3誘捕網絡罪犯2第二章：對現有取證技術的觀察和啟發3第三章：基于蜜罐技術的計算機動態取證系統43. 1 證據檢測43. 2 蜜罐服務系統53. 3 證據提取53. 4 證據傳送 6第四章：實驗分析評價7第五章：總結9第一章：蜜罐1.1蜜罐的定義：

2、蜜罐：蜜罐好比是情報收集系統。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，并且掌握他們的社交網絡。1.2蜜罐的作用： 蜜罐主要是一種研究工具，但同樣有著真正的商業應用。把蜜罐設置在與公司的Web或郵件服務器相鄰的IP地址上，你就可以了解它所遭受到的攻擊。當然，蜜罐和蜜網不是什么“射后不理”（fire and forget）的安全設備。據蜜網計劃聲稱，要真正弄清楚攻擊者在短短30分鐘內造成的破壞，通常需要分析30到40個小時。系統還需要認真維護及測試。

3、有了蜜罐，你要不斷與黑客斗智斗勇。可以這么說：你選擇的是戰場，而對手選擇的是較量時機。因而，你必須時時保持警惕。 蜜罐(Honeypot)是一種在互聯網上運行的計算 機系統。它是專門為吸引并誘騙那些試圖非法闖 入他人計算機系統的人(如電腦黑客)而設計的，蜜 罐系統是一個包含漏洞的誘騙系統，它通過模擬 一個或多個易受攻擊的主機，給攻擊者提供一個 容易攻擊的目標。由于蜜罐并沒有向外界提供真 正有價值的服務，因此所有對蜜罐嘗試都被視為 可疑的。蜜罐的另一個用途是拖延攻擊者對真正 目標的攻擊，讓攻擊者在蜜罐上浪費時間。簡單 點一說：蜜罐就是誘捕攻擊者的一個陷阱。1.3蜜罐的使用：1.3.1迷惑入侵者，

4、保護服務器 一般的客戶/服務器模式里，瀏覽者是直接與網站服務器連接的，換句話說，整個網站服務器都暴露在入侵者面前，如果服務器安全措施不夠，那么整個網站數據都有可能被入侵者輕易毀滅。但是如果在客戶/服務器模式里嵌入蜜罐，讓蜜罐作為服務器角色，真正的網站服務器作為一個內部網絡在蜜罐上做網絡端口映射，這樣可以把網站的安全系數提高，入侵者即使滲透了位于外部的“服務器”，他也得不到任何有價值的資料，因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎上跳進內部網絡，但那要比直接攻下一臺外部服務器復雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。 在這種

5、用途上，蜜罐不能再設計得漏洞百出了。蜜罐既然成了內部服務器的保護層，就必須要求它自身足夠堅固，否則，整個網站都要拱手送人了。1.3.2抵御入侵者，加固服務器 入侵與防范一直都是熱點問題，而在其間插入一個蜜罐環節將會使防范變得有趣，這臺蜜罐被設置得與內部網絡服務器一樣，當一個入侵者費盡力氣入侵了這臺蜜罐的時候，管理員已經收集到足夠的攻擊數據來加固真實的服務器。采用這個策略去布置蜜罐，需要管理員配合監視，否則入侵者攻破了第一臺，就有第二臺接著承受攻擊了1.3.3誘捕網絡罪犯 這是一個相當有趣的應用，當管理員發現一個普通的客戶/服務器模式網站服務器已經犧牲成肉雞的時候，如果技術能力允許，管理員會迅速

6、修復服務器。那么下次呢?既然入侵者已經確信自己把該服務器做成了肉雞，他下次必然還會來查看戰果，難道就這樣任由他放肆?一些企業的管理員不會罷休，他們會設置一個蜜罐模擬出已經被入侵的狀態，做起了姜太公。同樣，一些企業為了查找惡意入侵者，也會故意設置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據，有些人把此戲稱為“監獄機”，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。 隨著信息技術的不斷發展 ,計算機網絡越來越 多地參與到人們的工作和生活中. 與此同時 ,網絡安 全事件也呈上升趨勢 ,計算機犯罪逐漸增加. 當今主 流的信息安全技術如防火墻、數據加密、入侵檢測等 可

7、以從一定程度上預防入侵事件的發生 ,但并不能 夠防止所有入侵為此 ,借助法律來對入侵者實 施懲罰和威懾已成為重要的手段 ,此手段的關鍵是 找到真實、可靠、具有法律效力的電子證據 ,計算機 取證技術也就應運而生。第二章：對現有取證技術的觀察和啟發通過仔細分析現有取證技術的研究 ,主要有以 下兩點觀察和啟發 : 觀察 1 :現有計算機取證技術的研究多為靜態分析方法 ,不能夠在入侵的同時或者一定的時限內 自動獲取合法的證據. 這種靜態的取證模式對于新 興的反取證技術 (如數據隱藏技術、數據擦除技術 等) 則顯得無能為力。啟發 1 :取證系統必須采用實時的動態方式對 電子證據進行提取和保存 ,能在網絡

8、攻擊行為發生 的時候自動地收集網絡攻擊證據并對攻擊行為做出 反應。 觀察 2 :現有計算機取證方式多為被動方式 ,證 據獲取的主動性不足 ,加之防御系統可能會在遭到 網絡攻擊時立即切斷網絡連接或整個系統處于癱 瘓 ,證據的完整性也會受到影響。 啟發 2 :蜜罐 ( Honeypot) 是一種主動防御的網 絡安全技術 ,可以吸引入侵者的攻擊 ,保護工作網絡 免于攻擊 ,還可以模仿提供一些服務 ,從而有比較長 的時間監視和跟蹤入侵者的行為并以日志形式記錄下來進行分析 ,從而學習入侵者的工具、策略和方法。基于以上兩點觀察和啟發 ,文中設計了一種基 于蜜罐技術的計算機動態取證系統 ,該系統能及時 主動

9、獲取完整的電子證據 ,并在遭到網絡攻擊時利 用重定向技術保護被取證端免受攻擊。第三章：基于蜜罐技術的計算機動態取證系統 基于蜜罐技術的計算機動態取證系統的拓撲結 構如圖 1 所示.圖 1 系統的整體拓撲結構圖系統采用具有蜜罐特性的取證節點組成三層分 布式體系結構. 證據服務器是全局事務的控制中心 , 負責取證任務的發起 ,接收來自蜜罐取證節點的取 證結果 ,在進行數字簽名驗證之后 ,將取證結果進行 篩選、組合和重構 ,使之能再現整個事件的攻擊過 程 ,并生成完整的報告 ,在加蓋時間戳之后保存到證 據服務器的證據庫中3 . 蜜罐取證節點層是本系統 的關鍵層 ,負責某邏輯網段中被取證端證據的實時

10、采集、分析、保存 ,并將取證結果通過專用的通信協 議提交給服務器。 蜜罐取證節點的結構如圖 2 所示. 當有可疑行 為發生時 ,虛線上部分的模塊提供蜜罐服務 ,虛線下 部分的模塊完成取證任務. 蜜罐服務運行在用戶空 間 ,名義上是一個真實的服務 ,其實是一個誘餌 ,受 到取證模塊的監控 , 取證模塊運行在內核空間. 整 個蜜罐取證節點的取證流程包括證據的檢測、提供 蜜罐服務、證據的分析提取、證據的簽名傳送等 5 個 部分。3. 1 證據檢測 為了方便檢測 ,在證據服務器上設置了一個初 始的特征知識庫 ,初始知識庫收集了常見攻擊行為 的特征記錄 ,并通過系統的自學習不斷的更新 ,實時 發布到蜜罐

11、取證節點. 經過檢測模塊的外網數據流 的流向如圖 3 所示： 圖 2 蜜罐取證節點的功能模塊及流程圖 3 經過智能檢測模塊的外網數據流向智能檢測模塊通過對網絡數據流的捕捉和分 析 ,對網絡的運行情況進行實時監控. 正常情況下 , 檢測模塊連接的是被取證端 ,當發現有可疑入侵行 為時 ,檢測模塊將攻擊行為實時漂移到蜜罐服務系 統中 ,整個漂移過程對于攻擊者來說是透明的 , 被 取證端仍舊對正常訪問者提供服務. 在漂移的同時 , 發送一個取證請求消息給取證模塊開始取證。 3. 2 蜜罐服務系統 蜜罐服務模塊通過檢測模塊的漂移功能來改變 攻擊者的攻擊目標. 它向攻擊者展示一個虛擬的仿 真環境 ,故意

12、設置一些虛假的敏感信息和常見的網 絡服務對攻擊者進行跟蹤分析 ,并保證對入侵行為 有一定的控制能力。為了降低系統資源的開銷 , 本系統的蜜罐服務模塊采用開放源代碼的低交互虛 擬蜜罐框架 Honeyd 來搭建. Honeyd 可以自動收集 日志信息 ,記錄黑客使用某服務的痕跡。在搭建 蜜罐過程中 ,通過模擬操作系統的部分 TCP/ IP 棧 來建立蜜罐 ,即在網絡級模擬虛擬蜜罐系統(含操作系統及設備) ,其方法是使用與 Nmap 或 Xprobe 相 同的指紋數據庫來模擬操作系統 ,以響應入侵者對 虛擬蜜罐的網絡請求。 3. 3 證據提取 證據提取的來源主要是檢測模塊對數據包的分 析情況和蜜罐系

13、統的日志審計信息. 證據提取的內 容主要包括兩大部分；一部分是入侵發生時的主 機運行參數 ,例如系統內存信息、CPU 使用率、進程 運行狀況、緩沖區信息、磁盤文件的讀寫等 ,獲得這 些數據實際上是對整個攻擊現場的快照 ,是還原入 侵犯罪場景不可缺少的因素. 另外一部分是網絡通訊情況 ,如網絡數據包大小、數據流量、攻擊方源地 址、目的地址、端口、使用協議、網絡連接數量、連接 時間、連接類型等。 3. 4 證據傳送 證據獲取之后 ,最終要存到服務器的證據庫. 為了保證原始的電子證據安全有效的傳送到證據服務 器 ,在證據傳輸時設置了專用的通信協議對證據進 行數字簽名 ,其實現流程如下 : (1) 通

14、過增量備份的方式從本地證據庫中找到 將要傳輸的證據信息 M。(2) 利用 SHA 安全散列函數計算出要傳輸信 息的散列碼 ,記為 h = H ( M) 。 (3) 發送方用其私鑰 KRa 對散列碼進行加密 , 形成數字簽名 ,然后用一個對稱密鑰 K 對附加了數 字簽名(加密的散列碼) 的消息進行加密 ,得密文信 息 C = Ek M EkRa H ( M) (4) 發送密文信息 C 至證據服務器。第四章：實驗分析評價 根據上述設計的模型 ,文中開發了一個加載蜜 罐 Honeyd 的動態取證原型系統 (簡稱 HCF) ,并在 操作系統為虛擬機VM10版本 Redhat Linux 9. 0 ,進

15、行了檢測效率、取證能力兩個方面的測試. 為了更好地說明各個類別 的檢測情況 ,與沒有加載蜜罐的取證系統 (簡稱 NHCF) 進行了比較. (1) 檢測率和誤報的測試 : 檢測率和誤報是檢 測系統最重要的指標. 檢測率可定義為發生入侵行 為時系統發出報警的概率 ;誤報率 False Alarm 定義 為沒有發生入侵行為時 ,系統發出報警的概率. 實驗 的數據取自 KDDCUP99 數據集. 該數據集中包含 的攻擊類型有 4 種 : DOS 類、PROBE 類、U2R 類、 R2L 類. 由于訓練數據集數據量巨大 ,從 10 %訓練 集中隨機抽取 20000 條記錄作為訓練集 ,從 10 %測 試

16、集中隨面抽取 10000 條記錄數據作為測試集. 實 驗結果如圖 4 所示. 從圖 4 可以看出 ,基于蜜罐技術的取證系統的 性能要明顯優于無蜜罐的取證系統. 在所有的入侵 中 DOS 攻擊的檢測準確率最高誤報率最低 ,而 R2L 攻擊的檢測準確率最低誤報率最高 ,出現這種現象 的原因主要是 R2L 類攻擊的數目很少 ,導致訓練過 程中得出的條件概率誤差較大. (2) 取證能力測試 : 利用 VC6. 0 編寫一個SYNFLOOD 攻擊的程序 ,對某一被取證機進行攻 擊. 在無蜜罐時 ,由于被取證端在幾秒鐘之內就陷入 癱瘓狀態 ,所以取證節點僅能獲取 IP 地址和端口 號. 在加載蜜罐之后 ,證據檢測模塊成功將連接漂移 到虛擬蜜罐 ,由于蜜罐提供的是一個虛假服務 ,所以 整個系統并未受影響. 取證節點還可獲取到進程運 行狀況、網絡數據包大小、數據流量使用協議、網絡 連接數量