《蜜罐文件系统的智能内核级中间件研究》由会员分享,可在线阅读,更多相关《蜜罐文件系统的智能内核级中间件研究(64页珍藏版)》请在金锄头文库上搜索。
1、华中科技大学 硕士学位论文 蜜罐文件系统的智能内核级中间件研究 姓名:方荡 申请学位级别:硕士 专业:通信与信息系统 指导教师:黄本雄 2011-01-20 I 摘要摘要 作为一种重要的安全研究工具和方法, 蜜罐被许多组织和商业机构用来进行安全 研究和防护。借助蜜罐及蜜罐组成的网络,企业和组织能够及时发现当前网络环境 中安全问题的焦点以及新近出现的攻击手段,以便在此基础之上做出应对策略。 在如何完善蜜罐体系结构方面,已有很多相关研究。文件系统,作为蜜罐系统 中的重要一环,也是安全领域内的一个研究热点。然而,到目前为止,大多数有关 文件系统的研究都是以访问控制,加密,审计和取证等为目的,而不是为
2、了应用在 蜜罐系统上。另一方面,在如何利用蜜罐文件系统本身来更有效地发掘潜在的攻击 这一点上,也鲜有相关的论述,我们提出了一种文件系统中间件,该中间件在隐秘 地捕获并记录各类文件操作的同时,能对各类操作进行上下文分析,并根据分析结 果智能化地给出对应的文件操作响应,从而最大化蜜罐对于发现攻击、保护系统安 全的价值。 我们设计的中间件是基于 Linux 虚拟文件系统,并处于虚拟文件系统和底层文 件系统之间。通过截获上层的文件操作并操纵它们,我们的中间件可以控制整个系 统范围内的文件操作,它能记录,跟踪,拒绝甚至重定向文件访问操作,而实施这 些控制的时机是由中间件中的智能分析模块决定的。 在本文的
3、后半部分,我们给出了中间件系统的一些验证性的实验和测试,同时 还对由于引入中间件对系统所带来性能影响进行评估,以确保它不至于明显降低系 统性能。我们的中间件工作在内核环境,因此它对上层是透明的,更不易被发现, 因此在真实环境下也具有更好的效果。 关键字:蜜罐关键字:蜜罐 文件系统文件系统 内核模块内核模块 安全安全 中间件中间件 II Abstract As a important security research tool and method,honeypothas been applied by many orgnizations and commercial companies fo
4、r security research and protection.By using honeypot and network comprised of honeypot, which is call honeynet, enterprises and organizations are able to discover the focal security issues and spreading attacking tricks. Much research has been done to improve honeypots architecture. Filesystem, whic
5、h plays an important role in a honeypot, is a common issue in security domain. However, until now,most research on filesystem focuses on access control, encrypting, auditing, forensics and so on, not aiming at honeypot utilization.On the other hand, to the point of how to discover more potential att
6、acks by utilizing the filesystem of honeypot, there are only fewpapers about this. This paper proposes a filesystem middleware which facilitates the honeypot to trap and log attacks. By intercepting different types of file operations, then doing context-related analysis, and making intelligent file
7、operation responses according to analysis results, our filesystem could maximize the value of honeypot in discovering attacks and securing systems. The middleware we designed is based on Linux VFS, it is between VFS and underlying filesystems.Byintercepting file operations from high layer and manipu
8、lating them, our middleware can take control of whole system wide file operations, it can log, track, deny and even redirect file access operations, and the occasion of when to apply these manipulationsisdecided by the intelligent analytical module in the middleware. In the latter half of this paper
9、, we did some verificationexperiments, tests andsome performance assessmentof the system which our middleware was introduced in, to ensure that the middleware is not a setbackof system performance. Our middleware serves in kernel environment, so it is transparent to upper layer and can not easily be
10、 noticed, which is more favorable in a real environment. Keywords :Honeypot, Filesystem, Kernel Module, Security, Middleware 独创性声明 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在 文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名: 日期:年月日 学位论文版
11、权使用授权书 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于保密?,在年解密后适用本授权书。 不保密?。 (请在以上方框内打“” ) 学位论文作者签名: 指导教师签名: 日期:年月日日期:年月日 1 1 绪论绪论 本章首先介绍了安全研究领域内蜜罐这一概念和背景知识,包括其产生和发展, 然后介绍了蜜罐技术的国内外研究概况和热点趋势
12、,紧接着介绍了和本课题相关的 文件系统安全研究的发展现状,然后引出本文所要讨论的课题蜜罐文件系统中 间件研究的意义,并强调了本课题和其他文件系统安全相关研究的区别,即蜜罐文 件系统的特殊性要求,最后对本文各章节内容进行简要介绍。 1.1 引言引言 随着计算机网络的快速发展,信息安全问题越来越突出,并且趋于多样化,各 类安全问题也频繁出现;另一方面,传统的安全响应系统以一种后处理的机制对已 发生的安全威胁进行分析和报告,已经满足不了快速处理大量新近出现的安全问题 的需求,各种新近出现的安全问题数量之庞大,过程之复杂,种类之繁杂,已经超 过了传统安全响应系统的应对能力。 为了在更广泛的范围和更深入
13、的层次上研究各类安全问题,如网络攻击和渗透, 信息泄露,后门及木马的植入,甚至病毒感染等,计算机安全领域内引入了蜜罐这 一概念。简单来说,蜜罐是这样一种资源:其价值在于被攻击和攻陷,它被刻意地 设计或部署得存在各种安全问题和漏洞,以便尽可能吸引各类攻击从而发现更多的 安全问题,目的就是获取所有与这些安全问题相关的日志,并逐一分析这些安全问 题出现的原因以及对系统造成的影响,从而从更广层面上获取当前网络环境中安全 问题的发展趋势和动态,并制定相应的防御策略。和蜜罐相对应的另一个概念是蜜 网,即蜜罐网络,其用意也在于吸引攻击,以研究攻击者所采用的手段和方法,所 获得的信息被用于提高网络的安全性。蜜
14、网一般是由多个真实或虚拟的蜜罐主机构 成。 目前很多组织和机构都使用了蜜罐技术来进行安全问题研究,如 SANS、 SecurityFocus 等著名安全组织通过蜜罐来研究系统漏洞和蠕虫病毒。很多安全软件 厂商也在公共网络上部署蜜罐系统以发现最新的安全漏洞。蜜罐应用于安全研究也 取得了较好的成果。 2002 年, 一个未知漏洞的 exploit 被一个部署在 Solaris 下的蜜罐 系统捕获,这使得蜜罐技术得到了很多安全专家的认可,也证明了蜜罐技术在发现 2 和对抗未知安全威胁时所能发挥的巨大作用。 本文的文件系统中间件研究是在蜜罐系统之上的基础架构研究,由于是以提升 蜜罐系统的价值为目标,因
15、此相对于常见的关于如何认证或限制用户对于文件系统 的访问,以及如何检测文件系统完整性等其他关于文件系统安全的研究,本文的焦 点在于如何引导和控制攻击者对蜜罐中文件系统这一资源的访问,并从中发现攻击 手段和攻击行为模式等信息。 1.2 国内外研究概况和趋势国内外研究概况和趋势 1.2.1 蜜罐技术研究现状蜜罐技术研究现状 近些年来,蜜罐技术得到迅速发展,尤其是以开源项目 Honeynet 为代表的蜜罐 技术研究,使得蜜罐技术在安全领域内备受瞩目。Honeynet 项目提出并实现的高交 互蜜罐已经成为蜜罐研究领域内的重要参考,同时 Honeynet 还整合了 Windows、 Linux/Unix
16、 多平台下的蜜罐技术,提出了并实现了一套蜜网架构。受到 Google 的支 持后,Honeynet 发展更加迅速。总体来说,最新的蜜罐技术的发展方向包括以下几 个方面: 1.2.1.1 与安全领域内的其他技术,如入侵检测系统(IDS)技术等结合 2008 年,Babak Khosravifar 等人将蜜罐技术用于 IDS 系统,通过引入一种由分 布式代理和蜜罐组成的体系结构,以提高安全报告的准确率,以减少漏报。在该体 系结构中,经过 IDS 初步检测有问题的连接被重新路由到蜜罐中进行进一步分析, 如果发现 IDS 检测的结果是错误的,就把该连接重新导向到原来正常的目标1。 与 IDS 技术不同的是, 蜜罐技术更侧重于对于攻击行为及攻击者本身的研究, 从 攻击过程中发现有价值的信息,以便根据这些信息制定更有效的防护方案;而现有 的 IDS 技术是在已知安全威胁特征的前提下,及时、准确地检测并发出安全警报。 因此,也可以说蜜罐技术是一种安全研究平台,除了能够研究已知安全威胁的同时, 还能发现当前网络中的一些潜在的安全威胁。 3 1.2.1.2 交互程度的不断提高 蜜罐系统
