基于蜜場的計算機電子取證研究

1、xxxxxxxx課程設(shè)計報告課程名稱：計算機病毒防治 題目：基于蜜場的計算機電子取證研究報告 學(xué)院：信息工程學(xué)院 班級： 姓名： 學(xué)號： 指導(dǎo)老師： 2015年12月14日 - 2015年12月25日目錄第一章：蜜罐11.1蜜罐的定義：11.2蜜罐的作用：11.3蜜罐的使用：11.3.1迷惑入侵者，保護服務(wù)器11.3.2抵御入侵者，加固服務(wù)器21.3.3誘捕網(wǎng)絡(luò)罪犯2第二章：對現(xiàn)有取證技術(shù)的觀察和啟發(fā)3第三章：基于蜜罐技術(shù)的計算機動態(tài)取證系統(tǒng)43. 1 證據(jù)檢測43. 2 蜜罐服務(wù)系統(tǒng)53. 3 證據(jù)提取53. 4 證據(jù)傳送 6第四章：實驗分析評價7第五章：總結(jié)9第一章：蜜罐1.1蜜罐的定義：

2、蜜罐：蜜罐好比是情報收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務(wù)器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。1.2蜜罐的作用： 蜜罐主要是一種研究工具，但同樣有著真正的商業(yè)應(yīng)用。把蜜罐設(shè)置在與公司的Web或郵件服務(wù)器相鄰的IP地址上，你就可以了解它所遭受到的攻擊。當然，蜜罐和蜜網(wǎng)不是什么“射后不理”（fire and forget）的安全設(shè)備。據(jù)蜜網(wǎng)計劃聲稱，要真正弄清楚攻擊者在短短30分鐘內(nèi)造成的破壞，通常需要分析30到40個小時。系統(tǒng)還需要認真維護及測試。

3、有了蜜罐，你要不斷與黑客斗智斗勇?？梢赃@么說：你選擇的是戰(zhàn)場，而對手選擇的是較量時機。因而，你必須時時保持警惕。 蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運行的計算 機系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖 入他人計算機系統(tǒng)的人(如電腦黑客)而設(shè)計的，蜜 罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬 一個或多個易受攻擊的主機，給攻擊者提供一個 容易攻擊的目標。由于蜜罐并沒有向外界提供真 正有價值的服務(wù)，因此所有對蜜罐嘗試都被視為 可疑的。蜜罐的另一個用途是拖延攻擊者對真正 目標的攻擊，讓攻擊者在蜜罐上浪費時間。簡單 點一說：蜜罐就是誘捕攻擊者的一個陷阱。1.3蜜罐的使用：1.3.1迷惑入侵者，

4、保護服務(wù)器 一般的客戶/服務(wù)器模式里，瀏覽者是直接與網(wǎng)站服務(wù)器連接的，換句話說，整個網(wǎng)站服務(wù)器都暴露在入侵者面前，如果服務(wù)器安全措施不夠，那么整個網(wǎng)站數(shù)據(jù)都有可能被入侵者輕易毀滅。但是如果在客戶/服務(wù)器模式里嵌入蜜罐，讓蜜罐作為服務(wù)器角色，真正的網(wǎng)站服務(wù)器作為一個內(nèi)部網(wǎng)絡(luò)在蜜罐上做網(wǎng)絡(luò)端口映射，這樣可以把網(wǎng)站的安全系數(shù)提高，入侵者即使?jié)B透了位于外部的“服務(wù)器”，他也得不到任何有價值的資料，因為他入侵的是蜜罐而已。雖然入侵者可以在蜜罐的基礎(chǔ)上跳進內(nèi)部網(wǎng)絡(luò)，但那要比直接攻下一臺外部服務(wù)器復(fù)雜得多，許多水平不足的入侵者只能望而卻步。蜜罐也許會被破壞，可是不要忘記了，蜜罐本來就是被破壞的角色。 在這種

5、用途上，蜜罐不能再設(shè)計得漏洞百出了。蜜罐既然成了內(nèi)部服務(wù)器的保護層，就必須要求它自身足夠堅固，否則，整個網(wǎng)站都要拱手送人了。1.3.2抵御入侵者，加固服務(wù)器 入侵與防范一直都是熱點問題，而在其間插入一個蜜罐環(huán)節(jié)將會使防范變得有趣，這臺蜜罐被設(shè)置得與內(nèi)部網(wǎng)絡(luò)服務(wù)器一樣，當一個入侵者費盡力氣入侵了這臺蜜罐的時候，管理員已經(jīng)收集到足夠的攻擊數(shù)據(jù)來加固真實的服務(wù)器。采用這個策略去布置蜜罐，需要管理員配合監(jiān)視，否則入侵者攻破了第一臺，就有第二臺接著承受攻擊了1.3.3誘捕網(wǎng)絡(luò)罪犯 這是一個相當有趣的應(yīng)用，當管理員發(fā)現(xiàn)一個普通的客戶/服務(wù)器模式網(wǎng)站服務(wù)器已經(jīng)犧牲成肉雞的時候，如果技術(shù)能力允許，管理員會迅速

6、修復(fù)服務(wù)器。那么下次呢?既然入侵者已經(jīng)確信自己把該服務(wù)器做成了肉雞，他下次必然還會來查看戰(zhàn)果，難道就這樣任由他放肆?一些企業(yè)的管理員不會罷休，他們會設(shè)置一個蜜罐模擬出已經(jīng)被入侵的狀態(tài)，做起了姜太公。同樣，一些企業(yè)為了查找惡意入侵者，也會故意設(shè)置一些有不明顯漏洞的蜜罐，讓入侵者在不起疑心的情況下乖乖被記錄下一切行動證據(jù)，有些人把此戲稱為“監(jiān)獄機”，通過與電信局的配合，可以輕易揪出IP源頭的那雙黑手。 隨著信息技術(shù)的不斷發(fā)展 ,計算機網(wǎng)絡(luò)越來越 多地參與到人們的工作和生活中. 與此同時 ,網(wǎng)絡(luò)安 全事件也呈上升趨勢 ,計算機犯罪逐漸增加. 當今主 流的信息安全技術(shù)如防火墻、數(shù)據(jù)加密、入侵檢測等 可

7、以從一定程度上預(yù)防入侵事件的發(fā)生 ,但并不能 夠防止所有入侵為此 ,借助法律來對入侵者實 施懲罰和威懾已成為重要的手段 ,此手段的關(guān)鍵是 找到真實、可靠、具有法律效力的電子證據(jù) ,計算機 取證技術(shù)也就應(yīng)運而生。第二章：對現(xiàn)有取證技術(shù)的觀察和啟發(fā)通過仔細分析現(xiàn)有取證技術(shù)的研究 ,主要有以 下兩點觀察和啟發(fā) : 觀察 1 :現(xiàn)有計算機取證技術(shù)的研究多為靜態(tài)分析方法 ,不能夠在入侵的同時或者一定的時限內(nèi) 自動獲取合法的證據(jù). 這種靜態(tài)的取證模式對于新 興的反取證技術(shù) (如數(shù)據(jù)隱藏技術(shù)、數(shù)據(jù)擦除技術(shù) 等) 則顯得無能為力。啟發(fā) 1 :取證系統(tǒng)必須采用實時的動態(tài)方式對 電子證據(jù)進行提取和保存 ,能在網(wǎng)絡(luò)

8、攻擊行為發(fā)生 的時候自動地收集網(wǎng)絡(luò)攻擊證據(jù)并對攻擊行為做出 反應(yīng)。 觀察 2 :現(xiàn)有計算機取證方式多為被動方式 ,證 據(jù)獲取的主動性不足 ,加之防御系統(tǒng)可能會在遭到 網(wǎng)絡(luò)攻擊時立即切斷網(wǎng)絡(luò)連接或整個系統(tǒng)處于癱 瘓 ,證據(jù)的完整性也會受到影響。 啟發(fā) 2 :蜜罐 ( Honeypot) 是一種主動防御的網(wǎng) 絡(luò)安全技術(shù) ,可以吸引入侵者的攻擊 ,保護工作網(wǎng)絡(luò) 免于攻擊 ,還可以模仿提供一些服務(wù) ,從而有比較長 的時間監(jiān)視和跟蹤入侵者的行為并以日志形式記錄下來進行分析 ,從而學(xué)習(xí)入侵者的工具、策略和方法?；谝陨蟽牲c觀察和啟發(fā) ,文中設(shè)計了一種基 于蜜罐技術(shù)的計算機動態(tài)取證系統(tǒng) ,該系統(tǒng)能及時 主動

9、獲取完整的電子證據(jù) ,并在遭到網(wǎng)絡(luò)攻擊時利 用重定向技術(shù)保護被取證端免受攻擊。第三章：基于蜜罐技術(shù)的計算機動態(tài)取證系統(tǒng) 基于蜜罐技術(shù)的計算機動態(tài)取證系統(tǒng)的拓撲結(jié) 構(gòu)如圖 1 所示.圖 1 系統(tǒng)的整體拓撲結(jié)構(gòu)圖系統(tǒng)采用具有蜜罐特性的取證節(jié)點組成三層分 布式體系結(jié)構(gòu). 證據(jù)服務(wù)器是全局事務(wù)的控制中心 , 負責(zé)取證任務(wù)的發(fā)起 ,接收來自蜜罐取證節(jié)點的取 證結(jié)果 ,在進行數(shù)字簽名驗證之后 ,將取證結(jié)果進行 篩選、組合和重構(gòu) ,使之能再現(xiàn)整個事件的攻擊過 程 ,并生成完整的報告 ,在加蓋時間戳之后保存到證 據(jù)服務(wù)器的證據(jù)庫中3 . 蜜罐取證節(jié)點層是本系統(tǒng) 的關(guān)鍵層 ,負責(zé)某邏輯網(wǎng)段中被取證端證據(jù)的實時

10、采集、分析、保存 ,并將取證結(jié)果通過專用的通信協(xié) 議提交給服務(wù)器。 蜜罐取證節(jié)點的結(jié)構(gòu)如圖 2 所示. 當有可疑行 為發(fā)生時 ,虛線上部分的模塊提供蜜罐服務(wù) ,虛線下 部分的模塊完成取證任務(wù). 蜜罐服務(wù)運行在用戶空 間 ,名義上是一個真實的服務(wù) ,其實是一個誘餌 ,受 到取證模塊的監(jiān)控 , 取證模塊運行在內(nèi)核空間. 整 個蜜罐取證節(jié)點的取證流程包括證據(jù)的檢測、提供 蜜罐服務(wù)、證據(jù)的分析提取、證據(jù)的簽名傳送等 5 個 部分。3. 1 證據(jù)檢測 為了方便檢測 ,在證據(jù)服務(wù)器上設(shè)置了一個初 始的特征知識庫 ,初始知識庫收集了常見攻擊行為 的特征記錄 ,并通過系統(tǒng)的自學(xué)習(xí)不斷的更新 ,實時 發(fā)布到蜜罐

11、取證節(jié)點. 經(jīng)過檢測模塊的外網(wǎng)數(shù)據(jù)流 的流向如圖 3 所示： 圖 2 蜜罐取證節(jié)點的功能模塊及流程圖 3 經(jīng)過智能檢測模塊的外網(wǎng)數(shù)據(jù)流向智能檢測模塊通過對網(wǎng)絡(luò)數(shù)據(jù)流的捕捉和分 析 ,對網(wǎng)絡(luò)的運行情況進行實時監(jiān)控. 正常情況下 , 檢測模塊連接的是被取證端 ,當發(fā)現(xiàn)有可疑入侵行 為時 ,檢測模塊將攻擊行為實時漂移到蜜罐服務(wù)系 統(tǒng)中 ,整個漂移過程對于攻擊者來說是透明的 , 被 取證端仍舊對正常訪問者提供服務(wù). 在漂移的同時 , 發(fā)送一個取證請求消息給取證模塊開始取證。 3. 2 蜜罐服務(wù)系統(tǒng) 蜜罐服務(wù)模塊通過檢測模塊的漂移功能來改變 攻擊者的攻擊目標. 它向攻擊者展示一個虛擬的仿 真環(huán)境 ,故意

12、設(shè)置一些虛假的敏感信息和常見的網(wǎng) 絡(luò)服務(wù)對攻擊者進行跟蹤分析 ,并保證對入侵行為 有一定的控制能力。為了降低系統(tǒng)資源的開銷 , 本系統(tǒng)的蜜罐服務(wù)模塊采用開放源代碼的低交互虛 擬蜜罐框架 Honeyd 來搭建. Honeyd 可以自動收集 日志信息 ,記錄黑客使用某服務(wù)的痕跡。在搭建 蜜罐過程中 ,通過模擬操作系統(tǒng)的部分 TCP/ IP 棧 來建立蜜罐 ,即在網(wǎng)絡(luò)級模擬虛擬蜜罐系統(tǒng)(含操作系統(tǒng)及設(shè)備) ,其方法是使用與 Nmap 或 Xprobe 相 同的指紋數(shù)據(jù)庫來模擬操作系統(tǒng) ,以響應(yīng)入侵者對 虛擬蜜罐的網(wǎng)絡(luò)請求。 3. 3 證據(jù)提取 證據(jù)提取的來源主要是檢測模塊對數(shù)據(jù)包的分 析情況和蜜罐系

13、統(tǒng)的日志審計信息. 證據(jù)提取的內(nèi) 容主要包括兩大部分；一部分是入侵發(fā)生時的主 機運行參數(shù) ,例如系統(tǒng)內(nèi)存信息、CPU 使用率、進程 運行狀況、緩沖區(qū)信息、磁盤文件的讀寫等 ,獲得這 些數(shù)據(jù)實際上是對整個攻擊現(xiàn)場的快照 ,是還原入 侵犯罪場景不可缺少的因素. 另外一部分是網(wǎng)絡(luò)通訊情況 ,如網(wǎng)絡(luò)數(shù)據(jù)包大小、數(shù)據(jù)流量、攻擊方源地 址、目的地址、端口、使用協(xié)議、網(wǎng)絡(luò)連接數(shù)量、連接 時間、連接類型等。 3. 4 證據(jù)傳送 證據(jù)獲取之后 ,最終要存到服務(wù)器的證據(jù)庫. 為了保證原始的電子證據(jù)安全有效的傳送到證據(jù)服務(wù) 器 ,在證據(jù)傳輸時設(shè)置了專用的通信協(xié)議對證據(jù)進 行數(shù)字簽名 ,其實現(xiàn)流程如下 : (1) 通

14、過增量備份的方式從本地證據(jù)庫中找到 將要傳輸?shù)淖C據(jù)信息 M。(2) 利用 SHA 安全散列函數(shù)計算出要傳輸信 息的散列碼 ,記為 h = H ( M) 。 (3) 發(fā)送方用其私鑰 KRa 對散列碼進行加密 , 形成數(shù)字簽名 ,然后用一個對稱密鑰 K 對附加了數(shù) 字簽名(加密的散列碼) 的消息進行加密 ,得密文信 息 C = Ek M EkRa H ( M) (4) 發(fā)送密文信息 C 至證據(jù)服務(wù)器。第四章：實驗分析評價 根據(jù)上述設(shè)計的模型 ,文中開發(fā)了一個加載蜜 罐 Honeyd 的動態(tài)取證原型系統(tǒng) (簡稱 HCF) ,并在 操作系統(tǒng)為虛擬機VM10版本 Redhat Linux 9. 0 ,進

15、行了檢測效率、取證能力兩個方面的測試. 為了更好地說明各個類別 的檢測情況 ,與沒有加載蜜罐的取證系統(tǒng) (簡稱 NHCF) 進行了比較. (1) 檢測率和誤報的測試 : 檢測率和誤報是檢 測系統(tǒng)最重要的指標. 檢測率可定義為發(fā)生入侵行 為時系統(tǒng)發(fā)出報警的概率 ;誤報率 False Alarm 定義 為沒有發(fā)生入侵行為時 ,系統(tǒng)發(fā)出報警的概率. 實驗 的數(shù)據(jù)取自 KDDCUP99 數(shù)據(jù)集. 該數(shù)據(jù)集中包含 的攻擊類型有 4 種 : DOS 類、PROBE 類、U2R 類、 R2L 類. 由于訓(xùn)練數(shù)據(jù)集數(shù)據(jù)量巨大 ,從 10 %訓(xùn)練 集中隨機抽取 20000 條記錄作為訓(xùn)練集 ,從 10 %測 試

16、集中隨面抽取 10000 條記錄數(shù)據(jù)作為測試集. 實 驗結(jié)果如圖 4 所示. 從圖 4 可以看出 ,基于蜜罐技術(shù)的取證系統(tǒng)的 性能要明顯優(yōu)于無蜜罐的取證系統(tǒng). 在所有的入侵 中 DOS 攻擊的檢測準確率最高誤報率最低 ,而 R2L 攻擊的檢測準確率最低誤報率最高 ,出現(xiàn)這種現(xiàn)象 的原因主要是 R2L 類攻擊的數(shù)目很少 ,導(dǎo)致訓(xùn)練過 程中得出的條件概率誤差較大. (2) 取證能力測試 : 利用 VC6. 0 編寫一個SYNFLOOD 攻擊的程序 ,對某一被取證機進行攻 擊. 在無蜜罐時 ,由于被取證端在幾秒鐘之內(nèi)就陷入 癱瘓狀態(tài) ,所以取證節(jié)點僅能獲取 IP 地址和端口 號. 在加載蜜罐之后 ,證據(jù)檢測模塊成功將連接漂移 到虛擬蜜罐 ,由于蜜罐提供的是一個虛假服務(wù) ,所以 整個系統(tǒng)并未受影響. 取證節(jié)點還可獲取到進程運 行狀況、網(wǎng)絡(luò)數(shù)據(jù)包大小、數(shù)據(jù)流量使用協(xié)議、網(wǎng)絡(luò) 連接數(shù)量