基于蜜场的计算机电子取证研究.docx
《基于蜜场的计算机电子取证研究.docx》由会员分享,可在线阅读,更多相关《基于蜜场的计算机电子取证研究.docx(7页珍藏版)》请在冰豆网上搜索。
基于蜜场的计算机电子取证研究
xxxxxxxx课程设计报告
课程名称:
计算机病毒防治
题目:
基于蜜场的计算机电子取证研究报告
学院:
信息工程学院
班级:
姓名:
学号:
指导老师:
2015年12月14日-2015年12月25日
目录
第一章:
蜜罐1
1.1蜜罐的定义:
1
1.2蜜罐的作用:
1
1.3蜜罐的使用:
1
1.3.1迷惑入侵者,保护服务器1
1.3.2抵御入侵者,加固服务器2
1.3.3诱捕网络罪犯2
第二章:
对现有取证技术的观察和启发3
第三章:
基于蜜罐技术的计算机动态取证系统4
3.1证据检测4
3.2蜜罐服务系统5
3.3证据提取5
3.4证据传送6
第四章:
实验分析评价7
第五章:
总结9
第一章:
蜜罐
1.1蜜罐的定义:
蜜罐:
蜜罐好比是情报收集系统。
蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。
所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。
还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。
1.2蜜罐的作用:
蜜罐主要是一种研究工具,但同样有着真正的商业应用。
把蜜罐设置在与公司的Web或邮件服务器相邻的IP地址上,你就可以了解它所遭受到的攻击。
当然,蜜罐和蜜网不是什么“射后不理”(fireandforget)的安全设备。
据蜜网计划声称,要真正弄清楚攻击者在短短30分钟内造成的破坏,通常需要分析30到40个小时。
系统还需要认真维护及测试。
有了蜜罐,你要不断与黑客斗智斗勇。
可以这么说:
你选择的是战场,而对手选择的是较量时机。
因而,你必须时时保持警惕。
蜜罐(Honeypot)是一种在互联网上运行的计算机系统。
它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
简单点一说:
蜜罐就是诱捕攻击者的一个陷阱。
1.3蜜罐的使用:
1.3.1迷惑入侵者,保护服务器
一般的客户/服务器模式里,浏览者是直接与网站服务器连接的,换句话说,整个网站服务器都暴露在入侵者面前,如果服务器安全措施不够,那么整个网站数据都有可能被入侵者轻易毁灭。
但是如果在客户/服务器模式里嵌入蜜罐,让蜜罐作为服务器角色,真正的网站服务器作为一个内部网络在蜜罐上做网络端口映射,这样可以把网站的安全系数提高,入侵者即使渗透了位于外部的“服务器”,他也得不到任何有价值的资料,因为他入侵的是蜜罐而已。
虽然入侵者可以在蜜罐的基础上跳进内部网络,但那要比直接攻下一台外部服务器复杂得多,许多水平不足的入侵者只能望而却步。
蜜罐也许会被破坏,可是不要忘记了,蜜罐本来就是被破坏的角色。
在这种用途上,蜜罐不能再设计得漏洞百出了。
蜜罐既然成了内部服务器的保护层,就必须要求它自身足够坚固,否则,整个网站都要拱手送人了。
1.3.2抵御入侵者,加固服务器
入侵与防范一直都是热点问题,而在其间插入一个蜜罐环节将会使防范变得有趣,这台蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器。
采用这个策略去布置蜜罐,需要管理员配合监视,否则入侵者攻破了第一台,就有第二台接着承受攻击了……
1.3.3诱捕网络罪犯
这是一个相当有趣的应用,当管理员发现一个普通的客户/服务器模式网站服务器已经牺牲成肉鸡的时候,如果技术能力允许,管理员会迅速修复服务器。
那么下次呢?
既然入侵者已经确信自己把该服务器做成了肉鸡,他下次必然还会来查看战果,难道就这样任由他放肆?
一些企业的管理员不会罢休,他们会设置一个蜜罐模拟出已经被入侵的状态,做起了姜太公。
同样,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下乖乖被记录下一切行动证据,有些人把此戏称为“监狱机”,通过与电信局的配合,可以轻易揪出IP源头的那双黑手。
随着信息技术的不断发展,计算机网络越来越多地参与到人们的工作和生活中.与此同时,网络安全事件也呈上升趋势,计算机犯罪逐渐增加.当今主流的信息安全技术如防火墙、数据加密、入侵检测等可以从一定程度上预防入侵事件的发生,但并不能够防止所有入侵为此,借助法律来对入侵者实施惩罚和威慑已成为重要的手段,此手段的关键是找到真实、可靠、具有法律效力的电子证据,计算机取证技术也就应运而生。
第二章:
对现有取证技术的观察和启发
通过仔细分析现有取证技术的研究,主要有以下两点观察和启发:
观察1:
现有计算机取证技术的研究多为静态分析方法,不能够在入侵的同时或者一定的时限内自动获取合法的证据.这种静态的取证模式对于新兴的反取证技术(如数据隐藏技术、数据擦除技术等)则显得无能为力。
启发1:
取证系统必须采用实时的动态方式对电子证据进行提取和保存,能在网络攻击行为发生的时候自动地收集网络攻击证据并对攻击行为做出反应。
观察2:
现有计算机取证方式多为被动方式,证据获取的主动性不足,加之防御系统可能会在遭到网络攻击时立即切断网络连接或整个系统处于瘫痪,证据的完整性也会受到影响。
启发2:
蜜罐(Honeypot)是一种主动防御的网络安全技术,可以吸引入侵者的攻击,保护工作网络免于攻击,还可以模仿提供一些服务,从而有比较长的时间监视和跟踪入侵者的行为并以日志形式记录下来进行分析,从而学习入侵者的工具、策略和方法。
基于以上两点观察和启发,文中设计了一种基于蜜罐技术的计算机动态取证系统,该系统能及时主动获取完整的电子证据,并在遭到网络攻击时利用重定向技术保护被取证端免受攻击。
第三章:
基于蜜罐技术的计算机动态取证系统
基于蜜罐技术的计算机动态取证系统的拓扑结构如图1所示.
图1系统的整体拓扑结构图
系统采用具有蜜罐特性的取证节点组成三层分布式体系结构.证据服务器是全局事务的控制中心,负责取证任务的发起,接收来自蜜罐取证节点的取证结果,在进行数字签名验证之后,将取证结果进行筛选、组合和重构,使之能再现整个事件的攻击过程,并生成完整的报告,在加盖时间戳之后保存到证据服务器的证据库中[3].蜜罐取证节点层是本系统的关键层,负责某逻辑网段中被取证端证据的实时采集、分析、保存,并将取证结果通过专用的通信协议提交给服务器。
蜜罐取证节点的结构如图2所示.当有可疑行为发生时,虚线上部分的模块提供蜜罐服务,虚线下部分的模块完成取证任务.蜜罐服务运行在用户空间,名义上是一个真实的服务,其实是一个诱饵,受到取证模块的监控,取证模块运行在内核空间.整个蜜罐取证节点的取证流程包括证据的检测、提供蜜罐服务、证据的分析提取、证据的签名传送等5个部分。
3.1证据检测
为了方便检测,在证据服务器上设置了一个初始的特征知识库,初始知识库收集了常见攻击行为的特征记录,并通过系统的自学习不断的更新,实时发布到蜜罐取证节点.经过检测模块的外网数据流的流向如图3所示:
图2蜜罐取证节点的功能模块及流程
图3经过智能检测模块的外网数据流向
智能检测模块通过对网络数据流的捕捉和分析,对网络的运行情况进行实时监控.正常情况下,检测模块连接的是被取证端,当发现有可疑入侵行为时,检测模块将攻击行为实时漂移到蜜罐服务系统中,整个漂移过程对于攻击者来说是透明的,被取证端仍旧对正常访问者提供服务.在漂移的同时,发送一个取证请求消息给取证模块开始取证。
3.2蜜罐服务系统
蜜罐服务模块通过检测模块的漂移功能来改变攻击者的攻击目标.它向攻击者展示一个虚拟的仿真环境,故意设置一些虚假的敏感信息和常见的网络服务对攻击者进行跟踪分析,并保证对入侵行为有一定的控制能力。
为了降低系统资源的开销,本系统的蜜罐服务模块采用开放源代码的低交互虚拟蜜罐框架Honeyd来搭建.Honeyd可以自动收集日志信息,记录黑客使用某服务的痕迹。
在搭建蜜罐过程中,通过模拟操作系统的部分TCP/IP栈来建立蜜罐,即在网络级模拟虚拟蜜罐系统(含操作系统及设备),其方法是使用与Nmap或Xprobe相同的指纹数据库来模拟操作系统,以响应入侵者对虚拟蜜罐的网络请求。
3.3证据提取
证据提取的来源主要是检测模块对数据包的分析情况和蜜罐系统的日志审计信息.证据提取的内容主要包括两大部分;一部分是入侵发生时的主机运行参数,例如系统内存信息、CPU使用率、进程运行状况、缓冲区信息、磁盘文件的读写等,获得这些数据实际上是对整个攻击现场的快照,是还原入侵犯罪场景不可缺少的因素.另外一部分是网络通讯情况,如网络数据包大小、数据流量、攻击方源地址、目的地址、端口、使用协议、网络连接数量、连接时间、连接类型等。
3.4证据传送
证据获取之后,最终要存到服务器的证据库.为了保证原始的电子证据安全有效的传送到证据服务器,在证据传输时设置了专用的通信协议对证据进行数字签名,其实现流程如下:
(1)通过增量备份的方式从本地证据库中找到将要传输的证据信息M。
(2)利用SHA安全散列函数计算出要传输信息的散列码,记为h=H(M)。
(3)发送方用其私钥KRa对散列码进行加密,形成数字签名,然后用一个对称密钥K对附加了数字签名(加密的散列码)的消息进行加密,得密文信息C=Ek[M‖EkRa[H(M)]]
(4)发送密文信息C至证据服务器。
第四章:
实验分析评价
根据上述设计的模型,文中开发了一个加载蜜罐Honeyd的动态取证原型系统(简称HCF),并在操作系统为虚拟机VM10版本RedhatLinux9.0,进行了检测效率、取证能力两个方面的测试.为了更好地说明各个类别的检测情况,与没有加载蜜罐的取证系统(简称NHCF)进行了比较.
(1)检测率和误报的测试:
检测率和误报是检测系统最重要的指标.检测率可定义为发生入侵行为时系统发出报警的概率;误报率FalseAlarm定义为没有发生入侵行为时,系统发出报警的概率.实验的数据取自KDDCUP99数据集.该数据集中包含的攻击类型有4种:
DOS类、PROBE类、U2R类、R2L类.由于训练数据集数据量巨大,从10%训练集中随机抽取20000条记录作为训练集,从10%测试集中随面抽取10000条记录数据作为测试集.实验结果如图4所示.
从图4可以看出,基于蜜罐技术的取证系统的性能要明显优于无蜜罐的取证系统.在所有的入侵中DOS攻击的检测准确率最高误报率最低,而R2L攻击的检测准确率最低误报率最高,出现这种现象的原因主要是R2L类攻击的数目很少,导致训练过程中得出的条件概率误差较大.
(2)取证能力测试:
利用VC6.0编写一个SYNFLOOD攻击的程序,对某一被取证机进行攻击.在无蜜罐时,由于被取证端在几秒钟之内就陷入瘫痪状态,所以取证节点仅能获取IP地址和端口号.在加载蜜罐之后,证据检测模块成功将连接漂移到虚拟蜜罐,由于蜜罐提供的是一个虚假服务,所以整个系统并未受影响.取证节点还可获取到进程运行状况、网络数据包大小、数据流量使用协议、网络连接数量、连接时间、连接类型等信息。
图4有无蜜罐时检测率与误报率的比较
第五章:
总结
文中提出了将蜜罐技术应用到计算机取证当中,所设计的动态取证原型系统具有检测率高、误报率低、取证能力强的特性.此外,蜜罐取证节点自治地完成取证任务,有效减轻了证据服务器的负载和网络通信的瓶颈问题.如何更加逼真地模拟被取证端的真实环境又不暴露敏感信息,即可更为隐蔽地将入侵者诱惑至蜜罐中,是下一步工作的重点。
在本次课程设计当中,学习到了什么是蜜罐,蜜罐的使用,与及蜜罐的作用等等,总之这次的课设使我进一步得到了提升。
升级会员 