嵌入式网络环境下蜜罐技术研究本科论文.docx

嵌入式网络环境下蜜罐技术研究本科论文.docx

《嵌入式网络环境下蜜罐技术研究本科论文.docx》由会员分享，可在线阅读，更多相关《嵌入式网络环境下蜜罐技术研究本科论文.docx（67页珍藏版）》请在冰豆网上搜索。

嵌入式网络环境下蜜罐技术研究本科论文

摘要

嵌入式系统应用已渗入到工业、军事、日常生活等各个领域。

随着嵌入式系统应用的普遍化和网络技术的不断发展，嵌入式网络应用将成为嵌入式系统应用的发展趋势。

嵌入式网络的存在，必须要考虑网络安全方面的问题。

嵌入式系统本身资源有限，无法存储和运行大型的安全工具。

而且网络安全技术多是被动的防御技术，对攻击者了解不足，更无法应对层出不穷的未知攻击。

蜜罐是一种主动防御技术，它不会直接给网络安全带来帮助，只是收集攻击者攻击的相关信息并分析这些信息，来研究攻击者常用的攻击方式和系统所存在的漏洞，间接的为网络安全带来帮助。

随着嵌入式网络应用的广泛性，本文在嵌入式网络环境下应用蜜罐技术。

本文在分析研究嵌入式网络安全及蜜罐技术的基础上，提出嵌入式蜜罐和嵌入式蜜网的思路。

通过对几种典型蜜罐产品的比较，本文选择虚拟蜜罐Honeyd作为嵌入式环境下的研究对象。

在分析研究Honeyd的框架结构及关键技术的基础上，对蜜罐Honeyd在嵌入式系统上进行移植，并在蜜罐移植的基础上提出对蜜罐的扩展设想。

最后在嵌入式网络环境下对蜜罐进行部署并测试分析，实验结果表明，嵌入式蜜罐对嵌入式网络安全起到保护作用。

关键词：

嵌入式系统；嵌入式网络；蜜罐；Honeyd

Abstract

Theapplicationoftheembeddedsystemhasfilteredintoindustry,militaryaffairsandsomeotherdailylifedomains.Withthegeneralizationoftheembeddedsystemandthedevelopmentoftheembeddedsystem,networkandtheInternettechnology,theembeddednetworkwillbecomethetrendoftheapplicationoftheembeddedsystem.Withtheexistenceoftheembeddednetwork,wemusttakeattentiontothesecurity.Duetothelimitationoftheresourcesoftheembeddedsystem,itcan’tsaveandcirculatelarge-scalesecurityfacilities.Exceptthis,networksecuritytechnologiesareexcessivelypassivedefence,whichknowslittleaboutattackers,nottomentionthatitcanhandletheendlessunknownattacks.

Honeypotisanactivedefensetechnology.Itwon’tbringhelptothenetworksecuritydirectly,whichjustcollectstheinformationoftheattackersandanalyzesit.Bydoingthis,thenitdosomeresearchestofindtheattackingmethodsandloopholesinthesystem,soitcanalsodomuchhelptothenetworksecurity.Withtheuniversalityoftheapplicationoftheembeddednetworks,theapplicationofthehoneypottechnologyintheembeddedsystemenvironmentisdesignedinthispaper.

Thispaperwillfirstlyintroducethecharacteristicoftheembeddednetworksecurityandthehoneypottechnologyandthentaketheembeddedhoneypotandembeddedhoneynetintothought.Inseveraltypesoftypicalhoneypotproducts,thepaperchosevirtualhoneypotHoneydastheresearchobjectintheembeddedsystemenvironment.OnthebaseofanalysisofthecriticaltechnologyandgeneralframeoftheHoneyd,transplantitintotheembeddedsystem,andthenproposetheextensionscheme.Atlast,thehoneypotisdeployedandtestedintheembeddednetworkenvironment,andtheresultshowsthatembeddedhoneypotplaysaprotectiveeffectontheembeddednetworksecurity.

Keywords:

Embeddedsystem;EmbeddedNetword;Honeypot;Honeyd

目录

摘要I

AbstractII

第1章绪论1

1.1研究背景及意义1

1.2蜜罐技术研究现状2

1.3研究内容及论文结构3

第2章嵌入式网络安全及蜜罐技术5

2.1嵌入式网络安全5

2.1.1嵌入式系统5

2.1.2嵌入式网络6

2.1.3嵌入式网络安全威胁7

2.1.4嵌入式网络安全技术8

2.2蜜罐技术10

2.2.1蜜罐的概念及分类10

2.2.2蜜罐的特点12

2.2.3典型蜜罐产品13

2.3嵌入式蜜罐14

2.4本章小结15

第3章Honeyd框架结构及关键技术研究16

3.1Honeyd的框架结构16

3.1.1配置数据库17

3.1.2数据包分配器17

3.1.3协议管理18

3.1.4特征引擎18

3.1.5可选路由18

3.2关键技术19

3.2.1虚拟路由拓扑19

3.2.2指纹匹配20

3.2.3网络数据收集21

3.2.4记录日志22

3.2.5数据分析22

3.3本章小结22

第4章嵌入式系统上Honeyd的移植及扩展23

4.1移植环境23

4.1.1硬件环境23

4.1.2软件环境23

4.2Honeyd的移植24

4.2.1建立编译环境25

4.2.2编译基本库文件26

4.2.3编译Honeyd27

4.2.4交叉编译依赖文件28

4.2.5安装Honeyd32

4.3Honeyd的扩展方案33

4.3.1协议扩展33

4.3.2指纹扩展33

4.3.3其它扩展34

4.4本章小结34

第5章系统部署及测试分析35

5.1蜜罐的部署35

5.1.1面向阻止的部署35

5.1.2面向检测的部署36

5.1.3面向响应的部署36

5.1.4面向研究的部署36

5.2嵌入式网络环境下蜜罐的部署及配置36

5.2.1嵌入式蜜罐的部署37

5.2.2嵌入式蜜罐的配置37

5.3蜜罐系统的启动39

5.4系统测试41

5.4.1连通性测试41

5.4.2操作系统识别测试42

5.4.3模拟服务测试43

5.4.4路由拓扑测试45

5.5数据分析45

5.6本章小结46

结论47

参考文献48

附录50

攻读硕士学位期间发表的学术论文51

致谢52

CONTENTS

Abstract（Chinese）I

Abstract（English）II

Chapter1Introduction1

1.1Researchbackgroundandsignification1

1.2ResearchstatusofHoneypottechnology2

1.3Researchcontentsandpaperstructure3

Chapter2Embeddednetworksecurityandhoneypottechnology5

2.1EmbeddedNetworksecurity5

2.1.1Embeddedsystem5

2.1.2EmbeddedNetwork6

2.1.3SecuritythreatsaboutEmbeddedNetwork7

2.1.4Embeddednetworksecuritytechnology8

2.2Honeypottechnology10

2.2.1Conceptandclassificationofhoneypot10

2.2.2Characteristicsofhoneypot10

2.2.3Typicalhoneypotproducts13

2.3Embeddedhoneypot14

2.4Summary15

Chapter3Studyonarchitectureandkeytechnologyofhoneyd16

3.1Architectureofhoneyd16

3.1.1Configurationdatabase17

3.1.2Packetdispatcher17

3.1.3Services18

3.1.4Personalityengine18

3.1.5Routing18

3.2Keytechnologyofhoneyd19

3.2.1Virtualroutingtopology19

3.2.2Fingerprint20

3.2.3Networkdatacollection21

3.2.4Recordedlog22

3.2.5Dataanalysis22

3.3Summary22

Chapter4Thetransplantandexpansionofhoneydbaseonembeddedsystem23

4.1Transplantenvironment23

4.1.1Hardwareenvironment23

4.1.2Softwareenvironment23

4.2Transplantofhoneyd24

4.2.1Buildingcompilingenvironment25

4.2.2Compilebasiclibraries26

4.2.3Compilehoneyd27

4.2.4Cross-compilingrelyonlibraries28

4.2.5InstallationHoneyd32

4.3Expansionplanofhoneyd33

4.3.1Protocolexpansion33

4.3.2Fingerprintexpansion33

4.3.3Combinedwithothertechnologyapplicationexpansion34

4.4Summary34

Chapter5Testandanalysisbaseonsystemdeployment35

5.1Deploymenthoneypot35

5.1.1Thedeploymentfacetoprevent35

5.1.2Thedeploymentfacetodetection36

5.1.3Thedeploymentfacetoresponse36

5.1.4Thedeploymentfacetoresearch36

5.2DeploymentandconfigurationofhoneypotforEmbeddednetwork36

5.2.1DeploymentofEmbeddedhoneypot37

5.2.2ConfigurationofEmbeddedhoneypot37

5.3Thestartingofhoneypotsystem39

5.4Systemtest41

5.4.1Connectivitytest41

5.4.2Operatingsystemidentification42

5.4.3Simulationtestservice43

5.4.4Networktopologytest45

5.5Dataanalysis45

5.6Summary46

Conclusion47

References48

Thelistattached50

Publishedpapersduringtheperiodofmaster51

Acknowledgement52

第1章绪论

本章介绍了本文的研究背景及意义，嵌入式网络安全及蜜罐技术的研究现状，以及本文的研究内容和论文整体结构安排。

1.1研究背景及意义

嵌入式系统应用广泛渗入到工业、军事、日常生活等各个领域。

从人们生活中使用的照相机、手机、PDA、电视、电冰箱、空调等民用电子与通信产品中，打印机、扫描仪等办公电子产品，工业控制所用控制设备，到导弹、卫星通信、潜艇等军用的控制核心，都与嵌入式系统应用有着密切的关系。

互联网在经历过以“大型主机”、“服务器和PC机”、“手机和移动互联网终端（MID）”为载体的三个发展阶段后，将逐步迈向以嵌入式设备为载体的第四阶段，称之为“嵌入式互联网”。

在即将到来的第四阶段中，嵌入式设备的应用将真正让互联网无处不在，人们不论是在工作、娱乐、学习甚至休息的时候，都能24小时的与互联网保持连接。

据世界上最大的半导体公司英特尔公司预计，嵌入式互联网的快速崛起将到2011年时孕育出价值100亿美元，并预测，到2015年将新增150亿个嵌入式计算设备与互联网的连接[1]。

可见，嵌入式网络是嵌入式系统发展的必然趋势，如果能有效利用，将为社会创造巨大的财富。

嵌入式设备网络化后，一方面受到网络系统的影响，另一方面，由于系统自身的脆弱性，使得网络安全问题凸现出来，直接影响到嵌入式网络的发展。

嵌入式系统网络同计算机网络一样，同样也存在着网络安全问题，同样会受到病毒侵入、数据截获、破坏数据、身份盗取等侵害。

同时，由于嵌入式系统自身设备体积小、资源有限以及功能相对单一，因而，它的网络安全有自身的特点。

嵌入式网络的安全问题关系到嵌入式系统今后的发展及应用前景。

为了嵌入式网络的发展，必须促使更多的人力和物力投入到嵌入式网络安全工作中来。

目前。

嵌入式网络安全采用的主要技术有SSL/TLS技术、IPSec技术、VPN技术等。

在国内外的一些期刊文献中已有很多对嵌入式网络安全的研究。

例如，毕良军提出在嵌入式设备IP层结合IPsec安全机制与防火墙技术，建立IP层的新的嵌入式系统的安全机制[2]。

IPSec可连续或递归应用在路由器、防火墙、主机和通信链路上，实现端到端的安全、虚拟专用网络和安全隧道技术[3]。

宋文功在嵌入式网络安全性问题研究的基础上，将IPsec和SSL协议整合，提出一个嵌入式系统安全模型的解决方案[4]。

匡晋湘研究了网络化嵌入式系统的安全机制，提出了一个以IPSec为基础，建立在IP层的网络化嵌入式系统安全机制[5]。

杜皎等提出建立嵌入式网络安全设备的安全架构，并构建多层次的抗缓冲区溢出攻击机制[6]。

由上述可见，目前对嵌入式网络安全的研究已经比较深入，但大多使用的是被动安全机制，使用主动安全防御技术的比较少。

为了能更多的捕获攻击者对嵌入式网络的攻击的信息，分析嵌入式网络存在的安全问题，改善嵌入式网络的安全，应与主动安全防御技术配合使用，以更好的保证嵌入式网络安全。

1.2蜜罐技术研究现状

蜜罐技术作为一种新兴的网络安全技术，已经得到国内外众多安全人士的关注和研究。

目前，研究蜜罐技术的组织机构有：

蜜网项目组（Honeynetprojeet）、蜜网研究联盟（HoneynetResearchAlliance）。

蜜网项目组是由众多志愿者组成的致力于提高网络安全的非盈利性组织，它的目的是提高人们的网络安全意识、提供必要的网络安全知识、提供该组织开发的开源的工具软件。

蜜网研究联盟是由各个研究蜜罐的组织组成的，它独立于蜜网项目组，拥有自己的组织结构。

它的目的是：

共享各个成员组织的研究、开发、部署蜜罐的相关技术及研究成果，并且完全免费向外界公布这些成果。

蜜网项目组于2000年6月成立。

1999年至2001年，主要在蜜罐理论的验证以及蜜罐系统模型的试验，提出了概念证明性的第一代蜜网技术架构。

2002年至2004年，对第一代蜜网技术进行了发展，主要对数据控制、数据捕获、数据分析方面研究，提出了第二代蜜网技术框架，并开发了其中的关键部件——HoneyWall和Sebek。

在2004年推出了集成部署第二代蜜网所需的所有数据控制和捕获工具的一张自启动光盘（名为Eeyore）。

2004年至2005年，蜜网项目组主要集中开发Kanga中央管理服务器，能够将各个研究团队部署蜜网所获得的数据集中上传，并提供攻击趋势分析功能。

2005年5月，蜜网项目组发布了HoneyWallRoo光盘以及Sebek3.0版，在Roo版本中，提供了一个基于Web界面的非常友好的数据辅助分析工具Walleye，使蜜网技术更加完整，Roo的发布标志着蜜网技术进入了第三代[7]。

面对不断改进的黑客技术，蜜罐又出现了动态蜜罐（ActivateHoneypots）、蜜场（Honeyfarm）、分布式蜜网、无线蜜网等技术[8]。

为了对目前互联网的安全威胁进行更全面的分析，扩大对攻击者的欺骗，又出现了三种新的蜜罐技术：

应用层蜜罐技术[9]（HoneyApp）、客户端蜜罐技术[10-13]（HoneyClient）和蜜标技术[14]（Honeytoken）。

我国对蜜罐技术的研究比较晚，2001年国家自然科学基金信息安全项目正式对蜜罐技术立项研究。

从2002年起，我国学者对蜜网技术进行广泛的研究。

最具代表性的是北京大学计算机科学技术研究所的“狩猎女神”项目，2004年9月份启动，12月份在互联网上依照第二代蜜网技术部署了蜜网。

2005年2月份被接收成为世界蜜网研究联盟的成员，成为国内第一支参与该联盟的团队。

于2005年9月发布了网络环境感知工具N-Eyev0.1，于2006年12月发布了HoneyBow恶意代码捕获工具[15]。

在国内外的一些期刊文献中也有很多对蜜罐技术的研究。

以本文所选用的产品型蜜罐Honeyd为例。

NielsProvos提出了采用虚拟蜜罐Honeyd来检测和阻断网络蠕虫的防范框架[16]；高为民将网络诱骗技术、主机诱骗技术及动态配置技术结合，提出了基于虚拟蜜罐Honeyd的网络入侵诱骗模型，并设计一个基于蜜罐的网络安全系统[17]；官凌青提出对虚拟蜜罐Honeyd进行扩展，通过主动获取指纹信息，让Honeyd去读取这些信息并返回给攻击者[18,19]；江森林提出用Honeyd来诱测网络蠕虫，并对Honeyd的源代码及关键技术代码作详细分析[20]。

上述对蜜罐Honeyd的研究都是针对Linux平台的研究。

毛胜利提出在Vmware上实现蜜罐技术，设计了在Vmware上实现蜜罐的结构[21]。

应用于Windows系统的Honeyd程序也已经出现，其开发者为MikeDavis，最新版本为WindowsportsforHoneyd1.5c[22]。

目前，尚未发现蜜罐技术在嵌入式平台上的应用研究，只在少数文献中提到嵌入式网络安全可以用蜜罐技术和蜜网技术来实现，但并未对其深入研究[23]。

相信，随着嵌入式网络应用的广泛性和嵌入式网络安全问题的不断凸现，在嵌入式网络环境下使用蜜罐技术将为嵌入式网络安全起到很大的作用。

1.3研究内容及论文结构

本文主要针对嵌入式网络发展趋势和嵌入式网络面临的安全问题，结合嵌入式系统的特点，对嵌入式网络安全进行分析研究，重点研究了主动安全防御机制的蜜罐技术；结合嵌入式系统和蜜罐技术特点，提出了嵌入式蜜罐的思路；实现了在嵌入式平台上对蜜罐的移植，构建了一个嵌入式蜜罐，并提出了几点扩展方案；对嵌入式蜜罐在嵌入式网络环境下进行部署，验证部署的嵌入式蜜罐是否有效、功能是否达到预期目标，对部署的系统进行实验验证，并对实验结果进行分析。

本文的结构安排如下：

第1章介绍本文的研究背景及意义、嵌入式网络安全及蜜罐技术的研究现状，最后介绍本文的研究内容及论文各章节安排。

第2章简要介绍嵌入式系统的概念，分析嵌入式网络安全威胁及防御技术，重点介绍了蜜罐技术，最后提出嵌入式蜜罐的概念。

第3章分析研究蜜罐Honeyd的框架结构及采用的关键技术。

第4章简要介绍Honeyd移植的环境，详细介绍Honeyd移植的过程及移植过程中出现的问题并对其分析解决，最后对移植后的Honeyd提出扩展方案。

第5章分析蜜罐的部署位置，对移植后的Honeyd进行部署，为验证移植、部署的蜜罐的正确性，对其进行测试分析。

在论文最后对本文进行总结，并提出了未来进一步研究的内容和方向。

第2章嵌入式网络安全及蜜罐技术

本章主要对嵌入式网络安全及蜜罐技术进行研究。

首先介绍嵌入式系统的概念、特点，分析嵌入式网络的应用、嵌入式网络安全威胁及嵌入式网络安全技术；接着介绍蜜罐的概念、分类、特点及典型蜜罐的分类，最后提出嵌入式蜜罐和嵌入式蜜网的思想。

2.1嵌入式网络安全

2.1.1嵌入式系统

嵌入式系统（EmbeddedSystem）是以应用为中心、以计算机技术为基础、软硬件可裁减，适用于对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。

嵌入式系统是将先进的计算机技术、半导体技术、电子技术和各个行业的具体应用相结合后的产物，这一点就决定了它必然是一个技术密集、资金密集、高度分散、不断创新的知识集成系统。

目前，嵌入式系统带来的工业年产值已超过了一万亿美元，嵌入式系统不仅在民品上而且在军事装备上也得到了广泛地应用。

嵌入式系统的体系结构一般可分成四个部分：

嵌入式处理器、嵌入式外围设备、嵌入式操作系统和嵌入式应用软件，如图2.1所示。

图2.1嵌入式系统结构图

Fig.2.1Embeddedsystemstructure

嵌入式系统应用于特定环境下，是一种专用的计算机系统。

嵌入式系统与通用