詳解基于蜜罐技術的FPGA實現技術

　　1. 項目背景

　　蜜罐技術由來已久，蜜罐（Honeypot）是一種在互聯網上運行的計算機系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖入他人計算機系統(tǒng)的人（如電腦黑客）而設計的，蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng)，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務，因此所有對蜜罐嘗試都被視為可疑的。蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。簡單點一說：蜜罐就是誘捕攻擊者的一個陷阱。根據蜜罐與攻擊者之間進行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐。

　　目前市面上的蜜罐都是利用軟件來實現的，軟件有它速度慢、依賴性強、程序復雜等弱點，基于蜜罐需要快速大量的數據匹配（入侵審計等）和安全的系統(tǒng)（簡單），我們想到可以用硬件FPGA實現蜜罐技術。目前用硬件實現蜜罐技術在網絡和相關書籍雜志上都不曾出現過。

　　2.項目目標

　　作為我們用XILINUX公司的SPARTEN-3E實驗板來做的這次實驗，我們在基本的低交互蜜罐的基礎上，自己編寫了操作系統(tǒng)和內核，做到了高交互的蜜罐系統(tǒng)。

　　3.項目的主要內容

　　本項目一共分為三部分

　　a.蜜墻的設定

　　功能：

　　利用FPGA實現IDS和入侵檢測、入侵審計的功能

　　防止黑客利用蜜罐作為跳板攻擊服務器

　　b.蜜罐的構建

　　功能：

　　用FPGA模擬出一個真實的操作系統(tǒng)

　　在FPGA實驗板上用操作系統(tǒng)建立一個高交互的蜜罐，讓黑客攻擊

　　c.數據的采集和分析

　　功能：

　　把蜜罐上的有效數據安全的轉移到其他地方

　　研究并分析黑客或木馬病毒的攻擊行為

　　4.項目關鍵技術及創(chuàng)新點的論述

　　關鍵技術包括：IDS入侵檢測、入侵審計、蜜罐技術及其相關的日志記錄分析，honeynet和蜜墻功能。

　　國內目前還沒有任何用FPGA或者相關的硬件平臺來實現蜜罐、蜜墻，所有的蜜罐技術都是基于在軟件平臺上的實現。同時，FPGA的終端安全防護一直處于被動防護的狀態(tài)，如果可以用蜜罐技術，就能把終端防護由被動變?yōu)橹鲃樱芗佑行О踩帽Ｗo終端的安全。

　　5.項目的成果

　　我們最終完成了項目主要工作中的功能實現，并對于整個蜜罐蜜墻所組成的系統(tǒng)用不同的攻擊手段進行了測試，測試結果表明，我們用FPGA實現的這套系統(tǒng)可以完成期望的目標。

　　1.采用FPGA實現蜜墻技術，幾乎包含現在終端攻擊中全部的攻擊方式的入侵檢測。

　　2.利用蜜墻將攻擊誘導到FPGA實現的蜜罐上。

　　3.實現了日志記錄，檢測并分析攻擊的特征和方式，來更進一步了解攻擊，為今后的防御贏得主動。

　　需求分析和項目目標

　　1.1 需求分析

　　蜜罐發(fā)展的3個過程：

　　低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統(tǒng)，而是對各種系統(tǒng)及其提供的服務的模擬。由于它的服務都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進行簡單的應答，它是最安全的蜜罐類型。

　　中交互是對真正的操作系統(tǒng)的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中，蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標。

　　高交互蜜罐具有一個真實的操作系統(tǒng)，它的優(yōu)點體現在對攻擊者提供真實的系統(tǒng)，當攻擊者獲得ROOT權限后，受系統(tǒng)，數據真實性的迷惑，他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高，如果整個高蜜罐被入侵，那么它就會成為攻擊者下一步攻擊的跳板。

　　但是，如果我們有一個蜜墻來有效的防治黑客利用蜜罐作為跳板，那么就可以很好的解決高交互蜜罐的缺點，讓蜜罐真正變成一個我們可以控制的安全的陷阱。并且我們用硬件實現蜜罐技術，比用軟件在速度上快數百倍，FPGA上可以安裝實時性操作系統(tǒng)，并且硬件比軟件在程序上更簡單、更基礎，防護效果更好。

　　1.2實現的功能目標

　　用FPGA實現高交互的蜜罐技術并實現蜜墻功能，通過對硬件的底層編程實現

　　1.3項目可行性分析

　　因為用硬件實現蜜罐技術在目前世界、至少是中國網站上沒有出現過，屬于首創(chuàng)，里面的很多技術問題尤其是軟件到硬件的編程和實現是我們所面臨的主要問題，但是硬件的速度快，結構簡單，實時性好，這些特點我們可以充分利用在蜜罐和蜜墻上，來實現我們的硬件蜜罐，比軟件實現的優(yōu)勢還是非常的明顯的。

　　項目總體設計

　　2.1總體結構圖

　　上面是我們大致的系統(tǒng)架構圖。我們可以看到，以太網相當于外網通過路由器首先經過我們用FPGA實現的蜜墻。他具有IDS、入侵檢測、入侵審計等多種功能，最重要的是，高交互的蜜罐很容易在被攻破以后被黑客作為攻擊主服務器的跳板，但是蜜墻就可以做好很好的防止從蜜罐到服務器的攻擊，簡單的說，他對于蜜罐是一個只進不出的防火墻。

　　數據流經過了蜜墻以后，我們對數據進行分析，當沒有發(fā)現攻擊信息的時候，數據流作為正常數據通過蜜墻發(fā)給服務器，如果我們檢測出了入侵攻擊，那么蜜墻會利用IP欺騙技術把攻擊的數據流引到蜜罐上，這樣黑客攻擊的就只能是蜜罐而無法接觸到真正的服務器。

　　在蜜罐上，我們進行實時監(jiān)控，黑客的一舉一動都在我們的監(jiān)視下，通過安全的途徑把蜜罐上的信息導出，我們可以分析這些信息對黑客的行為進行了解和掌握，并以此來對未來其他的攻擊方式進行主動的防御。

　　FPGA硬件實現帶網絡連接的操作系統(tǒng)內核

　　3.1系統(tǒng)硬件的基本構成與配置

　　系統(tǒng)的硬件設計使用 Xilinx Platform Studio 集成開發(fā)環(huán)境中的 Base System Builder 進行配置。完成設計的系統(tǒng)框圖如圖XX所示。

　　系統(tǒng)硬件框圖

　　整個系統(tǒng)硬件的核心是Microblaze 處理器，處理器的基本配置和主要外設包括：

　　3.2 硬件功能與指標

　　一、Microblaze 處理器：

　　處理器總線頻率： 66.7 MHz;

　　片上內存（BRAM）：16KB;

　　由于Spartan-3e XC3S500E 的BRAM資源有限，沒有選擇 Cache 功能；

　　二、基本外設配置：

　?。?）串口：RS232_DCE

　　波特率：115200，使用中斷；

　　（2）以太網MAC：

　　使用 Xilinx Ethernet_MAC IP，其配置參數為：No DMA，使用中斷，并選擇 FIFO 方式，以滿足在 Xilkernel 系統(tǒng)下，使用lwIP 進行 socket 編程的需求；

　?。?）定時器：

　　采用一個32位定時器，并使用中斷。

　?。?）DDR_SRAM：

　　使用開發(fā)板上的 32Mx16內存，并配置為 OPB DDR。

　　此外，系統(tǒng)硬件中還包括：中斷控制器、8個與通用I/O連接的LED，以及調試模塊。更為詳盡的硬件平臺細節(jié)，可以參照系統(tǒng)的硬件描述文件（MHS）。