新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設計應用 > 如何基于蜜罐技術的FPGA實現(xiàn)技術?

如何基于蜜罐技術的FPGA實現(xiàn)技術?

作者: 時間:2018-08-07 來源:網(wǎng)絡 收藏

1. 項目背景

本文引用地址:http://2s4d.com/article/201808/385631.htm

由來已久,蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運行的計算機系統(tǒng)。它是專門為吸引并誘騙那些試圖非法闖入他人計算機系統(tǒng)的人(如電腦黑客)而設計的,蜜罐系統(tǒng)是一個包含漏洞的誘騙系統(tǒng),它通過模擬一個或多個易受攻擊的主機,給攻擊者提供一個容易攻擊的目標。由于蜜罐并沒有向外界提供真正有價值的服務,因此所有對蜜罐嘗試都被視為可疑的。蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。簡單點一說:蜜罐就是誘捕攻擊者的一個陷阱。根據(jù)蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐。

目前市面上的蜜罐都是利用軟件來實現(xiàn)的,軟件有它速度慢、依賴性強、程序復雜等弱點,基于蜜罐需要快速大量的數(shù)據(jù)匹配(入侵審計等)和安全的系統(tǒng)(簡單),我們想到可以用硬件實現(xiàn)。目前用硬件實現(xiàn)在網(wǎng)絡和相關書籍雜志上都不曾出現(xiàn)過。

2.項目目標

作為我們用XILINUX公司的SPARTEN-3E實驗板來做的這次實驗,我們在基本的低交互蜜罐的基礎上,自己編寫了操作系統(tǒng)和內(nèi)核,做到了高交互的蜜罐系統(tǒng)。

3.項目的主要內(nèi)容

本項目一共分為三部分

a.蜜墻的設定

功能:

利用實現(xiàn)IDS和入侵檢測、入侵審計的功能

防止黑客利用蜜罐作為跳板攻擊服務器

b.蜜罐的構建

功能:

模擬出一個真實的操作系統(tǒng)

在FPGA實驗板上用操作系統(tǒng)建立一個高交互的蜜罐,讓黑客攻擊

c.數(shù)據(jù)的采集和分析

功能:

把蜜罐上的有效數(shù)據(jù)安全的轉(zhuǎn)移到其他地方

研究并分析黑客或木馬病毒的攻擊行為

4.項目關鍵技術及創(chuàng)新點的論述

關鍵技術包括:IDS入侵檢測、入侵審計、蜜罐技術及其相關的日志記錄分析,honeynet和蜜墻功能。

國內(nèi)目前還沒有任何用FPGA或者相關的硬件平臺來實現(xiàn)蜜罐、蜜墻,所有的蜜罐技術都是基于在軟件平臺上的實現(xiàn)。同時,F(xiàn)PGA的終端安全防護一直處于被動防護的狀態(tài),如果可以用蜜罐技術,就能把終端防護由被動變?yōu)橹鲃樱芗佑行О踩帽Wo終端的安全。

5.項目的成果

我們最終完成了項目主要工作中的功能實現(xiàn),并對于整個蜜罐蜜墻所組成的系統(tǒng)用不同的攻擊手段進行了測試,測試結果表明,我們用FPGA實現(xiàn)的這套系統(tǒng)可以完成期望的目標。

1.采用FPGA實現(xiàn)蜜墻技術,幾乎包含現(xiàn)在終端攻擊中全部的攻擊方式的入侵檢測。

2.利用蜜墻將攻擊誘導到FPGA實現(xiàn)的蜜罐上。

3.實現(xiàn)了日志記錄,檢測并分析攻擊的特征和方式,來更進一步了解攻擊,為今后的防御贏得主動。

需求分析和項目目標

1.1 需求分析

蜜罐發(fā)展的3個過程:

低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產(chǎn)品系統(tǒng),而是對各種系統(tǒng)及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。

中交互是對真正的操作系統(tǒng)的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中,蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是比真正系統(tǒng)還要誘人的攻擊目標。

高交互蜜罐具有一個真實的操作系統(tǒng),它的優(yōu)點體現(xiàn)在對攻擊者提供真實的系統(tǒng),當攻擊者獲得ROOT權限后,受系統(tǒng),數(shù)據(jù)真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。

但是,如果我們有一個蜜墻來有效的防治黑客利用蜜罐作為跳板,那么就可以很好的解決高交互蜜罐的缺點,讓蜜罐真正變成一個我們可以控制的安全的陷阱。并且我們用硬件實現(xiàn)蜜罐技術,比用軟件在速度上快數(shù)百倍,F(xiàn)PGA上可以安裝實時性操作系統(tǒng),并且硬件比軟件在程序上更簡單、更基礎,防護效果更好。

1.2實現(xiàn)的功能目標

用FPGA實現(xiàn)高交互的蜜罐技術并實現(xiàn)蜜墻功能,通過對硬件的底層編程實現(xiàn)

1.3項目可行性分析

因為用硬件實現(xiàn)蜜罐技術在目前世界、至少是中國網(wǎng)站上沒有出現(xiàn)過,屬于首創(chuàng),里面的很多技術問題尤其是軟件到硬件的編程和實現(xiàn)是我們所面臨的主要問題,但是硬件的速度快,結構簡單,實時性好,這些特點我們可以充分利用在蜜罐和蜜墻上,來實現(xiàn)我們的硬件蜜罐,比軟件實現(xiàn)的優(yōu)勢還是非常的明顯的。

項目總體設計

2.1總體結構圖


上面是我們大致的系統(tǒng)架構圖。我們可以看到,以太網(wǎng)相當于外網(wǎng)通過路由器首先經(jīng)過我們用FPGA實現(xiàn)的蜜墻。他具有IDS、入侵檢測、入侵審計等多種功能,最重要的是,高交互的蜜罐很容易在被攻破以后被黑客作為攻擊主服務器的跳板,但是蜜墻就可以做好很好的防止從蜜罐到服務器的攻擊,簡單的說,他對于蜜罐是一個只進不出的防火墻。

數(shù)據(jù)流經(jīng)過了蜜墻以后,我們對數(shù)據(jù)進行分析,當沒有發(fā)現(xiàn)攻擊信息的時候,數(shù)據(jù)流作為正常數(shù)據(jù)通過蜜墻發(fā)給服務器,如果我們檢測出了入侵攻擊,那么蜜墻會利用IP欺騙技術把攻擊的數(shù)據(jù)流引到蜜罐上,這樣黑客攻擊的就只能是蜜罐而無法接觸到真正的服務器。

在蜜罐上,我們進行實時監(jiān)控,黑客的一舉一動都在我們的監(jiān)視下,通過安全的途徑把蜜罐上的信息導出,我們可以分析這些信息對黑客的行為進行了解和掌握,并以此來對未來其他的攻擊方式進行主動的防御。

FPGA硬件實現(xiàn)帶網(wǎng)絡連接的操作系統(tǒng)內(nèi)核

3.1系統(tǒng)硬件的基本構成與配置

系統(tǒng)的硬件設計使用 Xilinx Platform Studio 集成開發(fā)環(huán)境中的 Base System Builder 進行配置。完成設計的系統(tǒng)框圖如圖XX所示。


上一頁 1 2 下一頁

評論


相關推薦

技術專區(qū)

關閉