1. 项目布景
蜜罐技能由来已久,蜜罐(Honeypot)是一种在互联网上运转的计算机体系。它是专门为招引并拐骗那些企图不合法闯入别人计算机体系的人(如电脑黑客)而规划的,蜜罐体系是一个包含缝隙的拐骗体系,它经过模仿一个或多个易受进犯的主机,给进犯者供给一个简略进犯的方针。因为蜜罐并没有向外界供给实在有价值的服务,因而一切对蜜罐测验都被视为可疑的。蜜罐的另一个用处是延迟进犯者对实在方针的进犯,让进犯者在蜜罐上浪费时间。简略点一说:蜜罐便是诱捕进犯者的一个圈套。依据蜜罐与进犯者之间进行的交互,能够分为3类:低交互蜜罐,中交互蜜罐和高交互蜜罐。
现在市面上的蜜罐都是运用软件来完结的,软件有它速度慢、依赖性强、程序杂乱等缺陷,根据蜜罐需求快速许多的数据匹配(侵略审计等)和安全的体系(简略),咱们想到能够用硬件FPGA完结蜜罐技能。现在用硬件完结蜜罐技能在网络和相关书本杂志上都不曾呈现过。
2.项目方针
作为咱们用XILINUX公司的SPARTEN-3E试验板来做的这次试验,咱们在根本的低交互蜜罐的根底上,自己编写了操作体系和内核,做到了高交互的蜜罐体系。
3.项目的首要内容
本项目总共分为三部分
a.蜜墙的设定
功用:
运用FPGA完结IDS和侵略检测、侵略审计的功用
避免黑客运用蜜罐作为跳板进犯服务器
b.蜜罐的构建
功用:
用FPGA模仿出一个实在的操作体系
在FPGA试验板上用操作体系树立一个高交互的蜜罐,让黑客进犯
c.数据的收集和剖析
功用:
把蜜罐上的有用数据安全的转移到其他地方
研讨并剖析黑客或木马病毒的进犯行为
4.项目关键技能及立异点的论说
关键技能包含:IDS侵略检测、侵略审计、蜜罐技能及其相关的日志记载剖析,honeynet和蜜墙功用。
国内现在还没有任何用FPGA或许相关的硬件渠道来完结蜜罐、蜜墙,一切的蜜罐技能都是根据在软件渠道上的完结。一起,FPGA的终端安全防护一向处于被迫防护的状况,假如能够用蜜罐技能,就能把终端防护由被迫变为自动,能加有用安全得维护终端的安全。
5.项目的作用
咱们终究完结了项目首要工作中的功用完结,并关于整个蜜罐蜜墙所组成的体系用不同的进犯手法进行了测验,测验结果表明,咱们用FPGA完结的这套体系能够完结希望的方针。
1.选用FPGA完结蜜墙技能,简直包含现在终端进犯中悉数的进犯方法的侵略检测。
2.运用蜜墙将进犯诱导到FPGA完结的蜜罐上。
3.完结了日志记载,检测并剖析进犯的特征和方法,来更进一步了解进犯,为往后的防护赢得自动。
需求剖析和项目方针
1.1 需求剖析
蜜罐开展的3个进程:
低交互蜜罐最大的特色是模仿。蜜罐为进犯者展现的一切进犯缺陷和进犯方针都不是实在的产品体系,而是对各种体系及其供给的服务的模仿。因为它的服务都是模仿的行为,所以蜜罐能够取得的信息十分有限,只能对进犯者进行简略的应对,它是最安全的蜜罐类型。
中交互是对实在的操作体系的各种行为的模仿,它供给了更多的交互信息,一起也能够从进犯者的行为中取得更多的信息。在这个模仿行为的体系中,蜜罐能够看起来和一个实在的操作体系没有差异。它们是实在体系还要诱人的进犯方针。
高交互蜜罐具有一个实在的操作体系,它的长处表现在对进犯者供给实在的体系,当进犯者取得ROOT权限后,受体系,数据实在性的利诱,他的更多活动和行为将被记载下来。缺陷是被侵略的可能性很高,假如整个高蜜罐被侵略,那么它就会成为进犯者下一步进犯的跳板。
可是,假如咱们有一个蜜墙来有用的防治黑客运用蜜罐作为跳板,那么就能够很好的处理高交互蜜罐的缺陷,让蜜罐实在变成一个咱们能够操控的安全的圈套。而且咱们用硬件完结蜜罐技能,比用软件在速度上快数百倍,FPGA上能够装置实时性操作体系,而且硬件比软件在程序上更简略、更根底,防护作用更好。
1.2完结的功用方针
用FPGA完结高交互的蜜罐技能并完结蜜墙功用,经过对硬件的底层编程完结
1.3项目可行性剖析
因为用硬件完结蜜罐技能在现在国际、至少是中国网站上没有呈现过,归于创始,里边的许多技能问题尤其是软件到硬件的编程和完结是咱们所面对的首要问题,可是硬件的速度快,结构简略,实时性好,这些特色咱们能够充分运用在蜜罐和蜜墙上,来完结咱们的硬件蜜罐,比软件完结的优势仍是十分的显着的。
项目整体规划
2.1整体结构图
上面是咱们大致的体系架构图。咱们能够看到,以太网相当于外网经过路由器首要经过咱们用FPGA完结的蜜墙。他具有IDS、侵略检测、侵略审计等多种功用,最重要的是,高交互的蜜罐很简略在被攻破今后被黑客作为进犯主服务器的跳板,可是蜜墙就能够做好很好的避免从蜜罐到服务器的进犯,简略的说,他关于蜜罐是一个只进不出的防火墙。
数据流经过了蜜墙今后,咱们对数据进行剖析,当没有发现进犯信息的时分,数据流作为正常数据经过蜜墙发给服务器,假如咱们检测出了侵略进犯,那么蜜墙会运用IP诈骗技能把进犯的数据流引到蜜罐上,这样黑客进犯的就只能是蜜罐而无法接触到实在的服务器。
在蜜罐上,咱们进行实时监控,黑客的一举一动都在咱们的监督下,经过安全的途径把蜜罐上的信息导出,咱们能够剖析这些信息对黑客的行为进行了解和把握,并以此来对未来其他的进犯方法进行自动的防护。
FPGA硬件完结带网络衔接的操作体系内核
3.1体系硬件的根本构成与装备
体系的硬件规划运用 Xilinx Platform Studio 集成开发环境中的 Base System Builder 进行装备。完结规划的体系框图如图XX所示。
体系硬件框图
整个体系硬件的中心是Microblaze 处理器,处理器的根本装备和首要外设包含:
3.2 硬件功用与目标
一、Microblaze 处理器:
处理器总线频率: 66.7 MHz;
片上内存(BRAM):16KB;
因为Spartan-3e XC3S500E 的BRAM资源有限,没有挑选 Cache 功用;
二、根本外设装备:
(1)串口:RS232_DCE
波特率:115200,运用中止;
(2)以太网MAC:
运用 Xilinx Ethernet_MAC IP,其装备参数为:No DMA,运用中止,并挑选 FIFO 方法,以满意在 Xilkernel 体系下,运用lwIP 进行 socket 编程的需求;
(3)定时器:
选用一个32位定时器,并运用中止。
(4)DDR_SRAM:
运用开发板上的 32Mx16内存,并装备为 OPB DDR。
此外,体系硬件中还包含:中止操控器、8个与通用I/O衔接的LED,以及调试模块。更为翔实的硬件渠道细节,能够参照体系的硬件描绘文件(MHS)。