基于蜜罐技術(shù)的FPGA實(shí)現

前言

1.項目背景

蜜罐技術(shù)由來(lái)已久，蜜罐(Honeypot)是一種在互聯(lián)網(wǎng)上運行的計算機系統。它是專(zhuān)門(mén)為吸引并誘騙那些試圖非法闖入他人計算機系統的人(如電腦黑客)而設計的，蜜罐系統是一個(gè)包含漏洞的誘騙系統，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機，給攻擊者提供一個(gè)容易攻擊的目標。由于蜜罐并沒(méi)有向外界提供真正有價(jià)值的服務(wù)，因此所有對蜜罐嘗試都被視為可疑的。蜜罐的另一個(gè)用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時(shí)間。簡(jiǎn)單點(diǎn)一說(shuō)：蜜罐就是誘捕攻擊者的一個(gè)陷阱。根據蜜罐與攻擊者之間進(jìn)行的交互，可以分為3類(lèi)：低交互蜜罐，中交互蜜罐和高交互蜜罐。

目前市面上的蜜罐都是利用軟件來(lái)實(shí)現的，軟件有它速度慢、依賴(lài)性強、程序復雜等弱點(diǎn)，基于蜜罐需要快速大量的數據匹配（入侵審計等）和安全的系統（簡(jiǎn)單），我們想到可以用硬件FPGA實(shí)現蜜罐技術(shù)。目前用硬件實(shí)現蜜罐技術(shù)在網(wǎng)絡(luò )和相關(guān)書(shū)籍雜志上都不曾出現過(guò)。

2.項目目標

作為我們用XILINUX公司的SPARTEN-3E實(shí)驗板來(lái)做的這次實(shí)驗，我們在基本的低交互蜜罐的基礎上，自己編寫(xiě)了操作系統和內核，做到了高交互的蜜罐系統。

3.項目的主要內容

本項目一共分為三部分

1. 蜜墻的設定

功能：

利用FPGA實(shí)現IDS和入侵檢測、入侵審計的功能

防止黑客利用蜜罐作為跳板攻擊服務(wù)器

1. 蜜罐的構建

功能：

用FPGA模擬出一個(gè)真實(shí)的操作系統

在FPGA實(shí)驗板上用操作系統建立一個(gè)高交互的蜜罐，讓黑客攻擊

1. 數據的采集和分析

功能：

把蜜罐上的有效數據安全的轉移到其他地方

研究并分析黑客或木馬病毒的攻擊行為

4.項目關(guān)鍵技術(shù)及創(chuàng )新點(diǎn)的論述

關(guān)鍵技術(shù)包括：IDS入侵檢測、入侵審計、蜜罐技術(shù)及其相關(guān)的日志記錄分析，honeynet和蜜墻功能。

國內目前還沒(méi)有任何用FPGA或者相關(guān)的硬件平臺來(lái)實(shí)現蜜罐、蜜墻，所有的蜜罐技術(shù)都是基于在軟件平臺上的實(shí)現。同時(shí)，FPGA的終端安全防護一直處于被動(dòng)防護的狀態(tài)，如果可以用蜜罐技術(shù)，就能把終端防護由被動(dòng)變?yōu)橹鲃?dòng)，能加有效安全得保護終端的安全。

5.項目的成果

我們最終完成了項目主要工作中的功能實(shí)現，并對于整個(gè)蜜罐蜜墻所組成的系統用不同的攻擊手段進(jìn)行了測試，測試結果表明，我們用FPGA實(shí)現的這套系統可以完成期望的目標。

1.采用FPGA實(shí)現蜜墻技術(shù)，幾乎包含現在終端攻擊中全部的攻擊方式的入侵檢測。

2.利用蜜墻將攻擊誘導到FPGA實(shí)現的蜜罐上。

3.實(shí)現了日志記錄，檢測并分析攻擊的特征和方式，來(lái)更進(jìn)一步了解攻擊，為今后的防御贏(yíng)得主動(dòng)

需求分析和項目目標

1.1 需求分析

蜜罐發(fā)展的3個(gè)過(guò)程：

低交互蜜罐最大的特點(diǎn)是模擬。蜜罐為攻擊者展示的所有攻擊弱點(diǎn)和攻擊對象都不是真正的產(chǎn)品系統，而是對各種系統及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進(jìn)行簡(jiǎn)單的應答，它是最安全的蜜罐類(lèi)型。

中交互是對真正的操作系統的各種行為的模擬，它提供了更多的交互信息，同時(shí)也可以從攻擊者的行為中獲得更多的信息。在這個(gè)模擬行為的系統中，蜜罐可以看起來(lái)和一個(gè)真正的操作系統沒(méi)有區別。它們是真正系統還要誘人的攻擊目標。

高交互蜜罐具有一個(gè)真實(shí)的操作系統，它的優(yōu)點(diǎn)體現在對攻擊者提供真實(shí)的系統，當攻擊者獲得ROOT權限后，受系統，數據真實(shí)性的迷惑，他的更多活動(dòng)和行為將被記錄下來(lái)。缺點(diǎn)是被入侵的可能性很高，如果整個(gè)高蜜罐被入侵，那么它就會(huì )成為攻擊者下一步攻擊的跳板。

但是，如果我們有一個(gè)蜜墻來(lái)有效的防治黑客利用蜜罐作為跳板，那么就可以很好的解決高交互蜜罐的缺點(diǎn)，讓蜜罐真正變成一個(gè)我們可以控制的安全的陷阱。并且我們用硬件實(shí)現蜜罐技術(shù)，比用軟件在速度上快數百倍，FPGA上可以安裝實(shí)時(shí)性操作系統，并且硬件比軟件在程序上更簡(jiǎn)單、更基礎，防護效果更好。

1.2實(shí)現的功能目標

用FPGA實(shí)現高交互的蜜罐技術(shù)并實(shí)現蜜墻功能，通過(guò)對硬件的底層編程實(shí)現

1.3項目可行性分析

因為用硬件實(shí)現蜜罐技術(shù)在目前世界、至少是中國網(wǎng)站上沒(méi)有出現過(guò)，屬于首創(chuàng )，里面的很多技術(shù)問(wèn)題尤其是軟件到硬件的編程和實(shí)現是我們所面臨的主要問(wèn)題，但是硬件的速度快，結構簡(jiǎn)單，實(shí)時(shí)性好，這些特點(diǎn)我們可以充分利用在蜜罐和蜜墻上，來(lái)實(shí)現我們的硬件蜜罐，比軟件實(shí)現的優(yōu)勢還是非常的明顯的。

項目總體設計

2.1總體結構圖

上面是我們大致的系統架構圖。我們可以看到，以太網(wǎng)相當于外網(wǎng)通過(guò)路由器首先經(jīng)過(guò)我們用FPGA實(shí)現的蜜墻。他具有IDS、入侵檢測、入侵審計等多種功能，最重要的是，高交互的蜜罐很容易在被攻破以后被黑客作為攻擊主服務(wù)器的跳板，但是蜜墻就可以做好很好的防止從蜜罐到服務(wù)器的攻擊，簡(jiǎn)單的說(shuō)，他對于蜜罐是一個(gè)只進(jìn)不出的防火墻。

數據流經(jīng)過(guò)了蜜墻以后，我們對數據進(jìn)行分析，當沒(méi)有發(fā)現攻擊信息的時(shí)候，數據流作為正常數據通過(guò)蜜墻發(fā)給服務(wù)器，如果我們檢測出了入侵攻擊，那么蜜墻會(huì )利用IP欺騙技術(shù)把攻擊的數據流引到蜜罐上，這樣黑客攻擊的就只能是蜜罐而無(wú)法接觸到真正的服務(wù)器。

在蜜罐上，我們進(jìn)行實(shí)時(shí)監控，黑客的一舉一動(dòng)都在我們的監視下，通過(guò)安全的途徑把蜜罐上的信息導出，我們可以分析這些信息對黑客的行為進(jìn)行了解和掌握，并以此來(lái)對未來(lái)其他的攻擊方式進(jìn)行主動(dòng)的防御。

FPGA硬件實(shí)現帶網(wǎng)絡(luò )連接的操作系統內核

3.1系統硬件的基本構成與配置

系統的硬件設計使用 Xilinx Platform Studio 集成開(kāi)發(fā)環(huán)境中的 Base System Builder 進(jìn)行配置。完成設計的系統框圖如圖XX所示。

圖XX、系統硬件框圖

整個(gè)系統硬件的核心是Microblaze 處理器，處理器的基本配置和主要外設包括：

3.2 硬件功能與指標

一、Microblaze 處理器：

處理器總線(xiàn)頻率： 66.7 MHz；

片上內存（BRAM）：16KB；

由于Spartan-3e XC3S500E 的BRAM資源有限，沒(méi)有選擇 Cache 功能；

二、基本外設配置：

（1）串口：RS232_DCE

波特率：115200，使用中斷；

（2）以太網(wǎng)MAC：

使用 Xilinx Ethernet_MAC IP，其配置參數為：No DMA，使用中斷，并選擇 FIFO 方式，以滿(mǎn)足在 Xilkernel 系統下，使用lwIP 進(jìn)行 socket 編程的需求；

（3）定時(shí)器：

采用一個(gè)32位定時(shí)器，并使用中斷。

（4）DDR_SRAM：

使用開(kāi)發(fā)板上的 32Mx16內存，并配置為 OPB DDR。

此外，系統硬件中還包括：中斷控制器、8個(gè)與通用I/O連接的LED，以及調試模塊。更為詳盡的硬件平臺細節，可以參照系統的硬件描述文件（MHS）。