本文摘要:發(fā)表學(xué)術(shù)論文網(wǎng) 辦的非常成功,極具口碑。在這里,你可以找到最具時(shí)事性的文章和最具代表性的各類文章。當(dāng)然,因?yàn)槊赓M(fèi)和開源,大家都可以學(xué)習(xí)、借鑒和共同使用,如果你需要專屬于個(gè)人的原創(chuàng)文章,請(qǐng)點(diǎn)擊鏈接獲得專業(yè)文秘寫作服務(wù)。 摘要 蜜罐是一種主動(dòng)防御的
發(fā)表學(xué)術(shù)論文網(wǎng)辦的非常成功,極具口碑。在這里,你可以找到最具時(shí)事性的文章和最具代表性的各類文章。當(dāng)然,因?yàn)槊赓M(fèi)和開源,大家都可以學(xué)習(xí)、借鑒和共同使用,如果你需要專屬于個(gè)人的原創(chuàng)文章,請(qǐng)點(diǎn)擊鏈接獲得專業(yè)文秘寫作服務(wù)。
摘要 蜜罐是一種主動(dòng)防御的網(wǎng)絡(luò)安全技術(shù),可以吸引黑客的攻擊,監(jiān)視和跟蹤入侵者的行為并且記錄下來(lái)進(jìn)行分析,從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術(shù)的基本概念,分析了蜜罐的安全價(jià)值,詳細(xì)研究了蜜罐的信息收集技術(shù),同時(shí)也討論了蜜罐系統(tǒng)面臨的安全威脅與防御對(duì)策。
關(guān)鍵字 蜜罐,交互性,入侵檢測(cè)系統(tǒng),防火墻
1引言
現(xiàn)在網(wǎng)絡(luò)安全面臨的一個(gè)大問題是缺乏對(duì)入侵者的了解。即誰(shuí)正在攻擊、攻擊的目的是什么、如何攻擊以及何時(shí)進(jìn)行攻擊等,而蜜罐為安全專家們提供一個(gè)研究各種攻擊的平臺(tái)。它是采取主動(dòng)的方式,用定制好的特征吸引和誘騙攻擊者,將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開,同時(shí)在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)行深入的分析和研究,從而發(fā)現(xiàn)新型攻擊,檢索新型黑客工具,了解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律等。
2蜜罐技術(shù)基礎(chǔ)
2.1 蜜罐的定義
蜜罐是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng),通過真實(shí)或模擬的網(wǎng)絡(luò)和服務(wù)來(lái)吸引攻擊,從而在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)行分析,以搜集信息,對(duì)新攻擊發(fā)出預(yù)警,同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標(biāo)。
蜜罐在編寫新的IDS特征庫(kù)、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(wù)(DDOS)攻擊等方面是很有價(jià)值的。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的安全性,將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測(cè)系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用,可以有效提高系統(tǒng)安全性。
2.2 蜜罐的分類
根據(jù)蜜罐的交互程度,可以將蜜罐分為3類:
蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。
⑴ 低交互蜜罐
只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真服務(wù),在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包,提供少量的交互功能,黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務(wù),結(jié)構(gòu)簡(jiǎn)單,部署容易,風(fēng)險(xiǎn)很低,所能收集的信息也是有限的。
⑵ 中交互蜜罐
也不提供真實(shí)的操作系統(tǒng),而是應(yīng)用腳本或小程序來(lái)模擬服務(wù)行為,提供的功能主要取決于腳本。在不同的端口進(jìn)行監(jiān)聽,通過更多和更復(fù)雜的互動(dòng),讓攻擊者會(huì)產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺,能夠收集更多數(shù)據(jù)。開發(fā)中交互蜜罐,要確保在模擬服務(wù)和漏洞時(shí)并不產(chǎn)生新的真實(shí)漏洞,而給黑客滲透和攻擊真實(shí)系統(tǒng)的機(jī)會(huì)。
⑶ 高交互蜜罐
由真實(shí)的操作系統(tǒng)來(lái)構(gòu)建,提供給黑客的是真實(shí)的系統(tǒng)和服務(wù)。給黑客提供一個(gè)真實(shí)的操作系統(tǒng),可以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作,獲得大量的有用信息,包括完全不了解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆_放的系統(tǒng)給黑客,也就帶來(lái)了更高的風(fēng)險(xiǎn),即黑客可能通過這個(gè)開放的系統(tǒng)去攻擊其他的系統(tǒng)。
2.3蜜罐的拓?fù)湮恢?/p>
蜜罐本身作為一個(gè)標(biāo)準(zhǔn)服務(wù)器對(duì)周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要。理論上可以布置在網(wǎng)絡(luò)的任何位置。但是不同的位置其作用和功能也是不盡相同。
如果用于內(nèi)部或私有網(wǎng)絡(luò),可以放置在任何一個(gè)公共數(shù)據(jù)流經(jīng)的節(jié)點(diǎn)。如用于互聯(lián)網(wǎng)的連接,蜜罐可以位于防火墻前面,也可以是后面。
⑴ 防火墻之前:如見圖1中蜜罐(1),蜜罐會(huì)吸引象端口掃描等大量的攻擊,而這些攻擊不會(huì)被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告,只會(huì)由蜜罐本身來(lái)記錄。
因?yàn)槲挥诜阑饓χ猓杀灰暈橥獠烤W(wǎng)絡(luò)中的任何一臺(tái)普通的機(jī)器,不用調(diào)整防火墻及其它的資源的配置,不會(huì)給內(nèi)部網(wǎng)增加新的風(fēng)險(xiǎn),缺點(diǎn)是無(wú)法定位或捕捉到內(nèi)部攻擊者,防火墻限制外向交通,也限制了蜜罐的對(duì)內(nèi)網(wǎng)信息收集。
⑵ 防火墻之后:如圖1中蜜罐(2),會(huì)給內(nèi)部網(wǎng)帶來(lái)安全威脅,尤其是內(nèi)部網(wǎng)沒有附加的防火墻來(lái)與蜜罐相隔離。蜜罐提供的服務(wù),有些是互聯(lián)網(wǎng)的輸出服務(wù),要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可避免地調(diào)整防火墻規(guī)則,因此要謹(jǐn)慎設(shè)置,保證這些數(shù)據(jù)可以通過防火墻進(jìn)入蜜罐而不引入更多的風(fēng)險(xiǎn)。
優(yōu)點(diǎn)是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù),還可以探查內(nèi)部攻擊者。缺點(diǎn)是一旦蜜罐被外部攻擊者攻陷就會(huì)危害整個(gè)內(nèi)網(wǎng)。
還有一種方法,把蜜罐置于隔離區(qū)DMZ內(nèi),如圖1中蜜罐(3)。隔離區(qū)只有需要的服務(wù)才被允許通過防火墻,因此風(fēng)險(xiǎn)相對(duì)較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負(fù)擔(dān),具體實(shí)施也比較困難。
3 蜜罐的安全價(jià)值
蜜罐是增強(qiáng)現(xiàn)有安全性的強(qiáng)大工具,是一種了解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR動(dòng)態(tài)安全模型,從防護(hù)、檢測(cè)和響應(yīng)三方面分析蜜罐的安全價(jià)值。
⑴ 防護(hù) 蜜罐在防護(hù)中所做的貢獻(xiàn)很少,并不會(huì)將那些試圖攻擊的入侵者拒之門外。事實(shí)上蜜罐設(shè)計(jì)的初衷就是妥協(xié),希望有人闖入系統(tǒng),從而進(jìn)行記錄和分析。
有些學(xué)者認(rèn)為誘騙也是一種防護(hù)。因?yàn)檎T騙使攻擊者花費(fèi)大量的時(shí)間和資源對(duì)蜜罐進(jìn)行攻擊,從而防止或減緩了對(duì)真正系統(tǒng)的攻擊。
⑵ 檢測(cè) 蜜罐的防護(hù)功能很弱,卻有很強(qiáng)的檢測(cè)功能。因?yàn)槊酃薇旧頉]有任何生產(chǎn)行為,所有與蜜罐的連接都可認(rèn)為是可疑行為而被紀(jì)錄。這就大大降低誤報(bào)率和漏報(bào)率,也簡(jiǎn)化了檢測(cè)的過程。
現(xiàn)在的網(wǎng)絡(luò)主要是使用入侵檢測(cè)系統(tǒng)IDS來(lái)檢測(cè)攻擊。面對(duì)大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡(luò),要從海量的網(wǎng)絡(luò)行為中檢測(cè)出攻擊是很困難的,有時(shí)并不能及時(shí)發(fā)現(xiàn)和處理真正的攻擊。高誤報(bào)率使IDS失去有效的報(bào)警作用,蜜罐的誤報(bào)率遠(yuǎn)遠(yuǎn)低于大部分IDS工具。
另外目前的IDS還不能夠有效地對(duì)新型攻擊方法進(jìn)行檢測(cè),無(wú)論是基于異常的還是基于誤用的,都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報(bào)問題,使用蜜罐的主要目的就是檢測(cè)新的攻擊。
⑶ 響應(yīng) 蜜罐檢測(cè)到入侵后可以進(jìn)行響應(yīng),包括模擬回應(yīng)來(lái)引誘黑客進(jìn)一步攻擊,發(fā)出報(bào)警通知系統(tǒng)管理員,讓管理員適時(shí)的調(diào)整入侵檢測(cè)系統(tǒng)和防火墻配置,來(lái)加強(qiáng)真實(shí)系統(tǒng)的保護(hù)等。
4 蜜罐的信息收集
要進(jìn)行信息分析,首先要進(jìn)行信息收集,下面分析蜜罐的數(shù)據(jù)捕獲和記錄機(jī)制。根據(jù)信息捕獲部件的位置,可分為基于主機(jī)的信息收集和基于網(wǎng)絡(luò)的信息收集。
4.1 基于主機(jī)的信息收集
基于主機(jī)的信息收集有兩種方式,一是直接記錄進(jìn)出主機(jī)的數(shù)據(jù)流,二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來(lái)監(jiān)視蜜罐的狀態(tài)信息,即所謂“Peeking”機(jī)制。
⑴ 記錄數(shù)據(jù)流
直接記錄數(shù)據(jù)流實(shí)現(xiàn)一般比較簡(jiǎn)單,主要問題是在哪里存儲(chǔ)這些數(shù)據(jù)。
收集到的數(shù)據(jù)可以本地存放在密罐主機(jī)中,例如把日志文件用加密技術(shù)放在一個(gè)隱藏的分區(qū)中。本地存儲(chǔ)的缺點(diǎn)是系統(tǒng)管理員不能及時(shí)研究這些數(shù)據(jù),同時(shí)保留的日志空間可能用盡,系統(tǒng)就會(huì)降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會(huì)了解日志區(qū)域并且試圖控制它,而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。
因此,將攻擊者的信息存放在一個(gè)安全的、遠(yuǎn)程的地方相對(duì)更合理。以通過串行設(shè)備、并行設(shè)備、USB或Firewire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程日志服務(wù)器,也可以使用專門的日志記錄硬件設(shè)備。數(shù)據(jù)傳輸時(shí)采用加密措施。
⑵ 采用“Peeking”機(jī)制
這種方式和操作系統(tǒng)密切相關(guān),實(shí)現(xiàn)相對(duì)比較復(fù)雜。
對(duì)于微軟系列操作系統(tǒng)來(lái)說,系統(tǒng)的源代碼是很難得到,對(duì)操作系統(tǒng)的更改很困難,無(wú)法以透明的方式將數(shù)據(jù)收集結(jié)構(gòu)與系統(tǒng)內(nèi)核相結(jié)合,記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理 員一般只能察看運(yùn)行的進(jìn)程,檢查日志和應(yīng)用MD-5檢查系統(tǒng)文件的一致性。
對(duì)于UNIX系列操作系統(tǒng),幾乎所有的組件都可以以源代碼形式得到,則為數(shù)據(jù)收集提供更多的機(jī)會(huì),可以在源代碼級(jí)上改寫記錄機(jī)制,再重新編譯加入蜜罐系統(tǒng)中。需要說明,盡管對(duì)于攻擊者來(lái)說二進(jìn)制文件的改變是很難察覺,一個(gè)高級(jí)黑客還是可能通過如下的方法探測(cè)到:
·MD-5檢驗(yàn)和檢查:如果攻擊者有一個(gè)和蜜罐對(duì)比的參照系統(tǒng),就會(huì)計(jì)算所有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn)制文件的MD-5校驗(yàn)和來(lái)測(cè)試蜜罐。
·庫(kù)的依賴性和進(jìn)程相關(guān)性檢查:即使攻擊者不知道原始的二進(jìn)制系統(tǒng)的確切結(jié)構(gòu),仍然能應(yīng)用特定程序觀察共享庫(kù)的依賴性和進(jìn)程的相關(guān)性。例如,在UNIX操作系統(tǒng)中,超級(jí)用戶能應(yīng)用truss或strace命令來(lái)監(jiān)督任何進(jìn)程,當(dāng)一個(gè)象grep(用來(lái)文本搜索)的命令突然開始與系統(tǒng)日志記錄進(jìn)程通信,攻擊者就會(huì)警覺。庫(kù)的依賴性問題可以通過使用靜態(tài)聯(lián)接庫(kù)來(lái)解決。
閱讀范文:科學(xué)發(fā)展觀論文我國(guó)傳統(tǒng)科學(xué)思想
這篇科學(xué)發(fā)展觀論文探討了我國(guó)傳統(tǒng)科學(xué)思想,科學(xué)思想是在具體的科學(xué)認(rèn)識(shí)活動(dòng)中,產(chǎn)生、闡述和解釋科學(xué)假說和理論的最一般的概念框架和信念基礎(chǔ)。論文就我國(guó)統(tǒng)科學(xué)思想的特點(diǎn)進(jìn)行了分析,并對(duì)成因進(jìn)行了初步探析。
轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng):http://www.zpfmc.com/dzlw/7108.html
