本文摘要:發表學術論文網 辦的非常成功,極具口碑。在這里,你可以找到最具時事性的文章和最具代表性的各類文章。當然,因為免費和開源,大家都可以學習、借鑒和共同使用,如果你需要專屬于個人的原創文章,請點擊鏈接獲得專業文秘寫作服務。 摘要 蜜罐是一種主動防御的
發表學術論文網辦的非常成功,極具口碑。在這里,你可以找到最具時事性的文章和最具代表性的各類文章。當然,因為免費和開源,大家都可以學習、借鑒和共同使用,如果你需要專屬于個人的原創文章,請點擊鏈接獲得專業文秘寫作服務。
摘要 蜜罐是一種主動防御的網絡安全技術,可以吸引黑客的攻擊,監視和跟蹤入侵者的行為并且記錄下來進行分析,從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術的基本概念,分析了蜜罐的安全價值,詳細研究了蜜罐的信息收集技術,同時也討論了蜜罐系統面臨的安全威脅與防御對策。
關鍵字 蜜罐,交互性,入侵檢測系統,防火墻
1引言
現在網絡安全面臨的一個大問題是缺乏對入侵者的了解。即誰正在攻擊、攻擊的目的是什么、如何攻擊以及何時進行攻擊等,而蜜罐為安全專家們提供一個研究各種攻擊的平臺。它是采取主動的方式,用定制好的特征吸引和誘騙攻擊者,將攻擊從網絡中比較重要的機器上轉移開,同時在黑客攻擊蜜罐期間對其行為和過程進行深入的分析和研究,從而發現新型攻擊,檢索新型黑客工具,了解黑客和黑客團體的背景、目的、活動規律等。
2蜜罐技術基礎
2.1 蜜罐的定義
蜜罐是指受到嚴密監控的網絡誘騙系統,通過真實或模擬的網絡和服務來吸引攻擊,從而在黑客攻擊蜜罐期間對其行為和過程進行分析,以搜集信息,對新攻擊發出預警,同時蜜罐也可以延緩攻擊和轉移攻擊目標。
蜜罐在編寫新的IDS特征庫、發現系統漏洞、分析分布式拒絕服務(DDOS)攻擊等方面是很有價值的。蜜罐本身并不直接增強網絡的安全性,將蜜罐和現有的安全防衛手段如入侵檢測系統(IDS)、防火墻(Firewall)、殺毒軟件等結合使用,可以有效提高系統安全性。
2.2 蜜罐的分類
根據蜜罐的交互程度,可以將蜜罐分為3類:
蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。
⑴ 低交互蜜罐
只是運行于現有系統上的一個仿真服務,在特定的端口監聽記錄所有進入的數據包,提供少量的交互功能,黑客只能在仿真服務預設的范圍內動作。低交互蜜罐上沒有真正的操作系統和服務,結構簡單,部署容易,風險很低,所能收集的信息也是有限的。
⑵ 中交互蜜罐
也不提供真實的操作系統,而是應用腳本或小程序來模擬服務行為,提供的功能主要取決于腳本。在不同的端口進行監聽,通過更多和更復雜的互動,讓攻擊者會產生是一個真正操作系統的錯覺,能夠收集更多數據。開發中交互蜜罐,要確保在模擬服務和漏洞時并不產生新的真實漏洞,而給黑客滲透和攻擊真實系統的機會。
⑶ 高交互蜜罐
由真實的操作系統來構建,提供給黑客的是真實的系統和服務。給黑客提供一個真實的操作系統,可以學習黑客運行的全部動作,獲得大量的有用信息,包括完全不了解的新的網絡攻擊方式。正因為高交互蜜罐提供了完全開放的系統給黑客,也就帶來了更高的風險,即黑客可能通過這個開放的系統去攻擊其他的系統。
2.3蜜罐的拓撲位置
蜜罐本身作為一個標準服務器對周圍網絡環境并沒有什么特別需要。理論上可以布置在網絡的任何位置。但是不同的位置其作用和功能也是不盡相同。
如果用于內部或私有網絡,可以放置在任何一個公共數據流經的節點。如用于互聯網的連接,蜜罐可以位于防火墻前面,也可以是后面。
⑴ 防火墻之前:如見圖1中蜜罐(1),蜜罐會吸引象端口掃描等大量的攻擊,而這些攻擊不會被防火墻記錄也不讓內部IDS系統產生警告,只會由蜜罐本身來記錄。
因為位于防火墻之外,可被視為外部網絡中的任何一臺普通的機器,不用調整防火墻及其它的資源的配置,不會給內部網增加新的風險,缺點是無法定位或捕捉到內部攻擊者,防火墻限制外向交通,也限制了蜜罐的對內網信息收集。
⑵ 防火墻之后:如圖1中蜜罐(2),會給內部網帶來安全威脅,尤其是內部網沒有附加的防火墻來與蜜罐相隔離。蜜罐提供的服務,有些是互聯網的輸出服務,要求由防火墻把回饋轉給蜜罐,不可避免地調整防火墻規則,因此要謹慎設置,保證這些數據可以通過防火墻進入蜜罐而不引入更多的風險。
優點是既可以收集到已經通過防火墻的有害數據,還可以探查內部攻擊者。缺點是一旦蜜罐被外部攻擊者攻陷就會危害整個內網。
還有一種方法,把蜜罐置于隔離區DMZ內,如圖1中蜜罐(3)。隔離區只有需要的服務才被允許通過防火墻,因此風險相對較低。DMZ內的其它系統要安全地和蜜罐隔離。此方法增加了隔離區的負擔,具體實施也比較困難。
3 蜜罐的安全價值
蜜罐是增強現有安全性的強大工具,是一種了解黑客常用工具和攻擊策略的有效手段。根據P2DR動態安全模型,從防護、檢測和響應三方面分析蜜罐的安全價值。
⑴ 防護 蜜罐在防護中所做的貢獻很少,并不會將那些試圖攻擊的入侵者拒之門外。事實上蜜罐設計的初衷就是妥協,希望有人闖入系統,從而進行記錄和分析。
有些學者認為誘騙也是一種防護。因為誘騙使攻擊者花費大量的時間和資源對蜜罐進行攻擊,從而防止或減緩了對真正系統的攻擊。
⑵ 檢測 蜜罐的防護功能很弱,卻有很強的檢測功能。因為蜜罐本身沒有任何生產行為,所有與蜜罐的連接都可認為是可疑行為而被紀錄。這就大大降低誤報率和漏報率,也簡化了檢測的過程。
現在的網絡主要是使用入侵檢測系統IDS來檢測攻擊。面對大量正常通信與可疑攻擊行為相混雜的網絡,要從海量的網絡行為中檢測出攻擊是很困難的,有時并不能及時發現和處理真正的攻擊。高誤報率使IDS失去有效的報警作用,蜜罐的誤報率遠遠低于大部分IDS工具。
另外目前的IDS還不能夠有效地對新型攻擊方法進行檢測,無論是基于異常的還是基于誤用的,都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報問題,使用蜜罐的主要目的就是檢測新的攻擊。
⑶ 響應 蜜罐檢測到入侵后可以進行響應,包括模擬回應來引誘黑客進一步攻擊,發出報警通知系統管理員,讓管理員適時的調整入侵檢測系統和防火墻配置,來加強真實系統的保護等。
4 蜜罐的信息收集
要進行信息分析,首先要進行信息收集,下面分析蜜罐的數據捕獲和記錄機制。根據信息捕獲部件的位置,可分為基于主機的信息收集和基于網絡的信息收集。
4.1 基于主機的信息收集
基于主機的信息收集有兩種方式,一是直接記錄進出主機的數據流,二是以系統管理員身份嵌入操作系統內部來監視蜜罐的狀態信息,即所謂“Peeking”機制。
⑴ 記錄數據流
直接記錄數據流實現一般比較簡單,主要問題是在哪里存儲這些數據。
收集到的數據可以本地存放在密罐主機中,例如把日志文件用加密技術放在一個隱藏的分區中。本地存儲的缺點是系統管理員不能及時研究這些數據,同時保留的日志空間可能用盡,系統就會降低交互程度甚至變為不受監控。攻擊者也會了解日志區域并且試圖控制它,而使日志文件中的數據不再是可信數據。
因此,將攻擊者的信息存放在一個安全的、遠程的地方相對更合理。以通過串行設備、并行設備、USB或Firewire技術和網絡接口將連續數據存儲到遠程日志服務器,也可以使用專門的日志記錄硬件設備。數據傳輸時采用加密措施。
⑵ 采用“Peeking”機制
這種方式和操作系統密切相關,實現相對比較復雜。
對于微軟系列操作系統來說,系統的源代碼是很難得到,對操作系統的更改很困難,無法以透明的方式將數據收集結構與系統內核相結合,記錄功能必須與攻擊者可見的用戶空間代碼相結合。蜜罐管理 員一般只能察看運行的進程,檢查日志和應用MD-5檢查系統文件的一致性。
對于UNIX系列操作系統,幾乎所有的組件都可以以源代碼形式得到,則為數據收集提供更多的機會,可以在源代碼級上改寫記錄機制,再重新編譯加入蜜罐系統中。需要說明,盡管對于攻擊者來說二進制文件的改變是很難察覺,一個高級黑客還是可能通過如下的方法探測到:
·MD-5檢驗和檢查:如果攻擊者有一個和蜜罐對比的參照系統,就會計算所有標準的系統二進制文件的MD-5校驗和來測試蜜罐。
·庫的依賴性和進程相關性檢查:即使攻擊者不知道原始的二進制系統的確切結構,仍然能應用特定程序觀察共享庫的依賴性和進程的相關性。例如,在UNIX操作系統中,超級用戶能應用truss或strace命令來監督任何進程,當一個象grep(用來文本搜索)的命令突然開始與系統日志記錄進程通信,攻擊者就會警覺。庫的依賴性問題可以通過使用靜態聯接庫來解決。
另外如果黑客攻陷一臺機器,一般會安裝所謂的后門工具包,這些文件會代替機器上原有的文件,可能會使蜜罐收集數據能力降低或干脆失去。因此應直接把數據收集直接融入UNIX內核,這樣攻擊者很難探測到。修改UNIX內核不象修改UNIX系統文件那么容易,而且不是所有的UNIX版本都有源代碼形式的內核。不過一旦源代碼可用,這是布置和隱藏數據收集機制有效的方法。
閱讀期刊:《計算機系統應用》
《計算機系統應用》(月刊)創刊于1991年,由中國科學院軟件研究所主辦。辦刊宗旨:宣傳推廣信息技術在各行各業的應用。重點是宣傳介紹計算機應用系統的建設(包括系統的規劃、設計與開發等方面)、信息技術的應用研究與開發成果以及相關技術的分析、探討與應用,系統建設:面向中高層管理人員與應用系統設計的專業人員。榮獲中文核心期刊(2000)。
轉載請注明來自發表學術論文網:http://www.zpfmc.com/dzlw/7238.html
