搜索
浅谈蜜罐技术及其应用摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。关键词:蜜罐;蜜网;网络安全1引言随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。2蜜罐技术防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅ClifStoil所著“Cuckoo’sEgg'’,和BillCheswick所著“AnEvwitllBeId”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。3蜜罐技术的分类和比较目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、预警以及网络安全的教学等方面。下面从蜜罐和蜜网两个方面分类比较,剖析现有系统的最新研究进展及其特征。根据系统的功能,蜜罐可以分为产品型和研究型两类。1)产品型蜜罐主要是用于攻击检测、预警防御和取证,为一个组织的网络提供安全保护。它一般采用虚拟的操作系统和应用程序来构建系统,部署在一个部门的内部网络环境。这类蜜罐系统的代表有SymantecDecoyServer、SmokeDetector、Honeyd、Specter、ManTraq等。随着研究的深入,产品型蜜罐出现了针对特定攻击的应用,比如检测内部攻击的Honeytoken,检测缓冲区溢出攻击的TaintCheck,检测对无线网络攻击的802.11Honeypot,检测恶意网站对浏览器攻击的Honeyclient检测DOS攻击,检测恶意代码攻击的HoneyStat,检测垃圾邮件攻击的HoneySpam,检测Web应用攻击的HoneyWeb“等。研究型蜜罐主要是用于研究攻击的特征和发展趋势,以帮助安全组织研究系统所面临的威胁,以便更好地抵抗这些威胁。它一般采用真实的操作系统和应用程序来构建系统,部署在网络系统中各个网段上。例如,Kreibich提出了一种从Honeypot捕获的数据中自动提取攻击特征的LCS(1ongest-com—mon—subsVing)算法,该算法比较简单,但是提取的攻击特征质量较差。UoitaThakar首先采用可视化、统计分析等方法辅助人工筛选出可疑数据,然后基于LCS算法从选出的数据中自动提取攻击特征。该方法提高了攻击特征提取的质量,但是还需要人工参与。产品型蜜罐部署简单,引入风险低,容易维护,但是捕获的攻击信息少。研究型蜜罐可以捕获大量的攻击信息,但是部署复杂,维护代价大。根据系统允许与黑客交互活动的级别,蜜罐可分为低交互蜜罐与高交互蜜罐。低交互蜜罐允许蜜罐与黑客交互活动次数少,通常采用虚拟的操作系统和应用程序来构建系统。多数产品型蜜罐属于低交互蜜罐。高交互蜜罐一般不限制黑客与蜜罐交互的活动,通常采用真实的操作系统和应用程序来构建系统。研究型蜜罐一般属于高交互蜜罐,也有部分产品型蜜罐属于高交互蜜罐,如ManTrap。低交互蜜罐与黑客交互次数少,引入的风险较小,但是容易被攻击者识别,捕获的攻击信息少。高交互蜜罐捕获的攻击信息较多,容易捕获到新的攻击工具,但是部署复杂,难以维护,引入了较高的安全风险。还可以根据服务实现方式分类。为了欺骗攻击者,蜜罐需要提供与真实的主机相似的操作系统和服务。根据服务实现方式将蜜罐系统分为真实蜜罐和虚拟蜜罐。真实蜜罐是由真实的主机、操作系统和应用程序构建的。主要用于获取攻击行为。虚拟蜜罐是由虚拟的操作系统和应用程序构建的,黑客的行为只能局限在模拟的级别。主要用于攻击的检测、预警防御等。较具代表性的系统如DTK、Honeyd等开源工具和KFSensor、ManTrap等一系列的商业产品。虚拟蜜罐又可以分为手写脚本的蜜罐和学习服务的蜜罐。手写脚本的蜜罐是手工编写脚本,模拟一个真实的系统。学习服务的蜜罐是通过机器学习由系统编写脚本,模拟一个真实的系统。学习服务的蜜罐是实现动态蜜罐n的一个关键的技术,但是实现难度较大。真实蜜罐交互程度高,无蜜罐指纹,捕获的攻击信息量大,适合作研究,但是高交互引入了较高的安全风险。虚拟蜜罐部署比较方便,引入风险较低,适合作为商业产品,但是收集攻击数据少,易被黑客识别。根据服务提供方式将蜜罐分为服务端蜜罐和客户端蜜罐。服务端蜜罐是运行服务端的软件,等待攻击者来入侵。目前大部分蜜罐是服务端蜜罐。客户端蜜罐是运行客户端的软件,模拟普通的互联网客户端访问恶意网站或间谍软件,如Honeyclient。服务端蜜罐通过诱骗攻击者攻击来了解服务器端的安全威胁,但是难以发现针对客户端的安全威胁。客户端蜜罐通过模拟客户端访问恶意网站或间谍软件来发现浏览器的漏洞,主动了解互联网上针对客户端的安全威胁,但是难以发现针对服务端的安全威胁。4蜜罐技术的问题和发展趋势近年来蜜罐技术在安全领域的应用越来越广泛。但是,蜜罐技术的应用仍受到很多问题的困扰,我们认为蜜罐技术现阶段面临的主要挑战其主要特征是:①模拟服务交互程度低,容易被识别;②系统架构部署和维护还比较复杂,难以有效控制风险,不能满足大规模网络环境的需要;③数据表示和存储不统一;④分析攻击信息的工具的功能较为有限;⑤触犯法律问题。下面主要论述解决这些关键问题可能采取的方法。(1)增强系统智能性,动态自适应网络变化。由于采用真实的系统环境实现蜜罐系统,其部署代价大,管理维护困难,而采用虚拟的系统环境实现蜜罐系统,其交互程度低,因此,为了实时地与受保护的目标网络环境保持一致,防止入侵者识别,捕获尽可能多的攻击信息,需要提高模拟服务的质量,增强系统智能性,感知和学习目标网络环境,动态自适应网络变化,自动地进行系统配置。(2)采用分布式蜜罐部署技术,简化部属复杂性。目前在大规模网络环境部署蜜罐系统,其代价和风险仍然较大,管理与维护比较困难,因此需要构建一个开放的分布式蜜罐体系结构,包括层次化、支持分布式处理、统~资源管理、统一用户界面接口、可配置算法服务和工作流、良好的可扩展能力等,构成一个有效的大规模网络安全风险态势感知模型,确保其它业务对攻击数据资源的需求与共享,提高网络整体的安全防护水平。(3)统一数据格式,融合多源信息。多源信息融合是大规模网络环境中安全风险态势感知和攻击分析与趋势预测的重要环节之一。它使得一方面可以及时利用局部获得的采集信息来分析攻击、预测潜在的安全隐患,另一方面又能通过局部信息的汇集与融合对攻击和整体的安全状况进行分析预测并反过来对攻击和局部的安全隐患形成更准确的判断。因而需要用统一的标准来表示和存储从各个子网中采集的攻击信息,并对多源信息进行精化处理与数据挖掘,根据信息的特性选择最优化的融合算法,以提高融合分析的快速性与准确性。(4)自动分析和提取攻击特征。虽然蜜罐采集的攻击数据少而精,但是仍需要专家投入较多的精力和时间,很多有价值的信息要通过专家的手工分析才能得到的,难以满足实际的需要。因此,可以借鉴其它领域中处理数据信息的一些成熟的理论、方法和技术,对蜜罐系统捕获的数据从网络数据流、系统日志、攻击工具、入侵场景等多个层次进行分析,利用可视化、统计分析、机器学习和数据挖掘等方法研究攻击特征,自动识别攻击的工具、策略、动机,提取未知攻击的特征,分析攻击趋势。(5)与各种安全技术整合,构建优势互补的网络安全体系。蜜罐系统只能检测和捕获那些和它进行交互的攻击行为,不能直接防护有漏洞的信息系统,而且其部署会给网络引入一定的安全风险。蜜罐系统与防火墙、入侵检测等其它安全系统协作和联动,有利于提高阻止、检测和响应攻击的能力,弥补单一的安全技术和产品的不足,也是网络安全纵深防御的一个发展趋势。(6)计算机取证和法律问题。蜜罐系统捕获的信息都是与入侵者有关,信息量小,能够迅速找到犯罪证据,因此可以用于计算机取证。蜜罐是一种防御系统,只要不对部署的蜜罐进行宣传,就不会触犯到法律。但是如果蜜罐被黑客用来攻击第三方网络而造成破坏,就会被受害方提出诉讼,因此当黑客利用蜜罐向第三方网络发起攻击时,需要采取强有力的控制措施来避免此风险。5蜜网的作用蜜网的作用主要表现在它的使用价值和研究价值两个方面。我们在进行传统的防护墙开发时,对于谁在攻击、何时被攻击、采用什么方法和手段进行攻击、攻击的目的是什么,这些都是未知数。进行所有可能的全方位的防护?就如同用百万大军来抵御一个盗贼。产品型蜜网可以说是一个真实运行网的拷贝,它完全模拟的仿真,不易被黑客发现。当有入侵发生时及时了解和获得黑客们的信息,实现知己知彼,变被动地受攻击为主动地出击,实现重点防范。其中可以有系统的自动行为,也可有人工参与措施。既实现了有效的防护,又节约了成本。通过跟踪及时准确地记录黑客的攻击信息,获得入侵的犯罪证据。蜜网的引入解决了网络安全中的两大难题。首先,能使我们及时认识到网络安全中的隐患。有了蜜网,就可以将黑客们的时间和精力都耗在对蜜网的攻击上。每次成功攻击都不会影响我们的网络,同时为我们找出了网络安全漏洞以便补漏。可以说是一件变害为宝的好事。其次,解决了证据收集难的问题。在网上客户信息数据交流量十分庞大,要在这茫茫数据海洋中找出黑客信息,并区分其危险等级从而加以防范,确实不是件容易事。然而在蜜网中,都是些黑客或者说有些是误入歧途者,信息量不大,通过跟踪与检测能从中找到不被污染的证据。蜜网的引入解决了网络中的安全与速度的矛盾,给我们带来了效率的提高和使用的方便。蜜网的研究价值并不是进行防御,而是按部就班地记录“黑帽子团体”的攻击过程,记录他们所使用的工具。通过分析就可以找到目前我们还未知的缺陷以及黑客技术的发展。同时也考验我们的阻止、发现和反应是否达到要求。从而改进我们的系统。一般来说研究型蜜网并没有商业化,它通常用于大学、军事、政府安全机构和研究部门等。6结语本文剖析了蜜罐技术的相关概念、分类及其应用,比较了各类系统的优缺点,总结了蜜罐技术近年来的研究进展,重点讨论了近期所面临的一些主要问题及最新成果,并对将来的一些研究工作进行了展望。蜜罐技术是一种应用欺骗思想的主动防御技术。在攻击检测、分析、特征提取、追踪、取证和预警防御等方面已经取得了比较显著的研究成果,展现了广泛的应用前景,是现有安全机制的有力补充。但随着相关应用的发展及需求的不断提升,仍有很多值得研究的问题。随着机器学习、数据挖掘和