基于主动防御的蜜罐技术综述

基于主动防御的蜜罐技术综述汇报人：董娅妮一、蜜罐技术的概念及工作原理1.1蜜罐的定义“蜜网项目组”的创始人LanceSpitzner给出了对蜜罐的权威定义.它是一种安全资源，其价值在于被扫描、攻击和攻陷的系统。这个定义表明了蜜罐并无其它的实际作用，因此所有流入，流出蜜罐网流量都可能预示了扫描、攻击和攻陷。1.2蜜罐的工作原理蜜罐通常是指一个受到严密监控和监听的网络诱骗系统。那些攻击者往往会被这个真实或模拟的网络和服务所诱惑。安全专家和防护人员就可以利用攻击者攻击蜜罐的这个期间对其行为和过程进行分析，以搜集所需要的信息。蜜罐这时可以对新攻击发出预警，同时它还可以延缓攻击诱骗攻击者使其转移攻击目标，从而来保护网络和信息的安全。蜜罐系统的核心价值就是在于这些攻击活动进行监视、检测和分析。只有具备了强大的监视能力，才能更好的捕获攻击者或黑客的行踪和信息。蜜罐技术的监视机制具备隐藏性，保证了追踪攻击者在攻击的实施过程中，能较好的不被攻击者跟踪监视。从而能够更好更安全的获得攻击过程的真实记录，同时也能保证系统的安全。蜜罐其实它是预先设置好的包含漏洞的系统，它的作用就是引诱攻击者对系统进行攻击和入侵。从而来记录黑客进入系统的行踪和信息，同时诱骗和转移攻击者攻击目标来保护服务系统的正常运行。蜜罐的主要技术原理可以从下面几点来阐述口：(1)网络欺骗性：蜜罐技术体系中关键的核心技术就是网络欺骗技术性。常见的功能有模拟服务端口、流量仿真等。(2)数据捕获：一个蜜罐系统一般由三层实现：最外层是由防火墙来对蜜罐的网络连接实现日志记录；中间层由入侵检测系统来实现，获取蜜罐系统内的网络包；最里层的由蜜罐系统的主机来完成，捕获蜜罐主机的系统Et志等信息。(3)数据分析：对数据进行分析是蜜罐技术中的难点。数据分析中分别包括对网络协议分析以及网络行为分析和入侵报警等。(4)数据控制：数据控制作为是蜜罐的核心功能之一，是为了保障蜜罐自身的安全。蜜罐的本身设置就是主动引诱网络击者，而成为的攻击目标。如果蜜罐被攻破，反而会成为入侵者利用作为攻击其他系统的跳板，因而对于数据的控制安全陛要高。二、蜜罐技术的分类和蜜罐工具为了尝试和研究这种主动的防御技术，研究人员和安全专家就不断地研制和使用着各种各样的蜜罐工具。目前蜜罐产品有很多，本文从蜜罐的部署的目的和蜜罐的交互性两个角度来对蜜罐产品进行分类。(1)根据蜜罐的部署目的不同，可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。①产品型蜜罐一般应用于商业组织的网络系统中。它的目的是在于为一个组织网络提供安全保护。这些保护可以包括检测攻击、防止攻击造成的破坏等。同时还可以协助管理员根据具体的情况做出必要的措施，从而在一定程度上起到了保护组织的安全措施。②研究型蜜罐则与产品型蜜罐有所不同，它是专门针对攻击者的捕获和分析，这种蜜罐能对攻击者进行追踪和分析，能够较好地捕获记录与信息，从而掌握攻击者的想法和心理状态，为管理员和安全专家做出决策提供帮助。(2)蜜罐还可按照其交互度的等级可划分为两类：低交互蜜罐和高交互蜜罐。①低交互蜜罐最大的特点是模拟现实环境。蜜罐为攻击者提供攻击的目标不是真实的对象，即是不是真正的产品系统。而是对各种系统及其提供服务的模拟环境，正是这特性，因而它是最安全的蜜罐类型，但它也存在缺陷就是它收集的信息是比较有限的。②高交互蜜罐具有一个真实的操作系统，它完全提供真实的操作系统和网络环境，它没有任何的模拟。它是一种针对性的工具，专门用来以获取攻击信息为目的。在这类蜜罐中，能够获取更多的攻击者的攻击信息。缺点就是为攻击者提供了更广阔的自由空间，从而增加了是被入侵的风险。三、蜜罐技术的优势与存在的问题3.1优势基于蜜罐技术的原理，蜜罐技术具有以下优势：(1)具有高度分析价值的小数量集：蜜罐系统的优点之一就是它们大大减少了所要分析的数据。对于通常的网站或邮件服务器，攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量。(2)极低(近乎为0)的误报率：蜜罐技术在防护功能方面是相对比较弱，然而它却具有较强的检测功能。有人认为，目前入侵检测系统(IDS)可以进行入侵检测。但由于IDS的误报和漏报率比较高，往往系统会出现各种警告和误报。而蜜罐技术的误报率却远远低于市场上大部分IDS工具，从而使其在这方面具有优势。(3)资源需求低，投入低而产出大：当安全资源突然剧增的时候而容易耗尽导致资源失效。如果使用防火墙，它容易使其在连接数据库溢出时容易发生失效。这样一来，它就无法再发挥应有的监控功能。但这类问题，对于蜜罐技术来说一般是不会碰到。(4)原理简单，简单往往意味着实用：简单性是蜜罐的最大优势，不需要开发复杂新奇的算法，不需要维护特征数据库。只要配置好Honeypot，把它放在网络中，坐着等待就可以了。对于系统而言，一般来说，越简单其工作的可靠性越好。3.2存在的潜在的问题(1)在可识别性方面：在部署一个蜜罐时，对于它的保密是非常重要的。尽量避免让每个人都知道设置了一个这样的陷阱，这样就会减少或不会有人故意尝试攻击它。当然除了一些自动化的攻击工具(如蠕虫)以外。还有就是对于一些低交互性的蜜罐，由于其独特模拟服务的特性，不法分子很容易就识别出这些蜜罐的身份，从而使其容易受到攻击。(2)在局限性方面：蜜罐技术有其限制性，它只能对针对蜜罐的攻击行为进行监视和分析，其监控范围较有限，不具备入侵检测系统那样，它不能够通过旁路侦听等技术来对整个网络进行监控和监听。(3)在风险性方面：这是一个不容忽视的问题。因为对于高交互性的蜜罐，如果它被破坏或利用了，那么攻击者会尝试利用他它，用它去破坏和控制其它的系统。这样一来，反而成为攻击者的“帮凶”。一般情况下，蜜罐技术应该借助其它的机制来避免这一点的发生，从而减少对第三者和用户不必要的损害，这点是操作人员特别要注意和加强防范的方面。四、蜜罐及蜜罐技术的发展趋势虽然，蜜罐技术经过经历了近20年的不断发展，为网络和信息安全的保护发挥了不小的作用。从上文可知，由于蜜罐技术自身存在的问题和不足之处，它在网络和信息安全方面的大规模应用仍受到很多问题的困扰。蜜罐技术要在未来的发展发挥更大作用，就必须不断的发展和更新。(1)与其他技术的结合：任何事物的存在都会有利弊，蜜罐技术的发展也是伴随着各种不同的观点而不断的成长的。蜜罐在检测和分析攻击方面虽然有其优势性，然而我们也要看到攻击者也会利用相关的手段来对付检测和避免蜜罐。因此我们的网络并不安全，而IDS，FIREWALL，Encryption技术都有其缺陷性，我们期待它们与蜜罐的完美结合。(2)适合的跨平台服务的蜜罐技术：目前网络系统平台不仅是简单的同构平台，面临是更多的是复杂的多种异构的平台。因此我们的蜜罐技术要发挥更好的功能，就必须使它不但要适应在同种结构平台上，还要适应在不同的异构平台上。因此设计具有跨平台的数据分析中间件，并且选择良好的融合算法，具有很大的现实价值。(3)提高系统的隐蔽和伪装性：相对于蜜罐与蜜罐技术来说，系统平台(特别是客户端)的安全性是第一道关口。如果系统平台是处于高风险状态下，那对于整个网络系统来说依然是比较脆弱的。因此加强和提高系统安全性、隐蔽性和伪装性就显得尤为重要。(4)重视网络交互性时安全性：既要获得更多价值的信息的同时，又要求系统保持足够的安全，是一件比较头疼的事。一般来说，交互的程度越高，越是容易使自己陷入危险的范围，从而加大了风险的系数。因此对于重视和加强网络交互式的安全性，这点是不可缺少的重要部分。五、小结蜜罐技术作为一种新兴的主动防御技术，是现有安全机制的有力补充。但现在它还处于初级阶段，有着广泛的研究和发展前景。在过去的这几年里，安全人员利用各种蜜罐技术，为网络和信息安全的保护立下了不小的功劳。笔者相信蜜罐技术的潜力还远远没在实际运用中得到应有的体现。在今后不断的更新和发展，蜜罐技术一定会担负其网络与信息安全防御的重要责任。六、参考文献[1]梁兴柱-网络安全蜜罐技术研究与实现[D]．大庆石油学院硕士学位论文．2006．[2]姚东铌．蜜罐技术的原理及现状研究卟企业导报，2010，(6)．[3]陈超，妙全兴凄罐技术研究计算机安全，2009，(8)：33—34，37．[4]程杰仁，殷建平．蜜罐及蜜网技术研究发展卟计算机研究与发展，2008，45(增刊)：375—378．[5]徐向阳．蜜罐技术分析及发展趋势研究,光盘技术，2006，(4)谢谢！