蜜罐技術原理

來源:互聯網
上載者:User

1.引言

隨著人類社會生活對Internet需求的日益增長,網路安全逐漸成為Internet及各項網路服務和應用進一步發展的關鍵問題,特別是1993年以後Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網路並將之與Internet聯通。上述上電子商務應用和商業網路中的商業秘密均成為攻擊者的目標。據美國商業雜誌《資訊周刊》公布的一項調查報告稱,駭客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球範圍內每數秒鐘就發生一起網路攻擊事件。2003年夏天,對於運行著Microsoft Windows的成千上萬台主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結於衝擊波蠕蟲的全世界範圍的傳播。

2.蜜罐技術的發展背景

網路與資訊安全技術的核心問題是對電腦系統和網路進行有效防護。網路安全防護涉及面很廣,從技術層面上講主要包括防火牆技術、入侵檢測技術,病毒防護技術,資料加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網路進行攻擊時對系統進行被動的防護。而蜜罐技術可以採取主動的方式。顧名思義,就是用特有的特徵吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析並找到有效對付辦法。(在這裡,可能要聲明一下,剛才也說了,“用特有的特徵去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎麼能吸引他呢?換一種說話,也許就叫誘敵深入了)。

3. 蜜罐的概念

在這裡,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最後被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的資訊。蜜罐不會直接提高電腦網路安全,但是它卻是其他安全性原則所不可替代的一種主動防禦技術。

具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網路安全專家通過精心的偽裝,使得攻擊者在進入到目標系統後仍不知道自己所有的行為已經處於系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全後門以吸引攻擊者上鉤,或者放置一些網路攻擊者希望得到的敏感資訊,當然這些資訊都是虛假的資訊。另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者採用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等資訊,還能對攻擊者的活動範圍以及下一個攻擊目標進行瞭解。同時在某種程度上,這些資訊將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的模擬,可以建立一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。

4.蜜罐的具體分類和體現的安全價值

自從電腦首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基於安全價值上的考慮。但是,可以肯定的就是,蜜罐技術並不會替代其他安全工具,列如防火牆、系統偵聽等。這裡我也就安全方面的價值來對蜜罐技術進行探討。

★ 根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。

① 產品型蜜罐一般運用於商業組織的網路中。它的目的是減輕受組織將受到的攻擊的威脅,蜜罐加強了受保護群組織的安全措施。他們所做的工作就是檢測並且對付惡意的攻擊者。

⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。

⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對於許多組織而言,想要從大量的系統日誌中檢測出可疑的行為是非常困難的。雖然,有入侵偵測系統(IDS)的存在,但是,IDS發生的誤判和漏報,讓系統管理員疲於處理各種警告和誤判。而蜜罐的作用體現在誤判率遠遠低於大部分IDS工具,也務須當心特徵資料庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何串連到蜜罐的串連都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤判率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越複雜的安全偵查工具了。

⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行離線工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的評鑑和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低資料汙染的系統和犧牲系統可以隨時進行離線工作。此時,系統管理員將可以對離線的系統進行分析,並且把分析的結果和經驗運用於以後的系統中。

② 研究型蜜罐專門以研究和擷取攻擊資訊為目的而設計。這類蜜罐並沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面隊各類網路威脅,並尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的資訊。它一般運用于軍隊,安全研究組織。

★ 根據蜜罐與攻擊者之間進行的互動,可以分為3類:低互動蜜罐,中互動蜜罐和高互動蜜罐,同時這也體現了蜜罐發展的3個過程。

① 低互動蜜罐最大的特點是類比。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的類比。由於它的服務都是類比的行為,所以蜜罐可以獲得的資訊非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。

② 中互動是對真正的作業系統的各種行為的類比,它提供了更多的互動資訊,同時也可以從攻擊者的行為中獲得更多的資訊。在這個類比行為的系統中,蜜罐可以看起來和一個真正的作業系統沒有區別。它們是真正系統還要誘人的攻擊目標。

③高互動蜜罐具有一個真實的作業系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT許可權後,受系統,資料真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那麼它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。