欺骗性安全防御技术--蜜罐地研究.pdfVIP

欺骗性安全防御技术～蜜罐的研究 李远玲 王东霞 李杰 北京系统工程研究所，100101 摘要：本文介绍了信息系统安全中新型的欺骗性防御技术一蜜罐，在对其现 状和发展进行描述的基础上，对蜜罐的思想和其中的关键技术进行了研究分 析．力图对蜜罐技术提供一个较为全面的认识。 关键词：信息系统欺骗性安全防御技术蜜罐蜜网 一、引言 在信息系统的安全方面，技术在不断提高，安全模型也在不断发展。网 络安全从被动的舫护，到增加入侵检测和响应，以及出现了预先的主动安全 防御措施。传统意义上的信息安全机制，一般都是被动防御性质的，比如防 火墙、入侵检测系统、加密等，它们的策略是考虑系统可能出现哪些问题， 然后针对问题一一进行分析解决，从丽保护我们的信息资源。而目前，一些 研究机构提出了欺骗性安全防御技术，为安全防御措施增加了主动性。这些 欺骗性安全防御技术主要通过设置与真实的系统相似的欺骗性目标，使攻击 者相信信息系统存在可利用的安全脆弱性，并具有一些有价值的、可攻击窃 取的资源，将攻击者引向这些资源，使其偏离正确目标。同时，它也能够显 著地增加攻击者的工作量、入侵复杂度以及不确定性，从而使攻击者不知道 其进攻是否奏效或成功，影响其攻击其它系统。此外，它还可以对攻击者的 行为进行跟踪、记录和分析，在攻击者入侵真正的系统之前修补系统可能存 在的安全漏洞，从而使得对目标的探测和攻击增加了难度，提高了系统的安 全性。 关于欺骗性安全防御措施的研究，在计算机和Intemet安全领域很早就有 一些较小和零散的思想或技术，而比较系统化的、最主要的欺骗性安全防御 措施就是所谓的蜜罐(Honeypot)技术。 二、蜜罐的发展现状 1989年和1990年，CliffordStoll和Bill Cheswick首先论述了蜜罐是唯一 的被设计来作为被攻击资源的安全技术。蜜罐最初的目的之一是为了起诉恶 意黑客而搜集证据。在过去的几年里，信息安全团体日益认识到蜜罐的价值。 作为一个新的研究领域．关于蜜罐是什么有着不同的解释，一些人觉得它是 213 引诱和欺骗攻击者的一个解决方案：另一些人认为它是用来探查攻击的一个 技术：还有一些人感到蜜罐是一个真实的计算机，它故意被设计成让攻击者 窃用它的数据，从而获悉攻击者的意图。总的来说蜜罐是一个非常灵活的技 术，并不局限于仅仅解决一个问题，而是能够满足各种不同的目标。与防火 墙技术或入侵检测系统(DS)有所不同，蜜罐属于新的一代安全防御技术， 能够发挥不同的作用。 近年来，国际上对蜜罐的研究十分热门，己开发出了一些不同用途的蜜 罐，它们的功能和使用的难易程度有很大差别。根据目的和用法的不同，蜜 罐主要可以分为两种类型：产品型蜜罐和研究型蜜罐。产品型蜜罐被作为安 全产品开发，可用来保护用户的网络，直接增加网络的安全性。研究型蜜罐 不同，他们主要被用来收集信息，所收集的信息随后可以被用于不同的目的， 比如早期的警告和预防，情报收集，或法律的实施。 由于蜜罐的研究还处于较新的阶段，没有标准的方法，多是一些自定义 的解决方案，这些解决方案提供了一定程度的自由度、灵活性和不同的着重 点，可以覆盖范围很广的攻击和攻击者。目前，对于产品型和研究型蜜罐， 都有一些可以利用的蜜罐解决方案。ManTrap、Neffacade、SmokeDetector和 Specter等都是能够用来探奁攻击的商业性蜜罐。MmTmp是目前唯一的提供 完整的操作系统让攻击者与之交互的商业性蜜罐，它捕捉攻击者的每一个动 作，并有显著的数据收集能力：Neffacade是1999年开发的，它能够同时模 拟不同的操作系统：smokc龇ctor是一个蜜罐设备，有大量的检测和模拟能 力：specteI。运行于Windows上，可以模拟13种不同的操作系统，监控14个 TCP端口。另外，一些组织和个人还提供了一些免费蜜罐和开放源代码蜜罐， 它们的设计体现了开发者不同的目标和思想。例如：Dec印tion‰lkit．在1997 年发布，它是第一个开放源代码蜜罐，能够仿真模拟各种监听服务，主要目 免费蜜罐，类似一个“夜盗警铃”，容易使用，但比较简单——散能监听七个 端口：Honeyd是一个新的开放源代码蜜罐，在2002年发布，专为un政平台 设计的．它引入了各种新的概念，包括能够