蜜罐技术详解案例分析.docVIP

1.引言 随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称，黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失，在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天，对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦！也给广大网民留下了悲伤的回忆，这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。（在这里，可能要声明一下，刚才也说了，“用特有的特征去吸引攻击者”，也许有人会认为你去吸引攻击者，这是不是一种自找麻烦呢，但是，我想，如果攻击者不对你进行攻击的话，你又怎么能吸引他呢？换一种说话，也许就叫诱敌深入了）。 3. 蜜罐的概念 在这里，我们首先就提出蜜罐的概念。美国 L．Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，但是它却是其他安全策略所不可替代的一种主动防御技术4.蜜罐的具体分类和体现的安全价值 自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各样的蜜罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，前面已经提到，使用蜜罐技术是基于安全价值上的考虑。但是，可以肯定的就是，蜜罐技术并不会替代其他安全工具，如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜罐技术进行探讨。 ★ 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。 ① 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的攻击者。 ⑴这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒之门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在系统之外，实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。 ⑵虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系统（IDS）的存在，但是，IDS发生的误报和漏报，让系统管理员疲于处理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具，也务须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为一个越来越复杂的安全检测工具了。 ⑶如果组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务都将被停止，同时，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的结果和经验运用于以后的系统中。 ② 研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。 ★ 根据蜜罐与攻击者之间进行的交互，可以分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同时这也体现了蜜罐发展的3个过程。 ① 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型