蜜罐技术原理及现状研究.docVIP

蜜罐技术原理及现状研究 　　【摘要】 蜜罐是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。它涉及到信息安全诸多技术的灵活应用,能有效弥补传统信息安全防御技术的缺陷,使得防护体系更加完善与安全。介绍了蜜罐技术的主要原理及国内外研究现状,相信在将来蜜罐会在信息安全保障中发挥越来越大的作用。 　　【关键词】 蜜罐;网络欺骗;数据捕获;数据控制 　　 　　一、蜜罐技术的起源 　　蜜罐(Honey pot)是一种采取主动方式的防御技术,其早可追溯到1988年加州大学伯克利分校的Clifford Stoll博士发表的一篇题为“Stalking the Wily Hacker”的论文,描述了在跟踪黑客的过程中利用一些虚假信息的文件引诱黑客,达到检测入侵的目的,这就是蜜罐的最初基本构想。其后Stop博士所写的The Cuckoos Egg为蜜罐的创立奠定了基础。准确定义下的蜜罐是一种专门设计成被扫描、攻击和入侵的网络安全资源,其价值在于被探测、攻击或者摧毁的时候。具体来说它是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。它可以记录黑客进入系统的一切信息,同时混淆黑客攻击目标来保护服务主机的正常运行。蜜罐的主要技术原理包括以下几个方面: 　　第一,网络欺骗。使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。 　　第二,数据捕获。一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。 　　第三,数据分析。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。 　　第四,数据??制。数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。 　　二、蜜罐技术的优缺点 　　蜜罐是一个存在多种漏洞的系统,一旦被入侵后台程序就记录下入侵者的一举一动,从而使管理员能更好地分析入侵者的破坏方式和目标,为今后加强防御提供了珍贵的参考。但它并不是防火墙,相反地,它被狡猾的入侵者反利用来攻击别人的例子屡见不鲜。蜜罐自身需要提供让入侵者乐意停留的漏洞,又要确保后台记录能正常而且隐蔽的运行,这些都需要专业技术,需要对蜜罐的优缺点有明确的认识。 　　蜜罐作为一个入侵记录系统拥有众多的优点:首先蜜罐的误报率低。由于蜜罐没有任何有效行为,所进出的数据大部分是攻击流量,从原理上讲,任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种,因而极大地减少了漏报率和误报率,简化了检测的过程。其次大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击,使用蜜罐技术能够收集到新的攻击工具和攻击方法。再次蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。并且由于它不提供任何实际的作用,相对其他入侵检测技术而言,蜜罐的技术比较简单,使得研究与管理人员能够比较容易地掌握黑客攻击的一些知识,方便使用。最后蜜罐配置灵活, 既可作为独立的安全工具,还可以与其他的安全机制联合使用。不仅可以捕获到防火墙之外的脚本, 还可以发现自己组织中的入侵者;收集的数据和信息具有较强的针对性和研究价值。 　　蜜罐并不是万能的,在使用蜜罐技术时也要注意其局限性:首先蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。因蜜罐技术不能直接防护有漏洞的信息系统,部署蜜罐会带来一定的安全隐患。其次对于一个复杂系统的任何模仿总是与真实系统有所区别,特别是一些低交互性的蜜罐,由于其模拟的服务,很容易被攻击者识别出蜜罐的身份,一旦黑客识别出蜜罐后,可能会避开蜜罐,甚至可能会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使蜜罐与真实的漏洞主机毫无差异。最后蜜罐技术的初衷即是让黑客攻破蜜罐后获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但如果一个高交互性的蜜罐被破坏或利用了,攻击者会尝