蜜罐信息采集技術(shù)分析

1、蜜罐信息采集技術(shù)分析摘要蜜罐是一種主動(dòng)防御的網(wǎng)絡(luò)平安技術(shù)，可以吸引黑客的攻擊，監(jiān)視和跟蹤入侵者的行為并且記錄下來(lái)進(jìn)展分析，從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術(shù)的根本概念，分析了蜜罐的平安價(jià)值，詳細(xì)研究了蜜罐的信息搜集技術(shù)，同時(shí)也討論了蜜罐系統(tǒng)面臨的平安威脅與防御對(duì)策。關(guān)鍵字蜜罐，交互性，入侵檢測(cè)系統(tǒng)，防火墻1引言如今網(wǎng)絡(luò)平安面臨的一個(gè)大問題是缺乏對(duì)入侵者的理解。即誰(shuí)正在攻擊、攻擊的目的是什么、如何攻擊以及何時(shí)進(jìn)展攻擊等，而蜜罐為平安專家們提供一個(gè)研究各種攻擊的平臺(tái)。它是采取主動(dòng)的方式，用定制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡(luò)中比擬重要的機(jī)器上轉(zhuǎn)移開，同時(shí)在黑客攻擊蜜

2、罐期間對(duì)其行為和過程進(jìn)展深化的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，理解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律等。2蜜罐技術(shù)根底2.1蜜罐的定義蜜罐是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和效勞來(lái)吸引攻擊，從而在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)展分析，以搜集信息，對(duì)新攻擊發(fā)出預(yù)警，同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目的。蜜罐在編寫新的IDS特征庫(kù)、發(fā)現(xiàn)系統(tǒng)破綻、分析分布式回絕效勞DDS攻擊等方面是很有價(jià)值的。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的平安性，將蜜罐和現(xiàn)有的平安防衛(wèi)手段如入侵檢測(cè)系統(tǒng)(IDS)、防火墻(Fireall)、殺毒軟件等結(jié)合使用，可以有效進(jìn)步系統(tǒng)平安性。2.2蜜罐的分

3、類根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：蜜罐的交互程度LevelfInvlveent指攻擊者與蜜罐互相作用的程度。低交互蜜罐只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真效勞，在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包，提供少量的交互功能，黑客只能在仿真效勞預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒有真正的操作系統(tǒng)和效勞，構(gòu)造簡(jiǎn)單，部署容易，風(fēng)險(xiǎn)很低，所能搜集的信息也是有限的。中交互蜜罐也不提供真實(shí)的操作系統(tǒng)，而是應(yīng)用腳本或小程序來(lái)模擬效勞行為，提供的功能主要取決于腳本。在不同的端口進(jìn)展監(jiān)聽，通過更多和更復(fù)雜的互動(dòng)，讓攻擊者會(huì)產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺，可以搜集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬效勞和破綻時(shí)并不產(chǎn)生新

4、的真實(shí)破綻，而給黑客浸透和攻擊真實(shí)系統(tǒng)的時(shí)機(jī)。高交互蜜罐由真實(shí)的操作系統(tǒng)來(lái)構(gòu)建，提供應(yīng)黑客的是真實(shí)的系統(tǒng)和效勞。給黑客提供一個(gè)真實(shí)的操作系統(tǒng)，可以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作，獲得大量的有用信息，包括完全不理解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆_放的系統(tǒng)給黑客，也就帶來(lái)了更高的風(fēng)險(xiǎn)，即黑客可能通過這個(gè)開放的系統(tǒng)去攻擊其他的系統(tǒng)。2.3蜜罐的拓?fù)湮恢妹酃薇旧碜鳛橐粋€(gè)標(biāo)準(zhǔn)效勞器對(duì)周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要。理論上可以布置在網(wǎng)絡(luò)的任何位置。但是不同的位置其作用和功能也是不盡一樣。假如用于內(nèi)部或私有網(wǎng)絡(luò)，可以放置在任何一個(gè)公共數(shù)據(jù)流經(jīng)的節(jié)點(diǎn)。如用于互聯(lián)網(wǎng)的連接，蜜罐可以位于防火墻前面，也可以

5、是后面。防火墻之前：如見圖1中蜜罐1,蜜罐會(huì)吸引象端口掃描等大量的攻擊，而這些攻擊不會(huì)被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會(huì)由蜜罐本身來(lái)記錄。因?yàn)槲挥诜阑饓χ猓杀灰暈橥獠烤W(wǎng)絡(luò)中的任何一臺(tái)普通的機(jī)器，不用調(diào)整防火墻及其它的資源的配置，不會(huì)給內(nèi)部網(wǎng)增加新的風(fēng)險(xiǎn)，缺點(diǎn)是無(wú)法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也限制了蜜罐的對(duì)內(nèi)網(wǎng)信息搜集。防火墻之后：如圖1中蜜罐2，會(huì)給內(nèi)部網(wǎng)帶來(lái)平安威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火墻來(lái)與蜜罐相隔離。蜜罐提供的效勞，有些是互聯(lián)網(wǎng)的輸出效勞，要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可防止地調(diào)整防火墻規(guī)那么，因此要慎重設(shè)置，保證這些數(shù)據(jù)可以通過防火墻進(jìn)入蜜罐而不

6、引入更多的風(fēng)險(xiǎn)。優(yōu)點(diǎn)是既可以搜集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點(diǎn)是一旦蜜罐被外部攻擊者攻陷就會(huì)危害整個(gè)內(nèi)網(wǎng)。還有一種方法，把蜜罐置于隔離區(qū)DZ內(nèi)，如圖1中蜜罐3。隔離區(qū)只有需要的效勞才被允許通過防火墻，因此風(fēng)險(xiǎn)相對(duì)較低。DZ內(nèi)的其它系統(tǒng)要平安地和蜜罐隔離。此方法增加了隔離區(qū)的負(fù)擔(dān)，詳細(xì)施行也比擬困難。3蜜罐的平安價(jià)值蜜罐是增強(qiáng)現(xiàn)有平安性的強(qiáng)大工具，是一種理解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR動(dòng)態(tài)平安模型，從防護(hù)、檢測(cè)和響應(yīng)三方面分析蜜罐的平安價(jià)值。防護(hù)蜜罐在防護(hù)中所做的奉獻(xiàn)很少，并不會(huì)將那些試圖攻擊的入侵者拒之門外。事實(shí)上蜜罐設(shè)計(jì)的初衷就是妥協(xié)，希望有人闖入系

7、統(tǒng)，從而進(jìn)展記錄和分析。有些學(xué)者認(rèn)為誘騙也是一種防護(hù)。因?yàn)檎T騙使攻擊者花費(fèi)大量的時(shí)間和資源對(duì)蜜罐進(jìn)展攻擊，從而防止或減緩了對(duì)真正系統(tǒng)的攻擊。檢測(cè)蜜罐的防護(hù)功能很弱，卻有很強(qiáng)的檢測(cè)功能。因?yàn)槊酃薇旧頉]有任何消費(fèi)行為，所有與蜜罐的連接都可認(rèn)為是可疑行為而被紀(jì)錄。這就大大降低誤報(bào)率和漏報(bào)率，也簡(jiǎn)化了檢測(cè)的過程。如今的網(wǎng)絡(luò)主要是使用入侵檢測(cè)系統(tǒng)IDS來(lái)檢測(cè)攻擊。面對(duì)大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡(luò)，要從海量的網(wǎng)絡(luò)行為中檢測(cè)出攻擊是很困難的，有時(shí)并不能及時(shí)發(fā)現(xiàn)和處理真正的攻擊。高誤報(bào)率使IDS失去有效的報(bào)警作用，蜜罐的誤報(bào)率遠(yuǎn)遠(yuǎn)低于大局部IDS工具。另外目前的IDS還不可以有效地對(duì)新型攻擊方法進(jìn)展

8、檢測(cè)，無(wú)論是基于異常的還是基于誤用的，都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報(bào)問題，使用蜜罐的主要目的就是檢測(cè)新的攻擊。響應(yīng)蜜罐檢測(cè)到入侵后可以進(jìn)展響應(yīng)，包括模擬回應(yīng)來(lái)引誘黑客進(jìn)一步攻擊，發(fā)出報(bào)警通知系統(tǒng)管理員，讓管理員適時(shí)的調(diào)整入侵檢測(cè)系統(tǒng)和防火墻配置，來(lái)加強(qiáng)真實(shí)系統(tǒng)的保護(hù)等。4蜜罐的信息搜集要進(jìn)展信息分析，首先要進(jìn)展信息搜集，下面分析蜜罐的數(shù)據(jù)捕獲和記錄機(jī)制。根據(jù)信息捕獲部件的位置，可分為基于主機(jī)的信息搜集和基于網(wǎng)絡(luò)的信息搜集。4.1基于主機(jī)的信息搜集基于主機(jī)的信息搜集有兩種方式，一是直接記錄進(jìn)出主機(jī)的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來(lái)監(jiān)視蜜罐的狀態(tài)信息，即所謂“Pe

9、eking機(jī)制。記錄數(shù)據(jù)流直接記錄數(shù)據(jù)流實(shí)現(xiàn)一般比擬簡(jiǎn)單，主要問題是在哪里存儲(chǔ)這些數(shù)據(jù)。搜集到的數(shù)據(jù)可以本地存放在密罐主機(jī)中，例如把日志文件用加密技術(shù)放在一個(gè)隱藏的分區(qū)中。本地存儲(chǔ)的缺點(diǎn)是系統(tǒng)管理員不能及時(shí)研究這些數(shù)據(jù)，同時(shí)保存的日志空間可能用盡，系統(tǒng)就會(huì)降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會(huì)理解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。因此，將攻擊者的信息存放在一個(gè)平安的、遠(yuǎn)程的地方相對(duì)更合理。以通過串行設(shè)備、并行設(shè)備、USB或Fireire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程日志效勞器，也可以使用專門的日志記錄硬件設(shè)備。數(shù)據(jù)傳輸時(shí)采用加密措施。采用“Peeking機(jī)制這種

10、方式和操作系統(tǒng)親密相關(guān)，實(shí)現(xiàn)相比照擬復(fù)雜。對(duì)于微軟系列操作系統(tǒng)來(lái)說(shuō)，系統(tǒng)的源代碼是很難得到，對(duì)操作系統(tǒng)的更改很困難，無(wú)法以透明的方式將數(shù)據(jù)搜集構(gòu)造與系統(tǒng)內(nèi)核相結(jié)合，記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理員一般只能觀察運(yùn)行的進(jìn)程，檢查日志和應(yīng)用D-5檢查系統(tǒng)文件的一致性。對(duì)于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源代碼形式得到，那么為數(shù)據(jù)搜集提供更多的時(shí)機(jī)，可以在源代碼級(jí)上改寫記錄機(jī)制，再重新編譯參加蜜罐系統(tǒng)中。需要說(shuō)明，盡管對(duì)于攻擊者來(lái)說(shuō)二進(jìn)制文件的改變是很難發(fā)覺，一個(gè)高級(jí)黑客還是可能通過如下的方法探測(cè)到：D-5檢驗(yàn)和檢查：假如攻擊者有一個(gè)和蜜罐比照的參照系統(tǒng)，就會(huì)計(jì)算所

11、有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn)制文件的D-5校驗(yàn)和來(lái)測(cè)試蜜罐。庫(kù)的依賴性和進(jìn)程相關(guān)性檢查：即使攻擊者不知道原始的二進(jìn)制系統(tǒng)確實(shí)切構(gòu)造，仍然能應(yīng)用特定程序觀察共享庫(kù)的依賴性和進(jìn)程的相關(guān)性。例如，在UNIX操作系統(tǒng)中，超級(jí)用戶能應(yīng)用truss或strae命令來(lái)監(jiān)視任何進(jìn)程，當(dāng)一個(gè)象grep用來(lái)文本搜索的命令突然開場(chǎng)與系統(tǒng)日志記錄進(jìn)程通信，攻擊者就會(huì)警覺。庫(kù)的依賴性問題可以通過使用靜態(tài)聯(lián)接庫(kù)來(lái)解決。轉(zhuǎn)貼于論文聯(lián)盟.ll.另外假如黑客攻陷一臺(tái)機(jī)器，一般會(huì)安裝所謂的后門工具包，這些文件會(huì)代替機(jī)器上原有的文件，可能會(huì)使蜜罐搜集數(shù)據(jù)才能降低或干脆失去。因此應(yīng)直接把數(shù)據(jù)搜集直接融入U(xiǎn)NIX內(nèi)核，這樣攻擊者很難探測(cè)到。修改U

12、NIX內(nèi)核不象修改UNIX系統(tǒng)文件那么容易，而且不是所有的UNIX版本都有源代碼形式的內(nèi)核。不過一旦源代碼可用，這是布置和隱藏?cái)?shù)據(jù)搜集機(jī)制有效的方法。4.2基于網(wǎng)絡(luò)的信息搜集基于主機(jī)的信息搜集定位于主機(jī)本身，這就很容易被探測(cè)并終止?；诰W(wǎng)絡(luò)的信息搜集將搜集機(jī)制設(shè)置在蜜罐之外，以一種不可見的方式運(yùn)行，很難被探測(cè)到，即使探測(cè)到也難被終止,比基于主機(jī)的信息搜集更為平安。可以利用防火墻和入侵檢測(cè)系統(tǒng)從網(wǎng)絡(luò)上來(lái)搜集進(jìn)出蜜罐的信息。防火墻可以配置防火墻記錄所有的出入數(shù)據(jù)，供以后仔細(xì)地檢查。用標(biāo)準(zhǔn)文件格式來(lái)記錄，如Linux系統(tǒng)的tpdup兼容格式，可以有很多工具軟件來(lái)分析和解碼錄制的數(shù)據(jù)包。也可以配置防火

13、墻針對(duì)進(jìn)出蜜罐數(shù)據(jù)包觸發(fā)報(bào)警，這些警告可以被進(jìn)一步提煉而提交給更復(fù)雜的報(bào)警系統(tǒng)，來(lái)分析哪些效勞己被攻擊。例如，大局部利用破綻的程序都會(huì)建立一個(gè)shell或翻開某端口等待外來(lái)連接，防火墻可以記錄那些試圖與后門和非常規(guī)端口建立連接的企圖并且對(duì)發(fā)起源的IP告警。防火墻也是數(shù)據(jù)統(tǒng)計(jì)的好地方，進(jìn)出數(shù)據(jù)包可被計(jì)數(shù)，研究黑客攻擊時(shí)的網(wǎng)絡(luò)流量是很有意義的。入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NIDS在網(wǎng)絡(luò)中的放置方式使得它可以對(duì)網(wǎng)絡(luò)中所有機(jī)器進(jìn)展監(jiān)控。可以用HIDS記錄進(jìn)出蜜罐的所有數(shù)據(jù)包，也可以配置NIDS只去捕獲我們感興趣的數(shù)據(jù)流。在基于主機(jī)的信息搜集中，高明的入侵者會(huì)嘗試闖入遠(yuǎn)程的日志效勞器試圖刪除他們的入侵記

14、錄，而這些嘗試也正是蜜罐想要理解和捕獲的信息。即使他們成功刪除了主機(jī)內(nèi)的日志，NIDS還是在網(wǎng)內(nèi)靜靜地被動(dòng)捕獲著進(jìn)出蜜罐的所有數(shù)據(jù)包和入侵者的所有活動(dòng)，此時(shí)NIDS充當(dāng)了第二重的遠(yuǎn)程日志系統(tǒng)，進(jìn)一步確保了網(wǎng)絡(luò)日志記錄的完好性。當(dāng)然，不管是基于誤用還是基于異常的NIDS都不會(huì)探測(cè)不到所有攻擊，對(duì)于新的攻擊方式，特征庫(kù)里將不會(huì)有任何的特征，而只要攻擊沒有反常情況，基于異常的NIDS就不會(huì)觸發(fā)任何警告，例如慢速掃描，因此要根據(jù)蜜罐的實(shí)際需要來(lái)調(diào)整IDS配置。始終實(shí)時(shí)觀察蜜罐費(fèi)用很高，因此將優(yōu)秀的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和蜜罐結(jié)合使用是很有用的。4.3主動(dòng)的信息搜集信息也是可以主動(dòng)獲得，使用第三方的機(jī)器或效勞

15、甚至直接針對(duì)攻擊者反探測(cè)，如his，Prtsan等。這種方式很危險(xiǎn)，容易被攻擊者發(fā)覺并分開蜜罐，而且不是蜜罐所研究的主要范疇。5蜜罐的平安性分析5.1蜜罐的平安威脅必須意識(shí)到運(yùn)行蜜罐存在的一定的風(fēng)險(xiǎn)，有三個(gè)主要的危險(xiǎn)是：未發(fā)現(xiàn)黑客對(duì)蜜罐的接收蜜罐被黑客控制并接收是非常嚴(yán)重的，這樣的蜜罐已毫無(wú)意義且充滿危險(xiǎn)。一個(gè)蜜罐被攻陷卻沒有被蜜罐管理員發(fā)現(xiàn)，那么蜜罐的監(jiān)測(cè)設(shè)計(jì)存在著缺陷。對(duì)蜜罐失去控制對(duì)蜜罐失去控制也是一個(gè)嚴(yán)重的問題，一個(gè)優(yōu)秀的蜜罐應(yīng)該可以隨時(shí)平安地終止進(jìn)出蜜罐的任何通訊，隨時(shí)備份系統(tǒng)狀態(tài)以備以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。操作者不應(yīng)該依靠與蜜罐本身相關(guān)的任何機(jī)器。虛擬機(jī)

16、同樣存在危險(xiǎn)，黑客可能打破虛擬機(jī)而進(jìn)入主機(jī)操作系統(tǒng)，因此虛擬蜜罐系統(tǒng)的主機(jī)同樣是不可信的。失去控制的另一方面是指操作者被黑客迷惑。如黑客成心制造大量的攻擊數(shù)據(jù)和未過濾的日志事件以致管理員不能實(shí)時(shí)跟蹤所有的活動(dòng)，黑客就有時(shí)機(jī)攻擊真正目的。對(duì)第三方的損害指攻擊者可能利用蜜罐去攻擊第三方，如把蜜罐作為跳板和中繼發(fā)起端口掃描、DDS攻擊等。5.2降低蜜罐的風(fēng)險(xiǎn)首先，要根據(jù)實(shí)際需要選擇最低平安風(fēng)險(xiǎn)的蜜罐。事實(shí)上并不總是需要高交互蜜罐，如只想發(fā)現(xiàn)公司內(nèi)部的攻擊者及誰(shuí)探查了內(nèi)部網(wǎng)，中低交互的蜜罐就足夠了。如確實(shí)需要高交互蜜罐可嘗試?yán)脦Х阑饓Φ拿劬W(wǎng)而不是單一的蜜罐。其次，要保證攻擊蜜罐所觸發(fā)的警告應(yīng)當(dāng)可以立

17、即發(fā)送給蜜罐管理員。如探測(cè)到對(duì)rt權(quán)限的嘗試攻擊就應(yīng)當(dāng)在記錄的同時(shí)告知管理員，以便采取行動(dòng)。要保證能隨時(shí)關(guān)閉蜜罐，作為最后的手段，關(guān)閉掉失去控制的蜜罐，阻止了各種攻擊，也停頓了信息搜集。相對(duì)而言保護(hù)第三方比擬困難，蜜罐要與全球的網(wǎng)絡(luò)交互作用才具有吸引力而返回一些有用的信息，回絕向外的網(wǎng)絡(luò)交通就不會(huì)引起攻擊者太大的興趣，而一個(gè)開放的蜜罐資源在黑客手里會(huì)成為有力的攻擊跳板，要在二者之間找到平衡，可以設(shè)置防火墻對(duì)外向連接做必要的限定：在給定時(shí)間間隔只允許定量的IP數(shù)據(jù)包通過。在給定時(shí)間間隔只允許定量的TPSYN數(shù)據(jù)包。限定同時(shí)的TP連接數(shù)量。隨機(jī)地丟掉外向IP包。這樣既允許外向交通，又防止了蜜罐系統(tǒng)

18、成為入侵者攻擊別人的跳板。如需要完全回絕到某個(gè)端口的外向交通也是可以的。另一個(gè)限制方法是布置基于包過濾器的IDS，丟棄與指定特征相符的包，如使用Hgash包過濾器。6結(jié)語(yǔ)蜜罐系統(tǒng)是一個(gè)比擬新的平安研究方向。相對(duì)于其它平安機(jī)制，蜜罐使用簡(jiǎn)單，配置靈敏，占用的資源少，可以在復(fù)雜的環(huán)境下有效地工作，而且搜集的數(shù)據(jù)和信息有很好的針對(duì)性和研究?jī)r(jià)值。既能作為獨(dú)立的平安信息工具，還可以與其他的平安機(jī)制協(xié)作使用，取長(zhǎng)補(bǔ)短地對(duì)入侵進(jìn)展檢測(cè)，查找并發(fā)現(xiàn)新型攻擊和新型攻擊工具。蜜罐也有缺點(diǎn)和缺乏，主要是搜集數(shù)據(jù)面比擬狹窄和給使用環(huán)境引入了新的風(fēng)險(xiǎn)。面對(duì)不斷改良的黑客技術(shù)，蜜罐技術(shù)也要不斷地完善和更新。參考文獻(xiàn)1熊華,郭世澤等.網(wǎng)