蜜罐信息采集技術(shù)分析

1、蜜罐信息采集技術(shù)分析摘要蜜罐是一種主動(dòng)防御的網(wǎng)絡(luò)平安技術(shù)，可以吸引黑客的攻擊，監(jiān)視和跟蹤入侵者的行為并且記錄下來進(jìn)展分析，從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術(shù)的根本概念，分析了蜜罐的平安價(jià)值，詳細(xì)研究了蜜罐的信息搜集技術(shù)，同時(shí)也討論了蜜罐系統(tǒng)面臨的平安威脅與防御對(duì)策。關(guān)鍵字蜜罐，交互性，入侵檢測(cè)系統(tǒng)，防火墻1引言如今網(wǎng)絡(luò)平安面臨的一個(gè)大問題是缺乏對(duì)入侵者的理解。即誰正在攻擊、攻擊的目的是什么、如何攻擊以及何時(shí)進(jìn)展攻擊等，而蜜罐為平安專家們提供一個(gè)研究各種攻擊的平臺(tái)。它是采取主動(dòng)的方式，用定制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡(luò)中比較重要的機(jī)器上轉(zhuǎn)移開，同時(shí)在黑客攻擊蜜

2、罐期間對(duì)其行為和過程進(jìn)展深化的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，理解黑客和黑客團(tuán)體的背景、目的、活動(dòng)規(guī)律等。2蜜罐技術(shù)根底2.1蜜罐的定義蜜罐是指受到嚴(yán)密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng)，通過真實(shí)或模擬的網(wǎng)絡(luò)和效勞來吸引攻擊，從而在黑客攻擊蜜罐期間對(duì)其行為和過程進(jìn)展分析，以搜集信息，對(duì)新攻擊發(fā)出預(yù)警，同時(shí)蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目的。蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)破綻、分析分布式回絕效勞DDS攻擊等方面是很有價(jià)值的。蜜罐本身并不直接增強(qiáng)網(wǎng)絡(luò)的平安性，將蜜罐和現(xiàn)有的平安防衛(wèi)手段如入侵檢測(cè)系統(tǒng)(IDS)、防火墻(Fireall)、殺毒軟件等結(jié)合使用，可以有效進(jìn)步系統(tǒng)平安性。2.2蜜罐的分

3、類根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：蜜罐的交互程度LevelfInvlveent指攻擊者與蜜罐互相作用的程度。低交互蜜罐只是運(yùn)行于現(xiàn)有系統(tǒng)上的一個(gè)仿真效勞，在特定的端口監(jiān)聽記錄所有進(jìn)入的數(shù)據(jù)包，提供少量的交互功能，黑客只能在仿真效勞預(yù)設(shè)的范圍內(nèi)動(dòng)作。低交互蜜罐上沒有真正的操作系統(tǒng)和效勞，構(gòu)造簡(jiǎn)單，部署容易，風(fēng)險(xiǎn)很低，所能搜集的信息也是有限的。中交互蜜罐也不提供真實(shí)的操作系統(tǒng)，而是應(yīng)用腳本或小程序來模擬效勞行為，提供的功能主要取決于腳本。在不同的端口進(jìn)展監(jiān)聽，通過更多和更復(fù)雜的互動(dòng)，讓攻擊者會(huì)產(chǎn)生是一個(gè)真正操作系統(tǒng)的錯(cuò)覺，可以搜集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬效勞和破綻時(shí)并不產(chǎn)生新

4、的真實(shí)破綻，而給黑客浸透和攻擊真實(shí)系統(tǒng)的時(shí)機(jī)。高交互蜜罐由真實(shí)的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實(shí)的系統(tǒng)和效勞。給黑客提供一個(gè)真實(shí)的操作系統(tǒng)，可以學(xué)習(xí)黑客運(yùn)行的全部動(dòng)作，獲得大量的有用信息，包括完全不理解的新的網(wǎng)絡(luò)攻擊方式。正因?yàn)楦呓换ッ酃尢峁┝送耆_放的系統(tǒng)給黑客，也就帶來了更高的風(fēng)險(xiǎn)，即黑客可能通過這個(gè)開放的系統(tǒng)去攻擊其他的系統(tǒng)。2.3蜜罐的拓?fù)湮恢妹酃薇旧碜鳛橐粋€(gè)標(biāo)準(zhǔn)效勞器對(duì)周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要。理論上可以布置在網(wǎng)絡(luò)的任何位置。但是不同的位置其作用和功能也是不盡一樣。假設(shè)用于內(nèi)部或私有網(wǎng)絡(luò)，可以放置在任何一個(gè)公共數(shù)據(jù)流經(jīng)的節(jié)點(diǎn)。如用于互聯(lián)網(wǎng)的連接，蜜罐可以位于防火墻前面，也可以

5、是后面。防火墻之前：如見圖1中蜜罐1,蜜罐會(huì)吸引象端口掃描等大量的攻擊，而這些攻擊不會(huì)被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會(huì)由蜜罐本身來記錄。因?yàn)槲挥诜阑饓χ猓杀灰暈橥獠烤W(wǎng)絡(luò)中的任何一臺(tái)普通的機(jī)器，不用調(diào)整防火墻及其它的資源的配置，不會(huì)給內(nèi)部網(wǎng)增加新的風(fēng)險(xiǎn)，缺點(diǎn)是無法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也限制了蜜罐的對(duì)內(nèi)網(wǎng)信息搜集。防火墻之后：如圖1中蜜罐2，會(huì)給內(nèi)部網(wǎng)帶來平安威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火墻來與蜜罐相隔離。蜜罐提供的效勞，有些是互聯(lián)網(wǎng)的輸出效勞，要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可防止地調(diào)整防火墻規(guī)那么，因此要慎重設(shè)置，保證這些數(shù)據(jù)可以通過防火墻進(jìn)入蜜罐而不

6、引入更多的風(fēng)險(xiǎn)。優(yōu)點(diǎn)是既可以搜集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點(diǎn)是一旦蜜罐被外部攻擊者攻陷就會(huì)危害整個(gè)內(nèi)網(wǎng)。還有一種方法，把蜜罐置于隔離區(qū)DZ內(nèi)，如圖1中蜜罐3。隔離區(qū)只有需要的效勞才被允許通過防火墻，因此風(fēng)險(xiǎn)相對(duì)較低。DZ內(nèi)的其它系統(tǒng)要平安地和蜜罐隔離。此方法增加了隔離區(qū)的負(fù)擔(dān)，詳細(xì)施行也比較困難。3蜜罐的平安價(jià)值蜜罐是增強(qiáng)現(xiàn)有平安性的強(qiáng)大工具，是一種理解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR動(dòng)態(tài)平安模型，從防護(hù)、檢測(cè)和響應(yīng)三方面分析蜜罐的平安價(jià)值。防護(hù)蜜罐在防護(hù)中所做的奉獻(xiàn)很少，并不會(huì)將那些試圖攻擊的入侵者拒之門外。事實(shí)上蜜罐設(shè)計(jì)的初衷就是妥協(xié)，希望有人闖入系

7、統(tǒng)，從而進(jìn)展記錄和分析。有些學(xué)者認(rèn)為誘騙也是一種防護(hù)。因?yàn)檎T騙使攻擊者花費(fèi)大量的時(shí)間和資源對(duì)蜜罐進(jìn)展攻擊，從而防止或減緩了對(duì)真正系統(tǒng)的攻擊。檢測(cè)蜜罐的防護(hù)功能很弱，卻有很強(qiáng)的檢測(cè)功能。因?yàn)槊酃薇旧頉]有任何消費(fèi)行為，所有與蜜罐的連接都可認(rèn)為是可疑行為而被紀(jì)錄。這就大大降低誤報(bào)率和漏報(bào)率，也簡(jiǎn)化了檢測(cè)的過程。如今的網(wǎng)絡(luò)主要是使用入侵檢測(cè)系統(tǒng)IDS來檢測(cè)攻擊。面對(duì)大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡(luò)，要從海量的網(wǎng)絡(luò)行為中檢測(cè)出攻擊是很困難的，有時(shí)并不能及時(shí)發(fā)現(xiàn)和處理真正的攻擊。高誤報(bào)率使IDS失去有效的報(bào)警作用，蜜罐的誤報(bào)率遠(yuǎn)遠(yuǎn)低于大部分IDS工具。另外目前的IDS還不可以有效地對(duì)新型攻擊方法進(jìn)展

8、檢測(cè)，無論是基于異常的還是基于誤用的，都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報(bào)問題，使用蜜罐的主要目的就是檢測(cè)新的攻擊。響應(yīng)蜜罐檢測(cè)到入侵后可以進(jìn)展響應(yīng)，包括模擬回應(yīng)來引誘黑客進(jìn)一步攻擊，發(fā)出報(bào)警通知系統(tǒng)管理員，讓管理員適時(shí)的調(diào)整入侵檢測(cè)系統(tǒng)和防火墻配置，來加強(qiáng)真實(shí)系統(tǒng)的保護(hù)等。4蜜罐的信息搜集要進(jìn)展信息分析，首先要進(jìn)展信息搜集，下面分析蜜罐的數(shù)據(jù)捕獲和記錄機(jī)制。根據(jù)信息捕獲部件的位置，可分為基于主機(jī)的信息搜集和基于網(wǎng)絡(luò)的信息搜集。4.1基于主機(jī)的信息搜集基于主機(jī)的信息搜集有兩種方式，一是直接記錄進(jìn)出主機(jī)的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息，即所謂“Pe

9、eking機(jī)制。記錄數(shù)據(jù)流直接記錄數(shù)據(jù)流實(shí)現(xiàn)一般比較簡(jiǎn)單，主要問題是在哪里存儲(chǔ)這些數(shù)據(jù)。搜集到的數(shù)據(jù)可以本地存放在密罐主機(jī)中，例如把日志文件用加密技術(shù)放在一個(gè)隱藏的分區(qū)中。本地存儲(chǔ)的缺點(diǎn)是系統(tǒng)管理員不能及時(shí)研究這些數(shù)據(jù)，同時(shí)保存的日志空間可能用盡，系統(tǒng)就會(huì)降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會(huì)理解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。因此，將攻擊者的信息存放在一個(gè)平安的、遠(yuǎn)程的地方相對(duì)更合理。以通過串行設(shè)備、并行設(shè)備、USB或Fireire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲(chǔ)到遠(yuǎn)程日志效勞器，也可以使用專門的日志記錄硬件設(shè)備。數(shù)據(jù)傳輸時(shí)采用加密措施。采用“Peeking機(jī)制這種

10、方式和操作系統(tǒng)親密相關(guān)，實(shí)現(xiàn)相比照擬復(fù)雜。對(duì)于微軟系列操作系統(tǒng)來說，系統(tǒng)的源代碼是很難得到，對(duì)操作系統(tǒng)的更改很困難，無法以透明的方式將數(shù)據(jù)搜集構(gòu)造與系統(tǒng)內(nèi)核相結(jié)合，記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理員一般只能觀察運(yùn)行的進(jìn)程，檢查日志和應(yīng)用D-5檢查系統(tǒng)文件的一致性。對(duì)于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源代碼形式得到，那么為數(shù)據(jù)搜集提供更多的時(shí)機(jī)，可以在源代碼級(jí)上改寫記錄機(jī)制，再重新編譯參加蜜罐系統(tǒng)中。需要說明，盡管對(duì)于攻擊者來說二進(jìn)制文件的改變是很難覺察，一個(gè)高級(jí)黑客還是可能通過如下的方法探測(cè)到：D-5檢驗(yàn)和檢查：假設(shè)攻擊者有一個(gè)和蜜罐比照的參照系統(tǒng)，就會(huì)計(jì)算所有標(biāo)準(zhǔn)的系統(tǒng)二進(jìn)制文件的D-5校驗(yàn)和來測(cè)試蜜罐。庫的依賴性和進(jìn)程相關(guān)性檢查：即使攻擊