蜜罐技術(shù)在互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)與分析中的應(yīng)用

蜜罐技術(shù)在互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)與分析中的應(yīng)用

隨著網(wǎng)絡(luò)攻擊和惡意代碼的威脅，互聯(lián)網(wǎng)攻擊和惡意代碼已出現(xiàn)。隨著攻擊技術(shù)的發(fā)展，新的安全威脅不斷涌現(xiàn)，并繼續(xù)發(fā)展。防守技術(shù)不能及時(shí)跟上安全威脅的變化，這使得網(wǎng)絡(luò)的安全狀況惡化。根本原因是，攻擊方和防御方之間存在著一種不對(duì)稱(chēng)性的技術(shù)游戲。攻擊者可以在聽(tīng)到攻擊目標(biāo)的漏洞后突破系統(tǒng)。防守方應(yīng)確保系統(tǒng)中沒(méi)有被攻擊者使用的漏洞，并有一個(gè)完整的監(jiān)控機(jī)制，以便確保系統(tǒng)的安全。攻擊者可以使用掃描、標(biāo)記和其他技術(shù)手段全面獲取攻擊目標(biāo)信息。即使攻擊者被攻擊，防御人員也很難知道攻擊的原因、方法和動(dòng)機(jī)。由于安全響應(yīng)技術(shù)和協(xié)調(diào)機(jī)制的缺陷，進(jìn)攻方在很多情況下不會(huì)遭受任何損失，但防御方經(jīng)常會(huì)面臨系統(tǒng)和信息損壞和盜竊的風(fēng)險(xiǎn)。蜜罐(honeypot)就是防御方為了扭轉(zhuǎn)這種不對(duì)稱(chēng)局面而提出的一項(xiàng)主動(dòng)防御技術(shù).蜜罐定義為一類(lèi)安全資源,它沒(méi)有任何業(yè)務(wù)上的用途,其價(jià)值就是吸引攻擊方對(duì)它進(jìn)行非法使用.蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力.從20世紀(jì)80年代末蜜罐技術(shù)在網(wǎng)絡(luò)安全管理實(shí)踐活動(dòng)中誕生以來(lái),就贏得了安全社區(qū)的持續(xù)關(guān)注,在TheHoneynetProject等開(kāi)源團(tuán)隊(duì)的推動(dòng)下,得到了長(zhǎng)足發(fā)展與廣泛應(yīng)用:針對(duì)不同類(lèi)型的網(wǎng)絡(luò)安全威脅形態(tài),出現(xiàn)了豐富多樣的蜜罐軟件工具;為適應(yīng)更大范圍的安全威脅監(jiān)測(cè)的需求,逐步從中發(fā)展出蜜網(wǎng)(honeynet)、分布式蜜罐(distributedhoneypot)、分布式蜜網(wǎng)(distributedhoneynet)和蜜場(chǎng)(honeyfarm)等技術(shù)概念;在安全威脅監(jiān)測(cè)研究與實(shí)際網(wǎng)絡(luò)安全管理實(shí)踐中,大量應(yīng)用于網(wǎng)絡(luò)入侵與惡意代碼檢測(cè)、惡意代碼樣本捕獲、攻擊特征提取、取證分析和僵尸網(wǎng)絡(luò)追蹤等多種用途.從公開(kāi)發(fā)表的科研論文和資料來(lái)看,國(guó)內(nèi)對(duì)蜜罐技術(shù)的關(guān)注與相關(guān)研究還不夠全面與深入.中國(guó)科學(xué)院高能物理研究所網(wǎng)絡(luò)安全實(shí)驗(yàn)室、電子科技大學(xué)、安全焦點(diǎn)團(tuán)隊(duì)等在2002年~2004年間較早開(kāi)展對(duì)蜜罐技術(shù)的研究與實(shí)踐,北京大學(xué)諸葛建偉等人發(fā)起了蜜網(wǎng)研究項(xiàng)目組,加入TheHoneynetProject,成為其中國(guó)分支團(tuán)隊(duì),并連續(xù)承擔(dān)了多個(gè)國(guó)家科研項(xiàng)目,支持國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心進(jìn)行Matrix分布式蜜網(wǎng)系統(tǒng)的開(kāi)發(fā)與實(shí)驗(yàn)部署,在惡意代碼樣本捕獲、僵尸網(wǎng)絡(luò)追蹤等方面取得了較好的應(yīng)用效果.國(guó)內(nèi)學(xué)者也已對(duì)蜜罐及蜜網(wǎng)技術(shù)的研究進(jìn)展進(jìn)行了簡(jiǎn)要綜述,但尚不能清晰地描繪出蜜罐技術(shù)的研究發(fā)展軌跡,也未全面地展現(xiàn)出蜜罐技術(shù)領(lǐng)域的研究、開(kāi)發(fā)與應(yīng)用現(xiàn)狀.因此,本文嘗試對(duì)蜜罐技術(shù)的起源與發(fā)展演化過(guò)程、蜜罐技術(shù)關(guān)鍵機(jī)制研究現(xiàn)狀、蜜罐部署結(jié)構(gòu)的發(fā)展、蜜罐技術(shù)應(yīng)用情況和發(fā)展趨勢(shì)進(jìn)行全面的總結(jié)與深入的分析,為國(guó)內(nèi)安全社區(qū)熟悉了解蜜罐技術(shù)并進(jìn)一步開(kāi)展相關(guān)研究與實(shí)踐應(yīng)用工作提供參考.本文第1節(jié)對(duì)蜜罐技術(shù)的起源與發(fā)展過(guò)程進(jìn)行介紹.第2節(jié)剖析蜜罐技術(shù)的核心需求與關(guān)鍵機(jī)制,并針對(duì)欺騙環(huán)境構(gòu)建、威脅數(shù)據(jù)捕獲、威脅數(shù)據(jù)分析和反蜜罐技術(shù)對(duì)抗這4個(gè)關(guān)鍵機(jī)制的研究進(jìn)展進(jìn)行總結(jié)與分析.第3節(jié)回顧蜜罐部署結(jié)構(gòu)的發(fā)展過(guò)程.第4節(jié)展示近年來(lái)蜜罐技術(shù)在互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)、分析與防范等領(lǐng)域中的應(yīng)用情況.第5節(jié)討論目前蜜罐技術(shù)存在的問(wèn)題,并展望其發(fā)展趨勢(shì)和可能的進(jìn)一步研究方向.最后,在第6節(jié)中給出本文結(jié)論.1蜜罐技術(shù)的起源和發(fā)展1.1基于蜜場(chǎng)技術(shù)的威脅監(jiān)測(cè)系統(tǒng)蜜罐技術(shù)的起源與發(fā)展時(shí)間線如圖1所示.蜜罐技術(shù)概念最早出現(xiàn)在于1989年出版的《TheCuckoo’sEgg》著作中,這本小說(shuō)描述了作者作為一個(gè)公司的網(wǎng)絡(luò)管理員,如何利用蜜罐技術(shù)來(lái)發(fā)現(xiàn)并追蹤一起商業(yè)間諜案的故事.直到20世紀(jì)90年代末,蜜罐還僅限于一種主動(dòng)性防御思路,由網(wǎng)絡(luò)管理員們所采用,通過(guò)欺騙攻擊者達(dá)到追蹤的目的.從1998年開(kāi)始,蜜罐技術(shù)逐漸吸引了一些安全研究人員的注意,他們開(kāi)發(fā)出一些專(zhuān)門(mén)用于欺騙攻擊者的蜜罐軟件工具,最為知名的是由著名計(jì)算機(jī)安全專(zhuān)家Cohen所開(kāi)發(fā)的DTK(deceptiontookit),Cohen還深入總結(jié)了自然界存在的欺騙實(shí)例、人類(lèi)戰(zhàn)爭(zhēng)中的欺騙技巧和案例以及欺騙的認(rèn)知學(xué)基礎(chǔ),分析了欺騙的本質(zhì),并在理論層次上給出了信息對(duì)抗領(lǐng)域中欺騙技術(shù)的框架和模型,Cohen的這一研究工作為蜜罐技術(shù)概念的發(fā)展奠定了理論基礎(chǔ).在此之后,蜜罐技術(shù)得到安全社區(qū)的廣泛關(guān)注,出現(xiàn)了大量開(kāi)源蜜罐工具,如Honeyd,Nepenthes等,以及一些商業(yè)蜜罐產(chǎn)品,如KFSensor,SymantecDecoyServer等.早期的蜜罐一般偽裝成存有漏洞的網(wǎng)絡(luò)服務(wù),對(duì)攻擊連接做出響應(yīng),從而對(duì)攻擊方進(jìn)行欺騙,增加攻擊代價(jià)并對(duì)其進(jìn)行監(jiān)控.由于這種虛擬蜜罐存在著交互程度低、捕獲攻擊信息有限且類(lèi)型單一、較容易被攻擊者識(shí)別等問(wèn)題,Spitzner等安全研究人員提出并倡導(dǎo)蜜網(wǎng)(honeynet)技術(shù),并在1999年成立了非贏利性研究組織TheHoneynetProject.蜜網(wǎng)是由多個(gè)蜜罐系統(tǒng)加上防火墻、入侵防御、系統(tǒng)行為記錄、自動(dòng)報(bào)警與數(shù)據(jù)分析等輔助機(jī)制所組成的網(wǎng)絡(luò)體系結(jié)構(gòu),在蜜網(wǎng)體系結(jié)構(gòu)中可以使用真實(shí)系統(tǒng)作為蜜罐,為攻擊者提供更加充分的交互環(huán)境,也更難被攻擊者所識(shí)別.蜜網(wǎng)技術(shù)使得安全研究人員可以在高度可控的蜜罐網(wǎng)絡(luò)中,監(jiān)視所有誘捕到的攻擊活動(dòng)行為,從而去了解攻擊方的工具、方法和動(dòng)機(jī).為了克服傳統(tǒng)蜜罐技術(shù)與生俱來(lái)的監(jiān)測(cè)范圍受限的弱點(diǎn),TheHoneynetProject在2003年開(kāi)始引入分布式蜜罐(distributedhoneypot)與分布式蜜網(wǎng)(distributedhoneynet)的技術(shù)概念,并于2005年開(kāi)發(fā)完成Kanga分布式蜜網(wǎng)系統(tǒng),能夠?qū)⒏鱾€(gè)分支團(tuán)隊(duì)部署蜜網(wǎng)的捕獲數(shù)據(jù)進(jìn)行匯總分析.分布式蜜罐/蜜網(wǎng)能夠通過(guò)支持在互聯(lián)網(wǎng)不同位置上進(jìn)行蜜罐系統(tǒng)的多點(diǎn)部署,有效地提升安全威脅監(jiān)測(cè)的覆蓋面,克服了傳統(tǒng)蜜罐監(jiān)測(cè)范圍窄的缺陷,因而成為目前安全業(yè)界采用蜜罐技術(shù)構(gòu)建互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)體系的普遍部署模式,具有較大影響力的包括TheHoneynetProject的Kanga及其后繼GDH系統(tǒng)、巴西分布式蜜罐系統(tǒng)、歐洲電信的Leurre.Com與SGNET系統(tǒng)、中國(guó)Matrix分布式蜜罐系統(tǒng)等.在互聯(lián)網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò)中以分布式方式大量部署蜜罐系統(tǒng),特別是在包含提供充分交互環(huán)境的高交互式蜜罐時(shí),需要部署方投入大量的硬件設(shè)備與IP地址資源,并需要較多的維護(hù)人力成本.2003年,Spitzner提出了一種蜜罐系統(tǒng)部署的新型模式——蜜場(chǎng)(honeyfarm).基于蜜場(chǎng)技術(shù)概念實(shí)現(xiàn)的網(wǎng)絡(luò)威脅預(yù)警與分析系統(tǒng)有Collapsar,Potemkin和Icarus等.1.2glastopf和glastopfng蜜罐工具軟件通過(guò)構(gòu)建欺騙環(huán)境來(lái)捕獲安全威脅數(shù)據(jù),是蜜罐技術(shù)的核心載體.隨著互聯(lián)網(wǎng)安全威脅類(lèi)型的不斷更新與演化,安全社區(qū)也在有針對(duì)性地研究蜜罐技術(shù)并開(kāi)發(fā)出相應(yīng)的蜜罐工具軟件,從而適應(yīng)對(duì)新形態(tài)安全威脅的監(jiān)測(cè)需求.互聯(lián)網(wǎng)上傳統(tǒng)的網(wǎng)絡(luò)攻擊與惡意代碼主要利用網(wǎng)絡(luò)服務(wù)中存在的安全漏洞或配置弱點(diǎn),對(duì)目標(biāo)信息系統(tǒng)與網(wǎng)絡(luò)構(gòu)成威脅,因此,最早出現(xiàn)的蜜罐工具軟件也是針對(duì)網(wǎng)絡(luò)服務(wù)攻擊而設(shè)計(jì)的.最早的蜜罐工具DTK綁定在系統(tǒng)的未使用端口上,對(duì)任何想探測(cè)這些端口的攻擊源提供欺騙性網(wǎng)絡(luò)服務(wù).LaBrea蜜罐軟件接受網(wǎng)絡(luò)上所有空閑IP地址的TCP連接,并通過(guò)TCP協(xié)議中的窗口調(diào)節(jié)與持久連接等技巧實(shí)現(xiàn)一種Tarpit服務(wù),能夠盡可能地拖長(zhǎng)無(wú)效連接的持續(xù)時(shí)間,從而減緩網(wǎng)絡(luò)掃描探測(cè)與蠕蟲(chóng)傳播的速度.Honeyd是著名安全專(zhuān)家Provos開(kāi)發(fā)的一款虛擬蜜罐框架性開(kāi)源軟件,引入了在網(wǎng)絡(luò)協(xié)議棧層次上模擬各種類(lèi)型蜜罐系統(tǒng)的方法.Honeyd支持在協(xié)議棧指紋特征上偽裝成指定的操作系統(tǒng)版本,對(duì)攻擊者利用nmap等工具實(shí)施主動(dòng)指紋識(shí)別進(jìn)行欺騙,同時(shí)也支持模擬構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并以插件方式提供對(duì)各種應(yīng)用層網(wǎng)絡(luò)服務(wù)的模擬響應(yīng).利用Honeyd軟件安全研究人員可以很容易地按照需求定制出一個(gè)包含指定操作系統(tǒng)類(lèi)型與應(yīng)用服務(wù)的蜜罐系統(tǒng),用于蠕蟲(chóng)檢測(cè)與應(yīng)對(duì)、垃圾郵件監(jiān)測(cè)等多種用途.由于Honeyd最早引入了網(wǎng)絡(luò)協(xié)議棧層次上的蜜罐系統(tǒng)模擬機(jī)制,以及采用了可集成各種應(yīng)用層服務(wù)蜜罐的靈活框架性結(jié)構(gòu),使其在蜜罐工具軟件發(fā)展過(guò)程中具有舉足輕重的重要地位.TheHoneynetProjectGiraffeChapter開(kāi)發(fā)的Nepenthes蜜罐軟件繼承了Honeyd的網(wǎng)絡(luò)協(xié)議棧模擬機(jī)制與框架性結(jié)構(gòu),針對(duì)互聯(lián)網(wǎng)上主動(dòng)傳播惡意代碼的監(jiān)測(cè)需求,實(shí)現(xiàn)了可供大規(guī)模部署的惡意代碼樣本采集工具與之前蜜罐系統(tǒng)嘗試模擬整個(gè)網(wǎng)絡(luò)服務(wù)交互過(guò)程不同,Nepenthes的基本設(shè)計(jì)原則是只模擬網(wǎng)絡(luò)服務(wù)中存在安全漏洞的部分,使用Shellcode啟發(fā)式識(shí)別與仿真執(zhí)行技術(shù)來(lái)發(fā)現(xiàn)針對(duì)網(wǎng)絡(luò)服務(wù)安全漏洞的滲透攻擊,從中提取到主動(dòng)傳播惡意代碼的下載鏈接,并進(jìn)一步捕獲樣本.這種機(jī)制使其較其他已有蜜罐工具對(duì)自動(dòng)化傳播惡意代碼捕獲更為高效.Nepenthes已被新一代惡意代碼樣本捕獲蜜罐軟件Dionaea所替代,Dionaea采用內(nèi)嵌Python腳本代碼實(shí)現(xiàn)對(duì)漏洞服務(wù)的模擬,同樣采用Libemu來(lái)檢測(cè)Shellcode,并支持IPv6與TLS協(xié)議.Dionaea蜜罐軟件是目前技術(shù)最為先進(jìn)、體系結(jié)構(gòu)最優(yōu)化的虛擬蜜罐工具,但所支持的應(yīng)用層服務(wù)與漏洞環(huán)境還不夠充分,開(kāi)源社區(qū)也正在逐漸添加應(yīng)用服務(wù)支持,如MySQL,VoIP等.除了掃描探測(cè)、滲透攻擊、惡意代碼傳播等通用性網(wǎng)絡(luò)服務(wù)安全威脅之外,Web,SMTP,SSH等互聯(lián)網(wǎng)常用服務(wù)面臨著Web應(yīng)用程序攻擊、垃圾郵件與SSH口令暴力破解等應(yīng)用層安全威脅.開(kāi)源社區(qū)也專(zhuān)門(mén)針對(duì)目前流行的幾類(lèi)應(yīng)用層協(xié)議攻擊,開(kāi)發(fā)了一系列的專(zhuān)用服務(wù)型蜜罐軟件.GHH(Googlehackhoneypot)是最早針對(duì)Web應(yīng)用攻擊威脅研究并開(kāi)發(fā)的Web應(yīng)用服務(wù)蜜罐,GHH針對(duì)搜索存有安全漏洞Web應(yīng)用程序的GoogleHacking技術(shù)來(lái)誘騙Web應(yīng)用程序攻擊并進(jìn)行日志記錄,可以發(fā)現(xiàn)命令注入、Web垃圾郵件、博客垃圾評(píng)論注入、網(wǎng)頁(yè)篡改、植入僵尸程序、搭建釣魚(yú)站點(diǎn)等各種攻擊事件.HIHAT(highinteractionhoneypotanalysistoolkit)可將任意的PHP應(yīng)用程序自動(dòng)地轉(zhuǎn)換為提供充分交互環(huán)境的Web蜜罐工具,并通過(guò)透明鏈接方式獲取惡意Web訪問(wèn)請(qǐng)求,從而對(duì)現(xiàn)有PHP應(yīng)用程序所面臨的威脅進(jìn)行監(jiān)測(cè)分析.Glastopf/GlastopfNG則是目前最新的Web應(yīng)用蜜罐軟件.之前的Web應(yīng)用蜜罐技術(shù)均以現(xiàn)有Web應(yīng)用程序作為模版,偽裝成存有漏洞的Web站點(diǎn)并吸引攻擊,這種方法的局限性是必須編寫(xiě)或轉(zhuǎn)換新的應(yīng)用程序模版才能支持新的安全漏洞,非常耗費(fèi)開(kāi)發(fā)者的時(shí)間,并對(duì)新型安全威脅的監(jiān)測(cè)具有滯后性.而Glastopf則引入了一種新的想法:使用攻擊者在嘗試?yán)肳eb應(yīng)用程序時(shí)期望得到的結(jié)果來(lái)響應(yīng)攻擊者,這樣就可以避免基于模版的方法所存在的缺陷.在具體實(shí)現(xiàn)中,Glastopf目前針對(duì)遠(yuǎn)程文件包含、本地文件包含等Web應(yīng)用攻擊類(lèi)型模擬漏洞利用過(guò)程生成響應(yīng)結(jié)果從而觸發(fā)攻擊者進(jìn)一步的惡意請(qǐng)求,并記錄下攻擊日志與惡意腳本文件.GlastopfNG是對(duì)Glastopf進(jìn)行重新設(shè)計(jì)與開(kāi)發(fā),引入框架性結(jié)構(gòu)與可擴(kuò)展模塊機(jī)制的新一代Web應(yīng)用蜜罐軟件,支持對(duì)遠(yuǎn)程文件包含、本地文件包含、SQL注入攻擊和跨站腳本攻擊等Web應(yīng)用攻擊進(jìn)行監(jiān)測(cè).SPAMPot蜜罐模擬成一個(gè)開(kāi)放的SMTP郵件服務(wù)器來(lái)吸引垃圾郵件發(fā)送者通過(guò)它來(lái)發(fā)送垃圾郵件,從而發(fā)現(xiàn)與分析互聯(lián)網(wǎng)上的垃圾郵件威脅Kojoney與Kippo蜜罐則模擬為SSH網(wǎng)絡(luò)服務(wù)進(jìn)程,記錄每次SSH口令暴力破解所嘗試使用的用戶(hù)名與口令,并在口令猜測(cè)成功之后為攻擊者提供模擬的shell執(zhí)行環(huán)境,對(duì)攻擊源IP地址、使用的SSH客戶(hù)端類(lèi)型、輸入的控制命令以及下載的攻擊工具文件進(jìn)行捕獲與記錄.近年來(lái),由于防火墻、入侵防御系統(tǒng)等網(wǎng)絡(luò)邊界防御機(jī)制的廣泛應(yīng)用,針對(duì)傳統(tǒng)網(wǎng)絡(luò)服務(wù)的滲透攻擊變得越來(lái)越難以成功實(shí)現(xiàn),以瀏覽器與插件為主要目標(biāo)的客戶(hù)端滲透攻擊逐漸成為互聯(lián)網(wǎng)上的主流安全威脅.而蜜罐技術(shù)也隨著安全威脅熱點(diǎn)的這一變化,演化出客戶(hù)端蜜罐工具軟件.Capture-HPC是一個(gè)高交互式的客戶(hù)端蜜罐框架,支持在Windows虛擬機(jī)環(huán)境中運(yùn)行IE,Firefox等瀏覽器,并通過(guò)內(nèi)核中的系統(tǒng)狀態(tài)變化監(jiān)控機(jī)制來(lái)檢測(cè)瀏覽器當(dāng)前訪問(wèn)的網(wǎng)頁(yè)中是否包含客戶(hù)端滲透攻擊代碼.PhoneyC則采用瀏覽器仿真與Javascript動(dòng)態(tài)分析技術(shù)來(lái)對(duì)抗惡意網(wǎng)頁(yè)腳本的混淆機(jī)制,并通過(guò)模擬各種已知瀏覽器與插件安全漏洞來(lái)檢測(cè)出惡意網(wǎng)頁(yè)中包含的滲透攻擊類(lèi)型.新版本PhoneyC還通過(guò)對(duì)Javascript引擎進(jìn)行opcode指令動(dòng)態(tài)插裝,實(shí)現(xiàn)了對(duì)惡意網(wǎng)頁(yè)中的heapspray堆散射攻擊的檢測(cè)能力.從上述發(fā)展軌跡中我們可以看出,作為主動(dòng)性的安全威脅監(jiān)測(cè)與防御技術(shù),蜜罐技術(shù)的發(fā)展緊隨著互聯(lián)網(wǎng)安全威脅熱點(diǎn)的變化.由于目前互聯(lián)網(wǎng)安全威脅的多樣性,也使得沒(méi)有一個(gè)蜜罐工具軟件能夠完全覆蓋所有類(lèi)型的安全威脅,蜜罐工具軟件呈現(xiàn)出百花齊放的局面.搭建互聯(lián)網(wǎng)安全監(jiān)測(cè)技術(shù)解決方案,也需要綜合應(yīng)用各種蜜罐技術(shù)與工具軟件來(lái)覆蓋所關(guān)注的安全威脅類(lèi)型,最佳實(shí)踐策略是采用一種通用化蜜罐框架軟件(如Dionaea)作為基礎(chǔ),然后針對(duì)流行威脅類(lèi)型,結(jié)合專(zhuān)用的應(yīng)用服務(wù)蜜罐與客戶(hù)端蜜罐.2比選后的安全威脅監(jiān)測(cè)與分析機(jī)制通過(guò)對(duì)蜜罐技術(shù)發(fā)展歷程的回顧與總結(jié),本文提出如圖2所示的蜜罐技術(shù)關(guān)鍵機(jī)制組成結(jié)構(gòu),分為核心機(jī)制與輔助機(jī)制兩類(lèi).其中,·核心機(jī)制是蜜罐技術(shù)達(dá)成對(duì)攻擊方進(jìn)行誘騙與監(jiān)測(cè)的必需組件:?欺騙環(huán)境構(gòu)建機(jī)制構(gòu)造出對(duì)攻擊方具有誘騙性的安全資源,吸引攻擊方對(duì)其進(jìn)行探測(cè)、攻擊與利用;?威脅數(shù)據(jù)捕獲機(jī)制對(duì)誘捕到的安全威脅進(jìn)行日志記錄,盡可能全面地獲取各種類(lèi)型的安全威脅原始數(shù)據(jù),如網(wǎng)絡(luò)連接記錄、原始數(shù)據(jù)包、系統(tǒng)行為數(shù)據(jù)、惡意代碼樣本等等;?威脅數(shù)據(jù)分析機(jī)制則在捕獲的安全威脅原始數(shù)據(jù)的基礎(chǔ)上,分析追溯安全威脅的類(lèi)型與根源,并對(duì)安全威脅態(tài)勢(shì)進(jìn)行感知;·而輔助機(jī)制是對(duì)蜜罐技術(shù)其他擴(kuò)展需求的歸納,主要包括安全風(fēng)險(xiǎn)控制機(jī)制、配置與管理機(jī)制、反蜜罐技術(shù)對(duì)抗機(jī)制等:?安全風(fēng)險(xiǎn)控制機(jī)制要確保部署蜜罐系統(tǒng)不被攻擊方惡意利用去攻擊互聯(lián)網(wǎng)和業(yè)務(wù)網(wǎng)絡(luò),讓部署方規(guī)避道德甚至法律風(fēng)險(xiǎn);?配置與管理機(jī)制使得部署方可以便捷地對(duì)蜜罐系統(tǒng)進(jìn)行定制與維護(hù);?而反蜜罐技術(shù)對(duì)抗機(jī)制的目標(biāo)是提升蜜罐系統(tǒng)的誘騙效果,避免被具有較高技術(shù)水平的攻擊方利用反蜜罐技術(shù)而識(shí)別.下面,本文針對(duì)蜜罐技術(shù)的3個(gè)核心機(jī)制以及具有技術(shù)博弈特征的反蜜罐技術(shù)對(duì)抗機(jī)制,對(duì)其研究進(jìn)展進(jìn)行歸納分析.2.1高分布式蜜罐n-fm欺騙環(huán)境構(gòu)建機(jī)制的實(shí)現(xiàn)方式?jīng)Q定了蜜罐能夠?yàn)楣舴剿峁┑慕换コ潭?主要有基于模擬仿真的實(shí)現(xiàn)方式和基于真實(shí)系統(tǒng)搭建的方式.采用真實(shí)系統(tǒng)搭建方式能夠比較容易地構(gòu)建出一個(gè)具有良好誘騙性的蜜罐欺騙環(huán)境,并能夠給攻擊方提供充分的交互程度,因此,這種方式實(shí)現(xiàn)的蜜罐被稱(chēng)為高交互式蜜罐;而與之相反的是,模擬仿真方式則通過(guò)編制軟件構(gòu)建出一個(gè)偽裝的欺騙系統(tǒng)環(huán)境來(lái)吸引攻擊,并在一個(gè)安全可控的環(huán)境中對(duì)安全威脅進(jìn)行數(shù)據(jù)記錄,然而,這種方式一般只能為攻擊方提供受限的交互程度,即只能實(shí)現(xiàn)低交互式蜜罐對(duì)于一些未知的攻擊方式與安全威脅不具備捕獲能力.表1顯示了基于欺騙環(huán)境構(gòu)建機(jī)制對(duì)蜜罐工具軟件進(jìn)行分類(lèi)的結(jié)果.·服務(wù)端通用蜜罐D(zhuǎn)TK和LaBrea以綁定到指定端口上的網(wǎng)絡(luò)服務(wù)軟件實(shí)現(xiàn)方式模擬成網(wǎng)絡(luò)服務(wù)攻擊目標(biāo),吸引網(wǎng)絡(luò)掃描探測(cè)與滲透攻擊等安全威脅,而Honeyd,Nepenthes和Dionaea則通過(guò)模擬網(wǎng)絡(luò)協(xié)議棧的方式提供仿真度更好的網(wǎng)絡(luò)服務(wù)漏洞攻擊環(huán)境,從而能夠捕獲更為豐富多樣的安全威脅數(shù)據(jù).然而,由于是以模擬方式實(shí)現(xiàn)各種應(yīng)用層服務(wù),因此對(duì)于攻擊未知漏洞的網(wǎng)絡(luò)滲透攻擊與惡意代碼,這類(lèi)低交互式蜜罐工具往往無(wú)法為攻擊方提供它們?cè)诰W(wǎng)絡(luò)服務(wù)交互過(guò)程中所預(yù)期的響應(yīng),因而無(wú)法進(jìn)一步觸發(fā)漏洞利用與惡意代碼感染過(guò)程,也就無(wú)法捕獲這些新型安全威脅.HoneyBow在采用真實(shí)系統(tǒng)的高交互式蜜罐上構(gòu)建,與Nepenthes等采用模擬服務(wù)方式的蜜罐工具軟件相比,HoneyBow擁有捕獲惡意代碼更具全面性、并能夠捕獲未知樣本的優(yōu)勢(shì).Argos蜜罐則基于x86系統(tǒng)仿真器Qemu構(gòu)建,能夠?qū)ι蠈诱鎸?shí)的Guest操作系統(tǒng)實(shí)施指令插裝與監(jiān)控,通過(guò)擴(kuò)展動(dòng)態(tài)污點(diǎn)分析(extendeddynamictaintanalysis)技術(shù)跟蹤運(yùn)行時(shí)刻接收到的網(wǎng)絡(luò)數(shù)據(jù),并從中識(shí)別出它們的非法使用檢測(cè)出網(wǎng)絡(luò)滲透攻擊,并進(jìn)而支持自動(dòng)化的攻擊特征提取.雖然HoneyBow與Argos蜜罐的具體實(shí)現(xiàn)中都使用了虛擬化或系統(tǒng)仿真技術(shù),但欺騙環(huán)境的構(gòu)建仍使用了完整的真實(shí)操作系統(tǒng)及上層應(yīng)用程序,因此仍然屬于高交互式蜜罐的范疇.·應(yīng)用層專(zhuān)用蜜罐GHH和HIHAT采用真實(shí)Web應(yīng)用程序?yàn)槟０娲罱ㄆ垓_環(huán)境,屬于高交互式蜜罐;而Glastopf/GlastopfNG,SPAMPot,Kojoney,Kippo蜜罐則都是完全通過(guò)程序模擬的方式分別構(gòu)建出Web站點(diǎn)、SMTPOpenRelay和弱口令配置的SSH服務(wù)以吸引互聯(lián)網(wǎng)上的攻擊,因此屬于低交互式蜜罐.·客戶(hù)端蜜罐Capture-HPC蜜罐使用真實(shí)操作系統(tǒng)及瀏覽器構(gòu)建客戶(hù)端環(huán)境對(duì)待檢測(cè)頁(yè)面進(jìn)行訪問(wèn),從中檢測(cè)出含有滲透攻擊腳本的惡意頁(yè)面,采用同樣方式構(gòu)建的高交互式客戶(hù)端蜜罐還有HoneyMonkey,SpyProxy等PhoneyC蜜罐則模擬實(shí)現(xiàn)瀏覽器軟件,對(duì)檢測(cè)頁(yè)面進(jìn)行解析、腳本提取和執(zhí)行,從中發(fā)現(xiàn)惡意頁(yè)面,屬于低交互式客戶(hù)端蜜罐.欺騙環(huán)境除了系統(tǒng)、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序之外,也可以是具有高度偽裝性和誘騙性的數(shù)據(jù)內(nèi)容.Barros于2003年提出了蜜標(biāo)(HoneyToken)技術(shù)概念來(lái)描述這類(lèi)用于吸引攻擊者進(jìn)行未經(jīng)授權(quán)而使用的信息資源,而蜜標(biāo)有著多種數(shù)據(jù)形態(tài),比如一個(gè)偽造的身份ID、郵件地址、數(shù)據(jù)庫(kù)表項(xiàng)、Word或Excel文檔等等.當(dāng)攻擊方從環(huán)境中竊取信息資源時(shí),蜜標(biāo)將混雜在信息資源中同時(shí)被竊取,之后,一旦攻擊方在現(xiàn)實(shí)場(chǎng)景中使用蜜標(biāo)數(shù)據(jù),比如使用一個(gè)經(jīng)過(guò)標(biāo)記的偽造身份ID嘗試登陸業(yè)務(wù)系統(tǒng),防御方就可以檢測(cè)并追溯這次實(shí)際攻擊.McRae等人應(yīng)用蜜標(biāo)技術(shù)概念來(lái)追溯垃圾郵件發(fā)送者.Border等人設(shè)計(jì)了Siren系統(tǒng)——一個(gè)能夠產(chǎn)生蜜標(biāo)數(shù)據(jù)序列的本地Agent來(lái)檢測(cè)在用戶(hù)主機(jī)上隱藏并將行為混雜在正常用戶(hù)行為之中的間諜軟件.White給出了一種創(chuàng)建個(gè)人身份信息蜜標(biāo)的方法,并用于檢測(cè)來(lái)自?xún)?nèi)部人員的惡意攻擊與濫用.Chakravarty等人在Tor匿名通信系統(tǒng)中注入作為誘餌的IMAP,SMTP郵件服務(wù)用戶(hù)憑證信息,檢測(cè)出了在匿名通信系統(tǒng)中存在的流量監(jiān)聽(tīng)惡意節(jié)點(diǎn).2.2基于外部網(wǎng)絡(luò)實(shí)名的惡意代碼攻擊檢測(cè)在構(gòu)建欺騙環(huán)境吸引到攻擊方的探測(cè)與攻擊行為之后,蜜罐中需要實(shí)現(xiàn)的下一個(gè)核心機(jī)制是威脅數(shù)據(jù)捕獲,監(jiān)控和記錄攻擊方在蜜罐欺騙環(huán)境中進(jìn)行的所有攻擊行為,為追溯與分析安全威脅提供基礎(chǔ)數(shù)據(jù)支持.在低交互式蜜罐中,由于為攻擊方提供的欺騙環(huán)境都是通過(guò)軟件代碼進(jìn)行模擬實(shí)現(xiàn)的,因此對(duì)于攻擊交互過(guò)程的監(jiān)控和記錄例程也通常在軟件代碼中加以實(shí)現(xiàn).例如:Honeyd在框架代碼中實(shí)現(xiàn)了對(duì)所有網(wǎng)絡(luò)連接的日志功能,并在服務(wù)模擬腳本中收集更多、更詳細(xì)的應(yīng)用層攻擊數(shù)據(jù);Nepenthes與Dionaea除了記錄網(wǎng)絡(luò)連接日志以外,還特別針對(duì)惡意代碼樣本捕獲的需求,通過(guò)仿真執(zhí)行Shellcode分析得到其中包含的URL鏈接并支持通過(guò)HTTP,FTP和TFTP下載到惡意代碼樣本.而在高交互式蜜罐中,用于搭建欺騙環(huán)境的真實(shí)系統(tǒng)、網(wǎng)絡(luò)服務(wù)與應(yīng)用軟件的日志記錄功能通常并不能完全滿(mǎn)足安全威脅監(jiān)控的需求,因而需要研究人員自主設(shè)計(jì)并實(shí)現(xiàn)相應(yīng)的威脅數(shù)據(jù)捕獲機(jī)制.為了適應(yīng)在蜜網(wǎng)體系架構(gòu)中高交互式蜜罐的數(shù)據(jù)捕獲需求,Balas等人設(shè)計(jì)了一套全面的安全威脅數(shù)據(jù)捕獲體系,結(jié)合使用了Argus,Snort,p0f,tcpdump和Sebek等開(kāi)源工具,從網(wǎng)絡(luò)和系統(tǒng)兩個(gè)方面保證為進(jìn)一步分析攻擊行為提供全面而豐富的威脅數(shù)據(jù).在網(wǎng)絡(luò)層面上,在蜜網(wǎng)網(wǎng)關(guān)唯一連接點(diǎn)上通過(guò)Argus監(jiān)控所有流入和流出蜜網(wǎng)的網(wǎng)絡(luò)連接記錄;Snort入侵檢測(cè)系統(tǒng)對(duì)符合入侵檢測(cè)特征的攻擊數(shù)據(jù)包發(fā)出對(duì)應(yīng)的報(bào)警信息,從而標(biāo)識(shí)網(wǎng)絡(luò)流中存在的已知攻擊事件;p0f被動(dòng)操作系統(tǒng)辨識(shí)工具能夠根據(jù)監(jiān)聽(tīng)到的網(wǎng)絡(luò)流中存有的指紋特征,判斷攻擊方操作系統(tǒng)的類(lèi)型.另外,以Tcpdump監(jiān)聽(tīng)全部流入流出蜜網(wǎng)的網(wǎng)絡(luò)連接,記錄原始流量數(shù)據(jù).在系統(tǒng)層面上,主要使用Sebek捕獲攻擊者在蜜罐主機(jī)上的行為,Sebek客戶(hù)端以?xún)?nèi)核模塊方式安裝在蜜罐主機(jī)上,在不被攻擊者發(fā)現(xiàn)的前提下對(duì)系統(tǒng)行為數(shù)據(jù)及鍵擊記錄進(jìn)行捕獲,并通過(guò)一個(gè)對(duì)攻擊者隱蔽的通信信道傳送到蜜網(wǎng)網(wǎng)關(guān)上的Sebek服務(wù)器端.HoneyBow通過(guò)文件系統(tǒng)實(shí)時(shí)監(jiān)控和文件列表交叉對(duì)比方法來(lái)捕獲感染高交互式蜜罐系統(tǒng)的惡意代碼樣本,Argos蜜罐則在二進(jìn)制指令層次上對(duì)網(wǎng)絡(luò)輸入非可信數(shù)據(jù)在內(nèi)存中的擴(kuò)展軌跡進(jìn)行跟蹤,并監(jiān)控污染數(shù)據(jù)的非法使用來(lái)定位出滲透攻擊關(guān)鍵數(shù)據(jù)在網(wǎng)絡(luò)會(huì)話中的位置,支持攻擊特征的自動(dòng)分析提取.2.3威脅數(shù)據(jù)分析機(jī)制TheHoneynetProject的第三代蜜網(wǎng)體系架構(gòu)為安全研究人員提供較為全面的輔助數(shù)據(jù)分析功能,通過(guò)蜜網(wǎng)網(wǎng)關(guān)上的hflow工具,將蜜網(wǎng)捕獲的網(wǎng)絡(luò)與系統(tǒng)行為監(jiān)控?cái)?shù)據(jù)進(jìn)行聚合,匯總到關(guān)系型數(shù)據(jù)庫(kù)中,然后由Walleye工具提供基于Web方式的安全威脅輔助分析接口,從而幫助安全研究人員能夠快速地理解蜜網(wǎng)中捕獲的攻擊事件.然而,大規(guī)模部署的分布式蜜罐與分布式蜜網(wǎng)系統(tǒng)不能僅僅為安全管理人員提供簡(jiǎn)單的輔助分析接口而依賴(lài)于人工對(duì)大量安全威脅數(shù)據(jù)進(jìn)行深入分析與態(tài)勢(shì)感知,這就為自動(dòng)化的安全威脅數(shù)據(jù)分析機(jī)制提出了研究需求.最基礎(chǔ)的威脅數(shù)據(jù)分析機(jī)制為實(shí)證分析,即通過(guò)對(duì)實(shí)驗(yàn)采集數(shù)據(jù)進(jìn)行統(tǒng)計(jì)匯總,揭示出安全威脅的基本統(tǒng)計(jì)特性.例如,Kaaniche等人對(duì)Leurré.com分布式蜜罐系統(tǒng)捕獲數(shù)據(jù)進(jìn)行了實(shí)證分析,以更好地理解互聯(lián)網(wǎng)上的攻擊策略與工具.可視化分析技術(shù)可以進(jìn)一步對(duì)蜜罐捕獲的安全威脅數(shù)據(jù)進(jìn)行2D圖形化與3D動(dòng)畫(huà)效果展示,以非常直觀的方式將威脅數(shù)據(jù)展示給安全研究人員,使其快速理解捕獲安全威脅的整體態(tài)勢(shì),并發(fā)現(xiàn)其中可能包含的異常事件.Krasse等人實(shí)現(xiàn)了一種結(jié)合平行坐標(biāo)線連接分析與基于時(shí)間序列的稀疏線動(dòng)畫(huà)效果的可視化技術(shù),對(duì)蜜網(wǎng)中捕獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行動(dòng)態(tài)展示.針對(duì)多種實(shí)時(shí)與取證分析數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)測(cè)試,驗(yàn)證了該可視化技術(shù)可以有效地幫助安全研究人員理解蜜網(wǎng)捕獲的大量威脅數(shù)據(jù).更進(jìn)一步的威脅數(shù)據(jù)分析方法能夠解釋出捕獲數(shù)據(jù)背后的根源,Almotairi等人采用PCA(principalcomponentanalysis)方法從Leurré.com分布式蜜罐系統(tǒng)數(shù)據(jù)提取出潛在的攻擊行為聚類(lèi),并進(jìn)行歸因分析.Thonnarda等人同樣以Leurré.com系統(tǒng)數(shù)據(jù)作為實(shí)驗(yàn)對(duì)象,提出了基于攻擊時(shí)序相似性的聚類(lèi)方法,從蜜網(wǎng)數(shù)據(jù)中發(fā)現(xiàn)普遍的攻擊模式.Zhuge等人則應(yīng)用了關(guān)聯(lián)分析方法,在安全知識(shí)庫(kù)的支持下,該方法能夠從蜜網(wǎng)捕獲安全威脅數(shù)據(jù)中識(shí)別出攻擊規(guī)劃,并重構(gòu)出攻擊過(guò)程場(chǎng)景,從而有助于安全研究人員更好地發(fā)現(xiàn)和理解捕獲數(shù)據(jù)中蘊(yùn)含的攻擊場(chǎng)景.2.4蜜罐識(shí)別與檢測(cè)技術(shù)在蜜罐技術(shù)得到安全社區(qū)的廣泛關(guān)注之后,一些黑客與安全研究人員從攻擊方角度對(duì)蜜罐識(shí)別與繞過(guò)等反蜜罐技術(shù)開(kāi)展研究,并提出了一系列對(duì)抗現(xiàn)有蜜罐技術(shù)的機(jī)制.Krawetz介紹了第一個(gè)公開(kāi)的反蜜罐軟件HoneypotHunter,該軟件應(yīng)對(duì)蜜罐對(duì)垃圾郵件發(fā)送者造成的威脅,嘗試在互聯(lián)網(wǎng)開(kāi)放代理服務(wù)器中識(shí)別出偽裝的蜜罐主機(jī),從而避免垃圾郵件發(fā)送者落入蜜罐的圈套.Corey則在黑客界的著名電子期刊《Phrack》發(fā)表了一篇技術(shù)文章,針對(duì)當(dāng)時(shí)主流的第二代蜜網(wǎng)中的Sebek系統(tǒng)行為監(jiān)控工具、Honeyd虛擬蜜罐與VMware虛擬機(jī)環(huán)境提出了蜜罐識(shí)別與檢測(cè)技術(shù).Dornseif等人也針對(duì)Sebek行為監(jiān)控組件提出了識(shí)別與移除Sebek的技術(shù)方法.Oudot等人總結(jié)了可以從網(wǎng)絡(luò)層面上檢測(cè)識(shí)別蜜罐技術(shù)的現(xiàn)有方法,Holz等人則總結(jié)了可以從系統(tǒng)層面上檢測(cè)識(shí)別蜜罐技術(shù)的現(xiàn)有方法.Zou等人也在僵尸網(wǎng)絡(luò)的構(gòu)建與維護(hù)過(guò)程中引入對(duì)蜜罐識(shí)別的問(wèn)題,基于蜜罐部署時(shí)必須采用攻擊控制機(jī)制防止蜜罐參與真正攻擊過(guò)程的前提假設(shè),提出了一種創(chuàng)新的“兩階段偵察”僵尸網(wǎng)絡(luò)傳播方式,以確保僵尸網(wǎng)絡(luò)構(gòu)建過(guò)程中不會(huì)包含蜜罐節(jié)點(diǎn).為了應(yīng)對(duì)攻擊方所引入的反蜜罐技術(shù),蜜罐研究社區(qū)也以一種技術(shù)博弈與對(duì)抗的思維,研究更具隱蔽性的攻擊監(jiān)控技術(shù)體系,其中一個(gè)非常重要的研究進(jìn)展就是將系統(tǒng)行為監(jiān)控技術(shù)從原先的內(nèi)核層向更為底層的虛擬層進(jìn)行轉(zhuǎn)移.Quynh等人在Xen虛擬層中實(shí)現(xiàn)了對(duì)蜜罐系統(tǒng)行為的監(jiān)控,構(gòu)建了Xebek,以替代Sebek工具.Jiang等人也提出了一種針對(duì)虛擬化部署高交互式蜜罐的外部監(jiān)控技術(shù),實(shí)現(xiàn)了VMScope蜜罐行為監(jiān)控軟件.Song等人則在Qemu開(kāi)源虛擬機(jī)中增加任意指定系統(tǒng)調(diào)用或應(yīng)用層函數(shù)上的斷點(diǎn)監(jiān)控機(jī)制,能夠更加靈活地提取到各類(lèi)系統(tǒng)行為記錄與運(yùn)行結(jié)果信息.3健全網(wǎng)絡(luò)部署結(jié)構(gòu)在蜜罐工具軟件與關(guān)鍵機(jī)制隨著安全威脅變化而不斷得到發(fā)展的同時(shí),如何有效地結(jié)合應(yīng)用不同類(lèi)型蜜罐技術(shù),在公共互聯(lián)網(wǎng)或大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中進(jìn)行部署,以擴(kuò)大安全威脅的監(jiān)測(cè)范圍并提升監(jiān)測(cè)能力,成為了蜜罐技術(shù)社區(qū)研究與工程實(shí)踐中的一個(gè)重要關(guān)注點(diǎn).蜜罐技術(shù)社區(qū)也逐漸提出了蜜網(wǎng)、分布式蜜罐與分布式蜜網(wǎng)、蜜場(chǎng)等部署結(jié)構(gòu)框架.3.1蜜網(wǎng)網(wǎng)關(guān)的安全威脅分析蜜網(wǎng)(honeynet)技術(shù)的提出,為系統(tǒng)可控地部署多種類(lèi)型蜜罐提供了基礎(chǔ)體系結(jié)構(gòu)支持.蜜網(wǎng)技術(shù)從概念證明性的第一代,經(jīng)過(guò)逐漸成熟和完善的第二代,目前已步入完整、易部署、易維護(hù)的第三代,圖3顯示了蜜網(wǎng)的基本結(jié)構(gòu),多臺(tái)各種類(lèi)型的蜜罐系統(tǒng)構(gòu)成蜜網(wǎng)網(wǎng)絡(luò),并通過(guò)一個(gè)以橋接模式部署的蜜網(wǎng)網(wǎng)關(guān)(HoneyWall)與外部網(wǎng)絡(luò)連接.蜜網(wǎng)網(wǎng)關(guān)構(gòu)成了蜜網(wǎng)與外部網(wǎng)絡(luò)的唯一連接點(diǎn),外部網(wǎng)絡(luò)所有與蜜罐系統(tǒng)的網(wǎng)絡(luò)交互流量都將通過(guò)蜜網(wǎng)網(wǎng)關(guān),因此,在蜜網(wǎng)網(wǎng)關(guān)上可以實(shí)現(xiàn)對(duì)安全威脅的網(wǎng)絡(luò)數(shù)據(jù)捕獲,以及對(duì)攻擊進(jìn)行有效控制.此外,蜜網(wǎng)網(wǎng)關(guān)的橋接方式不對(duì)外提供IP地址,同時(shí)也不對(duì)通過(guò)的網(wǎng)絡(luò)流量進(jìn)行TTL遞減與路由,以確保蜜網(wǎng)網(wǎng)關(guān)極難被攻擊方發(fā)現(xiàn).而安全研究人員通過(guò)蜜網(wǎng)網(wǎng)關(guān)的管理接口連接對(duì)蜜網(wǎng)網(wǎng)關(guān)進(jìn)行管理控制,以及對(duì)蜜網(wǎng)網(wǎng)關(guān)上捕獲和匯集的安全威脅數(shù)據(jù)進(jìn)行分析.由于蜜網(wǎng)結(jié)構(gòu)提供了安全可控的蜜罐部署環(huán)境,因此除了集成部署各種類(lèi)型的蜜罐工具軟件之外,還可以直接在蜜網(wǎng)中包含真實(shí)系統(tǒng)作為高度欺騙性的蜜罐,這使得攻擊者可以和真實(shí)的操作系統(tǒng)與應(yīng)用服務(wù)進(jìn)行交互,讓攻擊者在蜜網(wǎng)中有更充分的活動(dòng)空間,也保證了安全研究人員能夠捕獲到更加豐富和全面的威脅數(shù)據(jù).3.2基于開(kāi)發(fā)的分布式蜜罐分布式蜜罐/蜜網(wǎng)是目前安全研究機(jī)構(gòu)、CERT組織與安全公司基于蜜罐技術(shù)搭建互聯(lián)網(wǎng)安全威脅監(jiān)測(cè)體系的典型技術(shù)方案,但已有的、公開(kāi)的分布式蜜罐/蜜網(wǎng)系統(tǒng)在采用底層蜜罐技術(shù)、資源要求與系統(tǒng)組織方式等方面均存在著較大的差異.歐洲電信的L分布式蜜罐系統(tǒng)基于Honeyd虛擬蜜罐工具軟件,可以采用資源要求較低的低成本硬件進(jìn)行部署,容易維護(hù)且部署安全風(fēng)險(xiǎn)很低,這使得L系統(tǒng)能夠以自愿加盟的方式在世界五大洲的28個(gè)國(guó)家部署了70個(gè)節(jié)點(diǎn),從2004年~2008年3月,共捕獲了來(lái)自于近350萬(wàn)源IP地址的大量網(wǎng)絡(luò)會(huì)話并通過(guò)聚類(lèi)分析、數(shù)據(jù)挖掘等方法從中發(fā)現(xiàn)安全威脅根源.巴西CERT的分布式蜜罐系統(tǒng)與L系統(tǒng)類(lèi)似地采用了Honeyd框架與合作加盟方式,在巴西國(guó)內(nèi)部署了近30個(gè)節(jié)點(diǎn),以構(gòu)建國(guó)家互聯(lián)網(wǎng)安全預(yù)警系統(tǒng).然而,僅僅依賴(lài)單一的Honeyd虛擬蜜罐框架軟件和一些定制的模擬服務(wù)腳本,只能為互聯(lián)網(wǎng)安全威脅提供非常受限的交互環(huán)境,無(wú)法觸發(fā)和記錄網(wǎng)絡(luò)攻擊會(huì)話的完整信息.因此,之后開(kāi)發(fā)與部署的分布式蜜網(wǎng)系統(tǒng)往往將基于模擬的低交互式蜜罐與使用真實(shí)系統(tǒng)的高交互式蜜罐相結(jié)合,以結(jié)合兩者各自的優(yōu)勢(shì).TheHoneyneProject推進(jìn)的GDH分布式蜜網(wǎng)系統(tǒng)以VMware虛擬化平臺(tái)結(jié)合Nepenthes虛擬蜜罐、Kojoney蜜罐與高交互式蜜罐,采用分支團(tuán)隊(duì)合作加盟方式部署了11個(gè)節(jié)點(diǎn),在2007年3月~5月運(yùn)行期間,捕獲了30多萬(wàn)個(gè)不同源IP地址的7300多萬(wàn)個(gè)網(wǎng)絡(luò)會(huì)話連接、67萬(wàn)余次SSH口令嘗試以及1680個(gè)不同的惡意代碼樣本2005年~2008年,Zhuge等人支持CNCERT/CC研發(fā)和部署Matrix中國(guó)分布式蜜網(wǎng)系統(tǒng),采用自主實(shí)現(xiàn)的HoneyBow高交互式蜜罐,并集成Nepenthes蜜罐,利用CNCERT/CC在全國(guó)的分支機(jī)構(gòu)的硬件與網(wǎng)絡(luò)資源條件,在31個(gè)省市區(qū)共部署了50個(gè)節(jié)點(diǎn),從完成部署后的2006年10月~2007年6月的8個(gè)月時(shí)間中,共捕獲了約80萬(wàn)次惡意代碼感染,提取到近10萬(wàn)個(gè)不同的惡意代碼樣本.在國(guó)家中心部署的惡意代碼自動(dòng)分析服務(wù)與僵尸網(wǎng)絡(luò)跟蹤工具軟件的進(jìn)一步支持下,Matrix系統(tǒng)發(fā)現(xiàn)并監(jiān)測(cè)了3290個(gè)不同的IRC僵尸網(wǎng)絡(luò),并對(duì)IRC僵尸網(wǎng)絡(luò)行為模式進(jìn)行了細(xì)致的調(diào)查分析.歐洲電信將L系統(tǒng)升級(jí)改造為SGNET,以分布式方式部署添加了ScriptGen功能特性的Honeyd虛擬蜜罐,ScriptGen技術(shù)能夠?qū)W習(xí)網(wǎng)絡(luò)應(yīng)用協(xié)議的自動(dòng)狀態(tài)機(jī),并生成Honeyd中相應(yīng)服務(wù)模擬腳本,從而提升蜜罐系統(tǒng)為攻擊者提供的交互程度.3.3蜜場(chǎng)技術(shù)框架蜜場(chǎng)概念的引入,為基于蜜罐技術(shù)構(gòu)建網(wǎng)絡(luò)安全威脅監(jiān)測(cè)體系提供了一種不同的部署結(jié)構(gòu)模式,也為將蜜罐技術(shù)用于直接防護(hù)大規(guī)模分布式業(yè)務(wù)網(wǎng)絡(luò)提供了一條可行的途徑.如圖4所示,在蜜場(chǎng)體系架構(gòu)中,蜜罐系統(tǒng)都被集中部署于一個(gè)受控的欺騙網(wǎng)絡(luò)環(huán)境中,由安全專(zhuān)家來(lái)負(fù)責(zé)維護(hù)、管理與威脅數(shù)據(jù)分析,而在業(yè)務(wù)網(wǎng)絡(luò)中僅僅部署一些輕量級(jí)的重定向器,對(duì)以未使用IP地址為目標(biāo)的網(wǎng)絡(luò)流量或者通過(guò)入侵防御系統(tǒng)等設(shè)備檢測(cè)出的已知網(wǎng)絡(luò)攻擊會(huì)話,重定向遷移至蜜場(chǎng)環(huán)境中,由蜜罐系統(tǒng)與攻擊源進(jìn)行交互,在具有偽裝性的欺騙環(huán)境中更加深入地分析這些安全威脅.Jiang等人采用蜜場(chǎng)技術(shù)概念實(shí)現(xiàn)了Collapsar系統(tǒng),用于網(wǎng)絡(luò)攻擊的檢測(cè)與深入分析,通過(guò)幾個(gè)真實(shí)捕獲的攻擊事件案例驗(yàn)證了系統(tǒng)的有效性與實(shí)用性.蜜場(chǎng)技術(shù)框架實(shí)現(xiàn)的難點(diǎn),在于重定向網(wǎng)絡(luò)攻擊會(huì)話的透明性以及蜜場(chǎng)環(huán)境對(duì)于分析大量網(wǎng)絡(luò)攻擊連接的可擴(kuò)展性.陸騰飛等人在應(yīng)用蜜場(chǎng)技術(shù)構(gòu)建的主動(dòng)式網(wǎng)絡(luò)安全防護(hù)系統(tǒng)Icarus中,引入了具備高度透明性的網(wǎng)絡(luò)會(huì)話重定向與遷移技術(shù),通過(guò)策略路由方式將指定的網(wǎng)絡(luò)攻擊連接從業(yè)務(wù)網(wǎng)絡(luò)中透明地重定向到蜜場(chǎng)網(wǎng)關(guān),首先交由其上部署的低交互式蜜罐與攻擊源進(jìn)行交互,在低交互式蜜罐對(duì)于一些未知攻擊無(wú)法進(jìn)行正確響應(yīng)時(shí),再通過(guò)TCP會(huì)話遷移過(guò)程將攻擊會(huì)話無(wú)縫地遷移到高交互式蜜罐中.這種蜜罐多級(jí)部署策略可以有效提升蜜場(chǎng)環(huán)境的可擴(kuò)展性,而網(wǎng)絡(luò)攻擊會(huì)話遷移技術(shù)能夠保證整個(gè)交互響應(yīng)過(guò)程對(duì)攻擊方的透明性.為了緩解蜜場(chǎng)環(huán)境中大規(guī)模監(jiān)控安全威脅與更為深入地捕獲威脅數(shù)據(jù)之間的矛盾,Vrable等人利用虛擬化技術(shù)、最大限度的內(nèi)存共享機(jī)制和資源延遲綁定策略實(shí)現(xiàn)了Potemkin原型蜜場(chǎng)系統(tǒng),能夠使用有限的硬件資源同時(shí)模擬出超過(guò)64000個(gè)蜜罐系統(tǒng),有效提升了蜜場(chǎng)環(huán)境的可擴(kuò)展性.4蜜罐技術(shù)的應(yīng)用4.1基于蜜罐技術(shù)的惡意程序檢測(cè)作為一種主動(dòng)安全防御策略,蜜罐技術(shù)最初的應(yīng)用場(chǎng)景是輔助入侵檢測(cè)技術(shù)來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊者與惡意代碼.Kuwatly等人依據(jù)動(dòng)態(tài)蜜罐技術(shù)概念,通過(guò)集成主動(dòng)探測(cè)與被動(dòng)辨識(shí)工具,對(duì)Honeyd虛擬蜜罐進(jìn)行動(dòng)態(tài)配置,在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中構(gòu)建出自適應(yīng)蜜罐系統(tǒng),達(dá)到對(duì)網(wǎng)絡(luò)中非法入侵的檢測(cè)目的.Artail等人進(jìn)一步提出了混雜模式的蜜罐架構(gòu),使用低交互式虛擬蜜罐來(lái)模擬服務(wù)與操作系統(tǒng),并將包含攻擊的惡意流量引導(dǎo)至高交互式真實(shí)服務(wù)蜜罐,增強(qiáng)對(duì)網(wǎng)絡(luò)入侵者行為的監(jiān)視、分析與管控能力.Anagnostakis等人則提出了Shadow(影子)蜜罐的創(chuàng)新思路,組合了蜜罐技術(shù)與異常入侵檢測(cè)技術(shù)的各自?xún)?yōu)勢(shì),首先使用異常檢測(cè)器監(jiān)視所有到受保護(hù)網(wǎng)絡(luò)的流量,檢測(cè)出的可疑流量通過(guò)Shadow蜜罐進(jìn)行處理,Shadow蜜罐與受保護(hù)業(yè)務(wù)系統(tǒng)共享所有內(nèi)部狀態(tài),入侵攻擊在影響受保護(hù)業(yè)務(wù)系統(tǒng)狀態(tài)之前會(huì)被Shadow蜜罐檢測(cè)出來(lái),而被異常檢測(cè)器錯(cuò)誤識(shí)別的合法流量通過(guò)Shadow蜜罐驗(yàn)證之后,由業(yè)務(wù)系統(tǒng)向用戶(hù)提供透明的響應(yīng).蜜罐技術(shù)對(duì)具有主動(dòng)傳播特性的網(wǎng)絡(luò)蠕蟲(chóng)等惡意代碼具有很好的檢測(cè)效果.Dagon等人針對(duì)局域網(wǎng)中如何在爆發(fā)初期就檢測(cè)出蠕蟲(chóng)的問(wèn)題,實(shí)現(xiàn)了腳本驅(qū)動(dòng)并覆蓋大量IP地址范圍的HoneyStat蜜罐系統(tǒng)HoneyStat針對(duì)局域網(wǎng)蠕蟲(chóng)傳播場(chǎng)景,生成內(nèi)存操作、磁盤(pán)寫(xiě)、網(wǎng)絡(luò)這3種不同類(lèi)型的報(bào)警事件,并通過(guò)自動(dòng)化的報(bào)警數(shù)據(jù)收集與關(guān)聯(lián)分析,能夠快速、準(zhǔn)確地檢測(cè)出零日蠕蟲(chóng)爆發(fā).在歐盟FP6計(jì)劃資助的NoAH項(xiàng)目中SweetBait系統(tǒng)集成了SweetPot低交互式蜜罐與Argos高交互式蜜罐對(duì)互聯(lián)網(wǎng)上傳播的蠕蟲(chóng)進(jìn)行實(shí)時(shí)檢測(cè),能夠進(jìn)一步自動(dòng)生成檢測(cè)特征碼,并通過(guò)分布式部署與特征碼共享構(gòu)建蠕蟲(chóng)響應(yīng)機(jī)制,針對(duì)2008年底爆發(fā)的Conficker蠕蟲(chóng)進(jìn)行了在線檢測(cè)與分析,驗(yàn)證了系統(tǒng)的有效性.除了網(wǎng)絡(luò)蠕蟲(chóng)等傳統(tǒng)類(lèi)型惡意代碼之外,研究人員還應(yīng)用蜜罐技術(shù)檢測(cè)與分析針對(duì)瀏覽器等客戶(hù)端軟件的惡意網(wǎng)頁(yè)攻擊.HoneyMonkey系統(tǒng)通過(guò)引入高交互式的客戶(hù)端蜜罐技術(shù),使用安裝了不同補(bǔ)丁級(jí)別的操作系統(tǒng)與瀏覽器軟件來(lái)檢測(cè)和發(fā)現(xiàn)針對(duì)瀏覽器安全漏洞實(shí)施滲透攻擊的惡意頁(yè)面.Google的SafeBrowsing項(xiàng)目中結(jié)合使用了機(jī)器學(xué)習(xí)方法與高交互式客戶(hù)端蜜罐技術(shù),從搜索引擎爬取的海量網(wǎng)頁(yè)中檢測(cè)出超過(guò)300萬(wàn)導(dǎo)致惡意程序植入的URL鏈接,并系統(tǒng)性地對(duì)惡意網(wǎng)頁(yè)現(xiàn)象進(jìn)行了深入分析.4.2基于高分布式蜜罐的惡意代碼樣本檢測(cè)與分類(lèi)在檢測(cè)惡意代碼的基礎(chǔ)上,最近發(fā)展出的蜜罐技術(shù)還具備惡意代碼樣本自動(dòng)捕獲的能力.Nepenthes是最早出現(xiàn)基于蜜罐技術(shù)自動(dòng)化捕獲與采集惡意代碼樣本的開(kāi)源工具,Nepenthes具有靈活的可擴(kuò)展性,使用單臺(tái)物理服務(wù)器就可以覆蓋一個(gè)/18網(wǎng)段的監(jiān)測(cè),在33個(gè)小時(shí)中捕獲了超過(guò)550萬(wàn)次滲透攻擊,并成功捕獲到150萬(wàn)個(gè)惡意代碼樣本,在依據(jù)不同MD5值的消重處理后,最終在這段時(shí)間內(nèi)捕獲了408個(gè)不同的惡意代碼樣本,實(shí)際捕獲數(shù)據(jù)驗(yàn)證了Nepenthes蜜罐在自動(dòng)捕獲主動(dòng)傳播型惡意代碼方面的有效性.HoneyBow系統(tǒng)則實(shí)現(xiàn)了基于高交互式蜜罐的惡意代碼樣本自動(dòng)捕獲流程,在Matrix分布式蜜網(wǎng)系統(tǒng)9個(gè)月的實(shí)際部署與監(jiān)測(cè)周期中HoneyBow平均每天捕獲了296個(gè)不同惡意代碼樣本,較Nepenthes(63.7個(gè))有著明顯的優(yōu)勢(shì),但若集成兩者優(yōu)勢(shì),則可達(dá)到更好的惡意代碼捕獲效果.WebPatrol則針對(duì)攻擊客戶(hù)端的惡意網(wǎng)頁(yè)木馬場(chǎng)景,提出了結(jié)合低交互式蜜罐與“類(lèi)Proxy”Cache與重放技術(shù)的自動(dòng)化捕獲方法,將分布式存儲(chǔ)于多個(gè)Web站點(diǎn)、動(dòng)態(tài)生成且包含多步驟多條路徑的惡意網(wǎng)頁(yè)木馬場(chǎng)景,進(jìn)行較為全面的采集與存儲(chǔ),并支持重放攻擊場(chǎng)景進(jìn)行離線分析,WebPatrol系統(tǒng)在5個(gè)月的時(shí)間內(nèi),從CERNET網(wǎng)絡(luò)中的1248個(gè)被掛馬網(wǎng)站上采集捕獲了26498個(gè)惡意網(wǎng)頁(yè)木馬攻擊場(chǎng)景.研究社區(qū)已經(jīng)證實(shí)了蜜罐技術(shù)在惡意代碼樣本采集方面的能力,因此,反病毒工業(yè)界目前也已經(jīng)普遍地通過(guò)大規(guī)模部署蜜罐來(lái)采集未知惡意代碼樣本,如國(guó)際著名的反病毒廠商Symantec等.4.3基于蜜罐技術(shù)的僵尸網(wǎng)絡(luò)追蹤在檢測(cè)并捕獲安全威脅數(shù)據(jù)之后,蜜罐技術(shù)也為僵尸網(wǎng)絡(luò)、垃圾郵件等特定類(lèi)型安全威脅的追蹤分析提供了很好的環(huán)境支持.僵尸網(wǎng)絡(luò)監(jiān)測(cè)與追蹤是應(yīng)用蜜罐技術(shù)進(jìn)行安全威脅深入分析的一個(gè)熱點(diǎn)方向,其基本流程是由蜜罐捕獲通過(guò)互聯(lián)網(wǎng)主動(dòng)傳播的僵尸程序,然后在受控的蜜網(wǎng)環(huán)境或沙箱中對(duì)僵尸程序進(jìn)行監(jiān)控分析,獲取得到其連接僵尸網(wǎng)絡(luò)命令與控制服務(wù)器的相關(guān)信息,然后以Sybil節(jié)點(diǎn)對(duì)僵尸網(wǎng)絡(luò)進(jìn)行追蹤,在取得足夠多的信息之后可進(jìn)一步進(jìn)行sinkhole、關(guān)停、接管等主動(dòng)遏制手段.Freiling等人最早使用蜜罐技術(shù)來(lái)進(jìn)行僵尸網(wǎng)絡(luò)追蹤,Rajab等人進(jìn)一步提出了一種多角度同時(shí)跟蹤大量實(shí)際僵尸網(wǎng)絡(luò)的方法,包括旨在捕獲僵尸程序的分布式惡意代碼采集體系、對(duì)實(shí)際僵尸網(wǎng)絡(luò)行為獲取內(nèi)部觀察的IRC跟蹤工具以及評(píng)估僵尸網(wǎng)絡(luò)全局傳播足跡的DNS緩存探測(cè)技術(shù),通過(guò)對(duì)多角度獲取數(shù)據(jù)的關(guān)聯(lián)分析,展示了僵尸網(wǎng)絡(luò)的一些行為和結(jié)構(gòu)特性.諸葛建偉等人利用Matrix分布式蜜網(wǎng)系統(tǒng)對(duì)IRC僵尸網(wǎng)絡(luò)行為進(jìn)行了長(zhǎng)期而全面的調(diào)查,揭示了現(xiàn)象特征.Stone-Gross等人在蜜罐技術(shù)監(jiān)測(cè)僵尸網(wǎng)絡(luò)行為的基礎(chǔ)上,通過(guò)搶注動(dòng)態(tài)域名的方法,對(duì)Torpig僵尸網(wǎng)絡(luò)進(jìn)行了接管,不僅追蹤到了18萬(wàn)個(gè)僵尸主機(jī)IP地址,還收集到了70GB的敏感信息,驗(yàn)證了僵尸網(wǎng)絡(luò)追蹤與托管技術(shù)可以達(dá)到的主動(dòng)遏制效果.針對(duì)互聯(lián)網(wǎng)上垃圾郵件泛濫的現(xiàn)象,ProjectHoneyPot項(xiàng)目利用超過(guò)5000位網(wǎng)站管理員自愿安裝的蜜罐軟件監(jiān)控超過(guò)25萬(wàn)個(gè)垃圾郵件誘騙地址,對(duì)收集郵件地址并發(fā)送垃圾郵件的行為進(jìn)行了大規(guī)模的追蹤分析Steding-Jessen等人使用低交互式蜜罐技術(shù)來(lái)研究垃圾郵件發(fā)送者對(duì)開(kāi)放代理的濫用行為,Levchenko等人對(duì)蜜罐采集到的垃圾郵件的地下經(jīng)濟(jì)鏈進(jìn)行追蹤分析,揭示出支付環(huán)節(jié)是這一地下經(jīng)濟(jì)鏈的瓶頸,并建議采取相應(yīng)的管理政策來(lái)遏制其發(fā)展.4.4特征自動(dòng)提取蜜罐系統(tǒng)捕獲到的安全威脅數(shù)據(jù)具有純度高、數(shù)據(jù)量小的優(yōu)勢(shì),通常情況下也不會(huì)含有網(wǎng)絡(luò)正常流量.此外,只要蜜罐系統(tǒng)能夠覆蓋網(wǎng)絡(luò)中的一小部分IP地址范圍,就可以在早期監(jiān)測(cè)到網(wǎng)絡(luò)探測(cè)與滲透攻擊、蠕蟲(chóng)等普遍化的安全威脅.因此,蜜罐非常適合作為網(wǎng)絡(luò)攻擊特征提取的數(shù)據(jù)來(lái)源.安全研究人員提出了多種基于蜜罐數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)攻擊特征提取的方法,本文在表2中對(duì)這些方法進(jìn)行了總結(jié)與對(duì)比分析.Honeycomb是最早公開(kāi)的基于蜜罐技術(shù)進(jìn)行自動(dòng)化網(wǎng)絡(luò)攻擊特征提取的研究工作,作為Honeyd蜜罐的擴(kuò)展模塊而實(shí)現(xiàn),對(duì)于蜜罐接受到的網(wǎng)絡(luò)攻擊連接,通過(guò)與相同目標(biāo)端口的保存網(wǎng)絡(luò)連接負(fù)載進(jìn)行一對(duì)一的最長(zhǎng)公共子串(LCS)匹配,如果匹配到超出最小長(zhǎng)度閾值的公共子串,即生成一條候選特征,這些候選特征再與已有特征集進(jìn)行聚合,生成更新后的攻擊特征庫(kù).Honeycomb提出了利用蜜罐捕獲數(shù)據(jù)進(jìn)行攻擊特征的基礎(chǔ)方法但并未考慮應(yīng)用層協(xié)議語(yǔ)義信息.很多情況下,由于應(yīng)用層協(xié)議頭部中相同內(nèi)容的影響而提取出與攻擊無(wú)關(guān)的無(wú)效特征.Nemean系統(tǒng)針對(duì)Honeycomb的這一缺陷,提出了具有語(yǔ)義感知能力的攻擊特征提取方法,以虛擬蜜罐和Windows2000Server物理蜜罐捕獲的原始數(shù)據(jù)包作為輸入,首先通過(guò)數(shù)據(jù)抽象模塊將原始數(shù)據(jù)包轉(zhuǎn)換為SST半結(jié)構(gòu)化網(wǎng)絡(luò)會(huì)話樹(shù),然后由特征提取模塊應(yīng)用MSG多級(jí)特征泛化算法,將網(wǎng)絡(luò)會(huì)話進(jìn)行聚類(lèi),并對(duì)聚類(lèi)進(jìn)行泛化,生成基于有限狀態(tài)機(jī)的語(yǔ)義敏感特征,最后轉(zhuǎn)換為目標(biāo)入侵檢測(cè)系統(tǒng)的特征規(guī)則格式進(jìn)行實(shí)際應(yīng)用.SweetBait/Argos則針對(duì)主動(dòng)發(fā)布型蜜罐應(yīng)用場(chǎng)景,首先采用動(dòng)態(tài)污點(diǎn)分析技術(shù)來(lái)檢測(cè)出滲透攻擊,并回溯造成EIP指令寄存器被惡意控制的污點(diǎn)數(shù)據(jù)在網(wǎng)絡(luò)會(huì)話流中的具體位置,在特征自動(dòng)提取環(huán)節(jié),則支持LCS最長(zhǎng)公共子串算法與CREST滲透攻擊關(guān)鍵字符串檢測(cè)算法.其中,CREST算法能夠依據(jù)動(dòng)態(tài)污點(diǎn)分析的回溯結(jié)果,提取到簡(jiǎn)練但更加精確的攻擊特征,也能夠部分地對(duì)抗網(wǎng)絡(luò)攻擊的多態(tài)化.HoneyCyber系統(tǒng)利用了double-honeynet部署架構(gòu)來(lái)捕獲多態(tài)網(wǎng)絡(luò)蠕蟲(chóng)的流入會(huì)話與流出會(huì)話,并采用PCA分析方法提取多態(tài)蠕蟲(chóng)不同實(shí)例中的顯著數(shù)據(jù),進(jìn)行自動(dòng)化的特征提取.在實(shí)驗(yàn)中,針對(duì)人工多態(tài)化處理的蠕蟲(chóng)實(shí)例,能夠達(dá)到零誤報(bào)率和較低的漏報(bào)率,但并未針對(duì)實(shí)際流量環(huán)境與多態(tài)蠕蟲(chóng)案例進(jìn)行驗(yàn)證.5討論5.1現(xiàn)有蜜罐技術(shù)的不足與缺陷蜜罐技術(shù)并非像加密、訪問(wèn)控制、防火墻在整體防御體系特定環(huán)節(jié)中擁有著明確的功能需求與定義,而是安全攻防領(lǐng)域中的一種對(duì)抗性思維方式與技術(shù)思路,貫穿于整體防御體系的各個(gè)環(huán)節(jié),體現(xiàn)在防御者與攻擊者之間的智力與技能博弈中.因此,蜜罐技術(shù)并不具備固定且明確的邊界與內(nèi)涵,同時(shí)還在技術(shù)博弈過(guò)程中與攻擊技術(shù)共同發(fā)展和演化,從而始終處于動(dòng)態(tài)變化的狀態(tài),這導(dǎo)致了蜜罐技術(shù)無(wú)法像訪問(wèn)控制等安全技術(shù)那樣擁有著較為明確的理論基礎(chǔ),而更多地依賴(lài)于一些對(duì)抗性的技術(shù)策略與手段技巧.這也意味著,現(xiàn)有的蜜罐技術(shù)無(wú)法擁有科學(xué)理論的基礎(chǔ)支持,同時(shí)也難以形成通用化的工程產(chǎn)品形態(tài)與標(biāo)準(zhǔn)規(guī)范.在安全業(yè)界市場(chǎng)