蜜罐的伪装

蜜罐的伪装（共3篇）

蜜罐的伪装 篇1

1、引言

随着攻击者知识的日趋成熟，攻击工具和方法的日趋复杂多样，单纯的防火墙、入侵检测等策略已经无法满足对安全高度敏感的部门需求。网络的安全防御必须采用一种纵深的、多样的手段。在这种条件下，蜜罐（Honeypot）技术作为一种新型的网络安全技术，得到了国内外很多研究机构和公司的重视[1]，而且己经开始在不同的环境中发挥其关键作用。

2、蜜罐概述

"蜜罐"最早由Clifford Stoll于1988年5月提出，但明确提出"蜜罐是一个了解黑客的有效手段。"始于Lance Spitzner的"Know Your Enemy"系列文献[2]。

2.1 蜜罐的优势

蜜罐是一个故意设计为有缺陷的系统，专门用于引诱攻击者进入受控环境中，然后使用各种监控技术来捕获攻击者的行为。同时产生关于当前攻击行为、工具、技术的记录，甚至可以通过对应用程序中存在漏洞的数据分析，通过学习攻击者的工具和思路，对系统和网络中存在的漏洞进行修补，进一步提高系统和网络的安全性能，从而降低攻击者取得成功的可能性，有效地减少攻击对重要系统和网络信息的威胁。

因此，蜜罐技术在网络安全领域有很重要的意义，主要体现在以下几个方面[3,4,5]：（1）在抵抗攻击上变被动为主动；（2）让人们认识到自身网络的安全风险和脆弱性，并能有针对性地研究解决方案，增加系统的抗攻击能力；（3）提高事件检测、响应能力，使系统能够应对未知的入侵活动；（4）蜜罐不提供真实服务，收集的证据都是与攻击者有关的信息，信息量不大，可以高效地从中找到网络犯罪证据；（5）蜜罐提供了一个很好的追踪环境。蜜罐中没有敏感数据，如果发现有入侵者进入，不必断开网络连接，可以利用各种技术欺骗他，让他在系统中长时间地逗留，这样就有充足的时间跟踪他，找到他的最初站点。

2.2 蜜罐的分类

2.2.1 根据设计的最终目的不同分类

根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐两类[6]。产品型蜜罐目的在于为一个组织提供包括检测并且对付恶意攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能的网络安全保护。研究型蜜罐专门以获取和研究攻击信息为目的[7]。这类蜜罐并没有增强网络的安全性而是让网络面对各类攻击，利用研究型蜜罐实现对黑客攻击进行追踪和分析，了解黑客所使用的攻击工具及攻击方法，从而掌握他们的心理状态等信息，寻找对付这些威胁更好的方式。

2.2.2 根据蜜罐与攻击者之间进行的交互频率分类

根据蜜罐与攻击者之间进行的交互频率可分为低交互蜜罐、中交互蜜罐和高交互蜜罐[6]。这三种等级的蜜罐各有优缺点，如表1所示。低交互蜜罐最大的特点是为攻击者展示的所有攻击弱点和攻击对象都是模拟的。中交互蜜罐是对真正的操作系统的各种行为的模拟。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别，却有比真正系统还要诱人的攻击目标。高交互蜜罐向攻击者提供真实的系统，攻击者更容易受系统和数据真实性的迷惑。

3、蜜罐实现的关键技术

蜜罐技术的出现填补了现有网络安全技术的一些不足, 但该技术一般不单独使用, 主要作为现有技术的辅助与补充, 协同其他技术一起维护网络的安全。蜜罐系统的实施主要包括以下几种技术：

(1) 网络欺骗技术。为了使蜜罐可以引诱攻击者上当, 使其成为首选的攻击目标，蜜罐使用了各式各样的欺骗技术, 其中包括网络流量模拟、漏洞模拟、虚拟端口响应等。

(2) 数据控制技术。蜜罐作为入侵者的攻击目标也不可避免地被入侵者俘获, 成为他们攻击第三方的跳板。数据控制技术则是基于这样的考虑, 采取"宽进严出"的方法:对所有流入的信息包一般不加以限制, 但对流出的数据进行监控和追踪, 设定某一对外的连接上限。当网络连接数目超过该值时, 便阻塞多余的信息包。这样既可以给予入侵者足够的自由, 又可以防止被攻占的蜜罐系统成为攻击第三方的跳板。

(3) 数据捕捉技术。蜜罐系统可以捕捉防火墙日志、网络流量、系统活动等重要数据, 然后传送至远端日志服务器并给予分析。通过分析所捕获的数据信息, 可以明确入侵者的攻击手段、攻击目的等有用数据, 为管理员对付入侵者提供有力帮助。

(4) 早期预警。由于蜜罐系统预设的漏洞、陷阱等对于入侵者有着很大的吸引力, 所以它一般会成为首选的入侵对象。而蜜罐系统一旦被访问或是扫描, 则可以根据实际情况及早通知网络管理员, 对网络实施监控。蜜罐系统的预警信息理论上比IDS要准确。

4、存在的问题

蜜罐最大的缺点就是视野的局限性。如果某个攻击者进入了网络中并攻击了很多系统，除非蜜罐本身受到了直接攻击，否则蜜罐会意识不到这些活动的进行。同时，蜜罐的数据收集的价值具有一种显微镜效应，可以帮助研究人员密切关注于价值高的数据，但也与显微镜相类似，蜜罐视野的局限性会忽略掉一些发生在周围的事件。

蜜罐的另一个缺点是指纹识别，尤其是很多商用版本的蜜罐。"指纹识别"指的是由于蜜罐具备一些特定的预期特征或者行为，因而能够被攻击者识别出其真实身份的情况。

蜜罐的第三个缺点是会将风险引入所在环境中。这里所说的风险[5]，指的是一个蜜罐一旦遭受了攻击，就可以被用于攻击、渗透，甚至危害其他的系统或者组织。

5、蜜网

蜜罐自出现以来，主要经历了欺骗系统、蜜罐和蜜网几个发展阶段。欺骗系统侧重于利用蜜罐直接保护工作系统；蜜罐、蜜网则是以了解黑客为主要目的，蜜罐把注意力集中在了解黑客的结果，而蜜网研究所使用的工具的各个方面。

蜜网必须与防火墙及入侵检测等有机地结合为一完美的整体才能发挥各子系统的优势, 否则所起的作用不会太大, 甚至会适得其反。在蜜网中, 蜜罐可部署在防火墙之外、DMZ、安全防线之后和内部网络四个位置，如图1所示。每种方法都有各自的优、缺点。

蜜罐1部署在组织机构的防火墙之外。此位置适于部署低交互蜜罐，能够检测对系统漏洞的攻击行为。最大的优点是防火墙、IDS或任何其它资源都不需要调整，但容易被攻击者识别，被攻破的风险很大，而且不容易定位或捕获到内部攻击者。

蜜罐2部署在组织机构安全防线以内的DMZ，目标是检测及响应高风险网络上的攻击或者未授权活动。蜜罐2隐藏于DMZ区域的各种服务器之中，其工作状态类似于网络内的其他系统 (如Web服务器) ，当攻击者顺序扫描和攻击各服务器时，蜜罐2可以检测到攻击行为，并通过与攻击者的交互响应取证其攻击行为；当攻击者随机选取服务器进行攻击时，蜜罐2有被避开的可能性。蜜罐2不易被攻击者发现，因此只要有出入蜜罐2的活动流量均可判定为可疑的未授权行为，从而可以捕获到高价值的非法活动。在此位置可以部署低交互蜜罐用于检测，高交互蜜罐用于响应。

蜜罐3部署在组织的内部网络，目标是检测或响应来自组织内部的攻击或者未授权活动。可以部署低交互蜜罐用于检测，高交互蜜罐用于响应。

蜜罐4部署在组织安全防线之后，目标是检测和响应突破安全防线后的攻击行为，阻止攻击行为的蔓延。该位置适于部署高交互蜜罐，因为通过防火墙可以很好地进行数据控制。

为了增加捕获的数据量和数据捕获的冗余度，每个位置的蜜罐都可以添加类似蜜罐3位置的嗅探器。蜜罐2、3位置使用高交互蜜罐时，均应在网络中添加可靠的数据控制机制，如二级、三级防火墙或者IDS，或者使用隔离网段以避免高交互蜜罐被攻破成为攻击网络其他机器的跳板，如图2所示。

综上而言，一般情况下，蜜罐放置的实际位置应遵循既能最大程度的确保系统安全性，又能充分发挥系统效率的原则。

6、结论

蜜罐与蜜网技术打破了传统网络安全领域的被动防御模式，相对于其他安全机制，使用简单，配置灵活，占用资源少，可以在复杂环境下有效地工作，而且所收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具，还可以与其他安全机制协作使用，取长补短地对入侵进行检测，查找并发现新型攻击和新型攻击工。但蜜罐也有缺点和不足，主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术，蜜罐技术也要不断地完善和提高。

参考文献

[1]孙印杰, 王敏, 陈智芳.解析蜜罐技术在网络安全中的应用[J].计算机技术与发展, 2008, 18 (7) :129-132.

[2]Lance Spitzner.Honeypots:Tracking Hackers[M].北京:清华大学出版社, 2004.

[3]程杰仁, 殷建平.蜜罐及蜜网技术研究进展[J].计算机技术育发展, 2008, 45 (S uppl.) :375-378.

[4]王传林, 商安宁.蜜罐技术发展初探[J].信息安全与通信保密, 2008, 8:119-121.

[5]The Honeynet Projec&Research Alliance.Know your enemy:tracking Botnets[R/OL]. (2009-05-10) [2009-03-10].http://www.honevnet.ore.2005.

[6]胡征昉.蜜罐技术在入侵检测系统中的应用[D].武汉理工大学硕士学位论文, 2007

[7]史伟奇, 程杰仁, 唐湘滟, 刘运, 张波云.蜜罐技术及其应用综述[J].计算机工程与设计, 2008, 29 (22) :5725-5728.

基于蜜罐的安全技术研究 篇2

1 蜜罐技术概述

1.1 蜜罐的原理

蜜罐是是一种在网络上运行的, 有目的的吸引攻击者, 并记录下攻击者行踪的计算机安全系统。

蜜罐在攻击的检测、分析、捕捉等方面性能优越。相对于传统被动防御的安全工具, 蜜罐的主动检测和响应网络入侵是它最大的优势。它主要对攻击者进行网络欺骗和诱导, 伪装可能存在的安全弱点, 真实服务几乎与诱骗服务一样进而使入侵者区分困难。相对于真是服务来说诱骗服务更容易被发现, 通过使入侵者上当受骗进而延长入侵时间, 大大减少了真正的网络服务被探测到的可能性, 网络探测能迅速检测到入侵者的入侵企图, 系统安全漏洞得到及时修补, 并消耗掉入侵者的资源, 搜集证据。蜜罐技术的基本原理如图1所示。

1.2 蜜罐的体系结构

与蜜罐系统进行的网络通信应排除搜索引擎的网络连接等正常网络通信。在这里提出的蜜罐系统框架是针对未知攻击的, 对已知攻击该系统框架采取了有效措施。蜜罐技术的体系结构如图2所示, 已知的攻击使用网络入侵检测系统Snort过滤掉。日志系统、蜜罐服务系统、入侵检测系统共同构成了蜜罐系统框架。蜜罐服务系统由HTTP、FTP等一系列应用层网络服务组成。日志系统负责转发网络连接、记录日志等。入侵检测系统对连接进行攻击检测并中断攻击连接以保证蜜罐系统的安全, 通过通知日志系统标记攻击会话的方式“过滤”正常的网络通信。

2 几种典型的蜜罐技术

2.1 基本蜜罐

攻击者与应用程序或服务的交互能力是不同类型蜜罐的主要区别。蜜罐系统允许攻击者在各个层面上与系统交互。攻击者可以探测、攻击、破坏这种系统并将利用漏洞进行进一步攻击。这种系统被称为高交互性蜜罐。

还有一种类型交低交互性蜜罐, 它模仿漏洞但攻击者不能与它在各个层面交互。比如nepenthes, 它可以自动收集蠕虫病毒, 它是一种收集病毒代码样本的工具但不能提供对主机的完整模拟。

2.2 客户端蜜罐

传统的服务器蜜罐和客户端蜜罐并不一样。客户端蜜罐会主动搜索恶意服务器而不是被动地等待攻击, 它围绕着那些存在浏览器漏洞的Web服务器。客户端蜜罐可以调查对应用程序的攻击。客户端蜜罐如图3所示:

客户端蜜罐服务器中间的交互, 是为了判断这个服务器是恶意还是善意的。采用高交互性的客户端蜜罐的成本是很高的。因此服务器的选择是提高寻找恶意服务器比率的关键。

这些低交互性的客户端蜜罐的最大好处在于速度的增加和较低的资源消耗。由于蜜罐都是基于规则和签名的, 所以它们不能检测以前没有出现过的攻击。高交互性的蜜罐则具有这种能力, 它不需要预先知道这种攻击便可以检测出来。

3 蜜罐的部署

3.1 蜜罐部署的位置

蜜罐可以放置在任何地方而不需要特殊的环境, 但如果要将其防护性能发挥到最佳则需要对它进行合理的部署。

通常情况下, 高交互蜜罐不需要专用软件就可以进行底层操作系统的安装。一般来说, 安装一个VMware工作站或者用一个类似QEMU的虚拟机, 就足以满足蜜罐对操作系统的要求了。对客户操作系统, 或者是攻击的实际目标进行监测, 需要捕捉到攻击者的所有活动, 比如跟踪键盘记录活动、记录攻击者所用的工具和记载权限扩大尝试。

低交互蜜罐需要在主机操作系统上安装特殊的软件, 另外还要进一步配置, 以便有效地模拟有缺陷的服务。

此外, 还需要强化蜜罐和正常网络之间的隔离。理想的情况是, 蜜罐环境应该部署在自己专用的互联网入口上, 而主机的操作系统管理则放在另一个独立的网络上。另一方面, 低交互蜜罐无法被攻击者全部攻破, 因此它们的保护工作要简单一些。可以把低交互蜜罐系统隔离到一个较小的文件系统中。另外, 低交互蜜罐系统也要与正常网络彻底隔离, 否则低交互蜜罐仍旧会暴露在与高交互蜜罐相同的威胁下。

3.2 蜜罐的部署模式

常见的蜜罐部署模式有布雷区、防护罩、蜜罐农场三种。

3.2.1 布雷区 (The Minefield)

布雷区是最常用的蜜罐部署方式, 这种模式是把蜜罐放在攻击者尽可能容易寻找到的地方。让攻击者自己找到蜜罐而不是引诱它。使用布雷区进行部署时, 蜜罐的配置状况不会立即吸引住攻击者但又能使蜜罐作为第一批攻击目标。

3.2.2 防护罩 (The Shield)

这种部署模式会使攻击者将时间和精力集中在攻击蜜罐系统而不是真正的服务器上, 它主动将攻击通过路由器和防火墙导向安全而且处于控制之下的蜜罐环境中。蜜罐就像是保护真实网络的防护罩一样。通过记录攻击者的攻击方法能够保护使用的服务器, 同时还能防范其他同类型的攻击。

3.2.3 蜜罐农场 (Honey Farm)

蜜罐农场部署是为了便于蜜罐的配置、部署和管理, 它将蜜罐在网络中集中放置, 然后通过引导器将恶意攻击吸引到部署了各种蜜罐的“农场”里并与之交互。这种部署模式使蜜罐管理的难度减小的同时也带来了复杂性, 因此这种部署模式仍然仅停留在概念研究上。

4 结论

蜜罐技术因为其基于欺骗的主动防御和动态取证技术, 使得它在深入剖析、应对互联网安全威胁方面相对传统的计算机静态取证技术来说具有明显优势。

使用漏洞来诱骗入侵者入侵是蜜罐技术的基本思想, 通过精心布置的陷阱监控入侵者的入侵行为并捕获并学习入侵者的相关信息, 达到保护系统安全的目的。蜜罐技术改变了传统网络安全防御技术的被动做法防御入侵者的方法, 进而提出了全新的主动防御的思想。蜜罐技术目前虽然还仍存在着一些争议, 但它毫无疑问是学习“敌情”最好的工具。在安全与反安全之间的这场长期战争中, 主动防御结合被动防御并建立多层次的动态网络安全机制将成为未来安全防御技术的发展趋势。面对日新月异的入侵手段, 在未来网络的攻防战中, 蜜罐系统必须充分吸收最新的技术, 了解入侵者的行为, 不断完善自己, 才能在网络安全领域发挥更大的作用。

摘要：蜜罐是一种网络防御及动态取证技术, 不仅能够主动防御网络攻击, 而且还可以收集入侵者实施攻击的证据。蜜罐能使用端口重定向、报警、网络欺骗、数据捕获和数据控制等技术, 增强动态防护体系的检测与反应能力, 提高网络的安全防护水平。本文从蜜罐技术的原理和体系结构出发, 根据其关键技术, 提出了合理的蜜罐部署方式。

关键词：蜜罐,网络安全,数据控制

参考文献

[1]Spitzner Honeypots-Definitionsand Value ofHoneypots[DB/OL].2001.

[2]郑文婷, 张艳华, 杨磊, 庞玲.蜜罐技术的分析与研究[J].计算机安全, 2011.

[3]王永全, 齐曼.信息犯罪与计算机取证[M].北京:北京大学出版社, 2010.

[4]杨青.基于主动防御的蜜罐技术研究[J].信息技术与信息化, 2007.

[5]程杰仁, 殷建平, 刘运.蜜罐及蜜网技术研究进展[J].计算机研究与发展, 2008.

[6]毕凯, 周炜.基于蜜罐的安全系统设计[J].计算机工程与设计, 2010.

浅谈蜜罐系统的实现技术 篇3

1 蜜罐系统的实现技术

包括蜜罐的伪装、采集信息、数据控制、数据分析四个部分。

1.1 蜜罐的伪装

当蜜罐表现得如同一个正常的工作系统时, 黑客才会对系统进行攻击;只有逼真, 黑客才会在蜜罐上较长时间的停留, 暴露出更多的信息。最初的蜜罐系统采用伪造服务技术, 模仿正常服务器软件的一些基本行为吸引黑客攻击, 但很容易被黑客识破, 采集不到太多的有用黑客信息。采用真实系统作蜜罐, 能提供黑客与系统的交互能力, 伪装程度明显提高。但如果暴露出太多的漏洞, 也会引起黑客的怀疑, 只有适当打一些补丁。使用真实的系统并对系统进行配置, 这样黑客不容易识破真伪。最为逼真的配置办法是把一个修改过敏感信息的工作系统的内容直接复制到蜜罐上, 用虚假的信息替换掉真实的用户信息和文档。更为高级的蜜罐系统是设置一个包含多台蜜罐机的网络环境, 来提高蜜罐系统的伪装程度。目前有以下集中伪装方法:

1.1.1 模拟服务端口

诱骗黑客攻击的常用欺骗手段是侦听非工作的服务端口。当黑客通过端口扫描检测到系统打开了非工作的服务端口时, 他们很可能主动向这些端口发起连接, 并试图利用应用服务的漏洞或已知系统来发送攻击代码。而蜜罐系统通过端口响应来收集所需要的信息。但是由于简单的模拟非工作服务端口, 最多只能与黑客建立连接, 所以获取的信息是有限的。

1.1.2 模拟系统漏洞和应用服务

模拟系统漏洞和应用服务可以预期一些活动, 并且旨在可以给出一些端口响应无法给出的响应。譬如, 可能有一种蠕虫病毒正在扫描特定的IIS漏洞, 在这种情况下, 可以构建一个模拟Microsoft IIS Web服务器的Honeypot, 并包括通常会伴随该程序的一些额外的功能或者行为。无论何时对该Honeypot建立http连接, 它都会以一个IIS Web服务器的身份加以响应, 从而为攻击者提供一个与实际的IIS Web服务器进行交互的机会。这种级别的交互比端口模拟所收集到的信息要丰富得多。

1.1.3 IP空间欺骗

I P空间欺骗利用计算机的多宿主能力在一块儿网卡上分配多个IP地址来增加入侵者的搜索空间, 使他们的工作量增加。使用这项技术和虚拟机技术来建立一个大的虚拟网段, 只需要极低的花费。如一些蜜罐系统采用ARP地址欺骗技术, 探测现有网络环境中不存在的IP地址, 并发送ARP数据包假冒不存在的主机从而达到IP欺骗的目的。

1.1.4 流量仿真

入侵者侵入系统后, 他们通常会非常谨慎。他们可能会使用一些工具分析系统的网络流量, 如果发现系统网络流量很少, 就会怀疑系统的真实性。流量仿真是利用各种技术手段产生欺骗的网络流量使流量分析不能检测到欺骗。现在主要的方法有两种。一是采用实时或重现的方式复制真正的网络流量, 这使得欺骗系统与真实的系统十分相似。二是从远程伪造流量, 使入侵者可以利用和发现。

网络流量最终在网络层都是体现为独立数据包, 即便是应用层向下递交的较大的数据报文, 经过分片后依然是各自携带源和目的网络地址、单独寻址的数据包。所有的这些数据包, 包括各种各样的网络访问和通信在数据链路层都体现为离散的数据帧。网络流量仿真的作用是在黑客对网络进行嗅探时掩盖蜜罐的欺骗性, 目前的嗅探工具一般都是在网络层侦听, 所以最直接的网络流量仿真方法就是实时地发送大量离散的网络数据包, 在一定程度上模拟网络系统的网络行为。

1.1.5 网络动态配置

真实网络系统除了其网络状态外, 其系统状态通常也是随时间而改变的, 是动态的。黑客可能会对系统的状态进行较长时间的观察, 如果蜜罐的系统状态总是不变, 那么在入侵者就会产生疑问。当蜜罐被识破, 掉进其中的黑客就会很快逃走, 甚至进行一些针对蜜罐的报复性攻击。因此, 需要系统动态配置来模拟正常的系统行为, 使蜜罐也像真实网络系统那样随时间而改变。动态配置的系统状态应该能尽可能地反映出真实系统的特性。生产型蜜罐保护关键系统, 其系统状态应该同关键系统尽量保持一致, 系统动态配置对于这类蜜罐更加重要。系统提供的网络服务的开启、关闭、重启、配置等都应该在蜜罐中有相应的体现和调整。对于研究型蜜罐, 适时地调整其各种系统状态和配置使系统更逼真, 增加其对黑客的欺骗性。

1.1.6 组织信息欺骗

如果某个组织提供有关个人和系统信息的访问, 那么欺骗也必须以某种方式反映出这些信息。例如, 如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息, 那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置, 否则欺骗很容易被发现。而且, 伪造的人和位置也需要有伪造的信息。

1.1.7 网络服务

网络服务往往与特定的系统漏洞联系在一起, 系统漏洞通常是通过网络服务暴露在黑客的而前, 网络服务往往是攻击者侵入系统的入口, 可以吸引黑客的注意, 也使蜜罐更接近一个真实的系统。

1.1.8 蜜罐主机

蜜罐主机类似于蜜罐的罐, 它负责与入侵者交互, 是捕捉入侵者活动的主要场所。蜜罐主机可以是模拟的或真实的各种操作系统。与一般的系统不同之处在于, 该系统处于严密的监视和控制之下。入侵者与系统的每一次交互都在不被他们察觉的情况下被日志记录。使用虚拟机技术主要有两个优点, 一是在单机上运行多个拥有各自网络界面的客户操作系统可以模拟一个网络, 二是在客户操作系统被入侵者破坏后我们的宿主操作系统不会受影响, 这样可以保护宿主操作系统的安全, 增强蜜罐系统的健壮性。

1.2 数据采集

数据采集是蜜罐的核心功能模块。数据采集的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作。低交互度蜜罐多是由运行于特定操作系统上的软件来实现, 数据的采集多是采用日志记录, 数据采集有限。低交互度蜜罐的作用体现在对业务网络的保护上, 在数据采集和数据控制功能方面能力有限。对比于低交互度蜜罐, 高交互度蜜罐系统的数据采集功能优势明显, 高交互度蜜罐系统的数据采集可以分为三层来实现, 每一层采集的数据各不相同。最外层数据采集由防火墙来完成, 主要是对出入蜜罐系统的网络连接进行日志记录, 这些日志记录存放在防火墙本地, 防止被入侵者删除更改。第二层数据采集由IDS来完成, IDS抓取蜜罐系统内所有的网络包, 这些抓取的网络包存放在IDS本地。最里层的数据采集由蜜罐主机来完成, 主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示, 这些数据通过网络传输送到远程日志服务器存放。

1.3 数据分析

把蜜罐放在互联网上, 会有许多黑客访问蜜罐, 其中有些仅仅是扫描, 也有能真正侵入系统的黑客, 这就需要分析方法, 及时发现侵入系统的黑客。Honeypot组织提到一旦发现从蜜罐机发出的连接, 就认为蜜罐被黑客侵入。这种方法很容易漏掉一些黑客攻击。较好的方法是增加一些统计手段, 如计算黑客在蜜罐上的停留时间, 以发现对蜜罐有较高兴趣的黑客。蜜罐系统需要从系统、网络等多方面进行信息采集, 任何单方面的数据都可能被黑客破坏, 这些数据需要相互印证分析, 以确定黑客的真实活动及其影响。

1.4 数据控制

蜜罐系统作为黑客的攻击目标, 其自身的安全尤其重要, 如果蜜罐系统被攻破, 那么我们将得不到任何有价值的信息, 同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一, 用于保障蜜罐系统自身的安全。我们允许所有对蜜罐的访问, 但是我们要对从蜜罐系统外出的网络连接进行控制, 当蜜罐系统发起外出的连接, 说明蜜罐主机被入侵者攻破了, 而这些外出的连接很可能是入侵者利用蜜罐对其他的系统发起的攻击连接。我们可以限制一定时间段内外出的连接数, 甚至可以修改这些外出连接的网络包, 使其不能到达它的目的地, 同时又给入侵者网络包已正常发出的假象。蜜罐系统通常有两层数据控制, 分别是连接控制和路由控制。连接控制由防火墙来完成, 通过防火墙限制蜜罐系统外出的连接。路由控制由路由器来完成, 主要利用路由器的访问控制功能对外出的数据包进行控制, 以防止蜜罐系统作为攻击源向其他系统发起IP欺骗、DOS、ICMP攻击、SYN、SMURF等攻击, 路由器蜜罐技术研究可用网关代替, 网关没有网络地址, 因此在网关上进行控制操作更加的隐蔽, 不易被黑客察觉。

2 存在的问题

2.1 视野狭窄

蜜罐最大的缺点就是视野狭窄;它只能看到针对它自身的行为。如果某个攻击者闯入了网络, 并攻击了很多系统, 但没有直接攻击Honeypot, Honeypot会意识不到攻击, 除非它本身受到了直接攻击。如果攻击者识别出了Honeypot, 就会避开该系统。蜜罐的数据收集的价值具有一种显微镜效应, 可以帮助研究人员密切关注于价值明了的数据。不过, 也与显微镜相类似, 只能观察到它的镜头下的事件, 忽略掉一些发生在周围的事件。

2.2 指纹

指纹是第二个缺点, 尤其是很多商用版本的蜜罐。Honeypot会有一些专业特征和行为, 使得攻击者发现Honeypot的存在。如果攻击者发现了某个组织在他的内网中使用了Honeypot, 他就有能对Honeypot发动spoof攻击, Honeypot检测到这种spoof攻击后, 就会不断地向管理员发送错误的报警, 这样攻击者就扰乱了视听, 他的目标有能是一个真实的攻击。

2.3 风险

H o n e y p o t的第三个缺点是风险, 它可以将风险引入所在环境中。这里所说的风险, 指的是一个Hon ey p ot一旦遭受了攻击, 它有可能就被攻击者利用, 作为攻击、渗透其他系统或组织的跳板。不同的蜜罐具有不同级别的风险性。有些只会招致很低的风险, 而有些Hon ey p ot却给了攻击者整平台以发动攻击。Honey Pot越简单, 其风险性越小。仅仅模拟几种服务的Hon ey p ot是很难被攻破并用来攻击其他系统的。

3结束语

蜜罐系统是很有价值的资源, 特别是对潜在的攻击者和他们所使用工具相关信息的收集, 因为蜜罐系统的主要任务就是收集信息。蜜罐系统仍然处于成长阶段, 未来有关蜜罐技术的一些新方法和新技术会越来越多。同时, 蜜罐系统越来越复杂, 攻击者对其的探测技术也会层出不穷。

参考文献

[1]王晓东.蜜罐技术研究.四川大学硕士学位论文.2005

[2]赵双红, 刘寿强, 夏娟.基于诱骗式蜜罐系统的设计与应用[J].计算机安全.2003

[3]崔志磊, 房岚, 陶文林.一种全新的网络安全策略一蜜罐及其技术.计算机应用与软件.2004, 21 (2)

[4]连一峰, 王航.网络攻击原理和技术.北京:科学出版社.2004:279-348