深入解析蜜罐技術之概念介紹
蜜罐技術前的噩夢
1993年以后Internet開始商用化,通過Internet進行的各種電子商務業務日益增多,加之Internet/Intranet技術日趨成熟,很多組織和企業都建立了自己的內部網絡并將之與Internet聯通。電子商務應用和企業網絡中的商業秘密均成為攻擊者的目標。
據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球范圍內每數秒鐘就發生一起網絡攻擊事件。2003年夏天,對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢!也給廣大網民留下了悲傷的回憶,這一些都歸結于沖擊波蠕蟲的全世界范圍的傳播。
蜜罐技術的發展背景
網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效的防護。網絡安全防護涉及面很廣,從技術層面上講主要包括防火墻技術、入侵檢測技術,病毒防護技術,數據加密和認證技術等。在這些安全技術中,大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而蜜罐技術可以采取主動的方式。
顧名思義,就是用特有的特征吸引攻擊者,同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。(在這里,可能要聲明一下,剛才也說了,“用特有的特征去吸引攻擊者”,也許有人會認為你去吸引攻擊者,這是不是一種自找麻煩呢,但是,我想,如果攻擊者不對你進行攻擊的話,你又怎么能吸引他呢?換一種說話,也許就叫誘敵深入了)。
蜜罐的概念
在這里,我們首先就提出蜜罐的概念。美國 L.Spizner是一個著名的蜜罐技術專家。他曾對蜜罐做了這樣的一個定義:蜜罐是一種資源,它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的,蜜罐不會修補任何東西,這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網絡安全,但是它卻是其他安全策略所不可替代的一種主動防御技術。
具體的來講,蜜罐系統最為重要的功能是對系統中所有操作和行為進行監視和記錄,可以網絡安全專家通過精心的偽裝,使得攻擊者在進入到目標系統后仍不知道自己所有的行為已經處于系統的監視下。為了吸引攻擊者,通常在蜜罐系統上留下一些安全后門以吸引攻擊者上鉤,或者放置一些網絡攻擊者希望得到的敏感信息,當然這些信息都是虛假的信息。
另外一些蜜罐系統對攻擊者的聊天內容進行記錄,管理員通過研究和分析這些記錄,可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息,還能對攻擊者的活動范圍以及下一個攻擊目標進行了解。同時在某種程度上,這些信息將會成為對攻擊者進行起訴的證據。不過,它僅僅是一個對其他系統和應用的仿真,可以創建一個監禁環境將攻擊者困在其中,還可以是一個標準的產品系統。無論使用者如何建立和使用蜜罐,只有它受到攻擊,它的作用才能發揮出來。
蜜罐的具體分類和體現的安全價值
自從計算機首次互連以來,研究人員和安全專家就一直使用著各種各樣的蜜罐工具,根據不同的標準可以對蜜罐技術進行不同的分類,前面已經提到,使用蜜罐技術是基于安全價值上的考慮。但是,可以肯定的就是,蜜罐技術并不會替代其他安全工具,例如防火墻、系統偵聽等。這里我也就安全方面的價值來對蜜罐技術進行探討。
根據設計的最終目的不同我們可以將蜜罐分為產品型蜜罐和研究型蜜罐兩類。
① 產品型蜜罐一般運用于商業組織的網絡中。它的目的是減輕組織將受到的攻擊的威脅,蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。
⑴這類蜜罐在防護中所做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外,因為蜜罐設計的初衷就是妥協,所以它不會將入侵者拒絕在系統之外,實際上,蜜罐是希望有人闖入系統,從而進行各項記錄和分析工作。
⑵雖然蜜罐的防護功能很弱,但是它卻具有很強的檢測功能,對于許多組織而言,想要從大量的系統日志中檢測出可疑的行為是非常困難的。雖然,有入侵檢測系統(IDS)的存在,但是,IDS發生的誤報和漏報,讓系統管理員疲于處理各種警告和誤報。而蜜罐的作用體現在誤報率遠遠低于大部分IDS工具,也務須當心特征數據庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為,從原理上來講,任何連接到蜜罐的連接都應該是偵聽、掃描或者攻擊的一種,這樣就可以極大的減低誤報率和漏報率,從而簡化檢測的過程。從某種意義上來講,蜜罐已經成為一個越來越復雜的安全檢測工具了。
⑶如果組織內的系統已經被入侵的話,那些發生事故的系統不能進行脫機工作,這樣的話,將導致系統所提供的所有產品服務都將被停止,同時,系統管理員也不能進行合適的鑒定和分析,而蜜罐可以對入侵進行響應,它提供了一個具有低數據污染的系統和犧牲系統可以隨時進行脫機工作。此時,系統管理員將可以對脫機的系統進行分析,并且把分析的結果和經驗運用于以后的系統中。
② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設計。這類蜜罐并沒有增強特定組織的安全性,恰恰相反,蜜罐要做的是讓研究組織面對各類網絡威脅,并尋找能夠對付這些威脅更好的方式,它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊,安全研究組織。
根據蜜罐與攻擊者之間進行的交互,可以分為3類:低交互蜜罐,中交互蜜罐和高交互蜜罐,同時這也體現了蜜罐發展的3個過程。
① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產品系統,而是對各種系統及其提供的服務的模擬。由于它的服務都是模擬的行為,所以蜜罐可以獲得的信息非常有限,只能對攻擊者進行簡單的應答,它是最安全的蜜罐類型。
② 中交互是對真正的操作系統的各種行為的模擬,它提供了更多的交互信息,同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統中,蜜罐可以看起來和一個真正的操作系統沒有區別。它們是真正系統還要誘人的攻擊目標。
③高交互蜜罐具有一個真實的操作系統,它的優點體現在對攻擊者提供真實的系統,當攻擊者獲得ROOT權限后,受系統,數據真實性的迷惑,他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高,如果整個高蜜罐被入侵,那么它就會成為攻擊者下一步攻擊的跳板。目前在國內外的主要蜜罐產品有DTK,空系統,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四種。
蜜罐技術的概念介紹在這里就向大家介紹完了,希望大家已經掌握,在以后的文章中,我們將會繼續向大家介紹相關內容。下一篇我們將會介紹:蜜罐的配置模式和信息收集
【編輯推薦】
