蜜罐的概念

"蜜罐"這一概念最初出現(xiàn)在1990 年出版的一本小說《The Cuckoo's Egg》中，在這本小說中描述了作者作為一個(gè)公司的網(wǎng)絡(luò)管理員，如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事。"

蜜網(wǎng)項(xiàng)目組"（The Honeynet Project）的創(chuàng)始人Lance Spitzner給出了對(duì)蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷。這個(gè)定義表明蜜罐并無其他實(shí)際作用，因此所有流入/流出蜜罐的網(wǎng)絡(luò)流量都可能預(yù)示了掃描、攻擊和攻陷。而蜜罐的核心價(jià)值就在于對(duì)這些攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析。

蜜罐并非一種安全解決方案，這是因?yàn)槊酃薏⒉粫?huì)"修理"任何錯(cuò)誤。

蜜罐只是一種工具，如何使用這個(gè)工具取決于使用者想要做到什么。蜜罐可以僅僅是一個(gè)對(duì)其他系統(tǒng)和應(yīng)用的仿真，可以創(chuàng)建一個(gè)監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個(gè)標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)。無論使用者如何建立和使用蜜罐，只有蜜罐受到攻擊，它的作用才能發(fā)揮出來。為了方便攻擊者攻擊，最好是將蜜罐設(shè)置成域名服務(wù)器（Domain Name Server, DNS）、Web或電子郵件轉(zhuǎn)發(fā)服務(wù)等流行應(yīng)用中的某一種。蜜罐在系統(tǒng)中的一種配置方法如圖所示，從中可以看出其在整個(gè)安全防護(hù)體系中的地位。

蜜罐是用來被探測(cè)、被攻擊甚至最后被攻陷的，它不會(huì)修補(bǔ)任何東西，這樣就為我們提供了額外的、有價(jià)值的信息。

蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但它卻是其他安全策略所不可代替的一種主動(dòng)防御技術(shù)。#p#

蜜罐的發(fā)展歷程

蜜罐技術(shù)的發(fā)展歷程可以分為以下三個(gè)階段。

從九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”還僅僅限于一種思想，通常由網(wǎng)絡(luò)管理人員應(yīng)用，通過欺騙黑客達(dá)到追蹤的目的。這一階段的蜜罐實(shí)質(zhì)上是一些真正被黑客所攻擊的主機(jī)和系統(tǒng)。

從1998 年開始，蜜罐技術(shù)開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺騙黑客的開源工具，如Fred Cohen 所開發(fā)的DTK（欺騙工具包）、Niels Provos 開發(fā)的Honeyd 等，同時(shí)也出現(xiàn)了像KFSensor、Specter 等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，并對(duì)黑客的攻擊行為做出回應(yīng)，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便。

但是由于虛擬蜜罐工具存在著交互程度低，較容易被黑客識(shí)別等問題，從2000 年之后，安全研究人員更傾向于使用真實(shí)的主機(jī)、操作系統(tǒng)和應(yīng)用程序搭建蜜罐，但與之前不同的是，融入了更強(qiáng)大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個(gè)完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對(duì)他們的攻擊行為進(jìn)行分析。#p#

蜜罐的安全價(jià)值

蜜罐并不會(huì)替代其它安全防護(hù)工具,例如防火墻?入侵檢測(cè)系統(tǒng)等?它們是增強(qiáng)現(xiàn)有安全性的強(qiáng)大工具,是一種可以了解黑客常用工具和工具策略的有效手段?安全就是降低各種網(wǎng)絡(luò)威脅,網(wǎng)絡(luò)用戶永遠(yuǎn)都不能忽視各種威脅的存在,而安全就是降低組織受到的威脅并保護(hù)組織中的信息資源?下面,根據(jù) Bruce Schnerier 在“Secrests and Lies"中的定義,從3個(gè)方面來研究蜜罐的安全實(shí)現(xiàn)價(jià)值?

(1)防護(hù)

安全工作者所能做的就是阻止惡意攻擊者,盡可能地防止威脅?蜜罐則在防護(hù)中做的貢獻(xiàn)很少,蜜罐不會(huì)將那些試圖攻擊的入侵者拒之門外?將入侵者阻擋在外部的安全產(chǎn)品在防護(hù)中可以做到最好,比如關(guān)閉不需要的或不安全的服務(wù),而且還可以通過強(qiáng)認(rèn)證機(jī)制來保障只有合法的用戶才能訪問相應(yīng)的服務(wù)?而蜜罐設(shè)計(jì)的初衷就是妥協(xié),因此它不會(huì)將入侵者拒絕在系統(tǒng)之外,事實(shí)上,蜜罐希望有人闖入系統(tǒng),從而進(jìn)行各項(xiàng)記錄和分析工作?

有些人認(rèn)為誘騙也是一種對(duì)攻擊者進(jìn)行防護(hù)的方法,因?yàn)檎T騙使攻擊者花費(fèi)大量的時(shí)間和資源對(duì)蜜罐進(jìn)行攻擊,這就防止了攻擊者對(duì)實(shí)際資源進(jìn)行攻擊?也就是說,攻擊者會(huì)被吸引到蜜罐中對(duì)它進(jìn)行攻擊演練,從而一定程度上保證了真正的網(wǎng)絡(luò)資源不會(huì)受到攻擊?蜜罐的誘騙在一定程度上的確提供了安全防護(hù)的效果,但是,如果想要得到更高和好的防護(hù)效果,人們會(huì)主動(dòng)去選取那些專門進(jìn)行防護(hù)的安全產(chǎn)品?

(2)檢測(cè)

雖然蜜罐的防護(hù)功能偏弱,但是它有很強(qiáng)的檢測(cè)功能?對(duì)于部分組織來說,檢測(cè)網(wǎng)絡(luò)攻擊是難度系數(shù)很大的一件事?

許多組織面臨的是大量的正常網(wǎng)絡(luò)通信與可疑的網(wǎng)絡(luò)攻擊行為混雜在一起的網(wǎng)絡(luò),比如千兆比特網(wǎng)絡(luò)里的系統(tǒng)日志,想要從大量的網(wǎng)絡(luò)行為中檢測(cè)出攻擊行為是一件非常困難的事情,甚至檢測(cè)出哪些系統(tǒng)已經(jīng)被攻陷也是一件困難的事情?入侵檢測(cè)系統(tǒng)(IDS)是專門為檢測(cè)攻擊而設(shè)計(jì)的檢測(cè)工具,然而 IDS 中發(fā)生的誤報(bào)使系統(tǒng)管理員的工作變得極其繁重?誤報(bào)是指 IDS 的探測(cè)器認(rèn)為那些合法的網(wǎng)絡(luò)行為具備了入侵攻擊行為特征,就向系統(tǒng)管理員發(fā)出警告并要求進(jìn)行處理?由于誤報(bào)率很高,IDS 系統(tǒng)管理員每天不得花費(fèi)大量時(shí)間來處理不計(jì)其數(shù)的報(bào)警信息,以至于不能完全處理完報(bào)警信息數(shù)據(jù)當(dāng)真正的網(wǎng)絡(luò)攻擊行為到來時(shí),系統(tǒng)管理員已經(jīng)疲于處理過多的“誤報(bào)",而放棄了真正的攻擊行為所采取的攻擊行動(dòng)?

高誤報(bào)率往往使IDS失去有效告警的作用,而蜜罐的誤報(bào)率則遠(yuǎn)遠(yuǎn)低于大部分的 IDS 工具?

另一個(gè)問題是漏報(bào),發(fā)生在 IDS 沒有檢測(cè)出攻擊時(shí)?大部分 IDS,無論是基于特征匹配的還是基于協(xié)議分析的,都有可能遺漏新型的或未知的攻擊?目前的 IDS 技術(shù)不能夠有效地對(duì)新型攻擊方法進(jìn)行檢測(cè)?同時(shí),攻擊者們一直在開發(fā)和研究?散布著各種各樣的新型的 IDS 逃避策略,也在不斷開發(fā)著各種各樣的不能被 IDS 檢測(cè)出來的攻擊,甚至是 IDS 本身的攻擊技術(shù),比如 K2的 ADMMutae?

蜜罐可以解決漏報(bào)問題,因?yàn)樗鼈兒茈y躲避也很難被新的攻擊方法攻陷?實(shí)際上使用蜜罐的首要目標(biāo)就是在新的攻擊和未知的攻擊發(fā)生的時(shí)候?qū)⑺鼈儥z測(cè)出來?蜜罐系統(tǒng)管理員無需擔(dān)心特征數(shù)據(jù)庫的更新和檢測(cè)引擎的修訂,也無需知曉對(duì)方使用何種攻擊策略和攻擊工具,因?yàn)槊酃拮钕Ｍ吹降木褪枪羰侨绾芜M(jìn)行的?

蜜罐可以簡(jiǎn)化檢測(cè)的過程?因?yàn)槊酃逈]有任何有效的行為,所以所有與蜜罐相聯(lián)系的網(wǎng)絡(luò)行為都可以認(rèn)定為可疑行為?

從原理上來講,任何連接到蜜罐的連接都應(yīng)該是偵探?掃描和攻擊的一種?無論何時(shí)蜜罐發(fā)起一個(gè)連接,都可以認(rèn)為蜜罐系統(tǒng)向攻擊者妥協(xié),這樣就可以極大地降低誤報(bào)率和漏報(bào)率,從而簡(jiǎn)化了檢測(cè)過程?現(xiàn)在有很多蜜罐系統(tǒng)也自己發(fā)起自己的連接,這樣做的目的也是為了迷惑攻擊者?

其實(shí),從某種意義上講,蜜罐系統(tǒng)已經(jīng)成為一個(gè)越來越復(fù)雜的安全檢測(cè)工具?在某些技術(shù)領(lǐng)域里,而也可被稱作為IDS的一個(gè)新型演變?

(3)響應(yīng)

盡管在一般意義上講,蜜罐也可以進(jìn)行響應(yīng)如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵,這之后發(fā)生的所有的行為都是與入侵者相關(guān)的“污點(diǎn)證明"數(shù)據(jù)但是,如果內(nèi)部用戶和系統(tǒng)行為也摻雜到這些記錄的數(shù)據(jù)中,系統(tǒng)管理員就無法知道區(qū)別,也就無法處理了?就如同系統(tǒng)管理員登錄到網(wǎng)頁服務(wù)器上,發(fā)現(xiàn)所有登錄在網(wǎng)站上的用戶都在使用已經(jīng)被入侵的系統(tǒng),這時(shí)候,再想收集入侵者的攻擊行為證據(jù)就是一件很難的事情?

必須解決的問題是那些發(fā)生入侵事故的系統(tǒng)在被入侵之后不能脫機(jī)工作?否則,這些系統(tǒng)所提供的所有產(chǎn)品服務(wù)都將停止?同時(shí),系統(tǒng)管理員也不能進(jìn)行合適和全面的鑒定分析?

蜜罐可以解決甚至消除以上兩個(gè)問題,它提供了一個(gè)具有低數(shù)據(jù)污染的系統(tǒng),并且這個(gè)系統(tǒng)可以隨時(shí)進(jìn)行脫機(jī)工作?例如,某組織有3臺(tái)服務(wù)器,這些服務(wù)器都被入侵了,系統(tǒng)管理員也可以進(jìn)入系統(tǒng)并可以清楚特定問題,但他依然有可能不知道錯(cuò)誤出在何處?系統(tǒng)受到何種程度的破壞?攻擊者是否依然存在于系統(tǒng)內(nèi)部?攻擊者使用了何種攻擊策略和行為?此時(shí),如果將其中一臺(tái)設(shè)置為蜜罐系統(tǒng),系統(tǒng)管理員則可以將該系統(tǒng)置于脫機(jī)狀態(tài)來進(jìn)行鑒定工作?基于這些分析,系統(tǒng)管理員不僅能知道入侵者是如何進(jìn)入系統(tǒng)的,而且還可以知道他做了那些壞事?根據(jù)這些經(jīng)驗(yàn),系統(tǒng)管理員就可以很好地解決其它2臺(tái)服務(wù)器的安全問題,并可以在以后的工作中較好的防止進(jìn)一步地網(wǎng)絡(luò)攻擊?