蜜罐技术的探讨
蜜罐技术的探讨
蜜罐技术的发展背景
网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。
蜜罐的定义
“蜜网项目组”(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。
具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。
蜜罐技术的发展历程
蜜罐技术的发展历程分为以下三个阶段。
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分
析。
蜜罐的分类
蜜罐可以按照其部署目的分为产品型蜜罐和研究型蜜罐两类。
产品型蜜罐的目的在于为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。一般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。较具代表性的产品型蜜罐包括DTK、honeyd等开源工具和KFSensor、ManTraq 等一系列的商业产品。
研究型蜜罐则是专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,对黑客攻击进行追踪和分析,能够捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交谈,从而掌握他们的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作,具有代表性的工具是“蜜网项目组”所推出的第二代蜜网技术。
蜜罐还可以按照其交互度的等级划分为低交互蜜罐和高交互蜜罐,交互度反应了黑客在蜜罐上进行攻击活动的自由度。
低交互蜜罐一般仅仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为有限,因此通过低交互蜜罐能够收集的信息也比较有限,同时由于低交互蜜罐通常是模拟的虚拟蜜罐,或多或少存在着一些容易被黑客所识别的指纹(Fingerprinting)信息。产品型蜜罐一般属于低交互蜜罐。
高交互蜜罐则完全提供真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互蜜罐完全是其垂涎已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客活动自由度的同时,自然地加大了部署和维护的复杂度及风险的扩大。研究型蜜罐一般都属于高交互蜜罐,也有部分蜜罐产品,如ManTrap,属于高交互蜜罐。
蜜罐的配置模式
①诱骗服务(deception service)
诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的,所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错觉。例如,当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候,就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。这样,系统管理员便可以记录攻击的细节。
②弱化系统(weakened system)
只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为,获取已知的攻击行为是毫无意义的。
③强化系统(hardened system)
强化系统同弱化系统一样,提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。
④用户模式服务器(user mode server)
用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET 用户向用户模式服务器的IP地址发送请求,主机将接受请求并且转发到用户模式服务器上。(我们用这样一个图形来表示一下他们之间的关系):这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然,其局限性是不适用于所有的操作系统。
典型应用
作为一种全新的网络安全防护技术,蜜罐可以多种不同的形式应用于网络安全的研究和实践中.
1.网络欺骗
为了使Honeypot更具有吸引力,通常会采用各种欺骗手段.在欺骗主机上模拟一些操作系统或者各种漏洞,在一台计算机上模拟整个网络,在系统中产生仿真网络流量、装上虚假的文件路径及看起来像真正有价值的相关信息等等. 通过这些办法,使Honeypot主机更像一个真实的工作系统,诱使攻击者上当,主要方法有:
(1)IP空间欺骗. IP空间欺骗技术利用计算机的多宿主能力,在一块网卡上分配多个IP 地址或一段IP地址,来增加黑客的搜索空间,显著增加他们的工作量,并且增大他们掉进蜜罐的几率,从而起到诱骗效果.
(2)网络流量仿真.产生仿真流量的目的是掩盖蜜罐没有网络流量的马脚,使攻击者不能通过流量分析觉察到诱骗行为.在诱骗系统中产生仿真流量有两种方法:一种方法是采用实时方式或重现方式复制真正的网络流量,这使得欺骗系统与真实系统十分相似. 第二种方法是从远程产生伪造流量,使入侵者可以发现和利用.
(3)网络动态配置. 真实网络系统其系统状态通常是随时间而改变的,是动态的. 机警的黑客可能会对系统的状态进行比较长期性的观察,如果蜜罐的系统状态总是一成不变,入侵者长期监视的情况下就会露出破绽,导致诱骗无效. 因此,需要系统动态配置来模拟正常的系统行为,使蜜罐也像真实网络系统那样随时间而改变. 动态配置的系统状态应该能反映出真实系统的特性.
(4)模拟系统漏洞.网络和计算机操作系统及各种应用软件存在着大量已知和未知的安全漏洞,网络攻击往往是在黑客们发现系统存在可以利用的漏洞之后,不存在安全漏洞的网络系统黑客们也将无从下手,系统漏洞是对黑客的最好诱饵.在蜜罐中尤其是在同入侵者进行直接交互的目标系统上留下各种安全漏洞是最有效、最直接、最简单的攻击诱骗手段.
(5)组织信息欺骗.若某个机构提供有关个人和系统信息的访问,那么诱骗系统也必须以某种方式反映出这些信息. 例如,如果该机构的DNS服务器包含了系统拥有者及其位置的详细信息,那么就需要在诱骗系统的DNS列表中提供伪造的拥有者及其位置,否则诱骗很容易被发现.
2.捕捉蠕虫病毒
蠕虫是一种通过网络传播的恶性病毒,一般传播过程为扫描、感染、复制三个步骤.经过随机大面积扫描探测到存在漏洞的主机时,蠕虫主体就会迁移到目标主机,并在被感染的主机上进行一系列处理,实现对计算机监视、控制和破坏,然后不断重复这个过程在网络中蔓延. 可以利用蜜罐技术在以下两方面来对抗蠕虫病毒.
(1)布置一定数量的虚拟蜜罐在未分配的网络地址上拦截和延缓蠕虫病毒的扫描,保护实际工作网络.受到扫描刺探的可能性取决于被感染的机器数量,病毒传播的速度和布控的蜜罐数量.而病毒传播速度又取决于病毒传播算法,易受攻击主机的数量和地址空间的尺寸影响. 大体上来说,蜜罐布置得越广,蜜罐之一就会越早收到病毒的刺探.
(2)使用蜜罐模拟系统和服务漏洞暴露给蠕虫病毒,进而捕获蠕虫并分析它们的特征,来限制蠕虫在网络上的传播.
蜜罐技术的优点
1 收集数据的保真度,由于蜜罐不提供任何实际的作用,因此其收集到的数据很少,同时收集到的数据很大可能就是由于黑客攻击造成的,蜜罐不依赖于任何复杂的检测技术等,因此减少了漏报率和误报率。
2、使用蜜罐技术能够收集到新的攻击工具和攻击方法,而不像目前的大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击。
3、蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。
4、相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
蜜罐技术的缺点
1、需要较多的时间和精力投入。
2、蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,其视图较为有限,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。
3、蜜罐技术不能直接防护有漏洞的信息系统。
4、部署蜜罐会带来一定的安全风险。部署蜜罐所带来的安全风险主要有蜜罐可能被黑客识别和黑客把蜜罐作为跳板从而对第三方发起攻击。一旦黑客识别出蜜罐后,他将可能通知黑客社团,从而避开蜜罐,甚至他会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使得蜜罐与真实的漏洞主机毫无差异。蜜罐隐藏技术和黑客对蜜罐的识别技术(Anti-Honeypot)之间相当于一个博弈问题,总是在相互竞争中共同发展。另外,蜜罐技术的初衷即是让黑客攻破蜜罐并获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但我们必须防止黑客利用蜜罐作为跳板对第三方网络发起攻击。为了确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候需要研究人员的人工干预。
参考文献
1.《了解病毒之浅谈蜜罐诱骗的基础知识》, 作者:smtk ,赛迪网安全社区.
2.蜜罐_百度百科.
3.《网络蜜罐与网络诱骗技术的研究与应用》,美国GeneChiu基金资助.
4.《蜜罐技术在网络安全中的应用研究》,乔佩利, 岳洋,《哈尔滨理工大学学报》2009年6月第3期第14卷.
论文题目:蜜罐技术在来自内部威胁中的应用
论文题目:蜜罐技术在来自内部威胁中的应用 蜜罐技术在来自内部威胁中的应用 摘要:随着信息技术快发展,网络安全已成为人们日益关注的焦点,蜜罐作为一种主动的安全防御技术出现在网络安全领域,它的价值就在于被攻击和入侵,收集来自于黑客的攻击信息和攻击技术。文章主要论述了蜜罐技术在来自内部威胁的应用。 关键字:蜜罐,主动攻击,网络安全 1.蜜罐技术的引入 蜜罐是一种在互联网上运行的计算机系统,是专门吸收并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。它的一个主要用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐中浪费时间。因此,最初的攻击目标得到了保护,而真正有价值的内容没有被侵犯。同时,它是采用主动攻击的方式,有特有的特征吸引攻击者的注意,同时,对攻击者的各种攻击行为进行分析并找到有效的对付方法。例如,蜜罐系统可以对网上聊天的内容进行记录,系统管理员通过分析研究这些记录,可以得到攻击者采用的攻击工具、手段、目的和攻击水平等信息。在某种程度上,可以作为对攻击者起诉的证据。
2.蜜罐的概念 蜜罐作为一种被侦听、被攻击或已经被入侵的资源,是其他的安全策略所不可替代的一种主动防御技术。它并非是一种安全解决方案,因为它并不会“修理”任何错误,只是一种工具,它取决于使用者想要什么,同时,它可以仿真一个标准的产品系统。只有它受到攻击,才能发挥出来。为了使攻击者方便攻击,最好设置为域名服务器(DNS)、Web或者电子邮件转发服务器等流行应用的某种。配置方式有诱骗技术、弱化系统、强化系统、用户模式服务器。配置的方法如图1所示: 图1所示Honeypot的配置方法 3.蜜罐的分类和特点 分类: (1).从功能角度分类: 1).研究型蜜罐:主要研究网络攻击者的行为、特征及网络攻击发展的趋势。 2).产品型蜜罐:帮助企业机构检测,防御攻击,对事件进行取证,保护组织机构的网络安全。
蜜罐技术是什么
第一章蜜罐技术 蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所 以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都 有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送 给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个 安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此 我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属 于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐 摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。 关键词:蜜罐、网络诱骗、网络安全、蜜网 Phishing technology Honeypot (Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research. Keywords: Honeypot, Phishing, network security, Honeynet 0引言 “蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1](The Honey net Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 1蜜罐技术
蜜罐技术详解与案例分析
1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值
蜜罐系统搭建与测试分析
蜜罐系统搭建与测试分析 互联网作为世界交互的接口,是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是,与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。作为安全防护工
浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用 摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国 际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。 关键词:蜜罐;蜜网;网络安全 1 引言 随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。 2 蜜罐技术 防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。 而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。 蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。 实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。 3 蜜罐技术的分类和比较 目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、
蜜罐技术在防御DDoS中的应用
万方数据
2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用 7l 具有足够威胁的攻击; (2)使攻击者攻击不到真正的目标[10】。 具体方式是切断图1中的两个控制信息流中的任意一个,或者切断攻击流。蜜罐布置如图2所示的 网络结构,在DMZ区有web、E—mail、DNS、m四个 服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DIVIZ区与Intemet用一个防火墙隔离。这些蜜罐的作用是代替 真实服务器接收由攻击傀儡机发送的攻击包。内部 局域网被一个防火墙与DMZ区隔离,包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包 的重定向机制¨¨。 图2蜜罐布置网 2.2安全防范框架 (1)蜜罐技术在防范DDoS攻击中的作用:①目前主流的防火墙都有检测DDoS攻击的功能[121,在防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);②同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;③吸引黑客入侵蜜罐,以蜜罐主机为控制傀儡机,由蜜罐系统控制这些信息流(切断控制信息);④蜜罐系统内安装安全日志,可以记录不同的攻击行为,以供学习。 攻击流 防火±i{{} 芷常访问 服务器 日志服务器 图3网络安全系统框图 (2)利用蜜罐技术防范DDoS攻击的原理,如图3所示。防火墙系统将攻击流量重定向到蜜罐,由蜜罐系统做出回应并进行日志记录。有些攻击可能突 破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器,这台服务器是低交互并加固的,很难被入侵u31。 3应用蜜罐技术防御DoS攻击的性能分析 对上述方案进行了攻击防范实验。攻击采用分 布式的SYNFlood,设置攻击傀儡机的攻击速度从2. 2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机 组成[131。在SYNFlood攻击过程中,单个服务器主 机和蜜罐受到的攻击流量如图4所示。 0 "I∞l∞∞0250 m 图4单个服务器主机和蜜罐受到的攻击流量 为避免被攻击者察觉,这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统[141。一旦防火墙发现攻击者在试图搜寻或入侵网络主机,就会通过地址重定向将这些信息发送到合适的蜜罐,蜜罐将根据初始设置向攻击者发送他所期待的应答,使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”,在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P.,一个网络中有普通主机数k,每一台主机被成功入侵的概率 为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2(1-P。)k/(k+g),入侵蜜罐的概率是Pl+(1一P1)g/(k+g)。 通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的概率P。,降低主机被入侵的概率P2。由图4可见,采用上述蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度。 ”¨¨ ”蛐¨“ “n 攻击覆量¨ H 黜攀 啵卫机生撇 重一 万方数据
蜜罐及蜜网技术简介
蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟,2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告,包括蜜罐和蜜网的基本概念、发展历程、核心功能,并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击;蜜罐;蜜网;诱捕网络 1问题的提出 众所周知,目前的互联网安全面临着巨大的考验。美国CERT(计算机应急
响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。 针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。 “知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐技术及其应用研究
蜜罐技术及其应用研究 文章首先介绍了蜜罐技术的定义、发展及分类,分析了蜜罐系统的关键技术,阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 标签:蜜罐;Honeyd;蜜网 1 蜜罐技术概述 1.1 蜜罐技术的定义 The Honeynet Project(蜜网项目组)创始人Lance Spitzner给蜜罐的定义是:蜜罐是一种安全资源,它的价值就在于被探测、被攻击或被攻陷。其主要功能:一是通过构建蜜罐环境诱骗攻击者入侵,从而保护业务系统安全;二是诱骗成功之后捕获攻击数据进行分析,了解并掌握入侵者使用的技术手段和工具,调整安全策略以增强业务系统的安全防护。 1.2 蜜罐技术发展历程 蜜罐技术的发展经历了三个阶段: 1.2.1 蜜罐(Honeypot)。从1990年蜜罐概念提出到1999年,研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具,广泛应用于商业领域。 1.2.2 蜜网(Honeynet)。1999年蜜网项目组提出并实现,目前已发展到第三代蜜网技术,已有项目应用。 1.2.3 蜜场(Honeyfarm)。2003年由Lance Spitzner首次提出蜜场思想,处于研究阶段。 1.3 蜜罐技术分类 蜜罐技术可以从不同的角度进行分类: 根据系统应用目标不同,将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障,主要包括攻击检测、防范攻击造成破坏等功能,且较容易部署,不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动,如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 根据系统交互级别不同,将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现,攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建,提供给攻击者真实的系统和服务,可以获得大量有用信息。
浅谈蜜罐系统在内网的应用
浅谈蜜罐系统在内网的应用 随着信息化技术的广泛应用,网络安全形势也越来越严峻,各种安全技术不断涌现与更新。蜜罐技术通过在网络中部署传感器节点,能够实时感知网络环境,延缓攻击,并将传感器的日志实时存储供以分析,可以为运维人员提供必要的支撑。 一、内网部署蜜罐系统的必要性 相对于传统的防火墙等技术,蜜罐是一种主动防御技术手段,使网络防御从被动变为主动,因而越来越受到运维人员的重视。一般来讲,攻击者在攻入内网后,为了达到目的,会进一步探测内网结构和重要信息资产,通常会对内网段进行扫描,从而掌握内网拓扑结构、汇总主机运行的服务。通过在网络中部署蜜罐系统,可以及时侦测到网络中的异常行为,引诱攻击者攻入蜜罐系统,可以延缓攻击,并据此了解攻击方所使用的工具与方法,推测攻击意图和动机,从而让运维人员清晰地了解他们所面对的安全威胁。 二、内网部署蜜罐系统的考量指标 随着网络攻防手段的不断发展,内网常见的攻击手段也在不断更新完善,如端口扫描、拒绝服务、暴力破解、ARP攻击、DNS劫持等,随着内网服务种类的增多,内网的攻击面也在不断扩大。一个好的蜜罐,应该做到如下几点: 1.支持广泛的协议和服务。蜜罐应能够模拟常见的应用协议和漏洞;能在TCP、UDP全端口捕获未知的恶意扫描;最好能支持分布式部署,提供足够广的覆盖面。 2.具备完备的日志记录。应记录攻击者足够多的信息,包括IP地址、账号等;应可以完成重现攻击者的攻击路径,便于分析攻击者的攻击思路和手法;应采用统一、简单的数据格式,存入数据库,便于后续日志分析。 3.具有丰富的报警手段。发现异常行为后,应支持短信、邮件等告警手段,第一时间警示运维人员。 三、常见的蜜罐系统 根据蜜罐系统的功能,我们可以初步将蜜罐分为以下几种类型: (一)服务型蜜罐 Cowrie:中等交互式蜜罐,可以模拟ssh和telnet,用于记录攻击者执行的shell交互,还可以充当ssh和telnet代理,以观察攻击者对另一个系统的行为。 sshhipot: 高交互性蜜罐,可以模拟ssh。该蜜罐的高交互是因为它使用了代理模式,攻击者攻击蜜罐时,蜜罐就会连接真实主机,从而记录攻击者的操作日志。 UDPot Honeypot:中交互性蜜罐,可以模拟DNS服务。该蜜罐将所有请求记录到SQLite数据库,并具有可配置的交互级别。 rdpy-rdphoneypot:RDPY是基于Twisted Python实现的微软RDP远程桌面协议,其子项目rdpy-rdphoneypot是一个基于RDP的蜜罐,可以记录会话场景,并通过RDP协议来重放会话场景。 (二)web蜜罐 snare: 一个Web蜜罐,该蜜罐可克隆某个网站,可捕捉到web攻击载荷。可以配合tanner (评估HTTP请求并组成snare事件服务的响应)一起使用。
蜜罐技术论文
蜜罐技术论文 摘要:蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点一说:蜜罐就是诱捕攻击者的一个陷阱。 关键词:设计蜜罐;蜜罐的分类;拓扑位置;安全价值;信息收集 一、设计蜜罐 现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。 蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。 不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。 而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。 二、蜜罐的分类 根据蜜罐的交互程度,可以将蜜罐分为3类: 蜜罐的交互程度(Level of Involvement)指攻击者与蜜罐相互作用的程度。 ⑴低交互蜜罐 只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互 功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单, 部署容易,风险很低,所能收集的信息也是有限的。 ⑵中交互蜜罐 也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在 不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够 收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透 和攻击真实系统的机会。 ⑶高交互蜜罐
蜜罐与蜜网技术的研究与分析
\.网络通讯及安全......本栏目责任编辑:冯誓 蜜罐与蜜网技术的研究与分析 邹文.唐心玉 (湖南商学院,湖南长沙410205) “ 摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。 关键词:蜜罐;蜜网;防火墙;入侵检测系统 文章编号:1009-3044(2008)们r-1121枷3 中图分类号:TP393文献标识码:A TheResearchandAnalysisofHoneypotandHoneynet ZOUWen,TANGXin-yu O-IunanUniversityofCommerce,Cl[1angsha410205,chim) Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet. Keywords:honeypot;honeynet;inumiondetectionsystem;firewall 1引言 随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。 2蜜罐的定义和国内外研究现状 2.1譬罐的定义 蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。 蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。 2.2蜜罐的国内外研究现状 目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。 在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。 ●_3蜜罐的分类~ 按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐: 产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。 研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研 收稿日期:2008一01—08 作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。 1214,劫电_知识与拄木 万方数据