蜜罐技术的原理及现状研究
来源:用户上传
作者: 姚东铌
【摘要】 蜜罐是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。它涉及到信息安全诸多技术的灵活应用,能有效弥补传统信息安全防御技术的缺陷,使得防护体系更加完善与安全。介绍了蜜罐技术的主要原理及国内外研究现状,相信在将来蜜罐会在信息安全保障中发挥越来越大的作用。
【关键词】 蜜罐;网络欺骗;数据捕获;数据控制
一、蜜罐技术的起源
蜜罐(Honey pot)是一种采取主动方式的防御技术,其早可追溯到1988年加州大学伯克利分校的Clifford Stoll博士发表的一篇题为“Stalking the Wily Hacker”的论文,描述了在跟踪黑客的过程中利用一些虚假信息的文件引诱黑客,达到检测入侵的目的,这就是蜜罐的最初基本构想。其后Stop博士所写的The Cuckoo's Egg为蜜罐的创立奠定了基础。准确定义下的蜜罐是一种专门设计成被扫描、攻击和入侵的网络安全资源,其价值在于被探测、攻击或者摧毁的时候。具体来说它是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。它可以记录黑客进入系统的一切信息,同时混淆黑客攻击目标来保护服务主机的正常运行。蜜罐的主要技术原理包括以下几个方面:
第一,网络欺骗。使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。
第二,数据捕获。一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。
第三,数据分析。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。数据分析对捕获的各种攻击数据进行融合与挖掘,分析黑客的工具、策略及动机,提取未知攻击的特征,或为研究或管理人员提供实时信息。
第四,数据控制。数据控制是蜜罐的核心功能之一,用于保障蜜罐自身的安全。蜜罐作为网络攻击者的攻击目标,若被攻破将得不到任何有价值的信息,还可能被入侵者利用作为攻击其他系统的跳板。虽然允许所有对蜜罐的访问,但却要对从蜜罐外出的网络连接进行控制,使其不会成为入侵者的跳板危害其他系统。
二、蜜罐技术的优缺点
蜜罐是一个存在多种漏洞的系统,一旦被入侵后台程序就记录下入侵者的一举一动,从而使管理员能更好地分析入侵者的破坏方式和目标,为今后加强防御提供了珍贵的参考。但它并不是防火墙,相反地,它被狡猾的入侵者反利用来攻击别人的例子屡见不鲜。蜜罐自身需要提供让入侵者乐意停留的漏洞,又要确保后台记录能正常而且隐蔽的运行,这些都需要专业技术,需要对蜜罐的优缺点有明确的认识。
蜜罐作为一个入侵记录系统拥有众多的优点:首先蜜罐的误报率低。由于蜜罐没有任何有效行为,所进出的数据大部分是攻击流量,从原理上讲,任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种,因而极大地减少了漏报率和误报率,简化了检测的过程。其次大部分入侵检测系统只能根据特征匹配的方法检测到已知的攻击,使用蜜罐技术能够收集到新的攻击工具和攻击方法。再次蜜罐技术不需要强大的资源支持,可以使用一些低成本的设备构建蜜罐,不需要大量的资金投入。并且由于它不提供任何实际的作用,相对其他入侵检测技术而言,蜜罐的技术比较简单,使得研究与管理人员能够比较容易地掌握黑客攻击的一些知识,方便使用。最后蜜罐配置灵活, 既可作为独立的安全工具,还可以与其他的安全机制联合使用。不仅可以捕获到防火墙之外的脚本, 还可以发现自己组织中的入侵者;收集的数据和信息具有较强的针对性和研究价值。
蜜罐并不是万能的,在使用蜜罐技术时也要注意其局限性:首先蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析,不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。因蜜罐技术不能直接防护有漏洞的信息系统,部署蜜罐会带来一定的安全隐患。其次对于一个复杂系统的任何模仿总是与真实系统有所区别,特别是一些低交互性的蜜罐,由于其模拟的服务,很容易被攻击者识别出蜜罐的身份,一旦黑客识别出蜜罐后,可能会避开蜜罐,甚至可能会向蜜罐提供错误和虚假的数据,从而误导安全防护和研究人员。防止蜜罐被识别的解决方法是尽量消除蜜罐的指纹,并使蜜罐与真实的漏洞主机毫无差异。最后蜜罐技术的初衷即是让黑客攻破蜜罐后获得蜜罐的控制权限,并跟踪其攻破蜜罐、在蜜罐潜伏等攻击行为,但如果一个高交互性的蜜罐被破坏或利用了,攻击者会尝试将它用作一个破坏或控制其他系统的跳板对第三方发起攻击。为了确保黑客活动不对外构成威胁,必须引入多个层次的数据控制措施,必要的时候需要研究员的人工干预,这需要较多的时间和精力投入。
三、蜜罐技术的现状
九十年代初蜜罐概念的提出直到1998年左右,蜜罐还仅仅局限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。从1998年开始,蜜罐技术逐渐吸引了一批安全研究人员的注意,并开发出相关专门用于欺骗黑客的开源工具。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较便捷。2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐。与之前不同的是,由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,真实主机所搭建的蜜罐融入了更强大的数据捕获、数据分析和数据控制的工具,得研究人员能够更方便地追踪侵入到蜜罐之中的黑客并对他们的攻击行为进行分析。回顾历史,蜜罐技术从单纯的理论发展到现在的多种多样,而且随着网络入侵类型的多样化发展,蜜罐也必将继续这样的多样化的演绎进程。
目前国外的学术界目前对蜜罐技术研究最多的是蜜网项目(Honey net Project)组织,它是一个非官方、非营利的由30多位安全专家组成的组织,专门致力于了解黑客团体使用的工具、策略和动机,并形成了一系列的理论基础。除此之外其它研究机构和公司也已开始广泛研究蜜罐及商业化生产。如F r e dC o h e n 所开发的欺骗工具包(D TK)、N i e l s P r o v o s开发的H o n e y d 等是免费开源工具,像K F S e n s o r、Specter 、SmokeDetector、NetFacade、Mantrap 等是商业蜜罐产品,这些均已应用于不同的场所中,并取得了很好的效果。虽然蜜罐技术作为一种主动防御的网络安全技术在国外已得到大力发展,但在国内对蜜罐技术的研究尚处于发展阶段,还没有形成自己的理论体系和流派,也没有成熟的产品。2004年9月北京大学的狩猎女神项目启动,这是我国第一个正式研究蜜罐技术的组织,标志着我国蜜罐技术研究正式与世界接轨。尽管如此,蜜罐技术在国内的发展仍有很长的路要走。
总之,随着网络入侵类型的日渐多样化,蜜罐也必须进行多样化的演绎,否则它有一天将无法面对入侵者的肆虐。伴着蜜罐技术的不断发展,越来越多的研究人员开始注意到其发展潜力。相信将来蜜罐会在信息安全保障中发挥越来越大的作用。
参考文献
[1]王昭,陈钟译.计算机安全原理[M].北京:高等教育出版社,2006
[2]李跃贞.基于蜜罐(Honey pot)技术的网络信息安全研究[J].中国安全科学学报.2006(7)
转载注明来源:https://www.xzbu.com/2/view-611466.htm
