蜜罐信息采集技术分析

1、蜜罐信息采集技术分析摘要蜜罐是一种主动防御的网络平安技术，可以吸引黑客的攻击，监视和跟踪入侵者的行为并且记录下来进展分析，从而研究入侵者所使用的攻击工具、策略和方法。该文介绍蜜罐技术的根本概念，分析了蜜罐的平安价值，详细研究了蜜罐的信息搜集技术，同时也讨论了蜜罐系统面临的平安威胁与防御对策。关键字蜜罐，交互性，入侵检测系统，防火墙1引言如今网络平安面临的一个大问题是缺乏对入侵者的理解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进展攻击等，而蜜罐为平安专家们提供一个研究各种攻击的平台。它是采取主动的方式，用定制好的特征吸引和诱骗攻击者，将攻击从网络中比较重要的机器上转移开，同时在黑客攻击蜜

2、罐期间对其行为和过程进展深化的分析和研究，从而发现新型攻击，检索新型黑客工具，理解黑客和黑客团体的背景、目的、活动规律等。2蜜罐技术根底2.1蜜罐的定义蜜罐是指受到严密监控的网络诱骗系统，通过真实或模拟的网络和效劳来吸引攻击，从而在黑客攻击蜜罐期间对其行为和过程进展分析，以搜集信息，对新攻击发出预警，同时蜜罐也可以延缓攻击和转移攻击目的。蜜罐在编写新的IDS特征库、发现系统破绽、分析分布式回绝效劳DDS攻击等方面是很有价值的。蜜罐本身并不直接增强网络的平安性，将蜜罐和现有的平安防卫手段如入侵检测系统(IDS)、防火墙(Fireall)、杀毒软件等结合使用，可以有效进步系统平安性。2.2蜜罐的分

3、类根据蜜罐的交互程度，可以将蜜罐分为3类：蜜罐的交互程度LevelfInvlveent指攻击者与蜜罐互相作用的程度。低交互蜜罐只是运行于现有系统上的一个仿真效劳，在特定的端口监听记录所有进入的数据包，提供少量的交互功能，黑客只能在仿真效劳预设的范围内动作。低交互蜜罐上没有真正的操作系统和效劳，构造简单，部署容易，风险很低，所能搜集的信息也是有限的。中交互蜜罐也不提供真实的操作系统，而是应用脚本或小程序来模拟效劳行为，提供的功能主要取决于脚本。在不同的端口进展监听，通过更多和更复杂的互动，让攻击者会产生是一个真正操作系统的错觉，可以搜集更多数据。开发中交互蜜罐，要确保在模拟效劳和破绽时并不产生新

4、的真实破绽，而给黑客浸透和攻击真实系统的时机。高交互蜜罐由真实的操作系统来构建，提供给黑客的是真实的系统和效劳。给黑客提供一个真实的操作系统，可以学习黑客运行的全部动作，获得大量的有用信息，包括完全不理解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客，也就带来了更高的风险，即黑客可能通过这个开放的系统去攻击其他的系统。2.3蜜罐的拓扑位置蜜罐本身作为一个标准效劳器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽一样。假设用于内部或私有网络，可以放置在任何一个公共数据流经的节点。如用于互联网的连接，蜜罐可以位于防火墙前面，也可以

5、是后面。防火墙之前：如见图1中蜜罐1,蜜罐会吸引象端口扫描等大量的攻击，而这些攻击不会被防火墙记录也不让内部IDS系统产生警告，只会由蜜罐本身来记录。因为位于防火墙之外，可被视为外部网络中的任何一台普通的机器，不用调整防火墙及其它的资源的配置，不会给内部网增加新的风险，缺点是无法定位或捕捉到内部攻击者，防火墙限制外向交通，也限制了蜜罐的对内网信息搜集。防火墙之后：如图1中蜜罐2，会给内部网带来平安威胁，尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的效劳，有些是互联网的输出效劳，要求由防火墙把回馈转给蜜罐,不可防止地调整防火墙规那么，因此要慎重设置，保证这些数据可以通过防火墙进入蜜罐而不

6、引入更多的风险。优点是既可以搜集到已经通过防火墙的有害数据，还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。还有一种方法，把蜜罐置于隔离区DZ内，如图1中蜜罐3。隔离区只有需要的效劳才被允许通过防火墙，因此风险相对较低。DZ内的其它系统要平安地和蜜罐隔离。此方法增加了隔离区的负担，详细施行也比较困难。3蜜罐的平安价值蜜罐是增强现有平安性的强大工具，是一种理解黑客常用工具和攻击策略的有效手段。根据P2DR动态平安模型，从防护、检测和响应三方面分析蜜罐的平安价值。防护蜜罐在防护中所做的奉献很少，并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协，希望有人闯入系

7、统，从而进展记录和分析。有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进展攻击，从而防止或减缓了对真正系统的攻击。检测蜜罐的防护功能很弱，却有很强的检测功能。因为蜜罐本身没有任何消费行为，所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率，也简化了检测的过程。如今的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络，要从海量的网络行为中检测出攻击是很困难的，有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用，蜜罐的误报率远远低于大部分IDS工具。另外目前的IDS还不可以有效地对新型攻击方法进展

8、检测，无论是基于异常的还是基于误用的，都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题，使用蜜罐的主要目的就是检测新的攻击。响应蜜罐检测到入侵后可以进展响应，包括模拟回应来引诱黑客进一步攻击，发出报警通知系统管理员，让管理员适时的调整入侵检测系统和防火墙配置，来加强真实系统的保护等。4蜜罐的信息搜集要进展信息分析，首先要进展信息搜集，下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置，可分为基于主机的信息搜集和基于网络的信息搜集。4.1基于主机的信息搜集基于主机的信息搜集有两种方式，一是直接记录进出主机的数据流，二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息，即所谓“Pe

9、eking机制。记录数据流直接记录数据流实现一般比较简单，主要问题是在哪里存储这些数据。搜集到的数据可以本地存放在密罐主机中，例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据，同时保存的日志空间可能用尽，系统就会降低交互程度甚至变为不受监控。攻击者也会理解日志区域并且试图控制它，而使日志文件中的数据不再是可信数据。因此，将攻击者的信息存放在一个平安的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Fireire技术和网络接口将连续数据存储到远程日志效劳器，也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。采用“Peeking机制这种

10、方式和操作系统亲密相关，实现相比照拟复杂。对于微软系列操作系统来说，系统的源代码是很难得到，对操作系统的更改很困难，无法以透明的方式将数据搜集构造与系统内核相结合，记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理员一般只能观察运行的进程，检查日志和应用D-5检查系统文件的一致性。对于UNIX系列操作系统，几乎所有的组件都可以以源代码形式得到，那么为数据搜集提供更多的时机，可以在源代码级上改写记录机制，再重新编译参加蜜罐系统中。需要说明，尽管对于攻击者来说二进制文件的改变是很难觉察，一个高级黑客还是可能通过如下的方法探测到：D-5检验和检查：假设攻击者有一个和蜜罐比照的参照系统，就会计算所有标准的系统二进制文件的D-5校验和来测试蜜罐。库的依赖性和进程相关性检查：即使攻击