网络安全分析及防御技术-蜜罐技术

计算机网络信息安全及防御技术——蜜罐技术——******关键词：计算机、网络信息安全、蜜罐技术摘要：随着计算机网络的飞速发展，在带来了前所未有的海量信息的同时，网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性。人们可以通过互联网进行网上购物、银行转账等许多商业活动。开放的信息系统必然存在众多潜在的安全隐患：木马程序攻击、电子邮件欺骗、间谍恶意代码软件、安全漏洞和系统后门等，本文针对目前计算机网络存在的主要威胁和隐患进行了分析，并重点阐述了蜜罐技术这一网络安全防御技术。1.引言随着人类社会生活对Internet需求的日益增长，网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题，特别是1993年以后Internet开始商用化，通过Internet进行的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述电子商务应用和企业网络中的商业秘密均成为攻击者的目标。近些年来，拒绝网络攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等各种各样的网络攻击事件层出不穷。2.网络信息安全网络信息安全分为网络安全和信息安全两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件；运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。计算机网络之所以存在着脆弱性，主要是由于技术本身存在着安全弱点、系统的安全性差、缺乏安全性实践等；计算机网络受到的威胁和攻击除自然灾害外，主要来自软件漏洞、计算机病毒、黑客攻击、配置不当和安全意识不强等。（1）软件漏洞。每一版本的操作系统或网络软件的出现都不可能是完美无缺和无漏洞的。大多数IT安全事件(如补丁程序或网络攻击等)都与软件漏洞有关，黑客利用编程中的细微错误或者上下文依赖关系，让它做任何他们想让它做的事情。缓冲区溢出是一种常见的软件漏洞，也是一种牵扯到复杂因素的错误。开发人员经常预先分配一定量的临时内存空间，称为一个缓冲区，用以保存特殊信息。如果代码没有仔细地把要存放的数据大小同应该保存它的空间大小进行对照检查，那么靠近该分配空间的内存就有被覆盖的风险。熟练的黑客输入仔细组织过的数据就能导致程序崩溃、数据丢失。（2）黑客的威胁和攻击。由于用户越来越多地依赖计算机网络提供各种服务，完成日常业务，计算机网络上的黑客攻击事件越演越烈，造成的破坏影响越来越大。由于攻击技术的进步，攻击者可以较容易地利用分布式攻击工具能够有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。黑客攻击的技术根源是软件和系统的安全漏洞，正是一些别有用心的人利用了这些漏洞，才造成了网络安全问题。因为操作系统、应用软件等安全漏洞每年都会被发现，需要网络管理员不断的用最新的软件补丁修复这些漏洞，然而黑客经常能够抢在厂商修补这些漏洞之前发现这些漏洞并发起攻击，非法侵入重要信息系统，窃听、获取、攻击侵人网的有关敏感性重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给社会造成重大影响和经济损失。（3）计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下，能自我\o"复制"复制或运行的\o"电脑程序"计算机程序；计算机病毒往往会影响受感染计算机的正常运作。病毒一般会自动利用\o"电子邮件"电子邮件传播，利用对象为某个漏洞。将病毒自动复制并群发给存储的\o"通讯录（页面不存在）"通讯录名单成员。计算机感染上病毒后，轻则使系统上作效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机主板等部件的损坏。（4）垃圾邮件和间谍软件。一些有心人会从网上多个\o"BBS"BBS论坛、新闻组等收集网民的计算机地址，再售予广告商，从而把自己的电子邮件强行“推入”别人的电子邮箱，强迫他人接受赚钱信息、商业或个人网站广告、电子杂志、连环信息等。垃圾邮件可以分为良性和恶性的。良性垃圾邮件是各种宣传广告等对收件人影响不大的信息邮件。恶性垃圾邮件是指具有破坏性的电子邮件。例如具有攻击性的广告：夸张不实，包括情色、钓鱼网站。间谍软件是一种能够在在用户不知情或未经用户准许的情况下收集用户的个人数据。间谍软件采用一系列技术来纪录用户的个人信息，例如\o"键盘录制"键盘录制、录制用户访问Internet的行为，以及扫描用户计算机上的文件。间谍软件的用途也多种多样，从盗窃用户的网上账户（主要是银行信用卡账户）和\o"密码"密码到统计用户的网络行为意作为广告用途。间谍软件的功能繁多，它可以监视用户行为，或是发布广告，修改系统设置，威胁用户隐私和计算机安全，并尽可能小的程度影响系统性能，以免被发现。（5）配置不当。安全产品防护策略配置不当造成安全隐患，例如，防火墙设备的访问控制策略配置不正确，那么它根本起不到安全防护作用；再如有些特定的网络应用程序，当它启动运行时，就同步会打开一系列的安全缺口，许多与该软件捆绑在一起的应用软件也会被同时启用，这样就造成在不知情的情况下给不法分子留下‘后门’或漏洞。除非用户禁止该程序或对其进行正确配置，否则，安全隐患无法避免。（6）安全意识不强。人为的无意失误是造成网络不安全的重要原因之一。网络管理员在这方面不但肩负重任，还面临越来越大的压力。稍有考虑不周，安全配置不当，就会造成安全漏洞。另外，用户安全意识不强，不按照安全规定操作，如口令选择不慎，将自己的账户随意转借他人或与别人共享，都会对网络安全带来威胁用户口令选择不慎，或将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。3.网络安全防御技术——蜜罐技术3.1.蜜罐技术的发展背景网络安全防护涉及面很广，从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中，大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义，就是用特有的特征吸引攻击者，同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。（诱敌深入）。3.2.蜜罐的概念美国L．Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义：蜜罐是一种资源，它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的，蜜罐不会修补任何东西，这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全，但是它却是其他安全策略所不可替代的一种主动防御技术。具体的来讲，蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录，可以网络安全专家通过精心的伪装，使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者，通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录，管理员通过研究和分析这些记录，可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息，还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上，这些信息将会成为对攻击者进行起诉的证据。不过，它仅仅是一个对其他系统和应用的仿真，可以创建一个监禁环境将攻击者困在其中，还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐，只有它受到攻击,它的作用才能发挥出来。3.3.蜜罐的分类和体现的安全价值自从计算机首次互连以来，研究人员和安全专家就一直使用着各种各样的蜜罐工具，根据不同的标准可以对蜜罐技术进行不同的分类，前面已经提到，使用蜜罐技术是基于安全价值上的考虑。但是，可以肯定的就是，蜜罐技术并不会替代其他安全工具，例如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜罐技术进行探讨。根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。（1）产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到的攻击的威胁，蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的攻击者。A、这类蜜罐在防护中所做的贡献很少，蜜罐不会将那些试图攻击的入侵者拒之门外，因为蜜罐设计的初衷就是妥协，所以它不会将入侵者拒绝在系统之外，实际上，蜜罐是希望有人闯入系统，从而进行各项记录和分析工作。B、虽然蜜罐的防护功能很弱，但是它却具有很强的检测功能，对于许多组织而言，想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然，有入侵检测系统（IDS）的存在，但是，IDS发生的误报和漏报，让系统管理员疲于处理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具，也务须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为，从原理上来讲，任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种，这样就可以极大的减低误报率和漏报率，从而简化检测的过程。从某种意义上来讲，蜜罐已经成为一个越来越复杂的安全检测工具了。C、如果组织内的系统已经被入侵的话，那些发生事故的系统不能进行脱机工作，这样的话，将导致系统所提供的所有产品服务都将被停止，同时，系统管理员也不能进行合适的鉴定和分析，而蜜罐可以对入侵进行响应，它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时，系统管理员将可以对脱机的系统进行分析，并且把分析的结果和经验运用于以后的系统中。（2）研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性，恰恰相反，蜜罐要做的是让研究组织面对各类网络威胁，并寻找能够对付这些威胁更好的方式，它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队，安全研究组织。根据蜜罐与攻击者之间进行的交互，可以分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同时这也体现了蜜罐发展的3个过程。（1）低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统，而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为，所以蜜罐可以获得的信息非常有限，只能对攻击者进行简单的应答，它是最安全的蜜罐类型。（2）中交互是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中，蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。（3）高交互蜜罐具有一个真实的操作系统，它的优点体现在对攻击者提供真实的系统，当攻击者获得ROOT权限后，受系统，数据真实性的迷惑，他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高，如果整个高蜜罐被入侵，那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK，空系统，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREATARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四种。3.4.蜜罐的配置模式（1）诱骗服务（deceptionservice）诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性，但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的，所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录，同时提供较为合理的应答，并给闯入系统的攻击者带来系统并不安全的错觉。例如，当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候，就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP，他就会采用攻击FTP服务的方式进入系统。这样，系统管理员便可以记录攻击的细节。（2）弱化系统（weakenedsystem）只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者RedHatLinux即行。这样的特点是攻击者更加容易进入系统，系统可以收集有效的攻击数据。因为黑客可能会设陷阱，以获取计算机的日志和审查功能，需要运行其他额外记录系统，实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为，获取已知的攻击行为是毫无意义的。（3）强化系统（hardenedsystem）强化系统同弱化系统一样，提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时，蜜罐就开始收集信息，它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术，那么，他很可能取代管理员对系统的控制，从而对其它系统进行攻击。（4）用户模式服务器（usermodeserver）用户模式服务器实际上是一个用户进程，它运行在主机上，并且模拟成一个真实的服务器。在真实主机中，每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中，当Internet用户向用户模式服务器的IP地址发送请求，主机将接受请求并且转发到用户模式服务器上。（我们用这样一个图形来表示一下他们之间的关系）：这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷，由于用户模式服务器是一个用户进程，那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然，其局限性是不适用于所有的操作系统。3.5.蜜罐的信息收集当我们察觉到攻击者已经进入蜜罐的时候，接下来的任务就是数据的收集了。数据收集是设置蜜罐的另一项技术挑战。蜜罐监控者只要记录下进出系统的每个数据包，就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。但日志文件很容易被攻击者删除，所以通常的办法就是让蜜罐向在同一网络上但防御机制较完善的远程系统日志服务器发送日志备份。（务必同时监控日志服务器。如果攻击者用新手法闯入了服务器，那么蜜罐无疑会证明其价值。近年来，由于黑帽子群体越来越多地使用加密技术，