網(wǎng)絡(luò)安全分析及防御技術(shù)-蜜罐技術(shù)

計算機(jī)網(wǎng)絡(luò)信息安全及防御技術(shù)——蜜罐技術(shù)——******關(guān)鍵詞：計算機(jī)、網(wǎng)絡(luò)信息安全、蜜罐技術(shù)摘要：隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性。人們可以通過互聯(lián)網(wǎng)進(jìn)行網(wǎng)上購物、銀行轉(zhuǎn)賬等許多商業(yè)活動。開放的信息系統(tǒng)必然存在眾多潛在的安全隱患：木馬程序攻擊、電子郵件欺騙、間諜惡意代碼軟件、安全漏洞和系統(tǒng)后門等，本文針對目前計算機(jī)網(wǎng)絡(luò)存在的主要威脅和隱患進(jìn)行了分析，并重點闡述了蜜罐技術(shù)這一網(wǎng)絡(luò)安全防御技術(shù)。1.引言隨著人類社會生活對Internet需求的日益增長，網(wǎng)絡(luò)安全逐漸成為Internet及各項網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展的關(guān)鍵問題，特別是1993年以后Internet開始商用化，通過Internet進(jìn)行的各種電子商務(wù)業(yè)務(wù)日益增多，加之Internet/Intranet技術(shù)日趨成熟，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。上述電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。近些年來，拒絕網(wǎng)絡(luò)攻擊事件、后門攻擊事件、漏洞攻擊事件、網(wǎng)絡(luò)掃描竊聽事件、網(wǎng)絡(luò)釣魚事件、干擾事件等各種各樣的網(wǎng)絡(luò)攻擊事件層出不窮。2.網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應(yīng)用軟件；運行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。計算機(jī)網(wǎng)絡(luò)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等；計算機(jī)網(wǎng)絡(luò)受到的威脅和攻擊除自然災(zāi)害外，主要來自軟件漏洞、計算機(jī)病毒、黑客攻擊、配置不當(dāng)和安全意識不強(qiáng)等。（1）軟件漏洞。每一版本的操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是完美無缺和無漏洞的。大多數(shù)IT安全事件(如補丁程序或網(wǎng)絡(luò)攻擊等)都與軟件漏洞有關(guān)，黑客利用編程中的細(xì)微錯誤或者上下文依賴關(guān)系，讓它做任何他們想讓它做的事情。緩沖區(qū)溢出是一種常見的軟件漏洞，也是一種牽扯到復(fù)雜因素的錯誤。開發(fā)人員經(jīng)常預(yù)先分配一定量的臨時內(nèi)存空間，稱為一個緩沖區(qū)，用以保存特殊信息。如果代碼沒有仔細(xì)地把要存放的數(shù)據(jù)大小同應(yīng)該保存它的空間大小進(jìn)行對照檢查，那么靠近該分配空間的內(nèi)存就有被覆蓋的風(fēng)險。熟練的黑客輸入仔細(xì)組織過的數(shù)據(jù)就能導(dǎo)致程序崩潰、數(shù)據(jù)丟失。（2）黑客的威脅和攻擊。由于用戶越來越多地依賴計算機(jī)網(wǎng)絡(luò)提供各種服務(wù)，完成日常業(yè)務(wù)，計算機(jī)網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，造成的破壞影響越來越大。由于攻擊技術(shù)的進(jìn)步，攻擊者可以較容易地利用分布式攻擊工具能夠有效地發(fā)動拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。黑客攻擊的技術(shù)根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了網(wǎng)絡(luò)安全問題。因為操作系統(tǒng)、應(yīng)用軟件等安全漏洞每年都會被發(fā)現(xiàn)，需要網(wǎng)絡(luò)管理員不斷的用最新的軟件補丁修復(fù)這些漏洞，然而黑客經(jīng)常能夠搶在廠商修補這些漏洞之前發(fā)現(xiàn)這些漏洞并發(fā)起攻擊，非法侵入重要信息系統(tǒng)，竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給社會造成重大影響和經(jīng)濟(jì)損失。（3）計算機(jī)病毒。是一種在人為或非人為的情況下產(chǎn)生的、在用戶不知情或未批準(zhǔn)下，能自我\o"復(fù)制"復(fù)制或運行的\o"電腦程序"計算機(jī)程序；計算機(jī)病毒往往會影響受感染計算機(jī)的正常運作。病毒一般會自動利用\o"電子郵件"電子郵件傳播，利用對象為某個漏洞。將病毒自動復(fù)制并群發(fā)給存儲的\o"通訊錄（頁面不存在）"通訊錄名單成員。計算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機(jī)主板等部件的損壞。（4）垃圾郵件和間諜軟件。一些有心人會從網(wǎng)上多個\o"BBS"BBS論壇、新聞組等收集網(wǎng)民的計算機(jī)地址，再售予廣告商，從而把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受賺錢信息、商業(yè)或個人網(wǎng)站廣告、電子雜志、連環(huán)信息等。垃圾郵件可以分為良性和惡性的。良性垃圾郵件是各種宣傳廣告等對收件人影響不大的信息郵件。惡性垃圾郵件是指具有破壞性的電子郵件。例如具有攻擊性的廣告：夸張不實，包括情色、釣魚網(wǎng)站。間諜軟件是一種能夠在在用戶不知情或未經(jīng)用戶準(zhǔn)許的情況下收集用戶的個人數(shù)據(jù)。間諜軟件采用一系列技術(shù)來紀(jì)錄用戶的個人信息，例如\o"鍵盤錄制"鍵盤錄制、錄制用戶訪問Internet的行為，以及掃描用戶計算機(jī)上的文件。間諜軟件的用途也多種多樣，從盜竊用戶的網(wǎng)上賬戶（主要是銀行信用卡賬戶）和\o"密碼"密碼到統(tǒng)計用戶的網(wǎng)絡(luò)行為意作為廣告用途。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計算機(jī)安全，并盡可能小的程度影響系統(tǒng)性能，以免被發(fā)現(xiàn)。（5）配置不當(dāng)。安全產(chǎn)品防護(hù)策略配置不當(dāng)造成安全隱患，例如，防火墻設(shè)備的訪問控制策略配置不正確，那么它根本起不到安全防護(hù)作用；再如有些特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動運行時，就同步會打開一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被同時啟用，這樣就造成在不知情的情況下給不法分子留下‘后門’或漏洞。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患無法避免。（6）安全意識不強(qiáng)。人為的無意失誤是造成網(wǎng)絡(luò)不安全的重要原因之一。網(wǎng)絡(luò)管理員在這方面不但肩負(fù)重任，還面臨越來越大的壓力。稍有考慮不周，安全配置不當(dāng)，就會造成安全漏洞。另外，用戶安全意識不強(qiáng)，不按照安全規(guī)定操作，如口令選擇不慎，將自己的賬戶隨意轉(zhuǎn)借他人或與別人共享，都會對網(wǎng)絡(luò)安全帶來威脅用戶口令選擇不慎，或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。3.網(wǎng)絡(luò)安全防御技術(shù)——蜜罐技術(shù)3.1.蜜罐技術(shù)的發(fā)展背景網(wǎng)絡(luò)安全防護(hù)涉及面很廣，從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù),病毒防護(hù)技術(shù),數(shù)據(jù)加密和認(rèn)證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對網(wǎng)絡(luò)進(jìn)行攻擊時對系統(tǒng)進(jìn)行被動的防護(hù)。而蜜罐技術(shù)可以采取主動的方式。顧名思義，就是用特有的特征吸引攻擊者，同時對攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對付辦法。（誘敵深入）。3.2.蜜罐的概念美國L．Spizner是一個著名的蜜罐技術(shù)專家。他曾對蜜罐做了這樣的一個定義：蜜罐是一種資源，它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的，蜜罐不會修補任何東西，這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機(jī)網(wǎng)絡(luò)安全，但是它卻是其他安全策略所不可替代的一種主動防御技術(shù)。具體的來講，蜜罐系統(tǒng)最為重要的功能是對系統(tǒng)中所有操作和行為進(jìn)行監(jiān)視和記錄，可以網(wǎng)絡(luò)安全專家通過精心的偽裝，使得攻擊者在進(jìn)入到目標(biāo)系統(tǒng)后仍不知道自己所有的行為已經(jīng)處于系統(tǒng)的監(jiān)視下。為了吸引攻擊者，通常在蜜罐系統(tǒng)上留下一些安全后門以吸引攻擊者上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假的信息。另外一些蜜罐系統(tǒng)對攻擊者的聊天內(nèi)容進(jìn)行記錄，管理員通過研究和分析這些記錄，可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息，還能對攻擊者的活動范圍以及下一個攻擊目標(biāo)進(jìn)行了解。同時在某種程度上，這些信息將會成為對攻擊者進(jìn)行起訴的證據(jù)。不過，它僅僅是一個對其他系統(tǒng)和應(yīng)用的仿真，可以創(chuàng)建一個監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)。無論使用者如何建立和使用蜜罐，只有它受到攻擊,它的作用才能發(fā)揮出來。3.3.蜜罐的分類和體現(xiàn)的安全價值自從計算機(jī)首次互連以來，研究人員和安全專家就一直使用著各種各樣的蜜罐工具，根據(jù)不同的標(biāo)準(zhǔn)可以對蜜罐技術(shù)進(jìn)行不同的分類，前面已經(jīng)提到，使用蜜罐技術(shù)是基于安全價值上的考慮。但是，可以肯定的就是，蜜罐技術(shù)并不會替代其他安全工具，例如防火墻、系統(tǒng)偵聽等。這里我也就安全方面的價值來對蜜罐技術(shù)進(jìn)行探討。根據(jù)設(shè)計的最終目的不同我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類。（1）產(chǎn)品型蜜罐一般運用于商業(yè)組織的網(wǎng)絡(luò)中。它的目的是減輕組織將受到的攻擊的威脅，蜜罐加強(qiáng)了受保護(hù)組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。A、這類蜜罐在防護(hù)中所做的貢獻(xiàn)很少，蜜罐不會將那些試圖攻擊的入侵者拒之門外，因為蜜罐設(shè)計的初衷就是妥協(xié)，所以它不會將入侵者拒絕在系統(tǒng)之外，實際上，蜜罐是希望有人闖入系統(tǒng)，從而進(jìn)行各項記錄和分析工作。B、雖然蜜罐的防護(hù)功能很弱，但是它卻具有很強(qiáng)的檢測功能，對于許多組織而言，想要從大量的系統(tǒng)日志中檢測出可疑的行為是非常困難的。雖然，有入侵檢測系統(tǒng)（IDS）的存在，但是，IDS發(fā)生的誤報和漏報，讓系統(tǒng)管理員疲于處理各種警告和誤報。而蜜罐的作用體現(xiàn)在誤報率遠(yuǎn)遠(yuǎn)低于大部分IDS工具，也務(wù)須當(dāng)心特征數(shù)據(jù)庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為，從原理上來講，任何連接到蜜罐的連接都應(yīng)該是偵聽、掃描或者攻擊的一種，這樣就可以極大的減低誤報率和漏報率，從而簡化檢測的過程。從某種意義上來講，蜜罐已經(jīng)成為一個越來越復(fù)雜的安全檢測工具了。C、如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話，那些發(fā)生事故的系統(tǒng)不能進(jìn)行脫機(jī)工作，這樣的話，將導(dǎo)致系統(tǒng)所提供的所有產(chǎn)品服務(wù)都將被停止，同時，系統(tǒng)管理員也不能進(jìn)行合適的鑒定和分析，而蜜罐可以對入侵進(jìn)行響應(yīng)，它提供了一個具有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)可以隨時進(jìn)行脫機(jī)工作。此時，系統(tǒng)管理員將可以對脫機(jī)的系統(tǒng)進(jìn)行分析，并且把分析的結(jié)果和經(jīng)驗運用于以后的系統(tǒng)中。（2）研究型蜜罐專門以研究和獲取攻擊信息為目的而設(shè)計。這類蜜罐并沒有增強(qiáng)特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面對各類網(wǎng)絡(luò)威脅，并尋找能夠?qū)Ω哆@些威脅更好的方式，它們所要進(jìn)行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊，安全研究組織。根據(jù)蜜罐與攻擊者之間進(jìn)行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同時這也體現(xiàn)了蜜罐發(fā)展的3個過程。（1）低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產(chǎn)品系統(tǒng)，而是對各種系統(tǒng)及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進(jìn)行簡單的應(yīng)答，它是最安全的蜜罐類型。（2）中交互是對真正的操作系統(tǒng)的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中，蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標(biāo)。（3）高交互蜜罐具有一個真實的操作系統(tǒng)，它的優(yōu)點體現(xiàn)在對攻擊者提供真實的系統(tǒng)，當(dāng)攻擊者獲得ROOT權(quán)限后，受系統(tǒng)，數(shù)據(jù)真實性的迷惑，他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高，如果整個高蜜罐被入侵，那么它就會成為攻擊者下一步攻擊的跳板。目前在國內(nèi)外的主要蜜罐產(chǎn)品有DTK，空系統(tǒng)，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREATARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。3.4.蜜罐的配置模式（1）誘騙服務(wù)（deceptionservice）誘騙服務(wù)是指在特定的IP服務(wù)端口幀聽并像應(yīng)用服務(wù)程序那樣對各種網(wǎng)絡(luò)請求進(jìn)行應(yīng)答的應(yīng)用程序。DTK就是這樣的一個服務(wù)性產(chǎn)品。DTK吸引攻擊者的詭計就是可執(zhí)行性，但是它與攻擊者進(jìn)行交互的方式是模仿那些具有可攻擊弱點的系統(tǒng)進(jìn)行的，所以可以產(chǎn)生的應(yīng)答非常有限。在這個過程中對所有的行為進(jìn)行記錄，同時提供較為合理的應(yīng)答，并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯覺。例如，當(dāng)我們將誘騙服務(wù)配置為FTP服務(wù)的模式。當(dāng)攻擊者連接到TCP/21端口的時候，就會收到一個由蜜罐發(fā)出的FTP的標(biāo)識。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的FTP，他就會采用攻擊FTP服務(wù)的方式進(jìn)入系統(tǒng)。這樣，系統(tǒng)管理員便可以記錄攻擊的細(xì)節(jié)。（2）弱化系統(tǒng)（weakenedsystem）只要在外部因特網(wǎng)上有一臺計算機(jī)運行沒有打上補丁的微軟Windows或者RedHatLinux即行。這樣的特點是攻擊者更加容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因為黑客可能會設(shè)陷阱，以獲取計算機(jī)的日志和審查功能，需要運行其他額外記錄系統(tǒng)，實現(xiàn)對日志記錄的異地存儲和備份。它的缺點是“高維護(hù)低收益”。因為，獲取已知的攻擊行為是毫無意義的。（3）強(qiáng)化系統(tǒng)（hardenedsystem）強(qiáng)化系統(tǒng)同弱化系統(tǒng)一樣，提供一個真實的環(huán)境。不過此時的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當(dāng)攻擊者闖入時，蜜罐就開始收集信息，它能在最短的時間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù)，那么，他很可能取代管理員對系統(tǒng)的控制，從而對其它系統(tǒng)進(jìn)行攻擊。（4）用戶模式服務(wù)器（usermodeserver）用戶模式服務(wù)器實際上是一個用戶進(jìn)程，它運行在主機(jī)上，并且模擬成一個真實的服務(wù)器。在真實主機(jī)中，每個應(yīng)用程序都當(dāng)作一個具有獨立IP地址的操作系統(tǒng)和服務(wù)的特定是實例。而用戶模式服務(wù)器這樣一個進(jìn)程就嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中，當(dāng)Internet用戶向用戶模式服務(wù)器的IP地址發(fā)送請求，主機(jī)將接受請求并且轉(zhuǎn)發(fā)到用戶模式服務(wù)器上。（我們用這樣一個圖形來表示一下他們之間的關(guān)系）：這種模式的成功與否取決于攻擊者的進(jìn)入程度和受騙程度。它的優(yōu)點體現(xiàn)在系統(tǒng)管理員對用戶主機(jī)有絕對的控制權(quán)。即使蜜罐被攻陷，由于用戶模式服務(wù)器是一個用戶進(jìn)程，那么Administrator只要關(guān)閉該進(jìn)程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務(wù)器上。當(dāng)然，其局限性是不適用于所有的操作系統(tǒng)。3.5.蜜罐的信息收集當(dāng)我們察覺到攻擊者已經(jīng)進(jìn)入蜜罐的時候，接下來的任務(wù)就是數(shù)據(jù)的收集了。數(shù)據(jù)收集是設(shè)置蜜罐的另一項技術(shù)挑戰(zhàn)。蜜罐監(jiān)控者只要記錄下進(jìn)出系統(tǒng)的每個數(shù)據(jù)包，就能夠?qū)诳偷乃魉鶠橐磺宥?。蜜罐本身上面的日志文件也是很好的?shù)據(jù)來源。但日志文件很容易被攻擊者刪除，所以通常的辦法就是讓蜜罐向在同一網(wǎng)絡(luò)上但防御機(jī)制較完善的遠(yuǎn)程系統(tǒng)日志服務(wù)器發(fā)送日志備份。（務(wù)必同時監(jiān)控日志服務(wù)器。如果攻擊者用新手法闖入了服務(wù)器，那么蜜罐無疑會證明其價值。近年來，由于黑帽子群體越來越多地使用加密技術(shù)，