毕业论文网
该文是关于技术论文范文,为你的论文写作提供相关论文资料参考。
蜜罐技术与其新应用
摘 要:蜜罐技术已经受到了越来越多研究者的关注,成为当今研究的一个热点课题.结合传统的蜜罐技术以及最新研究成果,对蜜罐的基本概念、提出背景、系统分类、优缺点、蜜罐系统的部署进行了全面的分析和综述,对基于第三代蜜网的蜜罐识别技术和蜜罐应用技术作了深入的介绍和评述.最后,总结并探讨了当前该研究领域存在的问题以及今后的发展方向.
关键词:蜜罐;蜜网;入侵检测;网络安全
1 引言
计算机和互联网技术的发展正在改变着人类社会的面貌,随之而来的信息安全和网络安全问题也日益突出.现有的信息安全和网络安全技术,如防火墙、入侵检测、加密技术等都具有一个共同的特点:纯防御性.它们都是被动地、防御性地保护着网络资源,而对入侵者的情况一无所知.
从1999 年开始兴起的蜜罐技术致力于将网络被动防御转为主动防御,它通过主动与入侵者进行行为交互,提供了了解入侵者动机、意图和手段的技术实现,使用户在受到正式攻击前有可能对网络安全趋势做出预测,从而减轻恶意攻击行为对网络设施造成的危害.
蜜罐项目组(The Honeynet Project)创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷.蜜罐是一种资源,它的作用就是引诱攻击者的攻击,一个不被攻击的蜜罐是没有任何意义的.蜜罐不直接给网络安全带来帮助,它只是收集和攻击者相关的攻击信息并分析这些信息,以此来研究攻击者和被蜜罐模仿的系统的漏洞,从而间接地为网络安全带来帮助.
目前,互联网安全现状的主要特点如图1 所示.
与此同时,网络攻防博弈也呈现出极大的非对称性,具体参见表1.在这样的背景下,蜜罐技术应运而生,其提出的目的就是试图改变攻防博弈的非对称性,即试
2 蜜罐系统部署
蜜罐系统按照其部署目的可分为产品型蜜罐和研究型蜜罐;按照其交互等级划分可分为低交互性蜜罐和高交互性蜜罐;按照其运行环境可分为虚拟机蜜罐和物理蜜罐.蜜罐系统按其交互程度不同,分为低级与高级交互度蜜罐,其在功能、采集的信息量、部署与维护难易程度、被识别的容易程度、安全风险等方面的比较如表2所示.
2.1 低交互性蜜罐系统部署
低交互性蜜罐通常是运行在现有操作系统上的仿真服务,以模拟某一服务、端口或者是整个操作系统为主,只允许少量的交互行为,攻击者并不能与其在各个层面上交互,其部署与维护起来较为简单,但是其采集的信息量也比较有限、较容易被识别出来,因而安全风险也较低,其系统部署如图
2 所示.
2.2 高交互性蜜罐系统部署
高交互性蜜罐通常是以真实的系统为基础来构建,是一种物理蜜罐,而不是模拟性蜜罐,攻击者所面临的是真实的系统和服务,其可以收集更多的信息,同时也和攻击者间拥有更高的交互等级和交互能力,攻击者可以探测、攻击、破坏这种系统,并将其作为进一步攻击的工具,相对低交互蜜罐其配置更加复杂,需要更多资源的支持,具有更高的风险,其系统部署如图3 所示.
3 蜜罐系统识别技术
3.1 HttpsandSocksProxies 识别技术该技术主要目的就是捕获垃圾邮件,典型应用在
Send-Safe 公司设计的反蜜罐软件蜜罐猎手(HoneypotHunter).蜜罐猎手是用来测试开放代理的连接.根据连接反馈的形式,可把代理归类为安全(好)、糟糕(失败)或者陷阱(蜜罐).
目前,蜜罐猎手通过检测1080 端口来获得Socks 4、Socks 5 和其他HTTP“连接”接口代理的支持.从本质上来说,蜜罐猎手执行一系列简单检测.首先,它在本地系统(25 端口)打开一个虚拟邮件服务器,用来测试代理连接;然后,连接到服务器代理端口.一旦连上后,蜜罐猎手会尝试把代理返回到自己原来那个虚假的邮件服务器上.通过反过来连接自己虚假的服务器这个基本方法,可以识别绝大
多数无效的代理和蜜罐.特别需要注意的是,如果远程服务器收到成功连接的信息,而蜜罐猎手上的虚假的邮件服务器没有连接上,那这个代理很有可能是蜜罐.
3.2 针对应用程序级别的蜜罐识别技术
对于仅在应用程序级别的蜜罐技术,以目前广泛应用的Honeyd、Nepenthes 以及PHoneyC 为例,可以从TCP/IP 协议的分析来识别.正常的TCP 协议连接服务要通过三次握手完成,而虚拟的操作系统和服务在三次握手过程中,和真实的操作系统有一定的差别.
真实的操作系统在第二次握手过程中,服务端发送完SYN/ACK 包,如果未收到客户端的确认包,服务端会进行首次重传,等待一段时间仍未收到客户端确认包,则进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除.而虚拟的系统不具备这种重发SYN/ACK的功能客户端根据接收到的SYN/ACK的数目可以判断目标系统是否是所模拟的系统.若SYN/ACK的个数大于等于2,就判断为真实系统;若SYN/ACK 的个数小于2,便判断为蜜罐.
除了上述方法外,还可以采用指纹识别.不同的操作系统在处理信息时是不完全相同的存在各自的特点,这就是系统的“指纹”,而系统的指纹实现上来源于TCP/IP 协议栈.基于TCP/IP 协议栈的操作系统识别已经是比较成熟的技术,这方面的常用工具有Nmap、Queso等.低交互的蜜罐一般只进行程序级别的模拟,并没有对协议栈进行模拟,攻击者可以利用协议栈的指纹识别来发现其正在攻击的操作系统和识别出的操作系统类型是否相同,从而可以判断蜜罐的存在.
3.3 针对Sebek的识别技术
Sebek 是一种构建高交互蜜罐的重要工具,也是第二代和第三代蜜网方案的重要组成部件之一,其组成包括客户端和服务器两个部分.客户端安装在蜜罐主机之中,用于记录攻击者通过系统调用read()的所有数据,并以一种隐蔽的方式把这些数据发送给服务器.
客户端利用Linux 的动态可加载内核模块技术完全运行在蜜罐的内核空间.服务器用于收集所有客户端发送的数据,不仅可以把这些数据记录到数据库中,还可以立即显示攻击者的攻击记录.
Sebek 的客户端用新的系统调用函数read()替换了原来的系统调用函数read(),并且记录用户通过read()函数的所有数据,然后立即把这些数据通过网络发送给服务器.如果攻击者在1 秒内进行大量的read()操作,那么将可能导致网络拥塞.这时攻击者可以通过ping 操作来检测网络是否发生拥塞,如果ping 的返回时间发生了显著变化那么可以确定该主机是蜜罐.正常的系统调用表中函数指针在内存中通常是靠在一起的,然而Sebek 用自己新的函数read()替换了系统原来的函数read(),因此新函数read()的地址通常和其它系统调用函数地址相距较远.
攻击者还可以通过检查获得的read()指针和其它系统调用函数之间的差值大小来确定当前主机是否是蜜罐,如果相距较远则很可能是蜜罐.Sebek 的客户端模块通过Cleaner 模块隐藏了自己的存在.如果能够找到客户端模块的存在,那么这将是Sebek 存在的最直接的证据.Sebek 的客户端为了隐藏自己发送报文的事实,通常还要修改/proc/net/dev 中包输出值,即从传输的包总数中减去Sebek 包的数量.因此,可通过对比值来确定是否是蜜罐.
3.4 针对Honeywall 的识别技术
Honeywall 作为一个蜜网网关,是第二代蜜网方案整体架构中最重要的核心部件之一.作为蜜网与其他网络的惟一连接点,所有流入、流出蜜网的网络流量都将通过Honeywall,并受其控制和审计.同时由于其是一个工作在链路层的桥接设备,不会对网络数据包进行TTL 递减和网络路由,也不会提供本身的MAC地址,因此对攻击者而言,Honeywall是完全不可见的.
由于Honeywall 的存在对于出境的通信将被严格
限制(具体限制的配置在rc.firewall 脚本中),比如每天只允许25 个对外TCP 连接.只需要启动大量的对外连接,然后观察如果在一定数量的连接之后连接是否受到了阻止,即可判断Honeywall 的存在.Honeywall用特征检测来发现数据包,实现此功能的是Snort_inline 软件.从Honeynet 网络出发的所有数据包都经过Snort_inline 的检测,只有不包含规则库里的任何异常特征的数据包才能通行.Snort_inline 并不具备路由器的功能,利用Iptables(防火墙)的Queue 选项发送,Snort_inline 首先在ip_queque 模块(该模块实现Iptables 的Queue 功能)制定的某一个地方注册一个函数,Iptables 把数据包转发到这个函数,由该函数进行处理,处理流程如图4 所示.这个函数的处理在convert.sh 文件中,包含转换了的三种规则和一种新的关键字,包括reject、drop、sdrop、alert.正由于Snort_inline 的这个处理过程,可以通过建立一些包含匹配Snort_inline 的数据库的字串的网络通信,然后检查是否收到目的包或者检查收到的通信是否是原来的格式,从而识别出Honeywall的存在.
4 蜜罐系统的新应用
4.1 基于蜜罐的即时通信网络安全技术
IM(Instant Messaging,即时通信)网络服务(如、微信、Skype、MSN等)已经越来越受到人们的认可并逐渐流行起来了,与此同时,也引起了一些恶意攻击者的兴趣.攻击者通常通过盗用账号、非法入侵客户端软件或者借助用户的弱隐私设置等,向其目标攻击对象发送一些恶意的统一资源定位符URL(Universal Resource Location)、可执行文件或者其他一些未经许可的消息,来实现自己的恶意软件传播、非法网络入侵、不良网络欺诈等目标.
SpirosAntonatos 等人提出了借助HoneyBuddy,一个类似于蜜罐的网络架构,对IM网络通信行为进行信
息采集,发现这些恶意攻击的系统特征,进而实现检测IM 网络上的恶意攻击行为的目标.其基本工作机制就是向其蜜罐信使随机发送一些账号信息,例如借助主流的搜索引擎查询IM 账号的相关信息或者与目标网站上相关的广告信息等,然后对其蜜罐信使进行网络行为监视和信息采集,进而发现这些IM网络恶意行为的攻击特征.在具体的实现中,HoneyBuddy 有3 个模块:账号采集模块、脚本执行引擎模块以及监视模块.账号采集模块主要负责采集将要添加至被盗用账号联系人列表的新账号信息,例如针对MSN专门采集那些以@hotmail.com或者@live.com 为后缀的信息,更高级一点的信息采集方式,就是采集那些主流的社交网络的账号信息;脚本执行引擎模块主要是启动MSN信使(借助AutoIt Software)并向采集来的那些联系人账号发送邀请信息;监视模块主要负责监视那些MSN信使对恶意URL处理的日志,同时也要监视默认下载文件夹下的新文件传输记录.
Spiros Antonatos 等人的MSN Honeypot 应用服务—myMSNhoneypot,为IM 账号或者客户端被盗用的
用户提供了一个提醒机制.它向用户联系人列表中添加了一些供诱骗的账号,当有消息从用户发向这些供诱骗的账号时,就认为用户的账号或者客户端被盗用.myMSNhoneypot 服务的部署结果表明:93%的已知的钓鱼域名没有被主流的黑名单列表机制检测出,87%的恶意URL 被商业型网络安全产品错误地检测为安全.
4.2 基于蜜罐的DDoS攻击防御技术
DDoS(Distributed Denial of Service,分布式拒绝服务)是一种特殊形式的拒绝服务攻击,借助超出被攻击目标处理能力的海量数据包消耗可用系统、带宽资源,致使网络服务瘫痪的一种攻击手段,因此DDoS 也被称之为“洪水攻击”.DDoS 攻击是DoS 攻击、漏洞扫描、后门程序攻击、IP 欺骗等多种攻击方式的组合,常见的DDoS 攻击手法有UDP Flood、SYN Flood、ICMPFlood、TCPFlood、Proxy Flood等.
在传统的基于蜜罐的DDoS 防御方案中,蜜罐通
常作为一个具体通信网络(如Web 服务器、Mail 服务器、DNS服务器、FTP服务器以及若干个伪装成以上服务器的蜜罐)的服务器池中的检测者,这些蜜罐的价值,就在于代替真实服务器接收由攻击代理机发送的攻击包.此外,蜜罐还可应用在适当配置的防火墙保护下的局域网中,在防火墙中同时运行入侵检测、攻击扫描和网络数据包的重定向机制.但是这些传统的方案有很多弊端,例如攻击者是合法的或者连接不可达等问题,因此Vinu Das 提出了一个新颖的基于蜜罐的DDoS防御模型,其基本实现机制是借助一个虚拟的通信端口或者信道.对于合法的攻击者问题,Vinu Das是通过新开端口来解决的,即在客户端通过合法性验证之后新开一个虚拟的或者物理的端口来进行通信.
对于连接不可达问题,Vinu Das 的是通过新开一个临时的通信信道来解决的,即将蜜罐服务器虚拟地看作
一个真实的服务器,然后将该临时通道穿过此蜜罐服务器.在Vinu Das 的应用场景里,攻击者和非法的网络节点不能入侵到网络,也不存在DoS攻击,是蜜罐在防御DDoS攻击中的一个典型的、成功的应用.
4.3 基于蜜罐的反钓鱼技术
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、账号ID、ATMPIN码或信用卡详细信息)的一种攻击方式.最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉.它是“社会工程攻击”的一种形式.
作为一个有效的反钓鱼工具,蜜罐技术已经被广泛地应用到了银行、证券、政府部门等机构或组织的安全服务领域.蜜罐可以用来采集钓鱼的电子邮件,这样新的钓鱼网站就会被及时地检测到并关闭,蜜罐也可以用来采集钓鱼者的相关行为信息,这些信息可以用作统计分析研究或者法庭证据等.然而,传统的蜜罐技术仍然存在很多弊端,如防垃圾邮件网关(Spamtrap)与蜜令(Phoneytoken)不能协调工作、电子银行不能与蜜令协调工作、防垃圾邮件网关无法组织基于恶意软件的钓鱼、防垃圾邮件网关无法阻止网址嫁接(Pharming)等.为了克服这些弊端,Shujun Li 和Roland Schmitz 提出了一种基于不同种类蜜罐的反钓鱼技术,并实现了与现有电子银行系统的无缝集成.
这些蜜罐主要有以下几种:
(1)一个用作蜜罐的电子银行系统.
(2)一些用作蜜罐电子银行系统伪凭据的蜜令.
(3)一些用作吸引钓鱼邮件和向钓鱼网站提交蜜令的电子邮件网关.
(4)一些用于向网址嫁接服务器和钓鱼软件提交蜜令的蜜罐.
经过组合这些不同种类的蜜罐,嵌入在电子银行系统中的钓鱼检测器能够很容易地确定可疑的钓鱼攻击,进而能够及时地跟被钓用户确认.一方面显著地减少用户的损失,另一方面也能适当增加钓鱼者及其钱骡(MoneyMule)被发现的风险.
4.3 基于蜜罐的大数据技术
由于蜜罐是部署在通常网络中一个用来吸引攻击者注意的没有安装全部补丁的系统.相对其他系统,蜜罐的数据将更加多的可能是攻击行为.通过在多个重要网络节点部署蜜罐进行数据采集分析,可以提前预知大规模的零日漏洞的爆发以及有计划的攻击行为.
对于运营商来说,拥有网络部署的先天优势.蜜罐的数据也比其他普通来源的数据更有针对性,更值得分析.
5 结束语
蜜网技术从第一展至如今第三代,数据来源(包括防火墙日志记录、端口上嗅探器记录的网络流、Sebek 捕获的系统活动)和数据分析(Walleye)已日趋完善,但蜜网的反识别技术以及蜜罐本身价值的挖掘,已经成为蜜罐技术研究领域亟需解决的问题.
结合中国电信现有的电信网、互联网、CDMA移动通信网络以及未来的物联网自身特点,笔者深知网络安全对于网络运营商的重要性,这将直接关系到用户的服务体验满意度问题.因此,电信运营商应该高度重视网络安全问题.随着云计算时代、IPv6 时代、物联网时代、大数据时代的来临,如果能实现蜜罐技术与这些技术的融合、甚至将蜜罐技术与一些实践中的网络安全领域实现无缝集成的话,那么这必将会给用户带去更贴心的服务,也必将会推进蜜罐及其相关技术的不断向前演进发展.
技术论文范文结:
关于对写作技术论文范文与课题研究的大学硕士、相关本科毕业论文技术论文开题报告范文和相关文献综述及职称论文参考文献资料下载有帮助。
3、农村新技术杂志
4、现造技术论文