蜜罐技術在網絡安全中的應用研究
2013-01-01 00:00:00吳有蘇
無線互聯科技 2013年4期
摘 要:傳統的網絡防御技術由于其被動防御的缺陷,使得網絡安全面臨嚴重威脅,而蜜罐技術以主動防御的特點而備受關注。介紹了蜜罐技術,分析了蜜罐技術的優缺點,并對蜜罐技術在網絡安全中的應用進行了研究。
關鍵詞:網絡安全;蜜罐技術;入侵檢測
1 蜜罐技術及其原理
目前對于蜜罐(Honeypots)還沒用統一的定義,其中一種得到廣泛認可的定義是指嚴密監控的網絡誘騙系統,通過真實或虛擬的網絡服務來吸引攻擊,從而在黑客攻擊蜜罐期間對其行為和過程進行分析,以便搜集信息,對新攻擊發出預警,同時延緩攻擊并轉移攻擊目標。
蜜罐本身并不直接增強網絡安全性,它的價值主要體現在被攻擊甚至攻陷時,通過收集黑客的信息并對網絡的缺陷及時修改,變被動為主動,對網絡采取更加嚴密的防護措施。
蜜罐通過帶有漏洞的真實或虛擬的系統,引誘攻擊者的非法訪問,蜜罐上的監視器和事件日志器檢測這些未授權的訪問并收集攻擊活動的相關信息,從而將攻擊者從關鍵系統引開,拖延攻擊者在蜜罐系統上停留以供管理員作出響應。蜜罐主要是迷惑攻擊者在其上耗費時間和資源,使安全隱患有了良好的偽裝。
蜜罐技術既具有研究價值,也具有產品價值。應用于研究時,蜜罐可以用來收集信息;應用于產品時,蜜罐主要保護網絡,包括防護、探測和對攻擊的響應。此外,如果入侵者在攻擊網絡前發現網絡中設置有蜜罐,不會輕易對網絡發起攻擊,還具有一定的震懾作用。
蜜罐技術作為一種主動防御技術,具有以下優點:⑴檢測黑客入侵,發現未知的攻擊方法;⑵延緩黑客攻擊,保護系統安全;⑶檢測系統的完整性,增加反應能力。
但是蜜罐技術也有不足之處,主要體現在:⑴見識視野較窄;⑵欺騙能力較低;⑶蜜罐有可能被黑客作為攻擊、滲透其他系統的跳板。
2 蜜罐技術的應用
作為一種網絡安全技術,蜜罐以多種形式應用到網絡安全的研究和實踐中。
2.1 對抗蠕蟲病毒
可以利用蜜罐技術在以下方面來對抗蠕蟲病毒:
⑴在未分配的網絡地址上布置一定數量的虛擬蜜罐來攔截和延緩蠕蟲病毒的掃描,從而達到保護實際網絡的目的。蜜罐布置的越廣,就能夠越早收到病毒的刺探,這樣對網絡中的實際主機的保護就越好。
⑵將蜜罐模擬系統和服務漏洞暴露給蠕蟲病毒,通過捕獲蠕蟲副本,分析它們的特征,可以修補已感染主機的漏洞、轉移攻擊流量,達到限制蠕蟲傳播的目的。
2.2 網絡欺騙
通常會采用各種欺騙手段使蜜罐更有吸引力,例如在欺騙主機上模擬操作系統的漏洞、在一臺計算機上模擬整個網絡、在系統中制造仿真網絡流量等。通過這些欺騙手段,使蜜罐主機更像一個真實的網絡系統,誘使攻擊者上當。具體的欺騙手段有:
⑴IP空間欺騙。該技術在一塊網卡上分配多個IP地址,增加入侵者的搜索時間,并增大入侵者掉入蜜罐的幾率,達到誘騙效果。
⑵網絡流量仿真。產生仿真流量的方法有兩種,一是采用實時方式或重現方式復制真正的流量,二是從遠程產生偽造流量。
⑶網絡動態配置。該技術可以蒙蔽黑客,使蜜罐系統動態配置來模擬正常的系統行為,反映出真實系統的特性。
⑷模擬系統漏洞。在蜜罐中留下各種安全漏洞是對黑客最好的誘餌,是一種最有效、最直接、最簡單的誘騙手段。
⑸組織信息欺騙。若某個機構提供有關個人和系統信息的訪問,則誘騙系統也必須以某種方式反映出這些信息,從而提高誘騙系統的迷惑性。
2.3 構建虛擬網絡
通過蜜罐技術來構建虛擬網絡,擴大地址空間,可以擾亂攻擊者,讓其無法分辨真假目標和網絡,將黑客盡可能長時間拖延在虛擬網絡和機器上,贏得保護實際網絡的時間,并可以利用虛擬網絡對黑客的行為進行深入分析,從而查找和發現新型攻擊。另外,虛擬網絡在檢測和防御DDOS攻擊時也發揮巨大作用。
將虛擬網絡技術和虛擬機相結合可以用極低的代價建立一個大的虛擬網段。有些蜜罐系統通常采用ARP地址欺騙技術,探測網絡環境中不存在的IP地址,并發送ARP數據包假冒不存在的主機,從而達到IP欺騙的效果,如使用這種技術的典型蜜罐Honeyd。
2.4 過濾垃圾郵件
可以利用Honeyd自動對垃圾郵件作出判斷,然后提交給垃圾郵件過濾器。Neils Provos利用Honeyd設計了可以過濾垃圾郵件的框架,在這個框架中使用一臺主機虛擬一個C類網絡,并在網絡中隨機配置運行開放代理服務器和郵件轉發代理的蜜罐系統。當垃圾郵件發送者企圖通過開放代理服務器和郵件轉發代理發送郵件時,這些郵件會自動被轉發到垃圾郵件陷阱。垃圾陷阱再將垃圾郵件轉發給郵件過濾器,同時將垃圾郵件的發送者加入垃圾陷阱日志文件中。
[參考文獻]
[1]楊冬,高為民.基于虛擬蜜罐的網絡安全系統的設計與實現[J].網絡安全技術與應用,2008(5).
[2]LANCE Spitzner.Definitions and Value of Honeypots[EB/OL].(2002-09-21)[2007-11-23].
[3]喬佩利,岳洋.蜜罐技術在網絡安全中的應用研究[J].哈爾濱理工大學學報,2009(6).
