1 引言
隨著信息技術的飛速發(fā)展與互聯(lián)網領域的急速擴張,網絡中的不安全因素日漸增多,傳統(tǒng)意義上的維護措施已經無法滿足信息安全的需要,急需盡快提出行之有效的解決辦法。傳統(tǒng)的安全技術僅限于被動防御,只有攻擊行為發(fā)生后才能予以識別,再進行阻隔,這種“后發(fā)制人”的模式只能是處于防不勝防的挨打局面,需要一種“先發(fā)制人”的主動防御技術來徹底反轉主被動關系,通過對攻擊者的目的進行技術性分析以及預判,有針對性地防止可能發(fā)生的攻擊。蜜罐網絡欺騙技術正是主動防御與入侵檢測為一體模式的代表,不僅可以防止攻擊者的攻擊行為,還可以對其攻擊行為進行分析,更重要的是還可以進行取證以震懾攻擊者,具有極高的實用價值。
2 蜜罐技術的定義及其優(yōu)勢
蜜罐技術是一種旨在保護網絡安全運行的一種“蜜罐”,即誘導攻擊的誘餌。它也是一種網絡系統(tǒng),在被保護的網絡系統(tǒng)鄰近運行,只不過它故意設置了些許系統(tǒng)漏洞,可以轉移攻擊者的注意力,迷惑攻擊者,代替目標網絡系統(tǒng),將可能的攻擊轉移到蜜罐網絡上。而作為誘餌的蜜罐網絡本身并無重要信息,攻擊行為并沒有造成損失,這樣就成功地保護了目標網絡。蜜罐網絡是一個相對封閉的閉環(huán)網絡,一般不對外進行內容服務。因此,只要有襲擊者訪問蜜罐網絡,都會被認定為是異常的攻擊行為。
此外,為了便于取證,蜜罐網絡還布置了網絡日志腳本記錄程序,對異常的訪問(攻擊)行為進行記錄與目的分析??傊?,蜜罐里面沒有蜂蜜,里面只是一個陷阱,一個可以進行主動防御的陷阱。從實用性角度考慮,蜜罐技術具有幾大優(yōu)勢。
大幅提高檢測正確率。蜜罐網絡相對封閉,即不會有陌生訪問。當攻擊者發(fā)起網絡攻擊行為時,一般先會掃描服務器,然后發(fā)出請求。這樣就可以認定,只要是蜜罐系統(tǒng)記錄到的訪問請求都來自攻擊者。
適用范圍廣。蜜罐系統(tǒng)內置的算法可以識別多種攻擊技術,并不局限在單一的攻擊技術或者是某一種攻擊行為。對不同種類的攻擊行為具有廣泛的適用性,即使攻擊者采用未知類型的攻擊技術,也會起到一定的效果。
價格低廉。蜜罐系統(tǒng)技術成熟,結構簡單,構建容易。關鍵是找好特定位置搭建服務器即可構建蜜罐系統(tǒng)。一般技術力量都可以完成一個甚至多個蜜罐系統(tǒng)的搭建工作,維護與升級也相對簡單,價格低廉 [1]。
3 蜜罐技術在網絡安全中的應用
3.1 蜜罐在網絡中的拓撲位置
蜜罐操作系統(tǒng)部署較為簡單。舉例說明,一臺VMware工作站或者模擬處理器即可實現(xiàn)虛擬機連接互聯(lián)網。蜜罐放置的位置也較為靈活,防火墻前后均可,各有優(yōu)缺點。放在防火墻前,蜜罐替代防火墻承接了海量的掃描攻擊,蜜罐的日志服務器會把攻擊信息記錄下來,入侵檢測系統(tǒng)也不會發(fā)出警示。同時也無需對防火墻進行重新配置,保障了內部網的安全;可是一旦有內部攻擊者,蜜罐就無法代受掃描攻擊,此時保護失效,攻擊者將無法被定位。放在防火墻后可以有效地針對內部攻擊者,而且還能收集防火墻已經甄別的異常數(shù)據,但缺點是一旦需要對防火墻的規(guī)則進行重新配置,一旦蜜罐被攻陷,整個內網都將面臨巨大威脅。
3.2 利用蜜罐系統(tǒng)與入侵檢測的聯(lián)動增強防護能力
入侵系統(tǒng)自帶攻擊行為特征庫,對入侵行為的檢測主要是通過調用特征庫中的數(shù)據對其進行匹配,一旦與特征庫中的某種數(shù)據匹配,隨即做出警示。特征庫的數(shù)據也不是一勞永逸的,需要及時進行更新,只有不斷地進行完善,才能對新的攻擊行為做出響應。蜜罐系統(tǒng)的出現(xiàn)可以省去不定時更新的麻煩,兩系統(tǒng)相互聯(lián)動,蜜罐系統(tǒng)會將記錄的攻擊信息發(fā)送至入侵檢測系統(tǒng),而后者在接受到該類信息后對其進行一系列的處理,剝離分析提取其中的攻擊特征,然后將其加入到特征庫數(shù)據中,以此及時地完善特征庫,以使入侵檢測系統(tǒng)對之前未知的攻擊行為做出響應[2]。兩種系統(tǒng)的聯(lián)動大大加強了入侵檢測系統(tǒng)的防御力。
3.3 利用蜜罐檢測僵尸網絡
僵尸系統(tǒng)與網絡是許多黑客常用的攻擊手段,蜜罐系統(tǒng)可以針對性的對其進行檢測。僵尸網絡的特點是分布式的,但數(shù)量極大,常用的攻擊方式有常見的零日攻擊以及掌握攻擊向量,通過遠程命令通道發(fā)起攻擊行為。蜜罐系統(tǒng)專門利用僵尸網絡的特點,可以順藤摸瓜,對其進行及時地追蹤與檢測分析,進而可以評定僵尸網絡的大概數(shù)量。想要更深入地跟蹤僵尸網絡,需要的參數(shù)主要是僵尸網絡服務器所需要的屬性值,而這種屬性值的獲得可以通過蜜罐手段獲取的僵尸系統(tǒng)程序樣本的逆向分析得到。蜜罐系統(tǒng)的功能不止于此,其還能準確識別攻擊行為所屬的操作系統(tǒng),以及對攻擊活動的完整保存與再現(xiàn)。上文提及獲得的僵尸程序樣本,除了進行逆向分析之外,還可以通過在線沙盒以及各種殺毒軟件進行更進一步的分析檢測,在線提交,將攻擊行為特征共享。
3.4 蜜罐在反蠕蟲病毒中的應用
蠕蟲病毒是另外一種常見的網絡攻擊行為,蜜罐技術同樣可以有針對性地對其進行防御與控制,根據蠕蟲病毒掃描、感染、復制傳播特點,蜜罐系統(tǒng)可以有幾項的措施對其進行處理。蜜罐系統(tǒng)可以檢測出感染階段的蠕蟲病毒,對于已知的蠕蟲病毒,可以直接通過重新設置防火墻或者修改IDS規(guī)則,然后重定向到蜜罐系統(tǒng)即可。對于未知的蠕蟲病毒,可以通過迂回的方式對其進行處理,首先是利用專門為未知病毒設定的偽造數(shù)據包,以此延遲系統(tǒng)應答與掃描速度,同時使用特定的輔助軟件工具與程序分析系統(tǒng)日志,快速阻斷連接。然后,與入侵檢測系統(tǒng)聯(lián)動,將獲取的攻擊信息分析,提取攻擊特征,再次重新設置防火墻或者修改IDS規(guī)則,使入侵檢測系統(tǒng)可以對之后的攻擊行為做出警示[3]。
3.5 利用蜜罐建立安全事件行為特征庫
傳統(tǒng)的安全技術僅限于被動防御,只有攻擊行為發(fā)生后,才能予以識別,最后再進行阻隔,且僅限于已知類型的攻擊行為。作為主動防御技術,蜜罐彌補了這方面的短板。蜜罐技術通過誘導攻擊的方式,記錄各種入侵行為并對其進行分析,通過更深層次的追蹤,發(fā)現(xiàn)未知的攻擊行為和攻擊模式,通過對海量攻擊數(shù)據的統(tǒng)計分析,更進一步地探究攻擊者的入侵動機,從而使用有針對性的防御策略。從長遠角度看,通過分析收集到的攻擊數(shù)據,可以更為全面地了解已知與未知的攻擊行為、攻擊模式、攻擊源頭等。將這些提取出來的信息整合在一起,可以建立起一個相對完善、且能自我更新的特征庫,這將在以后的網絡安全問題中發(fā)揮極為重要的輔助作用。
4 結束語
蜜罐技術是一種安全有效的網絡安全技術,其主動防御的特點是傳統(tǒng)網絡安全技術的強力補充。面對未知的攻擊模式與攻擊工具,蜜罐技術可以有效地進行處理,及時完善特征庫,在各類網絡安全問題中扮演了至關重要的角色,很好地維護了網絡安全。隨著時代的發(fā)展與技術的進步,蜜罐技術將會在網絡安全維護中大放異彩。
參考文獻
[1] 謝盛嘉,黃志成.基于蜜罐技術的校園網絡安全模型研究[J].電腦開發(fā)與應用,2013(05):13-15.
[2] 藺旭東,薄靜儀等.網絡安全中的蜜罐技術和蜜網技術[J].中國環(huán)境管理干部學院學報,2007(03):110-112.
[3] 王海峰,陳慶奎.蜜網動態(tài)部署研究與設計[J].計算機工程與應用,2011(10):89-92.
[4] 向全青.基于網絡掃描技術的動態(tài)蜜罐網絡設計與實現(xiàn)[J].信息技術,2013(6):165-169.
作者簡介:
崔嘉(1982-)男,山東濱州人,碩士研究生,講師;主要研究方向和關注領域:物聯(lián)網應用技術、裝備管理信息化、信息安全。