蜜罐技术的分析及其研究开题报告

如今,网络随着计算机技术的发展,已日益成为工作、生活中不可或缺的工具。伴随着网络的迅猛发展,信息安全也越来越受到个人、政府、机关、企事业单位等的重视,信息安全已经成为网络的重中之重。信息安全中的网络安全技术主要包括防火墙技术、入侵检测技术等,这些技术大多数都是在攻击者对网络进行攻击时对系统进行被动的保护,目前多数网站采用的安全措施为:防火墙作为网络安全的第一层防线,可以实施有效的访问控制,阻止黑客的进入,但黑客仍可能利用系统后门或缺陷绕过防火墙实施攻击;入侵检测系统(IDS)对网络和系统的活动情况进行监视,及时发现并报告异常现象,但是入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。蜜罐(honeypot)使这些问题有望进一步解决,蜜罐好象是故意让人攻击的目标,引诱黑客前来攻击,通过观察和记录黑客在蜜罐上的活动,可以了解黑客的动向,采用的攻击方法等有用信息,从而采取相应的措施。
国内外的研究现状分析及产品情况
1、 定义:
蜜罐系统(honeypot)已经逐渐的被人们所认知,但对它有不同的定义。广泛的定义是:蜜罐系统是一个伪装成一个真正目标的资源,它期待被攻击,主要目的是转移攻击者的视线,收集攻击者的信息和攻击者的攻击手段。蜜罐通常是用来对黑客或攻击者的行为进行警报或者诱骗,使得黑客或攻击者的精力集中到蜜罐而不是其他真正有价值的正常系统和资源中,蜜罐本身对于黑客或攻击者是一个诱惑,但它本身却表现出一个正常的系统环境。
2、产生
   “蜜罐”的思想[1]最早由CliffordStoll于1988年5月提出, 作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想。蜜罐正式出现于文献[2],Bill Cheswick提到采用服务仿真和漏洞仿真技术来吸引黑客。服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。蜜罐自产生以来,主要经历了欺骗系统和Honeynet两个发展阶段。
 欺骗系统:FredChoen[3-5]认为黑客的攻击过程可分为以发现漏洞为目的的情报收集和针对漏洞进行攻击两个阶段,而在网络中设置欺骗系统可以影响黑客的情报收集,使其难以实施有效的攻击。FredChoen的工作较大地推进了蜜罐的发展。此后,一些商用或免费的欺骗系统陆续出现,主要有DeceptionToolkit[6]、Specter[7]、Mantrap[8]、CyberCopSting[9]等。
  Honeynet (蜜网):Honeynet 是一个包含安全缺陷的网络系统。在一个Honeynet中,可以有不同的网络设备和操作系统,并且可以运行不同的服务,这样使得Honeynet和正常的网络好象没有任何区别。Honeynet主张使用真实的系统,这样既可以观察黑客是如何侵入系统的,又可以深入观察黑客进入系统之后的一些活动。Honeynet强调要对黑客的活动进行控制,防止黑客以蜜罐为跳板攻击其它系统。Honeynet还强调对黑客活动的观察和控制应避免被黑客察觉。Honeynet方案提供给黑客的活动环境是一个网络,该网络一般有多台作为“诱饵”的蜜罐机,连到Inertnet上,吸引黑客攻击。Honeynet利用入侵检测系统捕获网络上传输的数据包,记录黑客活动信息。另外, Honeynet利用防火墙控制黑客不能以蜜罐机为跳板攻击该网络外的系统。
3、 蜜罐的技术和实现
蜜罐技术主要包括欺骗空间技术、信息捕获技术、信息控制技术。
欺骗空间技术   通过增加搜索空间来显著的增加黑客或攻击者的工作量,从而达到安全防护目的的一种技术。它能使一台主机具有众多的IP地址,并且每个IP地址具有各自的MAC地址,这些IP地址都放置了伪造网络服务的系统。这项技术可用于建立填充一大段地址空间的欺骗,且花费很低,而且在这种情况下,欺骗服务相对更容易被扫描器发现,便于引诱黑客或攻击者上当,增加其入侵时间,消耗其大量资源,使真正的网络服务被探测到的可能性大大减少。
信息捕获技术  要抓取到黑客或攻击者群体们的所有数据信息,从他们的击键到发送的信息包。信息捕获能够获得所有入侵者的行动记录,这些记录有助于分析他们所使用的工具、策略以及攻击方法和目的等,并在不被对方发现的情况下,捕获尽可能多的数据信息。捕获的数据必须很好的保护起来,否则很可能会被攻击者发现,从而令其得知该系统是一个陷阱平台。
信息控制技术  就是对黑客或攻击者的行为进行规则上的定义,让他们能做或者不能做某些事情,并且能够确定信息包发送到什么地方。这样,当蜜罐被攻击或者入侵后,它不会用来攻击蜜罐以外的机器或者系统。
4、目前的几种蜜罐产品:
DTK(DeceptionToolkit)  DTK是由FredChoen用Perl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统。作为免费的,源代码公开的欺骗系统,由于担心系统本身可能存在的漏洞而引入新的安全风险,于是出现了具有类似功能的改进产品如Specter等。
Mantrap  Recource公司的欺骗系统Mantrap对Cheswick所使用的牢笼(jail)环境作了进一步改进。Cheswick所使用的蜜罐系统是用漏洞仿真的方法故意提供黑客一个账号,当黑客以该账号登录时,将被引入事先设置好的牢笼环境。Mantrap在Unix的更改根目录(chroot)机制基础上,通过修改操作系统内核的方法,在一个运行的Solaris操作系统之上提供了4个逻辑上的操作系统环境。每一个这样的环境都如同一个独立运行的操作系统,Mantrap用户可以在其上安装任何适用于Solaris操作系统的服务器软件。这些逻辑上的操作系统环境被称为“牢笼”。黑客可以通过在牢笼内运行的真实服务器软件的漏洞侵入这些逻辑上的操作系统环境。与采用仿真技术的DTK相比,Mantrap使用真实的服务器软件,对黑客更有吸引力。由于与黑客实际使用同一个操作系统,Mantrap可以收集一些系统级的黑客活动信息。例如, Mantrap使用一个内核模块过滤对系统进程表的访问,既能隐藏牢笼外运行的进程,又可以记录牢笼内进程启动情况。
CyberCopSting  CyberCopSting是NetWorksAssociatesTechnology公司的产品,工作在NT平台上。除了采用服务仿真技术外,它还通过占用多个IP地址的方法,在一个计算机系统上仿真出多台欺骗机。
5、 蜜罐的优点
蜜罐作为一种网络陷阱和网络诱骗系统,具有其明显的优点,能够弥补单一的防火墙的局限性和脆弱性,具体来说,有以下几点:
(1)系统设置蜜罐后,黑客或攻击者可能耗费大量的时间和精力尝试刺探及研究蜜罐,将会消耗黑客或攻击者的时间,给被攻击者提供一定的反应时间采取相应的措施和手段。
(2)让黑客或攻击者对现有的安全措施产生错误的印象,使其花费很多时间和精力寻找工具攻击蜜罐,但这些工具可能在真实的系统上可能无法作用。
(3)蜜罐的存在,可降低实际系统受到随机攻击或刺探的可能性,降低攻击者选择一台重要机器作为目标的几率,并且蜜罐也会侦测并记录最初的扫描以及所有的后续攻击。
(4)蜜罐几乎不会产生误报。任何同蜜罐的通信和对话都是可疑的,因为蜜罐除了侦测和诱骗攻击外没有其他的用途。
(5)蜜罐可以发现和分析系统出现的新的弱点,并且获得黑客或攻击者新的攻击手段、方法,从而进行研究和采取相应的防护措施。
6、 目前蜜罐的发展趋势
目前,蜜罐主要表现出以下几种发展趋势:
(1)蜜罐系统从占用多台计算机向只需要一台计算机转变。例如Honeynet组织正在进行一个VirtualHoneynets的项目。该项目计划通过采用虚拟机(VMware)软件在一台计算机上安装多个可以同时运行的操作系统。每一个操作系统都可看作网络上一台独立的计算机,称之为虚拟机。把这些虚拟机分别配置为蜜罐、防火墙、入侵检测系统,从而在一台计算机系统上实现了一个虚拟的Honeynet。这样可以方便研究人员维护、减少费用;
(2)与入侵检测系统(IDS)等其它网络安全技术相结合, 减少误报和漏报;
(3)跨平台蜜罐  目前的操作系统各种各样,大部分的蜜罐只能在特定的操作平台或系统下工作,如果蜜罐可以在任何操作系统或是多个操作系统下工作,使用者的范围就会不断增加,同时蜜罐也能更容易的被使用。
(4)提高蜜罐和入侵者的交互程度  蜜罐如果仅仅支持简单的几种交互行为,那么黑客很快会发现自己所处的环境,并迅速退出。所以蜜罐必须不断的提高交互程度,以便更好的了解黑客的行为和所采取的入侵方式。
(5)蜜罐的应用领域逐步扩大。最初,蜜罐只是一些研究人员获取黑客活动第一手材料的工具。而目前,蜜罐开始逐步在安全人员培训等其它场合得到较多的应用。
   

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/zzwgzp.html