基于蜜罐的安全技术

基于蜜罐的安全技术（精选8篇）

基于蜜罐的安全技术 第1篇

目前的网络安全防御技术基本上都是防火墙和入侵检测。防火墙技术的基本原理是过滤, 即除了允许通过的数据包外, 其他的数据包全部过滤。这种技术在防范简单的网络入侵上是有效的, 但是在深一层的入侵则难以防范, 例如, 入侵者可以采用一些有效的伪装手段伪装数据包, 使防火墙无法有效的过滤掉入侵数据。另一种技术是入侵检测, 但是入侵检测方式需要现成的模式库, 用来确定某种行为是否属于入侵行为。而模式库的更新往往会比入侵行为模式的出现慢上好几拍。

上述两种网络安全防御技术都是被动防御, 这种防御手段都需要事先对非法访问和非法连接有清晰的认识。而随着入侵技术的不断发展, 新的入侵方式层出不穷, 入侵的时间、入侵的发起点和目标点都有很大的不确定性, 这使得被动的防御技术难以准确的识别新的入侵技术, 从而使网络防御陷入被动。蜜罐的的主要优势在于主动防御, 主动防御能牵制和转移网络入侵行为, 而且能对入侵行为进行记录、分析, 从而获得未知的入侵技术的资料。主动防御技术与原有的网络安全防御技术有机结合, 能够弥补目前网络安全体系的不足, 提高网络安全性。

根据蜜罐的原理, 把其实现技术与传统的网络安全防御技术结合, 设计一种新的拥有主动防御特征的新型局域网络体系。新型的网络系统是在传统的网络安全防御手段上加入蜜罐的主动防御能力, 因此, 该系统应该拥有以下的能力:

(1) 良好的数据捕获能力;

(2) 能够保证捕获到的数据的完整性, 并能够记录入侵者行为;

(3) 具有日志记录功能和数据分析工具;

(4) 应该具有一定的报警功能。

1 基于蜜罐技术的IDS (HP-IDS)

本设计的主要技术依据是蜜罐技术和入侵检测, 通过这两个方面的结合实现一个能够克服IDS的漏报和误报以及无法检测未知攻击的缺陷的主动防御模块。并将该模块应用到局域网中, 构造一个安全局域网。

入侵检测是识别那些未经过授权而使用计算机系统的个体和那些经过授权但是滥用权力的个体的技术。入侵检测技术分为滥用入侵检测和异常入侵检测。在众多的入侵检测技术中, 基于特征与规则的入侵检测技术是入侵检测领域内最为有效及使用最广泛的技术之一, 被广泛用于滥用检测系统中, 仍是保障计算机系统及网络安全的最主要措施之一。但它们仍存在如下缺陷: (1) 只能检测已知攻击对新出现漏洞的攻击或旧漏洞的新攻击方法或变种失效。 (2) 系统的有效性依赖于训练数据的质量规则与提炼的审计记录之间往往是一一映射关系, 这直接导致一个微小的入侵序列变化, 从而使基于规则的入侵检测系统失效。 (3) 没有能力预测将要发生的危险只能在危险发生后进行报告及结束入侵活动。 (4) 规则库既不容易创建也不易更新。

蜜罐技术可以对IDS进行高效的补充, 蜜罐可以分担IDS的一部分数据流量, 减轻IDS的负担, 而且还可以提供IDS自学习的数据, 增强IDS的智能。在IDS的入侵分析技术中, 误用检测和异常检测通常基于合法访问特征库和攻击特征库, 这两者通常是静态的, 需要管理者手动增加。蜜罐的引入为IDS的自学习提供了可能, 把符合攻击特征的事件和未知事件全部引入蜜罐, 由蜜罐来监测访问者的访问动作, 进而判断该未知事件是否为攻击事件, 如果攻击行为确立, 则一方面记录攻击事件, 一方面提供攻击特征给IDS, 使IDS及时学习到新型的攻击行为。

基于上述说明, 提出一种结合蜜罐技术的入侵检测系统, 如图1。

2 HP-IDS在局域网安全中的应用

结合本文中所设计的蜜罐技术的IDS和原本的局域网拓扑结构, 设计出安全局域网方案, 如图2。

其中:

(1) 外部防火墙是整个系统的最外层, 它根据原有的模式库进行入侵检测, 隔离大部分的入侵行为。它的过滤策略是对流入的数据包严格把关, 而对流出的数据包略微放松, 因为有时候会传出一些模拟的服务。

(2) 内部防火墙则刚好相反, 内部防火墙对流入的数据包不严格要求, 但是对流出的数据信息需要严格控制, 以防止入侵者利用该系统做为跳板去攻击其他网络, 引起法律纠纷;需要注意的是, 该层过滤有时候会对入侵行为作出一些必要的数据响应, 以避免引起入侵者的警觉。

(3) 日志子系统会记录整个系统产生的系统日志, 包括真是局域网的日志、虚拟网的日志和经过防火墙的所有日志信息。其实现方法是在各个需要的位置设置日志代理, 并定期向日志子系统报告, 提高系统的安全性。日志子系统的所有记录将存档, 经过网络安全工作人员分析、归纳提取有用的信息用于研究和取证。

(4) 数据控制子系统是整个系统的核心, 该系统用于控制一切可疑的行为协调各个子系统的合作。如此庞大功能的系统需要工作人员投入较多的精力。

3 总结

蜜罐以及蜜罐技术通过诱骗入侵者攻击并记录其行为, 为网络管理者提供了入侵者使用的工具、方法、策略以及动机等信息, 网络安全人员可以根据这些信息改善网络的安全性能。随着网络入侵技术的不断发展, 蜜罐以及蜜罐技术也正进一步的发展和完善。使用蜜罐技术可能会给其他主机带来一定的风险, 虽然在蜜罐中采取了一定的措施来降低这种风险, 但应该知道, 无论采取什么样的安全措施, 这种风险都依然存在。

摘要：蜜罐技术是一种主动防御技术, 可以诱骗攻击并记录入侵过程, 及时获得攻击信息并以此来深入分析各种攻击行为。本文根据蜜罐技术的原理, 结合传统的入侵检测技术设计了一个基于蜜罐技术的局域网安全模型。

关键词：网络安全,蜜罐技术,入侵检测技术,网络安全模型

参考文献

[1]李文剑.蜜罐技术的研究和应用.网络安全技术与应用.2006.

[2]杨晶.蜜罐技术在IDS中的应用.网络安全技术与应用.2006.

[3]韩东海, 王超, 李群.入侵检测系统及实例剖析[M].清华大学出版社.2005.

[4]Paul E.Proctor (邓琦皓等译) .入侵检测实用手册[M].中国电力出版社.2004.

[5]黄传河.网络安全.武汉大学出版社.2004.

基于蜜罐的安全技术 第2篇

关键词:蜜罐;功能;蜜网;发展

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 09-0000-02

The "honey pot" Technology in the Network Security

Yu Xiaodong

(Chaozhou Power Supply Bureau of Guangdong Power Grid Company,Chaozhou521000,China)

Abstract:With the increasingly rapid development of computer networks,network security was declining,in the protection of network security,the traditional method is to use firewall.More common firewall,antivirus software and its operating mechanism,monitoring intrusions,and content filtering for network security can not played a significant role,and this article on the "honey pot" technique and its application in network security and make the corresponding discussion,for all to reference and learn together.

Keywords:Honey pot;Function;Honeynet;Development

一、防火墙技术的局限性和脆弱性

防火墙是网络上使用最多的安全设备,是网络安全的重要基石。但防火墙不是万能的。据不完全统计,防火墙的攻破率已经超过47%。传统防火墙技术有一定的局限性和脆弱性。一是防火墙不能解决来自内部网络的攻击和安全问题。二是防火墙不能防止策略配置不当或错误配置引起的安全威胁。三是防火墙不能防止利用标准网络协议中的缺陷进行的攻击。四是防火墙不能防止利用服务器系统漏洞所进行的攻击。五是防火墙不能防止数据驱动式的攻击。六是防火墙的操作系统、防火墙软件不能保证没有漏洞。七是防火墙无法解决TCP/IP等协议的漏洞。八是防火墙无法区分恶意命令还是善意命令,恶意流量还是善意流量。有很多命令对管理员而言,是一项合法命令,而在黑客手里就可能是一个危险的命令。

二、“蜜罐”技术概述

(一)“蜜罐”的定义

一个“honeypnt”就是一个设计用来观测黑客如何探测并最终入侵系统的系统。它意味着包含一些并不威胁本部门机密的数据或应用程序而同时对于黑客来说又共有很大诱惑力的这样的一个系统,也就是放置在你网络上的一台计算机,表面看来像一台普通的机器,但同时通过一些特殊配置来引诱潜在的黑客并捕获它们的踪迹。我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹。因此,蜜网项目组(TheHoneynet Project)的创始人LanceSpitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。

(二)“蜜罐”的系统结构

“蜜罐”是某一运行环境下的特殊软件,它主要由入侵检测、入侵重定向、模拟脆弱性、行为记录、数据融合、行为分析、行为控制等7个模块构成。其中入侵重定向、模拟脆弱性是“蜜罐”系统与普通防火墙的最大区别。入侵重定向模块把入侵行为引向经脆弱性模拟的“蜜罐”系统,由行为记录模块对入侵行为进行详细记录,并经数据融合后,给行为分析模块提供一个高效、简洁的数据源供其分析。在整个过程中行为控制模块对入侵行为进行控制,防止入侵者在系统内进行破坏,同时也防止入侵者利用该系统作为跳板对其他网络系统进行攻击,造成所谓的下游责任(downstrea mliability)。

(三)“蜜罐”的功能

设计良好的“蜜罐”共有以下几种主要功能:一是阻止功能,它把一个网络设计成可以监视和捕获他人入侵的智能化网络;二是通过提供给攻击者基于伪造数据的“蜜罐”,可以转移攻击者的视线,使攻击者对真正系统的危害性降到最低;三是不仅可以发现外部的攻击者,也可以提供内部攻击者攻击方式的特征值;四是可以通过“蜜罐”提供的数据了解攻击者的技术、手段,以更好地保护系统安全。设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

(四)“蜜罐”系统的实现

实际应用的“蜜罐’系统是多样的。最简单的“蜜罐”就是在外网上(与Internet相连)有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux。然后在计算机和Internet连接之间安置一套网絡监控系统,以便悄悄记录下进出计算机的所有流量,监视各种攻击行为。

同时,一些安全扫描、安全分析工具和一些黑客软件也共有“蜜罐”的功能。如TigerSuite和NetCat。其中,NetCat被誉为网络安全界的“瑞士军刀”,是一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其他程序和脚本轻松驱动,因而被黑客广泛使用。但同时,它也可以作为“蜜罐”使用。其原理是NetCat可以帮助我们在一些端门上绑定服务,这样就允许我们在Linux,NT,FreeBSD上建立一些如Sendmail,DNS,Telnet,FTP甚至是WebServer等的虚假服务。

简单地使用以下语句,就可以不停地监听某一个端门,直到ctrl+c为止,同时把结果输出到日志文件中(c:log.txt)nc-L—p80>c:log.txt

(五)专业“蜜罐”软件

专业“蜜罐”软件有很多种,典型的有CyberCop Sting和DTK(DeceptionTool Kit),其特点是运行在某一平台上,但可以模拟多个系统、多种服务,并能提供一些典型的漏洞,也就是说这些软件可以进行各种脆弱性模拟,给攻击者一个充满陷阱的“蜜罐”。

CyberCop Sting是由网络联盟技术有限公司(Network Associates)推出的。该软件运行在NT系统下,可以模拟Linux,Solaris,Cisco,IOS,NT等多种操作系统,并提供了一些典型的漏洞来研究攻击者的行为。

DTK(Deception Tool Kit)可在多种Linux系统上运行,DTK目前可以真正模拟的系统有10种左右,而且它可模拟很多服务。更确切地说,我们可以称它为一个状态机,功能非常强大,需要C和Perl编译器去编译运行,缺点是在构建时非常麻烦,比如说在编译时会让你选择自己的操作系统,选择你所要模仿的操作系统。

三、“蜜罐”技术在网络上的发展

“蜜罐”技术虽然诞生时间不長,但发展极快,已经由“蜜罐”发展到蜜网(honeynet)。honeynet是honeypot技术的延伸和发展,也可以认为是“蜜罐”的一种形式。

“蜜网”是指采用了另外的技术的“蜜罐”,能以合理方式记录下黑客的行动,同时尽量减小或排除对internet上其他系统造成的风险。“蜜网”的系统结构一般是在其前端放置一个防火墙,所有的信息包将通过防火墙进来,防火墙能够对所有从我们的honeypot机器往外的每一个连接进行追踪,当该honeypot外发的数量达到我们顶先设定的上限时,防火墙便会阻塞那些信息包。这样可以在最大程度保证我们的机器不被滥用的前提下,允许入侵者做尽可能多的他们想做的事。这样做,就避免了我们的honeypot成为入侵者扫描、探测及攻击的系统。

防火墙与honeynet之间还放置了一个路由器。之所以放置它,有下面两个原因:首先,路由器的存在,使防火墙变得“不可见”了,当我们的honeypot被攻击后,入侵者可能会察看从这里往外的路由,这么放置更像一个真实的网络环境,没人会注意到在路由器的外面还有一台防火墙。其次,路由器也可以对访问控制进行一些限制,它可以作为对防火墙的一个很好的补充,以确保honeypot不会被用来攻击陷阱网络之外的机器。

“蜜罐”领域最让人兴奋的发展成果之一就是出现了虚拟“蜜网”。虚拟计算机网络运行在使用Virtual pc,VMware或User-Mode Linux等虚拟计算机系统的单一机器之上。虚拟系统可以在单一主机系统上运行几台虚拟计算机(通常是4-10台),并在此网络上实现“蜜罐”,构建“蜜网”。虚拟“蜜网”大大降低了成本、机器占用空间以及管理“蜜罐”的难度。此外,虚拟系统通常支持“悬挂”和“恢复”功能,这样就可以冻结安全受到威胁的计算机,分析攻击方法,然后打开TCP/IP连接及系统上面的其他服务。

四、“蜜罐”涉及的法律问题

“蜜罐”技术发展到今天,主要涉及到了以下几个法律问题:一是“蜜罐”设备属于记录设备,因此它所记录的信息涉及隐私权的问题,如果管理员恶意记录公司外部客户或内部员工的个人信息,那么“蜜罐”技术就触犯了法律。二是使用“蜜罐”技术进行诱捕活动是否违法的问题。因为“蜜罐”技术只是用来防御攻击而不是主动攻击,因此只要不是故意宣传“蜜罐”计算机而诱使黑客攻击就不属于违法行为。

五、结语

基于蜜罐的安全技术 第3篇

1 蜜罐技术

1.1 物理蜜罐

物理蜜罐必须让蜜罐在物理计算机上工作, 基本为高交互型。所创建的蜜罐系统常常会被攻击者进行破坏或入侵, 且需要较高的维护成本。若是需要大量的应用系统进行服务或存在较多服务器时, 创建物理蜜罐的代价非常高, 同时配置的难度也很大。

1.2 虚拟蜜罐

虚拟蜜罐是利用虚拟化技术创建的蜜罐系统, 具备良好的度良性、维护性, 在一台服务器上能设置大量的蜜罐, 成本相对较低, 管理维护简单, 与物力蜜罐存在着较大差异。在计算机硬件配置基础上能够创建许多蜜罐, 有效的解决创建一个蜜罐存在的硬件高消耗问题, 所需求的成本也比较低。一般, 在一台服务器上能够运行多操作系统以及应用程序, 从而便于进行数据的获取。

2 虚拟蜜罐技术研究

一般情况下, 虚拟蜜罐系统将蜜罐技术Honeypot与虚拟化技术结合起来, 在欺骗服务器设置不存在的漏洞, 然后形成仿真流量, 并且伪装成现实所不存在的相关文件地址, 对整个网络进行模拟, 充分利用看似真实和有利用价值的虚假信息使Honeypot更具备吸引力。

2.1 设计IP空间欺骗

用一台服务器就能够实现多主机虚拟, 主要是在网卡上设计许多个IP, 此IP都要具备自身的MAC地址, 这好像存在许多计算机, 但实际只有一台。

2.2 网络流量仿真

为了能有效蒙蔽攻击者, 虚拟蜜罐系统对网络流量进行仿真, 由于系统不会形成网络流量, 因此攻击者难以依据流量的具体来源进行判断。然后进行系统的动态配置, 为了创建一个真实的虚拟网络, 利用系统的动态配置完成系统正常行为的模拟, 从而使此虚拟系统状态为动态, 由于部分具备丰富经验的黑客, 会通过长期观察的方法检测虚拟蜜罐自身的真实性, 若是系统的状态始终不变, 就很容易被黑客发现, 造成虚拟蜜罐失效, 难以实现长期诱骗攻击者的作用。

2.3 组织信息进行欺骗

为使虚拟蜜罐具备真实性, 部分资源信息对外开放, 例如为了不使攻击者所察觉, DNS中的个人信息可以在虚拟蜜罐中设计相应的虚假信息, 从而有效蒙蔽攻击者。

2.4 端口的重定向技术

运用重定向的代理服务, 完成地址的及时转换, 把虚假网络与真实网络有效区分, 同时利用计算机替换可信度相对较低的欺骗, 然后使利用虚拟地址融合在欺骗的系统之中。另外, 为了降低公共默认端口的损坏机率, 一定要通过端口的重定向进行隐蔽, 以达到虚拟蜜罐配置的目标。

3 虚拟蜜罐在校园网安全中的应用

通过对校园网中出现的安全问题分析, 研究表明, 校园网中存在的安全隐患主要是因为管理人员信息安全意识不高, 并且校园网中的信息安全软件和硬件等相关配置欠缺, 从而造成了管理人员难以管理。虚拟蜜罐技术中的蜜罐软件Honeyd具备简单实效和支持插件等特点, 能够对校园网的网络安全防护进行有效补充。Honeyd作为一项先进的网络框架, 将很多的虚拟蜜罐和相应的网络形式进行融合。此外, Honeyd支持IP协议, 可依据虚拟蜜罐的相关配置提供服务, 准确的处理网络发送给蜜罐的网络请求。

3.1 利用虚拟蜜罐技术强化WEB服务器的安全性

通常, 校园网中的信息资源通过WEB应用系统提供服务, 大多数院校主要利用网络防火墙技术对访问用户进行限制, 但是在运行过程中, 因多数WEB应用系统自身存在漏洞, 因此WEB服务器常受到互联网中的异常攻击。

3.2 查找安全隐患, 进行预防

计算机病毒是校园网资源的致命威胁, 病毒的扩散会造成网络瘫痪, 导致教育教学工作难以进行。一般的策略是强制用户安全认证, 在客户端安装病毒防护等安全软件, 但是对于新型病毒却难以进行防护。利用虚拟蜜罐系统中的主动捕获防范, 能及时的发现新的安全威胁, 然后利用传统安全技术进行防御, 从而加强校园网信息安全。

综上所述, 虚拟蜜罐技术在校园网中的应用, 提高了校园网络的安全性能, 有效的保证了院校信息化建设的顺利推进, 为教育教学工作提供了保障。

4 结束语

在校园信息化建设中, 虚拟蜜罐技术是基于虚拟化和传统网络安技术结合的新的信息安全技术, 已经广泛应用于校园网的安全建设中。在校园网中利用蜜罐软件创建虚拟蜜罐, 主动获取相应的攻击信息, 总结攻击信息的防范措施, 从而提高了院校校园网的安全性。

参考文献

[1]程柏良, 周洪波, 钟林辉.基于异常与误用的入侵检测系统[J].计算机工程与设计, 2011, 28 (14) :3341-3343.

[2]肖枫涛, 胡华平, 刘波, 陈新.HPBR:用于蠕虫检测的主机报文行为评级模型[J].通信学报, 2010, 29 (010) :108-111.

[3]王琦, 吴冰, 云晓春.分布式蠕虫蜜罐部署策略分析[J].微计算机信息 (管控一体化) , 2012, 23 (1-3) :65-67.

[4]翟继强, 乔佩利.利用IP分片探测Honeyd虚拟蜜罐[J].计算机应用与软件.2011 (04) .

[5]王晓洁.蠕虫病毒特征码自动提取原理与设计[J].微计算机信息 (管控一体化) , 2010, 23 (6-3) :66-68.

基于蜜罐的安全技术 第4篇

随着计算机网络的日益普及, 网络已成为人们生活和工作中不可缺少的一部分, 随之而来的网络攻击事件层出不穷。保障网络的安全, 构筑安全防线成为网络安全专家的主要任务。常规入侵检测技术越来越难以应付。一种称为蜜罐的新兴信息安全技术随之出现, 成为入侵检测技术的一个重要发展方向。

1 蜜罐技术及其价值

目前对蜜罐还没有一个比较完整的定义, 其中有一种将蜜罐定义为“一个包含漏洞的诱骗系统, 它是专门为吸引、‘诱骗’那些试图非法闯入他人计算机系统的人设计的, 它通过模拟一个或多个易受攻击的主机, 给入侵者提供一个容易受攻击的目标”。

蜜罐作为一种新的安全工具, 在攻击的检测、分析、研究, 尤其是对未知攻击的捕捉方面有着优越的性能。蜜罐技术与防火墙技术、入侵检测技术、病毒防护技术、数据加密和认证技术有很大不同, 后者是在入侵者对网络进行攻击时对系统进行被动的防护, 而蜜罐技术可以采取主动的方式, 用特有的特征吸引入侵者, 因此蜜罐是一种主动防御系统。

蜜罐是一种被侦听、被攻击或已经被入侵的资源, 是故意让人攻击的目标, 是网络专家经过精心伪装的诱骗系统, 也就是说, 无论如何对蜜罐进行配置, 所要做的就是使得整个系统处于被侦听、被攻击状态。但实际上这些都是诱饵, 目的是引诱入侵者前来攻击。所以当入侵者入侵系统后, 所有的操作和行为都会被记录和监视, 蜜罐管理人员就可以通过分析蜜罐记录的数据对入侵者的各种攻击行为进行分析并找到有效的对付方法。变以往的被动防护为如今的主动防护, 对网络的缺陷及时修改, 对黑客的攻击对象采取更加严密的防护措施。

有两种用语检测和捕捉内部威胁的蜜罐技术:蜂蜜信标和蜜网。

1.1蜂蜜信标

蜂蜜信标是一种全新的蜜罐技术, 特别是对内部威胁的检测。蜂蜜信标不是计算机, 而是某种形式的数字实体。蜂蜜信标可以是信用卡号码, 电子表格文件, 幻灯片文件, 数据库记录, 或者一个假造的用户名和口令。蜂蜜信标可以是任何形式, 但是它与蜜罐的概念是一样的:一种用于捕捉非授权访问数字或信息系统资源。蜜罐计算机没有授权访问价值, 蜂蜜信标也没有授权访问。在创建一个蜜蜂信标后, 任何使用和访问都是非法的。蜂蜜信标具有极大的灵活性, 它可以被部署到任何你能想象到的计算机环境中, 而且蜂蜜信标更加容易部署。

1.2蜜网

蜜网是一种高交互型的蜜罐, 是在一台或多台蜜罐主机组成基础上, 结合防火墙、路由器、入侵检测系统组成的网络系统。从概念上讲, 蜜网就是一个简单的机构。建立蜜网的目的是使我们有效的监视黑客的行动, 从而能采取有效的防范措施保护网络, 一个成功的蜜网要从阻止、发现和反应等方面入手。

由于蜜网是一个网络系统, 不是单一主机, 因此和单机蜜罐相比, 蜜网的实现和管理就更加复杂, 但这种多样化的系统却可以更多的揭示出入侵者的攻击特性, 很大程度上提高了蜜罐系统的检测、分析、响应和恢复能力。蜜网系统隐藏在防火墙的后面, 所有进出的数据都能受到关注, 并对有用的数据进行捕获和控制。

2 蜜罐的安全性及实现方法

蜜罐安全性控制是有效利用蜜罐系统为网络安全服务的基础。蜜罐安全性控制是一个包含链路层、网络层、应用控制层的多级综合安全机制, 实现对进入和流出蜜罐系统信息的安全控制和保护。

2.1数据连接控制

连接控制是对外出数据连接加以控制, 以防入侵者利用蜜罐系统作跳板攻击其他主机。与入侵者交互总会存在危险, 必须尽量降低这种危险。要确保一旦蜜网中的一个蜜罐被侵入, 该蜜罐不能被用来攻击任何非蜜网的系统。数据控制的关键是必须在入侵者毫无察觉的情况下监视并控制所有进出蜜网的数据流量。

一般的来说, 允许入侵者向外的连接越多, 所能捕获的关于入侵者的信息越多, 而相应的危险就越大。如果想捕获是自动化攻击, 如蠕虫, 那么就不需要允许任何向外的连接。当自动化的攻击侵入蜜网中的一个蜜罐后, 防火墙只需要简单地阻塞所有向外的连接, 阻止自动攻击的进一步复制。但是, 如果想捕获非自动化的攻击, 或者想要知道系统被入侵后会发生什么, 那么就可能需要允许一些向外的连接行为。

为确保蜜罐系统的安全使用, 数据连接控制方面应当做到以下几点:

(1) 必须有自动化数据控制和手工数据中指两方面的措施。换句话说, 数据控制可以通过自动响应和手工干预实现;

(2) 至少有两层的数据控制, 以确保系统的可靠性;

(3) 在所有数据控制层都出现问题的情况下系统应当自动阻止蜜罐与外界的一切联系;

(4) 可以维护任何方向上的连接状态;

(5) 管理员可以在任何时间对蜜网进行配置来加强数据控制, 包括远程管理员在内;

(6) 对连接的控制应当在最大限度上避免被入侵者所察觉;

(7) 在蜜罐被入侵的时候能够自动报警;

(8) 在数据控制失败的情况下也不会让系统处于完全不设防的情况下。

2.2路由控制

路由控制对来自蜜罐系统的网络包进行处理, 以防入侵者利用蜜罐系统对外进行地址欺骗。路由控制位于诱骗网络和连接控制之间。这样配置的目的主要是使路由控制隐藏连接控制, 入侵者入侵蜜罐系统后, 将会发现蜜罐系统的外出路由器连接着外网, 这种布局更符合真实的网络。

连接控制和路由控制相结合的方法, 给予了入侵者和大的灵活性操作的同时, 又巧妙地控制了入侵者对蜜罐其他系统发起攻击。

2.3远程日志控制

远程日志中记录了入侵者在蜜罐系统中的操作过程, 远程日志系统是一个较高安全配置的系统, 即使入侵者发现并破坏了远程日志系统, 数据捕获模块还留有出入蜜罐系统数据包的详细记录, 从连接控制和数据捕获所得的记录仍能对攻击所采用的工具、过程有一个全面的了解。

3 蜜罐技术的价值及优缺点

蜜罐和蜜网技术是基于主动防御理论提出的, 在实际应用和研究领域都有较高的价值。蜜罐的价值在于:首先他简化了检测过程, 因为蜜罐没有任何有效行为, 所以所有与蜜罐相关的连接都认为是可疑的行为, 这样就可以极大地降低漏报率和误报率, 极大地提高了检测非法入侵行为的成功率, 而漏报率和误报率这两个问题正是入侵检测系统中最令人头痛的问题;其次, 蜜罐可以一步一步地记录入侵者的攻击行为, 这些记录可以帮助使用者获得更多有关入侵者的信息, 而这些信息可以使安全专家更好地理解各种攻击, 为安全专家提供一个学习各种攻击的平台, 更好的保护应该受到保护的相关系统。

3.1蜜罐技术的优点

(1) 数据量小, 价值高:

蜜罐收集的数据通常都带有非常有价值的信息。运用蜜罐, 用户可以快速轻松地找到自己所需要的确切信息, 从而了解到进入系统的入侵者究竟做了那些动作。

(2) 资源占用少:

蜜罐需要做的仅仅是捕获进入系统的所有数据, 所以它并不像其他安全设备 (防火墙和入侵检测系统) 那样需要昂贵的设备。

(3) 取证容易:

蜜罐是网络安全专家精心设计的陷阱, 诱骗入侵者, 其最重要的一个功能就是对系统中所有的操作和行为进行记录和监视, 这些被记录的信息可以作为对入侵者进行起诉和拘捕的证据。

(4) 能检测到未知的攻击:

传统的安全技术不能检测未知的攻击, 而蜜罐技术能很容易地检测并捕捉到新的攻击技术。这是因为任何与蜜罐的交互行为都被定义为是非法的, 对于那些新型的未曾见过的攻击在蜜罐中就一目了然。

3.2蜜罐技术的缺点

(1) 数据收集面狭窄:

所有的蜜罐都有一个共同的缺点:如果没有人攻击蜜罐, 它就变得毫无用处。如果入侵者辨别出用户的系统为蜜罐, 它就会避免与该系统进行交互并在蜜罐没有发现的情况下入侵组织中的非蜜罐系统。

(2) 给使用者带来风险:

蜜罐一旦被攻陷可能为用户的网络环境带来风险, 不同的蜜罐带来的风险不同, 蜜罐越简单, 所带来的风险越小。针对具体形式来说, 仅仅进行服务模拟的蜜罐就很难被入侵, 而那些具有真实操作系统的蜜罐由于具有很多真实系统的特性, 就很容易被入侵并成为入侵者攻击其他主机的工具。

4 结论

蜜罐本身并不是一种网络安全装置, 对网络并不起到直接的安全保护作用, 蜜罐只是一种用来收集入侵者信息的资源。蜜罐技术是一种新兴的且有着广阔发展前景的安全技术, 他可应用于各种不同的环境中, 并且能显著地克服入侵检测系统的误报、漏报的缺点。蜜罐技术将主动防御引入网络安全中, 正越来越受到安全专家的重视。蜜罐不仅可以捕获入侵者, 了解分析其动机、手段, 而且可以根据分析结果发现新型攻击工具、系统漏洞, 及时采取相应措施弥补系统漏洞。但蜜罐和蜜网不能代替网络防护体系, 它们只是一种增强网络现有安全性的先进技术, 蜜罐和蜜网通过与防火墙等技术相结合, 从而构成一个更安全的网络防御体系。

参考文献

[1]李辉, 张斌, 崔炜.蜜罐技术及其应用[J].网络安全技术与应用, 2004, (8) .

[2]冯雨, 李占良, 陈景宇.蜜罐系统安全性研究[J].网络安全技术与应用, 2004, (8) .

[3]应锦鑫, 曹大元.利用蜜罐技术捕捉来自内部的威胁[J].网络安全技术与应用, 2005, (1) .

[4]刘飞, 史晓敏.蜜罐安全技术研究[J].高性能计算技术, 2004.

基于蜜罐技术的网络取证研究 第5篇

随着时代的不断发展, 全球信息化已成为人类发展的大趋势, 而网络环境变得越来越复杂。网络管理工作日益严峻。随着经济活动的展开, 安全问题越来越不可忽视。目前, 普遍用于保护局域网安全的是防火墙技术。但仅仅靠被动的保护是不够, 必须要主动出击, 拿起法律的武器, 才能对犯罪分子起震慑作用。这里最重要的就是证据问题。

1 概述

网络取证从主动防御的角度保护着网络安全, 可以提供法庭需要的证据。网络取证 (network forensic) 是使用科学的证明方法来收集、融合、发现、检查、关联、分析以及存档数字证据, 这些证据涉及多层次的主动处理过程以及数据源的传递过程, 其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为, 并为应急事件的响应和系统恢复提供有用的信息。网络取证包含计算机取证, 是广义的计算机取证, 是网络环境中的计算机取证。网络取证系统对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原, 它能够真实、连续的获取网络上发生的各种行为。能够完整地保存获取得出取证分析的相关结论, 并以证据的形式提到的数据, 并且防篡改;对保存的原始证据进行网络行为还原, 重视入侵现场。

尽管网络取证系统与NIDS有许多相似之初, 都是在监听模式下, 使用协议解析技术和入侵分析技术对网络进行监控, 但在设计重点上, 两者存在着较大的差异。NIDS的设计重点是准确有效地发现受监控网络的攻击行为, 从而进行响应, 而网络取证系统旨在获取黑客入侵的法律证据, 其涉及的重点在于有效证据的获取。

本文将讨论基于蜜罐技术的网络取证机制 (如图1) , 它与通常的取证技术的不同之处是设计一个诱骗网络, 该网络较容易被攻击, 入侵者将被引导到诱骗网络, 同时并没有感到已被攻击者发现, 这样可以使被攻击者能够有足够的时间捕捉入侵者信息, 且入侵者也不会经常改变入侵手段, 从而达到保护网络安全的目的。

2 网络取证预警系统

取证预警系统是一个能够对网络或计算机系统的活动进行实时取证的系统, 它能够发现并报告网络或系统中存在的可疑迹象, 为网络安全管理人员及时采取对策提供有价值的信息, 是近来较热门的新型网络安全技术。它能够对付来自内部网络的攻击, 能阻止黑客的入侵并防止病毒的蔓延。弥补了防火墙技术在这方面的不足, 是防火墙的安全后盾。利用审计记录, 取证系统能够识别出任何不希望有的活动, 从而达到限制这些活动, 以保护系统的安全。取证系统的应用, 能在入侵攻击对系统发生危害前, 取证到入侵攻击。在入侵攻击过程中, 能减少入侵攻击所造成的损失。在被入侵攻击后, 收集入侵攻击的相关信息, 作为防范系统的知识, 添加入知识库, 以增强系统的防范能力。取证系统可分为两类:基于主机的取证系统和基于网络的取证系统。

(1) 基于主机的取证系统。它用于保护关键应用的服务器, 安装在需要重点取证的主机之上, 实时监视可疑的连接、系统日志检查、非法访问的闯入等。如果其中主体活动十分可疑 (或特征违反统计规律) , 取证系统就会采取相应的措施报警或拒绝服务。基于主机的方法优点是性能价格比高, 适用于主机数量较少的情况下。对网络流量不敏感, 不会因为网络流量的增加而丢掉对主机网络行为的监视。这种方法可以很容易地取证一些活动, 如对敏感文件、目录、程序或端口的存取, 而这些活动很难在基于协议的线索中被发现。但基于主机的取证系统也有明显的不足, 该系统安装在我们需要保护的设备上, 也会降低系统的效率, 带来额外的安全问题。另外, 全面部署主机监测系统代价较大, 局域网中很难将所有主机用主机取证系统保护, 只能选择部分主机保护, 那么未安装主机取证系统的机器就成为保护的盲点, 入侵者可利用这些机器达到攻击的目标。

(2) 基于网络的取证系统。它用于实时监控网络关键路径的信息, 放置在比较重要的网段内, 不停地监视网段的各种数据包。如果数据包与已知的攻击模式匹配。取证系统就会发出警报。取证系统不需要改变服务器等主机的配置, 不会在业务系统的主机中安装额外的软件, 从而不会影响这些机器的CPU、I/O与磁盘等资源的使用。该方法不像路由器、防火墙等关键设备方式工作, 它不会成为系统中的关键路径。它发生故障不会影响到正常的业务运行。而且部署一个取证系统的风险比主机取证系统的风险少得多。但是网络取证系统可能会将大量的数据传回分析系统中, 一些系统在实现时采用一定方法来减少回传的数据量, 对入侵判断的决策由传感器实现, 而中央控制台称为状态显示与通信的中心, 不再作为入侵行为分析器这样的系统中传感器协同工作能力较弱。

3 蜜罐系统

蜜罐技术是网络安全理论中一个新的研究领域, 是对现有安全体系的一个扩充, 具有较广阔的应用前景。取证系统能够实时地取证网络的信息, 防止入侵者的恶意攻击。但这始终是种被动的局面:如果网络处于安全状态下 (即无入侵者) , 取证系统仍将收集大量与系统正常业务无关的数据, 并对此数据进行分析, 占用了系统资源, 对系统安全帮助不大:如果网络遭受到入侵者的攻击, 系统也会像上述情况那样工作, 没有适时加大监控的程度, 即对网络所遭受的安全威胁程度不敏感, 为了节省不必要的系统资源浪费, 在遭受攻击时又能强化取证系统的功能, 必须引入一种可根据网络安全状态, 动态调整实时监控程度的技术。入侵诱骗技术就是这样一种技术, 它位于内部网内。模拟内部网的日常活动, 进行常规工作, 把入侵者的火力吸引到自己身上, 从而达到保护内部网其它主机的作用, 是入侵取证技术的延伸。

蜜罐 (HoneyPot) 理论研究如何设计、建立一个跟实际系统类似的“欺骗网络”。该系统对外呈现出许多脆弱性。并很容易被访问, 从而吸引入侵者对其进行攻击。其重点是诱骗、吸引、继而监视入侵者, 并在实际运行的系统中防止这样的攻击。

入侵行为重定向型诱骗网络, 它建构于网络取证系统之上。其重点不在捕获入侵者, 而是欺骗、吸引, 进而监视入侵者, 以便在实际运行的系统中避免这样的攻击。它的基本思想是在要保护的网络内部建立一个模拟网络——诱骗网络, 可以用单个主机模拟服务器的工作, 也可以用几台主机模拟网络的正常工作。在没有入侵行为时, 诱骗网络对内部网和外部网上的用户都是不可见的。当取证系统监测到入侵行为, 就把入侵者的数据流重定向到诱骗网络, 并切断入侵者与实际网络的联系。此过程对入侵者是不可见的, 因此入侵者仍与一个行为特征类似于实际网络的诱骗网络保持联系, 并不能察觉至少不能立刻察觉所入侵的网络的异样性。这样, 取证系统就可以没有安全顾虑地监视入侵者, 观察他们怎样攻击这个网络, 研究怎样在实际运行的系统中防止这样的攻击。要实现该系统, 必须使入侵者被完全地重定向到诱骗环境中, 同时为避免被入侵者所觉察, 维持逼真效果, 入侵行为的取证和重定向必须很短, 而入侵者对诱骗系统的攻击则应该越长越好, 以便收集更多信息来完善系统, 减少类似入侵的可能。

4 系统实现技术

基于入侵行为重定向型诱骗网络技术的思想, 可以建立一个局域网的安全体系模型, 该系统的具体运行过程如下:

(1) 取证的取证模块检查跟踪网络上的资源使用情况, 当发现可疑行为或入侵行为时, 就把取证结果送给入侵行为重定向模块。

(2) 入侵行为重定向模块分析数据, 若是可疑行为, 则复制可疑数据导入诱骗网络, 系统仍然对该可疑行为提供服务。若是入侵活动, 则将入侵者的数据流全部重定向到诱骗网络, 断绝它与实际网络的联系。

(3) 诱骗网络在取证系统控制下根据实际网络工作特征, 产生正常工作的假象, 诱骗入侵者进行进一步的攻击, 使分析模块及时抽象出入侵行为的特征及其变种, 从而更新取证的知识库。在入侵者还没有接触到内部网时, 就已经找到了抵御的方法。这种理论模型的最大优点是安全性高, 主动性强, 可对付未知的入侵模式和各种病毒, 这正是目前各种安全策略希望解决的问题之一。

对数据的分析技术是系统的核心模块, 分析的性能直接决定了整个取证系统的可靠性和整体效能。可以采取协议分析方法同模式匹配结合的方法。协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在, 可以大大减小模式匹配的计算量, 提高匹配的精确度。

4.1 模式匹配

模式匹配是基于攻击特征的网络数据包分析技术。它的分析速度快、误报率小等优点是其它分析方法不可比拟的。单纯使用模式匹配的方法有很大的弊端, 我们使用协议分析和模式匹配结合的方法来分析网络数据包。单纯的模式匹配方法的工作过程如下:

分析网络上的每一个数据包是否具有某种攻击特征。可以从网络数据包的包头开始和攻击特征比较。如果比较结果相同, 则检测到一个可能的攻击, 如果比较结果不同, 从网络数据包中下一个位置重新开始比较;直到检测到攻击或网络数据包中的所有字节匹配完毕, 一个攻击特征匹配结束。对于每一个攻击特征, 重复以上过程。直到每一个攻击特征匹配完毕, 对给数据包的匹配完毕。

4.2 协议分析

协议分析的功能是辨别数据包的协议类型, 以便使用相应的数据分析程序来检测数据包。可以把所有的协议构成一棵协议树, 一个特定的协议是该树结构中的一个节点, 可以用一棵二叉树来表示。一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。协议分析有效利用了网络协议的层次性和相关协议的知识, 快速地判断攻击特征是否存在。它的高效使得匹配的计算量大幅度减小。

5 结论

本文讨论了基于蜜罐理论的网络取证设计与实现技术。随着网络安全重要性的提高, 要解决安全问题不仅仅从防御的角度来处理, 还应该从法律的角度来考虑。而取证问题是网络诉讼的核心。网络取证系统从技术的角度来解决取证问题, 为网络法律的执行提供有力的保障。网络取证及其相关技术在国内发展的时间并不长, 技术和性能方面还存在很多问题;网络取证还没有形成一个成熟的、系统的、规范的体系, 很多新技术在不断的发展中。但是可以看到, 取证技术已成为打击网络犯罪的有效手段, 在网络安全领域有很重要的意义。

摘要：网络取证技术是一种动态安全技术, 它采用主动出击的方法, 搜集犯罪证据, 查出入侵的来源, 有效地防范网络入侵。本文分析网络取证的基本原理和蜜罐技术特点, 提出网络取证预警系统和蜜罐系统, 并讨论了实现技术。

关键词：网络取证,蜜罐,取证预警

参考文献

[1]林果园.入侵检测动态取证模型.计算机工程与应用.2006.

[2]尹春梅.Honeypot扫描检测系统的设计与实现.计算机工程.2006.

[3]李辉, 张斌, 崔炜.蜜罐技术及其应用.网络安全技术与应用.2004.

[4]张有东.网络取证及其应用技术研究.小型微型计算机系统.2006.

[5]Dorothy A Lunn.Computer Forensics:an Overview.http://www.sans.org/inforsecFAQ/i ncident/forensics.Htm.2005.

蜜罐技术在网络安全中的应用 第6篇

1 蜜罐技术

1.1 蜜罐的定义

Lance Spitzner给出的定义：蜜罐是一种安全资源，其价值在于被探测、攻击或者摧毁的时候。蜜罐是一种预先配置好的系统，系统内含有各种伪造而且有价值的文件和信息，用来引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息;同时还具有混淆黑客攻击目标的功能，可以用来保护服务主机的正常运行。

1.2 蜜罐的价值

一般意义上来讲，蜜罐的价值可以分为两个方面，产品目的和研究目的。当应用于产品目的时，蜜罐主要是为了保护组织网络，这些主要包括防护、探测和对攻击的响应。当应用于研究目的时，蜜罐主要是用来收集信息，这些信息对于不同的组织有不同的价值。对于防护来讲，蜜罐可以抵御自动的攻击，比如说蠕虫攻击和自动工具包的攻击，而且通过迷惑攻击者，使攻击者在蜜罐上浪费资源和时间。因为所有的活动均在网络管理者的监控之下，所以有足够的时间来响应和阻止攻击者。而且如果入侵者在攻击锁定网络之前，如果知道网络中设置着蜜罐，此时以防被抓住，不会轻易的攻击网络，具有一定的震慑作用。

1.3 蜜罐技术现状

虽然蜜罐技术诞生时间不长，但发展非常快，已经由蜜罐发展到蜜网，蜜网是蜜罐技术的延伸和发展，也可以认为是蜜罐的一种形式。蜜网是指采用了另外的技术的蜜罐，能以合理方式记录下黑客的行动，同时尽量减小或排除对网络上其他系统造成的风险。蜜网的系统结构一般是在其前端放置一个防火墙，所有的信息包将通过防火墙进来，防火墙能够对所有从我们的蜜罐机器往外的每一个连接进行追踪，当该蜜罐外发的数量达到我们预先设定的上限时。防火墙便会阻塞那些信息包。这样可以在最大程度保证我们的机器不被滥用的前提下，允许入侵者做尽可能多的他们想做的事。这样做就避免了我们的蜜罐成为入侵者扫描、探测及攻击的系统。

2 蜜罐技术的优势与缺陷

2.1 蜜罐技术的优势

对于提高网络的安全防护水平，蜜罐有着很大的价值，主要有以下方面：

1)检测黑客入侵，发现未知的攻击方法。入侵检测系统在使用中存在漏报和误报的问题，蜜罐可以起到一定的补充作用。因为蜜罐上的所有活动都是可疑的。因此对蜜罐采用的任何形式的探测、攻击都将会暴露出来，而入侵检测系统往往很难检测新的黑客攻击方法。与入侵检测相比，蜜罐并没有真正的生产价值，因此，它获得的信息虽少，但很少有漏报和误报。

2)延缓黑客攻击，保护系统安全。在网络安全防护中，时间是个需要强调的因素。即使黑客能够攻破防护，只要能够及时检测和反应，就能够避免或减少损失。而蜜罐则占用他们的资源，拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间，起到保护工作系统的作用。

3)检测系统的完整性，增加反应能力。网络安全自身漏洞层出不穷，人们无法知道黑客何时将攻破系统，一旦系统被黑客攻破，必然需要了解黑客的攻击方法，对系统进行修补，防止黑客再次利用相同的方法侵入。对于一个工作系统来说，黑客活动与正常的生产活动混杂在一起，要了解黑客的攻击方法，非常困难。而对于蜜罐，基本上都是黑客的活动，记录的数据很纯净，可以让我们更容易了解黑客攻击。此外，蜜罐采集到的黑客活动信息还可以完善搜集到的入侵证据或用于追踪黑客。

2.2 蜜罐技术的缺陷

虽然蜜罐有很多的优势，但也有不足之处，主要体现在以下：

1)监控视野较为狭窄。蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，其视野较为有限，不像入侵检测系统能够通过旁路侦听等技术对整个网络进行监控。

2)欺骗能力较低。蜜罐运行时容易留下指纹，指纹的存在使得黑客能鉴别出蜜罐的存在，因为蜜罐会有一些专业特征和行为。如果黑客发现了某个组织在他的内网中使用了蜜罐，他就有可能对蜜罐发动攻击，蜜罐检测到这种攻击之后，不断地向管理员发送错误的报警信息，这样黑客就扰乱了视听，它的目标很有可能是一个真实的攻击。

3)蜜罐运行时的风险。蜜罐将风险带入了网络环境中，是指一旦蜜罐被攻击了，它有可能就被黑客利用作为攻击、渗透其他系统或组织的跳板。

3 蜜罐技术的应用

作为一种网络安全技术，蜜罐已经以多种不同的形式获得了实际应用，这里介绍针对目前危机网络安全较为严重的几种威胁。

3.1 对抗垃圾邮件

通常每个Internet用户都收到过垃圾电子邮件。垃圾邮件是未被请求的商业电子邮件的通用术语。垃圾邮件的传播蔓延，严重侵害了电子邮件用户利益，影响了电子邮件服务正常运营秩序，危害了互联网安全和社会稳定。垃圾邮件、黑客攻击和病毒等结合有越来越密切的趋势，它也成为病毒的一种载体，威胁到网络的安全。反垃圾邮件的蜜罐能够欺骗垃圾邮件制造者收集电子邮件地址，能用来创建虚假的、模拟转发垃圾邮件的邮件服务器，从而捕获垃圾邮件。

3.2 对抗蠕虫病毒

蠕虫是一种通过网络传播的恶性病毒，它的一般传播过程为扫描、感染、复制三个步骤。经过大量扫描，当探测到存在漏洞的主机时，蠕虫主体就会迁移到目标主机。然后再被感染的主机上进行一系列处理，实现对计算机监视，控制和破坏。通过原主机和新主机的交互，复制到新主机，然后不断重复这个过程。在蠕虫感染的阶段，蜜罐能检测非法入侵者的行为，对于已知的蠕虫，可通过模拟某些安全缺陷来分析蠕虫病毒的感染行为，收集黑客所使用的工具，了解攻击手法等。蜜罐技术已成为对抗蠕虫的有效措施。它们把蠕虫的流量重定向到伪造的主机上，以至于捕获到蠕虫并分析它们的特征。来限制蠕虫在网络上的传播。

3.3 捕获“网络钓鱼”

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用户名、口令等内容。诈骗者通常会将自己伪装成知名银行和信用卡公司等可信的品牌，意图引诱收信人给出敏感信息的一种攻击方式。蜜罐技术则提供了捕获整个过程中攻击者发起攻击行为的能力，在蜜网中的蜜罐都是初始安装的没有打漏洞补丁的系统，一旦部署的蜜网被网络钓鱼者以进行网络钓鱼攻击，安全人员就能及时在蜜网捕获的日志数据的基础上，对网络钓鱼攻击的整个生命周期建立起一个完整的理解，并深入剖析各个步骤钓鱼者所使用的技术手段和工具，同时提供潜在的漏洞威胁预警。

4 结束语

随着网络规模的不断扩大，网络上的攻击行为变得越来越多，攻击的手段也日新月异，已经严重威胁到网络的安全。作为目前网络安全主动防御领域的一个主要技术，蜜罐技术也正在进一步完善和发展，一定会在网络安全维护中发挥极其重要的作用。

参考文献

[1]殷联甫.主动防护网络入侵的蜜罐(Honeypot)技术[J].计算机应用,2004(7):29-31.

[2]叶飞.蜜罐技术浅析[J].网络安全技术与应用.2007(5):36-37.

蜜罐技术用于网络安全的分析与研究 第7篇

随着信息技术的飞速发展与互联网领域的急速扩张,网络中的不安全因素日渐增多,传统意义上的维护措施已经无法满足信息安全的需要,急需尽快提出行之有效的解决办法。传统的安全技术仅限于被动防御,只有攻击行为发生后才能予以识别,再进行阻隔,这种“后发制人”的模式只能是处于防不胜防的挨打局面,需要一种“先发制人”的主动防御技术来彻底反转主被动关系,通过对攻击者的目的进行技术性分析以及预判,有针对性地防止可能发生的攻击。蜜罐网络欺骗技术正是主动防御与入侵检测为一体模式的代表,不仅可以防止攻击者的攻击行为,还可以对其攻击行为进行分析,更重要的是还可以进行取证以震慑攻击者,具有极高的实用价值。

2 蜜罐技术的定义及其优势

蜜罐技术是一种旨在保护网络安全运行的一种“蜜罐”,即诱导攻击的诱饵。它也是一种网络系统,在被保护的网络系统邻近运行,只不过它故意设置了些许系统漏洞,可以转移攻击者的注意力,迷惑攻击者,代替目标网络系统,将可能的攻击转移到蜜罐网络上。而作为诱饵的蜜罐网络本身并无重要信息,攻击行为并没有造成损失,这样就成功地保护了目标网络。蜜罐网络是一个相对封闭的闭环网络,一般不对外进行内容服务。因此,只要有袭击者访问蜜罐网络,都会被认定为是异常的攻击行为。

此外,为了便于取证,蜜罐网络还布置了网络日志脚本记录程序,对异常的访问(攻击)行为进行记录与目的分析。总之,蜜罐里面没有蜂蜜,里面只是一个陷阱,一个可以进行主动防御的陷阱。从实用性角度考虑,蜜罐技术具有几大优势。

大幅提高检测正确率。蜜罐网络相对封闭,即不会有陌生访问。当攻击者发起网络攻击行为时,一般先会扫描服务器,然后发出请求。这样就可以认定,只要是蜜罐系统记录到的访问请求都来自攻击者。

适用范围广。蜜罐系统内置的算法可以识别多种攻击技术,并不局限在单一的攻击技术或者是某一种攻击行为。对不同种类的攻击行为具有广泛的适用性,即使攻击者采用未知类型的攻击技术,也会起到一定的效果。

价格低廉。蜜罐系统技术成熟,结构简单,构建容易。关键是找好特定位置搭建服务器即可构建蜜罐系统。一般技术力量都可以完成一个甚至多个蜜罐系统的搭建工作,维护与升级也相对简单,价格低廉[1]。

3 蜜罐技术在网络安全中的应用

3.1 蜜罐在网络中的拓扑位置

蜜罐操作系统部署较为简单。举例说明,一台V M w are工作站或者模拟处理器即可实现虚拟机连接互联网。蜜罐放置的位置也较为灵活,防火墙前后均可,各有优缺点。放在防火墙前,蜜罐替代防火墙承接了海量的扫描攻击,蜜罐的日志服务器会把攻击信息记录下来,入侵检测系统也不会发出警示。同时也无需对防火墙进行重新配置,保障了内部网的安全;可是一旦有内部攻击者,蜜罐就无法代受扫描攻击,此时保护失效,攻击者将无法被定位。放在防火墙后可以有效地针对内部攻击者,而且还能收集防火墙已经甄别的异常数据,但缺点是一旦需要对防火墙的规则进行重新配置,一旦蜜罐被攻陷,整个内网都将面临巨大威胁。

3.2 利用蜜罐系统与入侵检测的联动增强防护能力

入侵系统自带攻击行为特征库,对入侵行为的检测主要是通过调用特征库中的数据对其进行匹配,一旦与特征库中的某种数据匹配,随即做出警示。特征库的数据也不是一劳永逸的,需要及时进行更新,只有不断地进行完善,才能对新的攻击行为做出响应。蜜罐系统的出现可以省去不定时更新的麻烦,两系统相互联动,蜜罐系统会将记录的攻击信息发送至入侵检测系统,而后者在接受到该类信息后对其进行一系列的处理,剥离分析提取其中的攻击特征,然后将其加入到特征库数据中,以此及时地完善特征库,以使入侵检测系统对之前未知的攻击行为做出响应[2]。两种系统的联动大大加强了入侵检测系统的防御力。

3.3 利用蜜罐检测僵尸网络

僵尸系统与网络是许多黑客常用的攻击手段,蜜罐系统可以针对性的对其进行检测。僵尸网络的特点是分布式的,但数量极大,常用的攻击方式有常见的零日攻击以及掌握攻击向量,通过远程命令通道发起攻击行为。蜜罐系统专门利用僵尸网络的特点,可以顺藤摸瓜,对其进行及时地追踪与检测分析,进而可以评定僵尸网络的大概数量。想要更深入地跟踪僵尸网络,需要的参数主要是僵尸网络服务器所需要的属性值,而这种属性值的获得可以通过蜜罐手段获取的僵尸系统程序样本的逆向分析得到。蜜罐系统的功能不止于此,其还能准确识别攻击行为所属的操作系统,以及对攻击活动的完整保存与再现。上文提及获得的僵尸程序样本,除了进行逆向分析之外,还可以通过在线沙盒以及各种杀毒软件进行更进一步的分析检测,在线提交,将攻击行为特征共享。

3.4 蜜罐在反蠕虫病毒中的应用

蠕虫病毒是另外一种常见的网络攻击行为,蜜罐技术同样可以有针对性地对其进行防御与控制,根据蠕虫病毒扫描、感染、复制传播特点,蜜罐系统可以有几项的措施对其进行处理。蜜罐系统可以检测出感染阶段的蠕虫病毒,对于已知的蠕虫病毒,可以直接通过重新设置防火墙或者修改ID S规则,然后重定向到蜜罐系统即可。对于未知的蠕虫病毒,可以通过迂回的方式对其进行处理,首先是利用专门为未知病毒设定的伪造数据包,以此延迟系统应答与扫描速度,同时使用特定的辅助软件工具与程序分析系统日志,快速阻断连接。然后,与入侵检测系统联动,将获取的攻击信息分析,提取攻击特征,再次重新设置防火墙或者修改ID S规则,使入侵检测系统可以对之后的攻击行为做出警示[3]。

3.5 利用蜜罐建立安全事件行为特征库

传统的安全技术仅限于被动防御,只有攻击行为发生后,才能予以识别,最后再进行阻隔,且仅限于已知类型的攻击行为。作为主动防御技术,蜜罐弥补了这方面的短板。蜜罐技术通过诱导攻击的方式,记录各种入侵行为并对其进行分析,通过更深层次的追踪,发现未知的攻击行为和攻击模式,通过对海量攻击数据的统计分析,更进一步地探究攻击者的入侵动机,从而使用有针对性的防御策略。从长远角度看,通过分析收集到的攻击数据,可以更为全面地了解已知与未知的攻击行为、攻击模式、攻击源头等。将这些提取出来的信息整合在一起,可以建立起一个相对完善、且能自我更新的特征库,这将在以后的网络安全问题中发挥极为重要的辅助作用。

4 结束语

基于蜜罐的安全技术 第8篇

网络的安全技术就是要保障计算机系统以及网络的安全有效的运行, 由于网络安全是个很宽泛的概念, 从技术上来讲包括了防火墙、病毒防护、入侵检测、数据加密等技术, 这些技术手段大多都是在网络受到攻击者攻击时才发生的被动防护行为, 而本文主要介绍的蜜罐技术确是与之不同, 它是主动的防护手段, 即利用独有的特点来吸引所谓的攻击者, 然后对攻击的行为进行一定的分析并主动采取有效的相应的方式方法来应付, 这种技术手段从本质上来讲是对攻击者的一种欺骗行为, 通过一些外置的诱饵从而减少实际的系统所受到的伤害或者威胁, 此外这种技术还可以对攻击的行为进行一定的追踪和监控, 从而分析出攻击者所采用的攻击方式和工具, 甚至可以有效的推测出攻击者的攻击意图和行为动机, 这样一系列的动作可以有效的对攻击者所造成的威胁进行防范, 并利用法律的手段对攻击者进行法律责任的追究, 而且可以不断的加强对系统安全的防护工作, 这种蜜罐技术可以有效的弥补当前在网络安全技术中存在的不足。

2 无线网络的安全和蜜罐技术

随着我国经济的腾飞和科技的发展, 信息化基本上已经全面的覆盖了全国, 由于这个信息时代的到来和应用的不断更新, 无线的局域网络逐渐的代替有线通信和计算机网络, 其不断被应用在个人化、通信移动性和多媒体的应用方面, 由于这种无线网络具有很多的优点, 例如;灵活移动、维护运营的成本较低、安全较为方便、扩展性更强等, 因而其被应用在金融、办公教学、医疗、生产等等各个方面, 可以预见的是, 随着各种无线设备的不断更新和发展, 无线的局域网络会有更加广泛的应用。

但是, 随着无线网络的应用不断加深, 其具有的弊端也不断的显现出来, 这种弊端就是无线通信的传播主要媒介是没有任何保护的空气, 无线网络传播的无线电波在空气中会向着四面八方各个方向传播, 因而所发射的数据就可以到达无线网络覆盖的全部终端, 还可能让不在预期范围内的设备接收到, 这就相当于以太网的接口无处不在, 因而黑客攻击的选择也就很多, 这样在无线网给用户带去便利的时候, 也为用户带来了一定的安全隐患, 虽然可以在无线网络上加持WEP和WPA等密匙, 但是这些对于一般的攻击可能会有效果, 对于黑客的攻击显然抵挡不住, 无论黑客从特殊的破解途径入手, 还是利用假的AP欺骗用户, 从而诱使用户泄露个人信息, 这些都是无线网路发展中不得不面临和解决的使用弊端, 不论我们在有线网络中设计的如何牢不可破, 但是只要发掘一个存在缺陷的无线接入点, 那么所有预先设计的安全手段都会被绕开, 从而进入主要系统, 因而我们必须要时刻的保持无线网络的安全使用。而上面介绍的无线蜜罐, 就是等待攻击者上钩的无线安全卫士, 由于无线环境较为复杂, 因而受到的攻击一般较为广泛, 所以面临的安全威胁也就较大, 因而, 我们除了要不断的对加密和认证技术进行深入的研究, 加强无线网络的管理和监督之外, 还要对无线网络攻击者的攻击工具和手段进行有效的收集、观察和分析, 从而使得我们获得更多的安全信息, 帮助我们更好的建立安全防护墙, 因而有效的开发和利用蜜罐技术是重要的手段之一。

蜜罐技术的作用通常主要体现在下面两个方面:首先, 就是通过构建一个虚假的容易受到的攻击的蜜罐AP来诱使好事者进行攻击, 然后不断的引诱其深入, 然后对相应的攻击手段和工具以及攻击者的信息进行追踪以及记录和分析;其次, 将攻击者尽量的拖延在蜜罐之上, 在这个过程中对攻击者的攻击行为进行破解, 从而有效的减少真正系统所受到的伤害。

3 无线蜜罐技术构建的主要思路

构建无线蜜罐应有提供无线接入的设备, 如果使用真实的AP, 可以通过安全的方式接入一个有线网络 (必须要有个终端设备) 。这个虚拟的网络需要具备能够吸引攻击者的可见资源, 同时还要有能够有不可见的资源来检测入侵和记录数据。如果是监测来自第二层的无线攻击, 需要通过设置一个不可见的同时处于monitor模式的客户端来实时捕获攻击数据。通常在无线蜜罐搭建的时候, 我们把无线网卡设置为master状态, 从而使无线网卡成为一个AP, 从而重要使用一个终端就可以搭建蜜罐系统, 这种方法的优点是, 它具有低成本, 同时还容易管理。搭建的原则只要没有连接到具有敏感数据的无线网络就不会有潜在的危险。, 而且这样搭建的蜜罐具有较强的交互性, 容易调整策略, 它要求只要有无线网卡的电脑使用honeyd就可以方便的配置成一个蜜罐。另一种方式是直接修改无线AP, 将其改造成一个蜜罐。思科的WRT54G比较经济, 而且它的源码通过GPL协议公开, 可以修改并重建固件, 使得AP达到自己的要求。对于honeyd只需做少量的修改, 并且编译成MIPS二进制使得可以在AP (运行Linux 2.4.5以上) 上运行, 这样就建立了一个内置无线的蜜罐。

以上这两种方式的蜜罐都有可能被恶意利用, 从而成为“黑客”手中的工具。因此, 如果要为蜜罐网络提供Internet接入, 就需要增强网络的真实性和可交互性, 而且必须要非常小心并且使用一些入侵防御系统 (IPS) 过滤对外的网络传输以防止对外的攻击。

摘要：本文主要对无线技术中蜜罐技术进行一定的研究和探讨, 随着我国无线网络应用和覆盖率的不断增加, 其存在的一些安全隐患必须加紧解决, 增强其安全可靠性, 而蜜罐技术作为分析和捕获入侵行为的重要保障。

关键词：无线网络,蜜罐技术,应用研究

参考文献

[1]乔佩利, 岳洋.蜜罐技术在网络安全中的应用研究[J].哈尔滨理工大学学报, 2009, 14 (3) :37-41.[1]乔佩利, 岳洋.蜜罐技术在网络安全中的应用研究[J].哈尔滨理工大学学报, 2009, 14 (3) :37-41.