前言：本站為你精心整理了蜜罐信息采集技術(shù)范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要蜜罐是一種主動防御的網(wǎng)絡安全技術(shù)，可以吸引黑客的攻擊，監(jiān)視和跟蹤入侵者的行為并且記錄下來進行分析，從而研究入侵者所使用的攻擊工具、策略和方法。該文介紹蜜罐技術(shù)的基本概念，分析了蜜罐的安全價值，詳細研究了蜜罐的信息收集技術(shù)，同時也討論了蜜罐系統(tǒng)面臨的安全威脅與防御對策。

關(guān)鍵字蜜罐，交互性，入侵檢測系統(tǒng)，防火墻

1引言

現(xiàn)在網(wǎng)絡安全面臨的一個大問題是缺乏對入侵者的了解。即誰正在攻擊、攻擊的目的是什么、如何攻擊以及何時進行攻擊等，而蜜罐為安全專家們提供一個研究各種攻擊的平臺。它是采取主動的方式，用定制好的特征吸引和誘騙攻擊者，將攻擊從網(wǎng)絡中比較重要的機器上轉(zhuǎn)移開，同時在黑客攻擊蜜罐期間對其行為和過程進行深入的分析和研究，從而發(fā)現(xiàn)新型攻擊，檢索新型黑客工具，了解黑客和黑客團體的背景、目的、活動規(guī)律等。

2蜜罐技術(shù)基礎(chǔ)

2.1蜜罐的定義

蜜罐是指受到嚴密監(jiān)控的網(wǎng)絡誘騙系統(tǒng)，通過真實或模擬的網(wǎng)絡和服務來吸引攻擊，從而在黑客攻擊蜜罐期間對其行為和過程進行分析，以搜集信息，對新攻擊發(fā)出預警，同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標。

蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務（DDOS）攻擊等方面是很有價值的。蜜罐本身并不直接增強網(wǎng)絡的安全性，將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用，可以有效提高系統(tǒng)安全性。

2.2蜜罐的分類

根據(jù)蜜罐的交互程度，可以將蜜罐分為3類：

蜜罐的交互程度（LevelofInvolvement）指攻擊者與蜜罐相互作用的程度。

⑴低交互蜜罐

只是運行于現(xiàn)有系統(tǒng)上的一個仿真服務，在特定的端口監(jiān)聽記錄所有進入的數(shù)據(jù)包，提供少量的交互功能，黑客只能在仿真服務預設(shè)的范圍內(nèi)動作。低交互蜜罐上沒有真正的操作系統(tǒng)和服務，結(jié)構(gòu)簡單，部署容易，風險很低，所能收集的信息也是有限的。

⑵中交互蜜罐

也不提供真實的操作系統(tǒng)，而是應用腳本或小程序來模擬服務行為，提供的功能主要取決于腳本。在不同的端口進行監(jiān)聽，通過更多和更復雜的互動，讓攻擊者會產(chǎn)生是一個真正操作系統(tǒng)的錯覺，能夠收集更多數(shù)據(jù)。開發(fā)中交互蜜罐，要確保在模擬服務和漏洞時并不產(chǎn)生新的真實漏洞，而給黑客滲透和攻擊真實系統(tǒng)的機會。

⑶高交互蜜罐

由真實的操作系統(tǒng)來構(gòu)建，提供給黑客的是真實的系統(tǒng)和服務。給黑客提供一個真實的操作系統(tǒng)，可以學習黑客運行的全部動作，獲得大量的有用信息，包括完全不了解的新的網(wǎng)絡攻擊方式。正因為高交互蜜罐提供了完全開放的系統(tǒng)給黑客，也就帶來了更高的風險，即黑客可能通過這個開放的系統(tǒng)去攻擊其他的系統(tǒng)。

2.3蜜罐的拓撲位置

蜜罐本身作為一個標準服務器對周圍網(wǎng)絡環(huán)境并沒有什么特別需要。理論上可以布置在網(wǎng)絡的任何位置。但是不同的位置其作用和功能也是不盡相同。

如果用于內(nèi)部或私有網(wǎng)絡，可以放置在任何一個公共數(shù)據(jù)流經(jīng)的節(jié)點。如用于互聯(lián)網(wǎng)的連接，蜜罐可以位于防火墻前面，也可以是后面。

⑴防火墻之前：如見圖1中蜜罐（1）,蜜罐會吸引象端口掃描等大量的攻擊，而這些攻擊不會被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告，只會由蜜罐本身來記錄。

因為位于防火墻之外，可被視為外部網(wǎng)絡中的任何一臺普通的機器，不用調(diào)整防火墻及其它的資源的配置，不會給內(nèi)部網(wǎng)增加新的風險，缺點是無法定位或捕捉到內(nèi)部攻擊者，防火墻限制外向交通，也限制了蜜罐的對內(nèi)網(wǎng)信息收集。

⑵防火墻之后：如圖1中蜜罐（2），會給內(nèi)部網(wǎng)帶來安全威脅，尤其是內(nèi)部網(wǎng)沒有附加的防火墻來與蜜罐相隔離。蜜罐提供的服務，有些是互聯(lián)網(wǎng)的輸出服務，要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可避免地調(diào)整防火墻規(guī)則，因此要謹慎設(shè)置，保證這些數(shù)據(jù)可以通過防火墻進入蜜罐而不引入更多的風險。

優(yōu)點是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù)，還可以探查內(nèi)部攻擊者。缺點是一旦蜜罐被外部攻擊者攻陷就會危害整個內(nèi)網(wǎng)。

還有一種方法，把蜜罐置于隔離區(qū)DMZ內(nèi)，如圖1中蜜罐（3）。隔離區(qū)只有需要的服務才被允許通過防火墻，因此風險相對較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負擔，具體實施也比較困難。

3蜜罐的安全價值

蜜罐是增強現(xiàn)有安全性的強大工具，是一種了解黑客常用工具和攻擊策略的有效手段。根據(jù)P2DR動態(tài)安全模型，從防護、檢測和響應三方面分析蜜罐的安全價值。

⑴防護蜜罐在防護中所做的貢獻很少，并不會將那些試圖攻擊的入侵者拒之門外。事實上蜜罐設(shè)計的初衷就是妥協(xié)，希望有人闖入系統(tǒng)，從而進行記錄和分析。

有些學者認為誘騙也是一種防護。因為誘騙使攻擊者花費大量的時間和資源對蜜罐進行攻擊，從而防止或減緩了對真正系統(tǒng)的攻擊。

⑵檢測蜜罐的防護功能很弱，卻有很強的檢測功能。因為蜜罐本身沒有任何生產(chǎn)行為，所有與蜜罐的連接都可認為是可疑行為而被紀錄。這就大大降低誤報率和漏報率，也簡化了檢測的過程。

現(xiàn)在的網(wǎng)絡主要是使用入侵檢測系統(tǒng)IDS來檢測攻擊。面對大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡，要從海量的網(wǎng)絡行為中檢測出攻擊是很困難的，有時并不能及時發(fā)現(xiàn)和處理真正的攻擊。高誤報率使IDS失去有效的報警作用，蜜罐的誤報率遠遠低于大部分IDS工具。

另外目前的IDS還不能夠有效地對新型攻擊方法進行檢測，無論是基于異常的還是基于誤用的，都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報問題，使用蜜罐的主要目的就是檢測新的攻擊。

⑶響應蜜罐檢測到入侵后可以進行響應，包括模擬回應來引誘黑客進一步攻擊，發(fā)出報警通知系統(tǒng)管理員，讓管理員適時的調(diào)整入侵檢測系統(tǒng)和防火墻配置，來加強真實系統(tǒng)的保護等。

4蜜罐的信息收集

要進行信息分析，首先要進行信息收集，下面分析蜜罐的數(shù)據(jù)捕獲和記錄機制。根據(jù)信息捕獲部件的位置，可分為基于主機的信息收集和基于網(wǎng)絡的信息收集。

4.1基于主機的信息收集

基于主機的信息收集有兩種方式，一是直接記錄進出主機的數(shù)據(jù)流，二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息，即所謂“Peeking”機制。

⑴記錄數(shù)據(jù)流

直接記錄數(shù)據(jù)流實現(xiàn)一般比較簡單，主要問題是在哪里存儲這些數(shù)據(jù)。

收集到的數(shù)據(jù)可以本地存放在密罐主機中，例如把日志文件用加密技術(shù)放在一個隱藏的分區(qū)中。本地存儲的缺點是系統(tǒng)管理員不能及時研究這些數(shù)據(jù)，同時保留的日志空間可能用盡，系統(tǒng)就會降低交互程度甚至變?yōu)椴皇鼙O(jiān)控。攻擊者也會了解日志區(qū)域并且試圖控制它，而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。

因此，將攻擊者的信息存放在一個安全的、遠程的地方相對更合理。以通過串行設(shè)備、并行設(shè)備、USB或Firewire技術(shù)和網(wǎng)絡接口將連續(xù)數(shù)據(jù)存儲到遠程日志服務器，也可以使用專門的日志記錄硬件設(shè)備。數(shù)據(jù)傳輸時采用加密措施。

⑵采用“Peeking”機制

這種方式和操作系統(tǒng)密切相關(guān)，實現(xiàn)相對比較復雜。

對于微軟系列操作系統(tǒng)來說，系統(tǒng)的源代碼是很難得到，對操作系統(tǒng)的更改很困難，無法以透明的方式將數(shù)據(jù)收集結(jié)構(gòu)與系統(tǒng)內(nèi)核相結(jié)合，記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合。蜜罐管理員一般只能察看運行的進程，檢查日志和應用MD-5檢查系統(tǒng)文件的一致性。

對于UNIX系列操作系統(tǒng)，幾乎所有的組件都可以以源代碼形式得到，則為數(shù)據(jù)收集提供更多的機會，可以在源代碼級上改寫記錄機制，再重新編譯加入蜜罐系統(tǒng)中。需要說明，盡管對于攻擊者來說二進制文件的改變是很難察覺，一個高級黑客還是可能通過如下的方法探測到：

·MD-5檢驗和檢查：如果攻擊者有一個和蜜罐對比的參照系統(tǒng)，就會計算所有標準的系統(tǒng)二進制文件的MD-5校驗和來測試蜜罐。

·庫的依賴性和進程相關(guān)性檢查：即使攻擊者不知道原始的二進制系統(tǒng)的確切結(jié)構(gòu)，仍然能應用特定程序觀察共享庫的依賴性和進程的相關(guān)性。例如，在UNIX操作系統(tǒng)中，超級用戶能應用truss或strace命令來監(jiān)督任何進程，當一個象grep（用來文本搜索）的命令突然開始與系統(tǒng)日志記錄進程通信，攻擊者就會警覺。庫的依賴性問題可以通過使用靜態(tài)聯(lián)接庫來解決。

另外如果黑客攻陷一臺機器，一般會安裝所謂的后門工具包，這些文件會代替機器上原有的文件，可能會使蜜罐收集數(shù)據(jù)能力降低或干脆失去。因此應直接把數(shù)據(jù)收集直接融入UNIX內(nèi)核，這樣攻擊者很難探測到。修改UNIX內(nèi)核不象修改UNIX系統(tǒng)文件那么容易，而且不是所有的UNIX版本都有源代碼形式的內(nèi)核。不過一旦源代碼可用，這是布置和隱藏數(shù)據(jù)收集機制有效的方法。

4.2基于網(wǎng)絡的信息收集

基于主機的信息收集定位于主機本身，這就很容易被探測并終止。基于網(wǎng)絡的信息收集將收集機制設(shè)置在蜜罐之外，以一種不可見的方式運行，很難被探測到，即使探測到也難被終止,比基于主機的信息收集更為安全。可以利用防火墻和入侵檢測系統(tǒng)從網(wǎng)絡上來收集進出蜜罐的信息。

⑴防火墻

可以配置防火墻記錄所有的出入數(shù)據(jù)，供以后仔細地檢查。用標準文件格式來記錄，如Linux系統(tǒng)的tcpdump兼容格式，可以有很多工具軟件來分析和解碼錄制的數(shù)據(jù)包。也可以配置防火墻針對進出蜜罐數(shù)據(jù)包觸發(fā)報警，這些警告可以被進一步提煉而提交給更復雜的報警系統(tǒng)，來分析哪些服務己被攻擊。例如，大部分利用漏洞的程序都會建立一個shell或打開某端口等待外來連接，防火墻可以記錄那些試圖與后門和非常規(guī)端口建立連接的企圖并且對發(fā)起源的IP告警。防火墻也是數(shù)據(jù)統(tǒng)計的好地方，進出數(shù)據(jù)包可被計數(shù)，研究黑客攻擊時的網(wǎng)絡流量是很有意義的。

⑵入侵檢測系統(tǒng)

網(wǎng)絡入侵檢測系統(tǒng)NIDS在網(wǎng)絡中的放置方式使得它能夠?qū)W(wǎng)絡中所有機器進行監(jiān)控?？梢杂肏IDS記錄進出蜜罐的所有數(shù)據(jù)包，也可以配置NIDS只去捕獲我們感興趣的數(shù)據(jù)流。

在基于主機的信息收集中，高明的入侵者會嘗試闖入遠程的日志服務器試圖刪除他們的入侵記錄，而這些嘗試也正是蜜罐想要了解和捕獲的信息。即使他們成功刪除了主機內(nèi)的日志，NIDS還是在網(wǎng)內(nèi)靜靜地被動捕獲著進出蜜罐的所有數(shù)據(jù)包和入侵者的所有活動，此時NIDS充當了第二重的遠程日志系統(tǒng)，進一步確保了網(wǎng)絡日志記錄的完整性。

當然，不論是基于誤用還是基于異常的NIDS都不會探測不到所有攻擊，對于新的攻擊方式，特征庫里將不會有任何的特征，而只要攻擊沒有反常情況，基于異常的NIDS就不會觸發(fā)任何警告，例如慢速掃描，因此要根據(jù)蜜罐的實際需要來調(diào)整IDS配置。

始終實時觀察蜜罐費用很高，因此將優(yōu)秀的網(wǎng)絡入侵檢測系統(tǒng)和蜜罐結(jié)合使用是很有用的。

4.3主動的信息收集

信息也是可以主動獲得，使用第三方的機器或服務甚至直接針對攻擊者反探測，如Whois，Portscan等。這種方式很危險，容易被攻擊者察覺并離開蜜罐，而且不是蜜罐所研究的主要范疇。

5蜜罐的安全性分析

5.1蜜罐的安全威脅

必須意識到運行蜜罐存在的一定的風險，有三個主要的危險是：

⑴未發(fā)現(xiàn)黑客對蜜罐的接管

蜜罐被黑客控制并接管是非常嚴重的，這樣的蜜罐已毫無意義且充滿危險。一個蜜罐被攻陷卻沒有被蜜罐管理員發(fā)現(xiàn)，則蜜罐的監(jiān)測設(shè)計存在著缺陷。

⑵對蜜罐失去控制

對蜜罐失去控制也是一個嚴重的問題，一個優(yōu)秀的蜜罐應該可以隨時安全地終止進出蜜罐的任何通訊，隨時備份系統(tǒng)狀態(tài)以備以后分析。要做到即使蜜罐被完全攻陷，也仍在控制之中。操作者不應該依靠與蜜罐本身相關(guān)的任何機器。虛擬機同樣存在危險，黑客可能突破虛擬機而進入主機操作系統(tǒng)，因此虛擬蜜罐系統(tǒng)的主機同樣是不可信的。

失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻擊數(shù)據(jù)和未過濾的日志事件以致管理員不能實時跟蹤所有的活動，黑客就有機會攻擊真正目標。

⑶對第三方的損害

指攻擊者可能利用蜜罐去攻擊第三方，如把蜜罐作為跳板和中繼發(fā)起端口掃描、DDOS攻擊等。

5.2降低蜜罐的風險

首先，要根據(jù)實際需要選擇最低安全風險的蜜罐。事實上并不總是需要高交互蜜罐，如只想發(fā)現(xiàn)公司內(nèi)部的攻擊者及誰探查了內(nèi)部網(wǎng)，中低交互的蜜罐就足夠了。如確實需要高交互蜜罐可嘗試利用帶防火墻的蜜網(wǎng)而不是單一的蜜罐。

其次，要保證攻擊蜜罐所觸發(fā)的警告應當能夠立即發(fā)送給蜜罐管理員。如探測到對root權(quán)限的嘗試攻擊就應當在記錄的同時告知管理員，以便采取行動。要保證能隨時關(guān)閉蜜罐，作為最后的手段，關(guān)閉掉失去控制的蜜罐，阻止了各種攻擊，也停止了信息收集。

相對而言保護第三方比較困難，蜜罐要與全球的網(wǎng)絡交互作用才具有吸引力而返回一些有用的信息，拒絕向外的網(wǎng)絡交通就不會引起攻擊者太大的興趣，而一個開放的蜜罐資源在黑客手里會成為有力的攻擊跳板，要在二者之間找到平衡，可以設(shè)置防火墻對外向連接做必要的限定：

⑴在給定時間間隔只允許定量的IP數(shù)據(jù)包通過。

⑵在給定時間間隔只允許定量的TCPSYN數(shù)據(jù)包。

⑶限定同時的TCP連接數(shù)量。

⑷隨機地丟掉外向IP包。

這樣既允許外向交通，又避免了蜜罐系統(tǒng)成為入侵者攻擊他人的跳板。如需要完全拒絕到某個端口的外向交通也是可以的。另一個限制方法是布置基于包過濾器的IDS，丟棄與指定特征相符的包，如使用Hogwash包過濾器。

6結(jié)語

蜜罐系統(tǒng)是一個比較新的安全研究方向。相對于其它安全機制，蜜罐使用簡單，配置靈活，占用的資源少，可以在復雜的環(huán)境下有效地工作，而且收集的數(shù)據(jù)和信息有很好的針對性和研究價值。既能作為獨立的安全信息工具，還可以與其他的安全機制協(xié)作使用，取長補短地對入侵進行檢測，查找并發(fā)現(xiàn)新型攻擊和新型攻擊工具。

蜜罐也有缺點和不足，主要是收集數(shù)據(jù)面比較狹窄和給使用環(huán)境引入了新的風險。面對不斷改進的黑客技術(shù)，蜜罐技術(shù)也要不斷地完善和更新。

參考文獻

[1]熊華,郭世澤等.網(wǎng)絡安全—取證與蜜罐[M].北京人民郵電出版社,2003,97-136

[2]LanceSpitzner.DefinitionsandValueofHoneypots.[EB/OL]..2002.

[3]趙偉峰，曾啟銘．一種了解黑客的有效手段—蜜罐(Honeypot)[J]．計算機應用,2003,23(S1):259-261．

[4]馬曉麗，趙站生，黃軒.Honeypot—網(wǎng)絡陷阱．計算機工程與應用,2003.39(4):162-165．

[5]王璐，秦志光，張文科.業(yè)務蜜網(wǎng)技術(shù)與應用．計算機應用,2004．24(3)：43-45．

[6]劉寶旭，曹愛娟，許榕生．陷阱網(wǎng)絡技術(shù)綜述．網(wǎng)絡安全技術(shù)與應用,2003，12(1):65-69