研究生評審論文蜜罐信息采集技術(shù)
所屬分類:電子論文 閱讀次 時間:2016-04-10 15:51 本文摘要:發(fā)表學(xué)術(shù)論文網(wǎng) 辦的非常成功�,極具口碑。在這里��,你可以找到最具時事性的文章和最具代表性的各類文章��。當然����,因為免費和開源,大家都可以學(xué)習(xí)����、借鑒和共同使用,如果你需要專屬于個人的原創(chuàng)文章��,請點擊鏈接獲得專業(yè)文秘寫作服務(wù)�����。 摘要 蜜罐是一種主動防御的
發(fā)表學(xué)術(shù)論文網(wǎng)辦的非常成功�����,極具口碑��。在這里�����,你可以找到最具時事性的文章和最具代表性的各類文章����。當然,因為免費和開源�����,大家都可以學(xué)習(xí)�、借鑒和共同使用,如果你需要專屬于個人的原創(chuàng)文章�����,請點擊鏈接獲得專業(yè)文秘寫作服務(wù)�。
摘要 蜜罐是一種主動防御的網(wǎng)絡(luò)安全技術(shù),可以吸引黑客的攻擊���,監(jiān)視和跟蹤入侵者的行為并且記錄下來進行分析����,從而研究入侵者所使用的攻擊工具�����、策略和方法。該文介紹蜜罐技術(shù)的基本概念����,分析了蜜罐的安全價值,詳細研究了蜜罐的信息收集技術(shù)�����,同時也討論了蜜罐系統(tǒng)面臨的安全威脅與防御對策�。
關(guān)鍵字 蜜罐,交互性��,入侵檢測系統(tǒng)��,防火墻
1引言
現(xiàn)在網(wǎng)絡(luò)安全面臨的一個大問題是缺乏對入侵者的了解���。即誰正在攻擊����、攻擊的目的是什么�����、如何攻擊以及何時進行攻擊等���,而蜜罐為安全專家們提供一個研究各種攻擊的平臺���。它是采取主動的方式,用定制好的特征吸引和誘騙攻擊者��,將攻擊從網(wǎng)絡(luò)中比較重要的機器上轉(zhuǎn)移開�����,同時在黑客攻擊蜜罐期間對其行為和過程進行深入的分析和研究�,從而發(fā)現(xiàn)新型攻擊,檢索新型黑客工具�,了解黑客和黑客團體的背景、目的�����、活動規(guī)律等����。
2蜜罐技術(shù)基礎(chǔ)
2.1 蜜罐的定義
蜜罐是指受到嚴密監(jiān)控的網(wǎng)絡(luò)誘騙系統(tǒng),通過真實或模擬的網(wǎng)絡(luò)和服務(wù)來吸引攻擊,從而在黑客攻擊蜜罐期間對其行為和過程進行分析��,以搜集信息���,對新攻擊發(fā)出預(yù)警�,同時蜜罐也可以延緩攻擊和轉(zhuǎn)移攻擊目標�。
蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞���、分析分布式拒絕服務(wù)(DDOS)攻擊等方面是很有價值的����。蜜罐本身并不直接增強網(wǎng)絡(luò)的安全性���,將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)��、防火墻(Firewall)�����、殺毒軟件等結(jié)合使用����,可以有效提高系統(tǒng)安全性���。
2.2 蜜罐的分類
根據(jù)蜜罐的交互程度���,可以將蜜罐分為3類:
蜜罐的交互程度(Level of Involvement)指攻擊者與蜜罐相互作用的程度。
�、 低交互蜜罐
只是運行于現(xiàn)有系統(tǒng)上的一個仿真服務(wù),在特定的端口監(jiān)聽記錄所有進入的數(shù)據(jù)包��,提供少量的交互功能���,黑客只能在仿真服務(wù)預(yù)設(shè)的范圍內(nèi)動作�����。低交互蜜罐上沒有真正的操作系統(tǒng)和服務(wù)����,結(jié)構(gòu)簡單�,部署容易,風險很低���,所能收集的信息也是有限的���。
�、 中交互蜜罐
也不提供真實的操作系統(tǒng)��,而是應(yīng)用腳本或小程序來模擬服務(wù)行為���,提供的功能主要取決于腳本�。在不同的端口進行監(jiān)聽����,通過更多和更復(fù)雜的互動,讓攻擊者會產(chǎn)生是一個真正操作系統(tǒng)的錯覺����,能夠收集更多數(shù)據(jù)。開發(fā)中交互蜜罐����,要確保在模擬服務(wù)和漏洞時并不產(chǎn)生新的真實漏洞,而給黑客滲透和攻擊真實系統(tǒng)的機會��。
�����、 高交互蜜罐
由真實的操作系統(tǒng)來構(gòu)建,提供給黑客的是真實的系統(tǒng)和服務(wù)���。給黑客提供一個真實的操作系統(tǒng)�,可以學(xué)習(xí)黑客運行的全部動作����,獲得大量的有用信息��,包括完全不了解的新的網(wǎng)絡(luò)攻擊方式�。正因為高交互蜜罐提供了完全開放的系統(tǒng)給黑客,也就帶來了更高的風險����,即黑客可能通過這個開放的系統(tǒng)去攻擊其他的系統(tǒng)。
2.3蜜罐的拓撲位置
蜜罐本身作為一個標準服務(wù)器對周圍網(wǎng)絡(luò)環(huán)境并沒有什么特別需要�����。理論上可以布置在網(wǎng)絡(luò)的任何位置����。但是不同的位置其作用和功能也是不盡相同。
如果用于內(nèi)部或私有網(wǎng)絡(luò)���,可以放置在任何一個公共數(shù)據(jù)流經(jīng)的節(jié)點���。如用于互聯(lián)網(wǎng)的連接�,蜜罐可以位于防火墻前面����,也可以是后面��。
⑴ 防火墻之前:如見圖1中蜜罐(1),蜜罐會吸引象端口掃描等大量的攻擊����,而這些攻擊不會被防火墻記錄也不讓內(nèi)部IDS系統(tǒng)產(chǎn)生警告�,只會由蜜罐本身來記錄。
因為位于防火墻之外,可被視為外部網(wǎng)絡(luò)中的任何一臺普通的機器�,不用調(diào)整防火墻及其它的資源的配置,不會給內(nèi)部網(wǎng)增加新的風險�����,缺點是無法定位或捕捉到內(nèi)部攻擊者�,防火墻限制外向交通,也限制了蜜罐的對內(nèi)網(wǎng)信息收集。
⑵ 防火墻之后:如圖1中蜜罐(2)�����,會給內(nèi)部網(wǎng)帶來安全威脅,尤其是內(nèi)部網(wǎng)沒有附加的防火墻來與蜜罐相隔離。蜜罐提供的服務(wù)�,有些是互聯(lián)網(wǎng)的輸出服務(wù),要求由防火墻把回饋轉(zhuǎn)給蜜罐,不可避免地調(diào)整防火墻規(guī)則����,因此要謹慎設(shè)置�,保證這些數(shù)據(jù)可以通過防火墻進入蜜罐而不引入更多的風險。
優(yōu)點是既可以收集到已經(jīng)通過防火墻的有害數(shù)據(jù),還可以探查內(nèi)部攻擊者。缺點是一旦蜜罐被外部攻擊者攻陷就會危害整個內(nèi)網(wǎng)。
還有一種方法,把蜜罐置于隔離區(qū)DMZ內(nèi)����,如圖1中蜜罐(3)��。隔離區(qū)只有需要的服務(wù)才被允許通過防火墻���,因此風險相對較低。DMZ內(nèi)的其它系統(tǒng)要安全地和蜜罐隔離。此方法增加了隔離區(qū)的負擔,具體實施也比較困難���。
3 蜜罐的安全價值
蜜罐是增強現(xiàn)有安全性的強大工具����,是一種了解黑客常用工具和攻擊策略的有效手段��。根據(jù)P2DR動態(tài)安全模型�����,從防護、檢測和響應(yīng)三方面分析蜜罐的安全價值���。
��、 防護 蜜罐在防護中所做的貢獻很少,并不會將那些試圖攻擊的入侵者拒之門外。事實上蜜罐設(shè)計的初衷就是妥協(xié)�����,希望有人闖入系統(tǒng)�,從而進行記錄和分析�����。
有些學(xué)者認為誘騙也是一種防護。因為誘騙使攻擊者花費大量的時間和資源對蜜罐進行攻擊�,從而防止或減緩了對真正系統(tǒng)的攻擊。
⑵ 檢測 蜜罐的防護功能很弱�,卻有很強的檢測功能。因為蜜罐本身沒有任何生產(chǎn)行為�����,所有與蜜罐的連接都可認為是可疑行為而被紀錄�。這就大大降低誤報率和漏報率,也簡化了檢測的過程�。
現(xiàn)在的網(wǎng)絡(luò)主要是使用入侵檢測系統(tǒng)IDS來檢測攻擊。面對大量正常通信與可疑攻擊行為相混雜的網(wǎng)絡(luò)����,要從海量的網(wǎng)絡(luò)行為中檢測出攻擊是很困難的,有時并不能及時發(fā)現(xiàn)和處理真正的攻擊��。高誤報率使IDS失去有效的報警作用��,蜜罐的誤報率遠遠低于大部分IDS工具�����。
另外目前的IDS還不能夠有效地對新型攻擊方法進行檢測�,無論是基于異常的還是基于誤用的,都有可能遺漏新型或未知的攻擊。蜜罐可以有效解決漏報問題����,使用蜜罐的主要目的就是檢測新的攻擊����。
⑶ 響應(yīng) 蜜罐檢測到入侵后可以進行響應(yīng)�,包括模擬回應(yīng)來引誘黑客進一步攻擊�����,發(fā)出報警通知系統(tǒng)管理員�,讓管理員適時的調(diào)整入侵檢測系統(tǒng)和防火墻配置�����,來加強真實系統(tǒng)的保護等����。
4 蜜罐的信息收集
要進行信息分析,首先要進行信息收集���,下面分析蜜罐的數(shù)據(jù)捕獲和記錄機制����。根據(jù)信息捕獲部件的位置����,可分為基于主機的信息收集和基于網(wǎng)絡(luò)的信息收集。
4.1 基于主機的信息收集
基于主機的信息收集有兩種方式�,一是直接記錄進出主機的數(shù)據(jù)流,二是以系統(tǒng)管理員身份嵌入操作系統(tǒng)內(nèi)部來監(jiān)視蜜罐的狀態(tài)信息���,即所謂“Peeking”機制����。
�、 記錄數(shù)據(jù)流
直接記錄數(shù)據(jù)流實現(xiàn)一般比較簡單,主要問題是在哪里存儲這些數(shù)據(jù)�����。
收集到的數(shù)據(jù)可以本地存放在密罐主機中,例如把日志文件用加密技術(shù)放在一個隱藏的分區(qū)中���。本地存儲的缺點是系統(tǒng)管理員不能及時研究這些數(shù)據(jù)����,同時保留的日志空間可能用盡�����,系統(tǒng)就會降低交互程度甚至變?yōu)椴皇鼙O(jiān)控��。攻擊者也會了解日志區(qū)域并且試圖控制它����,而使日志文件中的數(shù)據(jù)不再是可信數(shù)據(jù)。
因此�,將攻擊者的信息存放在一個安全的、遠程的地方相對更合理���。以通過串行設(shè)備��、并行設(shè)備�����、USB或Firewire技術(shù)和網(wǎng)絡(luò)接口將連續(xù)數(shù)據(jù)存儲到遠程日志服務(wù)器���,也可以使用專門的日志記錄硬件設(shè)備�。數(shù)據(jù)傳輸時采用加密措施�。
����、 采用“Peeking”機制
這種方式和操作系統(tǒng)密切相關(guān),實現(xiàn)相對比較復(fù)雜�。
對于微軟系列操作系統(tǒng)來說,系統(tǒng)的源代碼是很難得到�����,對操作系統(tǒng)的更改很困難���,無法以透明的方式將數(shù)據(jù)收集結(jié)構(gòu)與系統(tǒng)內(nèi)核相結(jié)合��,記錄功能必須與攻擊者可見的用戶空間代碼相結(jié)合�。蜜罐管理 員一般只能察看運行的進程�����,檢查日志和應(yīng)用MD-5檢查系統(tǒng)文件的一致性。
對于UNIX系列操作系統(tǒng)�����,幾乎所有的組件都可以以源代碼形式得到����,則為數(shù)據(jù)收集提供更多的機會,可以在源代碼級上改寫記錄機制�,再重新編譯加入蜜罐系統(tǒng)中。需要說明�,盡管對于攻擊者來說二進制文件的改變是很難察覺,一個高級黑客還是可能通過如下的方法探測到:
·MD-5檢驗和檢查:如果攻擊者有一個和蜜罐對比的參照系統(tǒng)�����,就會計算所有標準的系統(tǒng)二進制文件的MD-5校驗和來測試蜜罐��。
·庫的依賴性和進程相關(guān)性檢查:即使攻擊者不知道原始的二進制系統(tǒng)的確切結(jié)構(gòu)�����,仍然能應(yīng)用特定程序觀察共享庫的依賴性和進程的相關(guān)性�����。例如,在UNIX操作系統(tǒng)中���,超級用戶能應(yīng)用truss或strace命令來監(jiān)督任何進程�,當一個象grep(用來文本搜索)的命令突然開始與系統(tǒng)日志記錄進程通信�����,攻擊者就會警覺�。庫的依賴性問題可以通過使用靜態(tài)聯(lián)接庫來解決�����。
另外如果黑客攻陷一臺機器��,一般會安裝所謂的后門工具包�����,這些文件會代替機器上原有的文件���,可能會使蜜罐收集數(shù)據(jù)能力降低或干脆失去�����。因此應(yīng)直接把數(shù)據(jù)收集直接融入UNIX內(nèi)核���,這樣攻擊者很難探測到�����。修改UNIX內(nèi)核不象修改UNIX系統(tǒng)文件那么容易����,而且不是所有的UNIX版本都有源代碼形式的內(nèi)核����。不過一旦源代碼可用,這是布置和隱藏數(shù)據(jù)收集機制有效的方法����。
閱讀期刊:《計算機系統(tǒng)應(yīng)用》
《計算機系統(tǒng)應(yīng)用》(月刊)創(chuàng)刊于1991年,由中國科學(xué)院軟件研究所主辦����。辦刊宗旨:宣傳推廣信息技術(shù)在各行各業(yè)的應(yīng)用。重點是宣傳介紹計算機應(yīng)用系統(tǒng)的建設(shè)(包括系統(tǒng)的規(guī)劃��、設(shè)計與開發(fā)等方面)、信息技術(shù)的應(yīng)用研究與開發(fā)成果以及相關(guān)技術(shù)的分析�、探討與應(yīng)用,系統(tǒng)建設(shè):面向中高層管理人員與應(yīng)用系統(tǒng)設(shè)計的專業(yè)人員���。榮獲中文核心期刊(2000)�。
轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/7238.html
