蜜罐的概念
"蜜罐"这一概念最初出现在1990 年出版的一本小说《The Cuckoo's Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。"
蜜网项目组"(The Honeynet Project)的创始人Lance Spitzner给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。
蜜罐并非一种安全解决方案,这是因为蜜罐并不会"修理"任何错误。
蜜罐只是一种工具,如何使用这个工具取决于使用者想要做到什么。蜜罐可以仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。为了方便攻击者攻击,最好是将蜜罐设置成域名服务器(Domain Name Server, DNS)、Web或电子邮件转发服务等流行应用中的某一种。蜜罐在系统中的一种配置方法如图所示,从中可以看出其在整个安全防护体系中的地位。
蜜罐是用来被探测、被攻击甚至最后被攻陷的,它不会修补任何东西,这样就为我们提供了额外的、有价值的信息。
蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可代替的一种主动防御技术。#p#
蜜罐的发展历程
蜜罐技术的发展历程可以分为以下三个阶段。
从九十年代初蜜罐概念的提出直到1998 年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。
从1998 年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000 年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。#p#
蜜罐的安全价值
蜜罐并不会替代其它安全防护工具,例如防火墙?入侵检测系统等?它们是增强现有安全性的强大工具,是一种可以了解黑客常用工具和工具策略的有效手段?安全就是降低各种网络威胁,网络用户永远都不能忽视各种威胁的存在,而安全就是降低组织受到的威胁并保护组织中的信息资源?下面,根据 Bruce Schnerier 在“Secrests and Lies"中的定义,从3个方面来研究蜜罐的安全实现价值?
(1)防护
安全工作者所能做的就是阻止恶意攻击者,尽可能地防止威胁?蜜罐则在防护中做的贡献很少,蜜罐不会将那些试图攻击的入侵者拒之门外?将入侵者阻挡在外部的安全产品在防护中可以做到最好,比如关闭不需要的或不安全的服务,而且还可以通过强认证机制来保障只有合法的用户才能访问相应的服务?而蜜罐设计的初衷就是妥协,因此它不会将入侵者拒绝在系统之外,事实上,蜜罐希望有人闯入系统,从而进行各项记录和分析工作?
有些人认为诱骗也是一种对攻击者进行防护的方法,因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,这就防止了攻击者对实际资源进行攻击?也就是说,攻击者会被吸引到蜜罐中对它进行攻击演练,从而一定程度上保证了真正的网络资源不会受到攻击?蜜罐的诱骗在一定程度上的确提供了安全防护的效果,但是,如果想要得到更高和好的防护效果,人们会主动去选取那些专门进行防护的安全产品?
(2)检测
虽然蜜罐的防护功能偏弱,但是它有很强的检测功能?对于部分组织来说,检测网络攻击是难度系数很大的一件事?
许多组织面临的是大量的正常网络通信与可疑的网络攻击行为混杂在一起的网络,比如千兆比特网络里的系统日志,想要从大量的网络行为中检测出攻击行为是一件非常困难的事情,甚至检测出哪些系统已经被攻陷也是一件困难的事情?入侵检测系统(IDS)是专门为检测攻击而设计的检测工具,然而 IDS 中发生的误报使系统管理员的工作变得极其繁重?误报是指 IDS 的探测器认为那些合法的网络行为具备了入侵攻击行为特征,就向系统管理员发出警告并要求进行处理?由于误报率很高,IDS 系统管理员每天不得花费大量时间来处理不计其数的报警信息,以至于不能完全处理完报警信息数据当真正的网络攻击行为到来时,系统管理员已经疲于处理过多的“误报",而放弃了真正的攻击行为所采取的攻击行动?
高误报率往往使IDS失去有效告警的作用,而蜜罐的误报率则远远低于大部分的 IDS 工具?
另一个问题是漏报,发生在 IDS 没有检测出攻击时?大部分 IDS,无论是基于特征匹配的还是基于协议分析的,都有可能遗漏新型的或未知的攻击?目前的 IDS 技术不能够有效地对新型攻击方法进行检测?同时,攻击者们一直在开发和研究?散布着各种各样的新型的 IDS 逃避策略,也在不断开发着各种各样的不能被 IDS 检测出来的攻击,甚至是 IDS 本身的攻击技术,比如 K2的 ADMMutae?
蜜罐可以解决漏报问题,因为它们很难躲避也很难被新的攻击方法攻陷?实际上使用蜜罐的首要目标就是在新的攻击和未知的攻击发生的时候将它们检测出来?蜜罐系统管理员无需担心特征数据库的更新和检测引擎的修订,也无需知晓对方使用何种攻击策略和攻击工具,因为蜜罐最希望看到的就是攻击是如何进行的?
蜜罐可以简化检测的过程?因为蜜罐没有任何有效的行为,所以所有与蜜罐相联系的网络行为都可以认定为可疑行为?
从原理上来讲,任何连接到蜜罐的连接都应该是侦探?扫描和攻击的一种?无论何时蜜罐发起一个连接,都可以认为蜜罐系统向攻击者妥协,这样就可以极大地降低误报率和漏报率,从而简化了检测过程?现在有很多蜜罐系统也自己发起自己的连接,这样做的目的也是为了迷惑攻击者?
其实,从某种意义上讲,蜜罐系统已经成为一个越来越复杂的安全检测工具?在某些技术领域里,而也可被称作为IDS的一个新型演变?
(3)响应
尽管在一般意义上讲,蜜罐也可以进行响应如果组织内的系统已经被入侵,这之后发生的所有的行为都是与入侵者相关的“污点证明"数据但是,如果内部用户和系统行为也掺杂到这些记录的数据中,系统管理员就无法知道区别,也就无法处理了?就如同系统管理员登录到网页服务器上,发现所有登录在网站上的用户都在使用已经被入侵的系统,这时候,再想收集入侵者的攻击行为证据就是一件很难的事情?
必须解决的问题是那些发生入侵事故的系统在被入侵之后不能脱机工作?否则,这些系统所提供的所有产品服务都将停止?同时,系统管理员也不能进行合适和全面的鉴定分析?
蜜罐可以解决甚至消除以上两个问题,它提供了一个具有低数据污染的系统,并且这个系统可以随时进行脱机工作?例如,某组织有3台服务器,这些服务器都被入侵了,系统管理员也可以进入系统并可以清楚特定问题,但他依然有可能不知道错误出在何处?系统受到何种程度的破坏?攻击者是否依然存在于系统内部?攻击者使用了何种攻击策略和行为?此时,如果将其中一台设置为蜜罐系统,系统管理员则可以将该系统置于脱机状态来进行鉴定工作?基于这些分析,系统管理员不仅能知道入侵者是如何进入系统的,而且还可以知道他做了那些坏事?根据这些经验,系统管理员就可以很好地解决其它2台服务器的安全问题,并可以在以后的工作中较好的防止进一步地网络攻击?
