蜜罐技術(shù)前的噩夢

1993年以后Internet開始商用化，通過Internet進行的各種電子商務(wù)業(yè)務(wù)日益增多，加之Internet/Intranet技術(shù)日趨成熟，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與Internet聯(lián)通。電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。

據(jù)美國商業(yè)雜志《信息周刊》公布的一項調(diào)查報告稱，黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經(jīng)濟損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。2003年夏天，對于運行著Microsoft Windows的成千上萬臺主機來說簡直就是場噩夢！也給廣大網(wǎng)民留下了悲傷的回憶，這一些都歸結(jié)于沖擊波蠕蟲的全世界范圍的傳播。

蜜罐技術(shù)的發(fā)展背景

網(wǎng)絡(luò)與信息安全技術(shù)的核心問題是對計算機系統(tǒng)和網(wǎng)絡(luò)進行有效的防護。網(wǎng)絡(luò)安全防護涉及面很廣，從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù),病毒防護技術(shù),數(shù)據(jù)加密和認證技術(shù)等。在這些安全技術(shù)中，大多數(shù)技術(shù)都是在攻擊者對網(wǎng)絡(luò)進行攻擊時對系統(tǒng)進行被動的防護。而蜜罐技術(shù)可以采取主動的方式。

顧名思義，就是用特有的特征吸引攻擊者，同時對攻擊者的各種攻擊行為進行分析并找到有效的對付辦法。（在這里，可能要聲明一下，剛才也說了，“用特有的特征去吸引攻擊者”，也許有人會認為你去吸引攻擊者，這是不是一種自找麻煩呢，但是，我想，如果攻擊者不對你進行攻擊的話，你又怎么能吸引他呢？換一種說話，也許就叫誘敵深入了）。

蜜罐的概念

在這里，我們首先就提出蜜罐的概念。美國 L．Spizner是一個著名的蜜罐技術(shù)專家。他曾對蜜罐做了這樣的一個定義：蜜罐是一種資源，它的價值是被攻擊或攻陷。這就意味著蜜罐是用來被探測、被攻擊甚至最后被攻陷的，蜜罐不會修補任何東西，這樣就為使用者提供了額外的、有價值的信息。蜜罐不會直接提高計算機網(wǎng)絡(luò)安全，但是它卻是其他安全策略所不可替代的一種主動防御技術(shù)。

具體的來講，蜜罐系統(tǒng)最為重要的功能是對系統(tǒng)中所有操作和行為進行監(jiān)視和記錄，可以網(wǎng)絡(luò)安全專家通過精心的偽裝，使得攻擊者在進入到目標(biāo)系統(tǒng)后仍不知道自己所有的行為已經(jīng)處于系統(tǒng)的監(jiān)視下。為了吸引攻擊者，通常在蜜罐系統(tǒng)上留下一些安全后門以吸引攻擊者上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假的信息。

另外一些蜜罐系統(tǒng)對攻擊者的聊天內(nèi)容進行記錄，管理員通過研究和分析這些記錄，可以得到攻擊者采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平等信息，還能對攻擊者的活動范圍以及下一個攻擊目標(biāo)進行了解。同時在某種程度上，這些信息將會成為對攻擊者進行起訴的證據(jù)。不過，它僅僅是一個對其他系統(tǒng)和應(yīng)用的仿真，可以創(chuàng)建一個監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)。無論使用者如何建立和使用蜜罐，只有它受到攻擊,它的作用才能發(fā)揮出來。

蜜罐的具體分類和體現(xiàn)的安全價值

自從計算機首次互連以來，研究人員和安全專家就一直使用著各種各樣的蜜罐工具，根據(jù)不同的標(biāo)準(zhǔn)可以對蜜罐技術(shù)進行不同的分類，前面已經(jīng)提到，使用蜜罐技術(shù)是基于安全價值上的考慮。但是，可以肯定的就是，蜜罐技術(shù)并不會替代其他安全工具，例如防火墻、系統(tǒng)偵聽等。這里我也就安全方面的價值來對蜜罐技術(shù)進行探討。

 根據(jù)設(shè)計的最終目的不同我們可以將蜜罐分為產(chǎn)品型蜜罐和研究型蜜罐兩類。

① 產(chǎn)品型蜜罐一般運用于商業(yè)組織的網(wǎng)絡(luò)中。它的目的是減輕組織將受到的攻擊的威脅，蜜罐加強了受保護組織的安全措施。他們所做的工作就是檢測并且對付惡意的攻擊者。

⑴這類蜜罐在防護中所做的貢獻很少，蜜罐不會將那些試圖攻擊的入侵者拒之門外，因為蜜罐設(shè)計的初衷就是妥協(xié)，所以它不會將入侵者拒絕在系統(tǒng)之外，實際上，蜜罐是希望有人闖入系統(tǒng)，從而進行各項記錄和分析工作。

⑵雖然蜜罐的防護功能很弱，但是它卻具有很強的檢測功能，對于許多組織而言，想要從大量的系統(tǒng)日志中檢測出可疑的行為是非常困難的。雖然，有入侵檢測系統(tǒng)（IDS）的存在，但是，IDS發(fā)生的誤報和漏報，讓系統(tǒng)管理員疲于處理各種警告和誤報。而蜜罐的作用體現(xiàn)在誤報率遠遠低于大部分IDS工具，也務(wù)須當(dāng)心特征數(shù)據(jù)庫的更新和檢測引擎的修改。因為蜜罐沒有任何有效行為，從原理上來講，任何連接到蜜罐的連接都應(yīng)該是偵聽、掃描或者攻擊的一種，這樣就可以極大的減低誤報率和漏報率，從而簡化檢測的過程。從某種意義上來講，蜜罐已經(jīng)成為一個越來越復(fù)雜的安全檢測工具了。

⑶如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵的話，那些發(fā)生事故的系統(tǒng)不能進行脫機工作，這樣的話，將導(dǎo)致系統(tǒng)所提供的所有產(chǎn)品服務(wù)都將被停止，同時，系統(tǒng)管理員也不能進行合適的鑒定和分析，而蜜罐可以對入侵進行響應(yīng)，它提供了一個具有低數(shù)據(jù)污染的系統(tǒng)和犧牲系統(tǒng)可以隨時進行脫機工作。此時，系統(tǒng)管理員將可以對脫機的系統(tǒng)進行分析，并且把分析的結(jié)果和經(jīng)驗運用于以后的系統(tǒng)中。

② 研究型蜜罐專門以研究和獲取攻擊信息為目的而設(shè)計。這類蜜罐并沒有增強特定組織的安全性，恰恰相反，蜜罐要做的是讓研究組織面對各類網(wǎng)絡(luò)威脅，并尋找能夠?qū)Ω哆@些威脅更好的方式，它們所要進行的工作就是收集惡意攻擊者的信息。它一般運用于軍隊，安全研究組織。

 根據(jù)蜜罐與攻擊者之間進行的交互，可以分為3類：低交互蜜罐，中交互蜜罐和高交互蜜罐，同時這也體現(xiàn)了蜜罐發(fā)展的3個過程。

① 低交互蜜罐最大的特點是模擬。蜜罐為攻擊者展示的所有攻擊弱點和攻擊對象都不是真正的產(chǎn)品系統(tǒng)，而是對各種系統(tǒng)及其提供的服務(wù)的模擬。由于它的服務(wù)都是模擬的行為，所以蜜罐可以獲得的信息非常有限，只能對攻擊者進行簡單的應(yīng)答，它是最安全的蜜罐類型。

② 中交互是對真正的操作系統(tǒng)的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲得更多的信息。在這個模擬行為的系統(tǒng)中，蜜罐可以看起來和一個真正的操作系統(tǒng)沒有區(qū)別。它們是真正系統(tǒng)還要誘人的攻擊目標(biāo)。

③高交互蜜罐具有一個真實的操作系統(tǒng)，它的優(yōu)點體現(xiàn)在對攻擊者提供真實的系統(tǒng)，當(dāng)攻擊者獲得ROOT權(quán)限后，受系統(tǒng)，數(shù)據(jù)真實性的迷惑，他的更多活動和行為將被記錄下來。缺點是被入侵的可能性很高，如果整個高蜜罐被入侵，那么它就會成為攻擊者下一步攻擊的跳板。目前在國內(nèi)外的主要蜜罐產(chǎn)品有DTK，空系統(tǒng)，BOF，SPECTER，HOME-MADE蜜罐，HONEYD，SMOKEDETECTOR，BIGEYE，LABREA TARPIT，NETFACADE，KFSENSOR，TINY蜜罐，MANTRAP，HONEYNET十四種。

蜜罐技術(shù)的概念介紹在這里就向大家介紹完了，希望大家已經(jīng)掌握，在以后的文章中，我們將會繼續(xù)向大家介紹相關(guān)內(nèi)容。下一篇我們將會介紹：蜜罐的配置模式和信息收集

【編輯推薦】

1. 防病毒的未來在“云”中
2. 病毒橫行 網(wǎng)購人群成主要受害者
3. 該如何防治快里藏刀閃盤病毒