蜜罐的概念

"蜜罐"這一概念最初出現(xiàn)在1990 年出版的一本小說《The Cuckoo's Egg》中，在這本小說中描述了作者作為一個公司的網(wǎng)絡管理員，如何追蹤并發(fā)現(xiàn)一起商業(yè)間諜案的故事。"

蜜網(wǎng)項目組"（The Honeynet Project）的創(chuàng)始人Lance Spitzner給出了對蜜罐的權(quán)威定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷。這個定義表明蜜罐并無其他實際作用，因此所有流入/流出蜜罐的網(wǎng)絡流量都可能預示了掃描、攻擊和攻陷。而蜜罐的核心價值就在于對這些攻擊活動進行監(jiān)視、檢測和分析。

蜜罐并非一種安全解決方案，這是因為蜜罐并不會"修理"任何錯誤。

蜜罐只是一種工具，如何使用這個工具取決于使用者想要做到什么。蜜罐可以僅僅是一個對其他系統(tǒng)和應用的仿真，可以創(chuàng)建一個監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個標準的產(chǎn)品系統(tǒng)。無論使用者如何建立和使用蜜罐，只有蜜罐受到攻擊，它的作用才能發(fā)揮出來。為了方便攻擊者攻擊，最好是將蜜罐設置成域名服務器（Domain Name Server, DNS）、Web或電子郵件轉(zhuǎn)發(fā)服務等流行應用中的某一種。蜜罐在系統(tǒng)中的一種配置方法如圖所示，從中可以看出其在整個安全防護體系中的地位。

蜜罐是用來被探測、被攻擊甚至最后被攻陷的，它不會修補任何東西，這樣就為我們提供了額外的、有價值的信息。

蜜罐不會直接提高計算機網(wǎng)絡安全，但它卻是其他安全策略所不可代替的一種主動防御技術(shù)。#p#

蜜罐的發(fā)展歷程

蜜罐技術(shù)的發(fā)展歷程可以分為以下三個階段。

從九十年代初蜜罐概念的提出直到1998 年左右，“蜜罐”還僅僅限于一種思想，通常由網(wǎng)絡管理人員應用，通過欺騙黑客達到追蹤的目的。這一階段的蜜罐實質(zhì)上是一些真正被黑客所攻擊的主機和系統(tǒng)。

從1998 年開始，蜜罐技術(shù)開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺騙黑客的開源工具，如Fred Cohen 所開發(fā)的DTK（欺騙工具包）、Niels Provos 開發(fā)的Honeyd 等，同時也出現(xiàn)了像KFSensor、Specter 等一些商業(yè)蜜罐產(chǎn)品。這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡服務，并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐也變得比較方便。

但是由于虛擬蜜罐工具存在著交互程度低，較容易被黑客識別等問題，從2000 年之后，安全研究人員更傾向于使用真實的主機、操作系統(tǒng)和應用程序搭建蜜罐，但與之前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中，使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進行分析。#p#

蜜罐的安全價值

蜜罐并不會替代其它安全防護工具,例如防火墻?入侵檢測系統(tǒng)等?它們是增強現(xiàn)有安全性的強大工具,是一種可以了解黑客常用工具和工具策略的有效手段?安全就是降低各種網(wǎng)絡威脅,網(wǎng)絡用戶永遠都不能忽視各種威脅的存在,而安全就是降低組織受到的威脅并保護組織中的信息資源?下面,根據(jù) Bruce Schnerier 在“Secrests and Lies"中的定義,從3個方面來研究蜜罐的安全實現(xiàn)價值?

(1)防護

安全工作者所能做的就是阻止惡意攻擊者,盡可能地防止威脅?蜜罐則在防護中做的貢獻很少,蜜罐不會將那些試圖攻擊的入侵者拒之門外?將入侵者阻擋在外部的安全產(chǎn)品在防護中可以做到最好,比如關(guān)閉不需要的或不安全的服務,而且還可以通過強認證機制來保障只有合法的用戶才能訪問相應的服務?而蜜罐設計的初衷就是妥協(xié),因此它不會將入侵者拒絕在系統(tǒng)之外,事實上,蜜罐希望有人闖入系統(tǒng),從而進行各項記錄和分析工作?

有些人認為誘騙也是一種對攻擊者進行防護的方法,因為誘騙使攻擊者花費大量的時間和資源對蜜罐進行攻擊,這就防止了攻擊者對實際資源進行攻擊?也就是說,攻擊者會被吸引到蜜罐中對它進行攻擊演練,從而一定程度上保證了真正的網(wǎng)絡資源不會受到攻擊?蜜罐的誘騙在一定程度上的確提供了安全防護的效果,但是,如果想要得到更高和好的防護效果,人們會主動去選取那些專門進行防護的安全產(chǎn)品?

(2)檢測

雖然蜜罐的防護功能偏弱,但是它有很強的檢測功能?對于部分組織來說,檢測網(wǎng)絡攻擊是難度系數(shù)很大的一件事?

許多組織面臨的是大量的正常網(wǎng)絡通信與可疑的網(wǎng)絡攻擊行為混雜在一起的網(wǎng)絡,比如千兆比特網(wǎng)絡里的系統(tǒng)日志,想要從大量的網(wǎng)絡行為中檢測出攻擊行為是一件非常困難的事情,甚至檢測出哪些系統(tǒng)已經(jīng)被攻陷也是一件困難的事情?入侵檢測系統(tǒng)(IDS)是專門為檢測攻擊而設計的檢測工具,然而 IDS 中發(fā)生的誤報使系統(tǒng)管理員的工作變得極其繁重?誤報是指 IDS 的探測器認為那些合法的網(wǎng)絡行為具備了入侵攻擊行為特征,就向系統(tǒng)管理員發(fā)出警告并要求進行處理?由于誤報率很高,IDS 系統(tǒng)管理員每天不得花費大量時間來處理不計其數(shù)的報警信息,以至于不能完全處理完報警信息數(shù)據(jù)當真正的網(wǎng)絡攻擊行為到來時,系統(tǒng)管理員已經(jīng)疲于處理過多的“誤報",而放棄了真正的攻擊行為所采取的攻擊行動?

高誤報率往往使IDS失去有效告警的作用,而蜜罐的誤報率則遠遠低于大部分的 IDS 工具?

另一個問題是漏報,發(fā)生在 IDS 沒有檢測出攻擊時?大部分 IDS,無論是基于特征匹配的還是基于協(xié)議分析的,都有可能遺漏新型的或未知的攻擊?目前的 IDS 技術(shù)不能夠有效地對新型攻擊方法進行檢測?同時,攻擊者們一直在開發(fā)和研究?散布著各種各樣的新型的 IDS 逃避策略,也在不斷開發(fā)著各種各樣的不能被 IDS 檢測出來的攻擊,甚至是 IDS 本身的攻擊技術(shù),比如 K2的 ADMMutae?

蜜罐可以解決漏報問題,因為它們很難躲避也很難被新的攻擊方法攻陷?實際上使用蜜罐的首要目標就是在新的攻擊和未知的攻擊發(fā)生的時候?qū)⑺鼈儥z測出來?蜜罐系統(tǒng)管理員無需擔心特征數(shù)據(jù)庫的更新和檢測引擎的修訂,也無需知曉對方使用何種攻擊策略和攻擊工具,因為蜜罐最希望看到的就是攻擊是如何進行的?

蜜罐可以簡化檢測的過程?因為蜜罐沒有任何有效的行為,所以所有與蜜罐相聯(lián)系的網(wǎng)絡行為都可以認定為可疑行為?

從原理上來講,任何連接到蜜罐的連接都應該是偵探?掃描和攻擊的一種?無論何時蜜罐發(fā)起一個連接,都可以認為蜜罐系統(tǒng)向攻擊者妥協(xié),這樣就可以極大地降低誤報率和漏報率,從而簡化了檢測過程?現(xiàn)在有很多蜜罐系統(tǒng)也自己發(fā)起自己的連接,這樣做的目的也是為了迷惑攻擊者?

其實,從某種意義上講,蜜罐系統(tǒng)已經(jīng)成為一個越來越復雜的安全檢測工具?在某些技術(shù)領(lǐng)域里,而也可被稱作為IDS的一個新型演變?

(3)響應

盡管在一般意義上講,蜜罐也可以進行響應如果組織內(nèi)的系統(tǒng)已經(jīng)被入侵,這之后發(fā)生的所有的行為都是與入侵者相關(guān)的“污點證明"數(shù)據(jù)但是,如果內(nèi)部用戶和系統(tǒng)行為也摻雜到這些記錄的數(shù)據(jù)中,系統(tǒng)管理員就無法知道區(qū)別,也就無法處理了?就如同系統(tǒng)管理員登錄到網(wǎng)頁服務器上,發(fā)現(xiàn)所有登錄在網(wǎng)站上的用戶都在使用已經(jīng)被入侵的系統(tǒng),這時候,再想收集入侵者的攻擊行為證據(jù)就是一件很難的事情?

必須解決的問題是那些發(fā)生入侵事故的系統(tǒng)在被入侵之后不能脫機工作?否則,這些系統(tǒng)所提供的所有產(chǎn)品服務都將停止?同時,系統(tǒng)管理員也不能進行合適和全面的鑒定分析?

蜜罐可以解決甚至消除以上兩個問題,它提供了一個具有低數(shù)據(jù)污染的系統(tǒng),并且這個系統(tǒng)可以隨時進行脫機工作?例如,某組織有3臺服務器,這些服務器都被入侵了,系統(tǒng)管理員也可以進入系統(tǒng)并可以清楚特定問題,但他依然有可能不知道錯誤出在何處?系統(tǒng)受到何種程度的破壞?攻擊者是否依然存在于系統(tǒng)內(nèi)部?攻擊者使用了何種攻擊策略和行為?此時,如果將其中一臺設置為蜜罐系統(tǒng),系統(tǒng)管理員則可以將該系統(tǒng)置于脫機狀態(tài)來進行鑒定工作?基于這些分析,系統(tǒng)管理員不僅能知道入侵者是如何進入系統(tǒng)的,而且還可以知道他做了那些壞事?根據(jù)這些經(jīng)驗,系統(tǒng)管理員就可以很好地解決其它2臺服務器的安全問題,并可以在以后的工作中較好的防止進一步地網(wǎng)絡攻擊?