欢迎来到天天文库
浏览记录
ID:25268560
大小:55.00 KB
页数:6页
时间:2018-11-19
《蜜罐信息采集技术分析论文》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、蜜罐信息采集技术分析论文摘要蜜罐是一种主动防御的网络安全技术,可以吸引黑客的攻击,监视和跟踪入侵者的行为并且记录下来进行分析,从而研究入侵者所使用的攻击工具、策略和方法。该文介绍蜜罐技术的基本概念,分析了蜜罐的安全价值,详细研究了蜜罐的信息收集技术,同时也讨论了蜜罐系统面临的安全威胁与防御对策。关键字蜜罐,交互性.freelent)指攻击者与蜜罐相互作用的程度。⑴低交互蜜罐只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作
2、系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。⑵中交互蜜罐也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。⑶高交互蜜罐由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的
3、网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。2.3蜜罐的拓扑位置蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。⑴防火墙之前:如见图1中蜜罐(1),.freelp兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数
4、据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。⑵入侵检测系统网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用HIDS记录进出蜜罐的所有数据包,也可以配置NIDS只去捕获我们感兴趣的数据流。在基于主机的信息收集中,高明
5、的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时NIDS充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。当然,不论是基于误用还是基于异常的NIDS都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的NIDS就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整IDS配置。始终实时观察蜜罐费用很
6、高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。4.3主动的信息收集信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如Whois,Portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。5蜜罐的安全性分析5.1蜜罐的安全威胁必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:⑴未发现黑客对蜜罐的接管蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。⑵对蜜罐失去控制对蜜罐失去
7、控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。⑶对第三方的损害指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、DDOS攻
8、击等。5.2降低蜜罐的风险首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。其次,要保证攻击蜜罐所触发的警告应当能够立即发
此文档下载收益归作者所有