论文部分内容阅读
【摘 要】信息安全系統已不再局限于被动防御,而是开始采用主动的手段来增强系统的安全性。本文介绍了蜜罐的概念、发展历史、技术特点和发展趋势。
【关键字】蜜罐 蜜场 Honey Token
一、引言
计算机网络在人们工作和生活中的角色日益重要。它在带给人们方便的同时,也因网络使用者的多样性而变得越来越不安全。传统的信息安全防护仅采取被动的防御措施,使信息系统处于等待黑客攻击的状态。人们不再满足于只是见招拆招、被动防御的状况,希望能够了解黑客的攻击手段、方法、使用工具、攻击技巧等信息,从而采取积极的防御措施来保护信息系统。于是,蜜罐应运而生。
二、蜜罐(Honeypot)
(一)蜜罐的概念
“蜜网项目组”的创始人Lance Spitzner给出了对蜜罐的定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷[1]。蜜罐可以是任何计算机资源。它可以是一台普通计算机、一台路由器、一个邮件服务器或者文件服务器,也可以是工作站或其他网络设备[2]。
(二)蜜罐的发展历史
蜜罐的概念提出于上世纪九十年代初,其发展可划分为三个阶段[3]。
第一阶段,从概念的提出到一九九八年左右。在该阶段,蜜罐还仅是一种思想。此时的蜜罐是一些真实的主机和计算机系统,只为达到追踪黑客的目的。
第二阶段,从一九九八年到二〇〇〇年。这个阶段开发出的蜜罐工具只是模拟真实的系统和服务,因此称为虚拟蜜罐。但是,虚拟蜜罐与黑客之间的交互程度有限,较易被黑客识破身份。
第三阶段,二〇〇〇年以后。使用真实的主机、操作系统和服务程序来充当蜜罐。给黑客的感觉更真实,不易使黑客发觉自己是在冒着被抓的风险做无用功。
(三)蜜罐的分类
1.按照使用目的分类。蜜罐可以分为产品型蜜罐和研究型蜜罐[1]。产品型蜜罐为网络提供安全保护,比如攻击检测、攻击响应、防止攻击破坏等功能,减少受保护系统可能受到的安全威胁。研究型蜜罐是尽可能多的向黑客暴露蜜罐的弱点,以便收集到更多的用于分析研究的黑客信息。
2.按照与黑客之间的交互程度分类。蜜罐可以分为低交互蜜罐和高交互蜜罐[1]。低交互蜜罐与黑客交互程度最低。它为黑客提供模拟的系统和网络服务。在低交互蜜罐中,黑客的活动受到较大限制。低交互蜜罐是最安全的。但是它所能获得的信息也很有限。高交互蜜罐,为黑客提供的是真实的系统和应用程序,使黑客更难于察觉受骗,且可获得更多的黑客信息。
三、蜜罐技术的特点
蜜罐技术最主要的功能,是对其内部的所有操作和行为进行监控和记录。可以将所有与蜜罐的交互行为均看作是黑客的恶意攻击或未授权的访问。因此,蜜罐所捕获的信息都是可疑行为的信息。蜜罐随时记录黑客信息,它可在第一时间捕获黑客的攻击。
入侵检测系统,要对大量的信息进行分析判断,从中选择出可疑信息进行报警。这不仅需要安全员花费大量的时间和精力,而且其漏报率和误报率会很高。相比之下,蜜罐技术具有较低的漏报率和误报率。蜜罐技术不是根据已知的黑客技术去匹配获得的信息。它不仅发现已知的攻击,也能发现未知的攻击。这样,能够在受保护系统受到黑客攻击之前采取相应防护措施来防御其威胁,而不是传统的在系统受到威胁或损害之后采取补救措施。
四、蜜罐技术的发展趋势
(一)蜜场(Honey Farm)[4]
蜜场是蜜罐概念的发展。蜜场的思想是将网络中的可疑数据流重定向到蜜场中。在网络中放置检测器。当发现可疑数据流时,利用重定向器将其导向蜜场。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
(二)动态蜜网
动态蜜网,将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具监控网络[5]。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
(三)Honey Token[6]
Honey Token概念的提出,使蜜罐不再局限于硬件设备。Honey Token是一个数字化的实体。它可以是一张信用卡号码、一个Excel电子表格、一个数据库的入口,或者是一个伪造的登录[5]。任何黑客感兴趣信息的无价值的赝品均可成为蜜罐。Honey Token是一种高度灵活和简单的且带有多种安全应用软件的工具。
五、总结
蜜罐技术改变了以往网络中主机只能被动挨打和事后弥补的状况。利用蜜罐引诱黑客,可以耗费黑客的时间和精力,可能使受保护系统免于黑客攻击,或为我们增强系统安全性争取时间。蜜罐技术对黑客攻击的捕获和分析,能够及时发现黑客的新的攻击手段,使得受保护系统在受到新手段攻击之前就已经采取相应的防护措施成为可能。
参考文献:
[1] L. Spitzner “Honeypot - Definitions and Value of Honeypots”http://www.tracking-hackers.com/papers/honeypots.html.
[2]李宁波 虚拟蜜罐软件honeyd http:// www.honeynet.org.cn/reports/虚拟蜜罐软件honeyd.pdf
[3]诸葛建伟 蜜罐及蜜网技术简介 http:// www.icst.pku.edu.cn/honeynetweb/reports/蜜罐及蜜网技术简介.pdf
[4] L. Spitzner “Dynamic Honeypots” http://www.securityfocus.com/infocus/1731
[5]李之棠 徐晓丹 动态蜜罐技术分析与设计 华中科技大学学报 2005.02 vol 33 No.2
[6]L. Spitzner “Honeytokens: The Other Honeypot” http://www.securityfocus.com/infocus/1713
【关键字】蜜罐 蜜场 Honey Token
一、引言
计算机网络在人们工作和生活中的角色日益重要。它在带给人们方便的同时,也因网络使用者的多样性而变得越来越不安全。传统的信息安全防护仅采取被动的防御措施,使信息系统处于等待黑客攻击的状态。人们不再满足于只是见招拆招、被动防御的状况,希望能够了解黑客的攻击手段、方法、使用工具、攻击技巧等信息,从而采取积极的防御措施来保护信息系统。于是,蜜罐应运而生。
二、蜜罐(Honeypot)
(一)蜜罐的概念
“蜜网项目组”的创始人Lance Spitzner给出了对蜜罐的定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷[1]。蜜罐可以是任何计算机资源。它可以是一台普通计算机、一台路由器、一个邮件服务器或者文件服务器,也可以是工作站或其他网络设备[2]。
(二)蜜罐的发展历史
蜜罐的概念提出于上世纪九十年代初,其发展可划分为三个阶段[3]。
第一阶段,从概念的提出到一九九八年左右。在该阶段,蜜罐还仅是一种思想。此时的蜜罐是一些真实的主机和计算机系统,只为达到追踪黑客的目的。
第二阶段,从一九九八年到二〇〇〇年。这个阶段开发出的蜜罐工具只是模拟真实的系统和服务,因此称为虚拟蜜罐。但是,虚拟蜜罐与黑客之间的交互程度有限,较易被黑客识破身份。
第三阶段,二〇〇〇年以后。使用真实的主机、操作系统和服务程序来充当蜜罐。给黑客的感觉更真实,不易使黑客发觉自己是在冒着被抓的风险做无用功。
(三)蜜罐的分类
1.按照使用目的分类。蜜罐可以分为产品型蜜罐和研究型蜜罐[1]。产品型蜜罐为网络提供安全保护,比如攻击检测、攻击响应、防止攻击破坏等功能,减少受保护系统可能受到的安全威胁。研究型蜜罐是尽可能多的向黑客暴露蜜罐的弱点,以便收集到更多的用于分析研究的黑客信息。
2.按照与黑客之间的交互程度分类。蜜罐可以分为低交互蜜罐和高交互蜜罐[1]。低交互蜜罐与黑客交互程度最低。它为黑客提供模拟的系统和网络服务。在低交互蜜罐中,黑客的活动受到较大限制。低交互蜜罐是最安全的。但是它所能获得的信息也很有限。高交互蜜罐,为黑客提供的是真实的系统和应用程序,使黑客更难于察觉受骗,且可获得更多的黑客信息。
三、蜜罐技术的特点
蜜罐技术最主要的功能,是对其内部的所有操作和行为进行监控和记录。可以将所有与蜜罐的交互行为均看作是黑客的恶意攻击或未授权的访问。因此,蜜罐所捕获的信息都是可疑行为的信息。蜜罐随时记录黑客信息,它可在第一时间捕获黑客的攻击。
入侵检测系统,要对大量的信息进行分析判断,从中选择出可疑信息进行报警。这不仅需要安全员花费大量的时间和精力,而且其漏报率和误报率会很高。相比之下,蜜罐技术具有较低的漏报率和误报率。蜜罐技术不是根据已知的黑客技术去匹配获得的信息。它不仅发现已知的攻击,也能发现未知的攻击。这样,能够在受保护系统受到黑客攻击之前采取相应防护措施来防御其威胁,而不是传统的在系统受到威胁或损害之后采取补救措施。
四、蜜罐技术的发展趋势
(一)蜜场(Honey Farm)[4]
蜜场是蜜罐概念的发展。蜜场的思想是将网络中的可疑数据流重定向到蜜场中。在网络中放置检测器。当发现可疑数据流时,利用重定向器将其导向蜜场。所有蜜罐集中于蜜场,与外网之间用防火墙隔离。蜜场的优势在于集中性。
(二)动态蜜网
动态蜜网,将低交互蜜罐和高交互蜜罐结合起来,需要虚拟蜜网技术的支持,利用被动指纹工具监控网络[5]。依据获得的网络信息对蜜网进行部署和配置。最主要的是其自适应能力,能够自动学习周围的网络环境,配置适当数量的蜜罐,并随网络环境的变化做出调整。
(三)Honey Token[6]
Honey Token概念的提出,使蜜罐不再局限于硬件设备。Honey Token是一个数字化的实体。它可以是一张信用卡号码、一个Excel电子表格、一个数据库的入口,或者是一个伪造的登录[5]。任何黑客感兴趣信息的无价值的赝品均可成为蜜罐。Honey Token是一种高度灵活和简单的且带有多种安全应用软件的工具。
五、总结
蜜罐技术改变了以往网络中主机只能被动挨打和事后弥补的状况。利用蜜罐引诱黑客,可以耗费黑客的时间和精力,可能使受保护系统免于黑客攻击,或为我们增强系统安全性争取时间。蜜罐技术对黑客攻击的捕获和分析,能够及时发现黑客的新的攻击手段,使得受保护系统在受到新手段攻击之前就已经采取相应的防护措施成为可能。
参考文献:
[1] L. Spitzner “Honeypot - Definitions and Value of Honeypots”http://www.tracking-hackers.com/papers/honeypots.html.
[2]李宁波 虚拟蜜罐软件honeyd http:// www.honeynet.org.cn/reports/虚拟蜜罐软件honeyd.pdf
[3]诸葛建伟 蜜罐及蜜网技术简介 http:// www.icst.pku.edu.cn/honeynetweb/reports/蜜罐及蜜网技术简介.pdf
[4] L. Spitzner “Dynamic Honeypots” http://www.securityfocus.com/infocus/1731
[5]李之棠 徐晓丹 动态蜜罐技术分析与设计 华中科技大学学报 2005.02 vol 33 No.2
[6]L. Spitzner “Honeytokens: The Other Honeypot” http://www.securityfocus.com/infocus/1713