蜜罐不只是簡單的計算機操作,需要信息安全專業知識支撐;蜜罐系統囊括了滲透測試、漏洞發現、網絡入侵技術、網絡入侵檢測、惡意代碼分析等各方面的信息安全專業知識;清楚明白蜜罐系統,對網絡安全、網絡攻防有全方位的認識;
1、蜜罐的定義
從字面上解析,看着,是一個裝滿蜜糖的罐子,很甜的感覺。聽着,口腔裏唾液腺的分泌不自覺的加強了。那麼在網絡安全中,蜜罐又是一個什麼樣子的東西呢?其實,道理是相通的。蜜罐裏面裝滿了網絡黑客期待的蜜糖。而這些蜜糖存在的意義就是誘騙黑客攻擊蜜罐,對於黑客來說,蜜罐就是甜的。比較官方的解析:蜜罐是一臺無人使用但卻被嚴密監控的網絡主機,它包含虛假的高價值資源和一些漏洞,以此吸引入侵者攻擊主機。並且在被入侵的過程中,實時記錄和審計攻擊者的攻擊流量、行爲和數據。以此瞭解攻擊者的方式、手段和目的,並且完成對攻擊溯源、取證等進一步的工作。
2、蜜罐的歷史
比較早的時候還沒有蜜罐的定義,那時候有一間公司遭到來自內網的入侵攻擊,而該公司卻不能找出攻擊的源頭。此時,公司的一名員工僞造了一個有漏洞的系統服務,並且在此基礎上添加了網絡監控的功能。部署上線後該系統也遭到來自於內網的入侵攻擊,網絡監控也發揮了功能,捕獲到攻擊來源。其實,該系統就是我們所說的蜜罐系統,但是那時候還沒有得到明確定義。隨着時間推進,蜜罐開始進入公衆視野,功能不斷完善,添加上網絡監控、主機監控等多方面支持。後來蜜罐也向多個方面發展,蜜網系統、工控蜜罐、linux蜜罐等等。
3、蜜罐的使用價值
蜜罐獲得戰爭的制高點是我知道你要做什麼。如果曹操提前得知孔明會草船借箭,他該怎麼做?有人說:一支箭都不給孔明;有人說:箭還是給孔明,但是每支箭都點上火;而蜜罐是網絡戰爭提前獲得消息的利器,那麼網絡戰爭中如果知道敵人的攻擊手段,你會怎麼做?斷網?防火牆?IPS?主動出擊,先發制人。在蜜罐系統上僞裝了各種真實的業務資源,例如郵箱服務,ftp服務、網站服務等等,用來欺騙敵人入侵蜜罐系統,並且在敵人毫不知情的情況下,記錄他們入侵蜜罐系統的全部操作。所以說,蜜罐的價值在於誘騙攻擊。
4、蜜罐的構成
蜜罐系統的構成可以從邏輯模塊以及功能模塊兩個方面來理解。
4.1邏輯模塊
數據控制:數據控制技術是控制攻擊者出入蜜網主機的活動,使其不會以蜜網主機爲跳板攻擊和危害互聯網上其它的主機。
數據捕獲:數據捕獲技術包括網絡流量數據捕獲以及主機上系統行爲的捕獲。網絡流量數據的捕獲結合網絡入侵檢測系統,配置相關敏感信息的檢測規則,觸發入侵檢測規則時立即記錄網絡流量
數據分析:數據分析技術基於數據捕獲技術之上,把收集到的網絡數據、主機行爲數據保存於數據庫當中。分析技術需要信息安全網絡攻防研究基礎、數據庫設計基礎。
4.2功能模塊
主機監控:進程監控、文件監控、註冊表監控、網絡監控等,監控黑客入侵蜜罐系統後的一切操作,瞭解黑客入侵的目的。
入侵檢測:蜜罐系統的入侵檢測模塊可以準確的檢測出黑客入侵蜜罐的攻擊手段,對黑客的入侵過程進行詳細的記錄。
攻擊分析:分析主機監控以及入侵檢測兩個模塊獲得的數據。
5、蜜罐的網絡系統
HoneyProject官網上的蜜罐系統網絡結構包括:透明網關HoneyWall、蜜罐主機HoenyPot。HoneyWall位於衆多HoenyPot的前面,HoenyPot網絡流量都經過HoneyWall。在HoneyWall上面部署透明網橋、網絡入侵檢測、防火牆、主機指紋識別等網絡安全系統,用於控制以及監聽進出HoenyPot的網絡流量。那麼,HoneyWall可以認爲是一個路由器,一個或者多個HoenyPot連接路由器與外界進行通信。而該路由器上面部署了各種各樣的網絡安全系統來控制監聽網絡,最重要的一點是該路由器是透明設備,其他的網絡用戶並不能感知其存在。這樣做就更加的隱蔽了。
6、蜜罐的展望
Honey Farm:蜜場是蜜罐概念的發展。蜜場的思想是將網絡中可疑數據流重定向到蜜場中。在網絡中放置檢測器,當發現可疑數據流時,利用重定向器將其導向蜜場。所有蜜罐集中於蜜場,與外網之間用防火牆隔離。蜜場的優勢在於集中性。
Honey Token:Honey Token概念的提出,使蜜罐不再侷限於硬件設備。Honey Token是一個數字化的實體。它可以是一張信用卡號碼、一個Excel電子表格、一個數據庫的入口,或者是一個僞造的登錄。任何黑客感興趣信息的無價值的贗品均可成爲蜜罐。Honey Token是一種高度靈活和簡單的且帶有多種安全應用軟件的工具。
動態蜜網:動態蜜網,將低交互蜜罐和高交互蜜罐結合起來,需要虛擬蜜網技術的支持,利用被動指紋工具監控網絡。依據獲得的網絡信息對蜜網進行部署和配置。最主要的是其自適應能力,能夠自動學習周圍的網絡環境,配置適當數量的蜜罐,並隨網絡環境的變化做出調整。
Linux系統蜜罐:隨着Linux服務器操作系統的發展,大部分黑客開始嘗試攻擊Linux操作系統。並且,國產化操作系統也是以Linux系列爲主(可信計算平臺),對於Linux蜜罐的研究與實現具有重要的意義。
工控系統蜜罐:震網攻擊事件發生後,工業控制安全越來越得到大家的重視,無論是什麼工業控制系統,都有可能成爲被攻擊的目標,而工業控制系統方面並不存在有效的信息安全設備,那麼,工業蜜罐是有效的選擇。
移動終端蜜罐:移動終端擁有龐大的用戶量,但是APP市場並不安全,加上短信、電話欺騙等,是不是安全APP(360)等沒有系統報警,手機終端就是安全的?
7、存在的問題
蜜罐系統部署後需要大量的人力物力進行維護;法律責任的問題等等