众所周知,互联网业务量的增大与风险类型的日新月异给当前的互联网安全带来巨大的考验。因此无论是对于安全研究人员、安全产品研发人员、安全管理人员或者是安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等,只有在充分了解对手的前提下,才能更有效地维护互联网安全,而蜜罐技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐的定义
入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术,它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。为了吸引攻击者,网络管理员通常还在蜜罐系统上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假的。当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所作所为,包括输入的字符,执行的操作等都已经被蜜罐系统所纪录。
蜜罐就是指受到严密监控的网络入侵诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
目前蜜罐系统针对检测新类型(未知)风险的方式主要有异常特征(signatureofanormaly)与沙箱(sandbox)检测技术两种。异常特征检测技术主要依靠通用异常匹配模式进行检测,常见例子如Snort规则,通过检查数据包头128字节内是否存在14个NOP(空)来决定是否存在缓冲区溢出攻击时常常出现的SHELLCODE获取权限行为,虽然该类型检测方式不针对漏洞本身,且检测效率高,但存在一定的误报率。
沙箱检测技术的原理是通过搭建模拟虚拟主机并分析其文件、进程、注册表与引导区等信息确认是否存在恶意行为。该技术不依赖特征库进行分析,因此误报率低,但分析与处理能力要求高。目前该技术广泛利用在各种主机入侵防御系统(HIPS)中。
蜜罐的价值
蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。所以说蜜罐并非是一种安全的解决方案,这是因为它并不会“修理”任何错误,它只是一种工具,如何使用这个工具取决于用户想做什么,它可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。无论用户如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。蜜罐主要是一种研究工具,但同样有着真正的商业应用,它常常被用来跟踪僵尸网络或是收集恶意代码等。
在当前商业社会,蜜罐系统的主要作用主要体现为“家庭医生”的角色。大多数企业在防范黑客攻击、蠕虫等网络风险时主要依靠网络安全厂商所提供的安全预警通报、入侵检测特征库升级来对近期常见的风险进行预警,而针对特定的攻击行为或变种的病毒则无能为力。从这个观点中,我们可以看出网络安全厂商可比作“国家卫生厅”,可以发布常见的风险,但对于针对某个个体本身可能存在什么风险则无从而知了。为保证企业的资源得到更有效的保护,必须引入专门针对个体的“家庭医生”-蜜罐系统,透过其内部固有的特征检测、沙箱检测模块确认个体本身已经存在的风险,并分析得出“药房”-风险分析结果。最后由企业网络管理员根据分析结果并依靠安全产品作为支撑手段实现动态的安全预警。
蜜罐系统的优点之一就是它们大大减少了所要分析的数据,对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没,而蜜罐进出的数据大部分是攻击流量,因而,浏览数据、查明攻击者的实际行为也就容易多了。
信息安全已经成为网络管理员所面对的最严重问题,管理员必须花费大量的时间来确保网络已经部署了防火墙并为操作系统安装了最新的补丁,同时使用入侵检测系统去记录所有的可疑活动。不幸的是,当前的防火墙和入侵检测系统已经不再有效,因为随着网络的不安全因素的增多,防火墙和入侵检测系统的日志内容也日益庞大,甚至有些系统每天的日志量就达1GB,企业再也没有过多的人力用来每天处理如此大量的日志内容。
防火墙日志和入侵检测系统的报告是毫无价值的,事实上它们确实认真地履行了各自的任务,不过当看到如此大量的信息和报告,而其中大部分都是对系统没有威胁的无目的的扫描时,利用蜜罐也许是一个好方法。
利用蜜罐检测僵尸网络
在过去的几年里,许多Windows的严重漏洞都已经被暴露,利用这些漏洞的各种恶意软件数量在同一时期也已经迅速增加。多数蠕虫都会有若干变种,并且它们中的许多都有bot家族特征。
该方法从僵尸程序(bot)入手研究Botnet的特征,并利用了Botnet的可传播性,通过蜜罐手段获得用于传播扩散的bot程序样本,然后逆向分析这些样本,从而获得这些bot程序中所包含的连接Botnet服务器所需要的属性值,这样就可以深入地跟踪Botnet,获得Botnet的情况。
这种方法的优点是能够有效地捕获比较活跃的Botnet,并且准确率比较高,同时,由于可以获得程序中包含的一些特征值,可以对Botnet进行更深层的研究,但这种方法对于不再传播的Botnet是无法捕获的。
利用蜜罐建立安全事件行为特征库
传统意义上讲,网络安全要做的工作主要是防御,防止自己负责的资源不会受到别人入侵,尽力保护自己的组织、检测防御中的失误,并采取相应的措施,这些安全措施都只能检测到已知类型的攻击和入侵。蜜罐和蜜网的设计目的就是从现存的各种威胁中提取有用的信息,发现新型的攻击工具,确定攻击模式并研究攻击者的攻击动机,从而确定更好的对策。在过去的几年里,安全人员利用各种蜜罐技术已经收集了攻击者及其攻击方法的大量数据,包括已知的和未知的攻击方法和手段,以及发起攻击的源IP等。电信运营商通过对这些有用的信息进行整理,并建立起内部安全事件行为特征库,为处理各种复杂和日益更新的网络安全问题起到极大的帮助作用。
任何事物的存在都有利有弊,蜜罐也毫不例外,蜜罐仅仅可以收集那些针对自身的数据,收集数据的来源过于狭窄。如果蜜罐没有被攻击,就失去了价值,而蜜罐在简单易行地对攻击者进行“诱骗”、记录和分析的同时,也为整个系统引入了可能被入侵的风险。
