新型蜜罐有哪些?未来方向如何?
前言:技术发展为时代带来变革,同时技术创新性对蜜罐产生推动力。
一、新型蜜罐的诞生
技术发展为时代带来变革,同时技术创新性对蜜罐产生推动力,通过借鉴不同技术思想、方法,与其它技术结合形成优势互补,如引入兵家作战思想的阵列蜜罐,结合生物保护色与警戒色概念的拟态蜜罐,利用人工智能、大数据等工具提高防护能力的蜜罐等,实验证实创新思想结合或技术优势集成后的系统具有较高的防御性能、诱骗能力。
(1)创新型蜜罐:借鉴兵家战争思想,石乐义等人提出阵列蜜罐防御模型,采用分布式自选举控制策略和 UDP 发言人同步机制实现协同控制和同步通信,将蜜罐与真实服务伪随机变换,形成动态变化的阵列陷阱,从而降低攻击者攻击有价值资源概率。
受到生物界保护与警戒机制启发,拟态蜜罐方案被提出,包含 3 种服务类型:服务、蜜罐、伪蜜罐。根据攻击概率选择蜜罐或伪蜜罐部署方案,其中,伪蜜罐用作警戒色吓退攻击者,而蜜罐作为保护色模拟真实服务,从而实现真实服务针对性保护。此外,对拟态蜜罐进行了博弈推理,验证系统有效性。
(2)多重融合蜜罐:在《An interface diversified honeypot for malware analysis》中 Laurén 等人利用多接口蜜罐进行恶意软件分析,为最底层系统调用提供双接口,即每个系统服务都可通过一般系统调用编号和保密编号被访问,同时,对入口点进行多元化配置。多元化接口功能将可疑攻击行为与正常系统行为分离,避免接口为攻击者所用。Saadi 等人在《Cloud computing security using IDS-AM-Clust, honeyd, honeywall and honeycomb》提出一种新架构,使用蜜网、入侵检测技术、防火墙等在云环境下构建多重防护安全系统。
(3)对流量进行访问控制操作,阻止恶意流量进入内部。作为系统核心组件,蜜墙将系统划分为 3 部分:蜜罐区、以太网区、隔离区。其中,蜜罐区由一系列诱敌深入的 Sebek,Honeyd 组成,进行数据捕获、控制、分析。Sochor 等人通过分析对比时下高交互蜜罐研究方法和开源方案,选取最优化方案并组建可应用工具来创建系统,该系统包含 Linux Debian 和 Web server 两种高交互蜜罐。
其中,Linux Debian 包含大量无用数据和 MySQL 数据库等内容,若攻击者扫描系统,将观测到 Win-dows,Linux 和 Cisco 路由,这些设备由 Honeyd 模拟仿真;Web server 用以响应 80 端口请求,使用带有漏洞的 Web 系统进行监控。Mysql 数据库将记录存储攻击者登录、命令执行、脚本运行等活动,并将数据可视化呈现。
二、蜜罐为安全防护领域提供更多选择
面对互联网所诞生的多种新事物,蜜罐的多种功能进一步开发,蜜罐由对外功能由单一诱骗目标逐步进化,形成了更多、更复杂的对外功能,如将蜜罐应用于密码模式探究、网络事件监控、未授权数据访问判断、网等,为安全防护领域提供了更多功能选择。
(1)面向特定需求的功能蜜罐
①Web 安全:Buda 等人针对 Web 应用 P 程序安全性问题,构建 Web 应用蜜罐,对数据进行存储,并将数据挖掘算法应用于安全日志分析。
②密码模式:Mun 等人通过分析社会工程学,创建蜜罐网站,结合网络钓鱼、移花接木等攻击思想构建攻击场景并实现对用户密码的模式分析与破解。
③网络监控:Vasilomanolakis 等人 l5 提出一种蜜罐驱动的网络事件监控器,从分布于不同地理位置(欧洲、亚洲、北美)的蜜罐感应器中获取警报数据,使用 HTTPS 服务接收数据同时利用公钥基础设施(Public Key Infrastructure,PKI)认证感应器。
④电子数据取证:王传极将蜜罐技术用于电子数据取证,构建蜜网拓扑,以 TCPdump,Se-cureCRT 和 Walleye 分别监听网关端口、仿真终端程序及分析远程日志。攻防实验中,攻击方采用 X-scan 扫描主机漏洞,防御系统记录捕获数据流,分析 X-scan 扫描类型关联度,针对入侵者的扫描行为提供电子证据。
⑤非法数据访问:Ulusoy 等人提出 MapRe-duce 系统中未授权数据访问检测的蜜罐模型,使用数据控制器根据实际数据生成蜜罐数据,并对真实数据和虚假数据进行同步更新。在 MapReduce 部件获悉蜜罐数据位置信息的前提下,确保已认证部件访问正确真实数据。蜜罐数据遍布整个系统,当攻击者访问这些数据时,将向数据控制器发送警报。
⑥恶意软件分析:Skrzewski 等人对服务器端蜜罐恶意软件监控性能进行了探究,收集恶意软件活动信息需要蜜罐和项目代理,而两者信息都无法完全覆盖,因此需要一种全面性攻击信息视图。通过比对多种蜜罐系统收集信息,得出结论:服务器端蜜罐系统无法作为未知威胁的信息收集源,而客户端蜜罐则可完成此任务。
⑦蜜罐诱骗研究:Sochor 等人分析蜜网拓扑模型、SSH 仿真感应器攻击、模拟 Windows 服务攻击与 Web 服务攻击,研究网络威胁检测中蜜罐与蜜网吸引力,即蜜罐甜度。实验表明安全防御措施对诱惑攻击者起到重要推动作用。
Dahbul 等人利用网络服务指纹识别增强蜜罐欺骗能力,构建 3 种攻击威胁模型来分析指纹识别潜在安全威胁,并在此基础上建立蜜罐系统和真实系统,通过开放和配置必要端口、固定时间戳、配置脚本等手段对蜜罐进行系统性增强。
⑧攻击分析研究:Sochor 提出基于 Windows 仿真蜜罐的攻击分析方案,部署包含 6 个 Dionaea 蜜罐的模拟 Windows 分布式蜜网,进行攻击捕获,统计攻击连接数,分析攻击类型、攻击源地理位置及其所使用操作系统类型。分析结果表明,中度交互蜜罐对自动化攻击方式更具诱惑力,此外,因用户忽视漏洞修补,导致陈旧攻击威胁依然盛行。
(2)针对特定攻击威胁
针对特定攻击威胁,如 APT、勒索病毒、蠕虫病毒、僵尸网络、系统入侵、DoS 与 DDoS 攻击等,蜜罐同样可以发挥作用。
① APT 攻击:Saud 等使用 NIDS 和 KFSensor 蜜罐对 APT 攻击进行主动检测,当蜜罐服务被请求调用运行时,向控制台发送警报信息。
② 带宽攻击:针对带宽攻击,Chamotra 等人定义了 6 种不同蜜罐部署方案,其中,ADSL 路由蜜罐用以验证部署方案有效性,该蜜罐是一种低交互蜜罐,在 WAN 接口上仿真 Telnet,SSH,SIP 和 HTTP 服务。
③ 路由攻击:刘胜利等人提出针对 Cisco 路由攻击的蜜罐 CHoney,该蜜罐基于 dynamips 模拟器实现硬件平台虚拟化并运行实际 Cisco IOS 提高伪装性,依据所收集攻击信息,进行敏感操作等级判断,并制定相应报警规则。
④ 垃圾邮件:针对垃圾邮件,郭军权等人设计了一种结合开放中继和开放代理服务功能的分布式邮件蜜罐,进行不同地域空间部署,保证数据采集全面性,建立多种攻击信息相关数据库,通过大量攻击样本分析影响蜜罐邮件诱骗因素及攻击者行为模式。
⑤ 无目标大范围攻击:针对无特定目标大范围攻击,贾召鹏等人提出一种集成多个不同内容管理系统(Content Management System, CMS)应用的蜜罐方案,利用协同控制单元选择合适应用蜜罐对攻击做出合理相应,通过记录、监控流量和文件,获知交互信息、文件操作信息及文件快照,进而实现攻击分析。
⑥ 恶意 URL 及 URL 重定向:Park 等人提出基于虚拟环境的应用客户端蜜罐,由蜜罐代理、Hy perviser、URL 爬虫和主服务构成,分析网站恶意代码 URL。Akiyama 等人针对恶意 URL 重定向间题开展了研究,探索其演化过程,建立蜜罐监控系统,将系统长期部署于实际网络中追踪 URL 重定向攻击信息。
⑦ 勒索蠕虫:Moore3 将蜜罐技术应用至勒索蠕虫检测,使用两种服务操控 Windows 安全日志,建立针对攻击的分等级方案对策:第 1 级,监控文件夹修改事件,并及时向管理员发送邮件告知;第 2 级,检测到更多活动时,对攻击软件进行信息推测标识,用户据此断开网络账户连接;第 3 级,出现更高强度活动时,将关停网络;第 4 级,关闭服务。
⑧ 蠕虫病毒:Agrawal 等人受“影子蜜罐”启发提出无线网络下“影子蜜网”概念,即受保护系统实例。使用过滤器依照 MAC 表检查无线网络接入节点,并利用 Ettercap,Wire-shark,Payload sifting 3 种工具实现分阶段联合检测异常数据包。首先利用 Ettercap 检测丢弃未授权接入请求,若攻击者使用 ARP 欺骗技术,则继续利用 Wireshark 通过分析数据流速率判断攻击,最后使用 Payload sifting 识别并标识蠕虫病毒指纹,转向“影子蜜网”的蜜罐,进行充分交互。
⑨ 僵尸网络:Al-Hakbani 等人 A4 利用节点列表、IP地址欺骗和虚假 TCP 3 次握手技术等攻破僵尸网络端身份认证,提高蜜罐主机接入僵尸网络的成功率。Chamotra 等人 4 利用分布式蜜网捕获数据进行僵尸机检测和僵尸网络追踪,输入位于中央服务器的恶意软件库,库中数据用于重建环境并在沙盒内运行。在此期间,记录本地 API 调用序列并编码处理,编码序列作为僵尸机检测输入数据,使用支持向量机分类器标识。利用二进制句法特征对所检测僵尸机实施聚类处理,聚类后的僵尸机群即为某个僵尸网络,使其运行在沙盒中,记录其属性并追踪溯源。
⑩ 系统入侵:Olagunju 等人创建一种蜜网系统用以实时检测入侵行为,该系统包含 4 个蜜罐主机、1 个中心记录主机和 1 个任务主机。其中,蜜罐系统由路由器、防火墙和 Linux 服务器组成,Linux 提供了 SSH 服务以引诱攻击者进行攻击;中心记录主机进行源地址、归属地和时间戳相关入侵信息收集;任务主机用以安装、执行重复性服务。
⑪ 未知漏洞攻击:Albashir 等人提出在早期阶段检测未知漏洞的蜜网系统,为降低风险,系统结合只允许零日攻击进入蜜网的 IDPS 技术和防火墙技术,利用监控器监视内部全部活动,并使用蜜网全面捕捉记录攻击活动。Kuze 等人利用多蜜罐检测漏洞扫描,将 37 个蜜罐部署在实际运作网络中收集数据,进而实现数据分析评估,创建一种包含源端口号、目的 IP、请求状态码等多重因素的特征向量进行分类处理。
Chamotra 等人建立蜜罐基线标准来检测 0day 攻击,其创建过程涉及识别、合法系统活动白名单和蜜罐攻击面建模,密切监控攻击者利用的特定漏洞,结果输出为 XML 文件并对系统漏洞进行分析评估。
⑫ 拒绝服务攻击: Anirudh 等人提出针对物联网设备的拒绝服务攻击蜜罐解决方案,利用 IDS 入侵检测系统处理客户端请求,并通过日志库比对信息,将异常请求隔离并引导至蜜罐,记录异常源信息。以下是针对拒绝服务攻击有多种不同蜜罐方案。
⑬ 李硕等人设计了一种针对拒绝服务攻击的安全防护方案,通过防火墙、入侵检测和访问控制系统组建传统防护体系,对恶意数据实施阻断,并加入高交互蜜罐系统同时接受外部请求,通过检测蜜罐主机工作负荷判断攻击,防火墙将立即暂停数据包转发,从而保护真实服务器。
⑭ Sardana 等人在拒绝服务攻击网络中建立了一种自动响应蜜罐架构,任何到达路由器且去往服务器的网络流量都将被分析标记为合法或攻击标签,可疑流量包将被重定向至蜜罐服务器,全方位隔离。Sembiringl 提出用以检测和预防拒绝服务攻击的蜜罐,蜜罐将记录攻击者交互信息,使蜜罐能够实时监测攻击,利用 Honeyd-viz 图表数据分析攻击模式,从而将攻击源 IP 隔离。
传统蜜罐应用场景具有局限性,现今蜜罐已扩展至多种领域,但新事物应用意味着未知安全漏洞的存在。如今蜜罐的防护范围应用范围已经转移到新兴领域内,在此给大家综合列举一下,不再一一赘述。
三、蜜罐发展趋势
(1)蜜罐与攻击者之间的攻防演化将持续升级,在自身技术方面,提高蜜罐甜度、欺骗能力及改善传统架构仍是发展重点,主要有:
① 人工智能技术与蜜罐相融合:针对入侵者攻击动机,采用人工智能技术,使蜜罐具备智能交互性,提高蜜罐学习、反识别能力,以此获取更多攻击交互数据有利于防御决策。
② 区块链技术与蜜罐相融合:针对分布式蜜罐、分布式蜜网等架构,借鉴区块链分布式、去中心化技术,建立基于 P2P 架构的私有链或联盟链,使蜜罐自动化运作并保证系统内部数据隐匿性。
③ 遗传演化计算与蜜罐相融合:针对攻防环境的复杂、变换,蜜罐可充分利用演化计算的高鲁棒性、普适性以适应不同环境下不同问题,使蜜罐具备自适应、自组织、自演化等优势。
(2)在蜜罐应用方面,蜜罐与新技术应用相融合、扩展至新兴领域是一种未来趋势:
①各层次云服务(IaaS,PaaS,SaaS)的普及,为安全人员进行蜜罐研究提供了便利,作为云计算的延伸,边缘计算利用了网络边缘设备,具有极低时延优势。将蜜罐与边缘计算结合,对物联网终端蜜罐设备和传感器进行数据收集处理,并将结果传送至云端服务层,提高即时处理速度和降低服务端负荷。
②目前蜜罐研究主要针对传统网络架构,作为一种新型优势网络架构,SDN(软件定义网络)具有可编程、开放接口等特性,而在一些 SDN 开源项目中,存在拒绝服务攻击、北向接口协议攻击等行为。因此,蜜罐可应用至 SDN,从控制器、接口等方面诱骗攻击者,维护网络安全稳定。
③以硬件软件高度结合为特征的“新硬件时代”来临,无人驾驶技术、3D 打印等新硬件设备成为攻击新靶标。可将轻量级蜜罐与新硬件设备结合,识别探测可疑攻击,拒绝恶意指令执行。
结语:
以网络安全全局趋势来看,蜜罐符合信息技术时代背景,并且已经扩展至多个领域应用。作为一种主动性防御技术,蜜罐将不断发展更新,也将被安全研究领域更广泛地关注与应用。
评论