新型蜜罐有哪些?未来方向如何?

专注IP定位
• 阅读 468

前言:技术发展为时代带来变革,同时技术创新性对蜜罐产生推动力。

一、新型蜜罐的诞生

技术发展为时代带来变革,同时技术创新性对蜜罐产生推动力,通过借鉴不同技术思想、方法,与其它技术结合形成优势互补,如引入兵家作战思想的阵列蜜罐,结合生物保护色与警戒色概念的拟态蜜罐,利用人工智能、大数据等工具提高防护能力的蜜罐等,实验证实创新思想结合或技术优势集成后的系统具有较高的防御性能、诱骗能力。 新型蜜罐有哪些?未来方向如何? (1)创新型蜜罐:借鉴兵家战争思想,石乐义等人提出阵列蜜罐防御模型,采用分布式自选举控制策略和UDP发言人同步机制实现协同控制和同步通信,将蜜罐与真实服务伪随机变换,形成动态变化的阵列陷阱,从而降低攻击者攻击有价值资源概率。

受到生物界保护与警戒机制启发,拟态蜜罐方案被提出,包含3种服务类型:服务、蜜罐、伪蜜罐。根据攻击概率选择蜜罐或伪蜜罐部署方案,其中,伪蜜罐用作警戒色吓退攻击者,而蜜罐作为保护色模拟真实服务,从而实现真实服务针对性保护。此外,对拟态蜜罐进行了博弈推理,验证系统有效性。

(2)多重融合蜜罐:在《An interface diversified honeypot for malware analysis》中Laurén等人利用多接口蜜罐进行恶意软件分析,为最底层系统调用提供双接口,即每个系统服务都可通过一般系统调用编号和保密编号被访问,同时,对入口点进行多元化配置。多元化接口功能将可疑攻击行为与正常系统行为分离,避免接口为攻击者所用。Saadi等人在《Cloud computing security using IDS-AM-Clust, honeyd, honeywall and honeycomb》提出一种新架构,使用蜜网、入侵检测技术、防火墙等在云环境下构建多重防护安全系统。

(3)对流量进行访问控制操作,阻止恶意流量进入内部。作为系统核心组件,蜜墙将系统划分为3部分:蜜罐区、以太网区、隔离区。其中,蜜罐区由一系列诱敌深入的Sebek,Honeyd组成,进行数据捕获、控制、分析。Sochor等人通过分析对比时下高交互蜜罐研究方法和开源方案,选取最优化方案并组建可应用工具来创建系统,该系统包含Linux Debian和Web server两种高交互蜜罐。

其中,Linux Debian包含大量无用数据和MySQL数据库等内容,若攻击者扫描系统,将观测到Win-dows,Linux和Cisco路由,这些设备由Honeyd模拟仿真;Web server用以响应80端口请求,使用带有漏洞的Web系统进行监控。Mysql数据库将记录存储攻击者登录、命令执行、脚本运行等活动,并将数据可视化呈现。

二、蜜罐为安全防护领域提供更多选择

面对互联网所诞生的多种新事物,蜜罐的多种功能进一步开发,蜜罐由对外功能由单一诱骗目标逐步进化,形成了更多、更复杂的对外功能,如将蜜罐应用于密码模式探究、网络事件监控、未授权数据访问判断、网等,为安全防护领域提供了更多功能选择。

(1)面向特定需求的功能蜜罐

①Web安全:Buda等人针对Web应用P程序安全性问题,构建Web应用蜜罐,对数据进行存储,并将数据挖掘算法应用于安全日志分析。

②密码模式:Mun等人通过分析社会工程学,创建蜜罐网站,结合网络钓鱼、移花接木等攻击思想构建攻击场景并实现对用户密码的模式分析与破解。

③网络监控:Vasilomanolakis等人l5提出一种蜜罐驱动的网络事件监控器,从分布于不同地理位置(欧洲、亚洲、北美)的蜜罐感应器中获取警报数据,使用HTTPS服务接收数据同时利用公钥基础设施(Public Key Infrastructure,PKI)认证感应器。

④电子数据取证:王传极将蜜罐技术用于电子数据取证,构建蜜网拓扑,以TCPdump,Se-cureCRT和Walleye分别监听网关端口、仿真终端程序及分析远程日志。攻防实验中,攻击方采用X-scan扫描主机漏洞,防御系统记录捕获数据流,分析X-scan扫描类型关联度,针对入侵者的扫描行为提供电子证据。

⑤非法数据访问:Ulusoy等人提出MapRe-duce系统中未授权数据访问检测的蜜罐模型,使用数据控制器根据实际数据生成蜜罐数据,并对真实数据和虚假数据进行同步更新。在MapReduce部件获悉蜜罐数据位置信息的前提下,确保已认证部件访问正确真实数据。蜜罐数据遍布整个系统,当攻击者访问这些数据时,将向数据控制器发送警报。

⑥恶意软件分析:Skrzewski等人对服务器端蜜罐恶意软件监控性能进行了探究,收集恶意软件活动信息需要蜜罐和项目代理,而两者信息都无法完全覆盖,因此需要一种全面性攻击信息视图。通过比对多种蜜罐系统收集信息,得出结论:服务器端蜜罐系统无法作为未知威胁的信息收集源,而客户端蜜罐则可完成此任务。

⑦蜜罐诱骗研究:Sochor等人分析蜜网拓扑模型、SSH仿真感应器攻击、模拟Windows服务攻击与Web服务攻击,研究网络威胁检测中蜜罐与蜜网吸引力,即蜜罐甜度。实验表明安全防御措施对诱惑攻击者起到重要推动作用。

Dahbul等人利用网络服务指纹识别增强蜜罐欺骗能力,构建3种攻击威胁模型来分析指纹识别潜在安全威胁,并在此基础上建立蜜罐系统和真实系统,通过开放和配置必要端口、固定时间戳、配置脚本等手段对蜜罐进行系统性增强。

⑧攻击分析研究:Sochor提出基于Windows仿真蜜罐的攻击分析方案,部署包含6个Dionaea蜜罐的模拟Windows分布式蜜网,进行攻击捕获,统计攻击连接数,分析攻击类型、攻击源地理位置及其所使用操作系统类型。分析结果表明,中度交互蜜罐对自动化攻击方式更具诱惑力,此外,因用户忽视漏洞修补,导致陈旧攻击威胁依然盛行。

(2)针对特定攻击威胁

针对特定攻击威胁,如APT、勒索病毒、蠕虫病毒、僵尸网络、系统入侵、DoS与DDoS攻击等,蜜罐同样可以发挥作用。

① APT攻击:Saud等使用NIDS和KFSensor蜜罐对APT攻击进行主动检测,当蜜罐服务被请求调用运行时,向控制台发送警报信息。

② 带宽攻击:针对带宽攻击,Chamotra等人定义了6种不同蜜罐部署方案,其中,ADSL路由蜜罐用以验证部署方案有效性,该蜜罐是一种低交互蜜罐,在WAN接口上仿真Telnet,SSH,SIP和HTTP服务。

③ 路由攻击:刘胜利等人提出针对Cisco路由攻击的蜜罐CHoney,该蜜罐基于dynamips模拟器实现硬件平台虚拟化并运行实际Cisco IOS提高伪装性,依据所收集攻击信息,进行敏感操作等级判断,并制定相应报警规则。

④ 垃圾邮件:针对垃圾邮件,郭军权等人设计了一种结合开放中继和开放代理服务功能的分布式邮件蜜罐,进行不同地域空间部署,保证数据采集全面性,建立多种攻击信息相关数据库,通过大量攻击样本分析影响蜜罐邮件诱骗因素及攻击者行为模式。

⑤ 无目标大范围攻击:针对无特定目标大范围攻击,贾召鹏等人提出一种集成多个不同内容管理系统(Content Management System, CMS)应用的蜜罐方案,利用协同控制单元选择合适应用蜜罐对攻击做出合理相应,通过记录、监控流量和文件,获知交互信息、文件操作信息及文件快照,进而实现攻击分析。

⑥ 恶意URL及URL重定向:Park等人提出基于虚拟环境的应用客户端蜜罐,由蜜罐代理、Hy perviser、URL爬虫和主服务构成,分析网站恶意代码URL。Akiyama等人针对恶意URL重定向间题开展了研究,探索其演化过程,建立蜜罐监控系统,将系统长期部署于实际网络中追踪URL重定向攻击信息。

⑦ 勒索蠕虫:Moore3将蜜罐技术应用至勒索蠕虫检测,使用两种服务操控Windows安全日志,建立针对攻击的分等级方案对策:第1级,监控文件夹修改事件,并及时向管理员发送邮件告知;第2级,检测到更多活动时,对攻击软件进行信息推测标识,用户据此断开网络账户连接;第3级,出现更高强度活动时,将关停网络;第4级,关闭服务。

⑧ 蠕虫病毒:Agrawal等人受“影子蜜罐”启发提出无线网络下“影子蜜网”概念,即受保护系统实例。使用过滤器依照MAC表检查无线网络接入节点,并利用Ettercap,Wire-shark,Payload sifting 3种工具实现分阶段联合检测异常数据包。首先利用Ettercap检测丢弃未授权接入请求,若攻击者使用ARP欺骗技术,则继续利用Wireshark通过分析数据流速率判断攻击,最后使用Payload sifting识别并标识蠕虫病毒指纹,转向“影子蜜网”的蜜罐,进行充分交互。 新型蜜罐有哪些?未来方向如何? ⑨ 僵尸网络:Al-Hakbani等人A4利用节点列表、IP地址欺骗和虚假TCP 3次握手技术等攻破僵尸网络端身份认证,提高蜜罐主机接入僵尸网络的成功率。Chamotra等人4利用分布式蜜网捕获数据进行僵尸机检测和僵尸网络追踪,输入位于中央服务器的恶意软件库,库中数据用于重建环境并在沙盒内运行。在此期间,记录本地API调用序列并编码处理,编码序列作为僵尸机检测输入数据,使用支持向量机分类器标识。利用二进制句法特征对所检测僵尸机实施聚类处理,聚类后的僵尸机群即为某个僵尸网络,使其运行在沙盒中,记录其属性并追踪溯源。

⑩ 系统入侵:Olagunju等人创建一种蜜网系统用以实时检测入侵行为,该系统包含4个蜜罐主机、1个中心记录主机和1个任务主机。其中,蜜罐系统由路由器、防火墙和Linux服务器组成,Linux提供了SSH服务以引诱攻击者进行攻击;中心记录主机进行源地址、归属地和时间戳相关入侵信息收集;任务主机用以安装、执行重复服务。

⑪ 未知漏洞攻击:Albashir等人提出在早期阶段检测未知漏洞的蜜网系统,为降低风险,系统结合只允许零日攻击进入蜜网的IDPS技术和防火墙技术,利用监控器监视内部全部活动,并使用蜜网全面捕捉记录攻击活动。Kuze等人利用多蜜罐检测漏洞扫描,将37个蜜罐部署在实际运作网络中收集数据,进而实现数据分析评估,创建一种包含源端口号、目的IP、请求状态码等多重因素的特征向量进行分类处理。

Chamotra等人建立蜜罐基线标准来检测0day攻击,其创建过程涉及识别、合法系统活动白名单和蜜罐攻击面建模,密切监控攻击者利用的特定漏洞,结果输出为XML文件并对系统漏洞进行分析评估。

⑫ 拒绝服务攻击: Anirudh等人提出针对物联网设备的拒绝服务攻击蜜罐解决方案,利用IDS入侵检测系统处理客户端请求,并通过日志库比对信息,将异常请求隔离并引导至蜜罐,记录异常源信息。以下是针对拒绝服务攻击有多种不同蜜罐方案。

⑬ 李硕等人设计了一种针对拒绝服务攻击的安全防护方案,通过防火墙、入侵检测和访问控制系统组建传统防护体系,对恶意数据实施阻断,并加入高交互蜜罐系统同时接受外部请求,通过检测蜜罐主机工作负荷判断攻击,防火墙将立即暂停数据包转发,从而保护真实服务器。

⑭ Sardana等人在拒绝服务攻击网络中建立了一种自动响应蜜罐架构,任何到达路由器且去往服务器的网络流量都将被分析标记为合法或攻击标签,可疑流量包将被重定向至蜜罐服务器,全方位隔离。Sembiringl提出用以检测和预防拒绝服务攻击的蜜罐,蜜罐将记录攻击者交互信息,使蜜罐能够实时监测攻击,利用Honeyd-viz图表数据分析攻击模式,从而将攻击源IP隔离。

传统蜜罐应用场景具有局限性,现今蜜罐已扩展至多种领域,但新事物应用意味着未知安全漏洞的存在。如今蜜罐的防护范围应用范围已经转移到新兴领域内,在此给大家综合列举一下,不再一一赘述。 新型蜜罐有哪些?未来方向如何? 三、蜜罐发展趋势

(1)蜜罐与攻击者之间的攻防演化将持续升级,在自身技术方面,提高蜜罐甜度、欺骗能力及改善传统架构仍是发展重点,主要有:

① 人工智能技术与蜜罐相融合:针对入侵者攻击动机,采用人工智能技术,使蜜罐具备智能交互性,提高蜜罐学习、反识别能力,以此获取更多攻击交互数据有利于防御决策。

② 区块链技术与蜜罐相融合:针对分布式蜜罐、分布式蜜网等架构,借鉴区块链分布式、去中心化技术,建立基于P2P架构的私有链或联盟链,使蜜罐自动化运作并保证系统内部数据隐匿性。

③ 遗传演化计算与蜜罐相融合:针对攻防环境的复杂、变换,蜜罐可充分利用演化计算的高鲁棒性、普适性以适应不同环境下不同问题,使蜜罐具备自适应、自组织、自演化等优势。

(2)在蜜罐应用方面,蜜罐与新技术应用相融合、扩展至新兴领域是一种未来趋势:

①各层次云服务(IaaS,PaaS,SaaS)的普及,为安全人员进行蜜罐研究提供了便利,作为云计算的延伸,边缘计算利用了网络边缘设备,具有极低时延优势。将蜜罐与边缘计算结合,对物联网终端蜜罐设备和传感器进行数据收集处理,并将结果传送至云端服务层,提高即时处理速度和降低服务端负荷。

②目前蜜罐研究主要针对传统网络架构,作为一种新型优势网络架构,SDN(软件定义网络)具有可编程、开放接口等特性,而在一些SDN开源项目中,存在拒绝服务攻击、北向接口协议攻击等行为。因此,蜜罐可应用至SDN,从控制器、接口等方面诱骗攻击者,维护网络安全稳定。

③以硬件软件高度结合为特征的“新硬件时代”来临,无人驾驶技术、3D打印等新硬件设备成为攻击新靶标。可将轻量级蜜罐与新硬件设备结合,识别探测可疑攻击,拒绝恶意指令执行。

结语:

以网络安全全局趋势来看,蜜罐符合信息技术时代背景,并且已经扩展至多个领域应用。作为一种主动性防御技术,蜜罐将不断发展更新,也将被安全研究领域更广泛地关注与应用。

点赞
收藏
评论区
推荐文章
微步在线 微步在线
2年前
支持国产化!HFish全面兼容国产CPU
12月初始,HFish又传喜讯!近日,微步在线旗下免费蜜罐HFish经过严格测试,通过了通用软硬件适配认证,获得由统信软件技术有限公司、上海兆芯集成电路有限公司、海光信息技术股份有限公司颁发的联合认证证书。这代表着HFish蜜罐在统信服务器操作系统、海光(5000、7000系列处理器)、兆芯(KH20000、ZXC系列处理器)平台上整体运行稳定,均
支持国产化!HFish全面兼容国产CPU
12月初始,HFish又传喜讯!近日,微步在线旗下免费蜜罐HFish经过严格测试,通过了通用软硬件适配认证,获得由统信软件技术有限公司、上海兆芯集成电路有限公司、海光信息技术股份有限公司颁发的联合认证证书。这代表着HFish蜜罐在统信服务器操作系统、海光(5000、7000系列处理器)、兆芯(KH20000、ZXC系列处理器)平台上整体运行稳定,均
专注IP定位 专注IP定位
2年前
虚拟蜜罐:从信息模拟到实现虚拟蜜罐技术
前言:虚拟蜜罐是由一台计算机模拟的系统,但是可以响应发送给虚拟蜜罐的网络流量,今天我们来浅析一下虚拟蜜罐。蜜罐可以运行任何操作系统和任意数量的服务。蜜罐根据交互程度(LevelofInvolvement)的不同可以分为高交互蜜罐和低交互蜜罐。蜜罐
徐小夕 徐小夕
3年前
2020年国内前端团队都做了些什么?
2020年是国内互联网公司发展最迅速的时代,前有技术公司华为独立开发了操作系统和国内芯片产业,后有疫情时代兴起的在线教育和直播产业,无疑对前端团队带来了巨大的挑战和机遇.笔者将结合一线互联网公司实际做的事情来对2020年技术做一次梳理,希望对大家有所帮助.2020年前端团队的新挑战和方向1.跨平台应用架构的研发和应用跨平台应用开发
专注IP定位 专注IP定位
2年前
浅析蜜罐技术
前言:蜜罐技术的出现改变了这种被动态势,它通过吸引、诱骗攻击者,研究学习攻击者的攻击目的和攻击手段,从而延缓乃至阻止攻击破坏行为的发生,有效保护真实服务资源。自网络诞生以来,攻击威胁事件层出不穷,网络攻防对抗已成为信息时代背景下的无硝烟战争。然而,
Stella981 Stella981
3年前
DOIS 2019 DevOps国际峰会北京站来袭~
DevOps国际峰会是国内唯一的国际性DevOps技术峰会,由OSCAR 联盟指导、DevOps时代社区与高效运维社区联合主办,共邀全球80余名顶级专家畅谈DevOps体系与方法、过程与实践、工具与技术。会议召开时间:2019070508:00至2019070618:00结束会议召开地点:北京主办单位:DevOps
Wesley13 Wesley13
3年前
5分钟get云原生安全重点,听七位安全专家共探云上安全新思路
随着云计算技术的日趋成熟,越来越多的企业意识到云计算应用的重要性。作为云计算领域的一个新兴概念,云原生进入人们的视野当中,被云计算服务商广泛接受,逐渐成为云计算领域中重要的技术发展趋势。云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应对的新型攻击路径和安全问题;如何将安全防护能力与云原生应用相结合,成为了当前热门的研讨课题。
曼成 曼成
10个月前
从无到有:AI绘画API在插画与游戏设计中的应用
随着人工智能技术的快速发展,AI绘画API已经逐渐成为插画和游戏设计领域的新宠。这些API能够将创意与技术完美结合,帮助设计师快速生成高质量的图像,为插画和游戏产业带来了巨大的变革。