基本概念
蜜網是在蜜罐技術上逐漸發展起來的一個新的概念,又可成為誘捕網路。蜜罐技術實質上還是一類研究型的高互動蜜罐技術。其主要目的是收集黑客的攻擊信息。但與傳統的蜜罐技術的差異在於,蜜網構成了一個黑客誘捕網路體系架構,在這個架構中,可以包含一個或多個蜜罐,同時保證網路的高度可控性,以及提供多種工具以方便對攻擊信息的採集和分析。一般的網路拓撲結構如圖所示:
蜜網技術分類
(1)根據互動級別的不同
根據蜜網與攻擊者之間進行的互動對蜜網進行分類,可以將蜜網分為低互動蜜網、中互動蜜網和高互動蜜網。低互動蜜網僅提供一些簡單的虛擬服務,例如監聽某些特定連線埠。該類蜜網風險最低,但或多或少存在著一些容易被黑客所識別的指紋(Fingerprinting)信息。中互動蜜網提供了更多的可互動信息,它能夠預期一些活動,並可以給出一些低互動蜜網無法給予的回響,但是仍然沒有為攻擊者提供一個可使用的作業系統。同時誘騙進程變得更加複雜,對特定服務的模擬變得更加完善的同時,風險性也更大了。高互動蜜網為攻擊者提供一個真實的支撐作業系統。此類蜜網複雜度和甜度大大增加,收集攻擊者信息的能力也大大增強。但蜜網也具有高度危險,攻擊者最終目標就是取得root許可權,自由存取目標機上的數據,然後利用已有資源繼續攻擊其它機器。究竟使用何等互動級別的蜜網取決於所要實現的目標。
(2)根據部署目的的不同
按照部署目的不同分為產品型蜜網和研究型蜜網兩類。產品型蜜網為一個組織的網路提供安全保護,包括檢測攻擊、防止攻擊造成破壞及幫助管理員對攻擊做出及時正確的回響等功能。較具代表性的產品型蜜網包括DTK, honeyd等開源工具和KFSensor,ManTraq等一系列的商業產品。研究型蜜網則是專門用於對黑客攻擊的捕獲和分析,通過部署研究型蜜網,對黑客攻擊進行追蹤和分析,能夠捕獲黑客的擊鍵記錄,了解黑客所使用的攻擊工具及攻擊方法。
虛擬蜜網
虛擬蜜網是通過套用虛擬作業系統軟體(如VMWare和UserModeLinux等)使得我們可以在單一的主機上實現整個蜜網的體系架構。虛擬蜜網的引入使得架設蜜網的代價大幅降低,也容易部署和管理,但同時也帶來更大的風險,黑客有可能識別出虛擬作業系統軟體的指紋,也可能攻破虛擬作業系統軟體從而獲得整個蜜網的控制權。
核心需求
蜜網有三大核心需求:數據控制,數據捕獲和數據分析。通過數據控制能夠確保黑客不能利用蜜網危害第三方網路的安全,以減輕蜜網架設的風險;數據捕獲技術能夠檢測並審計黑客攻擊的所有行為數據;而數據分析技術則安全研究人員從捕獲的數據中分析出黑客的攻擊行動,使用工具及其意圖。
套用
(1)抗蠕蟲病毒
蠕蟲的一般傳播過程為掃描、感染、複製三個步驟。經過大量掃描,當探測到存在漏洞的主機時,蠕蟲主體就會遷移到目標主機。然後在被感染的主機上生成多個副本,實現對計算機監控和破壞。利用蜜網技術,可以在蠕蟲感染的階段檢測非法入侵行為,對於已知蠕蟲病毒,可以通過設定防火牆和IDS 規則,直接重定向到蜜網的蜜罐中,拖延蠕蟲的攻擊時間;對於全新的蠕蟲病毒,可以採取辦法延緩其掃描速度,在網路層用特定的、偽造數據包來延遲應答,同時利用軟體工具對日誌進行分析,以便確定相應的對抗措施。
(2)捕獲網路釣魚
網路釣魚是通過大量傳送聲稱來自於銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息的一種攻擊方式。目前的反網路釣魚工作組等機構寄希望於發覺網路釣魚攻擊的用戶向他們報告,通過報告再進行分析。這種途徑只能在網路釣魚攻擊發生後從受害者的角度去觀察,並不能清晰地了解網路釣魚攻擊的全過程。而蜜網技術則提供了捕獲整個過程中攻擊者發起攻擊行為的能力,在蜜網中的蜜罐都是初始安裝的沒有打漏洞補丁的系統,一旦部署的蜜網被網路釣魚者以進行網路釣魚攻擊,安全分析人員就能及時在蜜網捕獲的豐富日誌數據的基礎上,對網路釣魚攻擊的整個生命周期建立起一個完整的理解,並深入剖析各個步驟釣魚者所使用的技術手段和工具。
(3)捕獲殭屍網路
殭屍網路是近年來興起的危害Internet的重大威脅之一,它的危害體現在發動分散式拒絕服務攻擊、傳送垃圾郵件以及竊取殭屍主機內的敏感信息等。因此,我們可以考慮利用在網路中部署惡意軟體收集器,對收集到的惡意軟體樣本採用蜜網技術對其進行分析,確認是否殭屍程式,並對殭屍程式所要連線的殭屍網路控制信道的信息進行提取,最後通過客戶端蜜罐技術,偽裝成被控制的殭屍工具,進入殭屍網路進行觀察和跟蹤。
發展趨勢
(1)提高蜜網的可移植性
目前的作業系統各種各樣,大部分蜜網只能夠在特定的作業系統下工作。因此,能夠跨平台工作的蜜網成為安全工作者關注的焦點。如果蜜網可以在任何作業系統下生效,蜜網的適用範圍變得更寬使用者的範圍就會不斷增加。
(2)提高蜜網的互動性
在儘量降低風險的情況下,提高蜜網與入侵者之間的互動程度。蜜網如果僅僅支持簡單的互動行為,就可能被入侵者很快發現並迅速全身而退。所以蜜網技術不斷進步的過程中,必須儘量提高與入侵者之間的互動程度,以便更好地了解入侵者行為並得出結論。
(3)提高蜜網的信息控制和記錄功能
當前的蜜網技術在記錄攻擊者攻陷一台機器之後的情況方面還做得很不夠。因為大規模分散式的攻擊成為一種攻擊“時尚”,了解攻擊者在攻陷一台機器之後的所作所為,成為安全工作必不可少的一部分,也是蜜罐的重要工作。
(4)降低蜜網的風險
如何降低蜜網引入的風險,一直都是蜜網使用者們關注的問題之一,想要獲得更多的有價值的信息和數據,又要系統保持足夠的安全,這的確很難。互動的程度越高,模擬得越像,自己陷入危險的機率就越大。
