【《蜜罐技术概述》3200字】

XXXV蜜罐技术概述目录TOC\o"1-3"\h\u30654蜜罐技术概述 171601.1 蜜罐的基本知识概述 1110341.1.1 蜜罐技术的定义 136341.1.2 蜜罐技术的作用 2265261.2 蜜罐系统的分类 2303881.2.1 按照交互程度进行分类 3197321.2.2 按照使用目的进行分类 3322501.3 工业控制蜜罐系统概述 5210911.4 工业控制蜜罐系统与传统蜜罐系统的区别 5220881.5 蜜罐技术在保护工控领域安全中的价值 61.1 蜜罐的基本知识概述1.1.1 蜜罐技术的定义在1999年，来自HoneynetProject项目组的安全员LanceSpitzne为蜜罐提出了的定义，现在常常被理解为：蜜罐是一种安全资源，它的价值体现在被探测、攻击和攻陷[22]。这也从说明，蜜罐技术的意义不在于直接的防御攻击，而是引诱攻击者、记录流入/流出的流量，并以此为依据，对攻击者的扫描、攻击与攻陷进行记录，进而对入侵行为有更加详细的认识[23]。图3-1 蜜罐技术框架图图3-1对与理解蜜罐系统的技术框架有很好的帮助。从图中我们可以看到，蜜罐技术并不会修复真实设备中的漏洞，而是会对这些漏洞进行模拟，从而把攻击者的目光从真正的资产上转移，远离真实的有价值的设备[24]。它作为一种安全资源，也可以表现为任意一种计算机资源，目的便是监控攻击者可能的行为，因此它通常是孤立于实际的系统，而其的组成也是数据、应用程序于计算机。由于蜜罐的独特性，它并不能算作是一种安全解决措施，它的价值仅仅在被攻击时才得以体现—作为主动发现网络威胁的工具，提供由威胁的情报数据。此外，蜜罐技术的核心技术可以拆分为三部分[25]：（1）数据获取技术：使入侵者认为自己所攻击的为真正的目标系统，并且在不引起入侵者注意的情况下，对所有在蜜罐系统内的活动进行记录[26]。（2）数据控制技术：严格的控制入侵者的所有操作，近一步的保障真实系统的安全。它可允许所有进入访问的请求，却可以严格限制发出的访问请求[27]。（3）数据的处理分析技术：可以对所有捕获的数据进行处理分析，利用人工筛选或者是统计学方法，对流经蜜罐系统的数据进行分析，区别正常的数据与带有攻击特征的数据，从而对入侵者的行为进行画像，判断这些行为中的攻击特征[28]，以便更好的保护真实的网络不遭受同样的入侵。1.1.2 蜜罐技术的作用蜜罐技术作为一种可以检测未知攻击的技术，可以弥补攻击方与防御方之间信息的不对称，有利于安全人员对针对于特定漏洞的攻击进行分析。它的主要作用可以概括为攻击检测、攻击响应和攻击预防[29]。在攻击的检测方面，蜜罐系统不需要对整个网络流量进行检测，只是通过简单的算法，在软件层面对攻击行为进行记录，可以大大降低成本和漏报率、误报率。在攻击响应方面，蜜罐系统中的数据控制技术可以在检测到攻击行为后，再对自身进行相应的调整，从而更好的蒙蔽攻击者。在与入侵检测设备、防火墙等传统安全手段相结合后，可以在攻击发生后，再调整相关配置，使对真实系统的保护得到加强。在攻击预防方面，蜜罐系统能耗费攻击者的大量时间与精力，增加了攻击者对真实系统产生影响的难度。此外，蜜罐系统所记录的数据往往都是真实的攻击数据，其价值也远大于传统网络安全工具所获取的数据。1.2 蜜罐系统的分类现如今的蜜罐系统早已不仅仅是一种防御的思想，在实际系统中也有了更多的实际运用。随着研究的不断深入，蜜罐系统大体上已经可以按使用目的和交互程度分为两类，如图3-2所示。图3-2 蜜罐系统的两种分类方式1.2.1 按照交互程度进行分类根据与入侵者产生的不同的交互程度，蜜罐系统可以被分为低、中、高三种类型的交互蜜罐[24]。低交互蜜罐只对真实系统中的某些功能或服务行为进行模拟，只通端口对入侵行为做出简单的响应。但由于低交互蜜罐较低的交互水平，很难对入侵者进行有效的欺骗。中交互蜜罐用程序和脚本便能对服务进行一定程度上的仿真，使入侵者的交互感更强。此外，得益于中交互蜜罐可以对不同的端口发起监听，使入侵者有深层次的交互，更加容易欺骗入侵者，得到更多有关攻击行为的数据。高交互蜜罐通过构建真实的操作系统，能更好的欺骗入侵者。此外，入侵者可以在高交互蜜罐中使用各种漏洞脚本，使的安全人员能记录更多有关攻击的行为与数据，对系统中的漏洞有更清晰的把握。但也是因为高交互蜜罐使用了与真实系统相同的操作系统，一旦被入侵者发现，便可以轻易通过高交互蜜罐，对真实系统产生威胁。此外，伴随着交互程度的不断提高，蜜罐系统的安装与配置也会变得更加复杂，维护的成本也会变得更大，重新设计或者对原有功能进行扩展的难度也会更高，对真实系统的安全风险也不断变高。1.2.2 按照使用目的进行分类根据对蜜罐系统不同的使用目的，可以大体分为产品型蜜罐与研究型蜜罐两类。产品型蜜罐出与对保护组织网络、识别入侵者行为与阻止对真实系统产生影响的目标，会部署在产品系统的内部[30]。这样，蜜罐便能更好的检测攻击行为、防止入侵者造成过多的破坏。通过与防火墙组成防护网络，产品型蜜罐能更好的降低风险，帮助安全人员对攻击做出更快的应对。图3-3 产品型蜜罐的结构研究型蜜罐往往位于内部网络的出口处，以便与更好的对流入或流出的数据监控[30]，收集更多的攻击行为和入侵信息。虽然研究型蜜罐可以获得更多的信息，但它的部署难度和维护成本都高于产品型蜜罐。研究型蜜罐可以理解为一种特殊的预警机制，可以帮助安全人员了解更多的攻击模式和更全面的安全态势，例如对补丁、漏洞、病毒库的更新。图3-4 研究型蜜罐的结构1.3 工业控制蜜罐系统概述伴随着多种扫描工具与空间搜索引擎的出现，攻击者或缺系统信息或者是设备信息所需要耗费的时间已经大大减少，这对于难以用传统防护措施进行保护的工业控制系统来说，是一个更大的挑战。由于工业控制设备在运行时，不能出现延迟现象，导致其非常容易受到DDos攻击的影响。因此，为工业控制系统制定定制化、多样化的防护方法必不可少。而蜜罐技术能很好的应对来自空间搜索引擎的信息扫描，并且可以对行为数据进行捕获、分析与溯源。这些特点都使蜜罐系统在区分攻击行为与扫描行为时，能提供高效的帮助。当与白名单机制共同使用后，工业控制蜜罐系统能非常高效的排除工控网络中的潜在隐患，为工业控制设备提供防护，是国家基础设施的强力后盾。1.4 工业控制蜜罐系统与传统蜜罐系统的区别在工业控制领域当中，不同的业务有着显著的差异，在不同的应用领域当中都有各自的特点与独特的网络组织架构。因此，工控蜜罐与工控设备、工控系统有着非常紧密的关联，自身的行业性特点明显。其次，由于工控蜜罐必须对真实的工控业务进行模拟，导致其在模拟对象、表现形式上与传统蜜罐系统出现明显的区别。此外，工控蜜罐系统所模拟的协议或者是服务是针对于工业控制领域的，如SCADA、s7comm协议、modbus协议。反观传统的蜜罐系统，它们模拟的是主机或者是服务器中的服务，如HTTP、FTP、Telnet服务等。这也进一步导致传统蜜罐和工控蜜罐所针对的漏洞有所不同，传统蜜罐更注重HTTP或者是FTP服务中出现的漏洞，而工控蜜罐针对的是工控协议或者是SCADA系统中的漏洞。1.5 蜜罐技术在保护工控领域安全中的价值正是伴随着工业控制领域与传统互联网领域的不断融合，越来越多的工控系统中出现了TCP/IP相关技术和以太网技术。而传统的漏扫工具在工控系统应用是，可能会造成对延迟敏感的工控设备罢工，进而使整个工控网络的瘫痪。在空间搜索引擎出现后，针对于工控领域的扫描更是成倍数的增加，这些扫描往往不具备恶意行为，但会将设备的信息或设备的地理位置暴露。虽然入侵扫描技术和防火墙技术也可以禁止来自外界的扫描，他们却无法捕获扫描数据。所以只能用于应对已知的威胁，未发对之后的攻击做出合理的预测。与此相对应地是以蜜罐技术为代表的主动防御策略，它不仅可以记录下所有的攻击数据，还可以与实际业务脱钩，不影响工控系统的功能性与业务处理上的连续性