蜜罐信息采集技术分析(1)(2)
2015-03-20 01:22
导读:优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。 还有一种方法,把蜜罐
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区DMZ内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。DMZ内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3 蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据P2DR动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴ 防护 蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵ 检测 蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用,蜜罐的误报率远远低于大部分IDS工具。
另外目前的IDS还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶ 响应 蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
(转载自http://zw.NSEAC.com科教作文网)
4 蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1 基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“Peeking”机制。
⑴ 记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵ 采用“Peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理 员一般只能察看运行的进程,检查日志和应用MD-5检查系统文件的一致性。
对于UNIX系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
·MD-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。
