◆黄 为
蜜罐技术在网络安全领域中的应用
◆黄 为
(佛山市华材职业技术学校 广东 528000)
随着互联网技术的快速发展,人们日常生产生活中各种信息数据都处在网络之上,如何做好网络安全工作不单是相关工作人员的研究方向,同时也是网络发展的必然要求。蜜罐系统作为新出现的一项主动性的网络防御技术,在近年有比较普遍的应用,如何将其与传统的网络防御技术结合也是其后续发展的主要方式之一。本文首先论述了蜜罐系统的含义以及实施过程中需要考虑的内容,然后在此基础上研究了具体的应用方法,供相关读者参考。
蜜罐技术;主动防御;网络安全技术
目前在网络安全工作中采用的防护技术仍然是以防火墙、入侵检测等被动防御为主。蜜罐是陷阱网络的重要组成部分之一,它通过模拟易受攻击的系统来诱使黑客进行攻击,然后将其活动记录,进而分析,为往后防御提供指导。
蜜罐系统,在网络技术使用过程当中属于诱骗系统的范畴,目前在网络安全领域当中作为重要的安全资源系统使用。蜜罐系统本身有比较严格的监控体系,能够引诱网站入侵人员主动对该网站发起进攻,从而利用相关的监控设施分析出入侵者利用何种工具及如何完成攻击活动。这样在后续工作开展过程中,能够有针对性选择一些防范办法,从而有效再次避免入侵者给网络系统带来的危害。另外相对于传统的网络安全措施,蜜罐技术具有更好的针对性,尤其是对于窃听入侵方式来说能够有效收集入侵者使用的设备工具信息,从而起到更好的防护作用。
(1)实系统蜜罐
首先是实系统蜜罐,该种蜜罐技术主要是依赖于特定的实体设备,不需要专门安装一些补丁来创造出漏洞,也就是说该系统本身就有真实存在的漏洞以供蜜罐技术使用。在使用实系统蜜罐时,可以直接将蜜罐接入到所在环境的网络系统当中,这样相对于专门打补丁的方式来说有更好的隐蔽性,也就是说入侵人员很难发现该蜜罐是特殊准备的蜜罐。另外在真实度比较高的实系统蜜罐运行的监控程序中能够更加清楚明了地记载入侵信息以及入侵人员的活动行为。
(2)伪系统蜜罐
伪系统蜜罐与实系统蜜罐相比较最大的不同是该系统内存在的漏洞是工作人员专门搭建或设置的,也就是说在一个良好完善的系统内人为的搭建一些漏洞,这种系统最大的优势是在监控入侵人员的行为过程当中并不会对本身的系统造成不良的影响。同时对于监控人员来说,即便是入侵成功也能够很好的将有用的资料与入侵内容隔离开来,避免造成严重的损害。对于伪系统蜜罐的搭建工作目前所采用最主要的方式是虚拟机。利用虚拟机能够在同一个硬件平台处搭建多个存在漏洞的系统。通过虚拟机的方式,能够高效的在一个平台之上搭建出多个蜜罐系统,从而提高工作效率。但是相对来说伪系统存在着一定的劣势,最主要的问题仍然是真实度不够,也就是说部分技术比较高明的入侵者很容易发现伪系统蜜罐的存在。
(1)蜜罐系统的优势
蜜罐系统最大的优势表现在工作人员分析数据方面,通过蜜罐系统能够有效的减少分析入侵者产生的活动数据,从而快速的找到一些关键信息,这样对于采取后续的控制行为能够起到很好的指导作用。目前入侵者采用入侵对象当中,网站服务器以及邮件服务器占比非常大,但是这二者实际产生作用的攻击流量比较小,在寻找攻击流量的时候需要通过分析大量的数据才能找出异常流量,这种情况下对于分析系统设备的要求比较高,通过采取蜜罐的方式能够有效控制进出流量,从而提高数据分析的目的性,以得到更具有价值的数据。
(2)蜜罐系统的劣势
蜜罐系统作用的发挥是在入侵者进入到事先准备的陷阱当中后完成的一系列活动,防火墙就不能起到相应的作用,只能通过分析用的数据采取一些有针对性的措施,尽可能减少后续的破坏。同时在该特性的影响下,入侵人员往往能够利用蜜罐系统的安全风险,有可能直接入侵真正的网络系统。另外,如果没有人攻击蜜罐系统的话,此系统就会变得毫无用处。
目前在蜜罐系统的操作过程当中采用的方法手段主要包括网络欺骗、数据捕获以及入侵数据控制分析等,通过这些操作的相互结合作用,可以鉴别出入侵者的行为特征,从而给后续工作的开展提供比较好的借鉴。
对于蜜罐系统来说,欺骗是根本性的手段,工作人员在使用蜜罐系统的时候,有意的设置一些安全弱点或是技术漏洞,从而借此引诱入侵者对蜜罐系统进行攻击。所以说,使用的欺骗手段是否高明是决定蜜罐系统价值的直接因素。在强大的网络欺骗方法的保证之下,使得蜜罐系统很好的伪装成正常工作的系统,这样能够使入侵者的戒心进一步下降从而充分发挥出蜜罐系统本身的作用。从具体的欺骗手段来看,目前主要有流量仿真,模拟系统漏洞以及服务端口的模拟开放等多种内容。具体工作开展过程当中往往是将这些手段结合在一起使用从而提高其本身的真实性。
在入侵者进入到蜜罐系统之后的工作重点则是捕获数据信息,也就是说需要准确完整的找出哪部分数据是入侵者的行为活动所产生的,这也是蜜罐系统设计过程当中的核心功能所在。捕获数据过程当中,需要从入侵者进入到蜜罐系统时候开始,并保证在捕获过程当中不被入侵者发掘。从实际工作情况来看,获取的数据信息当中最外层的就是进出防火墙的日志,其后由IDS抓取网络包,最后捕获蜜罐系统所有系统日志和用户键盘序列等。数据捕获之后需要对此前大量的信息进行分析,这是一项非常困难的工作。
网络的入侵人员在入侵行为过程当中的目标往往并不只是某一个固定的系统,也就是说很可能会以蜜罐系统作为跳板,进一步入侵其他系统,这个时候为了保证其他设备系统的安全就必须要做好隔离工作,也就是说必须要通过控制蜜罐系统产生的数据方面的手段来保证该系统工作当中产生的流量处在工作人员的可控范围内。目前所采用到的手段主要是屏蔽一些不必要的连接,以及通过路由器控制网络进出的流量内容,避免数据包的传送出现不可控的因素。
蜜罐系统使用过程当中涉及的网络部署工作相对比较简单。将一台机器作为蜜罐系统的服务器,完成操作系统的安装之后,裸机情况下直接制造一些漏洞,与互联网连接,这种情况下,入侵者入侵非常容易,但是有不少缺点,包括风险较高,如若机器被控制,对网络中其他计算机系统容易发生较大安全隐患。另外,有经验的入侵者会较易发觉到此为一个蜜罐系统,可能会升级入侵手段。第二种是通过建立虚拟机,将计算机本身的真实数据相互隔离。在目前网络系统发展中,防火墙技术已经有了非常普遍的使用,大部分网络拓扑当中都会有防火墙技术的存在,在部署蜜罐系统的时候,工作人员可以考虑其与防火墙之间相互结合的位置,从而起到不同的作用,充分发挥出蜜罐系统本身的价值。比如在设置蜜罐系统的时候将其放置在防火墙的前面能够将大量的入侵攻击吸引到蜜罐系统当中,避免内部系统直接受到攻击,但是这种部署方式无法检测来自网络内部的攻击。如果将域外系统放置在防火墙的内部,则需要有针对性的调整防火墙的配置,这种情况下防火墙设备会产生一定的漏洞,如果入侵者成功进入到真正的系统,很可能会造成比较严重的损害。
在传统的入侵检测系统工作过程当中,由于缺乏实质性的手段,大部分情况下工作人员都是将工作过程当中出现的异常数据与特征库进行比对,从而寻找出具体出现问题的内容。这种工作方式虽然能够全面的检查出哪一部分出数据出现了异常,但是在实际工作开展过程当中,需要面对大量的数据,如果将这些数据进行全面的比对分析,其面临的工作量非常巨大,往往会给系统服务器带来比较大的压力。相对来说蜜罐系统能够很好地与入侵检测系统相互结合,从而尽可能地减少以上问题出现的概率,也就是说在入侵者攻击网络系统的时候,蜜罐系统就对其实现实时的监控,从而有效将异常数据控制在比较小的范围内缩小比对的内容,从而提高入侵检测系统的网络防御能力。
僵尸网络也是目前入侵的采用比较广泛的方法之一,相对于单一的攻击手机来说,僵尸网络的分布比较广泛,具有非常明显的分布式特征,通过僵尸网络能够实现比较全方位的攻击。在监控僵尸网络系统的时候,利用蜜罐系统可以针对将是网络分布性的特征,进行反向跟踪,并发出有针对性的攻击。具体工作开展过程当中,工作人员首先需要建立一个完善的蜜罐系统,然后通过有针对性的一些工作,获取到僵尸网络的一些特殊流量信息,从而借此作为标签反向追踪攻击者采用的攻击方式。
总而言之,在互联网技术快速发展的时代背景下,各方面的用户在使用网络系统过程当中,往往会面临着各式各样的风险。但是从目前实际情况来看,许多网络安全措施都是在信息安全风险出现以后才开始的,也就是说大部分情况下用户使用到的都是被动式的防御工作,这种防御方式已经很难满足目前的网络安全需求。所以说为了保证用户的信息安全,必须要将蜜罐技术与传统的防御技术相互结合,进一步提高网络系统的安全性。蜜罐系统作为新型的网络安全技术,能够快速的收集入侵者的相关信息,从而给出有针对性的防范措施,对于后续防范办法的优化能够起到很好的作用。
[1]何祥锋.浅谈蜜罐技术在网络安全中的应用[J].网络安全技术与应用,2014(1).
[2]孙中廷.蜜罐技术在网络安全系统中的应用与研究[J].计算机与网络,2014(17).
[3]姚东铌.分布式蜜罐技术在网络安全中的应用[J].电子测试,2014(8).
[4]唐旭,陈蓓.蜜罐技术在校园网络安全中的作用分析[J].电脑与电信,2015(12).