2,196 views

蜜罐与内网安全从0到1(二)

image

计划的系列文章内容分为以下几个部分,按照论文撰写的脉络来讲:
1. 蜜罐与内网安全选题思考
2. 蜜罐技术科普与发展简述(2016年)-本文
3. 常见内网攻击类型及检测思路
4. 多款开源蜜罐数据样例与应用分析
5. 攻击序列、攻击模式与攻击者标签
6. 攻击模式匹配算法提出
7. demo系统设计
8. demo实现过程中的一些技术点
9. 实验室环境下的测试过程
10. 我的论文小结(附参考文献列表)

我最近也在反思我过去习惯的一种学习方法,俗称“学习5分钟,笔记半小时”,然后由于没有配合实践,学的东西也忘了,笔记也没想有再复习,这种方法其实是很打消人学习积极性的,比如我每天想花5分钟读个英文小故事,结果光查生词每次就要花半小时,那坚持两天,一忙就放弃了。其实如果读英文小故事的目的是为了培养阅读兴趣的话,生词不查也罢,看懂故事大意,保持一个兴趣,很多单词的意思借助上下文慢慢就理解了。

这一篇讲点历史,读者就当读个小故事,如果你目前只是对蜜罐有点兴趣,花5分钟阅读就行,参考资料可以暂不理会,等以后到了真正需要拓展的时候你记得有这篇文章可以参考就ok了

本文有点像综述,发出来我都有点不好意思。再下一篇我会写内网攻击类型相关的,有实际操作的部分。更新频率上,我也努力保持每周一篇,不能太坑。


一篇学位论文中,“国内外现状”是必不可少的一部分,在了解研究现状的基础上,扩展视野的同时也好修正自己的研究方向。结合当时搜索阅读的几十篇文章,本文可以算是一篇蜜罐技术的发展简述,后边会给出一些蜜罐的参考阅读文章,方便想了解蜜罐技术的朋友阅读,最后也会给出我在这部分引用的参考文献,如果是在校大学生也想研究这块课题的可以通过搜索相关论文阅读

0x01 蜜罐定义、分类及功能

通常将蜜罐(honeypot)定义为一种安全资源,它不需要提供实际的应用,蜜罐的存在价值就是诱导和记录攻击行为,从而了解攻击者的入侵方法和手段,并能够延缓其攻击进程,进而根据捕获的攻击行为数据,分析攻击者使用的攻击方法和工具,从而让防御方针对性地增强系统的安全防护能力[8]。

蜜罐通常具备数据捕获、数据分析和数据控制方面的功能[34]。数据捕获主要收集主机数据或者网络数据,主机上可以捕获攻击者的TCP连接情况、执行的命令、各种日志信息等,网络数据包括防护系统日志、网络流量数据等。但蜜罐的价值通常需要对捕获的数据进行分析后才能体现,主要包括网络协议类型分析、攻击行为分析和攻击数据包内容分析等[35]。数据控制主要是指通过对蜜罐的对外数据发送和网络进行限制,使得当蜜罐系统被攻击者攻破时,也不会造成更多的危害。数据控制主要用来保障蜜罐本身的安全[36]。

本文通过在对文献资料研究的基础上主要从交互程度和具体实现角度对蜜罐进行分类[37, 8]。分类方式换个视角就可以重新分类,这里简单列举两种。

按交互程度分类

蜜罐的交互程度通常取决于蜜罐对相应服务的模拟程度。
(1)低交互蜜罐
该类蜜罐通常只提供少量的交互功能,蜜罐在特定端口监听连接并记录数据包,可以用来实现端口扫描和暴力破解的检测 [38]。低交互蜜罐结构简单,易于安装部署,由于模拟程度低功能较少,收集信息有限但风险也较低[39]。
(2)高交互蜜罐
高交互蜜罐通常基于真实的应用环境来构建,能提供真实的服务。高交互蜜罐可用来获取大量的信息,能够捕获攻击者多种操作行为,从而具备发现新的攻击方式和漏洞利用方法的能力[40]。由于高交互蜜罐给攻击者提供了一个相对真实的应用环境,因此风险较大,通常会注重数据控制方面的功能[41]。

按具体实现分类

蜜罐按照实现的方式可以分为物理蜜罐和虚拟蜜罐。
(1)物理蜜罐
物理蜜罐通常指真实的物理计算机,安装了相应的操作系统并具备网络环境,它能提供部分或完全真实的应用服务。物理蜜罐通常成本较高。
(2)虚拟蜜罐
虚拟蜜罐通常是利用虚拟机技术模拟而成的蜜罐,成本相对物理蜜罐较低。但由于虚拟机本身的特点,虚拟蜜罐容易被有经验的攻击者识别[42]。还有这两年流行的基于Docker的蜜罐。

0x02 国内外研究现状

互联网发展的过程中一直承受着各类网络安全问题的威胁[2]。随着技术的发展,攻击手段与防护措施也在不断博弈。但是由于攻守双方的角度不同,防守方往往处于被动局面,攻击方只需要找到一个突破点就能攻击成功,而防守方不仅要考虑全局还要具备快速的检测和应急机制才能尽可能确保信息系统安全。蜜罐技术(honeypot)就是为了改变这种被动的防护状况而出现的一种更加主动的防护技术[3]。蜜罐相当于一种安全资源,它不需要提供实际的应用,蜜罐的存在价值就是诱导和记录攻击行为,从而了解攻击者的入侵方法和手段,并能够延缓其攻击进程。国内外越来越多的安全从业者已经开始关注和研究蜜罐这种新型的网络安全技术。

国外

1989年蜜罐技术首次被提出,发展过程中在The Honeynet Project等开源技术团队的推动下,出现了应对不同类型网络安全问题的蜜罐软件工具。蜜罐技术也从蜜罐发展到蜜网(honeynet)[4]、再到分布式蜜网(distributed honeynet)和蜜场(honeyfarm)[5]。蜜罐技术也不断应用到恶意样本捕获、入侵检测、攻击手法分析、网络取证、僵尸网络调查等安全方向。

蜜罐网络项目组(HoneynetProject)是研究和推动蜜罐技术的知名机构,它是一个由许多国内外志愿者组成的开源技术研究组织。2000年左右,蜜网项目组主要进行理论验证和模型蜜罐系统的测试,根据研究和试验结果提出了第一代密网的理论并进行了可行性和有效性相关的验证。2002至2004年,蜜网项目组主要研究了数据控制、数据捕获和数据分析相关的理论技术,随后发布了第二代蜜网模型框架,并重点研究了如何简化密网的部署。2005年至今,密网的便捷化、数据捕获和数据分析成为了蜜网项目组的研究重点,第三代蜜网结构框架也是在此期间发布[6]。

目前,蜜罐技术的研究者们已经研发出了多种类型和功能的蜜罐。值得一提的是现代密网(MHN,Modern Honey Network)项目,MHN很大程度上简化了蜜罐的部署,让研究者可以快速部署蜜罐系统用来捕获攻击数据,近几年MHN开源项目社区持续活跃,不断升级更新,有很好的应用前景[7]。MHN支持多种开源的蜜罐软件,支持开源的通信协议hpfeeds [7]。

国内

从近几年国内公开的学术论文、技术社区和其他文献资料来看,国内研究者对蜜罐技术的研究和应用还不够广泛[8]。2006年开始,蜜罐技术首先被用来进行蠕虫的检测[9,10],2008年开始,出现将蜜罐应用到端口检测[11]方面、入侵检测方面[12]以及攻击预警方面[13]。此后,也有研究者将蜜罐技术应用到安全的校园网[14]、企业网络[6]的建设中,除了有线网络的应用,也出现了无线蜜罐技术的应用[15]。但将蜜罐技术应用到内网安全上的文献资料极少,仅有的文献也是在用通用的蜜罐架构,通过将高交互蜜罐部署到内部网络试图捕获未知攻击、发现系统未知漏洞以及了解攻击者的攻击手法和所用工具[16]。

蜜罐技术在网络安全威胁的应用上,北京大学狩猎女神研究团队项目研究成果较为突出[17]。2004年北大计算所组建狩猎女神蜜网项目组,并且2005年该项目组作为中国大陆唯一加盟团队成功加入世界知名的的蜜网技术研究组织蜜网项目组(Honeynet Project)。狩猎女神蜜网项目组对蜜网技术、网络攻击检测进行了多年的研究,从开始利用蜜罐收集攻击特征,建立攻击知识库和漏洞知识库,然后利用蜜罐技术来对互联网真实的网络攻防知识进行捕获和学习,并将研究成果应用到僵尸网络监测追踪上,后期基于蜜场框架构建网络主动安全防护技术。其中作为主要研究成员之一的诸葛建伟调职到清华大学安全团队后也一直在进行蜜罐技术的研究和实际的应用[18],如在CNCERT部署Kippo蜜罐来进行SSH相关的攻击检测和数据分析。

综上这些国内外对于蜜罐技术及其应用的研究现状可知,蜜罐技术已经越来越广泛地被国内外研究者运用,但是截止目前将蜜罐技术应用到解决内网安全问题的研究还较少,而且现有的蜜罐技术方案往往结构和部署比较复杂,技术门槛较高,难以被更普遍地推广应用。因此本文就试图研究并设计一种部署简单使用方便的蜜罐技术方案,并将蜜罐技术应用到解决内网安全问题中。

0x03 蜜罐技术文章与产品参考

我重新搜索了曾经读过的以及一些新增的蜜罐科普文章,整理的文章链接如下(我稍微注意把易读的文章列在前边),方便想了解蜜罐技术的朋友阅读参考:

蜜罐技术科普

  1. Kippo: 一款优秀的SSH蜜罐开源软件(2011.9.8)
    http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Kippo-介绍.pdf
    http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Kippo介绍PPT.pdf

  2. 在CERNET实际部署Kippo 蜜罐(2011.9)
    http://www.edu.cn/sqt_9968/20120112/t20120112_731434.shtml

  3. Dionaea捕蝇草蜜罐介绍(2011.9.23)
    http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Dionaea低交互式蜜罐介绍.pdf

  4. Dionaea低交互式蜜罐部署实践(2011.9.23)
    http://netsec.ccert.edu.cn/zhugejw/files/2011/09/Dionaea低交互式蜜罐部署实践.pdf

  5. 狩猎女神的前世今生(2011.11.28)
    http://netsec.ccert.edu.cn/zhugejw/2011/11/28/狩猎女神的前世今生/

  6. 从蜜罐数据到SSH蜜罐的典型攻击分析(2017.6.1)
    http://bobao.360.cn/learning/detail/3929.html

部署实战

  1. Dionaea低交互式蜜罐部署详解(2013.9.25)
    http://static.hx99.net/static/drops/tips-640.html

  2. Dionaea蜜罐指南(2015.1.13)
    http://static.hx99.net/static/drops/papers-4584.html

  3. Kippo蜜罐指南(2015.1.12)
    http://static.hx99.net/static/drops/papers-4578.html

  4. 蜜罐网络(2015.5.7)
    http://static.hx99.net/static/drops/papers-5968.html

  5. 基于MHN开源项目的树莓派蜜罐节点部署实战(2015.11.9)
    https://sosly.me/index.php/2017/07/11/mhndionaea/

更多

  1. Freebuf上有很多优秀的文章
    http://www.freebuf.com/?s=蜜罐

  2. The Honeynet Project
    http://www.honeynet.org/

  3. MHN现代密网项目
    http://threatstream.github.io/mhn/

安全公司与产品

几家我一直关注的研发出蜜罐产品的企业,都是大牛团队,可以参考了解。

  1. 默安科技幻盾
    https://www.moresec.cn/magic-shield.html

  2. 锦行科技幻云
    http://www.jeeseen.com/huanyun

  3. 长亭科技谛听
    https://chaitin.cn/cn/dsensor.html

0x04 部分参考文献

这些文献大多是论文,通常高校的校园网访问图书馆系统或者一些第三方论文库都可以免费搜索访问。

  • [2] 魏为民, 袁仲雄. 网络攻击与防御技术的研究与实践[J]. 信息网络安全, 2012(12):53-56.
  • [3] 唐勇, 卢锡城, 胡华平,等. Honeypot技术及其应用研究综述[J]. Journal of Chinese Computer Systems, 2007, 28(8):1345-1351.
  • [4] Wang C, Ding Z. Research on the interaction of honeynet and IDS[J]. The China Quarterly, 2011, 156(156):809-835.
  • [5] Jain P, Sardana A. A hybrid honeyfarm based technique for defense against worm attacks[C] Information and Communication Technologies (WICT), 2011 World Congress on. IEEE, 2011:1084-1089.
  • [6] 刘智宏. 基于蜜罐技术的企业网络安全防御系统研究与设计[D]. 上海交通大学, 2009.
  • [7] 蜜罐网络[EB/OL]. http://drops.wooyun.org/papers/5968, 2015.5.7.
  • [8] 诸葛建伟, 唐勇, 韩心慧, 等. 蜜罐技术研究与应用进展[J]. Journal of Software, 2013, 24(4).
  • [9] 古开元. 基于蜜罐技术的蠕虫检测和防御系统的研究与设计[D]. 四川大学, 2006.
  • [10] 李文瑾. 基于蜜罐技术的蠕虫特征自动提取技术的研究[D]. 华中科技大学, 2007.
  • [11] 宋富强. 基于蜜罐技术的端口扫描检测系统的设计与实现[D]. 中南大学, 2008.
  • [12] 李磊. 基于蜜罐技术的分布式入侵防御模型研究[D]. 西安理工大学, 2008.
  • [13] 王建军. 基于蜜罐技术的网络攻击预警系统的研究与应用[D]. 上海交通大学, 2010.
  • [14] 李曙强. 基于蜜罐技术的校园网络安全方法研究 [D]. 浙江工业大学, 2009.
  • [15] 陈朕. 无线局域网蜜罐系统的设计[D]. 山东大学, 2008.
  • [16] 徐明明. 蜜罐技术在网络安全中应用研究[D]. 南京信息工程大学, 2011.
  • [17] 狩猎女神的前世今生[EB/OL]. http://netsec.ccert.edu.cn/zhugejw/2011/11/28/狩猎女神的前世今生/, 2011.11.28.
  • [18]诸葛建伟, 魏克. 在 CERNET 实际部署 Kippo 蜜罐[J]. 中国教育网络, 2011 (9): 71-73.
  • [37] 史伟奇, 程杰仁, 唐湘滟,等. 蜜罐技术及其应用综述[J]. 计算机工程与设计, 2008, 29(22):5725-5728.
  • [38] Almotairi S, Clark A, Mohay G, et al. A Technique for Detecting New Attacks in Low-Interaction Honeypot Traffic[C]// International Conference on Internet Monitoring & Protection. IEEE Computer Society, 2009:7-13.
  • [39] 刘风路. 蜜罐技术研究与分析[D]. 国防科学技术大学, 2006.
  • [40] Alata E, Nicomette V, Kaa?Niche M, et al. Lessons learned from the deployment of a high-interaction honeypot[C]// Dependable Computing Conference, 2006. EDCC '06. Sixth European. IEEE, 2006:39-46.
  • [41] Nicomette V, Kaaniche M, Alata E, et al. Set-up and deployment of a high-interaction honeypot: experiment and lessons learned[J]. Journal in Computer Virology, 2011, 7(2):143-157.
  • [42] 邹文. 虚拟蜜罐在网络安全中的应用研究[D]. 湖南大学, 2008.

系列文章,未完待续...


转载请注明出处 :sosly 菜鸟笔记
https://sosly.me/index.php/2017/09/05/jymiguan2/

也欢迎关注微信公众号:sosly菜鸟笔记
sosly菜鸟笔记微信公众号

2 thoughts on “蜜罐与内网安全从0到1(二)

  1. 有没有想法把蜜罐侦探的功能封装成sdk,可以嵌入各种web容器中,让一个后台服务对接sdk就可以成为一个蜜罐,然后就可以放入内网中去了

    • 我还没太理解您这个思路,我理解的是,蜜罐是正常服务的伪装副本,和正常服务是相对隔离的。
      我论文中做的那个是一个即插即用的蜜罐,接上网线和电源(移动电源也行)就能在网络中工作了。
      企业级的比较复杂,我知道是有人做过给予docker的蜜罐。
      接下来的一篇文章是展示我用过的各种蜜罐终端能够搜集到的数据,这周或下周更新~

发表评论

电子邮件地址不会被公开。 必填项已用*标注