作 者：中國移動通信集團福建有限公司莆田分公司 何曉晗

    眾所周知， 互聯網業務量的增大與風險類型的日新月異給當前的互聯網安全帶來巨大的考驗。 因此無論是對于安全研究人員、安全產品研發人員、安全管理人員或者是安全響應服務人員， 都需要首先對黑客社團有深入的了解， 包括他們所掌握的攻擊技術、技巧和戰術、甚至心理和習慣等， 只有在充分了解對手的前提下， 才能更有效地維護互聯網安全， 而蜜罐技術為捕獲黑客的攻擊行為， 并深入分析黑客提供了基礎。

    蜜罐的定義

    入侵誘騙技術是較傳統入侵檢測技術更為主動的一種安全技術， 它是用特有的特征吸引攻擊者， 同時對攻擊者的各種攻擊行為進行分析， 并找到有效的對付方法。 為了吸引攻擊者， 網絡管理員通常還在蜜罐系統上故意留下一些安全后門， 或者放置一些攻擊者希望得到的敏感信息， 當然這些信息都是虛假的。 當入侵者正為攻入目標系統而沾沾自喜時， 殊不知自己在目標系統中的所作所為， 包括輸入的字符， 執行的操作等都已經被蜜罐系統所紀錄。

    蜜罐就是指受到嚴密監控的網絡入侵誘騙系統， 通過真實或模擬的網絡和服務來吸引攻擊， 從而在黑客攻擊蜜罐期間對其行為和過程進行分析， 以搜集信息， 對新攻擊發出預警， 同時蜜罐也可以延緩攻擊和轉移攻擊目標。

    目前蜜罐系統針對檢測新類型（未知）風險的方式主要有異常特征（signatureofanormaly）與沙箱（sandbox）檢測技術兩種。 異常特征檢測技術主要依靠通用異常匹配模式進行檢測， 常見例子如Snort規則， 通過檢查數據包頭128字節內是否存在14個NOP（空）來決定是否存在緩沖區溢出攻擊時常常出現的SHELLCODE獲取權限行為， 雖然該類型檢測方式不針對漏洞本身， 且檢測效率高， 但存在一定的誤報率。

    沙箱檢測技術的原理是通過搭建模擬虛擬主機并分析其文件、進程、注冊表與引導區等信息確認是否存在惡意行為。 該技術不依賴特征庫進行分析， 因此誤報率低， 但分析與處理能力要求高。 目前該技術廣泛利用在各種主機入侵防御系統（HIPS）中。

    蜜罐的價值

    蜜罐并不修正任何問題， 它們僅提供額外的、有價值的信息。 所以說蜜罐并非是一種安全的解決方案， 這是因為它并不會“修理”任何錯誤， 它只是一種工具， 如何使用這個工具取決于用戶想做什么， 它可以對其他系統和應用進行仿真， 創建一個監禁環境將攻擊者困在其中。 無論用戶如何建立和使用蜜罐， 只有蜜罐受到攻擊， 它的作用才能發揮出來。 蜜罐主要是一種研究工具， 但同樣有著真正的商業應用， 它常常被用來跟蹤僵尸網絡或是收集惡意代碼等。

    在當前商業社會， 蜜罐系統的主要作用主要體現為“家庭醫生”的角色。 大多數企業在防范黑客攻擊、蠕蟲等網絡風險時主要依靠網絡安全廠商所提供的安全預警通報、入侵檢測特征庫升級來對近期常見的風險進行預警， 而針對特定的攻擊行為或變種的病毒則無能為力。 從這個觀點中， 我們可以看出網絡安全廠商可比作“國家衛生廳”， 可以發布常見的風險， 但對于針對某個個體本身可能存在什么風險則無從而知了。 為保證企業的資源得到更有效的保護， 必須引入專門針對個體的“家庭醫生”-蜜罐系統， 透過其內部固有的特征檢測、沙箱檢測模塊確認個體本身已經存在的風險， 并分析得出“藥房”-風險分析結果。 最后由企業網絡管理員根據分析結果并依靠安全產品作為支撐手段實現動態的安全預警。

    蜜罐系統的優點之一就是它們大大減少了所要分析的數據， 對于通常的網站或郵件服務器， 攻擊流量通常會被合法流量所淹沒， 而蜜罐進出的數據大部分是攻擊流量， 因而， 瀏覽數據、查明攻擊者的實際行為也就容易多了。

    信息安全已經成為網絡管理員所面對的最嚴重問題， 管理員必須花費大量的時間來確保網絡已經部署了防火墻并為操作系統安裝了最新的補丁， 同時使用入侵檢測系統去記錄所有的可疑活動。 不幸的是， 當前的防火墻和入侵檢測系統已經不再有效， 因為隨著網絡的不安全因素的增多， 防火墻和入侵檢測系統的日志內容也日益龐大， 甚至有些系統每天的日志量就達1GB， 企業再也沒有過多的人力用來每天處理如此大量的日志內容。

    防火墻日志和入侵檢測系統的報告是毫無價值的， 事實上它們確實認真地履行了各自的任務， 不過當看到如此大量的信息和報告， 而其中大部分都是對系統沒有威脅的無目的的掃描時， 利用蜜罐也許是一個好方法。

    利用蜜罐檢測僵尸網絡

    在過去的幾年里， 許多Windows的嚴重漏洞都已經被暴露， 利用這些漏洞的各種惡意軟件數量在同一時期也已經迅速增加。 多數蠕蟲都會有若干變種， 并且它們中的許多都有bot家族特征。

    該方法從僵尸程序（bot）入手研究Botnet的特征， 并利用了Botnet的可傳播性， 通過蜜罐手段獲得用于傳播擴散的bot程序樣本， 然后逆向分析這些樣本， 從而獲得這些bot程序中所包含的連接Botnet服務器所需要的屬性值， 這樣就可以深入地跟蹤Botnet， 獲得Botnet的情況。

    這種方法的優點是能夠有效地捕獲比較活躍的Botnet， 并且準確率比較高， 同時， 由于可以獲得程序中包含的一些特征值， 可以對Botnet進行更深層的研究， 但這種方法對于不再傳播的Botnet是無法捕獲的。

    利用蜜罐建立安全事件行為特征庫

    傳統意義上講， 網絡安全要做的工作主要是防御， 防止自己負責的資源不會受到別人入侵， 盡力保護自己的組織、檢測防御中的失誤， 并采取相應的措施， 這些安全措施都只能檢測到已知類型的攻擊和入侵。 蜜罐和蜜網的設計目的就是從現存的各種威脅中提取有用的信息， 發現新型的攻擊工具， 確定攻擊模式并研究攻擊者的攻擊動機， 從而確定更好的對策。 在過去的幾年里， 安全人員利用各種蜜罐技術已經收集了攻擊者及其攻擊方法的大量數據， 包括已知的和未知的攻擊方法和手段， 以及發起攻擊的源IP等。 電信運營商通過對這些有用的信息進行整理， 并建立起內部安全事件行為特征庫， 為處理各種復雜和日益更新的網絡安全問題起到極大的幫助作用。

    任何事物的存在都有利有弊， 蜜罐也毫不例外， 蜜罐僅僅可以收集那些針對自身的數據， 收集數據的來源過于狹窄。 如果蜜罐沒有被攻擊， 就失去了價值， 而蜜罐在簡單易行地對攻擊者進行“誘騙”、記錄和分析的同時， 也為整個系統引入了可能被入侵的風險。