蜜罐关键技术有哪些?
蜜罐技术是什么?
蜜罐关键技术有哪些?
互联网业务的实现往往涉及多种不同的诱饵类型,需要根据攻击特征对攻击流进行切换,因此,蜜罐多点部署和流量调度的需求尤为突出。为了兼顾部署数量和部署成本的限制,采用重定向技术调度多点攻击流量已成为蜜罐设计和部署的常态。重定向技术通常运用蜜场中的跨网段调度和混合蜜罐中的不同交互能力,通过连接不同地理空间或不同类别的诱饵环境,进行统一的攻击诱导、流量分配和数据采集。
重定向技术大致分为入侵检测、转发决策、流量调度和响应回复4个阶段。在入侵检测阶段,蜜场需要对网络流量进行解析和分类,为转发决策提供依据;在转发决策阶段,依据专家知识构建决策模型将不同流量进行区分,常用的判断方式有正常与异常判断、低交互与高交互判断等;在流量调度阶段,通过TCP重放或代理的方式将攻击流导向不同的目标;在响应回复阶段,整合不同诱饵的响应进行筛选分析,选择最佳响应返回给攻击者。
重定向技术的重点在于转发决策和流量调度。决策模型主要依赖于专家知识,而缺乏对交互反馈的关注,导致重定向决策的灵活性不足。此外,相关文献对跨网段流量调度中的转发决策也缺乏深入研究。
在蜜罐技术得到安全社区的广泛关注之后,一些黑客与安全研究人员从攻击方角度对蜜罐的识别与绕过等反蜜罐技术开展研究,并提出了一系列对抗现有蜜罐技术的机制。反蜜罐(Anti-Honeypot)本质就是分析蜜罐和真实设备之间的差异,即通过检测蜜罐各类指纹特征对网络环境中的蜜罐进行识别发现。
现有的反蜜罐措施主要针对低交互蜜罐,它本身具备一些指纹信息,比如软件硬编码或网络层指纹信息。硬编码特征是低交互蜜罐在开发的过程中,引入了一些固定字段即硬编码特征,导致在响应数据包中会暴露蜜罐系统,而蜜罐仿真系统对协议分片的处理不正确或协议仿真不完全都会导致网络层指纹信息的出现。攻击者也可利用时间延迟识别蜜罐,因为低交互蜜罐作为软件运行在操作系统上层,会对资源造成消耗,增大响应时延。
在构建欺骗环境吸引到攻击方的探测与攻击行为之后,蜜罐中需要实现的下一个核心技术是威胁数据捕获,监控和记录攻击方在蜜罐欺骗环境中的所有攻击行为,为追溯与分析安全威胁提供基础数据支持。现有的威胁数据捕获技术主要针对低交互型和高交互型蜜罐两种类型的蜜罐,在不被攻击者发现的前提下,主要从网络和系统两个方面捕获攻击行为,并结合主被动手段捕获恶意代码样本。已有的捕获威胁数据的方法和工具均着重于捕获针对传统服务器的攻击,对其他IoT设备或工业控制设备缺乏细粒度的分析和评估。
蜜罐是调查和预防网络犯罪的重要工具,在捕获攻击方攻击行为数据后,其最终目的是通过观察攻击者在蜜罐中的活动分析出安全威胁情报。蜜罐数据分析是整理威胁数据并评估威胁事件的过程,往往采用各类统计指标佐证分析观点,每个指标具有不同的分析角度和准确性。蜜罐常用的分析方法可分为统计分析和深度分析。统计分析是针对原始数据进行的统计和查询等工程化分析,通常包括攻击源、目标活动和二进制文件的分析,其中攻击源的识别不依赖于蜜罐的体系结构或交互深度,一旦攻击发生,通过连接信息检索出各类攻击源信息,进而通过攻击指纹的方式,或通过目标活动分析进行攻击源识别。深度分析是对攻击者的隐藏特征进行挖掘和推理,通常需要提出合理的分析框架对统计信息进行二次关联与聚合。其中,物联网设备出于成本和易用性的考虑,往往缺乏严格的安全开发规范和安全测试流程,大量设备直接暴露在互联网中,为恶意软件的入侵和传播提供了巨大的空间,这也对蜜罐数据分析提出了更高的要求。