2.2.1 基于Honey的工具
1.蜜罐
本文讲的是网络空间欺骗:构筑欺骗防御的科学基石一2.2.1 基于Honey的工具,很多安全应用程序中都使用蜜罐,例如检测并阻止垃圾邮件、分析恶意软件[8]。此外,蜜罐也被用在安全数据库上[9]。蜜罐也开始寻找进入移动环境的方法,文献[10]阐述了一些有趣的结果。
文献中提出的蜜罐包括两种类型:服务器蜜罐和客户端蜜罐。服务器蜜罐是一个不包含有价值信息的计算机服务器系统,设计它的目的是为了吸引攻击者对漏洞的访问。而客户端蜜罐更活跃。一些脆弱的用户代理尝试让许多服务器受到连累[12]。当这样的事件发生时,客户端蜜罐会报告出正在感染用户客户端的服务器。正如下文所讨论的一样,蜜罐已经在计算机的4个主要领域被应用。
(1)检测
蜜罐与传统的探测机制相比具有额外的优势,例如入侵检测系统(IDS)和异常检测。首先,被认为是正常操作的登录数据会更少,因此任何与它的交互都是非法的。其次,由于正常操作中无人与之交互,所以误报率更低。Angnostakis等人在影子蜜罐[13]的使用中提出了一种高级的基于蜜罐的检测体系架构。在它们的架构中,在异常检测传感器(ADS)放置在真实系统之前决定了其是作为影子机器还是作为正常的机器发送请求。该体制试图通过无缝地将可疑流量转移到影子机器里以便进一步调查,从而将蜜罐整合到实际的系统中。最后,蜜罐也有助于检测工业攻击,例如文献[14]中讨论的蠕虫的情况。
(2)预防
蜜罐通过帮助减缓攻击者的攻击速度并/或阻止攻击以实现预防。黏性蜜罐是利用未使用的IP地址空间和与攻击者进行交互来探索网络攻击减缓的例子[15]。此外,Cohen认为使用他的欺骗工具包(DTK),可以迷惑攻击者并引入风险来阻止攻击者对真正的目标实施攻击[16]。然而,我们并没看到任何有关上述说法的研究调查。
除了在蜜罐中使用诱惑和陷阱的概念,人们也从其他角度对欺骗进行了研究。例如,Rowe等人提出一个使用蜜罐产生威胁的新方法[17]。他们通过使被保护的实体看起来像蜜罐来保护系统,从而阻止攻击者访问被保护的系统。他们的观察源于反蜜罐技术的发展,该技术采用先进的方法来检测当前系统是否为蜜罐[18]。
(3)响应
使用蜜罐的优点之一是:它们是能在不妨碍生产系统功能的情况下对攻击进行分离并分析的完全独立系统。蜜罐通过保持系统的攻击状态并全面地分析哪里出现了问题来简化分析人员的任务。
(4)研究
蜜罐广泛应用在分析和研究新的恶意软件簇上。蜜网项目是一个“国际性非营利的安全研究组织,致力于研究最新的攻击、发展提高网络空间安全的开源安全工具”。例如,蜂窝系统使用蜜罐创建独特的攻击签名[19]。其他更具体的工具,如dionaea低交互式蜜罐,是为了捕获计算机恶意软件的副本以进一步研究的工具。此外,蜜罐可以帮助推断和理解一些普遍的攻击,如分布式拒绝服务(DDoS)[20]。
2.其他的honey前缀工具
前缀“honey-*”是指融合和欺骗行为的一个广泛技术。使用“honey”为前缀的这些技术的基本思想是它们需要引诱攻击者与之交互,即掉入诱饵——“蜂蜜”中。一旦发生交互,这些方法的价值就会实现。
术语蜜标(honeytoken)是由Spitzner [21]提出来,它用来描述一个更小粒度的蜜罐。就像Markus Hess [4]中所讲述的一样,Stoll使用大量的具有诱惑性的文件,并将它们分散在目标计算机系统中,从而作为被访问时的警报机制。Yuill等人创造了术语honeyfiles来描述诱骗文件[22]。蜜罐生产器(HoneyGenz)则是指用来生成蜜标的工具[23]。
Jules与Rives最近提出了一种称为“蜜词本(Honeywords)”的体制,用来迷惑破解了通过“假”列表隐藏真实密码的被盗散列密码文件的攻击者[24]。他们使密码数据库增加了额外的(N-1)个假密码[24]。如果数据库被盗并破解了,黑客会看到N个不同的密码,其中只有一个是正确的。然而,一旦他们使用任何一个假的密码,系统就会触发警报系统,从而提醒管理员数据库已经被破解。
原文标题:网络空间欺骗:构筑欺骗防御的科学基石一2.2.1 基于Honey的工具
