XXXV蜜罐技術(shù)概述目錄TOC\o"1-3"\h\u30654蜜罐技術(shù)概述 171601.1?蜜罐的基本知識(shí)概述 1110341.1.1?蜜罐技術(shù)的定義 136341.1.2?蜜罐技術(shù)的作用 2265261.2?蜜罐系統(tǒng)的分類 2303881.2.1?按照交互程度進(jìn)行分類 3197321.2.2?按照使用目的進(jìn)行分類 3322501.3?工業(yè)控制蜜罐系統(tǒng)概述 5210911.4?工業(yè)控制蜜罐系統(tǒng)與傳統(tǒng)蜜罐系統(tǒng)的區(qū)別 5220881.5?蜜罐技術(shù)在保護(hù)工控領(lǐng)域安全中的價(jià)值 61.1?蜜罐的基本知識(shí)概述1.1.1?蜜罐技術(shù)的定義在1999年，來自HoneynetProject項(xiàng)目組的安全員LanceSpitzne為蜜罐提出了的定義，現(xiàn)在常常被理解為：蜜罐是一種安全資源，它的價(jià)值體現(xiàn)在被探測(cè)、攻擊和攻陷[22]。這也從說明，蜜罐技術(shù)的意義不在于直接的防御攻擊，而是引誘攻擊者、記錄流入/流出的流量，并以此為依據(jù)，對(duì)攻擊者的掃描、攻擊與攻陷進(jìn)行記錄，進(jìn)而對(duì)入侵行為有更加詳細(xì)的認(rèn)識(shí)[23]。圖3-1?蜜罐技術(shù)框架圖圖3-1對(duì)與理解蜜罐系統(tǒng)的技術(shù)框架有很好的幫助。從圖中我們可以看到，蜜罐技術(shù)并不會(huì)修復(fù)真實(shí)設(shè)備中的漏洞，而是會(huì)對(duì)這些漏洞進(jìn)行模擬，從而把攻擊者的目光從真正的資產(chǎn)上轉(zhuǎn)移，遠(yuǎn)離真實(shí)的有價(jià)值的設(shè)備[24]。它作為一種安全資源，也可以表現(xiàn)為任意一種計(jì)算機(jī)資源，目的便是監(jiān)控攻擊者可能的行為，因此它通常是孤立于實(shí)際的系統(tǒng)，而其的組成也是數(shù)據(jù)、應(yīng)用程序于計(jì)算機(jī)。由于蜜罐的獨(dú)特性，它并不能算作是一種安全解決措施，它的價(jià)值僅僅在被攻擊時(shí)才得以體現(xiàn)—作為主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)威脅的工具，提供由威脅的情報(bào)數(shù)據(jù)。此外，蜜罐技術(shù)的核心技術(shù)可以拆分為三部分[25]：（1）數(shù)據(jù)獲取技術(shù)：使入侵者認(rèn)為自己所攻擊的為真正的目標(biāo)系統(tǒng)，并且在不引起入侵者注意的情況下，對(duì)所有在蜜罐系統(tǒng)內(nèi)的活動(dòng)進(jìn)行記錄[26]。（2）數(shù)據(jù)控制技術(shù)：嚴(yán)格的控制入侵者的所有操作，近一步的保障真實(shí)系統(tǒng)的安全。它可允許所有進(jìn)入訪問的請(qǐng)求，卻可以嚴(yán)格限制發(fā)出的訪問請(qǐng)求[27]。（3）數(shù)據(jù)的處理分析技術(shù)：可以對(duì)所有捕獲的數(shù)據(jù)進(jìn)行處理分析，利用人工篩選或者是統(tǒng)計(jì)學(xué)方法，對(duì)流經(jīng)蜜罐系統(tǒng)的數(shù)據(jù)進(jìn)行分析，區(qū)別正常的數(shù)據(jù)與帶有攻擊特征的數(shù)據(jù)，從而對(duì)入侵者的行為進(jìn)行畫像，判斷這些行為中的攻擊特征[28]，以便更好的保護(hù)真實(shí)的網(wǎng)絡(luò)不遭受同樣的入侵。1.1.2?蜜罐技術(shù)的作用蜜罐技術(shù)作為一種可以檢測(cè)未知攻擊的技術(shù)，可以彌補(bǔ)攻擊方與防御方之間信息的不對(duì)稱，有利于安全人員對(duì)針對(duì)于特定漏洞的攻擊進(jìn)行分析。它的主要作用可以概括為攻擊檢測(cè)、攻擊響應(yīng)和攻擊預(yù)防[29]。在攻擊的檢測(cè)方面，蜜罐系統(tǒng)不需要對(duì)整個(gè)網(wǎng)絡(luò)流量進(jìn)行檢測(cè)，只是通過簡單的算法，在軟件層面對(duì)攻擊行為進(jìn)行記錄，可以大大降低成本和漏報(bào)率、誤報(bào)率。在攻擊響應(yīng)方面，蜜罐系統(tǒng)中的數(shù)據(jù)控制技術(shù)可以在檢測(cè)到攻擊行為后，再對(duì)自身進(jìn)行相應(yīng)的調(diào)整，從而更好的蒙蔽攻擊者。在與入侵檢測(cè)設(shè)備、防火墻等傳統(tǒng)安全手段相結(jié)合后，可以在攻擊發(fā)生后，再調(diào)整相關(guān)配置，使對(duì)真實(shí)系統(tǒng)的保護(hù)得到加強(qiáng)。在攻擊預(yù)防方面，蜜罐系統(tǒng)能耗費(fèi)攻擊者的大量時(shí)間與精力，增加了攻擊者對(duì)真實(shí)系統(tǒng)產(chǎn)生影響的難度。此外，蜜罐系統(tǒng)所記錄的數(shù)據(jù)往往都是真實(shí)的攻擊數(shù)據(jù)，其價(jià)值也遠(yuǎn)大于傳統(tǒng)網(wǎng)絡(luò)安全工具所獲取的數(shù)據(jù)。1.2?蜜罐系統(tǒng)的分類現(xiàn)如今的蜜罐系統(tǒng)早已不僅僅是一種防御的思想，在實(shí)際系統(tǒng)中也有了更多的實(shí)際運(yùn)用。隨著研究的不斷深入，蜜罐系統(tǒng)大體上已經(jīng)可以按使用目的和交互程度分為兩類，如圖3-2所示。圖3-2?蜜罐系統(tǒng)的兩種分類方式1.2.1?按照交互程度進(jìn)行分類根據(jù)與入侵者產(chǎn)生的不同的交互程度，蜜罐系統(tǒng)可以被分為低、中、高三種類型的交互蜜罐[24]。低交互蜜罐只對(duì)真實(shí)系統(tǒng)中的某些功能或服務(wù)行為進(jìn)行模擬，只通端口對(duì)入侵行為做出簡單的響應(yīng)。但由于低交互蜜罐較低的交互水平，很難對(duì)入侵者進(jìn)行有效的欺騙。中交互蜜罐用程序和腳本便能對(duì)服務(wù)進(jìn)行一定程度上的仿真，使入侵者的交互感更強(qiáng)。此外，得益于中交互蜜罐可以對(duì)不同的端口發(fā)起監(jiān)聽，使入侵者有深層次的交互，更加容易欺騙入侵者，得到更多有關(guān)攻擊行為的數(shù)據(jù)。高交互蜜罐通過構(gòu)建真實(shí)的操作系統(tǒng)，能更好的欺騙入侵者。此外，入侵者可以在高交互蜜罐中使用各種漏洞腳本，使的安全人員能記錄更多有關(guān)攻擊的行為與數(shù)據(jù)，對(duì)系統(tǒng)中的漏洞有更清晰的把握。但也是因?yàn)楦呓换ッ酃奘褂昧伺c真實(shí)系統(tǒng)相同的操作系統(tǒng)，一旦被入侵者發(fā)現(xiàn)，便可以輕易通過高交互蜜罐，對(duì)真實(shí)系統(tǒng)產(chǎn)生威脅。此外，伴隨著交互程度的不斷提高，蜜罐系統(tǒng)的安裝與配置也會(huì)變得更加復(fù)雜，維護(hù)的成本也會(huì)變得更大，重新設(shè)計(jì)或者對(duì)原有功能進(jìn)行擴(kuò)展的難度也會(huì)更高，對(duì)真實(shí)系統(tǒng)的安全風(fēng)險(xiǎn)也不斷變高。1.2.2?按照使用目的進(jìn)行分類根據(jù)對(duì)蜜罐系統(tǒng)不同的使用目的，可以大體分為產(chǎn)品型蜜罐與研究型蜜罐兩類。產(chǎn)品型蜜罐出與對(duì)保護(hù)組織網(wǎng)絡(luò)、識(shí)別入侵者行為與阻止對(duì)真實(shí)系統(tǒng)產(chǎn)生影響的目標(biāo)，會(huì)部署在產(chǎn)品系統(tǒng)的內(nèi)部[30]。這樣，蜜罐便能更好的檢測(cè)攻擊行為、防止入侵者造成過多的破壞。通過與防火墻組成防護(hù)網(wǎng)絡(luò)，產(chǎn)品型蜜罐能更好的降低風(fēng)險(xiǎn)，幫助安全人員對(duì)攻擊做出更快的應(yīng)對(duì)。圖3-3?產(chǎn)品型蜜罐的結(jié)構(gòu)研究型蜜罐往往位于內(nèi)部網(wǎng)絡(luò)的出口處，以便與更好的對(duì)流入或流出的數(shù)據(jù)監(jiān)控[30]，收集更多的攻擊行為和入侵信息。雖然研究型蜜罐可以獲得更多的信息，但它的部署難度和維護(hù)成本都高于產(chǎn)品型蜜罐。研究型蜜罐可以理解為一種特殊的預(yù)警機(jī)制，可以幫助安全人員了解更多的攻擊模式和更全面的安全態(tài)勢(shì)，例如對(duì)補(bǔ)丁、漏洞、病毒庫的更新。圖3-4?研究型蜜罐的結(jié)構(gòu)1.3?工業(yè)控制蜜罐系統(tǒng)概述伴隨著多種掃描工具與空間搜索引擎的出現(xiàn)，攻擊者或缺系統(tǒng)信息或者是設(shè)備信息所需要耗費(fèi)的時(shí)間已經(jīng)大大減少，這對(duì)于難以用傳統(tǒng)防護(hù)措施進(jìn)行保護(hù)的工業(yè)控制系統(tǒng)來說，是一個(gè)更大的挑戰(zhàn)。由于工業(yè)控制設(shè)備在運(yùn)行時(shí)，不能出現(xiàn)延遲現(xiàn)象，導(dǎo)致其非常容易受到DDos攻擊的影響。因此，為工業(yè)控制系統(tǒng)制定定制化、多樣化的防護(hù)方法必不可少。而蜜罐技術(shù)能很好的應(yīng)對(duì)來自空間搜索引擎的信息掃描，并且可以對(duì)行為數(shù)據(jù)進(jìn)行捕獲、分析與溯源。這些特點(diǎn)都使蜜罐系統(tǒng)在區(qū)分攻擊行為與掃描行為時(shí)，能提供高效的幫助。當(dāng)與白名單機(jī)制共同使用后，工業(yè)控制蜜罐系統(tǒng)能非常高效的排除工控網(wǎng)絡(luò)中的潛在隱患，為工業(yè)控制設(shè)備提供防護(hù)，是國家基礎(chǔ)設(shè)施的強(qiáng)力后盾。1.4?工業(yè)控制蜜罐系統(tǒng)與傳統(tǒng)蜜罐系統(tǒng)的區(qū)別在工業(yè)控制領(lǐng)域當(dāng)中，不同的業(yè)務(wù)有著顯著的差異，在不同的應(yīng)用領(lǐng)域當(dāng)中都有各自的特點(diǎn)與獨(dú)特的網(wǎng)絡(luò)組織架構(gòu)。因此，工控蜜罐與工控設(shè)備、工控系統(tǒng)有著非常緊密的關(guān)聯(lián)，自身的行業(yè)性特點(diǎn)明顯。其次，由于工控蜜罐必須對(duì)真實(shí)的工控業(yè)務(wù)進(jìn)行模擬，導(dǎo)致其在模擬對(duì)象、表現(xiàn)形式上與傳統(tǒng)蜜罐系統(tǒng)出現(xiàn)明顯的區(qū)別。此外，工控蜜罐系統(tǒng)所模擬的協(xié)議或者是服務(wù)是針對(duì)于工業(yè)控制領(lǐng)域的，如SCADA、s7comm協(xié)議、modbus協(xié)議。反觀傳統(tǒng)的蜜罐系統(tǒng)，它們模擬的是主機(jī)或者是服務(wù)器中的服務(wù)，如HTTP、FTP、Telnet服務(wù)等。這也進(jìn)一步導(dǎo)致傳統(tǒng)蜜罐和工控蜜罐所針對(duì)的漏洞有所不同，傳統(tǒng)蜜罐更注重HTTP或者是FTP服務(wù)中出現(xiàn)的漏洞，而工控蜜罐針對(duì)的是工控協(xié)議或者是SCADA系統(tǒng)中的漏洞。1.5?蜜罐技術(shù)在保護(hù)工控領(lǐng)域安全中的價(jià)值正是伴隨著工業(yè)控制領(lǐng)域與傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域的不斷融合，越來越多的工控系統(tǒng)中出現(xiàn)了TCP/IP相關(guān)技術(shù)和以太網(wǎng)技術(shù)。而傳統(tǒng)的漏掃工具在工控系統(tǒng)應(yīng)用是，可能會(huì)造成對(duì)延遲敏感的工控設(shè)備罷工，進(jìn)而使整個(gè)工控網(wǎng)絡(luò)的癱瘓。在空間搜索引擎出現(xiàn)后，針對(duì)于工控領(lǐng)域的掃描更是成倍數(shù)的增加，這些掃描往往不具備惡意行為，但會(huì)將設(shè)備的信息或設(shè)備的地理位置暴露。雖然入侵掃描技術(shù)和防火墻技術(shù)也可以禁止來自外界的掃描，他們卻無法捕獲掃描數(shù)據(jù)。所以只能用于應(yīng)對(duì)已知的威脅，未發(fā)對(duì)之后的攻擊做出合理的預(yù)測(cè)。與此相對(duì)應(yīng)地是以蜜罐技術(shù)為代表的主動(dòng)防御策略，它不僅可以記錄下所有的攻擊數(shù)據(jù)，還可以與實(shí)際業(yè)務(wù)脫鉤，不影響工控系統(tǒng)的功能性與業(yè)務(wù)處理上的連續(xù)性