• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      校園網(wǎng)部署虛擬蜜罐的關(guān)鍵點(diǎn)研究

      2018-04-26 01:47:17黃旭鵬鐘平
      現(xiàn)代計(jì)算機(jī) 2018年5期
      關(guān)鍵詞:入侵者蜜罐攻擊者

      黃旭鵬,鐘平

      (1.韓山師范學(xué)院計(jì)算機(jī)與信息工程學(xué)院,潮州 521041;2.韓山師范學(xué)院網(wǎng)絡(luò)與教育技術(shù)中心,潮州 521041)

      0 引言

      校園網(wǎng)擔(dān)負(fù)著學(xué)校教學(xué)、科研、管理和服務(wù)等重任,與此同時(shí)也面臨著來(lái)自不同層面的安全威脅問(wèn)題,如操作系統(tǒng)漏洞、惡意攻擊、病毒攻擊等威脅時(shí)刻存在。

      根據(jù)前期調(diào)研結(jié)果顯示,我校校區(qū)多、網(wǎng)絡(luò)覆蓋面積廣、網(wǎng)絡(luò)使用群體大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜,目前部署有防火墻、入侵檢測(cè)系統(tǒng)、用戶行為審計(jì)系統(tǒng)等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備,防火墻等傳統(tǒng)安全技術(shù)均屬于被動(dòng)防御技術(shù)。蜜罐技術(shù)是基于主動(dòng)安全策略的安全防護(hù)技術(shù),在現(xiàn)有的校園網(wǎng)安全防護(hù)體系中加入蜜罐技術(shù)并利用它對(duì)網(wǎng)絡(luò)攻擊者所進(jìn)行的各種非法入侵活動(dòng)進(jìn)行提前預(yù)警和事后響應(yīng),可以起到主動(dòng)防御的作用;此外,通過(guò)對(duì)非法入侵者的入侵?jǐn)?shù)據(jù)分析,可以幫助網(wǎng)絡(luò)安全管理人員修復(fù)一些未知的系統(tǒng)漏洞以及追蹤定位攻擊者的位置,提高抵御網(wǎng)絡(luò)入侵的能力。這對(duì)校園網(wǎng)安全可起到重要的保障作用,具有較好的應(yīng)用價(jià)值。

      1 蜜罐技術(shù)簡(jiǎn)介

      1.1 蜜罐技術(shù)

      蜜罐是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng),是網(wǎng)絡(luò)安全人員經(jīng)過(guò)精心設(shè)計(jì)而部署下的誘捕攻擊者的陷阱。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力[1]。

      “蜜網(wǎng)項(xiàng)目組”創(chuàng)始人Lance Spitzner提出“蜜罐是一種安全資源,其價(jià)值在于被掃描、攻擊和攻陷”,這一定義在業(yè)界得到普遍的認(rèn)可。

      1.2 蜜罐的價(jià)值

      (1)蜜罐的優(yōu)勢(shì)

      監(jiān)控、監(jiān)測(cè)和分析攻擊活動(dòng)是蜜罐的核心價(jià)值所在。作為新型的主動(dòng)防御技術(shù),蜜罐在網(wǎng)絡(luò)安全應(yīng)用中有其優(yōu)勢(shì):

      ①數(shù)據(jù)低污染,監(jiān)測(cè)準(zhǔn)確率高。蜜罐通過(guò)仿真而并非對(duì)外提供具有實(shí)質(zhì)性的系統(tǒng)服務(wù),它只針對(duì)試圖進(jìn)行非法攻擊的行為產(chǎn)生記錄,刨除了正常網(wǎng)絡(luò)用戶的數(shù)據(jù)流,是一個(gè)低數(shù)據(jù)污染的系統(tǒng),安全監(jiān)測(cè)的準(zhǔn)確率高且漏報(bào)率小。

      ②部署成本較低,易于實(shí)現(xiàn)。搭建真實(shí)蜜罐環(huán)境或使用虛擬蜜罐環(huán)境,在部署和實(shí)現(xiàn)上都比較簡(jiǎn)單,配置靈活且易于管理和維護(hù),所耗資源極少。許多蜜罐軟件都是以開(kāi)源的方式公開(kāi)在互聯(lián)網(wǎng)供免費(fèi)下載。

      ③使用簡(jiǎn)單,適用性強(qiáng)。蜜罐系統(tǒng)對(duì)攻擊行為的監(jiān)測(cè)并非局限于某種特定的攻擊技術(shù)或攻擊行為,具有較好的適應(yīng)能力,不需要維護(hù)特征數(shù)據(jù)庫(kù),也無(wú)需通過(guò)復(fù)雜算法來(lái)實(shí)現(xiàn),能捕獲新的攻擊技術(shù)和方法供安全人員進(jìn)行分析。

      (2)蜜罐的缺陷

      蜜罐作為整個(gè)安全防御體系的一部分,也有其自身一些缺陷:

      ①模擬的局限性。蜜罐設(shè)計(jì)或模擬出存在漏洞主機(jī),與真實(shí)主機(jī)系統(tǒng)相比還是存在差別,技術(shù)較高的攻擊者利用反蜜罐技術(shù)能識(shí)別出蜜罐的存在。

      ②數(shù)據(jù)收集范圍有限。蜜罐僅記錄與其產(chǎn)生交互的數(shù)據(jù)流,一旦攻擊者發(fā)現(xiàn)并繞過(guò)蜜罐對(duì)其他網(wǎng)絡(luò)設(shè)備實(shí)施攻擊,蜜罐也將無(wú)法發(fā)捕捉到攻擊者的信息。

      ③面臨一定風(fēng)險(xiǎn)。為盡可能多的收集到入侵者的信息,包括攻擊所用的工具、實(shí)施攻擊的思路和方法等,安全管理人員主動(dòng)將蜜罐暴露在網(wǎng)絡(luò)中,提供仿真服務(wù)誘導(dǎo)入侵者對(duì)其進(jìn)行攻擊。但如果蜜罐被識(shí)破,安裝蜜罐系統(tǒng)的主機(jī)系統(tǒng)存在被入侵者攻陷的風(fēng)險(xiǎn),有可能成為攻擊者對(duì)蜜罐主機(jī)所在網(wǎng)絡(luò)實(shí)施攻擊的跳板。

      1.3 蜜罐的分類

      可從不同的角度對(duì)蜜罐系統(tǒng)進(jìn)行分類,按照部署目的可分為產(chǎn)品型蜜罐和研究型蜜罐;按照蜜罐與攻擊者的交互程度劃分可分為低交互蜜罐、中交互蜜罐、高交互蜜罐;按照蜜罐運(yùn)行環(huán)境及實(shí)現(xiàn)方式可分為虛擬機(jī)蜜罐和物理蜜罐。

      1.4 虛擬蜜罐技術(shù)

      隨著VMware、VBOX等虛擬化技術(shù)的發(fā)展,越來(lái)越多的服務(wù)器使用虛擬系統(tǒng)提供服務(wù),虛擬蜜罐便是基于虛擬化技術(shù)實(shí)現(xiàn)的蜜罐系統(tǒng)[2]。在攻擊者的視角中,在虛擬系統(tǒng)中的蜜罐與真實(shí)物理蜜罐并無(wú)差別,兩者本質(zhì)上是一致的。相比較而言,物理蜜罐的部署需要投入大量的硬件設(shè)備且每臺(tái)設(shè)備都需要單獨(dú)進(jìn)行配置。虛擬蜜罐可以根據(jù)需要在一臺(tái)主機(jī)上部署多個(gè)虛擬蜜罐主機(jī),而且在虛擬技術(shù)的支持下,即使蜜罐系統(tǒng)被入侵者攻破了也能利用快照技術(shù)快速將其還原到初始狀態(tài),大大地降低部署和維護(hù)的成本。

      2 校園網(wǎng)部署虛擬蜜罐方案研究

      2.1 方案設(shè)計(jì)目標(biāo)

      方案要結(jié)合防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具,引入虛擬蜜罐系統(tǒng),設(shè)計(jì)并構(gòu)造一個(gè)具有主動(dòng)防御功能的校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng),主要目標(biāo)如下:

      ①蜜罐系統(tǒng)與現(xiàn)有網(wǎng)絡(luò)安全防護(hù)產(chǎn)品進(jìn)行聯(lián)動(dòng),防御來(lái)自校園網(wǎng)外部的攻擊,對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行取證,使網(wǎng)絡(luò)安全管理人員做到及時(shí)響應(yīng)。

      ②通過(guò)對(duì)蜜罐采集到的信息,對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)進(jìn)行檢測(cè)、監(jiān)控,精準(zhǔn)定位攻擊源并采取相應(yīng)的安全措施,以防御來(lái)自校園內(nèi)部的網(wǎng)絡(luò)攻擊。

      ③在重要服務(wù)器群中部署虛擬蜜罐系統(tǒng),起到迷惑、干擾和拖延非法入侵行為的作用。

      ④捕獲并收集各類非法攻擊行為的數(shù)據(jù),為網(wǎng)絡(luò)管理員發(fā)現(xiàn)及修補(bǔ)安全漏洞提供參考。

      2.2 校園網(wǎng)部署虛擬蜜罐關(guān)鍵問(wèn)題

      (1)蜜罐類型的選擇

      蜜罐根據(jù)交互程度、實(shí)現(xiàn)方式等因素的不同而有相應(yīng)的軟件,需根據(jù)安全需求情況來(lái)確定蜜罐的選擇。表1對(duì)不同交互程度的蜜罐進(jìn)行了比較。

      表1 不同交互程度蜜罐對(duì)比[3]

      在虛擬蜜罐的使用上,我們選取Honeyd[4]、Dionaea[5]、Kippo[6]、Glastopf NG[7]和 PAMPot[8]等經(jīng)典蜜罐工具,根據(jù)各自特點(diǎn)和功能部署在相應(yīng)網(wǎng)絡(luò)節(jié)點(diǎn)上,盡可能覆蓋關(guān)鍵網(wǎng)絡(luò)位置。

      (2)蜜罐部署位置的選擇

      圖1 韓山師范學(xué)院校園網(wǎng)絡(luò)拓?fù)?/p>

      以我校校園網(wǎng)為例,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。為盡可能多地捕獲入侵行為的數(shù)據(jù),需考慮根據(jù)不同蜜罐各自的特性,將其部署在網(wǎng)絡(luò)中合適的位置,以達(dá)到最佳效果。根據(jù)我校的網(wǎng)絡(luò)實(shí)際情況,可從下圖中的A、B、C和D是個(gè)點(diǎn)來(lái)考慮部署相應(yīng)的蜜罐系統(tǒng)。

      圖2 虛擬蜜罐部署位置分析

      根據(jù)不同位置部署相應(yīng)蜜罐系統(tǒng),其優(yōu)缺點(diǎn)如下表所示。

      (3)蜜罐部署數(shù)量(密度)的確定

      蜜罐部署數(shù)量是一個(gè)重要因素,對(duì)于單點(diǎn)位置部署而言,蜜罐系統(tǒng)的防御效果取決于蜜罐的數(shù)量和網(wǎng)絡(luò)中需保護(hù)的真實(shí)主機(jī)(服務(wù)器)數(shù)量的比例,稱作成功預(yù)防率[9](或防御期望值)。在文獻(xiàn)[9]中提到,單點(diǎn)蜜罐部署上隨著蜜罐數(shù)量的增多,網(wǎng)絡(luò)成功預(yù)防率雖有提高,但提高的效率越來(lái)越低,蜜罐數(shù)目和被保護(hù)主機(jī)數(shù)目之間存在一個(gè)合適的比例。理論上,當(dāng)部署蜜罐數(shù)量為被保護(hù)主機(jī)數(shù)量的2倍時(shí)為最佳,但這有待通過(guò)實(shí)踐進(jìn)一步驗(yàn)證。

      在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中部署虛擬蜜罐,限于IP資源有限,盡可能采取接近最佳理論值的數(shù)量來(lái)進(jìn)行配置,根據(jù)實(shí)際情況進(jìn)行動(dòng)態(tài)調(diào)整。

      2.3 虛擬蜜罐部署實(shí)施

      綜合前文所述,結(jié)合我校校園網(wǎng)的實(shí)際,考慮虛擬蜜罐部署的引入風(fēng)險(xiǎn)等因素,分別在圖2中的B、C和D三個(gè)點(diǎn)部署一定數(shù)量的不同交互度的虛擬蜜罐,與防火墻、入侵檢測(cè)系統(tǒng)等傳統(tǒng)的網(wǎng)絡(luò)安全工具配合適用,構(gòu)建出一個(gè)具有主動(dòng)防御功能的校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

      3 實(shí)驗(yàn)測(cè)試結(jié)果及應(yīng)用場(chǎng)景

      3.1 實(shí)驗(yàn)測(cè)試

      以部署于D點(diǎn)的Honeyd蜜罐的一段日志記錄為例,IP地址為210.38.**9.0/24網(wǎng)段部署了重要服務(wù)器,利用空余IP地址資源,部署數(shù)量相當(dāng)于真實(shí)服務(wù)器數(shù)量2倍的虛擬蜜罐,通過(guò)虛擬蜜罐配置模板可輕松創(chuàng)

      表2 蜜罐部署位置優(yōu)缺點(diǎn)對(duì)比

      建出虛擬蜜罐主機(jī)??珊?jiǎn)單的通過(guò)如下綁定IP的命令既可實(shí)現(xiàn):

      表3 校園網(wǎng)部署虛擬蜜罐情況

      假定入侵者繞過(guò)防火墻及IDS的監(jiān)測(cè)對(duì)上述網(wǎng)段進(jìn)行入侵前的掃描,掃描及虛擬蜜罐工作情況如圖3、4所示。

      通過(guò)上述實(shí)驗(yàn)過(guò)程及結(jié)果,可以清晰的看到虛擬蜜罐將入侵者與之產(chǎn)生的交互行為進(jìn)行了詳盡的記錄,日志信息中出現(xiàn)了同一IP對(duì)多個(gè)虛擬蜜罐不同端口都進(jìn)行了掃描,日志信息對(duì)網(wǎng)絡(luò)安全人員而言是極具分析價(jià)值的。

      圖3 Nmap攻擊掃描信息片段

      圖4 虛擬蜜罐捕捉到數(shù)據(jù)片段

      3.2 應(yīng)用場(chǎng)景

      引入虛擬蜜罐系統(tǒng)部署在校園網(wǎng)中,可應(yīng)對(duì)如下安全情形:

      (1)蠕蟲(chóng)病毒的檢測(cè)與防范:一旦校園網(wǎng)發(fā)生蠕蟲(chóng)病毒的傳播,可利用低交互虛擬蜜罐負(fù)責(zé)誘騙和重定向攻擊流,高交互物理蜜罐實(shí)現(xiàn)蠕蟲(chóng)捕獲與分析,還可配合入侵檢測(cè)系統(tǒng)等工具的使用對(duì)蠕蟲(chóng)病毒源頭進(jìn)行精準(zhǔn)定位并采取隔離或斷網(wǎng)等措施。

      (2)惡意掃描防范:根據(jù)蜜罐捕獲的IP及MAC地址等信息,配合防火墻規(guī)則的建立及使用,對(duì)發(fā)起惡意掃描的攻擊源采取防火墻過(guò)濾等措施;特別是對(duì)于來(lái)自校園網(wǎng)內(nèi)部的的攻擊也可精準(zhǔn)定位到攻擊者所在,加以警告或做相應(yīng)處理。

      (3)防御非法入侵:利用低交互虛擬蜜罐,配置多個(gè)仿真服務(wù)及開(kāi)放端口的主機(jī),干擾迷惑入侵者對(duì)被保護(hù)服務(wù)器主機(jī)的攻擊;利用高交互蜜罐對(duì)入侵者的行為進(jìn)行取證,截獲惡意代碼及攻擊者所使用的工具;從安全研究的角度,可對(duì)攻擊者實(shí)施攻擊的思路和技術(shù)方法進(jìn)行深入研究,反向?qū)π@網(wǎng)存在的漏洞進(jìn)行修補(bǔ)。

      (4)DDoS攻擊防范:基于蜜罐技術(shù)的DDoS攻擊的防御機(jī)制可通過(guò)重定向器重定向入侵者對(duì)真實(shí)服務(wù)器的攻擊到蜜罐系統(tǒng)中,并由蜜罐記錄攻擊行為數(shù)據(jù),為后續(xù)制定防御措施提供重要資料。

      4 結(jié)語(yǔ)

      本文結(jié)合不同類型蜜罐技術(shù)特征,綜合考慮蜜罐部署的位置、數(shù)量等因素,嘗試在校園網(wǎng)部署虛擬蜜罐系統(tǒng),使校園網(wǎng)具備主動(dòng)防御的能力。在后續(xù)工作中將對(duì)部署方案實(shí)施的效果,從蜜罐數(shù)據(jù)控制、數(shù)據(jù)捕獲及數(shù)據(jù)分析等方面深入研究,進(jìn)一步優(yōu)化蜜罐的部署,使之更好地與傳統(tǒng)安全設(shè)備進(jìn)行聯(lián)動(dòng),抵御各類網(wǎng)絡(luò)威脅。

      參考文獻(xiàn):

      [1]諸葛建偉,唐勇,韓心慧,段海新.蜜罐技術(shù)研究與應(yīng)用進(jìn)展[J].軟件學(xué)報(bào),2013,24(4):826.

      [2]張龍生.虛擬蜜網(wǎng)關(guān)機(jī)技術(shù)研究與實(shí)現(xiàn)[D].北京郵電大學(xué),2014,12.

      [3]馬莉波.惡意移動(dòng)代碼傳播與監(jiān)測(cè)模型研究[D].清華大學(xué),2009,4.

      [4]Honeyd.http://www.honeyd.org/

      [5]Nepenthes Development Team.Dionaea.2011.http://dionaea.carnivore.it/

      [6]Kippo—SSH Honeypot.2011.http://code.google.com/p/kippo/

      [7]Rist L,Vetsch S,Koβin M,Mauer M.Know your Tools:Glastopf—A Dynamic,Low-interaction Web Application Honeypot.2011.http://honeynet.org/papers/KYT_glastopf

      [8][0]Pickett N.SPAMPot.py—Spam honeypot SMTP server.2011.http://woozle.org/~neale/src/python/spampot.py

      [9]馬莉波,段海新,李星.蜜罐部署分析[J].大連理工大學(xué)學(xué)報(bào),2005.10,45.

      猜你喜歡
      入侵者蜜罐攻擊者
      入侵者的秘密武器
      基于微分博弈的追逃問(wèn)題最優(yōu)策略設(shè)計(jì)
      蜜罐蟻
      中外文摘(2019年20期)2019-11-13 02:57:53
      被自己撐死的蜜罐蟻
      知識(shí)窗(2019年6期)2019-06-26 04:27:09
      基于博弈的蜜罐和入侵檢測(cè)系統(tǒng)最優(yōu)配置策略
      正面迎接批判
      愛(ài)你(2018年16期)2018-06-21 03:28:44
      哈密瓜:鄉(xiāng)間蜜罐
      有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
      “外星人”入侵檔案之隱形入侵者
      小行星2014 AA:地球的新年入侵者
      章丘市| 淮北市| 鄂托克前旗| 翼城县| 昌都县| 裕民县| 荔波县| 观塘区| 华阴市| 新民市| 肃北| 建昌县| 西乌珠穆沁旗| 张家口市| 拜泉县| 图片| 哈巴河县| 兴城市| 绥化市| 洛南县| 元阳县| 阳东县| 琼中| 吉木乃县| 建德市| 廊坊市| 阿坝县| 霸州市| 桐庐县| 禄丰县| 津南区| 香河县| 平武县| 都江堰市| 乌海市| 格尔木市| 和平县| 新乐市| 潼南县| 德惠市| 四川省|