提高蜜罐安全能力的技术有哪些
提高蜜罐安全能力的技术有以下这些:
重定向技术: 重定向技术大致分为入侵检测、转发决策、流量调度和响应回复4个阶段。在入侵检测阶段,蜜场需要对网络流量进行解析和分类,为转发决策提供依据。在转发决策阶段,依据专家知识构建决策模型将不同流量进行区分,常用的判断方式有正常与异常判断、低交互与高交互判断等。在流量调度阶段,通过TCP重放或代理的方式将攻击流导向不同的目标。在响应回复阶段,整合不同诱饵的响应进行筛选分析,选择最佳响应返回给攻击者。重定向技术的重点在于转发决策和流量调度。决策模型主要依赖于专家知识,而缺乏对交互反馈的关注,导致重定向决策的灵活性不足。此外,相关文献对跨网段流量调度中的转发决策也缺乏深入研究。
IP空间欺骗技术:IP空间欺骗利用计算机的多宿主能力在一块儿网卡上分配多个IP地址来增加入侵者的搜索空间来从而显著增加他们的工作量。这项技术和虚拟机技术结合可建立一个大的虚拟网段,且花费极低。蜜罐系统采用APR地址欺骗技术,探测现有网络环境中不存在的IP地址,并发送APR数据包假冒不存在的主机从而达到IP欺骗的效果,例如典型的使用这种技术的蜜罐Honeyd。
组织信息欺骗技术:如果某个组织提供有关个人和系统信息的访问,那么欺骗也必须以某种方式反映出这些信息。例如,如果组织的DNS服务器包含了个人系统拥有者及其位置的详细信息,那么你就需要在欺骗的DNS列表中具有伪造的拥有者及其位置,否则欺骗很容易被发现。而且,伪造的人和位置也需要有伪造的信息如薪水、预算和个人记录等等。
模拟系统漏洞和应用服务技术:模拟系统漏洞和应用服务为攻击者提供的交互能力比端口模拟高得多。它们可以预期一些活动,并且旨在可以给出一些端口响应无法给出的响应。譬如,可能有一种蠕虫病毒正在扫描特定的IIS漏洞,在这中情况下,可以构建一个模拟MicrosoftIISWeb服务器的honeypot,并包括通常会伴该程序的一些额外的功能或者行为。无论何时对该honeypot建立HTTP连接,它都会以一个IISWeb服务器的身份加以响应,从而为攻击者提供一个与实际的IISWeb服务器进行交互的机会。这种级别的交互比端口模拟所收集到的信息要丰富得多。
流量仿真技术:入侵者侵入系统后,他们的动作通常是小心、谨慎的。他们可能会使用一些工具分析系统的网络流量,如果发现系统少有网络流量,那系统的真实性势必会受到怀疑。流量仿真是利用各种技术产生欺骗的网络流量使流量分析不能检测到欺骗。现在主要的方法有两种。一是采用实时或重现的方式复制真正的网络流量,这使得欺骗系统与真实的系统十分相似。二是从远程伪造流量,使入侵者可以发现和利用。
模拟服务端口技术:侦听非工作的服务端口是诱骗黑客攻击的常用欺骗手段。当黑客通过端口扫描检测到系统打开了非工作的服务端口,他们很可能主动向这些端口发起连接,并试图利用已知系统或应用服务的漏洞来发送攻击代码。而蜜罐系统通过端口响应来收集所需要的信息。
网络动态配置技术:真实网络系统的状态一般会随时间而改变的,如果欺骗是静态的,那么在入侵者的长期监视下欺骗就容易暴露。因此需要动态地配置我们的系统以使其状态象真实的网络系统那样随时间而改变,从而更接近真实的系统,增加蜜罐的欺骗性。
模拟网络服务技术:网络服务往往与特定的系统漏洞联系在一起,网络服务往往是攻击者侵入系统的入口,网络服务可以吸引黑客的注意,同时也使蜜罐更接近一个真实的系统。