- 文献综述(或调研报告):
关于欺骗技术,所谓欺骗,就是网络安全人员综合利用各种现有的计算机技术,将原本假的,非真实的、没有价值的信息伪装成在攻击者看来真实的、有价值的信息的过程。欺骗技术一开始是攻击者使用的一种伪装方式,使得即使攻击被发现,网络安全人员也无法查到真正的攻击源。后来安全人员同样也利用欺骗来保护网络。目前主流的欺骗系统是由蜜罐实现的。
传统的网络安全工作侧重于探测和预防等防御技术,而避开了进攻性技术。较为常用的是通过发现防御中的任何漏洞并对其进行补丁修复,以尽可能保护自己的系统。蜜罐和蜜网是这些技术的延伸。蜜罐被设计成一个诱饵来引诱网络攻击者,并检测、转移或研究试图获得未经授权访问信息系统的企图。通常他由计算机、应用程序和数据组成,这些数据模拟真实系统的行为,该系统看起来是网络的一部分,但实际上是隔离的,并受到密切的监视。
蜜罐是一种主动检测机制,是一种不应该接收任何合法流量的机器,因此,任何发送到蜜罐的流量很可能是一种正在进行的攻击,可以通过分析来揭示攻击者的漏洞。
文章[1]中作者构建了一种社交蜜罐,用来抵御社区中的恶意攻击。作者的总体研究目标是研究自动检测和过滤针对社会系统的恶意用户的技术和开发有效的工具。具体来说,其方法是部署社会蜜罐配置文件,以吸引恶意账户的攻击,并使用一组用户特征和蜜罐部署的特征来创建一个基于机器学习算法修饰的恶意概要分类器,用于高精度、低误报率地识别恶意账户。
该蜜罐由一个合法的配置文件和一个相关的机器人来检测恶意行为。如果社交蜜罐检测到可疑的用户活动(例如,honeypot配置文件收到一个未经允许的好友请求),社交蜜罐机器人就将恶意攻击的证据收集起来。随着社交蜜罐不断地收集证据,他们从收集到的候选档案中提取可观察到的特征(如好友数量、档案上的文字、年龄等)。与一组已知的合法配置文件相结合,作者称这种类型的策略为基于特征的策略。这种策略借助机器学习,为蜜罐提供分析及学习能力,增加了在社交网络上检测攻击者的可能性。该方法基于三个阶段:社交蜜罐的部署,通过部署蜜罐收集用户数据,根据用户特征和部署蜜罐的特征对用户进行分类。通过观察社交蜜罐的四种行为,包括跟踪、提及、转发和发布带有敏感关键词的推文,来分析社交蜜罐如何吸引恶意配置文件。
所以蜜罐的主要目的是引诱攻击者与蜜罐进行交互,并收集有关威胁或攻击向量的信息,以便更新组织的防御。根据交互级别其分为低交互(LIH)、中交互(MIH)和高交互蜜罐(HIH),这表示攻击者可以对他们进行多少活动。高交互蜜罐是一个为攻击者提供真实服务的全服务系统,但它需要大量的计算资源。另一方面,低交互蜜罐为攻击者提供了有限的访问和模拟服务。尽管它需要的资源更少,但是更容易被攻击者发现。
文章[2]中作者提出了一种基于web的低交互客户端蜜罐。该工具通过模拟特定的web浏览器,然后下载目标web站点的响应,从而与给定的URL进行交互。然后,使用可以检测已知恶意签名的Honeyware提供的扫描引擎检查此响应。客户端蜜罐架构分为三个主要部分:队列、客户端和分析引擎。其中队列负责为客户机创建一个要与之交互的服务器列表。客户端是发出请求并与队列收集的服务器进行交互的组件。分析引擎负责确定和检查客户端蜜罐的状态,以查看是否发生了攻击。
Honeyware的提出是为了解决低交互的客户端蜜罐容易被攻击者躲避的问题。为了通过Honeyware模拟web浏览器,每个web浏览器使用一个特定的用户代理,该代理是一个字符串,首先发送到目标服务器进行访问。用户代理包括重要的信息,如web浏览器名称、版本和主机操作系统名称。攻击者可以利用这一点来为每个浏览器提供漏洞,而是由JS可以很容易的完成对web浏览器的分析检测。
作者又提出了风险更低的方案:将所有URL传给一个高交互的客户端蜜罐,将判断为良性的URL再传给低交互蜜罐,以验证结果并提供另一层检测。虽然这一手段很缓慢,但是其检测结果更为精确。
蜜罐是作为系统的模拟而存在的,但是由于对攻击方向的不明确,维护一个没有任何攻击者感兴趣的信息的蜜罐是很昂贵的。必须只维护那些可能成为攻击者潜在目标的蜜罐。
课题毕业论文、文献综述、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
