关键词:电能采集;新技术;研究
中图分类号:TM764 文献标识码:A 文章编号:1006-8937(2013)15-0124-02
随着科学技术的不断发展,尤其是近些年来计算机技术、通信技术在电力系统中的应用越来越广泛,电能计量的手段和技术也发生了根本的变化,传统的人工抄表方式也逐渐被时代所淘汰,远程自动抄表采集已是电量采集技术发展的大趋势。通过这些改进的技术可以实现电量采集方式的根本转变,提高电能管理的效率,为智能电网的建设和运营提供更多的信息。本文对电量采集信息技术进行了分析。
1 我国现有的电量采集方式
当前我国对电量进行采集主要依靠如下方式进行实现:
①手工的电量采集方式。所谓手工的电量采集方式,就是依靠营销部电费管理人员到用电现场进行人工抄表,然后再根据抄表结果统一结算电费,这是一种最为原始的电费采集方式。
②预付费的自动计量方式。这种方式是通过IC卡将预付电费与用户所属的电度表进行结合,即让用户先交一部分钱购买电量,然后再对其进行自动计量,如果电量不够则自动断电的方式。这种方式能够实现电量的自动采集,但其主要弊端是IC卡被大量使用后,很容易被破解,且这种计费方式无法使电网公司对用户的用电情况进行及时的了解,难以对用户的用电规律进行准确的掌握。
③远程化的自动抄表采集方式。所谓远程化的自动抄表采集方式,就是通过对低压配电线路、无线电线路、电话线路和RS-485等多种通信媒体,并结合相应的微机监测控制系统,在不必到用电现场的情况下即可实现对用户电量的自动采集。其作为一种自动化程度较高、计费方式先进的电量采集方式,便于利用电网中现有的计算机及网络优势,同时有助于智能配电网中用户用电信息的采集。
2 现场总线技术在电量采集系统中应用特点
所谓现场总线控制,就是指在对电量采集过程中利用用电现场的自动化仪器所实现的能够将控制设备和计量设备相联系的一种串行的、双向的、多站式的网络通信。现场总线技术在电量采集上的应用有如下性能特点:
①现场总线技术将支持多种工作方式,在电力传输网络上的任意一个节点上通过相关的网络都可以实现对其他节点来发送信息,通信方式较为灵活。根据这一特点利用现场总线技术可以构成多种系统。
②在现场总线网络上可将其节点分为不同的优先等级,进而满足不同数据的实时要求。
③现场总线技术中可以实现非破坏的总线裁决,当出现两个或者两个以上的节点同时向网络传输数据时,能够确保优先级高的节点先传输数据,而优先级低的节点将主动停止相关数据传送。
④现场总线技术可以实现一对点和点对点的数据传送方式。
⑤利用现场总线技术所实现的最远通信距离可达到10 km,相关的通信频率可达到1 MB/s,在现场总线技术中相关的节点数可达到130多个,而采用相关的廉价双绞线即可实现相关通信。
3 电量数据采集与误差分析
3.1 脉冲电路
在原本的感应式电量采集技术的基础上,对电能计量装置加装脉冲变频器,即可实现脉冲电量采集,其具有两方面的优点:一是对相关的电量进行积累,二是对相关的电量脉冲信号进行反映,利用单片机来对电量脉冲进行计数并完成相关的分析和处理,进而得到被测的电量信息。当前,我国所使用的脉冲电量采集主要以普通的电磁感应电表为基础的,因此通过附加脉冲电路即可构成电量采集新型装置。为了便于对脉冲电度表的改造,我们利用光电反射式脉冲电路来构成相关的电路。这个电路的原理是利用传感器来对红外光进行发射,并根据所发射回来的红外光对电量信息进行计数。其所要求被检测的物体表面颜色必须是黑色的,这样才能有效对红外光对吸收和反射。相关脉冲电路的原理如图1所示。
3.2 误差的分析
电量采集新技术是在传统的电磁式电度表的基础上,通过附加相关的脉冲电路所构成的,其主要的改造方法是在电度表上加以适当的黑色记号作为标记,在其顶部布置相关的红外线发射管和接收管,当黑色的标记经过了发射与接收时,由于相关的反射信号的强度是不一样的,因此将形成一系列的触发脉冲。这种设计存在误差的原因为:
①电量采集精度受黑色标记安装位置及自然光的影响。
②当用电低谷时电度表转动较慢,特别容易出现脉冲丢失的现象。
对于情况1,通过改变接收管和标记之间距离来实现,将其距离增加为2 mm,进而对安装位置及自然光的影响进行消除。
对于情况2,通过增加采样的时间来进行解决。
4 电量采集新技术应用功能
4.1 提高电能的管理效率
通过电量采集新技术可以提高电能的管理效率,能够对相关的电量数据进行及时的跟踪,并进行有效的分析和利用,确保相关的电网运行人员对电量数据进行及时的掌握,使电网公司有效把握电力市场的需求,及时提出相应的应对方法满足用户的需求。
4.2 对电量的采集实现高效的监控
通过电量采集新技术的应用,可以实现对电能数据的远程控制与采集,这样就能够对人工半自动化抄表所存在的缺陷进行解决。电量采集新技术实现了远程的高效控制,能够有效降低相关的人工成本,对人力资源进行节约,同时还能够有效保障数据的可靠性和有针对性,为电网运营分析人员提供可靠的数据支撑的同时还有效提高了监控的效率。
4.3 对危险性进行及时的预见
通过应用电量采集新技术,电力系统能够实现对多种故障情况的预警,如相序错误、电压不稳、极性错误等,这些情况能够在运维检修部门得到及时的反应,进而得到及时的预防,这对增强整个电网的可靠性和安全性是非常重要的。应用电量采集新技术还能够实现电压质量的提高和线路稳定性的增强,便于用户更好地统计用电情况,保证了用户用的安全性和及时性。
通过应用电量采集新技术,可以实现远程的对电量通断进行控制,这样就能够有效保证电量输送的准确性,节约了人力和物力资源,并且能够对用户的用电情况进行及时的控制,避免了用户对电费的拖欠,提高了电力营销人员的工作效率。
4.4 多线程技术的应用
在电量采集新技术中,应用Windows系统中的多任务和多进程技术可以充分利用CPU的时间段,并根据一定的优先级将时间段划分为若干,在每个时间内都可以对CPU进行共享,并在微观上依次执行,在宏观上进行并发的运行。
在串口的通信方式中,每个串口对象是只有一个缓冲区的,在数据发送和接收过程中都需要进行利用,因此需要建立相关的数据同步机制,使得其在某一时刻只能进行一种操作,否则就会出现相关的通信错误。进行串口的通信在不同的进程中需要协调运行,本设计所采用的是并程的多线程技术,能够实现多线程数据的并发操作,这样不但提高了数据传输效率,而且还能够提高数据传输的实时性和可靠性。
5 结 语
在电力系统中应用电量采集新技术能够提高电量采集的精度,降低电量采集的人力、物力消耗,提高用户用电信息的采集,增强整个电力系统供电的可靠性及安全性,为电力营销人员和运检人员提供强力的数据支撑。
参考文献:
[1] 张恺,李祥珍,方成彦.信息时代的电能计量与管理模式[J].电力自动化设备,2000,(2):11-13.
[关键词]网络信息;概述;采集技术;质量控制
中图分类号:TP274.2 文献标识码:A 文章编号:1009-914X(2017)17-0352-01
1.前言
网络信息资源极为丰富,概述起来有以下几个特点:一是数字化、网络化、虚拟化;网络资源以存储方式数字化、传播方式网络化、形态结构虚拟化的方式在网上表现出来。二是内容多样性;网络资源包罗万象,具有大数量、多类型、非规范、跨时空、内容良莠不齐、质量高低不等的特点。三是资源分布无序性;网络资源的构成和分布杂乱无章,缺乏统一的结构和组织。四是资源开放性;网上资源是开放的、相关联的,用户只要将计算机连接在网络上,就可以任意浏览并下载这些网络资源。五是动态性;网上资源跨地区分布,高速传播,更新淘汰周期短、变化快、不稳定,呈高度动态性和很强的时效性。六是互动性;在网上可以形成广泛的论坛氛围,专家可以就某一专题开设电子论坛,在网上直接交流讨论、反馈用户信息,具有很强的互动功能。七是增值性;网上信息资源开发与建设的最终目的是服务。用户在网上利用各种手段查找所需的信息内容,在这一过程中信息被反复利用,不但不会导致网上信息资源损耗,反而可使信息增值。
2.网络信息采集简述
2.1 采集方式
在现在的互联网世界里,我们接触最多的网络信息是以Web页面形式存在的。另外,电子邮件、FTP、BBS、电子论坛、新闻组也是互联网上获取信息的常见渠道。平常,我们通常利用一些客户端软件手工链接到信息源去获取信息。例如,在win7平台上用户即可运用ie、谷歌、搜狗、有道、360等各类浏览器上网浏览所需的网页内容;运用搜狐邮箱、QQ邮箱、Outlook等收发邮件;运用迅雷等软件下载软件、电影、歌曲等。上述客户端或软件为用户上网或下载提供了方便,但均需通过手工输入链接以获取到所需的信息,但是当今网络信息爆炸,大量的信息汇聚在一起,单纯依靠手工输入的方式无形中增加了搜索的工作量和难度,难以满足用户的需求。因此,基于上述情况,信息采集与推送技术应运而生,为用户浏览信息和接收信息提供了极大便利。
2.2 采集技术
在网络信息时代,短时间内获取大量信息的最有效方式就是信息采集,尤其是在创建新站点的过程中信息采集是最常用的方式。运用采集软件或采集器即可从特定的采集对象中自动获取到所需的信息,以填充到新站点之中。网络搜索引擎也是通过一个叫做WebCrawler的机器人程序负责网络信息的采集工作的。WebCrawler是一种能够利用Web文档内的超链接递归地访问新文档的程序,它以一个或一组URL为浏览起点,对相应的WWW文档进行访问。当一个文档上传到服务器之后即有可能被搜索引擎抓取以创建文档索引,该文档中蕴含的超链接则会被WebCrawler再次抓取且再次创建新的文档索引,如此循环。一方面,为WebCrawler的抓取工作提供了海量的资源;另一方,丰富了网民的网络世界,实现了信息的快速流通。这种信息采集方式集合了定题收集与定向收集以及跟踪收集等方式,具有采集灵活与方便的特性。
2.3 推送技g
网络公司根据自身的需求运用相应的网络技术并设定一定的标准,从海量的网络信息世界中采集所需的信息,经过加工处理之后再传递给用户。在该模式下,用户没有主动获取信息之权而且被动的接受网络公司提供的信息,但却节省了自身搜集信息的时间与成本。
3.网络信息采集技术类型
3.1 网络信息挖掘技术
网络信息挖掘技术是指在主题样本的基础上,得到数据间的内在特征,并以此为依据在网络中挖掘与用户需求一致的信息的技术。它是数据挖掘技术在网络中的应用,整合了全文检索、人工智能、模式识别、神经网络等技术。网络信息挖掘根据用户提供的主题,提取主题特征信息,根据主题特征自动在网络中挖掘信息,然后对挖掘到的信息进行整理,导入信息库,以备过滤之用。
3.2 网络信息抽取技术
网络信息抽取技术是指从网络自然语言文本中抽取更符合采集主题的信息,并形成结构化数据输出的技术。它是在机器学习、模式挖掘、自然语言处理等技术基础之上发展起来的一项新技术。网络信息抽取步骤主要分为命名实体识别、句法分析、篇章分析与理解以及知识获取。①命名实体识别。命名实体是文本中的基本信息元素,是正确理解文本的基础。命名实体是现实世界中的具体或抽象实体,例如通常由唯一标识符(专有名称)表示的人员,组织,公司,地点等,例如姓名,组织名称,公司名称,地名等。②句法分析。它是计算机通过语法分析来理解自然语言的基础,例如完整的分析树或一组分析树片段。③篇章分析与理解。一般来说,用户的兴趣通常在文本的不同位置传播,文本中隐藏着很多。为了从文本中准确提取相关信息,信息提取系统必须能够识别文本和文本之间的常见现象。如果文本的来源更广泛,许多文本可能会描述相同的实体,并且不同文本之间将存在语义歧义。如果同一个词有不同的含义,不同的词意味着一个意思。为了避免重复信息,冲突,信息提取系统需要识别和处理能力参考现象。④知识获取。作为一种自然语言处理系统,网络信息抽取技术需要知识库的支撑。知识库主要包括:词典、抽取模式库、篇章分析和推理规则库等。
4.网络信息采集过程中的质量控制
4.1 网络信息内容的选择
由于当今网络站点数以万计而且每日处于增长之中,信息每日俱增,大量内容相似乃至重复的内容充斥其中,对于用普通用户而言难以控制信息的重叠,只能被动的接受。尤其是在我国网络管理制度不健全的大环境下,加之搜索引擎在创建之初缺乏信息,并未对信息进行分类和筛选而是全盘接收,由此直接导致了网络信息的泛滥与内容低质化。当用户搜索过程中,搜索引擎呈现出来的是多样化且相关性不强的内容,增加了用户选择的时间和成本,不利于网络环境建设与信息采集。为此,在信息采集过程中必须要制定相应的控制措施,合理选择内容,针对性进行采集。
4.2 网络信息的采集策略
综合上述分析,在信息采集过程中可制定以下几点采集控制措施:其一,根据需求合理控制信息采集的深度,以节省资源和提升效率。针对网页链接层次较深的站点,全站采集不仅难度较大而且极耗时间,因此结合信息内容确定网页深度,达到一定的深度即可无需再进行采集;其二,根据采集信息的内容,剔除无关紧要或无需采集的链接。一个站点包含了大量链接,其中可能存在诸多重复链接与死链等,对于这样的链接在采集过程中应加以规避,避免占用采集资源;其三,限制搜索跳转。作为专业搜索引擎,要采集的信息资源通常集中在几个固定的初始网站内,这样就不希望网站采集器跳转到其它的网站;其四,根据采集需求,剔除无需采集的文件类型。任何一个网站均含有诸多文件类型,视频、动画、图片等而且图片又可以分为.bmp,.jpg,.gif诸多格式。因此,在采集过程中可根据需求设定采集条件,剔除掉无需采集的文件类型,避免其占用有限的采集资源,提升采集效率。
5.结束语
对于网络信息我们要加强采集利用,通过合理的采集手段保证信息的采集质量。
参考文献
[1] 郭岩,王宇.网络信息抽取技术研究[J].信息技术快报,2016(6):15-23.
[2] 刘柏嵩.信息过滤研究[J].现代图书情报技术,2016,(6):23-26.
物流信息技术是物流现代化的重要标志,也是物流技术中发展最快的领域,从数据采集的条形码系统,到办公自动化系统中的微机、互联网,各种终端设备以及计算机软件都在发生日新月异的变化。同时,随着物流信息技术的不断发展,产生了一系列新的物流理念和新的物流经营方式,推动了物流变革。
2 物流信息采集技术专利申请总体分析
2.1 专利发展趋势
有关物流信息采集技术的专利申请,笔者在CNABS专利数据库中进行了检索和统计。截止到2015年1月1日,该领域在中国提出的相关申请共283篇。这283篇申请的时间分布如图1所示。
由图1可以看出,相关专利的申请量从2010年左右开始快速增加,直到2014年仍然保持快速增长的势头。
2.2 国内外主要申请人
笔者通过对283篇专利进行进一步筛选,对其中的重要申请人进行统计,结果如图2所示。从图2可以看出,国外主要申请人有IPS株式会社、美国联合包裹服务公司、沙微科技公司、统一包裹服多美国有限公司、亚马逊科技公司等;国内主要申请人有京东、国家电网公司、小米、广西科技大学、上海交通大学。由此可见物流信息采集技术的专利主要掌握在涉及物流行业的大公司手中。
2.3 国内重要申请人的技术发展
目前,物流信息系统技术普遍应用于涉及到物流管理的电子商务公司,京东是中国具有独立物流的大型电子商务公司,其物流信息系统技术也走在世界前列。最初,京东是通过扫描货物包装上的订单号,进而管理货物的物流信息,如专利申请(CN201210406497,20121023)公开了一种提供货物运送轨迹的方法和装置以及终端装置,并公开了通过在配送站接受到订单时对订单号进行扫描,进而获取货物的位置信息。专利申请(CN201510054618,20150202)公开了对包裹上的二维码上的信息进行采集,因为采用二维码能够承载丰富的信息,能够提高分拣机分配包裹的准确率。专利申请(CN201610179222,20160325)公开了一种订单复合方法,通过在周转箱上设置电子标签,并在货位上设置RFID读写器,用于根据读取信息产生控制指令将周转箱输送到指定的打包台上。由此可见,京东也是按照从一维码到二维码,再到RFID标签这种技术路线对其物流系统进行逐步升级的,以实现自动化程度越来越高的物流管理系统。
3 物流信息采集技术专利申请总体分析
物流信息采集技术是伴随着条码技术的发展而发展的,每次条码信息量的增加都会促进物流信息采集技术的进步,进而改变物流管理技术。①一维条码技术。一维条码是由一组规则排列的条、空以及对应的数字组成,这种用条、空组成的数据编码可以供机器识读,而且很容易译成二进制数和十进制数。例如,申请号为CN200510068107的专利文献公开了,通过使用物流码管理物流,其中物流码可以是一维码。②二维条码技术[1]。其在水平和垂直方向的二维空间存储信息,除具备一维条码的优点外,同时还有信息容量大、可靠性高、保密防伪性强等优点。例如,申请号为CN200920123339的专利文献公开了,将二维码附着在水产品上,实现水产品质量安全全程可追溯。③磁条技术。磁条(卡)技术以涂料形式,把一层薄薄的、由定向排列的铁性氧化粒子用树脂粘合在一起,并粘在諸如纸或塑料这样的非磁性基片上。例如,申请号为CN02823311的专利申请文献公开了,通过在医疗产品中加入质量保证组件,来保证医疗产品质量,其中质量保证组件使用磁条卡。④视觉识别技术。视觉识别系统是一种通过对一些有特征的图像分析和识别,能够对限定的标志、字符、数字等图像内容进行信息采集。例如,申请号为CN200510014458公开了一种物流作业系统,并具体公开了由机械手把货物送入视觉检测作业单元,由视觉检测系统对货物进行图形、图像、成品和废品识别。⑤接触式智能卡技术。智能卡是一种将具有处理能力、加密存储功能的集成电路芯片,嵌装在一个与信用卡一样大小的基片中的信息存储技术,通过识读器接触芯片可以读取芯片中的信息。例如,申请号为CN200620115652的专利申请公开了一种物流远程实时管理装置,可以使用智能卡识别使用者身份。⑥射频识别技术[2]。该技术是一种利用射频通信实现的非接触式自动识别技术。例如,申请号为CN201510076092的专利文献公开了一种基于物联网技术的快速盘点仓储系统,其通过在物资上设置RFID标签实现对物资
的自动化管理。
关键字蜜罐,交互性,入侵检测系统,防火墙
1引言
现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。
2蜜罐技术基础
2.1蜜罐的定义
蜜罐是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2蜜罐的分类
根据蜜罐的交互程度,可以将蜜罐分为3类:
蜜罐的交互程度(LevelofInvolvement)指攻击者与蜜罐相互作用的程度。
⑴低交互蜜罐
只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
⑵中交互蜜罐
也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
⑶高交互蜜罐
由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
2.3蜜罐的拓扑位置
蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。
如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。
⑴防火墙之前:如见图1中蜜罐(1),蜜罐会吸引象端口扫描等大量的攻击,而这些攻击不会被防火墙记录也不让内部IDS系统产生警告,只会由蜜罐本身来记录。
因为位于防火墙之外,可被视为外部网络中的任何一台普通的机器,不用调整防火墙及其它的资源的配置,不会给内部网增加新的风险,缺点是无法定位或捕捉到内部攻击者,防火墙限制外向交通,也限制了蜜罐的对内网信息收集。
⑵防火墙之后:如图1中蜜罐(2),会给内部网带来安全威胁,尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务,有些是互联网的输出服务,要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则,因此要谨慎设置,保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区DMZ内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。DMZ内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据P2DR动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴防护蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵检测蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用,蜜罐的误报率远远低于大部分IDS工具。
另外目前的IDS还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶响应蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
4蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“Peeking”机制。
⑴记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵采用“Peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理员一般只能察看运行的进程,检查日志和应用MD-5检查系统文件的一致性。
对于UNIX系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
·MD-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。
·库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构,仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如,在UNIX操作系统中,超级用户能应用truss或strace命令来监督任何进程,当一个象grep(用来文本搜索)的命令突然开始与系统日志记录进程通信,攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。
另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入UNIX内核,这样攻击者很难探测到。修改UNIX内核不象修改UNIX系统文件那么容易,而且不是所有的UNIX版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的方法。
4.2基于网络的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如Linux系统的tcpdump兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。
⑵入侵检测系统
网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用HIDS记录进出蜜罐的所有数据包,也可以配置NIDS只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时NIDS充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的NIDS都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的NIDS就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整IDS配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如Whois,Portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5蜜罐的安全性分析
5.1蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵对蜜罐失去控制
对蜜罐失去控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、DDOS攻击等。
5.2降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络交通就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴在给定时间间隔只允许定量的IP数据包通过。
⑵在给定时间间隔只允许定量的TCPSYN数据包。
⑶限定同时的TCP连接数量。
⑷随机地丢掉外向IP包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的IDS,丢弃与指定特征相符的包,如使用Hogwash包过滤器。
6结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考文献
[1]熊华,郭世泽等.网络安全—取证与蜜罐[M].北京人民邮电出版社,2003,97-136
[2]LanceSpitzner.DefinitionsandValueofHoneypots.[EB/OL]..2002.
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(Honeypot)[J].计算机应用,2003,23(S1):259-261.
[4]马晓丽,赵站生,黄轩.Honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
关键字 蜜罐,交互性,入侵检测系统,防火墙
1引言
现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。
2蜜罐技术基础
2.1 蜜罐的定义
蜜罐是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2 蜜罐的分类
根据蜜罐的交互程度,可以将蜜罐分为3类:
蜜罐的交互程度(Level of Involvement)指攻击者与蜜罐相互作用的程度。
⑴ 低交互蜜罐
只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
⑵ 中交互蜜罐
也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
⑶ 高交互蜜罐
由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
2.3蜜罐的拓扑位置
蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。
如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。
⑴ 防火墙之前:如见图1中蜜罐(1),蜜罐会吸引象端口扫描等大量的攻击,而这些攻击不会被防火墙记录也不让内部IDS系统产生警告,只会由蜜罐本身来记录。
因为位于防火墙之外,可被视为外部网络中的任何一台普通的机器,不用调整防火墙及其它的资源的配置,不会给内部网增加新的风险,缺点是无法定位或捕捉到内部攻击者,防火墙限制外向交通,也限制了蜜罐的对内网信息收集。
⑵ 防火墙之后:如图1中蜜罐(2),会给内部网带来安全威胁,尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务,有些是互联网的输出服务,要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则,因此要谨慎设置,保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区DMZ内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。DMZ内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3 蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据P2DR动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴ 防护 蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵ 检测 蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统IDS来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使IDS失去有效的报警作用,蜜罐的误报率远远低于大部分IDS工具。
另外目前的IDS还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶ 响应 蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
4 蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1 基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“Peeking”机制。
⑴ 记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、USB或Firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵ 采用“Peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理 员一般只能察看运行的进程,检查日志和应用MD-5检查系统文件的一致性。
对于UNIX系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
·MD-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的MD-5校验和来测试蜜罐。
·库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构,仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如,在UNIX操作系统中,超级用户能应用truss或strace命令来监督任何进程,当一个象grep(用来文本搜索)的命令突然开始与系统日志记录进程通信,攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。
转贴于
另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入UNIX内核,这样攻击者很难探测到。修改UNIX内核不象修改UNIX系统文件那么容易,而且不是所有的UNIX版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的方法。
4.2 基于网络的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴ 防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如Linux系统的tcpdump兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的IP告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。
⑵ 入侵检测系统
网络入侵检测系统NIDS在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用HIDS记录进出蜜罐的所有数据包,也可以配置NIDS只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,NIDS还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时NIDS充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的NIDS都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的NIDS就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整IDS配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3 主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如Whois,Portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5 蜜罐的安全性分析
5.1 蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴ 未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵ 对蜜罐失去控制
对蜜罐失去控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶ 对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、DDOS攻击等。
5.2 降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络交通就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴ 在给定时间间隔只允许定量的IP数据包通过。
⑵ 在给定时间间隔只允许定量的TCP SYN数据包。
⑶ 限定同时的TCP连接数量。
⑷ 随机地丢掉外向IP包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的IDS,丢弃与指定特征相符的包,如使用Hogwash包过滤器。
6 结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考文献
[1] 熊华,郭世泽等.网络安全—取证与蜜罐[M].北京人民邮电出版社,2003,97-136
[2] Lance Spitzner.Definitions and Value of Honeypots.[EB/OL]. spiter.net.2002.
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(Honeypot) [J].计算机应用,2003,23(S1):259-261.
[4]马晓丽,赵站生,黄轩.Honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
关键字 蜜罐,交互性,入侵检测系统,防火墙
1引言
现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。
2蜜罐技术基础
2.1 蜜罐的定义
蜜罐是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
蜜罐在编写新的ids特征库、发现系统漏洞、分析分布式拒绝服务(ddos)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(ids)、防火墙(firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2 蜜罐的分类
根据蜜罐的交互程度,可以将蜜罐分为3类:
蜜罐的交互程度(level of involvement)指攻击者与蜜罐相互作用的程度。
⑴ 低交互蜜罐
只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
⑵ 中交互蜜罐
也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
⑶ 高交互蜜罐
由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
2.3蜜罐的拓扑位置
蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。
如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。
⑴ 防火墙之前:如见图1中蜜罐(1),蜜罐会吸引象端口扫描等大量的攻击,而这些攻击不会被防火墙记录也不让内部ids系统产生警告,只会由蜜罐本身来记录。
因为位于防火墙之外,可被视为外部网络中的任何一台普通的机器,不用调整防火墙及其它的资源的配置,不会给内部网增加新的风险,缺点是无法定位或捕捉到内部攻击者,防火墙限制外向交通,也限制了蜜罐的对内网信息收集。
⑵ 防火墙之后:如图1中蜜罐(2),会给内部网带来安全威胁,尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务,有些是互联网的输出服务,要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则,因此要谨慎设置,保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区dmz内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。dmz内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3 蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据p2dr动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴ 防护 蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵ 检测 蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统ids来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使ids失去有效的报警作用,蜜罐的误报率远远低于大部分ids工具。
另外目前的ids还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶ 响应 蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
4 蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1 基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“peeking”机制。
⑴ 记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、usb或firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵ 采用“peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理 员一般只能察看运行的进程,检查日志和应用md-5检查系统文件的一致性。
对于unix系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
·md-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的md-5校验和来测试蜜罐。
·库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构,仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如,在unix操作系统中,超级用户能应用truss或strace命令来监督任何进程,当一个象grep(用来文本搜索)的命令突然开始与系统日志记录进程通信,攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。
另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入unix内核,这样攻击者很难探测到。修改unix内核不象修改unix系统文件那么容易,而且不是所有的unix版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的方法。
4.2 基于网络的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴ 防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如linux系统的tcpdump兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的ip告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。
⑵ 入侵检测系统
网络入侵检测系统nids在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用hids记录进出蜜罐的所有数据包,也可以配置nids只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,nids还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时nids充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的nids都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的nids就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整ids配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3 主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如whois,portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5 蜜罐的安全性分析
5.1 蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴ 未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵ 对蜜罐失去控制
对蜜罐失去控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶ 对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、ddos攻击等。
5.2 降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络交通就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴ 在给定时间间隔只允许定量的ip数据包通过。
⑵ 在给定时间间隔只允许定量的tcp syn数据包。
⑶ 限定同时的tcp连接数量。
⑷ 随机地丢掉外向ip包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的ids,丢弃与指定特征相符的包,如使用hogwash包过滤器。
6 结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考文献
[1] 熊华,郭世泽等.网络安全—取证与蜜罐[m].北京人民邮电出版社,2003,97-136
[2] lance spitzner.definitions and value of honeypots.[eb/ol]. .2002.
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(honeypot) [j].计算机应用,2003,23(s1):259-261.
[4]马晓丽,赵站生,黄轩.honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
关键字 蜜罐,交互性,入侵检测系统,防火墙
1引言
现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。
2蜜罐技术基础
2.1 蜜罐的定义
蜜罐是指受到严密监控的网络诱骗系统,通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其行为和过程进行分析,以搜集信息,对新攻击发出预警,同时蜜罐也可以延缓攻击和转移攻击目标。
蜜罐在编写新的ids特征库、发现系统漏洞、分析分布式拒绝服务(ddos)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(ids)、防火墙(firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
2.2 蜜罐的分类
根据蜜罐的交互程度,可以将蜜罐分为3类:
蜜罐的交互程度(level of involvement)指攻击者与蜜罐相互作用的程度。
⑴ 低交互蜜罐
只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单,部署容易,风险很低,所能收集的信息也是有限的。
⑵ 中交互蜜罐
也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
⑶ 高交互蜜罐
由真实的操作系统来构建,提供给黑客的是真实的系统和服务。给黑客提供一个真实的操作系统,可以学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客,也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
2.3蜜罐的拓扑位置
蜜罐本身作为一个标准服务器对周围网络环境并没有什么特别需要。理论上可以布置在网络的任何位置。但是不同的位置其作用和功能也是不尽相同。
如果用于内部或私有网络,可以放置在任何一个公共数据流经的节点。如用于互联网的连接,蜜罐可以位于防火墙前面,也可以是后面。
⑴ 防火墙之前:如见图1中蜜罐(1),蜜罐会吸引象端口扫描等大量的攻击,而这些攻击不会被防火墙记录也不让内部ids系统产生警告,只会由蜜罐本身来记录。
因为位于防火墙之外,可被视为外部网络中的任何一台普通的机器,不用调整防火墙及其它的资源的配置,不会给内部网增加新的风险,缺点是无法定位或捕捉到内部攻击者,防火墙限制外向交通,也限制了蜜罐的对内网信息收集。
⑵ 防火墙之后:如图1中蜜罐(2),会给内部网带来安全威胁,尤其是内部网没有附加的防火墙来与蜜罐相隔离。蜜罐提供的服务,有些是互联网的输出服务,要求由防火墙把回馈转给蜜罐,不可避免地调整防火墙规则,因此要谨慎设置,保证这些数据可以通过防火墙进入蜜罐而不引入更多的风险。
优点是既可以收集到已经通过防火墙的有害数据,还可以探查内部攻击者。缺点是一旦蜜罐被外部攻击者攻陷就会危害整个内网。
还有一种方法,把蜜罐置于隔离区dmz内,如图1中蜜罐(3)。隔离区只有需要的服务才被允许通过防火墙,因此风险相对较低。dmz内的其它系统要安全地和蜜罐隔离。此方法增加了隔离区的负担,具体实施也比较困难。
3 蜜罐的安全价值
蜜罐是增强现有安全性的强大工具,是一种了解黑客常用工具和攻击策略的有效手段。根据p2dr动态安全模型,从防护、检测和响应三方面分析蜜罐的安全价值。
⑴ 防护 蜜罐在防护中所做的贡献很少,并不会将那些试图攻击的入侵者拒之门外。事实上蜜罐设计的初衷就是妥协,希望有人闯入系统,从而进行记录和分析。
有些学者认为诱骗也是一种防护。因为诱骗使攻击者花费大量的时间和资源对蜜罐进行攻击,从而防止或减缓了对真正系统的攻击。
⑵ 检测 蜜罐的防护功能很弱,却有很强的检测功能。因为蜜罐本身没有任何生产行为,所有与蜜罐的连接都可认为是可疑行为而被纪录。这就大大降低误报率和漏报率,也简化了检测的过程。
现在的网络主要是使用入侵检测系统ids来检测攻击。面对大量正常通信与可疑攻击行为相混杂的网络,要从海量的网络行为中检测出攻击是很困难的,有时并不能及时发现和处理真正的攻击。高误报率使ids失去有效的报警作用,蜜罐的误报率远远低于大部分ids工具。
另外目前的ids还不能够有效地对新型攻击方法进行检测,无论是基于异常的还是基于误用的,都有可能遗漏新型或未知的攻击。蜜罐可以有效解决漏报问题,使用蜜罐的主要目的就是检测新的攻击。
⑶ 响应 蜜罐检测到入侵后可以进行响应,包括模拟回应来引诱黑客进一步攻击,发出报警通知系统管理员,让管理员适时的调整入侵检测系统和防火墙配置,来加强真实系统的保护等。
4 蜜罐的信息收集
要进行信息分析,首先要进行信息收集,下面分析蜜罐的数据捕获和记录机制。根据信息捕获部件的位置,可分为基于主机的信息收集和基于网络的信息收集。
4.1 基于主机的信息收集
基于主机的信息收集有两种方式,一是直接记录进出主机的数据流,二是以系统管理员身份嵌入操作系统内部来监视蜜罐的状态信息,即所谓“peeking”机制。
⑴ 记录数据流
直接记录数据流实现一般比较简单,主要问题是在哪里存储这些数据。
收集到的数据可以本地存放在密罐主机中,例如把日志文件用加密技术放在一个隐藏的分区中。本地存储的缺点是系统管理员不能及时研究这些数据,同时保留的日志空间可能用尽,系统就会降低交互程度甚至变为不受监控。攻击者也会了解日志区域并且试图控制它,而使日志文件中的数据不再是可信数据。
因此,将攻击者的信息存放在一个安全的、远程的地方相对更合理。以通过串行设备、并行设备、usb或firewire技术和网络接口将连续数据存储到远程日志服务器,也可以使用专门的日志记录硬件设备。数据传输时采用加密措施。
⑵ 采用“peeking”机制
这种方式和操作系统密切相关,实现相对比较复杂。
对于微软系列操作系统来说,系统的源代码是很难得到,对操作系统的更改很困难,无法以透明的方式将数据收集结构与系统内核相结合,记录功能必须与攻击者可见的用户空间代码相结合。蜜罐管理 员一般只能察看运行的进程,检查日志和应用md-5检查系统文件的一致性。
对于unix系列操作系统,几乎所有的组件都可以以源代码形式得到,则为数据收集提供更多的机会,可以在源代码级上改写记录机制,再重新编译加入蜜罐系统中。需要说明,尽管对于攻击者来说二进制文件的改变是很难察觉,一个高级黑客还是可能通过如下的方法探测到:
·md-5检验和检查:如果攻击者有一个和蜜罐对比的参照系统,就会计算所有标准的系统二进制文件的md-5校验和来测试蜜罐。
·库的依赖性和进程相关性检查:即使攻击者不知道原始的二进制系统的确切结构,仍然能应用特定程序观察共享库的依赖性和进程的相关性。例如,在unix操作系统中,超级用户能应用truss或strace命令来监督任何进程,当一个象grep(用来文本搜索)的命令突然开始与系统日志记录进程通信,攻击者就会警觉。库的依赖性问题可以通过使用静态联接库来解决。
另外如果黑客攻陷一台机器,一般会安装所谓的后门工具包,这些文件会代替机器上原有的文件,可能会使蜜罐收集数据能力降低或干脆失去。因此应直接把数据收集直接融入unix内核,这样攻击者很难探测到。修改unix内核不象修改unix系统文件那么容易,而且不是所有的unix版本都有源代码形式的内核。不过一旦源代码可用,这是布置和隐藏数据收集机制有效的方法。
4.2 基于网络的信息收集
基于主机的信息收集定位于主机本身,这就很容易被探测并终止。基于网络的信息收集将收集机制设置在蜜罐之外,以一种不可见的方式运行,很难被探测到,即使探测到也难被终止,比基于主机的信息收集更为安全。可以利用防火墙和入侵检测系统从网络上来收集进出蜜罐的信息。
⑴ 防火墙
可以配置防火墙记录所有的出入数据,供以后仔细地检查。用标准文件格式来记录,如linux系统的tcpdump兼容格式,可以有很多工具软件来分析和解码录制的数据包。也可以配置防火墙针对进出蜜罐数据包触发报警,这些警告可以被进一步提炼而提交给更复杂的报警系统,来分析哪些服务己被攻击。例如,大部分利用漏洞的程序都会建立一个shell或打开某端口等待外来连接,防火墙可以记录那些试图与后门和非常规端口建立连接的企图并且对发起源的ip告警。防火墙也是数据统计的好地方,进出数据包可被计数,研究黑客攻击时的网络流量是很有意义的。
⑵ 入侵检测系统
网络入侵检测系统nids在网络中的放置方式使得它能够对网络中所有机器进行监控。可以用hids记录进出蜜罐的所有数据包,也可以配置nids只去捕获我们感兴趣的数据流。
在基于主机的信息收集中,高明的入侵者会尝试闯入远程的日志服务器试图删除他们的入侵记录,而这些尝试也正是蜜罐想要了解和捕获的信息。即使他们成功删除了主机内的日志,nids还是在网内静静地被动捕获着进出蜜罐的所有数据包和入侵者的所有活动,此时nids充当了第二重的远程日志系统,进一步确保了网络日志记录的完整性。
当然,不论是基于误用还是基于异常的nids都不会探测不到所有攻击,对于新的攻击方式,特征库里将不会有任何的特征,而只要攻击没有反常情况,基于异常的nids就不会触发任何警告,例如慢速扫描,因此要根据蜜罐的实际需要来调整ids配置。
始终实时观察蜜罐费用很高,因此将优秀的网络入侵检测系统和蜜罐结合使用是很有用的。
4.3 主动的信息收集
信息也是可以主动获得,使用第三方的机器或服务甚至直接针对攻击者反探测,如whois,portscan等。这种方式很危险,容易被攻击者察觉并离开蜜罐,而且不是蜜罐所研究的主要范畴。
5 蜜罐的安全性分析
5.1 蜜罐的安全威胁
必须意识到运行蜜罐存在的一定的风险,有三个主要的危险是:
⑴ 未发现黑客对蜜罐的接管
蜜罐被黑客控制并接管是非常严重的,这样的蜜罐已毫无意义且充满危险。一个蜜罐被攻陷却没有被蜜罐管理员发现,则蜜罐的监测设计存在着缺陷。
⑵ 对蜜罐失去控制
对蜜罐失去控制也是一个严重的问题,一个优秀的蜜罐应该可以随时安全地终止进出蜜罐的任何通讯,随时备份系统状态以备以后分析。要做到即使蜜罐被完全攻陷,也仍在控制之中。操作者不应该依靠与蜜罐本身相关的任何机器。虚拟机同样存在危险,黑客可能突破虚拟机而进入主机操作系统,因此虚拟蜜罐系统的主机同样是不可信的。
失去控制的另一方面是指操作者被黑客迷惑。如黑客故意制造大量的攻击数据和未过滤的日志事件以致管理员不能实时跟踪所有的活动,黑客就有机会攻击真正目标。
⑶ 对第三方的损害
指攻击者可能利用蜜罐去攻击第三方,如把蜜罐作为跳板和中继发起端口扫描、ddos攻击等。
5.2 降低蜜罐的风险
首先,要根据实际需要选择最低安全风险的蜜罐。事实上并不总是需要高交互蜜罐,如只想发现公司内部的攻击者及谁探查了内部网,中低交互的蜜罐就足够了。如确实需要高交互蜜罐可尝试利用带防火墙的蜜网而不是单一的蜜罐。
其次,要保证攻击蜜罐所触发的警告应当能够立即发送给蜜罐管理员。如探测到对root权限的尝试攻击就应当在记录的同时告知管理员,以便采取行动。要保证能随时关闭蜜罐,作为最后的手段,关闭掉失去控制的蜜罐,阻止了各种攻击,也停止了信息收集。
相对而言保护第三方比较困难,蜜罐要与全球的网络交互作用才具有吸引力而返回一些有用的信息,拒绝向外的网络交通就不会引起攻击者太大的兴趣,而一个开放的蜜罐资源在黑客手里会成为有力的攻击跳板,要在二者之间找到平衡,可以设置防火墙对外向连接做必要的限定:
⑴ 在给定时间间隔只允许定量的ip数据包通过。
⑵ 在给定时间间隔只允许定量的tcp syn数据包。
⑶ 限定同时的tcp连接数量。
⑷ 随机地丢掉外向ip包。
这样既允许外向交通,又避免了蜜罐系统成为入侵者攻击他人的跳板。如需要完全拒绝到某个端口的外向交通也是可以的。另一个限制方法是布置基于包过滤器的ids,丢弃与指定特征相符的包,如使用hogwash包过滤器。
6 结语
蜜罐系统是一个比较新的安全研究方向。相对于其它安全机制,蜜罐使用简单,配置灵活,占用的资源少,可以在复杂的环境下有效地工作,而且收集的数据和信息有很好的针对性和研究价值。既能作为独立的安全信息工具,还可以与其他的安全机制协作使用,取长补短地对入侵进行检测,查找并发现新型攻击和新型攻击工具。
蜜罐也有缺点和不足,主要是收集数据面比较狭窄和给使用环境引入了新的风险。面对不断改进的黑客技术,蜜罐技术也要不断地完善和更新。
参考文献
[1] 熊华,郭世泽等.网络安全—取证与蜜罐[m].北京人民邮电出版社,2003,97-136
[2] lance spitzner.definitions and value of honeypots.[eb/ol]. .2002.
[3]赵伟峰,曾启铭.一种了解黑客的有效手段—蜜罐(honeypot) [j].计算机应用,2003,23(s1):259-261.
[4]马晓丽,赵站生,黄轩.honeypot—网络陷阱.计算机工程与应用,2003.39(4):162-165.
