网络空间安全小论文

      这绝逼是我大学生涯写得最垃圾的一篇论文了,更可笑的是我当时写完还觉得我牛逼坏了。别人都写上万字,我只写3000多字。。。。。。排版还差的一批。。。。。md,啥也不说了,把它发上来,就当是鞭策自己。

          

 

 

 

蜜罐技术概论
——王熙隆PB19051182

 

目录

1.蜜罐技术的概念、种类、内部结构

 

2.蜜罐技术的优点

 

3.结语


1、蜜罐技术的概念 、种类及原理       

       在进入正文之前,我们先讲讲为什么会叫“蜜罐”这个名字?我猜,在以前,蜜罐是用来抓熊的,通过伪装成“食物”引诱熊来享用,诱使熊进入圈套,最后猎人将熊一举拿下。
       到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。
        百度百科上对蜜罐技术的定义是这样的:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。蜜罐是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。”我认为,蜜罐技术是布置一些作为诱饵的主机、网络服务或者信息,是一个故意让人攻击的目标。有了蜜罐技术就会知道黑客是如何得逞的,就能随时了解对服务器发动的最新攻击和服务器的漏洞,还能借此捕获一些情报,了解黑客的信息、证据。
       具体来讲,蜜罐可以分为低交互蜜罐和高交互蜜罐两大类。
       低交互蜜罐只模拟攻击者经常请求的服务。由于它们消耗的资源相对较少,因此可以在一个物理系统上轻松托管多个虚拟机,虚拟系统的响应时间短,所需的代码更少,从而降低了虚拟系统安全性的复杂性。
       但是这种简单的蜜罐更多是起到干扰攻击者的作用,并不能获取到更多攻击者信息。
       而高交互蜜罐能用蜜罐获取到更多的攻击者信息,比如攻击者的IP,就可以对攻击来源打上标记,这样一来就可以直接防御来自被标记的攻击,御敌于“国门”之外,大大减轻安全压力。高交互蜜罐提供真实的操作系统和真实的服务,这种蜜罐的交互性最强,收集到的数据也最全面。
       除此之外,要想了解蜜罐,还必须要知道它是由哪些内容组成的。
       简而言之,蜜罐是由以下几个部分构成:
     1. 诱骗系统:主要功能是在特定 IP 服务端口侦听并像应用服务程序那样对特定的网络请求进行应答。
     2. 弱化系统:在外部可访问的网络部署一台没有打补丁的系统,等待入侵者入侵并做记录。(该部分意义不大,攻击行为是已知的,且高维护低收益)。
     3. 强化系统:和弱化系统一样提供一个真实的操作系统,不过该操作系统是安全的。能在攻击者入侵时记录入侵行为,能捕获到比较全面的入侵信息。
     4. 用户模式服务器:实际上是一个用户进程,它运行在主机上,并模拟成一个真实服务器。当外部用户向该模拟的服务器发送消息时,主机会把该消息转发到该用户进程上。


2、蜜罐技术的优点

       在这个数据比黄金还宝贵的时代,蜜罐技术几乎被应用于所有领域。
       警方可以利用蜜罐技术获得罪犯的详细情报,从而确定罪犯的身份、收集犯罪证据。
在电影《无间道》中,警方发现自己这边有内鬼但是并不知道是谁,于是假装传递含有内鬼信息的信封,刘德华饰演的内鬼摸不清底细,冒险去拿了这个信封。在这个情节里,这个伪装成情报的信封就相当于“蜜罐”。
       那为什么蜜罐技术会得到这么广泛的应用呢?
       因为蜜罐技术具有以下显著的优点
       蜜罐技术使用简单。相对于其他安全措施,蜜罐最大的优点就是简单。蜜罐中并不涉及到任何特殊的计算,不需要保存特征数据库,也没有需要进行配置的规则库。(但是如果一个蜜罐过于简单,就难于逼真,得不到多少有用信息,并且随着入侵技术的不断发展,蜜罐的运行难度也在不断提高。所以我认为,这个优势在未来有可能会丧失)
        资源占用少。相比于其他需要占用大量内存的系统,蜜罐需要做的仅仅是捕获进入系统的所有数据,对那些尝试与自己建立连接的行为进行记录和响应,所以几乎不会出现资源耗尽的情况。(同上一条,现在技术更新换代非常快,蜜罐技术已经不再是当前互联网最主流的安全技术,企业也不能只依赖蜜罐技术来保护自己。所以,这就存在一个问题,企业部署蜜罐的同时还得部署传统的被动防御,这样一来安全成本就大大提高,蜜罐技术所占用的资源也就大大增加。所以我认为,这一个优势有可能将会在未来丧失)
     数据价值高。蜜罐收集的数据并不是很多,但这些收集到的数据通常都带有非常有价值的信息。安全防护中最大的问题之一是从成千上万的网络数据中寻找自己所需要的数据。如果使用其他安全系统,大多数情况下,运行者不得不从成千上万的网络数据中寻找自己需要的数据。这样做需要消耗大量的时间和精力,效率低下。如果使用蜜罐技术引诱黑客,就能有针对性的收集自己所需要的数据。相比于其他系统,运行者不需要花费过多的时间和精力,这就达到了事半功倍的效果。蜜罐监控者只要记录下进出系统的每个数据包,就能够对黑客的所作所为一清二楚。蜜罐本身上面的日志文件也是很好的数据来源。并且,蜜罐系统不提供任何实际业务服务。对于通常的网站或邮件服务器,攻击流量通常会被合法流量所淹没。而蜜罐进出的数据大部分是攻击流量(因为它具有正式IP地址,但没有域名。因为没有域名,网络用户访问不到这些资源,但黑客利用扫描却可以找到它)。因而,浏览数据、查明攻击者的实际行为也就容易多了。也就是说,蜜罐收集到的信息很大可能是由于黑客攻击造成的,漏报和误报率较低。
      蜜罐技术可以收集新的攻击工具和攻击方法。不像目前的大部分防火墙和入侵检测系统只能根据特征匹配方法来检测已知的攻击,蜜罐技术不仅可以检测已知的攻击,还可以剖析这些攻击。运行者可以通过蜜罐技术收集到非常有价值的数据,然后对这些数据进行分析和综合,并借助这些数据对黑客的攻击工具和攻击方法进行研究,寻找反击黑客的方法。比如说,一些企业为了查找恶意入侵者,也会故意设置一些有不明显漏洞的蜜罐,让入侵者在不起疑心的情况下被记录下一切行动证据(有些人把此戏称为“监狱机”)。通过与电信局的配合,企业可以轻易揪出IP源头的那双黑手。运行者还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。比如说,2018年轰动一时的荷兰警方打击汉莎暗网市场事件,在调查期间警方就曾采用蜜罐技术来追逐汉莎暗网市场的用户。荷兰警方借助蜜罐技术钓鱼取证平台使用者信息,从而一举端掉平台(此处不详细叙述,如果想进一步了解这件事情的经过,可以访问链接https://www.sohu.com/a/227719792_467760)。国外一家名叫ZeroFOX的研究公司也曾利用蜜罐技术识破网上招聘中的骗局,帮助求职者区分真正的招聘者和假冒的招聘者。(详细内容见https://blog.csdn.net/weixin_34268579/article/details/90496268
       蜜罐技术不需要强大的资金投入,可以用一些低成本的设备。设置蜜罐并不难,只要在外部因特网上有一台计算机,运行没有打上补丁的微软Windows或者Red Hat Linux,并在计算机和因特网之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。
       蜜罐技术可以及时地阻断网络入侵行为。运行者可以设置蜜罐迷惑攻击者,拖延攻击时间,从而保护真正的应用。如果蜜罐被设置得与内部网络服务器一样,当一个入侵者费尽力气入侵了这台蜜罐的时候,管理员已经收集到足够的攻击数据来加固真实的服务器,这样做不仅能为运行者争取到充足的时间、打击黑客的信心,还分散了黑客对生产系统的注意力,影响了黑客对攻击目标的选择。当黑客选择蜜罐作为攻击目标时,耗费了黑客的时间和精力,延迟了黑客实施有效攻击的时间;由于网络用户的正常活动一般访问不到蜜罐,对蜜罐的任何访问都被认为是可疑的,黑客在蜜罐上的活动从一开始就会被注意到。就是说蜜罐可以使黑客的活动较早地暴露出来。


3、结语


        蜜罐对信息安全的直接作用是不大的,它主要作用是更多地了解黑客,提高安全防范水平。蜜罐首先要伪装得真实,让黑客难于识破真伪。其次,在对黑客行为进行控制方面要宽严适度,太宽风险太大,太严也留不住黑客。另外黑客在攻入系统后,往往要清除自己活动的痕迹。这时如何收集到有效的数据,是我们不得不思考的问题。故意开着漏洞却没有完善的记录处理环境的服务器,不能称为蜜罐。因此蜜罐必须要有自己独特的信息采集手段,否则无法收集到有效的数据,无法起到实际作用。并且我们需要知道,蜜罐并不是当前互联网世界最主流的安全技术,企业也不能只依赖蜜罐技术来保护自己。另外,蜜罐还有可能被黑客反利用。蜜罐作为一种诱饵,存在被攻破的可能性,如果是部署在物理机上的蜜罐,甚至可能被黑客作为跳板来入侵,这种风险也是企业用户不得不考虑的因素之一。另一方面,随着网络入侵类型的多样化和网络入侵技术的不断完善,蜜罐的运行难度也在不断提高。所以,对于中小企业来说,蜜罐技术大部分时候还处于纸上谈兵的阶段。在这个瞬息万变的时代,如何将蜜罐技术普及,使蜜罐技术走进普通的中小企业,也是一个非常值得我们思考的问题。
总之,随着网络入侵类型的多样化发展,蜜罐也必须进行多样化的演绎,否则它有一天将被其他更简单、更容易使用的技术所取代。

返回顶部

             

✉️ wxl20010508@mail.ustc.edu.cn

Copyright ©王熙隆 2020