入侵检测蜜罐简化网络安全

入侵检测是一个复杂的业务，无论你是部署一套入侵检测系统(IDS)，还是在你的网络上收集和分析计算机及设备日志，识别合法活动中的恶意流量总是既困难又费时。

概述

所幸还有蜜罐技术，通过蜜罐识别恶意流量非常简单，因为任何经过蜜罐的流量，首先要清洗一遍消除误报，当触发蜜罐设置的预警行为时，蜜罐自动向设定的支持人员发出警报，蜜罐是一个经过周密配置的伪装计算机设备，任何人都不应该接触它或尝试登录，因为所有活动都是非法的，不需要从恶意流量中分析善意的行为，唯一的问题是，入侵者有多危险?

作为一个长期从事安全的专业人士，我们在互联网上创建了八个蜜罐跟踪黑客和恶意软件行为，我可以观察到从脚本小子到职业犯罪团伙的一切活动，我可以看到和了解银行账户窃取木马的一举一动，可以第一时间看到许多新奇的黑客活动。

更重要的是，我已经认识到蜜罐在企业环境中的影响，它们作为早期预警系统而星光灿烂，我曾经看到过蜜罐在企业LAN上捕获到外国工业间谍的踪影，他们诱惑受企业信任人员帮助他们窃取机密，并以看不见的恶意软件为幌子转移安全团队的注意力，在近10年的蜜罐维护生涯中，我发现刚安装好的蜜罐一般很难立即发现恶意软件。

简而言之，作为早期预警系统，蜜罐是低成本的，低干扰和低维护的，但能在网络环境中有效地提醒威胁，可以给防御纵深方案增加一道防线。

三个常见的蜜罐解决方案

我考查了三个常见的蜜罐软件解决方案：KeyiKeyfocus的KFSensor，MicroSolved的HoneyPoint Security Server和免费开源的Honeyd。我在一个封闭的实验环境中测试了这三个蜜罐，在Windows Server 2008 R2的Hyper-V托管的虚拟机上运行，KFSensor和HoneyPoint运行在Windows 7企业版上，Honeyd运行在Ubuntu 9.10上，使用Nessus 4.2.2和BackTrack 4，从相同私有LAN上的远程物理机手动建立连接，模拟攻击探测，所有基于主机的防火墙和Windows上的用户账号控制(UAC)都被禁用了，因为它们可能会干扰各种本可以成功的攻击和探测。

为什么要使用专业的蜜罐软件?你不需要KFSensor，Honeyd或HoneyPoint Security Server建立蜜罐，我经常建议读者使用准备丢掉的旧电脑作为早期预警蜜罐系统，你已经为硬件和软件支付了费用，为什么不好好利用一下呢?

专用蜜罐软件在旧电脑上有许多优势，首先，蜜罐软件通常会为你努力工作，它们创建服务，提供大量的虚假功能，并简化了日志和报警，大多数蜜罐软件伴随低或中等交互服务，允许用户进行定制。

其次，蜜罐软件通常擅长数据捕捉，有时提供入侵检测签名，数据包捕捉和网络协议分析，并提供过滤和微调功能，例如，有些基于GUI的蜜罐允许你点击一个事件消息，创建一个"忽略规则"过滤掉合法的流量，相对于将一台旧电脑配置为蜜罐，专用蜜罐软件可以把可能需要两天的过程压缩到10或15分钟内完成。

当人们想到蜜罐时，总会不经意地比较高交互性蜜罐和低交互性蜜罐，他们通常认为复杂的，高逼真的陷阱(功能齐全的服务，好像一个真实的网站，一个电子邮件服务器等)更容易迷惑黑客，他们的一举一动都可跟踪，这种类型的高交互性蜜罐提供逼真的网络环境，成熟的蜜罐可以更好地确定黑客的动机，并更好地记录黑客都做了些什么。

例如，有一次，我在一家大型国防工业承包商现场看到，新安装的蜜罐捕获到有人在探测SharePoint Web服务器，我们快速创建了三个站点区域，旨在帮助我们勾画出入侵者的轮廓，一部分是计算机游戏，一部分容纳了NASA航天飞机计划的密码，另一部分则好像是F17战斗机飞行员通信代码，秘密的航天飞机计划被来自NASA公共网站的简单页面重定向，黑客很快就进入到航天飞机计划，开始使用SharePoint的搜索功能寻找中东议题，这可不是闹着玩的，最后我们发现一名外国间谍以临时工作人员的身份隐藏在财务部门工作。

因为高交互蜜罐需要做大量的工作以增加风险，攻击者使用这些可利用的蜜罐实施伤害行为(如攻击其它公司，安装密码嗅探器等)，我赞同大多数企业使用低或中等交互的蜜罐，中等交互的蜜罐伪装一些常见的任务，但不实现完整的服务，例如，一个伪装的FTP服务可能诱使探测者登录，或允许匿名登录，并提供虚假的文件供他们下载，一个伪装的电子邮件服务器甚至可以让攻击者读取和发送邮件，KFSensor允许在伪装的服务上发送邮件，使得潜在的垃圾邮件发送者以为他发现了一个真实的电子邮件服务器，这个想法提供了足够的功能确定入侵者是否构成了威胁，但入侵者拿不走更多东西，即使它得到的信息也全部都是伪造的，毫无用处。

低交互蜜罐是最简单的，作为早期预警系统的蜜罐通常是低交互的，意味着它们监控一或多个网络端口，当有人试图连接到特定端口时就报警，低交互蜜罐不会构造完整的合法服务，攻击者很可能不会明白为什么远程端口没有正确响应，在尝试了几次攻击失败后往往会选择放弃，但没关系，你想要记录的行为都已经全部记录下来了，想要进一步研究只需要安排好时间就可以了。

低交互蜜罐不会将自己伪装成真的服务，它们只是在有人试图搞破坏之前，向计算机安全或突发事故响应团队发出警报。

所有蜜罐软件有几个核心功能都是通用的，首先，必须开放一或多个端口和服务，吸引入侵者来攻击，其次，必须捕获到入侵者的源地址(通常为IP地址)，日期，时间和试图发送出去的数据，所有连接尝试都应该记录下来(除非明确指示要求忽略的)，并产生警报，以便突发事件响应团队可以参与进来，最后，好的蜜罐有助于数据分析，无论是通过详细的数据包分析，密码尝试分析，还是将相关探测汇集成一个事件。