17、高交互蜜罐攻击定义及系统约束集成研究

高交互蜜罐攻击定义及系统约束集成研究

高交互蜜罐攻击研究

在网络安全领域，高交互蜜罐的研究至关重要。研究基于对高交互蜜罐的研究，采用 HonSSH 蜜罐，以 SSH 外壳为主要监控对象，数据收集期为 2014 年 6 月 2 日至 7 月 2 日。

与低交互蜜罐不同，高交互蜜罐难以监控攻击者活动，也不易创建表格或统计数据，需单独处理每个攻击并结合多个监控源的数据。当蜜罐配备真实内容网站以增加吸引力时，要分离合法流量和攻击。

高交互蜜罐的模型情况

在定义攻击前，需建立高交互蜜罐的模型情况，展示将部署的系统及工作方式。运行服务是定义攻击时需考虑的元素，常见的有 Web 应用、MSSQL 服务器、SSH 服务器等。

蜜罐管理员选择提供给攻击者的服务并进行监控，同时要确保蜜罐安全，防止其攻击其他系统和网络，通常由 Honeywall 实现。Windows 系统通过 RDP 协议远程管理，对攻击者作用不大；Linux 则使用 SSH 协议管理资源，攻击者常关注 SSH 协议，如 HonSSH 蜜罐就监控该协议。

成功利用蜜罐可能会在非标准端口打开 shell，此时需采取对策，如 Honeywall 中的措施。过去使用的 Sebek 已过时，可使用特殊系统守护进程（如 Auditd）记录系统活动，但可能被复杂攻击者察觉，因此更多使用基于网络流量监控的方法。

若将上述示例作为数据收集模型，以下行为可视为攻击：
- 未知网络连接到受监控系统
- 文件修改
- 运行新进程或服务

攻击定义的方法

为找到攻击的具体定义，分析了以下两种方法：