無(wú)線(xiàn)802.11蜜罐研究綜述

1.6 典型的無(wú)線(xiàn)802.11蜜罐的比較與評估
無(wú)線(xiàn)802.11蜜罐比較的指標主要包括:安全級別是公有還是私有;是否支持802.11a/b/g;欺騙手段是否支持偽造AP信標幀、偽造有線(xiàn)網(wǎng)絡(luò )結構、偽造緩沖區溢出;AP是真實(shí)還是偽造;AP的數量;是否支持802.1X/EAP;是否支持MAC地址過(guò)濾、日志、嗅探;是否開(kāi)源等。參考文獻[3]根據這些指標對大部分典型的無(wú)線(xiàn)802.11蜜罐進(jìn)行了詳細的比較,并得出評估結論,即HoneySpot在眾多蜜罐中最為有效。
2 無(wú)線(xiàn)802.11蜜罐的應用
隨著(zhù)無(wú)線(xiàn)802.11蜜罐研究的深入,應用領(lǐng)域和研究范圍從開(kāi)始的部署和架構研究轉向入侵檢測系統(IDS)和入侵防御系統(IPS),應用范圍也不僅是WLAN，已擴展到基于IEEE802.11的其他無(wú)線(xiàn)網(wǎng)絡(luò )如Adhoc網(wǎng)絡(luò )、無(wú)線(xiàn)Mesh網(wǎng)絡(luò )等。
2.1 入侵檢測
入侵檢測是通過(guò)收集計算機網(wǎng)絡(luò )或計算機系統中的若干關(guān)鍵點(diǎn)的信息并對其進(jìn)行分析，從中發(fā)現網(wǎng)絡(luò )或系統中是否有違反安全策略的行為和被攻擊的跡象?，F有的無(wú)線(xiàn)802.11蜜罐應用于入侵檢測的兩種方式：(1)與現有的IDS軟件聯(lián)動(dòng)(如Snort、WIDZ)。此時(shí)的無(wú)線(xiàn)802.11蜜罐其實(shí)充當的是IDS的信息收集器,如縱深欺騙型蜜罐、WHIP[6]、HoneySpot。(2)利用無(wú)線(xiàn)802.11蜜罐檢測特定的攻擊。如參考文獻[7]提出的一種用于檢測黑洞攻擊的無(wú)線(xiàn)Mesh網(wǎng)絡(luò )蜜罐,該蜜罐通過(guò)發(fā)送偽造的RREQ報文，引誘黑洞攻擊節點(diǎn)發(fā)送聲稱(chēng)自己具有最佳路由的偽造RREP,蜜罐可記錄下這些信息從而檢測到黑洞節點(diǎn)。
2.2 入侵防御
入侵防御是在入侵檢測的基礎上,具備阻止/阻塞檢測到的攻擊的能力。參考文獻[8]提出了一種基于規劃識別和蜜罐的無(wú)線(xiàn)入侵防御系統，可識別攻擊者的攻擊規劃并作出預先決策，通過(guò)管理控制臺發(fā)送警告信息或斷開(kāi)網(wǎng)絡(luò ),該系統的結構如圖4所示。

3 無(wú)線(xiàn)802.11蜜罐的主要挑戰和發(fā)展方向
3.1 拒絕服務(wù)攻擊防御
　 目前應用蜜罐防御拒絕服務(wù)的研究均在有線(xiàn)網(wǎng)絡(luò )環(huán)境下進(jìn)行，目的是引入蜜罐使得真實(shí)主機受到攻擊的概率和強度降低,同時(shí)將攻擊定向在蜜網(wǎng)內，以減少危害。研究包括將固定配置的蜜罐改進(jìn)為可漫游的蜜罐,即服務(wù)器池中的機器可以動(dòng)態(tài)地在服務(wù)態(tài)和蜜罐態(tài)之間切換;研究利用蜜罐回溯到拒絕服務(wù)攻擊的源,并使其停止。然而這需要網(wǎng)絡(luò )硬件設備的支持(如路由器的支持)。而如何在上述研究基礎上,利用無(wú)線(xiàn)蜜罐抵御無(wú)線(xiàn)網(wǎng)絡(luò )的拒絕服務(wù)攻擊還有待研究。
3.2 偽裝技術(shù)
采用真實(shí)的計算機系統構建蜜罐系統,其交互程度高,但部署和管理困難;采用虛擬仿真技術(shù),其部署容易,風(fēng)險較低,但是交互程度低,較容易識別。雖然檢測和攻擊蜜罐的技術(shù)也在發(fā)展,但如何通過(guò)增強系統偽裝智能性,感知和學(xué)習實(shí)時(shí)的無(wú)線(xiàn)網(wǎng)絡(luò )環(huán)境,自動(dòng)地進(jìn)行系統配置,并確保無(wú)線(xiàn)802.11蜜罐的高度真實(shí)性和迷惑性,仍有待進(jìn)一步研究。
3.3 無(wú)線(xiàn)802.11邪惡蜜罐
大多數蜜罐都是正義的,檢測到入侵后往往采用被動(dòng)的防護措施,并不會(huì )主動(dòng)還擊。然而邪惡蜜罐的提出顛覆了這一特點(diǎn)，蜜罐在遭到入侵后可以還擊,如還擊掃描、木馬、蠕蟲(chóng)，甚至給攻擊者設置文件陷阱等。顯然今后專(zhuān)門(mén)用來(lái)反擊無(wú)線(xiàn)802.11攻擊的無(wú)線(xiàn)802.11邪惡蜜罐也將成為研究熱點(diǎn)。
3.4 WLAN風(fēng)險評估問(wèn)題
已有一些研究通過(guò)在有線(xiàn)網(wǎng)絡(luò )中部署蜜罐蜜網(wǎng)，從而對網(wǎng)絡(luò )進(jìn)行風(fēng)險評估。而WLAN作為一種應用越來(lái)越廣泛的網(wǎng)絡(luò )，其安全性也至關(guān)重要,因此如何通過(guò)部署無(wú)線(xiàn)802.11蜜罐對WLAN進(jìn)行風(fēng)險評估也有待研究。
3.5 法律問(wèn)題
蜜罐技術(shù)涉及的法律問(wèn)題主要有:可能侵犯黑客的隱私權；誘捕行為的程度及合法性；蜜罐被利用攻擊他人的責任。隨著(zhù)邪惡蜜罐的提出,法律問(wèn)題更加不可回避。
目前,無(wú)線(xiàn)802.11蜜罐的研究還不能令人滿(mǎn)意,應該借鑒一些成熟的理論、方法和技術(shù),如機器學(xué)習、人工智能及數據挖掘等,從而更快地推動(dòng)無(wú)線(xiàn)802.11蜜罐的技術(shù)進(jìn)步, 更大地發(fā)揮無(wú)線(xiàn)802.11蜜罐的價(jià)值。
蜜罐和蜜網(wǎng)技術(shù)是一種應用欺騙思想的主動(dòng)防御技術(shù),是現有安全機制的有力補充。無(wú)線(xiàn)802.11蜜罐作為新興研究領(lǐng)域,必然為無(wú)線(xiàn)802.11網(wǎng)絡(luò )安全的研究做出巨大貢獻。
參考文獻
[1] BECKM, TEWS E. Practical attacks against WEP and WPA[C]. Proceedings of the 2nd ACM Conference on Wireless Network Security, 2009.
[2] OUDOT L. Wireless honeypot countermeasures. http://www.securityfocus.com/infocus/1761, 2004.
[3] HARABALLY N A G, SAYED N E, MULLA S A, et al. Wireless honeypots: survey and assessment[C]. Proceedings of the 2009 Conference on Information Science,Technology and Applications, ISTA ′09, 2009:45-52.
[4] YEK S. Measuring the effectiveness of deception in a wireless honeypot[R].proceedings of the 1st australian computer, Network Information Forensics Conference, 2003:1-10.
[5] SILES R. Honey spot: The wireless honeypot, the spanish honeynet project(SHP)[EB/OL]. http://honeynet.org.es/papers/honeyspot/HoneySpot_20071217.2007.
[6] BEEK J V, NAN T, VISSER R, et al. Wireless honeypot intrusion project[EB/OL]. https://alumni.os3.nl/~wezeman/phh-02-06-2004.pdf. 2004.
[7] PRATHAPANI A, SANTHANAM L, AGRAWAL D P. Intelligent honeypot agent for blackhole attack detection in wireless mesh networks[C]. 2009 IEEE 6th International Conference on Mobile Adhoc and Sensor Systems, MASS 2009.
[8] Chen Guanlin, Yao Hui, Wang Zebing. Research of wireless intrusion prevention systems based on plan recognition and honeypot[C]. 2009 International Conference on Wireless Communications and Signal Processing, WCSP 2009.