首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >SIPHON:面向可扩展的高交互物理蜜罐

SIPHON:面向可扩展的高交互物理蜜罐

作者头像
时间之外沉浮事
修改2020-05-09 10:03:25
1.8K0
修改2020-05-09 10:03:25
举报

本论文译稿:

SIPHON: Towards Scalable High-Interaction Physical Honeypots

摘要:近年来,新兴的物联网(IoT)引起了人们对嵌入式设备网络化的安全性担忧。基于对IoT安全性的认知空白,我们团队专注于通过不断改进IoT的蜜罐来收集和捕获针对IoT的攻击活动以及攻击手法,从而感知和分析IoT安全,并将其成果用于提高IoT的安全性。在当前IoT的背景下,大部分研究团队还在使用低交互的蜜罐从事着IoT安全的研究活动,这些低交互蜜罐的作用是有限的,并且其特征非常容易被检测到。因此,有必要研究开发如何与黑客的攻击活动高度互动的高交互的、可靠的IoT蜜罐,利用这种高级别的IoT蜜罐吸引熟练的攻击者。在这项工作中,我们提出了SIPHON架构--一种用于IoT设备的可扩展的高交互蜜罐平台。我们的架构充分的利用了集中在一个本地位置的物联网设备,并通过分布在世界各地的所谓的虫洞(Wormholes)连接到互联网。最终的架构允许通过大量分散在不同地理位置的IP地址暴露少量物理设备。我们在9个国家的16个城市的39个虫洞实例的大规模实验中展示了所提出的架构。在此基础上,六台物理IP摄像机、一台NVR和一台IP打印机作为85台真正的物联网设备呈现在互联网上,在两个月内每天吸引700MB的流量。通过对收集的流量的初步分析表明,一些城市的设备吸引的流量明显高于其他城市(从最流行目的地的60万个传入TCP连接到最不流行目的地的不足5万个)。我们使用总共1826个不同的凭据记录了400多次暴力登录到我们设备的Web界面的尝试,其中11次尝试成功。此外,我们注意到有人试图登录Telnet和SSH端口,其中一些使用了最近披露的Mirai恶意软件中发现的凭据。

关键词:物联网,低交互蜜罐,高交互蜜罐,蠕虫,可扩展性

1.1. 引言


物联网(IoT)获得了巨大的普及性,在物理世界和互联网之间架起了一座桥梁。根据国际电信联盟(ITU)的规范,物联网可以定义为与互联网相连的物理对象或传感器,可以称之为事物[3]。这意味着,与传统网络节点(如服务器或PC)不同,物联网设备通过其传感器与物理现实有更强的联系,其行为依赖于与模拟世界的互动。在过去的十年里,传感器制造和小型化的快速发展极大地推动了这一领域的发展。预计到2016年底,将有64亿件物联网设备接入互联网,到2018年将增至118亿件[5]。

物联网推动了智能穿戴设备、智能交通和工业自动化等应用的使用。随着大量的物联网设备被商业化地使用或部署,为物联网设备提供合适的安全机制变得越来越具有挑战性。错误配置的物联网设备将为攻击者提供执行恶意活动的机会,比如破坏关键基础设施或侵犯个人的隐私行为等。据估计,到2017年,90%在其经营场所安装物联网设备的组织将遭受来自物联网设备漏洞的后端IT系统攻击[6]。

事实上,最近对核心互联网服务的分布式拒绝服务攻击,如DYN的托管DNS基础设施,部分是使用在Telnet和SSH接口上具有默认或弱硬编码密码的物联网设备(IP摄像机)执行的[12]。

因此,迫切需要开发合适且经济高效的方法来发现物联网设备中的漏洞,以便在攻击者利用这些漏洞之前解决它们。在传统的IT安全中,蜜罐[7、29、30]通常用于更好地理解动态威胁环境,而不暴露关键资产。通常,蜜罐会尝试以一种现实的方式模拟某个交互(例如登录Shell),诱捕未经请求的连接,并可能诱捕尝试执行(可能是未知的)攻击。

在物联网的背景下,真实地模拟物联网设备的交互是一个挑战。例如,考虑IP摄像机的情况。为了以真实的方式虚拟化或模拟IP摄像机的行为,人们不仅需要向攻击者广播一些视频,而且还需要对诸如倾斜摄像机或放大等命令做出完全可信的反应。尽管这并非不可能,但这需要大量的技术工作,由于不同供应商的物联网设备的异构性,这些技术工作不易重用,无法模拟不同类型的物联网设备。

另一方面,由于物联网设备感知和作用于物理世界,它们可能对攻击者具有不同的感知价值,这取决于它们的位置(例如,不同的组织或国家)。这与僵尸网络地下市场上的趋势类似,即不同地区的互联网服务器以不同的价格出租[18]。因此,暴露物联网设备的蜜罐在理想情况下应该在地理位置上分布给与其交互的攻击者。

基于上述要求,一个部署物联网蜜罐的框架应该:(1)能够提供高度的交互,以诱捕熟练的攻击者进行活动并暴露其正在利用的漏洞;(2)可以轻易地将IoT设备“放置”在广泛的地理位置;以及(3)方便地扩展到多个供应商和不同类型的设备,以便跟踪动态威胁情况。

在本文中,我们提出了一个抽象的高交互物联网蜜罐架构,并着眼于这种蜜罐的原型实现,我们称之为SIPHON。我们的实现允许我们在实验室中仅使用7个真实的物联网设备,就可以在世界不同地区部署80多个高交互设备和一组不同的IP。我们在两个月的时间里运行SIPHON,收集了20GB的原始流量数据。在对数据进行初步分析后,我们发现不同城市的实例得到了显著不同的关注(在连接和流量方面)。此外,来自互联网的好奇用户试图强行对设备进行身份验证,在某些情况下可以访问管理界面并与设备进行交互。

具体来说,我们将研究问题和我们的贡献总结如下。

问题陈述:物联网设备为攻击者提供了一组丰富的潜在攻击向量。我们的目标是了解物联网设备上现有的和新的攻击向量。特别是,在这项工作中,我们专注于收集暴露在互联网上的物联网设备的未经请求的流量。传统的蜜罐使用虚拟化或模拟方法来复制受到攻击的设备,并吸引攻击者。在物联网的上下文中,用虚拟机复制设备将是一个挑战。只有高度交互的蜜罐(例如,允许用户移动摄像机)才能诱捕熟练的攻击者在利用零日漏洞的同时使用高级攻击方法。推动这项工作的主要问题是,我们如何构建一个由高交互物联网设备组成的大型蜜罐?

方法:我们提出了一种SIPHON架构,用于可伸缩的高交互物联网蜜罐。我们的架构使用物理物联网设备,通过所谓的“虫洞”连接到各种地理位置。该架构在16个城市、9个国家、85个实例的大规模分布中实施,同时仅使用5个物理IP摄像机、1个NVR和1个IP打印机(即7个物联网设备)。在我们的实现中,利用云服务提供商的基础设施转发网络流量,该基础设施由AmazonEC2实例、DigitalOcean和Linode组成。我们对收集到的流量进行了初步分析,并从不同地理位置的兴趣量和与设备的交互类型方面找到了见解。

贡献。本文的贡献如下:

1.我们解释了高交互物联网蜜罐的预期收益,并定义了设计挑战。

2.我们提出了一种使用有限物理物联网设备的高交互物联网蜜罐架构。

3.我们提出了一个基于7个设备的架构的实现,这些设备在Internet上呈现为85个不同的服务。

4.我们分析捕获的流量,并显示我们虫洞的地理位置很重要-攻击者对某些位置更感兴趣。

我们专注于真实物联网设备的高交互分布式蜜罐支持。这种设置允许我们捕获和分析不同地理位置的流量和攻击。据我们所知,我们是第一个提出并实现这种架构的人。

这项工作安排如下。这项工作的背景介绍在第2节。我们在第3节中提出了主要的架构,在第4节中提出了它的实现。我们在第5节中分析和讨论了我们的实现所收集的流量。相关工作总结见第6节。最后,论文在第7节结束并得出结论。

1.2. 背景


蜜罐是一种基础设施,通常用于在不暴露关键资产的情况下,将潜在攻击者引导到受控和受监控的环境中,目的是在给定的时间点了解威胁情景。通常,它可以由模拟生产环境的真实或虚拟系统组成。攻击者与蜜罐的交互通常会被监视和记录,以便进一步分析。研究人员在分析蜜罐收集到的痕迹后,就可以为攻击设计适当的缓解技术。从入侵分析师的角度来看,“蜜罐提供了网络攻击链的另一个认知形式”[35]。

蜜罐的建立方式可能会提供令人信服的虚假信息,这些信息可能会被潜在的攻击者破坏,以吸引他们的兴趣。此外,蜜罐可以帮助将攻击者重定向到诱饵系统,从而间接地保护关键系统或基础设施不受可能的危害:如果攻击者被误导认为他们正在与真实系统交互,他们将浪费时间和资源来对真实基础设施造成损害。

安全研究人员根据攻击者所享有的交互和暴露给他们的真正漏洞,将蜜罐分为高交互或低交互蜜罐。在下文中,我们将简要回顾这两个类别。

1.2.1低交互蜜罐

低交互度蜜罐通过部分实现TCP和IP协议栈来模拟已知的易受攻击的网络服务,以吸引攻击者。它们不允许攻击者访问真实系统,而是允许攻击者访问某种模拟系统[13]。由于它们通常不运行功能齐全的操作系统,因此在远程利用方面被认为更安全。然而,由于它们的简单性,低交互度的蜜罐的主要缺点是更容易被攻击者发现是人为的,特别是当攻击者是人的时候。攻击者可能会发现真正的服务是模拟的,而服务只是部分实现的,因此会失去兴趣。低交互的蜜罐在构造上不是捕获零日漏洞的最佳方式,因为根据其性质,这些漏洞在蜜罐部署时是未知的,因此无法进行模拟[31]。低交互度的蜜罐可以在非常有限的时间内检测到新一波攻击,直到蜜罐被攻击者和专用搜索引擎标记为止。

1.2.2高交互蜜罐

高交互蜜罐比低交互蜜罐有助于在更真实的环境中观察攻击。高交互蜜罐不模拟任何服务、功能或基本操作系统。高交互蜜罐允许了解更多关于攻击者的工具、策略和动机的信息,因为它们不会像低交互度蜜罐那样限制攻击者的行为[31]。因此,高交互作用的蜜罐更适合于监控攻击者和系统之间的复杂交互[13]。

另一方面,根据文献[13],高交互作用的蜜罐也有缺陷。首先,部署和维护高交互蜜罐通常是困难和昂贵的。此外,它们还带来更高的安全风险,因为攻击者可以在扩展其权限后停止设备的正常操作,并可以随意使用设备。如果有人想暴露许多可能依赖于不同硬件/软件配置(如各种操作系统版本等)的漏洞,则需要对真实设备进行大规模的异构部署。最后,虽然高交互度的蜜罐适合监视各种各样的事件(如网络流量和基于主机的活动,如系统调用),但这通常会导致大量的日志,使安全分析更具挑战性。

1.2.3虫洞(wormhole)

在无线通信的上下文中,术语wormhole是指攻击者通常通过带外信道恶意转发通信[21]。特别是,虫洞可以用来影响动态传感器网络中的路由方案[20],或者针对汽车攻击无线密钥方案[14]。虫洞通常是非常具有挑战性的,或者是不可能被检测的[19]。

在这项工作中,我们将使用“虫洞”这个词,但相关的方式是,我们的虫洞不是被攻击者利用的攻击性虫洞,而是被蜜罐经营者用来防御的。对攻击者来说,虫洞的存在(尤其是另一端的位置)应该是透明的。我们将在第3节讨论如何实现这一目标。

1.2.4 Shodan

Shodan[10]是一个搜索引擎,它列出了互联网上的物联网设备,包括可编程逻辑控制器(PLC)等工业控制系统(ICS)设备和IP摄像机等家用设备。图1显示了在Shodan上找到的蜜罐中的一个设备,该设备对应于在特定位置搜索摄像头。

Shodan使用互联网IP上的端口扫描,并分析获得的响应以识别找到的设备类型。一般来说,新部署的设备需要1到2周的时间才能被Shodan列入[10]。

在下文中,我们假设Shodan将被攻击者用作潜在目标信息的主要来源。此外,Shodan API提供了一个服务,该服务试图估计Shodan公开的设备是否是蜜罐。此服务称为Honeyscore,也可以从Shodan的开发人员命令行接口API访问。Honeyscore使用启发式方法将设备分类为潜在的蜜罐,给出的分数为-0(可能不是蜜罐)和1(可能是蜜罐)。

图1 Shodan上列出的摄像头示例(在本例中,是我们的一个虫洞)
图1 Shodan上列出的摄像头示例(在本例中,是我们的一个虫洞)

1.3. SIPHON:可扩展的高交互的物理蜜罐


在本节中,我们将介绍SIPHON的设计:一个可扩展的高交互物理蜜罐。我们首先概述我们的攻击者和系统模型,然后给出抽象的系统设计。

1.3.1问题陈述

我们的目标是了解现有的和新颖的物联网设备攻击矢量。特别是,我们希望利用攻击者群体的智慧,了解常见漏洞的存在。在这项工作中,我们专注于收集暴露在互联网上的物联网设备的未经请求的流量。传统的蜜罐使用虚拟化或模拟的方法来复制被攻击的设备,并吸引攻击者。在物联网环境下,用虚拟机复制设备将是一个挑战。只有高度交互的蜜罐(例如,那些允许用户移动摄像头的蜜罐)才能诱捕熟练的攻击者使用高级攻击。推动这项工作的主要问题是,我们如何构建一个由数量有限的真实物联网设备组成的大型蜜罐?

1.3.2设计考虑

在下文中,我们假设攻击者正在使用互联网(尤其是Shodan[25])来识别潜在的易受攻击或不安全的物联网设备,如网络摄像头、智能冰箱或类似设备。通常,攻击者从侦察阶段开始,然后是攻击阶段。攻击者可以在这两个阶段中使用自动工具或手动方式来交互操作。

假设受攻击的设备可以直接从互联网访问(即在公共IP地址上)。它们将在开放端口上公开一个或多个服务。这样的服务可以是HTTP、Telnet、SSH或更具体的协议,比如RTSP。设备将嵌入真实的环境中,即摄像机将显示实时图像,冰箱将包含真实的食物等。设备将以最小的努力进行配置(即可能使用默认密码)。没有专用的安全解决方案(如防火墙或IDS)。如果设备通过NAT服务可达,则暴露的业务由NAT转发。

图2分布式物理蜜罐的抽象概述
图2分布式物理蜜罐的抽象概述

1.3.3设计概述

我们的设计(见图2)基于真实的物理物联网设备,这些设备通过大量隧道暴露在互联网上,这些隧道将虫洞(远程公共IP地址)的流量转发到本地物理物联网设备。

虫洞:虫洞设备在一个公共IP地址上向通用互联网提供许多开放端口。这些端口上的入站流量要么本地记录,可以本地登录,也可以通过转发器设备透明地转发到远程物理物联网设备上的特定端口。关于如何实现这种转发,有很多选择,我们在第3.5节讨论它们。每个虫洞可以关联多个物理设备,但转发的每个服务都需要虫洞上的唯一端口。

转发器:转发器确保实时重写虫洞和物联网设备之间的流量,以隐藏设备实际位于某些位置(其他位置)或与许多其他隧道通信的事实。如果需要,转发器也可以作为TLS中间人,因为它可以访问物联网设备使用的证书的私钥。

攻击下的设备(DUA)。在SIPHON架构中受到攻击的本地(IoT)设备可以是普通的商用现成设备。它将通过网络暴露一个或多个服务,最有可能通过TCP。该设备能够在任何时间点维护多个并发连接。

存储与分析单位(SAU)。SAU从虫洞获取流量记录和通用日志,并汇总数据进行离线分析。例如,可以通过合适的框架(例如Suricata或Snort [8])来分析记录的流量。此外,可以使用其他蜜罐部署的专用分析框架(类似于[27])。

1.3.4虫洞的位置

由于物联网设备嵌入物理世界并与之交互,我们的假设是受攻击设备的物理位置与其对攻击者的吸引力相关。虽然在互联网上通信伙伴的直接物理位置不容易确定[9],但是Web上的许多服务提供IP地理位置服务(例如,[17])。

因此,我们建议确保虫洞具有公共IP地址,这些地址在一系列物理位置本地化,最好跨越多个国家甚至大陆。

这一目标可以通过多种方式实现。虽然现在IPv4地址空间变得越来越少[32],但获得公共IP地址的最简单方法似乎是a)家庭用户(通常每个订阅会获得一个IP)和b)云端服务器(云提供商拥有大量IPv4地址空间)。在这项工作中,我们着重于后者(见第4节)。为了利用家庭用户的公共IP地址,我们还考虑准备具有特定配置的设备(如树莓派)作为虫洞,以便将流量转发给蜜罐转发器。该方法的缺点在于,这样的家庭设置可能需要家庭用户在家庭NAT设备(在该上下文中通常称为路由器)上建立端口转发。对于许多用户来说,这种配置工作可能并不简单,因此我们没有遵循这个实现路径。

1.3.5转发方法

转发器和虫洞之间的隧道可以通过一系列不同的转发器技术来实现。我们现在讨论一些我们考虑过的选择。

应用层代理:如果蜜罐只重新发送少量选定的服务,那么就可以在这些服务的虫洞上使用代理(例如,像mitmproxy这样的HTTP代理)。这种方法有很多优点,例如可以缓存静态信息,从而减少DUAs上的流量负载。

封装:在传输层和应用程序层上,可以使用SSH和TLS等服务以较低的配置开销封装选定的流量。在我们的实现中,我们选择了SSH隧道作为转发流量的方法。

网络层VPN:有许多网络层VPN服务可用(例如IPSec),其详细比较在这里超出范围(我们参考[23])。与选择性转发SSH相比,这种服务可能具有优势,因为可以在很少配置的情况下转发大量端口。

1.3.6折衷检测和恢复

由于SIPHON架构将真实设备暴露给攻击者,因此攻击者有可能在攻击过程中完全破坏设备。一旦受到攻击,这些设备就可以用来攻击其他设备、一般的邻近基础设施或者将恶意软件分发给其他攻击者。有几种选择来减轻或阻止这种情况。

定期复位:减轻受损设备影响的一种简单方法是,设置一个可以定期重置实验室中使用的所有物联网设备的配置和固件。这种方法有几个缺点(即,重置的及时性、完整性)。另一方面,通过一些手动干预很容易设置。。

IPS:像开源Suricata[8]这样的入侵防御系统可以与针对物联网设备定制的自定义规则一起使用,以防止它们不断发生攻击事件。此外,可以使用IDS/IPS来检测受损设备的改变行为,以确定是否发生了此类受损。

全套仪器:最可靠的折衷检测可以通过物联网设备的低级仪器实现,例如通过JTAG或类似连接。这种仪器的设置和维护是可能的,但预计将是具有挑战性和昂贵的[16]。

1.3.7可扩展性

正如我们在缩略词SIPHON中所宣称的,所提出的体系结构应该是可扩展的。我们的直觉如下:对于n个物理物联网设备和m个虫洞,在同一虫洞中不暴露两次同一设备的情况下,呈现给攻击者的设备数量最多可达n * m。例如,如果n=100和m=1000,则最多可向互联网暴露10万个服务。由于端口编号限制,每个虫洞的服务数量限制在65000个左右。每个物理设备的虫洞数量受每个物理设备可以处理的并行流量的限制。在我们的实际实现中,由于预算和空间限制,我们为n和m选择了较低的值,如下所述。

1.4. 分布式IP摄像头蜜罐


在本节中,我们将讨论一种针对特定类型物联网设备(用于家庭或公共监视的IP摄像机)提出的SIPHON架构的实现。我们选择了这类设备,因为连接到互联网的IP摄像头数量每天都在增加,最近的研究结果表明,IP摄像头和网络视频录像机(NVR)容易受到攻击[12,27],因此比市场上的其他物联网设备更容易处理未经请求的流量。此外,IP摄像头允许访问私人视频,并且通常允许与用户进行复杂的交互(例如手动移动控制)。

在我们的实现中,摄像头的位置是通过基于云服务实例的虫洞进行欺骗的。这些实例部署在世界各地的不同城市。从攻击者的角度来看,摄像头是跨城市定位的(例如,使用搜索引擎的位置功能,如Shodan)。所有的流量都从虫洞被引导到我们的实验室进行深入分析。

1.4.1实施

图3显示了我们使用IP摄像头和网络视频录像机(NVR)进行SIPHON部署的原型基础设施。表1显示了使用的设备列表。

图3我们实验室中的SIPHON原型实现
图3我们实验室中的SIPHON原型实现

默认情况下,所有设备都会公开受密码保护的管理Web界面。为了吸引与设备的复杂交互,我们对一些摄像头使用默认密码,而对其他摄像头使用弱密码。图4显示了成功认证后摄像机的一个HTTP接口的屏幕截图。使用管理web界面与我们捕获高交互流量的目标非常一致。它们提供了向攻击者暴露多个设备交互场景(如摄像机移动、wi-fi网络扫描等)的适当机会。即使最近的攻击(如使用Mirai恶意软件的攻击)完全依赖于通过Telnet和SSH端口发现和利用漏洞[26],我们也不会主动寻找有关对这些端口的攻击的信息。原因如下:

1)Telnet/SSH不会提供一个高交互环境,作为一个支持通过HTTP进行视频传输的环境,因此也就不那么有趣了

2)IoTPOT已经在这方面研究了Telnet/SSH[27]

3)我们使用的IoT设备都没有开放的Telnet或SSH端口

表1:物联网设备详细信息
表1:物联网设备详细信息
图4通过虫洞的设备视图示例
图4通过虫洞的设备视图示例

我们实验室中的设备连接到来自不同城市的三个不同云服务提供商(即Amazon, LiNode 和 Digital Ocean)的云服务器。在我们的实验期间,总共部署了39个服务器,每个服务器都有一个不同的公共静态IP。每个云服务器被指定为具有多达三(3)个连接设备的虫洞。这些设备连接在云服务器的不同端口上。攻击者在互联网上总共可以看到85个设备,而只使用了8个物理设备,因此平均每个物理设备可以产生10个可能的虚拟连接。Shodan使用设备指纹试探法(如解析设备的HTTP响应)获得了有关设备的信息,并发布了设备及其地理位置、可访问端口和其他有用信息,如图1所示。

最终,所有的流量(即设备请求或攻击)被转移到我们实验室的IP摄像头或网络视频录像机(NVR)上。所有的流量都是在每个虫洞服务器上使用tcpdump捕获的,并将结果跟踪(以.pcap格式)存储在本地以供脱机分析。

1.4.2流量转发技术设置

我们的技术设置依赖于网络网关方案,如图2所示。为了实现转发器,我们在实验室中使用了一个本地服务器来管理来自云中虫洞实例的TCP连接。仅此服务器处理所有m虫洞到n 物联网设备的通信。服务器本身是一个VM客户机,具有1个虚拟核心和4GB的RAM,运行Ubuntu 16.04。

转发器和云实例之间的连接是通过反向SSH隧道建立的,该隧道将虫洞上的特定端口(即端口80)的流量重定向到转发器中的端口。一旦流量到达转发器,我们就通过socat linux命令完成到物联网设备的流量重定向,该命令还通过转发器转发设备对云实例的响应。通过在转发器中为物理设备(虫洞)的每个云副本使用不同的本地端口,此过程很容易实现自动化。

图5实验室中摄像头和NVR的设置
图5实验室中摄像头和NVR的设置

物联网设备通过使用802.1Q VLAN与实验室中的其他设备隔离。这确保即使是受损的设备最多也能与其他物联网设备和服务器交互。

1.4.3虫洞的位置

对于攻击者来说,物联网设备被放置在实际虫洞所在的城市。在物理上,物联网设备可以与转发器一起位于公共区域。

图6显示了蜜罐在世界不同大陆的不同城市的部署位置。SIPHON实验部署覆盖9个不同国家的以下16个城市:a)美国(圣何塞,Boardman,Ashburn,纽约,旧金山,达拉斯,弗里蒙特,纽瓦克)b)加拿大(多伦多)c)欧洲(法兰克福,伦敦,都柏林,阿姆斯特丹)d)亚洲(新加坡,班加罗尔)e)澳大利亚(悉尼)。

图6世界各城市的原型虫洞位置
图6世界各城市的原型虫洞位置

该设置的总成本(三个不同提供商的39个虫洞实例)约为每天12美元。我们注意到,最小的实例大小通常足以用于设置,这允许保持低成本。

1.4.4隐藏蜜罐角色

文献[31]定义了攻击者用来检测蜜罐存在的不同检测方法。这种方法通常根据创建蜜罐所使用的工具而有所不同。例如,使用“Nepenthes”工具创建的蜜罐可以使用NMap(网络开放端口映射工具)检测。NMap能够识别在Nepenthes机器上运行的多个服务中只有一个服务的版本。另一方面,使用“Sebek”创建的蜜罐可以通过发现系统调用“sysread”和“syswrite”的内存地址并确保它们之间的间隔不超过4096字节来检测。通常,低交互的蜜罐使用部分模拟网络堆栈(TCP/IP)的工具,通过暴露易受攻击的服务来吸引攻击者。这样的网络堆栈可能容易受到精心编制的数据包的影响,从而揭示蜜罐的存在。而且,从本质上讲,使用虚拟机构建的蜜罐也会受到时间攻击的影响。例如,同一物理机上托管的不同虚拟机上的TCP数据包中的时间戳在一段时间内可以表现出类似的倾斜,而不同物理机上的相同设置则相反[31]。

虽然我们还没有完全探索针对我们的基础设施的特别攻击,但是在运行了一段时间的分布式蜜罐之后,我们检查了Shodan是否将其IP地址标记为“蜜罐”。在实验运行期间,Shodan基本上没有检测到我们的IP地址是蜜罐(见图1),特别是我们从Honeyscore通过Shodan的开发人员API得到的分数在大多数情况下从0.0到0.5(不是蜜罐),平均分为0.16,只有一个实例被标记为置信度为0.8的蜜罐。Shodan如何检测蜜罐的确切方法对我们来说是未知的,但很可能是基于众所周知的开源蜜罐工具的启发式方法。

1.5. 流量初步分析


在本节中,我们将展示我们对原型捕获的流量的分析结果。特别是,我们关注以下几个方面:a)虫洞的位置是否对攻击者有影响;b)某些设备是否比其他设备对攻击者更有吸引力;c)Shodan中列出的设备是否对未经请求的连接有影响;d)攻击者在与低交互版本的设置和e)攻击者和设备之间的交互类型。

1.5.1分析目标

攻击者的兴趣可能因上述几个因素而异。在这项工作中,已经考虑到以下假设。

位置:我们推测攻击者更愿意在某些城市投入更多的时间来确定他们的目标。他们在自己感兴趣的特定城市搜索设备,并随后启动交互。例如,这可能是出于本地IP的商业利益,以便在感染后重新销售(如僵尸网络[18]),或作为目标攻击的起点。。

设备类型:我们假设攻击者针对特定的可能已知漏洞的模型或设备类型。例如,攻击者可能会特别寻找易受攻击的IP摄像头。

Shodan列表:我们推测,攻击者在Shodan上登录后通过搜索可能会以此设备为目标。我们在Shodan上列出了设备之前和之后查找连接尝试的差异。

高交互与低交互:我们推测,当暴露于我们设备的低交互实现时,攻击者的行为可能会有所不同,例如一个与原始设备具有相同外观的摄像头管理Web服务,但显示的是静态图像而不是视频。

为了验证以上的观点,我们考虑了以下交互因素。首先,我们想了解每个虫洞接收了多少TCP连接,正在查询的是什么样的服务(SSH,我们的HTTP端口等),这已经揭示了发现了多少虫洞,它们接收了多少关注。

接下来,我们有兴趣有兴趣了解是否使用熟悉的脚本,基于短时间内每个虫洞接收的连接数、同一虫洞访问的不同端口数以及HTTP会话中的用户代理(例如,在收集到的流量中,我们确定了masscan代理[2])。此外,由于要访问我们设备的管理界面,攻击者需要进行身份验证,因此我们有兴趣计算暴力登录尝试次数,计算成功的次数,并进一步调查成功登录后发生的情况。

为了进一步评估攻击者试图访问我们的设备的行为,我们分配了默认密码、简单密码和硬密码(表1)。然后,我们可以通过分析成功登录后发出的HTTP响应,收集摄像头移动或放大的统计数据,扫描WiFi网络(通常在IP摄像头的管理界面中提供的功能)以及更有趣的固件更新。

1.5.2高交互IP摄像头蜜罐

所有的网络流量都被收集并存储在我们实验室的本地机器上,我们存储用tcpdump获得的原始pcap,然后为了执行上述分析,我们解析pcap并将每个TCP连接的基本特性存储在SQL数据库中。

不同的远程IP。在分析了两个多月的数据后,我们观察到来自超过13000个不同远程IP地址的传入TCP连接。

每个城市的虫洞连接。根据虫洞的地理分布,我们观察到一些城市的虫洞比其他城市的虫洞受到更多的关注。图7描述了每个城市虫洞接收到的传入TCP连接的分布。法兰克福的虫洞收到的连接最多(近60万),而美国圣何塞收到的连接最少(约5万)。

虫洞端口:然而,我们观察到大多数入站连接(约97%)位于虫洞的端口22(SSH)上,而像端口80和端口8080这样的HTTP端口仅分别接收到总连接的1.27%和1.12%。我们打开的其他HTTP端口仅占传入TCP连接总数的0.25%。图8显示了根据虫洞端口传入TCP连接的分布情况。

图7根据城市的TCP连接到虫洞的分布情况
图7根据城市的TCP连接到虫洞的分布情况
图8连接到虫洞的端口分布情况
图8连接到虫洞的端口分布情况
图9根据来源国输入的连接
图9根据来源国输入的连接
图10根据用户代理的传入连接
图10根据用户代理的传入连接

攻击者的位置:虽然不是一个可靠的指标(因为攻击者可以轻松地通过位于世界任何地方的IP进行隧道),但我们也收集了有关远程IP位置的统计数据。我们按国家分析了所有传入连接的来源。图9显示了传入TCP连接的来源国分布。我们发现超过70%的连接来自中国,其次是8%的连接来自美国。荷兰、法国和其他国家构成了剩余的列表,如图9所示。

攻击者使用的用户代理:接下来,我们将枚举连接到设备时使用的代理。在图10中,显示了在传入的TCP连接中使用不同的用户代理。大多数连接(76%)是使用Mozilla作为用户代理建立的。除此之外,还使用了Chrome、Python请求、Wget(linux)、Curl、Scanbot、teleshoreo和Masscan[2]代理。其他用户代理合并到“其他”类别中,占总连接数的2.8%,包括IP摄像头查看器、CamFinder、Morfeus F扫描仪、Msqq代理等。多次检测到使用Nmap。除此之外,我们还注意到在我们的设备上大约有9000次Shell冲击尝试。

被攻击的设备:在图11中,我们描绘了不同物理设备生成的兴趣量的总和(仅基于HTTP流量)。我们观察到,流量的大部分是针对DLink DCS-930L摄像头。我们推测,由于媒体最近报道了该设备固件[1]中存在漏洞,因此该设备最受攻击者关注。。

暴力登录尝试:我们已经设置了具有不同密码困难级别的物联网设备(表1)。在某些情况下,我们保留了Web界面登录的默认凭据,而在其他情况下,我们修改了凭据。我们配置了一些摄像头,使其具有易于猜测的密码,而其他摄像头则配置了难以猜测的密码。通过这个设置,我们观察到所有设备上的404个暴力攻击,这些设备是由137个不同的远程IP组合而成的。如果同一个远程IP试图在一个HTTP会话中执行三次以上的登录尝试,则我们将登录尝试视为暴力尝试。在404次暴力诱惑中,我们观察到总共有11次尝试成功。所有成功的登录尝试都是在带有简单密码的设备上进行的,并且没有在带有硬密码的设备上记录登录。我们注意到,这些简单的密码存在于大多数自动暴力攻击使用的字典中。另一方面,即使在手动攻击时,这些密码也很容易被猜测或强行破解。

设备上线对Shodan的影响

这项分析的另一个目的是调查虫洞列表对Shodan的影响。我们试图通过计算虫洞在Shodan列表前后接收到的TCP连接数来理解这一点。Shodan通常需要一到两个星期的时间来申请一个IP在互联网上上线。关于这一点,我们考虑了Shodan上线前后一周的接入量

图11设备的流量分解
图11设备的流量分解
图12 Shodan上线对未来连接数的影响
图12 Shodan上线对未来连接数的影响

在图12中,我们展示了Shodan列表对所有虫洞的综合影响。特别是,我们展示了虫洞在上市前后每周吸引的平均连接数。在图12中,顶栏表示所有虫洞在Shodan上列出之前的平均连接数。中间的条代表在Shodan上线列出后的第一周内的平均连接数,而底部的条代表在Shodan上列出后的前两周内的平均连接数。在Shodan上线后,这种连接激增是显而易见的。我们还观察到,这种连接激增甚至在Shodan上线后的第二周内仍在继续,但在增长中有所减少。因此,我们可以推断Shodan列表会立即产生影响,攻击者会在Shodan列表后立即尝试诱捕设备。从长期来看,传入连接的数量会减少。

1.5.3其他IoT设备

到目前为止,我们在高交互蜜罐中仅使用了IP摄像头和NVR,并获得了攻击者行为/与它们交互的知识。但这些设备并不代表现有物联网设备的全部范围。我们对收集攻击者对其他物联网设备的行为也很感兴趣。因此,我们在蜜罐中添加了另一个物联网设备,IP打印机,持续了大约四周。这个物联网设备连接到一个数字海洋的云实例,位于伦敦。因此,与IP摄像头类似,尽管设备实际存在于我们的实验室,但它似乎位于伦敦。

在分析了IP打印机四周的网络流量数据后,我们给出了我们的结果。

虫洞端口:我们观察到,大多数连接(99%)位于虫洞的22号端口(SSH),而80号端口(HTTP)仅收到1%。即使是在IP摄像头的情况下,我们也观察到与HTTP端口相比,SSH端口接收的连接数更多。

攻击者的位置:与对IP摄像头的观察类似,我们注意到,IP打印机的传入连接的最高百分比(79%)来自中国。其次是中国台湾,11%的关系来自中国台湾。其余部分由法国、印度、哈萨克斯坦、荷兰、乌克兰和美国组成。

暴力登录尝试:我们已经将IP打印机的凭据更改为一个应该易于猜测的密码(管理员:1234567890)。在我们的实验中,我们只观察到一次暴力登录尝试。与IP摄像头的情况类似,如果同一个远程IP试图在一个HTTP会话中执行三次以上的登录尝试,则我们将登录尝试视为暴力尝试。共有四次成功的登录尝试,来自三个不同的远程IP,都来自中国。

攻击者使用的用户代理:与IP摄像头的情况类似,我们试图了解在连接到IP打印机时使用了哪些不同的用户代理。我们观察到,所有四次成功的登录尝试都是使用Mozilla用户代理进行的。与IP摄像头不同,我们没有注意到一些用户代理(即cameraviewer、IPcamera finder、Scanbot、Morfeus F scanner、Msqq等)。此外,我们也没有注意到IP打印机上的任何Shell冲击尝试。

1.5.4低交互蜜罐

我们对低交互蜜罐的一个假设是,大多数攻击都是使用机器人自动执行的。我们假设这些机器人无法区分真实设备和虚拟设备或假冒设备。因此,这些机器人可能会反复尝试将设备视为真实设备。相反,一个人会发现一个假的设备,并不会因此而重复尝试。

我们使用与高交互蜜罐相同的方法实现了低交互蜜罐。然而,我们在低交互蜜罐中使用了Trendnet相机模拟器,而不是真正的物理设备。因此,这台相机是假的,不是真的。低交互蜜罐的入口点(即虫洞)是使用位于新加坡的云服务提供商Linode的一个实例创建的。此后,我们从低互动度蜜罐收集了近六周的数据。

现在给出了六周数据的结果。

虫洞端口:我们观察到,大多数到假相机的连接,即Trendnet相机模拟器(87%)都在端口22(SSH)上,而HTTP端口8080和80分别接收到总传入连接的12%和1%。在这方面,观察到的行为与高互动度蜜罐观察到的趋势是一致的。

攻击者使用的用户代理:与在高交互蜜罐的情况下的相应观察类似,我们观察到将用户代理作为不同版本的Mozilla具有的传入连接的最大百分比。除此之外,攻击者还使用WGET(Linux)、python、masscan和Probethenet Scanner。所有这些用户代理都是在高交互作用的蜜罐中观察到的。

登录尝试:我们注意到有三个成功的登录尝试,使用三个不同的远程IP的默认凭据admin:admin。中国、俄罗斯和伊朗各成功登录一次。

我们还发现攻击者没有花足够的时间来探索设备或其功能。他们在低互动度蜜罐中平均只花了30秒左右,而在真正的相机中,这一时间只有1分钟甚至1小时。攻击者探索设备所用的时间是根据通过tcpdump捕获的TCP会话中第一个和最后一个数据包的时间戳计算的。据了解,会话的持续时间与人为干预相关。当攻击者试图探索设备的功能时,会话时间将更长。与自动机器人不同,人类可以很容易地分辨出静止图像和流式视频。因此,与之前的高交互度蜜罐相比,使用此低交互度蜜罐更容易确定人的攻击。

1.5.5有效性的讨论和评论

通过分析流量,我们看到我们提出的架构成功地吸引了大量的连接,这证实了我们的整体设计。此外,我们能够在收集的数据的初步分析中观察到有趣的交互。我们注意到,在我们的分析中,我们假设攻击者和IoT设备之间的HTTP之间的交互比脚本更容易执行,因为与未知HTTP接口的交互更难自动化[27]。因此,我们的原型是有效学习物联网安全威胁的第一步。

通过对流量的分析,我们发现我们提出的架构成功地吸引了大量的连接,这证实了我们的总体设计。此外,在对收集到的数据进行初步分析时,我们能够观察到有趣的交互现象。我们注意到,在我们的分析中,我们假设攻击者和物联网设备之间通过HTTP进行的交互比脚本执行的可能性更大,因为与未知HTTP接口的交互更难自动化[27]。因此,我们的原型是朝着有效了解物联网安全威胁状况迈出的有希望的第一步。

我们知道目前的原型有几个问题。首先,有人可能会说,聪明的攻击者可以用不同的方式发现我们的蜜罐。例如,攻击者可以通过同时从两个不同的虫洞登录到相同的设备来检测两个虫洞代表相同的物理设备。我们承认这一缺点,但请注意,在我们的实验中,我们的数据表明,至少没有一个IP发现了所有的虫洞,大多数只与一个小的子集(通常为5或更少)交互。每个虫洞有一个不同的物理设备也可以缓解这个问题。由于我们对比较不同的位置感兴趣,我们决定以1到n的方式来缩放系统,而不是在设备和虫洞之间建立双射关系。

与[27]等相关工作相比,我们迄今为止很少尝试升级固件,这是想要传播僵尸网络或恶意软件的攻击者的一个非常常见的目标。我们推测可能的解释如下。我们注意到,只有很少的虫洞流量被引导到暴露物联网设备网络接口的端口。攻击者似乎对SSH连接更感兴趣,这可能是因为常用的自动攻击工具是为使用Shell重新刷新固件而定制的,Shell是一种在许多设备中工作的通用方法。我们相信,我们收到的固件升级尝试是手动执行的,但我们也认为,随着攻击工具为不同品牌自动调整此过程,此类攻击将在未来增加。在将来,对许多设备(如家庭摄像头)上的SSH端口的访问可能会受到更严格的限制,而为了方便访问,访问Web界面可能仍然是可取的。

此外,有人可能会争辩说,一个物联网设备连接到互联网,通过一个IP是由Amazon拥有的可疑的开始。然而,考虑到在流量方面收到的关注量以及存在一些(可能是手动)登录的事实,我们认为使用属于云服务的IP可能不会被广泛的攻击者认为是可疑的。事实上,根据Shodan的蜜谱(0.0分),我们大多数虫洞被归类为非蜜罐,这一事实初步表明,从技术角度来看,我们的设置似乎是现实的。

顺便说一句,我们注意到至少还有6个云实例向Shodan展示了摄像头。所有这些例子的蜜罐分数都是0.5,这在原则上使他们比我们的设置更加可疑,但可能表明其他这样的设置并不少见(如果不是蜜罐的话),或者其他人在他们的蜜罐设置中没有我们那么隐蔽。

1.6. 相关工作


蜜罐是了解计算机网络中攻击者活动的常用方法。[13]的作者提供了蜜罐的分类,并区分了低交互和高交互的蜜罐。文[7]对低交互和高交互蜜罐进行了比较,得出结论:高交互蜜罐比低交互蜜罐更能洞察攻击者的行为。

Honeynet项目[34]是一个成熟的项目,专注于监视和分析对复杂入侵检测工具的攻击。蜜网项目不使用仿真,而是利用真实的系统和应用程序。因此,蜜网项目是一个高度互动的蜜罐的例子。

在[15]中,作者描述了可以用来提高大型计算机网络安全性的蜜网。简言之,蜜网是一堆蜜罐。

在[22]中实现了一个低交互蜜罐系统。蜜罐监视行为并学习IDS工具可能检测不到的高级攻击。攻击者的会话被重定向到蜜罐系统,然后蜜罐系统为攻击者的请求提供服务。为此,作者提供了服务守护进程和一个假Shell,这样攻击者就无法将系统发现为蜜罐。在文献[4]中,提出了DecoyPort系统,该系统将攻击者定向到蜜罐。系统在活动计算机上创建诱饵端口,这些端口不被真正的服务使用。每当任何查询或请求到达端口时,系统都会将其转移到蜜罐。该系统不仅充当端口转发器,而且能够控制由攻击者引起的网络负载。通过这种高度交互的蜜罐部署,作者指出攻击的可能性可能会增加。

在[11]中,作者描述了蜜罐的实现和部署,蜜罐基于许多真实的、易受攻击的Web应用程序。他们将所有Web应用程序托管在运行在VMWare服务器上的七个独立虚拟机中。为了限制攻击面,作者允许公开的服务作为非特权用户运行。然后,他们分析收集到的数据,以研究攻击者在利用前和利用后对Web应用程序的行为。相比之下,我们使用真正的物理物联网设备来建立一个高度互动的蜜罐。

在对一般蜜罐的相关研究中,我们只发现了一个关注物联网的研究[27]。在这项工作中,我们为IP摄像头和数字录像机(DVR)提供了一个低交互度的蜜罐。作者模拟了这些设备的Telnet服务。没有真正的设备被用来部署蜜罐。作者的目标是捕获基于Telnet的攻击,并对相关物联网设备进行分析。

文献[29]描述了另一个有趣的方面。作者讨论了部署分布式蜜罐来监视本地攻击趋势和特定位置攻击行为的必要性。作者在不同国家部署了低交互作用的蜜罐,并得到了来自不同学术、工业和政府组织的积极参与。这些蜜罐模拟各种操作系统。作者展示了在不同地点攻击蜜罐的相似性和差异性。

文[28]提出了一个博弈论模型。这篇论文模拟了一个场景,当攻击者决定攻击网络中的哪个服务器时。作者描述了一个蜜罐选择游戏,它将诱使攻击者攻击一个蜜罐而不是一个实际的服务器。他们对攻击者的行为进行了实证研究和分析。他们已经表明,除了蜜罐设计,策略也应该强调。

最近的另一篇论文[24]提出了一个贝叶斯博弈来防御支持蜜罐的物联网中的攻击。本文根据攻击者和防御者策略的变化,描述了不同的游戏场景。对博弈进行了系统的数学分析,并通过仿真对贝叶斯模型进行了评价。

与现有文献相比,我们的工作集中在由真实物联网设备组成的高交互分布式蜜罐上。该设置允许捕获和分析不同地理位置的真实流量和攻击,并测量不同位置的跟踪行为。据我们所知,我们是第一个提出并实现这种架构的人。

1.7. 结论


本文提出了一种分布式可扩展的高交互物联网蜜罐的设计方案。该设计通过在公共IP地址和物理设备之间建立隧道,将单个实验室中的物理物联网设备描述为地理分布。它还可以收集流量以进行进一步的处理和分析。我们已经使用五个IP摄像头和一个NVR实现了这种设计的原型,使全球攻击者可以使用85个IoT设备。我们的实现使我们能够收集几GB的流量数据,我们已经对这些数据进行了初步分析,特别是从对攻击者具有更高吸引力的位置的角度。

在收集的数据中,我们特别注意到超过400次试图绕过我们设备的身份验证的暴力行为,导致42次成功登录到这些设备。我们已经观察到大量的流量到我们的设备,但相对而言没有那么多的互动设备的网络接口。我们推测,这是由于执行此类攻击的攻击工具的自动化程度很低,而且与自动化攻击相比,手动攻击的数量相对较少。在所有部署的设备中,一个特定型号的DLink摄像头获得了大约60%的总流量,我们推测这是由于该型号的漏洞被重新发布。法兰克福和新加坡的设备吸引了最多的流量,证实了我们的假设,即位置很重要。

我们已经将其他物联网设备如IP打印机引入高交互蜜罐,并试图了解攻击者的交互。此外,我们还使用IP摄像头模拟器部署了一个低交互蜜罐,以比较攻击者的行为和高交互蜜罐的行为。我们观察到,攻击者对真正的IP摄像头比模拟器或其他设备更感兴趣。

在未来,我们计划在我们的蜜罐中增加更多的设备,比如家用电器。我们还计划对收集到的数据进行更深入的分析,并与其他对此类分析感兴趣的研究人员分享我们的数据。除此之外,我们还将纳入入侵预防系统,以防止对我们的设备造成重大损害。此外,我们计划将SIPHON框架与文[33]中给出的物联网试验台集成。通过将SIPHON与物联网试验台相结合,我们旨在实现以下两个目标。首先,我们可以使用SIPHON作为物联网测试台的安全测试机制之一。这可以通过将试验台上测试的任何物联网设备通过SIPHON框架作为蜜罐暴露在互联网上来实现,并且通过使用试验台上的测量(监视)模块,我们可以检测来自互联网的攻击和物联网设备的潜在弱点。其次,我们可以使用物联网试验台作为SIPHON机制的一部分。通过在试验台上放置物联网装置,可以利用试验台的诱捕模块来提高SIPHON蜜罐的可靠性。例如,我们可以使用GPS欺骗发送各种GPS位置,模拟物联网连接到的网络,或者使用蜜罐模拟用户活动。

1.8. 参考文献


[1] DLink dcs-930l camera vulnerability.

http://securityaffairs.co/wordpress/49143/breaking-news/d-link.html. Accessed: 2016-08-10.

[2] Masscan the internet port scanner.http://tools.kali.org/information-gathering/masscan. Accessed: 2016-08-10.

[3] 2005. ITU report : The Internet of Things.

[4] The DecoyPort: Redirecting Hackers toHoneypots. Springer Berlin Heidelberg, Sept. 2007.

[5] 2016. Gartner report Forecast: IoT Security,Worldwide.

[6] 2016. IDC report Internet of Things: SecurityPractices.

[7] E. Alata, V. Nicomette, M. Dacier, M. Herrb,et al. Lessons learned from the deployment of a high-interaction honeypot.arXiv preprint arXiv:0704.0858, 2007.

[8] E. Albin. A comparative analysis of the snortand suricata intrusion-detection systems. PhD thesis, Monterey, California.Naval Postgraduate School, 2011.

[9] E. Androulaki, C. Soriente, L. Malisa, and S.Capkun. Enforcing location and time-based access control on cloud-stored data.In Distributed Computing Systems (ICDCS), 2014 IEEE 34th InternationalConference on, pages 637–648, June 2014.

[10]R. Bodenheim, J. Butts, S. Dunlap, and B.Mullins. Evaluation of the ability of the shodan search engine to identifyinternet-facing industrial control devices. International Journal of CriticalInfrastructure Protection, 7(2):114–123, 2014.

[11]D. Canali and D. Balzarotti. Behind the scenes of online attacks: an analysis of exploitation behaviors on the web. In 20th Annual Network & Distributed SystemSecurity Symposium (NDSS 2013), pages n–a, 2013.

[12]Dyn attack 2016. http://dyn.com/blog/

dyn-analysis-summary-of-friday-october-21-attack/.Accessed: 2016-12-06.

[13]W. Fan, Z. Du, and D. Fern´andez. Taxonomy ofhoneynet solutions. In SAI Intelligent Systems Conference (IntelliSys), 2015,pages 1002–1009. IEEE, 2015.

[14]A. Francillon, B. Danev, and S. Capkun.Relay attacks on passive keyless entryand start systems in modern cars. In Proc. Network and Distributed SystemSecurity Symp. (NDSS), 2011.

[15]J. B. Grizzard, S. Krasser, and H. L. Owen. TheUse of Honeynets to IncreaseComputer Network Security and User Awareness. Journal of Security Education,1(2-3):23–37, 2005.

[16]M. Guri, Y. Poliak, B. Shapira, and Y. Elovici.Joker: Trusted detection of kernel rootkits in android devices via jtaginterface. In Proceedings of Trustcom,

volume1, pages 65–73, Aug 2015.

[17]P. Hane. IPWHOIS: A library for RDAP (HTTP)lookups. https://pypi.python.org/pypi/ipwhois, 2015.

[18]T. Holz, M. Engelberth, and F. Freiling.Learning more about the underground economy: A case-study of keyloggers anddropzones. In European Symposium on Research in Computer Security, pages 1–18.Springer, 2009.

[19]Y.-C. Hu, A. Perrig, and D. B. Johnson.Wormhole detection in wireless ad hoc networks. Technical Report Tech. Rep.TR01-384, Department of Computer Science, Rice University, 2002.

[20]Y.-C. Hu, A. Perrig, and D. B. Johnson. Packet leashes: adefense against wormhole attacks in wireless networks. In Proc. of the IEEEConference on Computer Communication (InfoCom), volume 3, pages 1976–1986.IEEE, 2003.

[21]Y.-C. Hu, A. Perrig, and D. B. Johnson.Wormhole attacks in wireless networks. IEEE journal on selected areas incommunications, 24(2):370–380, 2006.

[22]M. Kim, M. Kim, and Y. Mun. Design andimplementation of the honeypot system with focusing on the session redirection.In International Conference

onComputational Science and Its Applications, pages 262–269. Springer, 2004.

[23]I. Kotuliak, P. Ryba´r, and P. Tru´chly.Performance comparison of ipsec and tls based vpn technologies. In Proceedingsof Conference on Emerging eLearning Technologies and Applications (ICETA),pages 217–221. IEEE, 2011.

[24]Q. D. La, T. Quek, J. Lee, S. Jin, and H. Zhu.

Deceptiveattack and defense game in

honeypot-enablednetworks for the internet of things.

IEEEInternet of Things Journal, PP(99):1–1, 2016.

[25]J. C. Matherly. SHODAN the computer searchengine. https://www.shodan.io. Accessed: 2016-08-01.

[26]Mirai malware 2016.http://blog.malwaremustdie.org/ 2016/08/mmd-0056-2016-linuxmirai-just.html.Accessed: 2016-12-04.

[27]Y. M. P. Pa, S. Suzuki, K. Yoshioka, T.Matsumoto,

T.Kasama, and C. Rossow. IoTPOT: Analysing the Rise of IoTCompromises. In 9th USENIX Workshop on Offensive Technologies (WOOT). USENIXAssociation, 2015.

[28]R. P´ıbil, V. Lisy´, C. Kiekintveld, B.Boˇsansky´, and

M.Pˇechouˇcek. Game Theoretic Model of Strategic Honeypot Selection in ComputerNetworks, pages 201–220. Springer Berlin Heidelberg, Nov. 2012.

[29]F. Pouget, M. Dacier, and V. Pham. on the advantages of deploying a large scaledistributed honeypot platform. In Proceedings of the E-Crime and ComputerEvidence Conference, 2005.

[30]N. Provos. A virtual honeypot framework. InProc. of the USENIX Security Symposium, 2004.

[31]N. Provos and T. Holz. Virtual honeypots: frombotnet tracking to intrusion detection. Pearson Education, 2007.

[32]P. Richter, M. Allman, R. Bush, and V. Paxson.A primer on ipv4 scarcity. SIGCOMM Comput. Commun. Rev., 45(2):21–31, Apr.2015.

[33]S. Siboni, A. Shabtai, N. O. Tippenhauer, J.Lee, and

Y.Elovici. Advanced security testbed framework for wearable iot devices. ACMTransactions on Internet Technology (TOIT), 16(4):26, 2016.

[34]L. Spitzner. The honeynet project: Trapping thehackers. IEEE Security & Privacy, 1(2):15–23, 2003.

[35]W. Zhang and B. Qu. Security architecture ofthe internet of things oriented to perceptual layer. International Journal onComputer, Consumer and Control (IJ3C), 2(2):37–45, 2013.

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-04-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 时间之外沉浮事 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1.2.1低交互蜜罐
  • 1.2.2高交互蜜罐
  • 1.2.3虫洞(wormhole)
  • 1.2.4 Shodan
  • 1.3.3设计概述
  • 1.3.4虫洞的位置
  • 1.3.5转发方法
  • 1.3.6折衷检测和恢复
  • 1.3.7可扩展性
  • 1.4.1实施
  • 1.4.2流量转发技术设置
  • 1.4.3虫洞的位置
  • 1.4.4隐藏蜜罐角色
  • 1.5.1分析目标
  • 1.5.2高交互IP摄像头蜜罐
  • 1.5.3其他IoT设备
  • 1.5.4低交互蜜罐
  • 1.5.5有效性的讨论和评论
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档