本發明公開了一種高交互SSH蜜罐實現方法，包括以下步驟：對系統SSH端口進行連接，判斷是否具有SSH服務，具有SSH服務進入到下一步驟；利用logit函數和OpenSSH中authctxt結構體在口令身份認證時對認證的用戶名/密碼進行捕獲；在口令認證成功后，利用SSH服務通過管道和用戶處理交互會話模塊對客戶端數據處理的特性，對相關模塊代碼進行修改，從而完成對shell口令的記錄；對蜜罐系統流出流量進行控制，包括對外數據包限制和對外攻擊包抑制兩個過程；針對蜜罐系統捕獲的數據，利用javaweb技術進行分析處理展示。本發明的一種高交互SSH蜜罐實現方法，能夠解決被動防御技術無法因谷底不斷更新變化的SSH攻擊，以及中低交互SSH蜜罐交互度不高、誘騙性不足，易被識破等缺陷，提高對SSH服務的安全防御能力。

技術領域

本發明具體涉及一種高交互SSH蜜罐實現方法，屬于網絡信息安全中主動防御技術領域。

背景技術

SSH(Secure Shell)可用于遠程登錄會話和為其他網絡服務提供安全性服務，現已成為企業生活中不可或缺的部分。隨著該協議的廣泛使用，針對該服務的惡意攻擊行為也越來越多，給網絡安全帶來巨大的挑戰。現如今，如何應對針對該服務的惡意攻擊，采取合適的防護措施已成為SSH服務安全中重要研究課題。根據攻擊者通過SSH服務對系統進行入侵的行為習慣，對攻擊者攻擊過程中的行為活動進行實時監控捕獲，并對所提取的入侵行為了解攻擊者所使用的攻擊方法，掌握攻擊動機，為安全管理人員提供科學有效地防御措施和方案。

SSH服務安全防御是通過一些外在的工具或自身所具備的特性防止攻擊者利用SSH服務對系統造成攻擊破壞，使之淪為攻擊者的工具。安全人員通常采用被動防御手段如防火墻、入侵檢測系統等方法來阻止SSH服務攻擊，同時還會使用一些安全工具軟件如fail2ban、DenyHosts來保護SSH服務。其中，fail2ban是利用相關正則表達式對系統日志進行匹配，若發現不尋常的日志信息時，如短時間內同一IP大量嘗試SSH錯誤口令，fail2ban就會調用防火墻屏蔽該IP，并可以發送郵件通知系統管理員。DenyHosts會分析sshd的日志文件，當發現重復的攻擊時就會記錄IP到/etc/hosts.deny文件中，從而達到自動屏蔽IP的功能。在這些被動防御中存在著功能欠缺、有局限性，只能防御已知攻擊，無法對未知攻擊進行防御，且不能對攻擊者的攻擊做詳細了解分析。蜜罐技術的提出，有效解決了被動防御措施存在的缺陷和不足，安全研究人員依據該技術開發了一系列模擬SSH網絡服務的中低交互蜜罐軟件以適應層出不窮的SSH服務攻擊威脅，如Kojoney、Kippo、Cowrie等。這些SSH蜜罐達到了捕獲攻擊者入侵攻擊的信息，實現了主要功能，但都是模擬SSH網絡服務，交互度不高，容易被識破，無法全面對攻擊者進行數據捕獲，從而使得蜜罐作用價值不高。

發明內容

本發明要解決的技術問題是，克服現有技術的缺陷，提供一種能夠解決被動防御技術無法因谷底不斷更新變化的SSH攻擊，以及中低交互SSH蜜罐交互度不高、誘騙性不足，易被識破等缺陷，提高對SSH服務的安全防御能力的高交互SSH蜜罐實現方法。

為解決上述技術問題，本發明采用的技術方案為：

一種高交互SSH蜜罐實現方法，包括以下步驟：

步驟a，對系統SSH端口進行連接，判斷是否具有SSH服務，具有SSH服務進入到下一步驟；

步驟b，利用logit函數和OpenSSH中authctxt結構體在口令身份認證時對認證的用戶名/密碼進行捕獲；

步驟c，在口令認證成功后，利用SSH服務通過管道和用戶處理交互會話模塊對客戶端數據處理的特性，對相關模塊代碼進行修改，從而完成對shell口令的記錄；

步驟d，對蜜罐系統流出流量進行控制，包括對外數據包限制和對外攻擊包抑制兩個過程；

步驟e，針對蜜罐系統捕獲的數據，利用javaweb技術進行分析處理展示。