当前位置:文档之家 › 蜜罐与蜜网技术介绍

蜜罐与蜜网技术介绍

  • 格式:ppt
  • 大小:1.93 MB
  • 文档页数:82

下载文档原格式

  / 82

合集下载

网络安全蜜罐”技术研究与实现

网络安全蜜罐”技术研究与实现

2、软件层面:在操作系统和应用软件层面进行优化,增强其抗攻击能力。例 如,设计伪装软件应用,使蜜罐在受到攻击时能够进行伪装响应,诱导攻击者 中计。
3、网络层面:通过网络架构优化和网络安全策略配置,实现网络通信的安全 性和可靠性。例如,设置蜜罐网络与真实网络的隔离,防止攻击者在蜜罐网络 中进一步渗透。
五、总结与展望
网络安全蜜罐作为一种主动防御技术,可以有效发现和防范各种网络攻击行为。 通过对潜在攻击者的诱导和监控,蜜罐能够获取丰富的攻击信息,提高网络防 御的针对性和效果。然而,蜜罐技术也存在一定的挑战和限制,例如如何提高 诱骗的准确性和防御效果、如何避免自身被攻破等问题。
未来,随着技术的不断进步和应用场景的不断扩展,网络安全蜜罐技术将会有 更多的发展机遇和挑战。结合、机器学习等技术,智能蜜罐将会更加普及和高 效;随着云计算、物联网等技术的广泛应用,蜜罐技术也将扩展到更大规模和 更为复杂的网络环境中。因此,我们期待未来网络安全蜜罐技术能够为网络安 全领域带来更多的创新和突破。
1、本次演示所实现的蜜罐网络诱骗技术能够有效诱骗攻击者进入预设陷阱, 提高了防御效果。
2、通过多层次、全方位的蜜罐设计,实现了对多种攻击手法的有效应对。 3、通过对攻击数据的分析,能够准确识别出攻击者的行为特征和意图。
谢谢观看
4、威慑作用:通过展示网络安全蜜罐的能力和效果,威慑潜在的攻击者,降 低网络攻击的风险。
三、技术研究
网络安全蜜罐的技术研究主要包括以下几个方面:
1、技术原理:网络安全蜜罐的技术原理是通过模拟或构造各种漏洞,吸引攻 击者进行扫描和攻击,记录攻击者的行为并进行分析,从而获取网络攻击的相 关信息。
2、实现方式:网络安全蜜罐的实现方式包括软件和硬件两种方式。软件蜜罐 可以通过虚拟机或容器技术模拟漏洞,硬件蜜罐则可以通过定制硬件或路由器 等设备实现。

蜜罐技术是什么

蜜罐技术是什么

第一章蜜罐技术蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

蜜罐好比是情报收集系统。

蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。

所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。

还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

第二章详细解释2.1蜜罐的定义首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。

”设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。

2.2涉及的法律问题蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。

例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。

设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。

企业级蜜罐技术:引诱并追踪攻击者

企业级蜜罐技术:引诱并追踪攻击者
意图和手段
数据应用:将 分析结果应用 于防御策略的 制定和优化, 提高企业网络
安全水平
蜜罐技术:通过 模拟真实环境, 吸引攻击者,收 集攻击行为和信 息
威胁情报:通过 蜜罐技术收集到 的攻击行为和信 息
共享方式:通过 互联网、安全社 区、安全厂商等 渠道共享威胁情 报
利用方式:通过 对威胁情报的分 析和利用,提高 企业安全防护能 力,及时发现和 应对攻击行为
XX,a click to unlimited possibilities
汇报人:XX
CONTENTS
PART ONE
PART TWO
蜜罐技术是一种网络安全技术,用 于吸引和检测恶意攻击者。
蜜罐系统可以记录攻击者的行为, 帮助网络安全人员了解攻击者的攻 击手段和意图。
添加标题
添加标题
添加标题
蜜罐技术可以收集攻击者的信息,帮助企业了解攻击者的行为和意图,从而制定更有效的防御策略
蜜罐技术可以提供实时的预警和响应机制,帮助企业及时发现和应对攻击
蜜罐技术可以提供攻击者的行为分析和报告,帮助企业了解攻击者的攻击方式和技术,从而提高防御能力
PART FOUR
物理部署:将 蜜罐设备放置 在企业网络中, 模拟真实环境
蜜罐技术的原理:通过模拟真实环境,吸引攻击者,从而获取攻击信息
蜜罐技术的分类:包括低交互蜜罐、高交互蜜罐、蜜网等
蜜罐技术的应用:在金融、政府、教育等领域广泛应用
蜜罐能力和防御效 果
PART FIVE
蜜罐技术的挑战:误报和漏报
解决方案:提高蜜罐的仿真度, 使其更接近真实环境
蜜罐系统的监控:蜜罐系统的监控需要实时监控蜜罐系统的运行状态,包括蜜罐系统的流量、 蜜罐系统的日志、蜜罐系统的异常等。

蜜罐及蜜网技术

蜜罐及蜜网技术

信息系统安全与对抗技术蜜罐及蜜网技术❖L.Spiuner是一名蜜罐技术专家,他对蜜罐的定义:蜜罐是一种资源,它的价值是被攻击或攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。

❖蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。

❖产品型蜜罐的价值•运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性•防护•检测•响应❖研究型蜜罐的安全价值•研究型蜜罐可以捕获自动攻击•研究型蜜罐并不会降低任何风险与威胁,但是它们可以帮助使用者获得更多入侵者的信息❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖诱骗服务(Deception Service)•足以让攻击者相信是一件非常困难的事情❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖诱骗服务(Deception Service )❖弱化系统(Weakened System )❖强化系统(Hardened System )❖用户模式服务器•是一个配置有已知攻击弱点的操作系统•恶意攻击者更容易进入系统❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)•强化系统并不配置一个看似有效的系统❖用户模式服务器❖诱骗服务(Deception Service)❖弱化系统(Weakened System)❖强化系统(Hardened System)❖用户模式服务器❖配置蜜罐的实例•蜜罐系统应该与任何真实的产品系统隔离•尽量将蜜罐放置在距离外网最近的位置•需要有步骤地记录所有通过蜜罐的信息❖配置蜜罐的实例❖产品型蜜罐❖研究型蜜罐❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务低交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务•中交互蜜罐:中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统中交互蜜罐蜜罐的分类❖根据交互的程度分类•低交互蜜罐:只提供—些特殊的虚假服务•中交互蜜罐:中交互蜜罐提供了更多的交互信息,但还是没有提供一个真实的操作系统•高交互蜜罐:高交互蜜罐具有一个真实的操作系统高交互蜜罐蜜罐的分类❖蜜罐基本分类•牺牲型蜜罐•外观型蜜罐•测量型蜜罐❖由多个系统和多个攻击检测应用组成的网络❖信息控制❖信息捕获❖信息收集密网(Honeynet)分布式蜜网❖只要谈及蜜罐,就会使人联想到“诱骗”。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。

技术培训-蜜罐与蜜网技术介绍

技术培训-蜜罐与蜜网技术介绍

蜜罐的分类
交互性:攻击者在蜜罐中活动的交互性级别 低交互型-虚拟蜜罐
• 模拟服务和操作系统 • 只能捕获少量信息 / 容易部署,减少风险 • 例: Honeyd
高交互型-物理蜜罐
• 提供真实的操作系统和服务,而不是模拟 • 可以捕获更丰富的信息 / 部署复杂,高安全风险 • 例: 蜜网
虚拟机蜜罐-虚拟硬件、真实操作系统/网络服务
蜜罐技术优势
高度保真的小数据集
• 低误报率 • 低漏报率
能够捕获新的攻击方法及技术 并不是资源密集型 原理简单,贴近实际
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
16
Honeyd
A virtual honeypot framework
• Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
支持同时模拟多个IP地址主机
• 经过测试,最多同时支持65535个IP地址 • 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络服务
• IIS, Telnet, pop3…
• 仅限对讲解内容相关的问题 • 对问题不感兴趣的可自由活动
讲座结束后留充分时间问答
• 欢迎任何问题 • 欢迎加入HoneynetCN邮件组讨论
蜜罐技术概述
蜜罐技术的提出 蜜罐技术基本概念、分类及优势 虚拟蜜罐工具-Honeyd 蜜罐技术发展历程,当前研究热点
8
互联网安全状况
安全基础薄弱
络攻防知识建模,恶意软件分析及防范技术 • 博士论文方向:基于数据融合框架的网络攻击关联分
析技术研究 • 2004年微软学者,2005年IBM Ph.D. Fellowship • Email: zhugejianwei@

蜜罐和蜜网


低交互度Honeypot的实现
-Kfsensor


部署目标 检测攻击 增加攻击代价 为应急响应提供丰富信 息研究 部署位置 直接接入互联网DMZ非 军事区 内部网络 攻击检测、诱骗网络
低交互度Honeypot的实现
-Honeyd /
经过测试,最多同时支持65535个IP地址 对ping和traceroute做出响应
支持同时模拟多个IP地址主机

支持ICMP

通过代理和重定向支持对实际主机、网络服务的整 合-重定向使得我们可以将一个到虚拟蜜罐上的服务 的连接请求转发到一台真实服务器运行的服务进程。

add windows tcp port 23 proxy “162.105.204.159 23”
因此架设一个中交互系统是比较复杂的,要求实施者对网络协议与服务有深 刻的认识。同时,因为中交互系统提供了较多的网络服务,有可能被攻击者 利用成为跳板,因此,在实施该系统的网络内,因经常检查系统日志,并严 格检查是否有安全漏洞已经被黑客利用。

Honeypot的类型
高交互度的Honeypot-复杂度大大增加,面对攻击者的是真实操作系统 的真实应用服务。高交互度Honeypot为攻击者提供对实际操作系统的 访问权,在此环境下无任何实体模拟或受限, Honeypot收集攻击者信息 的能力也大大增强,但同时它也面临高风险,一旦攻击者掌握了对某个 Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从 而会在被侵入系统内进一步扩大侵害。 高交互系统可以提供真实的操作系统环境,攻击者完全可以认为它就 是一台真实的服务器主机,因此,它可以对攻击者的攻击方法进行详 细的日志记录。当攻击者自认为成功入侵时,系统也成功的记录了它 的入侵过程,这样可以帮助系统发现当前系统漏洞并采取相应措施修 补漏洞。 当然,因为部署了真实的操作系统,就难免有攻击者可以通过蜜罐系 统对其它内网主机进行攻击,因此,管理员应定期检查蜜罐主机的安 全性和完整性,也可通过其它方法将蜜罐主机与受保护主机隔离,使 攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。

蜜罐与蜜网技术

增 加黑 客攻 击 系统 所 花 的开 销 . 使攻 代码工具 .Drd C h n所开发 的D K 码工 具和K S no n rq等一 系列 F e s rMaTa  ̄ Fe o e T
击 者 劳而 无功 . 而 降低 黑 客攻 击 系 ( 从 欺骗 工具 包 ) il Po o 开发 的 的商业产 品 。研究型 蜜罐 则是 专 门用 、Nes rv s 通 统 的 兴趣 减少 重 要 系统 被攻 击 的危 H n y o e d等 , 同时也 出现 了像K S no , 于 对黑 客攻 击 的 捕获 和 分析 . 过部 F es r
维普资讯
T lc m r e ee o ma k t技 术 前 沿
蜜罐与蜜网技术
牛少彰 张 玮 ( 北京邮电大学
摘要: 网络Байду номын сангаас全领域 日益受到重视 , 新兴的蜜罐与蜜网技术 。 基于主动防御理论而提出。蜜罐与 蜜网技术通过精心布置的诱骗环境来吸引容忍入侵 ,进而了解攻击思路 .攻击工具和攻击 目的等行为 信息 根据获取的攻击者的情报能更好地理解 网络系统当前面临的危险 ,并且知道如何阻止这些危险 的发生。在 网络安全防护 中做到有的放矢 ,获得最大的主动权 。 关键词 :网络安全 。蜜罐技术 。蜜网技术
术. 一类是 蜜网 (o e n t h n y e )工程 。

种思 想 . 常 由网络 管理人 员应 用 . 蜜罐 的目的在 于为一 个组 织的 网络提 通
包括 检 测攻 击 防止 攻 国际 上的一 些安全 组 织首 先研究 通 过 欺骗 黑客达 到追 踪 的 目的。这 ~ 供 安全 保 护 .
网络 诱骗 系统 . 网络 诱骗 系统是 进 出该 网络 的数 据和 网络 诱骗 主机 上 于使 用真 实 的主机 、操 作 系统 和应 用

网络信息安全的蜜罐与蜜网技术

网络信息安全的蜜罐与蜜网技术网络信息安全是当今社会中不可忽视的重要议题之一。

为了应对不断增长的网络攻击和威胁,各种安全技术被研发出来,其中蜜罐与蜜网技术在网络安全领域中扮演着重要的角色。

蜜罐与蜜网技术可以说是网络防御体系中的“绊脚石”,通过诱使攻击者的注意力转移到虚假目标上,保护真实系统的安全。

本文将深入探讨蜜罐与蜜网技术的原理、应用以及其对网络安全的影响。

一、蜜罐技术蜜罐技术是一种利用安全漏洞吸引攻击者并收集攻击信息的方法。

蜜罐可以是一个虚拟机、一个系统、一个应用程序等,并通过实施合适的伪造,使攻击者产生对其价值的错觉。

当攻击者攻击了蜜罐,管理员就可以获取攻击者的信息以及攻击方式。

这种技术可以帮助安全专家识别攻击者的手段和目的,提供关于攻击者行为的详细记录,进一步优化网络防御策略。

蜜罐可以分为低交互蜜罐和高交互蜜罐两种类型。

低交互蜜罐主要用于攻击者获取目标及攻击信息,并能提供类似真实环境的部分服务;而高交互蜜罐则可以模拟完整的网络环境和服务,与攻击者进行实时互动,收集更多的信息并增加攻击者暴露自身的风险。

在实际应用中,蜜罐技术主要用于安全研究、网络攻击监测、攻击溯源和黑客防范等方面。

通过搭建蜜罐系统,安全专家能够分析攻击者的行为,预测新的攻击模式,从而提前采取相应的安全措施。

同时,蜜罐技术也可以用于对抗黑客,并增加网络安全的整体强度。

二、蜜网技术蜜网技术是指将多个蜜罐组成一个密集的网络环境,形成一个蜜罐阵列。

蜜网技术通过在网络中分布多个虚拟、伪造或易受攻击的系统,吸引攻击者进行攻击。

与蜜罐单独使用相比,蜜网技术可以提供更大规模和复杂度的攻击模拟环境,更好地了解攻击者的动机、行为以及他们之间可能存在的关联。

蜜网技术在网络安全中具有重要作用。

首先,它为安全人员提供更多真实攻击事件的数据,帮助他们分析攻击者的行为和策略,改善网络安全防护。

其次,蜜网技术可以用于主动监控攻击行为,及时发现并阻止未知安全威胁。

防黑阻击-入侵检测之蜜罐蜜网

防黑阻击 入侵检测之蜜罐与蜜网入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。

为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。

蜜罐技术Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。

蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。

它只是一种工具,如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。

所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。

当然,根据所需要的服务,某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。

如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。

但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

蜜罐技术弱势



劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
17
北京大学计算机科学技术研究所
安全风险

发现蜜罐

黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预

团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈

工作量不对称

攻击方:夜深人静, 攻其弱点 防守方:24*7*365, 全面防护 攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
6

信息不对称


提供真实的操作系统和服务,而不是模 拟 可以捕获更丰富的信息 部署复杂,高安全风险 实例:ManTrap, Gen II蜜网
15

北京大学计算机科学技术研究所
蜜罐技术优势

高保真-高质量的小数据集
很小的误报率 很小的漏报率


捕获新的攻击及战术 并不是资源密集型 简单
16
北京大学计算机科学技术研究所
18

利用蜜罐攻击第三方



北京大学计算机科学技术研究所
蜜罐工具实例

DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.


Honeyd
A virtual honeypot framework Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.

19
北京大学计算机科学技术研究所
DTK

用户:普通互联网用户 目标
在几分钟内部署一系列的陷阱 显著提高攻击代价,同时降低防御代价 欺骗自动攻击程序,使其无效

20
北京大学计算机科学技术研究所
从物理蜜罐到DTK
21
北京大学计算机科学技术研究所
从物理蜜罐到DTK
22
北京大学计算机科学技术研究所
DTK如何工作?

# 0 0
0

模拟有漏洞的网络服务 基于状态机变迁脚本 State Input NexStat Exit ln/file output/filename START 0 1 1 220 ESMTP Sendmail 8.1.2/8.1.3; ERROR 0 1 1 500 Command unrecognized - please say "Helo" help 0 1 1 214-No help available


需要大量时间和精力投入!! 实例:Gen II蜜网, Honeyd
13
北京大学计算机科学技术研究所
低交互型蜜罐


模拟服务和操作系统 只能捕获少量信息 容易部署,减少风险 实例:Specter, KFSensor, and Honeyd.
14

北京大学计算机科学技术研究所
高交互型蜜罐
蜜罐技术
什么是蜜罐? 蜜罐的发展历史 Fred Cohen – DTK Honeyd
北京大学计算机科学技术研究所
蜜罐的概念


Honeypot: 首次出现在Cliff Stoll的 小说“The Cuckoo’s Egg”(1990) 蜜网项目组给出如下定义:

“A security resource who’s value lies

11
北京大学计算机科学技术研究所
产品型蜜罐

部署目标: 保护单位网络
防御 检测 帮助对攻击的响应



需要网管尽可能少的工作 商业产品

KFSensor, Specter, ManTrap
12
北京大学计算机科学技术研究所
研究型蜜罐

部署目标:对黑客攻击进行捕获和分析
这些“坏家伙”在干什么 了解攻击方法 捕获他们的键击记录 捕获他们的攻击工具 监控他们的会话
北京大学计算机科学技术研究所 北京大学计算机科学技术研究所
蜜罐与蜜网技术介绍
诸葛建伟 狩猎女神项目/The Artemis Project 2005-4-27 presented at CCERT
北京大学计算机科学技术研究所
内容

蜜罐技术的提出 蜜罐技术


蜜罐概念 实例工具:DTK, honeyd 蜜网概念、蜜网项目组 实例工具:Gen II 蜜网
in being probed, attacked or compromised”
没有业务上的用途,因此所有流入/流出 蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击

9
北京大学计算机科学技术研究所
蜜罐技术的发展历史

被攻陷的真实主机 (1990 ~)

<< The Cuckoo’s Egg >> An Evening with Berferd 模拟网络服务,虚拟系统 Fred Cohen: DTK

蜜网技术

神项目
2
北京大学计算机科学技术研究所
蜜罐技术的提出
要解决什么问题?
北京大学计算机科学技术研究所
互联网安全状况

安全基础薄弱
操作系统/软件存在大量漏洞 安全意识弱、安全加强 rarely done


任何主机都是攻击目标!
DDoS、跳板攻击需要大量傀儡主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀

4
北京大学计算机科学技术研究所
互联网安全状况 (2)

攻击者不需要太多技术

攻击工具的不断完善
更多的目标:Linux、Windows 更容易使用,工具整合

– Metasploit: 30+ Exploits

更强力 0-day exploits: packetstorm

攻击脚本和工具可以很容易得到和使用


后果不对称

北京大学计算机科学技术研究所
蜜罐技术的提出

扭转工作量不对称

增加攻击代价-假目标
扭转信息不对称-了解你的敌人!


他们是谁? 他们使用什么工具?如何操作? 为什么攻击你?
防守方不受影响损失 计算机取证-对攻击方的威慑
7

扭转后果不对称

北京大学计算机科学技术研究所

虚拟蜜罐工具 (1997 ~)


被监控的真实系统 (2000 ~)

更多的数据捕获、分析、控制工具 在一个蜜网的框架中 蜜网项目组: Gen II蜜网
10
北京大学计算机科学技术研究所
蜜罐的分类

部署目标
产品型 研究型


交互性:攻击者在蜜罐中活动的交互性 级别
低交互型 高交互型