当前位置:文档之家 › 防黑阻击-入侵检测之蜜罐蜜网

防黑阻击-入侵检测之蜜罐蜜网

  • 格式:pdf
  • 大小:150.64 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

企业级蜜罐技术:引诱并追踪攻击者

企业级蜜罐技术:引诱并追踪攻击者
意图和手段
数据应用:将 分析结果应用 于防御策略的 制定和优化, 提高企业网络
安全水平
蜜罐技术:通过 模拟真实环境, 吸引攻击者,收 集攻击行为和信 息
威胁情报:通过 蜜罐技术收集到 的攻击行为和信 息
共享方式:通过 互联网、安全社 区、安全厂商等 渠道共享威胁情 报
利用方式:通过 对威胁情报的分 析和利用,提高 企业安全防护能 力,及时发现和 应对攻击行为
XX,a click to unlimited possibilities
汇报人:XX
CONTENTS
PART ONE
PART TWO
蜜罐技术是一种网络安全技术,用 于吸引和检测恶意攻击者。
蜜罐系统可以记录攻击者的行为, 帮助网络安全人员了解攻击者的攻 击手段和意图。
添加标题
添加标题
添加标题
蜜罐技术可以收集攻击者的信息,帮助企业了解攻击者的行为和意图,从而制定更有效的防御策略
蜜罐技术可以提供实时的预警和响应机制,帮助企业及时发现和应对攻击
蜜罐技术可以提供攻击者的行为分析和报告,帮助企业了解攻击者的攻击方式和技术,从而提高防御能力
PART FOUR
物理部署:将 蜜罐设备放置 在企业网络中, 模拟真实环境
蜜罐技术的原理:通过模拟真实环境,吸引攻击者,从而获取攻击信息
蜜罐技术的分类:包括低交互蜜罐、高交互蜜罐、蜜网等
蜜罐技术的应用:在金融、政府、教育等领域广泛应用
蜜罐能力和防御效 果
PART FIVE
蜜罐技术的挑战:误报和漏报
解决方案:提高蜜罐的仿真度, 使其更接近真实环境
蜜罐系统的监控:蜜罐系统的监控需要实时监控蜜罐系统的运行状态,包括蜜罐系统的流量、 蜜罐系统的日志、蜜罐系统的异常等。

简述蜜罐的分类。

简述蜜罐的分类。

简述蜜罐的分类。

蜜罐是一种安全技术,用于检测,跟踪和拦截恶意软件,入侵者,网络攻击和不安全的活动。

蜜罐可以分为以下几类:
1、入侵检测系统(IDS)蜜罐:这种蜜罐检测网络上可疑的活动,如端口扫描,病毒传播,密码暴力破解等,以早期发现和警告安全事件。

2、隐形蜜罐:这种蜜罐安装在网络中,是未知的。

它不会发出任何警告,也不会引起发现,可以潜入网络并跟踪攻击者,以获得有用的情报。

3、网络安全蜜罐:这种蜜罐可以模拟典型的网络资产,其中包含特定的应用程序或操作系统,用于提供可以监测的攻击。

4、移动蜜罐:这种蜜罐可以在移动网络中安装,例如在移动设备,移动应用,无线局域网(WLAN)等上,用于监测网络安全的攻击行为或入侵态势。

5、安全插件蜜罐:这种蜜罐可以作为安全插件安装在浏览器中,识别并拦截恶意软件,网络攻击和不安全的活动。

- 1 -。

入侵检测系统

入侵检测系统

肉的构成及其特性
2.肌肉组织的微观结构 构成肌肉的基本单位是肌纤 维,也叫肌纤维细胞,是属于细长的多核的纤维细胞,长 度由数毫米到20cm,直径只有10~100μm。在显微镜下可 以看到肌纤维细胞沿细胞纵轴平行的、有规则排列的明暗 条纹,所以称横纹肌,其肌纤维是由肌原纤维、肌浆、细 胞核和肌鞘构成。肌原纤维是构成肌纤维的主要组成部分, 直径为0.5~3.0μm。肌肉的收缩和伸长就是由肌原纤维的 收缩和伸长所致。肌原纤维具有和肌纤维相同的横纹,横 纹的结构是按一定周期重复,周期的一个单位叫肌节。
5.2 入侵检测系统
5.2 入侵检测系统
入侵检测系统(Intrusion Detection System,IDS):进 行入侵检测的软件或硬件的组合。
一个安全的入侵检测系统必须具备以下特点: (1)可行性:入侵检测系统不能影响到系统的正常运行。 (2)安全性:引入的入侵检测系统本身需要是安全的、可用 的。 (3)实时性:入侵检测系统是检测系统所受到的攻击行为的 ,必须及时地检测到这种威胁。 (4)扩展性:入侵检测系统必须是可扩展的,入侵检测系统 在不改变机制的前提下能够检测到新的攻击,
肉的构成及其特性
(二) 脂肪组织
脂肪组织是畜禽胴体中仅次于肌肉组织的第二个重要组 成部分,对改善肉质、提高风味有重要作用。脂肪的构造单 位是脂肪细胞,脂肪细胞单个或成群地借助于疏松结缔组织 联在一起。动物脂肪细胞直径30~120μm,最大可达250μm。 脂肪主要分布在皮下、肠系膜、网膜、肾周围、坐骨结节等 部位。在不同动物体内脂肪的分布及含量变动较大,猪脂多 蓄积在皮下、体腔、大网膜周围及肌肉间;羊脂多蓄积在尾 根、肋间;牛脂蓄积在肌束间、皮下;鸡脂蓄积在皮下、体 腔、卵巢及肌胃周围。脂肪蓄积在肌束间使肉呈大理石状, 肉质较好。脂肪组织中脂肪约占87﹪~92﹪,水分占6﹪~ 10﹪,蛋白质1.3﹪~1.8﹪。另外还有少量的酶、色素及维 生素等。

蜜罐实现原理

蜜罐实现原理

蜜罐实现原理蜜罐(Honeypot)是一种用于诱捕黑客的安全机制,它模拟了一个看似易受攻击的系统或网络,吸引攻击者入侵并收集其攻击行为和手段。

蜜罐的实现原理主要包括以下几个方面。

1. 诱饵设置蜜罐的首要任务是诱使攻击者感兴趣并试图攻击。

为了实现这一目标,蜜罐需要设置一些诱饵,例如开放的端口、弱密码账户、易受漏洞影响的应用程序等。

这些诱饵看似真实,但实际上是对攻击者进行诱导和引导的。

2. 日志记录蜜罐需要详细记录攻击者的所有行为和操作,包括攻击手段、攻击目的、攻击时间等信息。

通过对攻击行为的分析,可以及时发现攻击者的新手段和攻击趋势,为安全防护提供重要参考。

3. 网络监控蜜罐通常会与真实网络环境相隔离,以避免攻击对真实系统造成影响。

但同时,蜜罐也需要与网络环境保持连接,并监控网络流量。

通过对网络流量的监控和分析,可以及时发现攻击者的扫描行为、漏洞利用等攻击活动。

4. 虚拟化技术为了提高蜜罐的安全性和可靠性,通常会使用虚拟化技术。

通过将蜜罐部署在虚拟机中,可以有效隔离蜜罐与真实系统,防止攻击对真实系统造成影响。

同时,虚拟化技术还可以方便地进行蜜罐的部署和管理。

5. 威胁情报分享蜜罐收集到的攻击行为和手段可以作为威胁情报分享给其他安全团队或组织。

通过分享威胁情报,可以提高整个安全社区对新型攻击的认知和防范能力,从而共同应对不断演变的威胁。

6. 响应机制当蜜罐检测到攻击行为时,需要采取相应的响应措施。

这些响应措施可以包括拦截攻击流量、阻止攻击者的访问、向攻击者发送虚假信息等。

通过灵活和及时的响应机制,可以最大程度地阻止攻击者的进一步攻击。

7. 学习分析蜜罐不仅仅是用来吸引攻击者的陷阱,还是一个用于学习和分析攻击手段的平台。

通过对攻击者的行为和手段进行分析,可以及时发现新的攻击方式和漏洞利用技术,从而改进系统的安全性。

蜜罐的实现原理是通过设置诱饵、记录日志、监控网络、使用虚拟化技术、分享威胁情报、响应攻击和学习分析等手段来吸引攻击者,并收集其攻击行为和手段。

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐

网络诱骗技术之蜜罐摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。

根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。

本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。

关键词:蜜罐、网络诱骗、网络安全、蜜网Phishing technology Honeypot(Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research.Keywords: Honeypot, Phishing, network security, Honeynet0引言“蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。

第 5 章 入侵检测与蜜罐技术

第 5 章 入侵检测与蜜罐技术

(3)全面的安全防御方案
5.2 建立一个入侵检测系统
Snort是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志Ip网络数据包 的能力,能够进行协议分析,对内容搜索/匹 配。它能够检测各种不同的攻击方式,对攻击 进行实时警报。只要遵守GPL,任何组织和个 人都可以自由使用Snort。 Snort虽然功能强大,但是其代码极为简洁,其 源代码压缩包只有200KB不到。此外,Snort 具有很好的扩展性和可移植性,跨平台性能极 佳,目前已经支持Linux系列、Solaris、BSD 系列、IRIX,HP-UX、Windows系列,Sco Openserver、Unixware等。
(1)模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。该方法的一大优点是只需 收集相关的数据集合,显著减少系统负担,且 技术已相当成熟。它与病毒防火墙采用的方法 一样,检测准确率和效率都相当高。但是,该 方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法,不能检测到从未出现过 的黑客攻击手段。

统计方法的最大优点是它可以“学习”用户的使用习惯,从而 具有较高检出率与可用性。但是它的“学习”能力也给入侵者 以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,
(5)专家系统 用专家系统对入侵进行检测,经常是针对有特征入侵行 为。所谓的规则,即是知识,不同的系统与设臵具有 不同的规则,且规则之间往往无通用性。专家系统的 建立依赖于知识库的完备性,知识库的完备性又取决 于审计记录的完备性与实时性。入侵的特征抽取与表 达,是入侵检测专家系统的关键。在系统实现中,将 有关入侵的知识转化为if-then结构(也可以是复合结 构),条件部分为入侵特征,then部分是系统防范措 施。运用专家系统防范有特征入侵行为的有效性完全 取决于专家系统知识库的完备性。

蜜罐技术

蜜罐(Honeypot)技术蜜罐技术是入侵检测技术的一个重要发展方向,它已经发展成为诱骗攻击者的一种非常有效而实用的方法,它不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息。

蜜罐概述蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。

蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机,给攻击者提供一个容易攻击的目标。

由于蜜罐并没有像外界提供真正有价值的服务,因此所有链接的尝试都将被视为是可疑的。

蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。

这样,最初的攻击目标得到了保护,真正有价值的内容没有受到侵犯。

此外,蜜罐也可以为追踪攻击者提供有用的线索,为起诉攻击者搜集有力的证据。

从这个意义上说,蜜罐就是“诱捕”攻击者的一个陷阱。

1.1 蜜罐的概念L.Spitzner是一名蜜罐技术专家,他对蜜罐做了这样的定义:蜜罐是一种资源,它的价值是被攻击或者攻陷,这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。

蜜罐不会直接提高计算机网络安全,但它却是其他安全策略所不可替代的一种主动防御技术。

无论使用者如何建立和使用蜜罐,只有蜜罐受到攻击,它的作用才能发挥出来。

为了方便攻击者攻击,最好是将蜜罐设置成域名服务器(DNS)、Web或者电子邮件转发服务等流行应用中的某一种。

1.2蜜罐的安全价值根据设计的最终目的不同可以将蜜罐分为产品型蜜罐和研究型蜜罐。

1、产品型蜜罐产品型蜜罐一般运用于特定组织中以减小各种网络威胁,它增强了产品资源的安全性。

产品型蜜罐最大的价值就是检测,这是因为产品型蜜罐可以降低误报率和漏报率,这极大地提高了检测非法入侵行为的成功率。

在响应中也会增强整个组织对意外事件的响应能力,但是蜜罐不能阻止入侵者进入那些易受攻击的系统。

网络信息安全的蜜罐与蜜网技术

网络信息安全的蜜罐与蜜网技术网络信息安全是当今社会中不可忽视的重要议题之一。

为了应对不断增长的网络攻击和威胁,各种安全技术被研发出来,其中蜜罐与蜜网技术在网络安全领域中扮演着重要的角色。

蜜罐与蜜网技术可以说是网络防御体系中的“绊脚石”,通过诱使攻击者的注意力转移到虚假目标上,保护真实系统的安全。

本文将深入探讨蜜罐与蜜网技术的原理、应用以及其对网络安全的影响。

一、蜜罐技术蜜罐技术是一种利用安全漏洞吸引攻击者并收集攻击信息的方法。

蜜罐可以是一个虚拟机、一个系统、一个应用程序等,并通过实施合适的伪造,使攻击者产生对其价值的错觉。

当攻击者攻击了蜜罐,管理员就可以获取攻击者的信息以及攻击方式。

这种技术可以帮助安全专家识别攻击者的手段和目的,提供关于攻击者行为的详细记录,进一步优化网络防御策略。

蜜罐可以分为低交互蜜罐和高交互蜜罐两种类型。

低交互蜜罐主要用于攻击者获取目标及攻击信息,并能提供类似真实环境的部分服务;而高交互蜜罐则可以模拟完整的网络环境和服务,与攻击者进行实时互动,收集更多的信息并增加攻击者暴露自身的风险。

在实际应用中,蜜罐技术主要用于安全研究、网络攻击监测、攻击溯源和黑客防范等方面。

通过搭建蜜罐系统,安全专家能够分析攻击者的行为,预测新的攻击模式,从而提前采取相应的安全措施。

同时,蜜罐技术也可以用于对抗黑客,并增加网络安全的整体强度。

二、蜜网技术蜜网技术是指将多个蜜罐组成一个密集的网络环境,形成一个蜜罐阵列。

蜜网技术通过在网络中分布多个虚拟、伪造或易受攻击的系统,吸引攻击者进行攻击。

与蜜罐单独使用相比,蜜网技术可以提供更大规模和复杂度的攻击模拟环境,更好地了解攻击者的动机、行为以及他们之间可能存在的关联。

蜜网技术在网络安全中具有重要作用。

首先,它为安全人员提供更多真实攻击事件的数据,帮助他们分析攻击者的行为和策略,改善网络安全防护。

其次,蜜网技术可以用于主动监控攻击行为,及时发现并阻止未知安全威胁。

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

bsdD t t n 和 基 于 特 征 检 测 ( i a r ae e co ) ei Sg t e—bsd nu ae D t tn 两 大类 . e co) ei
为的特征或本地系统的“ 正常值 等等 , 将这些已知 的“ 征值” 为入侵检 测分 析 的安全 策 略 . 特 作 入侵 检 测 分 析模块被 动的提取 出 当前 行为特 征 ( 或当前 系 统 值 ) 已存储 于知 识库 中 的特定 行 为 特 征 ( 系 与 或
已知 的入侵攻击 和工具 , 于 已知 的 已经 写入特 征 对 库 的 入 侵攻 击 ,D IS可 以详 细 、 准确 无 误 的报 告 出
1异 常检 测 : 基 于对 检测 对 象 正 常行 为 ( ) 是 正

收稿 日期 :09—0 —1 20 9 8 作者简介 : 禹谢华(92 , , 18 一)男 湖南邵东人 , 助教 , 思科认证网络工程师 ( C A , C N )研究方向 : 计算机应用 , 网络安全
统“ 常值”进 行 比较 , 正 ) 若特 征值相 匹配 ( 当前 系 或
统值与知识库中的系统“ 正常值” 不匹配)则判定 , 为是非 法入侵 , 执行报 警或相 应 的响应处 理 ; 反之 , 则视为正常操作 , 允许其行为. 不难发现 , 这种采用 知识库 检测手段 的入侵 监 测 系统 只能 被 动 的检 测
私 数据失 窃 、 网银 被 盗 等 网络 入侵 事 件 时有 发 生 , 网络安 全技 术面 临着 巨大 的挑战 . 如何有 效地 提升 传 统入 侵检测 系 统 防御 未 知或 新 型攻 击 的 能力 已
成 为 当务之 急 .
称 IS , D )即为 能够实 现 以上 各种 功 能 的应 用 系统 , 主 要 由行 为发生模 块 、 入侵 检测 分析模 块和 响应处 理 模块 三个部分构 成 , 理示 意 图如 图 l 示 . 其原 所

4-2:信息安全产品-IDS、漏洞扫描与蜜罐


• 蜜罐是一种网络攻击诱骗工具,它通过模 拟一个或多个易受攻击的系统,给黑客提 供一个包含漏洞并容易被攻破的系统作为 他们的攻击目标 • 目的:
–研究攻击 –转移攻击
22
蜜罐的分类
• 产品蜜罐
–减少攻击
• 研究蜜罐
–研究攻击
23
蜜网(honeynet)
• 一种研究型、高交互型的蜜罐技术
• 误用检测根据非法行为(状态)定义,分 析目标系统状态,以确定是否受到攻击 • 技术较为成熟,为绝大多数市场产品采用 • 典型应用:
–网络数据包 –用户指令序列 –应用程序编码特征,等等
10
误用入侵检测技术
• 优点
–准确 –高效(相对) –易实现
• 缺点
–不能检测未知攻击 –知识库会无限增长 –描述所有攻击行为困难
–对攻击者活动进行收集
• 一个体系框架
–包括一个或多个蜜罐 –高可控的蜜罐网络
24
蜜网的需求
• 数据控制
–降低风险-使得蜜网不会被用以危害第三方
• 数据捕获
–检测并捕获所有攻击者的活动
• 数据分析
–分析攻击者做了什么!
25

26
11
误用检测典型系统-Snort
• Snort是一个典型的轻量级误用网络入侵检 测系统。该系统自己定义了一套规则语言 来定义入侵行为,规则语言所描述的主要 是网络数据包的特性,比如地址、端口、 包头属性、包含的特殊数据等等。
12
误用检测典型系统-Snort
• Snort规则语言(示例)
–log tcp any any -> 10.1.1.0/24 79 –alert tcp any any -> 10.1.1.0/24 80 (content: "/cgi-bin/phf";msg "PHF probe!") –alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 6000:6010 ( msg: "X traffic";) –alert tcp any any -> 192.168.1.0/24 143 (content:"|E8C0 FFF FF|/bin/sh"; msg:"New IMAP Buffer Overflow detected!";)
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防黑阻击 入侵检测之蜜罐与蜜网
入侵诱骗技术是较传统入侵检测技术更为主动的一种安全技术。

主要包括蜜罐(Honeypot)和蜜网(Honeynet)两种。

它是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析,并找到有效的对付方法。

为了吸引攻击者,网络管理员通常还在Honeypot上故意留下一些安全后门,或者放置一些攻击者希望得到的敏感信息,当然这些信息都是虚假。

当入侵者正为攻入目标系统而沾沾自喜时,殊不知自己在目标系统中的所做所为,包括输入的字符,执行的操作等都已经被Honeypot所纪录。

蜜罐技术
Honeypot是一个资源,它的价值在于它会受到探测,攻击或攻陷。

蜜罐并不修正任何问题,它们仅提供额外的、有价值的信息。

所以说Honeypot并非是一种安全的解决方案,这是因为它并不会“修理”任何错误。

它只是一种工具,如何使用这个工具取决于用户想做什么。

Honeypot可以对其他系统和应用进行仿真,创建一个监禁环境将攻击者困在其中。

无论用户如何建立和使用Honeypot,只有Honeypot受到攻击,它的作用才能发挥出来。

所以为了方便攻击,最好是将Honeypot设置成域名服务器WEB或电子邮件转发服务等流行应用中的一种。

蜜罐的部署
蜜罐并不需要一个特定的支撑环境,它可以放置在一个标准服务器能够放置的任何地方。

当然,根据所需要的服务,某些位置可能比其他位置更好一些。

如图(1)显示了通常放置的三个位置:1.在防火墙前面;2.DMZ中;3.在防火墙后面。

如果把蜜罐放在防火墙的前面,不会增加内部网络的任何安全风险,可以消除在防火墙后面出现一台失陷主机的可能性(因为蜜罐主机很容易被攻陷)。

但是同时也不能吸引和产生不可预期的通信量,如端口扫描或网络攻击所导致的通信流,无法定位内部的攻击信息,也捕获不到内部攻击者。

如果把蜜罐放在防火墙的后面,那么有可能给内部网络引入新的安全威胁,特别是如果蜜罐和内部网络之间没有额外的防火墙保护。

正如前面所说,蜜罐通常都提供大量的伪装服务,因此不可避免地必须修改防火墙的规则,对进出内部网络的通信流量和蜜罐的通信加以区别和对待。

否则一旦蜜罐失陷,那么整个网络内部将完全暴露在攻击者面前。

较好的解决方案是让蜜罐运行在自己的DMZ内,同时保证DMZ内的其他服务器是安全的,只提供所必需要的服务,而蜜罐通常会伪装尽可能多的服务。

DMZ同其他网络连接都用防火墙隔离,防火墙则可以根据需要同Internet连接。

这种布局可以很好的解决对蜜罐的严格控制与灵活的运行环境矛盾,从而实现最高安全。

蜜网技术
Honeynet是一种特殊的Honeypot,Honeypot物理上通常是一台运行单个操作系统或者借助于虚拟化软件运行多个虚拟操作系统的“牢笼”主机。

单机蜜罐系统最大的缺陷在欲数据流将直接进入网络,管理者难以控制蜜罐主机外出流量,入侵者容易利用蜜灌主机作为跳板来攻击其他机器。

解决这个问题方法是把蜜罐主机放置在防火墙的后面,所有进出网络的数据都会通过这里,并可以控制和捕获这些数据,这种网络诱骗环境称为蜜网(honeynet)。

蜜网的组成
蜜网作为蜜罐技术中的高级工具,一般是由防火墙,路由器,入侵检测系统以及一台或多台蜜罐主机组成的网络系统,也可以使用虚拟化软件来构件虚拟蜜网。

相对于单机蜜罐,蜜网实现,管理起来更加复杂,但是这种多样化的系统能够更多地揭示入侵者的攻击特性,极大地提高蜜灌系统的检测,分析,响应和恢复受侵害系统的能力。

防火墙的作用是限制和纪录网络数据流,入侵检测系统通常用于观察潜在的攻击和译码,并在系统中存储网络数据流。

蜜网中装有多个操作系统和应用程序供黑客探测和攻击。

特定的攻击者会瞄准特定的系统或漏洞,我们通过部署不同的操作系统和应用程序,可更准确地了解黑客的攻击趋势和特征。

另外,所有放置在蜜网中的系统都是真实的系统,没有模拟的环境或故意设置的漏洞。

而且利用防火墙或路由器的功能,能在网络中建立相应的重定向机制,将入侵者或可疑的连接主动引入蜜网,可以提高蜜网的运行效率。

如图(2)所示是一个Honeynet的详细结构图。

图中包括了三个不同的网络:Honeynet、管理网络和Internet。

其中,日志/告警服务器为管理网络,Solaris、Win2000、Linux、Log server为Honeynet。

防火墙,IDS和蜜罐主机的系统负责日志的捕获。

因为手段高明的入侵者攻入系统后,通常会试图更改甚至销毁目标主机上易于暴露入侵行为的各种纪录。

蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获攻击行为信息,包括黑客所有的按键纪录,CPU的使用率或者进程列表,使用过的各种协议数据包内容等,同时要注意充分保证捕获信息的完整和安全。

防火墙在IP层纪录所有出入蜜网的连接,设计为允许所有进入的连接,但是对从Honeynet向Internet发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出警告信息;IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。

蜜罐主机除了使用操作系统自身提供的日志功能外,还可以利用第三方软件加强日志功能,并且传输到安全级别更高的远程日志服务器上备份。

总结
传统意义上讲,网络安全要做的工作主要是防御,防止自己负责的资源不会受到别人入侵,尽力保护自己的组织,检测防御中的失误,并采取相应的措施。

这些安全措施都只能检测到已知类型的攻击和入侵。

而蜜罐和蜜网的设计目的就是从现存的各种威胁中提取有用的信息,发现新型的攻击工具,确定攻击模式并研究攻击者的攻击动机,从而确定更好的对策。