下载文档原格式
企业安全管理中的蜜罐技术与入侵检测企业安全管理是现代企业不可或缺的一项重要工作,保护企业的信息系统和数据安全对于企业的发展至关重要。
在企业安全管理中,蜜罐技术和入侵检测成为了不可或缺的工具。
本文将探讨蜜罐技术和入侵检测在企业安全管理中的应用,以及它们的优点和挑战。
一、蜜罐技术在企业安全管理中的应用蜜罐技术是一种诱饵系统,用于吸引黑客攻击并监视其攻击行为。
蜜罐可以被视为一个虚拟的或模拟的系统,实际上并不存储重要的数据或运行关键业务。
它的目的是诱使攻击者将注意力集中在蜜罐上,从而保护真实的系统和数据。
在企业安全管理中,蜜罐技术有以下几个应用方面。
1. 实时监控:蜜罐可以实时监控攻击者的行为和攻击手段。
通过分析攻击者的行为模式和攻击手段,企业可以提前发现和应对潜在的安全威胁。
2. 攻击溯源:蜜罐可以记录攻击者入侵的路径和攻击方法,帮助企业追踪和定位攻击者的来源和真实身份。
这对于制定有效的安全策略和取证具有重要意义。
3. 威慑攻击者:蜜罐技术本身的存在会威慑攻击者进行实质性的攻击。
攻击者在攻击过程中可能会遭受反制措施,从而起到一定程度的保护作用。
二、入侵检测在企业安全管理中的应用入侵检测是一种用于识别和防范未授权的访问、攻击和异常行为的技术。
它通过监视企业网络和系统的活动,及时发现和阻止潜在的安全威胁。
在企业安全管理中,入侵检测有以下几个应用方面。
1. 实时监测:入侵检测系统可以实时监测网络流量和系统活动,及时发现和报告潜在的入侵事件。
通过快速响应,企业可以减少安全漏洞造成的损失。
2. 异常行为检测:入侵检测系统可以分析实时数据,并识别出不符合正常行为模式的异常活动。
这些异常行为可能是未知的攻击或恶意行为,帮助企业发现并排除安全隐患。
3. 攻击特征分析:入侵检测系统可以通过分析攻击行为的特征和模式,提供有关攻击者的信息和攻击手段。
企业可以根据这些信息加强安全防护,提高系统的安全性。
三、蜜罐技术与入侵检测的优点和挑战蜜罐技术和入侵检测在企业安全管理中都有其独特的优点和挑战。
黑客的陷阱“蜜罐”网络欺骗一般通过隐藏和安插错误信息等技术手段实现,前者包括隐藏服务、多路径和维护安全状态信息机密性,后者包括重定向路由、伪造假信息和设置圈套等等。
综合这些技术方法,最早采用的网络欺骗是Honey Pot技术,它将少量的有吸引力的目标(我们称之为Honey Pot)放置在入侵者很容易发现的地方以诱使入侵者上当。
这种技术的目标是寻找一种有效的方法来影响入侵者,使得入侵者将技术、精力集中到Honey Pot而不是其它真正有价值的正常系统和资源中。
Honey Pot技术还可以做到一旦入侵企图被检测到时,迅速地将其切换。
但是,对稍高级的网络入侵,Honey Pot技术就作用甚微了。
因此,分布式Honey Pot技术便应运而生,它将欺骗(Honey Pot)散布在网络的正常系统和资源中,利用闲置的服务端口来充当欺骗,从而增大了入侵者遭遇欺骗的可能性。
它具有两个直接的效果,一是将欺骗分布到更广范围的IP地址和端口空间中,二是增大了欺骗在整个网络中的百分比,使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。
尽管如此,分布式Honey Pot技术仍有局限性,这体现在三个方面:一是它对穷尽整个空间搜索的网络扫描无效;二是只提供了相对较低的欺骗质量;三是只相对使整个搜索空间的安全弱点减少。
而且,这种技术的一个更为严重的缺陷是它只对远程扫描有效。
如果入侵已经部分进入到网络系统中,处于观察(如嗅探)而非主动扫描阶段时,真正的网络服务对入侵者已经透明,那么这种欺骗将失去作用。
欺骗空间技术欺骗空间技术就是通过增加搜索空间来显著地增加入侵者的工作量,从而达到安全防护的目的。
利用计算机系统的多宿主能力(multi-homed capability),在只有一块以太网卡的计算机上就能实现具有众多IP地址的主机,而且每个IP地址还具有它们自己的MAC地址。
这项技术可用于建立填充一大段地址空间的欺骗,且花费极低。
实际上,现在已有研究机构能将超过4000个IP地址绑定在一台运行Linux的PC上。
网络蜜罐识别技术研究与应用随着互联网技术的不断发展,网络安全问题也越来越受到重视。
而网络蜜罐技术作为一种主动防御手段,能够有效地识别攻击者,及时发现和处置安全威胁,得到了广泛应用。
本文将介绍网络蜜罐识别技术的基本原理、现状和未来发展趋势。
一、网络蜜罐识别技术的基本原理网络蜜罐是一种模拟目标系统或服务的计算机系统,并通过记录攻击信息、分析攻击手段及行动手法、识别攻击者等方式,来有效地检测网络攻击。
在进行网络蜜罐识别时,需要采取以下几个步骤:1.部署蜜罐系统:设置虚假系统或服务,吸引攻击者的目光。
2.收集攻击数据:收集攻击者在蜜罐系统中的行为数据和攻击数据,包括攻击方式、攻击目标、攻击时间、攻击来源等信息。
3.分析攻击数据:对收集到的攻击信息进行分析,研究攻击者的攻击手段和行动手法。
4.识别攻击者:根据攻击数据的特征和行为模式,对攻击者进行身份识别。
5.处置安全威胁:加强对系统的防御,并对攻击者进行跟踪和分析。
二、网络蜜罐识别技术的现状随着网络蜜罐技术的不断发展,网络蜜罐识别技术也得到了较大的发展。
目前,网络蜜罐识别技术主要表现在以下三个方面:1.组合架构:网络蜜罐识别技术已经发展到了“AI+蜜罐”的阶段,通过运用人工智能和机器学习技术,来识别攻击者并预测攻击行为。
2.动态分析:网络蜜罐识别技术已经局限于静态分析,不能有效地识别零日攻击(zero-day threat)。
因此,通过将动态分析技术与网络蜜罐技术相结合,可以提高攻击检测的精度。
3.云端部署:通过将网络蜜罐部署在云端环境中,可以降低成本和提高可扩展性。
三、网络蜜罐识别技术的未来发展趋势未来,网络蜜罐识别技术将朝着以下几个方向不断发展:1.机器学习:机器学习技术可以根据攻击者的行为特征和模式,预测攻击行为,并进行实时响应,从而提高网络蜜罐的精度和效率。
2.大数据:通过采集和学习数据,建立大数据分析模型,可以增强网络蜜罐的检测能力和识别能力。
蜜罐技术简介1.蜜罐的概念蜜罐(Honeypot)首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)里,蜜网项目组给出的定义是:没有业务上的用途,因此所有流入/流出蜜罐的流量都预示着扫描、攻击及攻陷,主要用以监视、检测和分析攻击。
它用真实的或虚拟的系统模拟一个或多个易受攻击的主机,给入侵者提供一个容易攻击的目标,从而发现攻击者采用的手段。
2.蜜罐的价值⏹捕获、发现新的攻击手段及战术方法;⏹目的性强,捕获的数据价值高;⏹误报率、漏报率小;⏹建立安全事件行为特征库;⏹相对入侵检测等其他技术,蜜罐技术比较简单,使得网络管理人员能够比较容易地掌握黑客攻击的一些知识。
3.蜜罐的核心技术蜜罐的核心技术一般包括数据捕获技术,数据控制技术以及数据分析技术,其中数据捕获和数据分析技术与网络分析技术类似。
数据捕获技术:数据捕获就是在入侵者无察觉的情况下,完整地记录所有进入蜜罐系统的连接行为及其活动。
捕获到的数据日志是数据分析的主要来源,通过对捕获到的日志的分析,发现入侵者的攻击方法、攻击目的、攻击技术和所使用的攻击工具。
一般来说收集蜜罐系统日志有两种方式:基于主机的信息收集方式和基于网络的信息收集方式。
数据分析技术:数据分析就是把蜜罐系统所捕获到的数据记录进行分析处理,提取入侵规则。
从中分析是否有新的入侵特征。
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。
对入侵数据的分析主要是找出所收集的数据哪些具有攻击行为特征,哪些是正常数据流。
分析的主要目的有两个:一个是分析攻击者在蜜罐系统中的活动、扫描击键行为、非法访问系统所使用工具、攻击目的何在以及提取攻击特征;另一个是对攻击者的行为建立数据统计模型,看其是否具有攻击特征,若有则发出预警,保护其它正常网络,避免受到相同攻击。
4.常用的蜜罐系统4.1Honeyd一款优秀的虚拟蜜罐系统,提供强大易用的功能。
⏹可以模拟任意TCP/UDP网络服务,如IIS, Telnet, pop3…;⏹支持同时模拟多个IP地址主机;⏹最多同时支持65535个IP地址;⏹支持ICMP,对ping和traceroute做出响应;⏹通过代理和重定向支持对实际主机、网络服务的整合;⏹提供UI用户界面;⏹Honeyd与NIDS结合使用,能捕获更多更全面的攻击信息通过部署Honeyd可以对黑客攻击进行捕获和分析,达到以下效果:⏹了解黑客在干什么⏹了解黑客的攻击方法⏹捕获他们的键击记录⏹捕获他们的攻击工具⏹监控他们的会话4.2DTKDTK(DeceptionToolkit) 由FredChoen用Perl语言编写的一组源代码公开的脚本程序,采用服务仿真技术,是最早出现的一种欺骗系统,它可以在几分钟内部署一系列的陷阱,以显著提高攻击代价,同时降低防御成本,欺骗自动攻击程序,使其无效。
(3提高系统的隐蔽和伪装性:相对于蜜罐与蜜罐技术来说,系统平台(特别是客户端的安全性是第一道关口。
如果系统平台是处于高风险状态下,那对于整个网络系统来说依然是比较脆弱的。
因此加强和提高系统安全性、隐蔽性和伪装性就显得尤为重要。
(4重视网络交互性时安全性:既要获得更多价值的信息的同时,又要求系统保持足够的安全,是一件比较头疼的事。
一般来说,交互的程度越高,越是容易使自己陷入危险的范围,从而加大了风险的系数。
因此对于重视和加强网络交互式的安全性,这点是不可缺少的重要部分。
五、小结蜜罐技术作为一种新兴的主动防御技术,是现有安全机制的有力补充。
但现在它还处于初级阶段,有着广泛的研究和发展前景。
在过去的这几年里,安全人员利用各种蜜罐技术,为网络和信息安全的保护立下了不小的功劳。
笔者相信蜜罐技术的潜力还远远没在实际运用中得到应有的体现。
在今后不断的更新和发展,蜜罐技术一定会担负其网络与信息安全防御的重要责任。
六、参考文献 [1]梁兴柱-网络安全蜜罐技术研究与实现[D].大庆石油学院硕士学位论文.2006. [2]姚东铌.蜜罐技术的原理及现状研究卟企业导报,2010,
(6. [3]陈超,妙全兴凄罐技术研究计算机安全,2009,(8:33—34,37. [4]程杰仁,殷建平.蜜罐及蜜网技术研究发展卟计算机研究与发展, 2008,45(增刊:375—378. [5]徐向阳.蜜罐技术分析及发展趋势研究,光盘技术,2006,(4
谢谢!。
蜜罐技术在网络安全领域中的应用一、蜜罐技术的基本概念蜜罐技术指的是一种利用虚拟或者真实的系统或者应用程序来吸引攻击者进行攻击,以获取攻击者的行为信息和攻击手段的安全防御手段。
蜜罐技术分为低交互蜜罐和高交互蜜罐两种类型。
低交互蜜罐是指通过模拟真实的系统环境,吸引攻击者进行攻击,但并不会真正与攻击者的交互。
高交互蜜罐则是指在蜜罐系统中设置了更多的交互功能,可以与攻击者进行更深入的交互,并且能够获取更多的攻击行为信息。
蜜罐技术的应用对于网络安全领域具有重要的意义。
通过设置蜜罐技术,可以有效地吸引攻击者进行攻击,从而捕获攻击者的行为信息和攻击手段,为网络管理员提供更多的安全防御手段。
蜜罐技术可以帮助网络管理员及时发现潜在的安全威胁,提高系统的安全防护水平。
蜜罐技术还可以帮助网络管理员了解攻击者的攻击手段和策略,为今后的安全防御工作提供参考。
1. 攻击者行为信息的获取2. 安全威胁的识别和预防蜜罐技术可以帮助网络管理员及时发现潜在的安全威胁,并且可以通过分析攻击者的攻击手段,预防潜在的安全威胁。
通过监控蜜罐系统中的攻击行为,可以及时发现潜在的安全威胁,提高网络系统的安全防御水平。
3. 知识库的建立蜜罐技术可以帮助网络管理员了解攻击者的攻击手段和策略,从而建立起自己的安全知识库。
通过研究分析攻击者的攻击手段和策略,网络管理员可以不断完善自己的安全防御手段,提高对网络安全的防护水平。
4. 安全策略的优化三、蜜罐技术的发展趋势随着网络安全问题的日益突出,蜜罐技术在网络安全领域中的应用也越来越受到重视。
未来,蜜罐技术的发展趋势主要包括以下几个方面:1. 智能化未来的蜜罐技术将更加智能化,可以通过自学习的方式不断完善自己的安全防御能力。
通过对攻击者的攻击行为进行分析学习,蜜罐技术可以不断优化自己的安全防御策略,提高网络系统的安全防护水平。
2. 多样化3. 自适应性。
实验23 “蜜罐”配置实验1.实验目的通过安装和配置“蜜罐”,了解“蜜罐”的原理,及其配置使用方法。
2.实验原理2.1 “蜜罐”技术的起源入侵检测系统能够对网络和系统的活动情况进行监视,及时发现并报告异常现象。
但是,入侵检测系统在使用中存在着难以检测新类型黑客攻击方法,可能漏报和误报的问题。
蜜罐使这些问题有望得到进一步的解决,通过观察和记录黑客在蜜罐上的活动,人们可以了解黑客的动向、黑客使用的攻击方法等有用信息。
如果将蜜罐采集的信息与IDS 采集的信息联系起来,则有可能减少IDS 的漏报和误报,并能用于进一步改进IDS 的设计,增强IDS 的检测能力。
“蜜罐”的思想最早是由Clifford Stoll 于1988 年5 月提出。
该作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵,这就是蜜罐的基本构想,但他并没有提供一个专门让黑客攻击的系统。
蜜罐正式出现是Bill Cheswick 提到采用服务仿真和漏洞仿真技术来吸引黑客。
服务仿真技术是蜜罐作为应用层程序打开一些常用服务端口监听,仿效实际服务器软件的行为响应黑客请求。
例如,提示访问者输入用户名和口令,从而吸引黑客进行登录尝试。
所谓漏洞仿真是指返回黑客的响应信息会使黑客认为该服务器上存在某种漏洞,从而引诱黑客继续攻击。
2.2 蜜罐技术的优点Honeypot是一个相对新的安全技术,其价值就在被检测、攻击,以致攻击者的行为能够被发现、分析和研究。
它的概念很简单:Honeypot没有任何产品性目的,没有授权任何人对它访问,所以任何对Honeypot的访问都有可能是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。
正如前文所提到的,由于Honeypot没有任何产品性功能,没有任何授权的合法访问,所以在任何时间来自任何地方对Honeypot的任何访问都有可能是非法的可疑行为。
Honeypot 的工作方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解决的问题,Honeypot却能轻易解决。
蜜罐技术研究与应用进展一、本文概述随着信息技术的飞速发展和网络空间的日益扩张,网络安全问题逐渐成为全球关注的焦点。
蜜罐技术,作为一种主动防御机制,通过模拟漏洞、服务或系统,吸引并诱骗攻击者进行攻击,从而收集攻击者的信息、分析攻击手段,为安全防护提供宝贵的数据支持。
本文旨在全面探讨蜜罐技术的研究现状与应用进展,以期为网络安全领域的研究者和实践者提供有益的参考。
文章将首先介绍蜜罐技术的基本概念、发展历程及分类,然后重点分析蜜罐技术在网络安全领域的应用场景及优势,接着讨论蜜罐技术面临的挑战与解决方案,最后展望蜜罐技术的发展趋势和未来研究方向。
通过本文的阐述,我们期望能够为网络安全领域注入新的活力,推动蜜罐技术的进一步发展。
二、蜜罐技术的基本原理与分类蜜罐技术,本质上是一种主动防御的安全策略,其核心思想是利用欺骗性手段,模拟出网络中的漏洞或弱点,以吸引并诱捕攻击者。
攻击者在尝试攻击这些“看似”脆弱的系统时,实际上是被引导至一个受控的环境中,从而暴露其攻击行为,并为防御者提供分析、追踪和应对攻击的宝贵信息。
蜜罐技术基于两个基本假设:一是攻击者会主动寻找并利用系统中的漏洞;二是攻击者在攻击过程中会留下痕迹。
通过构建一个看似具有吸引力的“陷阱”,蜜罐技术能够收集攻击者的攻击数据,分析攻击者的行为模式,进而提升网络的整体安全性。
低交互蜜罐:此类蜜罐主要模拟操作系统的服务端口,但并不真正执行任何操作系统命令或应用程序,因此与攻击者的交互程度较低。
低交互蜜罐通常用于大规模部署,以快速识别扫描器并收集攻击者的IP地址等信息。
高交互蜜罐:与低交互蜜罐相反,高交互蜜罐会模拟一个完整的操作系统,能够执行真实的操作系统命令和应用程序。
由于与攻击者的交互程度较高,高交互蜜罐能够收集到更多关于攻击者行为的信息,但相应地,其维护和管理成本也较高。
分布式蜜罐:分布式蜜罐利用多个蜜罐节点构成一个庞大的网络,以模拟出更真实的网络环境。
通过分析攻击者在不同蜜罐节点之间的行为,可以更好地理解其攻击策略和路径。
黑客:入侵检测蜜罐技术简化网络安全【文章摘要】入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。
入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。
概述所幸还有蜜罐技术,通过蜜罐识别恶意流量非常简单,因为任何经过蜜罐的流量,首先要清洗一遍消除误报,当触发蜜罐设置的预警行为时,蜜罐自动向设定的支持人员发出警报,蜜罐是一个经过周密配置的伪装计算机设备,任何人都不应该接触它或尝试登录,因为所有活动都是非法的,不需要从恶意流量中分析善意的行为,唯一的问题是,入侵者有多危险?作为一个长期从事安全的专业人士,我们在互联网上创建了八个蜜罐跟踪黑客和恶意软件行为,我可以观察到从脚本小子到职业犯罪团伙的一切活动,我可以看到和了解银行账户窃取木马的一举一动,可以第一时间看到许多新奇的黑客活动。
更重要的是,我已经认识到蜜罐在企业环境中的影响,它们作为早期预警系统而星光灿烂,我曾经看到过蜜罐在企业LAN上捕获到外国工业间谍的踪影,他们诱惑受企业信任人员帮助他们窃取机密,并以看不见的恶意软件为幌子转移安全团队的注意力,在近10年的蜜罐维护生涯中,我发现刚安装好的蜜罐一般很难立即发现恶意软件。
简而言之,作为早期预警系统,蜜罐是低成本的,低干扰和低维护的,但能在网络环境中有效地提醒威胁,可以给防御纵深方案增加一道防线。
三个常见的蜜罐解决方案我考查了三个常见的蜜罐软件解决方案:KeyiKeyfocus的KFSensor,MicroSolved的HoneyPoint Security Server和免费开源的Honeyd。
我在一个封闭的实验环境中测试了这三个蜜罐,在Windows Server 2008 R2的Hyper-V托管的虚拟机上运行,KFSensor和HoneyPoint 运行在Windows 7企业版上,Honeyd运行在Ubuntu 9.10上,使用Nessus 4.2.2和BackTrack 4,从相同私有LAN上的远程物理机手动建立连接,模拟攻击探测,所有基于主机的防火墙和Windows上的用户账号控制(UAC)都被禁用了,因为它们可能会干扰各种本可以成功的攻击和探测。
1引言工业蜜罐技术是工业企业防守者得以观察攻击者行为的新兴网络防御战术,通过诱骗攻击者和恶意应用暴露自身,以便研究人员能够设计出有效的防护措施。
工业蜜罐技术提供低误报、高质量的监测数据。
因此,工业企业安全人员在构建自身威胁检测能力的时候,应将工业蜜罐技术加入安全防御体系中。
在Gartner2018年10大战略技术之一的CARTH持续自适应风险与信任评估)中,蜜罐技术承担了重要的角色,作为运行时风险与信任评估的重要手段之一。
目前蜜罐技术与理念已经被成功运用到安全防护体系中。
2需求分析随着信息技术的发展,工业企业已经建立了比较完善的信息系统,提供的服务大大提升了组织的服务效率、延伸了组织的服务能力,但同时也面临黑灰产业利用和APT组织攻击、Oday漏洞等未知威胁攻击的风险,围绕着信息系统的安全能力建设需要更偏向实战化,在攻防不平衡的现状下亟需针对威胁提供高效的主动检测防御技术能力,优化企业整体安全防御体系。
总结工业企业当前网络安全需求归纳如下:2.1攻击延缓需求攻击者对工业企业进行信息收集到漏洞利用进行攻击整个链条中,工业企业需要在不同阶段提供迷惑攻击视线,延缓攻击进程的能力。
让攻击者收集虚假信息,进入内网虚假蜜网环境并和虚假服务器、数据库、业务系统进行交互。
2.2未知威胁检测需求面对攻击者的访问,工业企业需要对APT组织攻击及Oday漏洞等未知威胁攻击进行有效检测与发现,缺乏有效的监控技术能力来捕获关键恶意行为。
2.3攻击全过程记录追踪需求针对攻击者从入侵、安装、控制、意图四个阶段全过程需要进行全面记录,从资产服务端口探测、攻击行为动作、远程攻击命令等行为记录;以攻击者视角对攻击提供智能分析、全面剖析且直观展示攻击链的详细信息。
2.4威胁快速预警需求工业企业面对已知和未知的威胁需要有快速预警能力,对威胁进行集中展示,提供多维度展示为企业防守方进行应急响应提供有效信息支撑。
2.5精准攻击溯源需求针对传统防御产品无法精准溯源攻击者身份问题,对溯源攻击者能力需求,要能精准获取指纹信息,结合情报信息准确定位攻击者位置或身份,达到溯源目的。
如有你有帮助,请购买下载,谢谢! 1页 1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。
2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。
3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。
具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。
4.蜜罐的具体分类和体现的安全价值 如有你有帮助,请购买下载,谢谢! 2页 自从计算机首次互连以来,研究人员和安全专家就一直使用着各种各样的蜜罐工具,根据不同的标准可以对蜜罐技术进行不同的分类,前面已经提到,使用蜜罐技术是基于安全价值上的考虑。但是,可以肯定的就是,蜜罐技术并不会替代其他安全工具,例如防火墙、系统侦听等。这里我也就安全方面的价值来对蜜罐技术进行探讨。
★ 根据设计的最终目的不同我们可以将蜜罐分为产品型蜜罐和研究型蜜罐两类。
① 产品型蜜罐一般运用于商业组织的网络中。它的目的是减轻组织将受到的攻击的威胁,蜜罐加强了受保护组织的安全措施。他们所做的工作就是检测并且对付恶意的攻击者。
⑴这类蜜罐在防护中所做的贡献很少,蜜罐不会将那些试图攻击的入侵者拒之门外,因为蜜罐设计的初衷就是妥协,所以它不会将入侵者拒绝在系统之外,实际上,蜜罐是希望有人闯入系统,从而进行各项记录和分析工作。
⑵虽然蜜罐的防护功能很弱,但是它却具有很强的检测功能,对于许多组织而言,想要从大量的系统日志中检测出可疑的行为是非常困难的。虽然,有入侵检测系统(IDS)的存在,但是,IDS发生的误报和漏报,让系统管理员疲于处理各种警告和误报。而蜜罐的作用体现在误报率远远低于大部分IDS工具,也务须当心特征数据库的更新和检测引擎的修改。因为蜜罐没有任何有效行为,从原理上来讲,任何连接到蜜罐的连接都应该是侦听、扫描或者攻击的一种,这样就可以极大的减低误报率和漏报率,从而简化检测的过程。从某种意义上来讲,蜜罐已经成为一个越来越复杂的安全检测工具了。
⑶如果组织内的系统已经被入侵的话,那些发生事故的系统不能进行脱机工作,这样的话,将导致系统所提供的所有产品服务都将被停止,同时,系统管理员也不能进行合适的鉴定和分析,而蜜罐可以对入侵进行响应,它提供了一个具有低数据污染的系统和牺牲系统可以随时进行脱机工作。此时,系统管理员将可以对脱机的系统进行分析,并且把分析的结果和经验运用于以后的系统中。
② 研究型蜜罐专门以研究和获取攻击信息为目的而设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研究组织面对各类网络威胁,并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队,安全研究组织。
★ 根据蜜罐与攻击者之间进行的交互,可以分为3类:低交互蜜罐,中交互蜜罐和高交互蜜罐,同时这也体现了蜜罐发展的3个过程。
① 低交互蜜罐最大的特点是模拟。蜜罐为攻击者展示的所有攻击弱点和攻击对象都不是真正的产品系统,而是对各种系统及其提供的服务的模拟。由于它的服务都是模拟的行为,所以蜜罐可以获得的信息非常有限,只能对攻击者进行简单的应答,它是最安全的蜜罐类型。
② 中交互是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获得更多的信息。在这个模拟行为的系统中,蜜罐可以看起来和一个真正的操作系统没有区别。它们是真正系统还要诱人的攻击目标。 如有你有帮助,请购买下载,谢谢! 3页 ③高交互蜜罐具有一个真实的操作系统,它的优点体现在对攻击者提供真实的系统,当攻击者获得ROOT权限后,受系统,数据真实性的迷惑,他的更多活动和行为将被记录下来。缺点是被入侵的可能性很高,如果整个高蜜罐被入侵,那么它就会成为攻击者下一步攻击的跳板。目前在国内外的主要蜜罐产品有DTK,空系统,BOF,SPECTER,HOME-MADE蜜罐,HONEYD,SMOKEDETECTOR,BIGEYE,LABREA TARPIT,NETFACADE,KFSENSOR,TINY蜜罐,MANTRAP,HONEYNET十四种。
5.蜜罐的配置模式 ① 诱骗服务(deception service) 诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的,所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错觉。例如,当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候,就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。这样,系统管理员便可以记录攻击的细节。
② 弱化系统(weakened system) 只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为,获取已知的攻击行为是毫无意义的。
③ 强化系统(hardened system) 强化系统同弱化系统一样,提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。
④用户模式服务器(user mode server) 用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。而用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET用户向用户模式服务器的IP地址发送请求,主机将接受请求并且转发到用户模式服务器上。(我们用这样一个图形来表示一下他们之间的关系):这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然,其局限性是不适用于所有的操作系统。
