启明星辰分布式蜜网系统简介

部署条件
部署条件
• 服务器推荐配置为:CPU 4核2.0G以上， 内存12G以上，硬盘160G以上 • 至少需要2个公网IP地址 • 网络拓扑取决于用户需求
– 如果用户更加关注本地网络安全推荐部署在防火墙内，与本 地用户机器部署在一起 – 如果用户更加关注漏洞挖掘，推荐部署在防火墙外。 – 当然，无论部署在哪里，系统均可正常工作，只不过获取的 数据量有所差别。
可以提供的服务
启明星辰公司针对启明星辰分布式蜜网系 统可以提供的服务有： • 安装部署
– 协助用户安装部署蜜罐
• 分析培训
– 针对部署、运行、维护、分析的全过程， 提供相应的培训
谢 谢！
蜜罐是什么
经过分析可以判断： • 攻击者是谁，来自哪里 • 攻击者的目的是什么，对什么文件感兴 趣，对哪些主机感兴趣 • 攻击者的攻击方法是什么，是否利用了 未被发现的0day漏洞 • 本地网络安全状况
最了解你的是你的敌人
• 蜜罐区别于传统的网络安全设备，是一 种主动性的手段。 • 主动了解入侵者的情况，从而能够更好 更有针对性的提高本网络的安全。
启明星辰分布式蜜网系统简介
工作原理
传统网络安全设备
• 传统的防火墙、IDS是采用基于规则或 是基于特征的方式被动的保护网络安全。 • 随着网络入侵手段的日新月异，0day漏 洞层出不穷的被发现，这些静态的保护 手段已经渐渐力不从心了。 • 最近的Flame病毒就是一个很好的例子
蜜罐是什么
• 蜜罐，就是一台无人使用但却被严密 监控的网络主机。 • 该主机被设计成吸引入侵者攻击的主 机，其价值就在于被攻击乃至攻破。 在正常情况下，该主机应当是无人访 问、无人登录的，一旦有人访问特别 是登录，我们就可以确定这是攻击行 为。
网络拓扑
防火墙
工作网络
路由器
分析终端
网站服务器
蜜网网关 蜜网管理平台 分析终端
分析和管理主机
网络蜜罐主机
WEB蜜罐
蜜罐服务器
功能
管理功能
• 配置管理。有效的通过管理平台下发配置文 件。 • 虚拟机管理。本系统的蜜罐主机采用虚拟机 提供，从而降低运行维护成本。虚拟机可以 通过蜜网系统自行管理和监控。 • 数据管理。通过管理平台可以方便的观察每 个蜜罐的运行情况，捕获的数据以及木马、 病毒样本。预警信息也在这个平台上提供。
作用
Βιβλιοθήκη Baidu
攻防研究
• 捕获木马和僵尸网络样本。 • 挖掘已知漏洞利用方式。通过对网络数 据包和样本的分析可以了解黑客更新的 漏洞利用方式甚至是沟通方式。 • 预警未知漏洞(0day)，提供未知漏洞信 息供研究人员分析可以获得更加具体的 0day信息。
本地网络安全
• 蜜罐为网络提供了真实可靠的预警机制 • 大量部署蜜罐可以有效的迷惑入侵者， 从而能够及时的预警并为本地及时反应 留出足够的时间 • 蜜罐捕获的数据可以使用户更有效的了 解网络安全状况，从而有针对性的提高 薄弱环节
采集功能
• 采集数据包元数据,主要以pcap包以及 Pcap包的解析形式提供 • 根据自带的轻量级IDS，实时监测是否 存在攻击行为，并将相关保存在服务器 中
分析功能
• 可以分析入侵者攻击的漏洞数据，并提 供相关说明 • 保存相关的网络数据样本、文件样本 • 保存入侵者入侵之后做了什么操作，使 用了什么命令