蜜罐与蜜网技术介绍
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11
北京大学计算机科学技术研究所
产品型蜜罐
部署目标: 保护单位网络
防御 检测 帮助对攻击的响应
需要网管尽可能少的工作 商业产品
KFSensor, Specter, ManTrap
12
北京大学计算机科学技术研究所
研究型蜜罐
部署目标:对黑客攻击进行捕获和分析
这些“坏家伙”在干什么 了解攻击方法 捕获他们的键击记录 捕获他们的攻击工具 监控他们的会话
北京大学计算机科学技术研究所 北京大学计算机科学技术研究所
蜜罐与蜜网技术介绍
诸葛建伟 狩猎女神项目/The Artemis Project 2005-4-27 presented at CCERT
北京大学计算机科学技术研究所
内容
蜜罐技术的提出 蜜罐技术
蜜罐概念 实例工具:DTK, honeyd 蜜网概念、蜜网项目组 实例工具:Gen II 蜜网
18
利用蜜罐攻击第三方
北京大学计算机科学技术研究所
蜜罐工具实例
DTK
Deception Toolkit (1997) by Fred Cohen Fred Cohen, A Framework for Deception.
Honeyd
A virtual honeypot framework Honeyd 1.0 (Jan 22, 2005) by Niels Provos, Google Inc.
蜜罐技术
什么是蜜罐? 蜜罐的发展历史 Fred Cohen – DTK Honeyd
北京大学计算机科学技术研究所
蜜罐的概念
Honeypot: 首次出现在Cliff Stoll的 小说“The Cuckoo’s Egg”(1990) 蜜网项目组给出如下定义:
“A security resource who’s value lies
蜜网技术
蜜罐/蜜网技术的应用 新概念和新方向 狩猎女神项目
2
北京大学计算机科学技术研究所
蜜罐技术的提出
要解决什么问题?
北京大学计算机科学技术研究所
互联网安全状况
安全基础薄弱
操作系统/软件存在大量漏洞 安全意识弱、安全加强 rarely done
任何主机都是攻击目标!
DDoS、跳板攻击需要大量傀儡主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀
蜜罐技术弱势
劳力/技术密集型 局限的视图 不能直接防护信息系统 带来的安全风险
17
北京大学计算机科学技术研究所
安全风险
发现蜜罐
黑客知道要避免进入哪些系统 向蜜罐反馈虚假、伪造的信息 消除蜜罐的指纹 蜜罐-反蜜罐技术:博弈问题! 期望黑客获得蜜罐的root权限 黑客会将其用作危害第三方的跳板 引入多层次的数据控制机制 人为分析和干预
in being probed, attacked or compromised”
没有业务上的用途,因此所有流入/流出 蜜罐的流量都预示着扫描、攻击及攻陷 用以监视、检测和分析攻击
9
北京大学计算机科学技术研究所
蜜罐技术的发展历史
被攻陷的真实主机 (1990 ~)
<< The Cuckoo’s Egg >> An Evening with Berferd 模拟网络服务,虚拟系统 Fred Cohen: DTK
团队协作
5
北京大学计算机科学技术研究所
网络攻防的不对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7*365, 全面防护 攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知 攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
6
信息不对称
19
北京大学计算机科学技术研究所
DTK
用户:普通互联网用户 目标
在几分钟内部署一系列的陷阱 显著提高攻击代价,同时降低防御代价 欺骗自动攻击程序,使其无效
20
北京大学计算机科学技术研究所
从物理蜜罐到DTK
21
北京大学计算机科学技术研究所
从物理蜜罐到DTK
22
北京大学计算机科学技术研究所
需要大量时间和精力投入!! 实例:Gen II蜜网, Honeyd
13
北京大学计算机科学技术研究所
低交互型蜜罐
模拟服务和操作系统 只能捕获少量信息 容易部署,减少风险 实例:Specter, KFSensor, and Honeyd.
14
北京大学计算机科学技术研究所
高交互型蜜罐
虚拟蜜罐工具 (1997 ~)
被监控的真实系统 (2000 ~)
更多的数据捕wk.baidu.com、分析、控制工具 在一个蜜网的框架中 蜜网项目组: Gen II蜜网
10
北京大学计算机科学技术研究所
蜜罐的分类
部署目标
产品型 研究型
交互性:攻击者在蜜罐中活动的交互性 级别
低交互型 高交互型
后果不对称
北京大学计算机科学技术研究所
蜜罐技术的提出
扭转工作量不对称
增加攻击代价-假目标
扭转信息不对称-了解你的敌人!
他们是谁? 他们使用什么工具?如何操作? 为什么攻击你?
防守方不受影响损失 计算机取证-对攻击方的威慑
7
扭转后果不对称
北京大学计算机科学技术研究所
4
北京大学计算机科学技术研究所
互联网安全状况 (2)
攻击者不需要太多技术
攻击工具的不断完善
更多的目标:Linux、Windows 更容易使用,工具整合
– Metasploit: 30+ Exploits
更强力 0-day exploits: packetstorm
攻击脚本和工具可以很容易得到和使用
DTK如何工作?
# 0 0
0
…
模拟有漏洞的网络服务 基于状态机变迁脚本 State Input NexStat Exit ln/file output/filename START 0 1 1 220 all.net ESMTP Sendmail 8.1.2/8.1.3; ERROR 0 1 1 500 Command unrecognized - please say "Helo" help 0 1 1 214-No help available
提供真实的操作系统和服务,而不是模 拟 可以捕获更丰富的信息 部署复杂,高安全风险 实例:ManTrap, Gen II蜜网
15
北京大学计算机科学技术研究所
蜜罐技术优势
高保真-高质量的小数据集
很小的误报率 很小的漏报率
捕获新的攻击及战术 并不是资源密集型 简单
16
北京大学计算机科学技术研究所