第14章蜜罐技术分析解析
蜜罐技术的研究与分析
式 。 正 因 为 高 交 互 蜜 罐 提 供 了完 全 开 放 的 系 统 给 黑 客 , 来 带 了更 高 的 风 险 , 即黑 客 可 能 通 过 这 个 开 放 的 系 统 去 攻 击 其 他 系统 。 2 - 具 体 实 现 的 角 度 , 为 物 理蜜 罐 和 虚 拟 蜜 罐 .3 2从 分 2 -. 理 蜜罐 :通 常 是 一 台或 多 台真 实 的在 网络 上 存 . 31 2 物 在的主机操作 , 主机 上 运 行 着 真 实 的操 作 系 统 . 有 自己 的 I 拥 P 地 址 , 供 真 实 的 网络 服 务 来 吸 引攻 击 。 提 223 虚 拟 蜜 罐 : 常 用 的是 虚 拟 的机 器 、 拟 的操 作 系 .-2 . 通 虚 统 , 会 响 应 发送 到虚 拟蜜 罐 的 网络 数 据 流 , 供模 拟 的 网络 它 提 服务 等 。 3蜜罐 的 关 键技 术 . 蜜 罐 的关 键 技 术 主 要 包 括欺 骗技 术 、 据 捕 获 技 术 、 据 数 数 控制 技 术 、 据 分 析 技 术 , 等 。 中 , 据 捕 获 技 术 与数 据控 数 等 其 数 制技 术 是 蜜 罐 技 术 的核 心 。
远的意 义 。 2 蜜罐 的 定 义 和 分 类 . 21 .蜜罐 的 定 义
蜜 罐 的价 值 是 在 其 被探 测 、攻击 或者 攻 陷 的 时候 才 得 到 体 现 的 。 攻 击 者 的 注 意 力 吸 引到 蜜 罐 上 , 蜜 罐 进 行工 作 的 将 是 前 提 。 骗 的成 功 与 否 取 决 于欺 骗 质 量 的 高低 。 用 的欺 骗 技 欺 常
12 4
I空 间 欺 骗 利 用 计 算 机 的 多 宿 主 能 力 .在 一 块 网卡 上 分 P 配多 个 I地 址 , 增加 入侵 者 的搜 索 空 间 , 而 显 著 增 加 他 们 P 来 从 的工 作 量 , 间接 实 现 了 安全 防护 的 目 的。 项 技 术 和 虚拟 机 技 这 术 结 合 可 建 立 一个 大 的虚 拟 网 段 , 花 费 极低 。 且 31 .2漏 洞 模 拟 。 . 即通 过模 拟操 作 系 统 和 各种 应 用 软件 存 在 的漏 洞 . 吸引 人 侵 者 进 入 设 置好 的蜜 罐 。 侵 者 在 发 起 攻击 前 , 般要 对 系 入 一 统 进 行 扫 描 , 具 有 漏 洞 的系 统 , 而 最容 易 引起 攻 击 者 攻 击 的欲 望 。 洞模 拟 的关 键 是要 恰 到 好 处 , 有 漏 洞 会 使 入 侵者 望 而 漏 没 生畏 , 洞百 出又 会 使 入侵 者心 生 疑 虑 。 漏 31 .3流 量 仿 真 。 . 蜜 罐 只有 以 真 实 网络 流 量 为 背 景 . 能 真 正 吸 引 入 侵 者 才 长期 停 驻 。流 量 仿 真 技 术 是 利用 各种 技 术 使 蜜 罐 产 生 欺 骗 的 网 络 流 量 , 样 即 使 使 用 流 量 分 析 技 术 , 无 法 检 测 到 蜜 罐 这 也 的存 在 。目前 的 方法 : 是 采 用 重 现方 式 复 制真 正 的 网络 流量 一 到诱 骗环 境 ; 是 从 远 程 产 生 伪 造 流 量 . 入 侵 者 可 以发 现 和 二 使 利用 [。 2 1 31 .. 务 伪 装 。 4服 进 入 蜜 罐 的攻 击 者 如 发 现 该 蜜 罐 不 提 供 任 何 服 务 ,就会 意识 到危 险而 迅 速 离 开蜜 罐 , 蜜罐 失 效 。 使 服务 伪 装 可 以 在 蜜 罐 中 模 拟Ht 、 r 、e n等 网 络 基 本 服 务 并 伪 造 应 答 ,使 入 t F PTl t p e 侵 者 确信 这 是 一 个 正 常 的 系统 。 31 重 定 向技 术 E。 .. 5 3 ] 即在 攻 击 者 不 知 情 的情 况 下 , 其 引 到蜜 罐 中 , 以 在 重 将 可 要 服 务器 的 附近 部 署 蜜 罐 , 服 务器 发现 可疑 行 为后 , 其 重 当 将 定 向 到蜜 罐 。 可 以使 用 代 理 蜜罐 , 还 以及 多 个蜜 罐 模 拟 真 正 的 服 务 器 , 对 服 务 器 的请 求 到 来 时 , 用 事 先 定 义 好 的 规 则 , 当 利 将 请 求 随 机发 送 到 蜜 罐 和 服 务 器 中 的一 个 , 以迷 惑攻 击者 , 用 增 大 攻击 者 陷入 蜜 罐 的 概 率 。
蜜罐技术在网络安全防护中的应用研究
蜜罐技术在网络安全防护中的应用研究摘要:随着全球信息的飞速发展,各种信息化系统已经成为关键的基础设施,蜜罐技术的出现使网络防御战由被动转向主动,可以帮助即时发现系统漏洞。
本文通过对蜜罐技术的概念阐述,探讨蜜罐技术的应用可能性。
关键词:蜜罐技术;密网;欺骗技术;主动防御1蜜罐技术的概念界定1.1蜜罐技术的概念在网络安全中,蜜罐是一种入侵诱饵,引诱黑客进行攻击,进而浪费黑客的时间和资源,收集黑客的信息,保留证据[1]。
因此,蜜罐一般作为诱饵设置在网络连接设备中,用于检测攻击者所使用的攻击方式,了解攻击者的攻击目标。
蜜罐技术的设计目标主要为捕获攻击信息、伪装欺骗、防御攻击及向管理者提供有价值的分析报告。
1.2蜜罐技术的工作原理一个简单的低交互蜜罐通常由计算机、应用程序和模拟真实系统行为的数据组成,所采用的真实系统往往对攻击者有很大的吸引力,如金融系统、物联网设备和公共设施等[2]。
通过模拟真实系统行为使得蜜罐看起来像是具有很高价值的攻击对象,但实际上是孤立并受到密切监控的网络防御系统。
正是由于常规的合法用户不会访问蜜罐,所以任何访问蜜罐的尝试都可以认为是恶意的攻击方式并被记录,因此误报率几乎为零。
蜜罐技术在按照部署方式和设计用途可以分为生产型蜜罐和研究型蜜罐[3]。
生产型蜜罐作为生产网络的真实组成部分,通常与生产服务器一起部署在实际的生产网络中,能够吸引并转移攻击者的攻击,使系统安全管理员有足够的时间评估攻击的威胁等级并做出适当的防御。
研究型蜜罐主要用于对攻击者的活动进行分析并发现新的攻击方式、规律和系统漏洞等。
1.3蜜罐技术分类蜜罐技术按照与攻击者的交互程度可以分为高交互蜜罐、中交互蜜罐和低交互蜜罐[4]。
高交互蜜罐利用真实的操作系统和环境进行构建,对攻击者来说是最真实的系统。
虽然高交互蜜罐因为其交互程度更高难以被识别,但是带来了更高的风险,很可能会被攻击者攻破并利用其攻击其他系统。
中交互蜜罐用于监控蜜罐与网络的连接,不提供真实的操作系统和服务,这类蜜罐是最复杂且最难维护。
蜜罐技术详解与案例分析
蜜罐技术详解与案例分析蜜罐技术是一种用于检测和诱捕黑客攻击的安全防御工具。
它通过模拟漏洞和易受攻击的目标来吸引攻击者,并记录他们的行为。
本文将详细介绍蜜罐技术的原理、分类以及几个成功的案例分析。
一、蜜罐技术的原理蜜罐技术的核心原理是通过创建一个看似真实的系统或网络,来吸引和诱捕黑客攻击。
蜜罐可以是一个虚拟机、一个虚拟网络或一个物理设备,在这个系统中,存在着一些看似易受攻击的漏洞或是敏感信息。
当攻击者企图入侵或攻击这些漏洞时,蜜罐会记录下他们的攻击行为和手段,并提供有关攻击者的详细信息。
二、蜜罐技术的分类蜜罐可以分为以下几种不同类型:1. 高交互蜜罐:这种蜜罐模拟了一个完整的系统,攻击者可以与之进行实时互动,这包括使用真实的漏洞和服务。
高交互蜜罐提供了最真实的攻击场景,并能够获取最多的攻击者信息,但它也存在一定的风险和安全隐患。
2. 低交互蜜罐:这种蜜罐只模拟了一部分的系统服务或功能,它减少了与攻击者的互动,因此相对较安全。
低交互蜜罐可以快速部署和更新,但信息收集相对较少。
3. 客户端蜜罐:这种类型的蜜罐主要用于追踪和识别客户端攻击,例如恶意软件的传播、垃圾邮件的发送等。
客户端蜜罐可以帮助安全团队及时发现客户端攻击行为,并采取相应的措施。
4. 网络蜜罐:这种蜜罐放置在网络中,用于监测网络攻击和入侵。
它可以模拟各种网络服务和协议,以吸引攻击者对网络进行攻击。
5. 物理蜜罐:这种类型的蜜罐是一台真实的物理设备,通常用于保护企业的关键系统和数据。
物理蜜罐可以监测并记录与其交互的攻击者的行为,从而提高企业的安全性。
三、蜜罐技术的案例分析以下是几个成功的蜜罐技术案例分析:1. Honeynet计划Honeynet计划是一个非营利性的组织,致力于通过蜜罐技术、漏洞研究和威胁情报分享来提高网络安全。
他们搭建了一系列全球分布的蜜罐网络,成功地识别了许多高级攻击行为,并提供了有关黑客活动的详细报告。
2. CanSecWest PWN2OWN比赛PWN2OWN是一项安全比赛活动,鼓励研究人员发现和报告操作系统和网络浏览器的安全漏洞。
《蜜罐技术》课件
提高安全意识
通过蜜罐技术,企业可以 了解攻击者的手段和意图 ,提高员工的安全意识, 加强整体安全防护能力。
蜜罐技术的发展历程
初期阶段
蜜罐技术最初起源于20世纪90年代,主要用于收集网络威胁情报 。
发展阶段
随着网络安全威胁的不断升级,蜜罐技术不断发展,出现了多种类 型的蜜罐,如低交互蜜罐、高交互蜜罐等。
总结词
基于云的蜜罐是一种将蜜罐部署在云环境中 的技术,具有可扩展性和灵活性。
详细描述
基于云的蜜罐利用云计算的优势,可以快速 部署和管理多个蜜罐。这种技术还提供了更 好的可扩展性和灵活性,可以根据需要增加 或减少蜜罐的数量和配置。此外,基于云的 蜜罐还可以与其他安全工具集成,以提高整 体的安全防御能力。
,提高蜜罐的威胁捕获能力。
智能化响应
根据AI分析结果,自动触发相应的 安全响应措施,如隔离可疑连接、 阻断恶意流量等,降低安全风险。
蜜罐自适应部署
AI技术可以帮助蜜罐自动调整部署 策略,根据网络环境的变化和威胁 情报的更新,动态调整蜜罐的配置 和功能。
蜜罐技术的与其他技术的结合
1 2 3
蜜网与蜜罐结合
动态蜜罐
总结词
动态蜜罐是一种主动的防御系统,能够实时响应和防御网络攻击。
详细描述
与静态蜜罐不同,动态蜜罐能够根据攻击者的行为和工具进行实时响应。当攻击者尝试利用蜜罐时,系统会自动 触发防御机制,例如隔离受影响的系统或阻止攻击者的进一步行动。这种蜜罐技术能够有效地减少网络攻击的影 响和破坏。
单向蜜罐
优化配置
通过优化蜜罐的配置,减少资源占用和误报的可能,提高监控效果。
加强培训和管理
提高技术人员的技能水平,加强蜜罐技术的培训和管理,降低技术门槛。
蜜罐技术的原理及现状研究
蜜罐技术的原理及现状研究蜜罐技术的原理及现状研究作者:姚东铌来源:《企业导报·上半月》2010年第06期【摘要】蜜罐是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。
它涉及到信息安全诸多技术的灵活应用,能有效弥补传统信息安全防御技术的缺陷,使得防护体系更加完善与安全。
介绍了蜜罐技术的主要原理及国内外研究现状,相信在将来蜜罐会在信息安全保障中发挥越来越大的作用。
【关键词】蜜罐;网络欺骗;数据捕获;数据控制一、蜜罐技术的起源蜜罐(Honey pot)是一种采取主动方式的防御技术,其早可追溯到1988年加州大学伯克利分校的Clifford Stoll博士发表的一篇题为“Stalking the Wily Hacker”的论文,描述了在跟踪黑客的过程中利用一些虚假信息的文件引诱黑客,达到检测入侵的目的,这就是蜜罐的最初基本构想。
其后Stop博士所写的The Cuckoo's Egg为蜜罐的创立奠定了基础。
准确定义下的蜜罐是一种专门设计成被扫描、攻击和入侵的网络安全资源,其价值在于被探测、攻击或者摧毁的时候。
具体来说它是一种预先配置好的包含漏洞的系统,用于引诱黑客对系统进行攻击和入侵。
它可以记录黑客进入系统的一切信息,同时混淆黑客攻击目标来保护服务主机的正常运行。
蜜罐的主要技术原理包括以下几个方面: 第一,网络欺骗。
使入侵者相信存在有价值的、可利用的安全弱点,蜜罐的价值就是在其被探测、攻击或者攻陷的时候得以体现,网络欺骗技术是蜜罐技术体系中最为关键的核心技术,常见的有模拟服务端口、模拟系统漏洞和应用服务、流量仿真等。
第二,数据捕获。
一般分三层实现:最外层由防火墙来对出入蜜罐系统的网络连接进行日志记录;中间层由入侵检测系统(IDS)来完成,抓取蜜罐系统内所有的网络包;最里层的由蜜罐主机来完成,捕获蜜罐主机的所有系统日志、用户击键序列和屏幕显示。
第三,数据分析。
要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的,数据分析是蜜罐技术中的难点,主要包括网络协议分析、网络行为分析、攻击特征分析和入侵报警等。
蜜罐技术讲解
蜜罐技术背景描述针对目前网络严重的安全威胁,网络安全人员和管理员却仍然对黑客社团所知甚少。
当网络被攻陷破坏后,甚至还不知道幕后黑手是谁。
对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。
“知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。
只有在充分了解对手的前提下,安全技术人员和网络管理员才能更有效地维护互联网安全。
而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
工作原理1.蜜罐蜜罐(Honeypot)是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的。
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。
蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。
此外,蜜罐也可以为追踪攻击者提供有力的线索,为起诉攻击者搜集有力的证据。
简单地说,蜜罐就是诱捕攻击者的一个陷阱。
一些专门用于欺骗黑客的开源工具,如Fred Cohen 所开发的DTK(欺骗工具包)、Niels Provos 开发的Honeyd 等,同时也出现了像KFSensor、Specter 等一些商业蜜罐产品。
这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。
虚拟蜜罐工具的出现也使得部署蜜罐也变得比较方便。
但是由于虚拟蜜罐工具存在着交互程度低,较容易被黑客识别等问题,从2000年之后,安全研究人员更倾向于使用真实的主机、操作系统和应用程序搭建蜜罐,但与之前不同的是,融入了更强大的数据捕获、数据分析和数据控制的工具,并且将蜜罐纳入到一个完整的蜜网体系中,使得研究人员能够更方便地追踪侵入到蜜网中的黑客并对他们的攻击行为进行分析。
蜜罐技术
logs
用于记录蜜罐的连接信息
nmap.prints
nmap指纹识别库
nmap.assoc
联合指纹文件
17
四.实验步骤
pf.os
被动操作系统指纹识别库
scripts
用于模拟蜜罐服务的脚本
start-arpd.sh
开始监听流量
start-honeyd.sh
开始honeyd进程
xprobe2.conf
Edition" set default default tcp action reset set default default udp action reset set default default icmp action open add default tcp port 80 "/honeyd_kit-1.0c-
5
2.2 蜜罐技术的优点(1)
Honeypot是一个相对新的安全技术,其价值就在被检 测、攻击,以致攻击者的行为能够被发现、分析和研究。 它的概念很简单:Honeypot没有任何产品性目的,没有授 权任何人对它访问,所以任何对Honeypot的访问都有可能 是检测、扫描甚至是攻击。
Honeypot的检测价值在于它的工作方式。正如前文所 提到的,由于Honeypot没有任何产品性功能,没有任何授 权的合法访问,所以在任何时间来自任何地方对Honeypot 的任何访问都有可能是非法的可疑行为。Honeypot 的工作 方式同NIDS 等其他的传统检测技术正好相反,NIDS不能解 决的问题,Honeypot却能轻易解决。
a/scripts/telnet/faketelnet.pl" add default tcp port 110 "/honeyd_kit-1.0c-
蜜罐技术用于网络安全的分析与研究
蜜罐技术用于网络安全的分析与研究作者:崔嘉来源:《网络空间安全》2016年第06期1 引言随着信息技术的飞速发展与互联网领域的急速扩张,网络中的不安全因素日渐增多,传统意义上的维护措施已经无法满足信息安全的需要,急需尽快提出行之有效的解决办法。
传统的安全技术仅限于被动防御,只有攻击行为发生后才能予以识别,再进行阻隔,这种“后发制人”的模式只能是处于防不胜防的挨打局面,需要一种“先发制人”的主动防御技术来彻底反转主被动关系,通过对攻击者的目的进行技术性分析以及预判,有针对性地防止可能发生的攻击。
蜜罐网络欺骗技术正是主动防御与入侵检测为一体模式的代表,不仅可以防止攻击者的攻击行为,还可以对其攻击行为进行分析,更重要的是还可以进行取证以震慑攻击者,具有极高的实用价值。
2 蜜罐技术的定义及其优势蜜罐技术是一种旨在保护网络安全运行的一种“蜜罐”,即诱导攻击的诱饵。
它也是一种网络系统,在被保护的网络系统邻近运行,只不过它故意设置了些许系统漏洞,可以转移攻击者的注意力,迷惑攻击者,代替目标网络系统,将可能的攻击转移到蜜罐网络上。
而作为诱饵的蜜罐网络本身并无重要信息,攻击行为并没有造成损失,这样就成功地保护了目标网络。
蜜罐网络是一个相对封闭的闭环网络,一般不对外进行内容服务。
因此,只要有袭击者访问蜜罐网络,都会被认定为是异常的攻击行为。
此外,为了便于取证,蜜罐网络还布置了网络日志脚本记录程序,对异常的访问(攻击)行为进行记录与目的分析。
总之,蜜罐里面没有蜂蜜,里面只是一个陷阱,一个可以进行主动防御的陷阱。
从实用性角度考虑,蜜罐技术具有几大优势。
大幅提高检测正确率。
蜜罐网络相对封闭,即不会有陌生访问。
当攻击者发起网络攻击行为时,一般先会扫描服务器,然后发出请求。
这样就可以认定,只要是蜜罐系统记录到的访问请求都来自攻击者。
适用范围广。
蜜罐系统内置的算法可以识别多种攻击技术,并不局限在单一的攻击技术或者是某一种攻击行为。
蜜罐技术浅析
蜜罐技术浅析作者:田建学来源:《新课程·教育学术》2011年第08期摘要:网络攻击工具和方法日趋复杂多样,典型的网络安全技术已无法满足对安全高度敏感的部门需求。
蜜罐技术是一个主动防御技术,它通过监视入侵者的活动,能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机等,并进行详细地记录。
介绍了蜜罐的概念,着重分析了蜜罐的原理,最后提出了如何制订一个真正安全的系统。
关键词:蜜罐技术;网络安全;主动防御;欺骗中图分类号:TP311一、引言信息技术的飞速发展,给当今社会带来了巨大的冲击和变革,国家的政治、经济、军事、文化以及人们的日常生活等方方面面,都深深地打上了信息烙印。
然而信息技术繁荣的背后,信息网络日益暴露了其安全上的隐患和漏洞,向人们展示了其脆弱的一面,呈几何增长的网络安全事件不断地冲撞着人们的心理防线。
Internet在造福人类的同时也成了网络破坏者和犯罪的天堂。
信息网络安全形势日益严峻,网络攻防越演越烈,人们越来越多地把目光投向信息网络安全的前沿阵地。
传统的安全防护手段如防火墙、入侵检测、安全漏洞扫描、虚拟专用网等都是被动的,它们依赖于对攻击的现有认知,对未知攻击基本没有防护效果。
蜜罐作为一种新的安全工具在攻击的检测、分析、研究,尤其是对未知攻击的捕捉方面有着优越的性能。
蜜罐并不是传统安全防御手段、工具的替代,而是它们的辅助和补充。
相对于传统安全手段、工具的被动防御,蜜罐最大的优势在于它是主动地检测和响应网络入侵和攻击,在网络攻防战中赢得时间,赢得主动。
蜜罐是一种伪装成真实目标的资源库,它不能明显改善网络的安全状况,其主要目的是吸收受保护系统的网络安全风险、诱捕并分析网络攻击行为,帮助用户对网络安全状况进行评估。
将蜜罐和传统安全防护工具相结合,根据实际需求,合理配置,信息系统将得到更好的安全保障。
二、蜜罐原理蜜罐的最终目标是尽可能详尽地捕捉、收集、监视并控制入侵者的活动,蜜罐的所有设计、部署和实施都是围绕这一目标进行的。
蜜罐技术的研究和分析
1蜜罐 的 定 义 和 分 类
低交互蜜罐
只是运 行于现有系统 上的一个仿真服务 ,在特 定的端
口监听记录所有进入 的数据包 , 提供少量 的交互 功能, 黑客
只能在仿真服务预设 的范围内动作。低交互蜜罐上 没有真
罐的风险性。
关键词 蜜罐
蜜网 虚拟蜜网
文 献 标识 码
入侵检测 系统
A
防火墙
中 图分 类 号 r 3 30 P 9 .8
文章 编 号 :0 2 2 2 2 o 0 - 0 9 o 1 0 — 4 2( O 6) 3 o 1 - 3
R sa c n n ls fHo e p tT c n lg ee r h a d A ay i o n y o e h oo y s
为起诉 黑客 的依 据一 但这种应用在法律方 面仍 然具有争议 。
・
研 究型蜜罐
主要应 用于研究 , 引攻 击 , 吸 搜集 信息 ,
・
蜜罐 本身并不直 接增强 网络 的安全性 ,相 反它吸引入
侵 来搜集信息 。将 蜜罐和现有 的安全防卫手段 如入侵检测 系统 (D )、 Is 防火墙 ( i w U 杀毒软件等 结合使用 , 以 Fr a )、 e 可 有效提 高系统安全性 。
12蜜罐 的分类 .
高交互蜜罐
给黑客提供一个 真实的操作系统 ,可以掌握学 习黑客
・
产 晶型 蜜罐
指 由网络安全厂商 开发的商用蜜罐 , 一
3从具体实现 的角 台或多 台拥有独 立 I 真实操 P和
作系统 的物 理机器 , 提供部分 或完全真 实的网络服 务, 这种 蜜罐 叫物理 蜜罐 。 中低交互的蜜罐可以是虚拟的机器、 虚拟
主动防御技术之蜜罐总结
主动防御技术之蜜罐总结传统防御技术在在攻防演练中仍然有精彩的表现,同时也能感受到主动防御技术发挥的巨大作用,最典型的莫过于蜜罐了,红方人员误入蜜罐,被蓝方人员捕捉到并进行身份画像,从而实现追踪溯源。
下面我们来聊聊蜜罐技术。
一、从被动防御到主动防御一直以来,被动防御是通过面向已知特征的威胁,基于特征库精确匹配来发现可疑行为,将目标程序与特征库进行逐一比对,实现对异常行为进行监控和阻断,这些特征库是建立在已经发生的基础之上,这就很好的解释了为什么被动防御是一种“事后”的行为。
典型的技术有防火墙、入侵检测等。
但是对于未知的攻击如0day,依赖于特征库匹配的防御是无法有效应对的,为了应对这种攻防不对等的格局,主动防御技术出现了,典型的技术有网络空间拟态防御等。
二、引入主动防御策略随着攻击技术的进一步提高,越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击,传统的被动防御技术也引进了主动防御策略,除此之外,也有新型的主动防御技术如沙箱、蜜罐等相继出现,进一步弥补了攻防不对称的局面。
这类技术主要解决“已知的未知威胁”,例如,蜜罐通过构建伪装的业务主动引诱攻击者,从而捕获行为。
在攻防演练期间,就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击,从而迷惑攻击者,通过捕获IP进行封堵来提高攻击者的时间成本,也可对攻击者进行溯源,但是蜜罐技术还是无法应对0day。
三、沙箱技术沙箱技术源于软件错误隔离技术(software-based fault isolation,SFI)。
SFI 主要思想是隔离。
沙箱通过采用虚拟化等技术构造一个隔离的运行环境,并且为其中运行的程序提供基本的计算资源抽象,通过对目标程序进行检测分析,准确发现程序中的恶意代码等,进而达到保护宿主机的目的。
如默安的架构采用kvm,长亭采用的是docker。
由于沙箱具有隔离性,恶意程序不会影响到沙箱隔离外的系统,而且沙箱还具有检测分析的功能,来分析程序是否为恶意程序。
蜜罐技术及其应用研究
蜜罐技术及其应用研究文章首先介绍了蜜罐技术的定义、发展及分类,分析了蜜罐系统的关键技术,阐述了蜜罐技术的具体应用。
最后总结了蜜罐技术的优缺点和发展。
标签:蜜罐;Honeyd;蜜网1 蜜罐技术概述1.1 蜜罐技术的定义The Honeynet Project(蜜网项目组)创始人Lance Spitzner给蜜罐的定义是:蜜罐是一种安全资源,它的价值就在于被探测、被攻击或被攻陷。
其主要功能:一是通过构建蜜罐环境诱骗攻击者入侵,从而保护业务系统安全;二是诱骗成功之后捕获攻击数据进行分析,了解并掌握入侵者使用的技术手段和工具,调整安全策略以增强业务系统的安全防护。
1.2 蜜罐技术发展历程蜜罐技术的发展经历了三个阶段:1.2.1 蜜罐(Honeypot)。
从1990年蜜罐概念提出到1999年,研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具,广泛应用于商业领域。
1.2.2 蜜网(Honeynet)。
1999年蜜网项目组提出并实现,目前已发展到第三代蜜网技术,已有项目应用。
1.2.3 蜜场(Honeyfarm)。
2003年由Lance Spitzner首次提出蜜场思想,处于研究阶段。
1.3 蜜罐技术分类蜜罐技术可以从不同的角度进行分类:根据系统应用目标不同,将蜜罐分为产品型和研究型蜜罐。
产品型蜜罐可以为系统及网络安全提供保障,主要包括攻击检测、防范攻击造成破坏等功能,且较容易部署,不需要管理人员投入太多精力。
研究型蜜罐主要用于研究活动,如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。
根据系统交互级别不同,将蜜罐分为低交互和高交互蜜罐。
低交互蜜罐通过模拟操作系统和服务来实现,攻击者只被允许少量的交互行为。
高交互蜜罐通常由真实的操作系统构建,提供给攻击者真实的系统和服务,可以获得大量有用信息。
另外,蜜罐还可以根据具体实现角度或实现方式的不同可以分为物理蜜罐和虚拟蜜罐,根据系统配置规模大小又可分为单机蜜罐、蜜罐网络和蜜场。
蜜罐技术的分析与研究
蜜罐技术的分析与研究
郑文婷;张艳华;杨磊;庞玲
【期刊名称】《计算机安全》
【年(卷),期】2011(000)008
【摘要】蜜罐是一种旨在诱骗、拖延和搜集有关攻击的诱饵,作为一种主动防御技术,在网络安全的防护中,蜜罐技术可以用来分析攻击行为和设计新的防御系统.从蜜罐技术的原理和体系结构出发,针对国内外蜜罐技术的发展现状,分析了蜜罐技术未来的研究趋势;同时根据其关键技术,提出了合理的蜜罐部署方式.
【总页数】7页(P37-42,52)
【作者】郑文婷;张艳华;杨磊;庞玲
【作者单位】海军705厂,广东湛江524016;中国热带农业科学院农产品加工研究所,广东,湛江,524016;海军705厂,广东湛江524016;海军705厂,广东湛江524016
【正文语种】中文
【相关文献】
1.蜜罐技术用于网络安全的分析与研究 [J], 崔嘉;
2.蜜罐技术的研究与分析 [J], 颜德强;梁忠;蒋萌辉
3.分布式蜜罐技术分析及系统设计研究 [J], 郑艳君
4.蜜罐与蜜网技术的研究与分析 [J], 邹文;唐心玉
5.蜜罐与蜜网技术的研究与分析 [J], 邹文;唐心玉
因版权原因,仅展示原文概要,查看原文内容请购买。
主动防御技术之蜜罐总结
主动防御技术之蜜罐总结传统防御技术在在攻防演练中仍然有精彩的表现,同时也能感受到主动防御技术发挥的巨大作用,最典型的莫过于蜜罐了,红方人员误入蜜罐,被蓝方人员捕捉到并进行身份画像,从而实现追踪溯源。
下面我们来聊聊蜜罐技术。
一、从被动防御到主动防御一直以来,被动防御是通过面向已知特征的威胁,基于特征库精确匹配来发现可疑行为,将目标程序与特征库进行逐一比对,实现对异常行为进行监控和阻断,这些特征库是建立在已经发生的基础之上,这就很好的解释了为什么被动防御是一种“事后”的行为。
典型的技术有防火墙、入侵检测等。
但是对于未知的攻击如0day,依赖于特征库匹配的防御是无法有效应对的,为了应对这种攻防不对等的格局,主动防御技术出现了,典型的技术有网络空间拟态防御等。
二、引入主动防御策略随着攻击技术的进一步提高,越来越多的方法可以绕过传统的被动防御技术来对目标系统发动攻击,传统的被动防御技术也引进了主动防御策略,除此之外,也有新型的主动防御技术如沙箱、蜜罐等相继出现,进一步弥补了攻防不对称的局面。
这类技术主要解决“已知的未知威胁”,例如,蜜罐通过构建伪装的业务主动引诱攻击者,从而捕获行为。
在攻防演练期间,就存在将蜜罐伪装成某服的VPN映射在外网引诱攻击者攻击,从而迷惑攻击者,通过捕获IP进行封堵来提高攻击者的时间成本,也可对攻击者进行溯源,但是蜜罐技术还是无法应对0day。
三、沙箱技术沙箱技术源于软件错误隔离技术(software-based fault isolation,SFI)。
SFI 主要思想是隔离。
沙箱通过采用虚拟化等技术构造一个隔离的运行环境,并且为其中运行的程序提供基本的计算资源抽象,通过对目标程序进行检测分析,准确发现程序中的恶意代码等,进而达到保护宿主机的目的。
如默安的架构采用kvm,长亭采用的是docker。
由于沙箱具有隔离性,恶意程序不会影响到沙箱隔离外的系统,而且沙箱还具有检测分析的功能,来分析程序是否为恶意程序。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
何路
计算机网络安全
高交互式蜜罐技术
高交互式蜜罐技术
使用真实的操作系统、网络服务与攻击源进行交互 高度的交互等级-对未知漏洞、安全威胁具有天然 的可适性,数据获取能力、伪装性均较强 弱势-资源需求较大,可扩展性较弱,部署安全风 险较高 虚拟机(Virtual Machine)/仿真器(Emulator)技术 节省硬件资源、容易部署和控制、容易恢复、安全 风险降低 Honeynet ––蜜网项目组(The Honeynet Project)
何路
计算机网络安全
蜜罐技术-诱骗之后
欺骗环境的核心功能需求
数据控制 数据捕获 数据分析 欺骗环境的配置管理������
何路
计算机网络安全
蜜罐技术实例(Honeyd )
Honeyd 是一种针对UNIX系统设计、开源、低交 互的Honeypot,用于对可疑活动的检测、 捕获和预警。
攻击工具的不断完善
任何主机都是攻击目标!
攻击者不需要太多技术
������
Metasploit: 40+ Exploits
攻击脚本和工具可以很容易得到和使用
������
0-day exploits: packetstorm
计算机网络安全
计算机网络安全
缺点
何路
蜜罐技术原理
蜜罐技术原理-“蜜罐公理”
无任何业务用途������ 没有任何的正常活动 ������ 任何活动都是恶意的 攻击诱骗、安全威胁预警 绕过攻击检测问题-区分正常业务和攻击行 为
防火墙:定义安全策略保证正常业务 入侵检测系统:根据已知攻击特征进行检测 反病毒软件:根据已知病毒特征码
何路
计算机网络安全
Honeyd
支持同时模拟多个IP地址主机
经过测试,最多同时支持65535个IP地址 支持模拟任意的网络拓扑结构
通过服务模拟脚本可以模拟任意TCP/UDP网络 服务
IIS, Telnet, pop3…
支持ICMP
对ping和traceroutes做出响应
蜜罐技术的提出
Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg‖ (1990) 著名计算机安全专家Fred Cohen
何路
计算机网络安全
蜜罐技术发展历程
蜜罐技术
1998年后,出现DTK、Honeyd等大量开源蜜罐工 具 同期出现一些商业产品,但并未得到市场普及
第14章 蜜罐技术
何路 helu@
本章主要内容
蜜罐技术提出与发展历程
蜜罐技术概念及分类 蜜罐技术原理 蜜罐技术实例
计算机网络安全
何路
互联网安全状况
安全基础薄弱
操作系统/软件存在大量漏洞 安全意识弱、缺乏安全技术能力 DDoS、跳板攻击需要大量僵尸主机 蠕虫、病毒的泛滥 并不再仅仅为了炫耀:Spamming, Phishing
何路
计算机网络安全
蜜罐技术-如何实施诱骗?
欺骗环境 (Pot)的构建: 黑洞VS. 模拟VS. 真实
零交互式蜜罐: 黑洞,没有任何响应 低交互式蜜罐-虚拟蜜罐: 模拟网络拓扑、 协议栈、服务(Honeyd/Nepenthes);模拟; OS (Sandbox) 高交互式蜜罐
何路
计算机网络安全
研究型蜜罐
目标:研究对手,了解自身面临的安全威 胁
知己知彼、百战不殆 蜜网技术(Know Your Enemy)(Enemy)-目 前更多意义上属-于研究型蜜罐技术 具有代表性的工具是“蜜网项目组”所推出 的第二代蜜网技术
何路
网络攻防的非对称博弈
工作量不对称
攻击方:夜深人静, 攻其弱点 防守方:24*7, 全面防护
信息不对称
攻击方:通过网络扫描、探测、踩点对攻击目标 全面了解 防守方:对攻击方一无所知
攻击方:任务失败,极少受到损失 防守方:安全策略被破坏,利益受损
后果不对称
何路
攻击方掌握主动权
1999年由蜜网项目组(The Honeynet Project)提出 并实现 目前已发展到第三代蜜网技术 2003年由Lance Spitzner首次提出Honeypot farms思想 目前仍未有实际的工具、产品和应用
计算机网络安全
蜜网技术
通过代理机制支持对真实主机、网络服务的整 合
计算机网络安全
何路
Honeyd与其虚拟的系统之间的关系
何路
计算机网络安全
Honeyd体系结构
NetWork
配置数据库 路由 个性引擎 查询 中央包分发器 路由
ICMP 协议处理器
何路
计算机网络安全
低交互式蜜罐技术
交互性:攻击者在蜜罐中活动的交互性级别 低交互式蜜罐技术
具有与攻击源主动交互的能力 模拟网络服务响应,模拟漏洞 容易部署,容易控制攻击 低交互式-交互级别由于模拟能力而受限,数据获 取能力和伪装性较弱,一般仅能捕获已知攻击 例: Honeyd 商业产品: KFSensorKFSensor, Specter, , HoneyPointHoneyPoint…
虚拟蜜网
在一台机器上部署蜜网的解决方案
VMware & User Mode Linux
优势
减少部署成本 更容易管理
劣势
虚拟机的指纹-虚拟硬件的配置信息
何路
计算机网络安全
蜜网项目组
非赢利性研究机构 目标
To learn the tools, tactics, and motives of the blackhat community and share these lessons learned 1999 – 非正式的邮件列表 June 2000 – 演变为蜜网项目组 Jan. 2002 – 发起蜜网研究联盟 Dec. 2002 – 10个活跃的联盟成员 Lance Spitzner (Sun Microsystems)
蜜场技术
何路
蜜罐技术概念
定义:honeypot: ―A security resource who’s value lies in being probed, attacked or compromised‖——Lance Spitzner(The Honeynet Project 的创 始人) 蜜罐是一类安全资源,其价值就在于被探 测、被攻击及被攻陷。
计算机网络安全
历史
创始人及主席
计算机网络安全
虚拟机蜜罐 VS. 物理蜜罐
何路
高交互式蜜罐工具
蜜罐技术优缺点
优点
收集到的数据很大可能就是由于黑客攻击造成的, 不依赖于任何复杂的检测技术等,因此减少了漏报 率和误报率。 能够收集到新的攻击工具和攻击方法。 不需要强大的资源支持。 需要较多的时间和精力投入。 只能对针对蜜罐的攻击行为进行监视和分析,其视 图较为有限。 不能直接防护有漏洞的信息系统。 会带来一定的安全风险。
物理蜜罐 : 完全真实的硬件、OS、应用、服务 虚拟机蜜罐 : 模拟的硬件(VMWare)/真实的OS、 应用、服务
何路
计算机网络安全
蜜罐技术-如何实施诱骗?
部署陷阱 , 诱骗攻击者(Honey)
安全漏洞-针对扫描式攻击 散播陷阱信息-引诱攻击者(Google Hacking Honeypot, HoneyEmail) 重定向技术(Honey farm) 主动出击: 利用爬虫技术-客户端蜜罐 (HoneyClawer 恶意网站监测)
路由拓扑实现
Honeyd支持创建任意的网络拓扑结构
对路由树的模拟
配置一个路由进入点 可配置链路时延和丢包率 模拟任意的路由路径
扩展
将物理主机融合入模拟的网络拓扑 通过
GREGRE隧道模式支持分布式部署
何路
计算机网络安全
引入操作系统特定的指纹,让Nmap/Xprobe 进行识别 使用Nmap指纹库作为TCP/UDP连接的参考 使用Xprobe指纹库作为ICMP包的参考
何路
计算机网络安全
日志功能
Honeyd的日志功能
Honeyd对任何协议创建网络连接日志,报告 试图发起的、或完整的网络连接 在网络协议模拟实现中可以进行相关信息收 集
个性化引擎
为什么需要个性化引擎?
不同的操作系统有不同的网络协议栈行为 攻击者通常会运行指纹识别工具,如
Xprobe和Nmap获得目标系统的进一步信 息 个性化引擎使得虚拟蜜罐看起来像真实的 目标
何路
计算机网络安全
个性化引擎
每个由 Honeyd产生的包都通过个性化引 擎
计算机网络安全
“主动”安全防护机制
何路
蜜罐技术的提出
防御方尝试改变攻防博弈不对称性而提出的一 种 主动防护技术