浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用
摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国
际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。
关键词:蜜罐;蜜网;网络安全
1 引言
随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。
2 蜜罐技术
防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。
而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。
蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。
实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。
3 蜜罐技术的分类和比较
目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、
预警以及网络安全的教学等方面。下面从蜜罐和蜜网两个方面分类比较,剖析现有系统的最新研究进展及其特征。
根据系统的功能,蜜罐可以分为产品型和研究型两类。1)产品型蜜罐主要是用于攻击检测、预警防御和取证,为一个组织的网络提供安全保护。它一般采用虚拟的操作系统和应用程序来构建系统,部署在一个部门的内部网络环境。这类蜜罐系统的代表有Symantec Decoy Server、SmokeDetector、Honeyd、Specter、ManTraq等。随着研究的深入,产品型蜜罐出现了针对特定攻击的应用,比如检测内部攻击的Honeytoken ,检测缓冲区溢出攻击的TaintCheck ,检测对无线网络攻击的802.11 Honeypot ,检测恶意网站对浏览器攻击的Honeyclient检测DOS攻击,检测恶意代码攻击的HoneyStat ,检测垃圾邮件攻击的HoneySpam ,检测Web应用攻击的HoneyWeb“等。
研究型蜜罐主要是用于研究攻击的特征和发展趋势,以帮助安全组织研究系统所面临的威胁,以便更好地抵抗这些威胁。它一般采用真实的操作系统和应用程序来构建系统,部署在网络系统中各个网段上。例如,Kreibich提出了一种从Honeypot捕获的数据中自动提取攻击特征的LCS(1ongest-com—mon—subsVing)算法,该算法比较简单,但是提取的攻击特征质量较差。Uoita Thakar首先采用可视化、统计分析等方法辅助人工筛选出可疑数据,然后基于LCS算法从选出的数据中自动提取攻击特征。该方法提高了攻击特征提取的质量,但是还需要人工参与。产品型蜜罐部署简单,引入风险低,容易维护,但是捕获的攻击信息少。研究型蜜罐可以捕获大量的攻击信息,但是部署复杂,维护代价大。
根据系统允许与黑客交互活动的级别,蜜罐可分为低交互蜜罐与高交互蜜罐。低交互蜜罐允许蜜罐与黑客交互活动次数少,通常采用虚拟的操作系统和应用程序来构建系统。多数产品型蜜罐属于低交互蜜罐。高交互蜜罐一般不限制黑客与蜜罐交互的活动,通常采用真实的操作系统和应用程序来构建系统。研究型蜜罐一般属于高交互蜜罐,也有部分产品型蜜罐属于高交互蜜罐,如M anTrap。低交互蜜罐与黑客交互次数少,引入的风险较小,但是容易被攻击者识别,捕获的攻击信息少。高交互蜜罐捕获的攻击信息较多,容易捕获到新的攻击工具,但是部署复杂,难以维护,引入了较高的安全风险。
还可以根据服务实现方式分类。为了欺骗攻击者,蜜罐需要提供与真实的主机相似的操作系统和服务。根据服务实现方式将蜜罐系统分为真实蜜罐和虚拟蜜罐。真实蜜罐是由真实的主机、操作系统和应用程序构建的。主要用于获取攻击行为。虚拟蜜罐是由虚拟的操作系统和应用程序构建的,黑客的行为只能局限在模拟的级别。主要用于攻击的检测、预警防御等。较具代表性的系统如DTK、Honeyd等开源工具和KFSensor、ManTrap等一系列的商业产品。虚拟蜜罐又可以分为手写脚本的蜜罐和学习服务的蜜罐。手写脚本的蜜罐是手工编写脚本,模拟一个真实的系统。学习服务的蜜罐是通过机器学习由系统编写脚本,模拟一个真实的系统。学习服务的蜜罐是实现动态蜜罐n 的一个关键的技术,但是实现难度较大。真实蜜罐交互程度高,无蜜罐指纹,捕获的攻击信息量大,适合作研究,但是高交互引入了较高的安全风险。虚拟蜜罐部署比较方便,引入风险较低,适合作为商业产品,但是收集攻击数据少,易被黑客识别。
根据服务提供方式将蜜罐分为服务端蜜罐和客户端蜜罐。服务端蜜罐是运行服务端的软件,等待攻击者来入侵。目前大部分蜜罐是服务端蜜罐。客户端蜜罐是运行客户端的软件,模拟普通的互联网客户端访问恶意网站或间谍软件,如Honeyclient 。服务端蜜罐通过诱骗攻击者攻击来了解服务器端的安全威胁,但
是难以发现针对客户端的安全威胁。客户端蜜罐通过模拟客户端访问恶意网站或间谍软件来发现浏览器的漏洞,主动了解互联网上针对客户端的安全威胁,但是难以发现针对服务端的安全威胁。
4 蜜罐技术的问题和发展趋势
近年来蜜罐技术在安全领域的应用越来越广泛。但是,蜜罐技术的应用仍受到很多问题的困扰,我们认为蜜罐技术现阶段面临的主要挑战其主要特征是:①模拟服务交互程度低,容易被识别;②系统架构部署和维护还比较复杂,难以有效控制风险,不能满足大规模网络环境的需要;③数据表示和存储不统一;④分析攻击信息的工具的功能较为有限;⑤触犯法律问题。下面主要论述解决这些关键问题可能采取的方法。
(1)增强系统智能性,动态自适应网络变化。由于采用真实的系统环境实现蜜罐系统,其部署代价大,管理维护困难,而采用虚拟的系统环境实现蜜罐系统,其交互程度低,因此,为了实时地与受保护的目标网络环境保持一致,防止入侵者识别,捕获尽可能多的攻击信息,需要提高模拟服务的质量,增强系统智能性,感知和学习目标网络环境,动态自适应网络变化,自动地进行系统配置。
(2)采用分布式蜜罐部署技术,简化部属复杂性。目前在大规模网络环境部署蜜罐系统,其代价和风险仍然较大,管理与维护比较困难,因此需要构建一个开放的分布式蜜罐体系结构,包括层次化、支持分布式处理、统~资源管理、统一用户界面接口、可配置算法服务和工作流、良好的可扩展能力等,构成一个有效的大规模网络安全风险态势感知模型,确保其它业务对攻击数据资源的需求与共享,提高网络整体的安全防护水平。
(3)统一数据格式,融合多源信息。多源信息融合是大规模网络环境中安全风险态势感知和攻击分析与趋势预测的重要环节之一。它使得一方面可以及时利用局部获得的采集信息来分析攻击、预测潜在的安全隐患,另一方面又能通过局部信息的汇集与融合对攻击和整体的安全状况进行分析预测并反过来对攻击和局部的安全隐患形成更准确的判断。因而需要用统一的标准来表示和存储从各个子网中采集的攻击信息,并对多源信息进行精化处理与数据挖掘,根据信息的特性选择最优化的融合算法,以提高融合分析的快速性与准确性。
(4)自动分析和提取攻击特征。虽然蜜罐采集的攻击数据少而精,但是仍需要专家投入较多的精力和时间,很多有价值的信息要通过专家的手工分析才能得到的,难以满足实际的需要。因此,可以借鉴其它领域中处理数据信息的一些成熟的理论、方法和技术,对蜜罐系统捕获的数据从网络数据流、系统日志、攻击工具、入侵场景等多个层次进行分析,利用可视化、统计分析、机器学习和数据挖掘等方法研究攻击特征,自动识别攻击的工具、策略、动机,提取未知攻击的特征,分析攻击趋势。
(5)与各种安全技术整合,构建优势互补的网络安全体系。蜜罐系统只能检测和捕获那些和它进行交互的攻击行为,不能直接防护有漏洞的信息系统,而且其部署会给网络引入一定的安全风险。蜜罐系统与防火墙、入侵检测等其它安全系统协作和联动,有利于提高阻止、检测和响应攻击的能力,弥补单一的安全技术和产品的不足,也是网络安全纵深防御的一个发展趋势。
(6)计算机取证和法律问题。蜜罐系统捕获的信息都是与入侵者有关,信息量小,能够迅速找到犯罪证据,因此可以用于计算机取证。蜜罐是一种防御系统,只要不对部署的蜜罐进行宣传,就不会触犯到法律。但是如果蜜罐被黑客用来攻击第
三方网络而造成破坏,就会被受害方提出诉讼,因此当黑客利用蜜罐向第三方网络发起攻击时,需要采取强有力的控制措施来避免此风险。
5 蜜网的作用
蜜网的作用主要表现在它的使用价值和研究价值两个方面。我们在进行传统的防护墙开发时,对于谁在攻击、何时被攻击、采用什么方法和手段进行攻击、攻击的目的是什么,这些都是未知数。进行所有可能的全方位的防护?就如同用百万大军来抵御一个盗贼。
产品型蜜网可以说是一个真实运行网的拷贝,它完全模拟的仿真,不易被黑客发现。当有入侵发生时及时了解和获得黑客们的信息,实现知己知彼,变被动地受攻击为主动地出击,实现重点防范。其中可以有系统的自动行为,也可有人工参与措施。既实现了有效的防护,又节约了成本。通过跟踪及时准确地记录黑客的攻击信息,获得入侵的犯罪证据。蜜网的引入解决了网络安全中的两大难题。首先,能使我们及时认识到网络安全中的隐患。有了蜜网,就可以将黑客们的时间和精力都耗在对蜜网的攻击上。每次成功攻击都不会影响我们的网络,同时为我们找出了网络安全漏洞以便补漏。可以说是一件变害为宝的好事。其次,解决了证据收集难的问题。在网上客户信息数据交流量十分庞大,要在这茫茫数据海洋中找出黑客信息,并区分其危险等级从而加以防范,确实不是件容易事。然而在蜜网中,都是些黑客或者说有些是误入歧途者,信息量不大,通过跟踪与检测能从中找到不被污染的证据。蜜网的引入解决了网络中的安全与速度的矛盾,给我们带来了效率的提高和使用的方便。蜜网的研究价值并不是进行防御,而是按部就班地记录“黑帽子团体”的攻击过程,记录他们所使用的工具。通过分析就可以找到目前我们还未知的缺陷以及黑客技术的发展。同时也考验我们的阻止、发现和反应是否达到要求。从而改进我们的系统。一般来说研究型蜜网并没有商业化,它通常用于大学、军事、政府安全机构和研究部门等。
6 结语
本文剖析了蜜罐技术的相关概念、分类及其应用,比较了各类系统的优缺点,总结了蜜罐技术近年来的研究进展,重点讨论了近期所面临的一些主要问题及最新成果,并对将来的一些研究工作进行了展望。蜜罐技术是一种应用欺骗思想的主动防御技术。在攻击检测、分析、特征提取、追踪、取证和预警防御等方面已经取得了比较显著的研究成果,展现了广泛的应用前景,是现有安全机制的有力补充。但随着相关应用的发展及需求的不断提升,仍有很多值得研究的问题。随着机器学习、数据挖掘和相关领域理论和技术研究的深入,针对不同实际应用,特别是系统动态自适应、分布式蜜罐体系结构、多源信息融合、攻击特征自动提取及计算机取证等问题,将成为蜜罐技术相关研究和应用的重点和主要突破的方向。
参考文献
[1]李志刚.决策支持系统原理与应用[M].jt京:高等教育出版社,
2005.
[2]刘义理.分布式数据库安全框架研究[D].上海:同济大学,
2006.
[3]陈建兵.分布式数据库安全管理研究【J].微计算机信息,
2007.15:l54.156.
[4]何波,程勇军,涂飞,等.自适应入侵检测专家系统模型[J】.计算机工程,2007,33(10):158—160.
蜜罐技术是什么
第一章蜜罐技术 蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所 以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都 有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送 给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个 安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此 我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属 于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐 摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。 关键词:蜜罐、网络诱骗、网络安全、蜜网 Phishing technology Honeypot (Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research. Keywords: Honeypot, Phishing, network security, Honeynet 0引言 “蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1](The Honey net Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 1蜜罐技术
试论蜜罐系统的设计
试论蜜罐系统的设计 现如今,电脑技术日益更新,人们对电脑的操作技术不断进步,有些技术专员痴迷电脑,自凭借高超的电脑技术,认为自己在计算机方面的天赋过人,希望达到毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站的水平,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。但这就对别人的电脑系统安全性发起了极大的挑战,为了研究黑客入侵的方式,大胆提出了“蜜罐系统“,本文将对蜜罐系统展开分析,与大家共同分享“蜜罐系统“。 标签:蜜罐系统;防火墙;防御功能 引言 一般来讲,设置蜜罐系统的主要目的是对外来的网络流量进行分析,它把任意一个进入到蜜罐系统内的网络流量都设想成假想敌,对它进行数据分析,从而得到这一外来流量的目的和它入侵的方式。 我们可以利用蜜罐系统进行对入侵的网络流量极大的警惕性,对外来的数据流量都进行数据分析和异常检测,此时我们再蜜罐系统上加装报警系统,这样一来系统就可以再第一时间检测到入侵的外来网络流量并发出预警,提示人们有异常情况发生,以便提前做好网络防御工作,可以在很大程度上减少计算机系统被恶意网络流量进攻的可能性。 1 设计目标 有了报警蜜罐系统的设想后,计算机技术人员就可以按照技术需求进行系统设计。在这里,我们提到的即时报警蜜罐系统的工作目标如下: 第一,通过在计算机里安装蜜罐系统,与现代先进的网络安全技术,以此来达到在恶意入侵的网络流量时发出预警。此外,还可以增加系统中蜜罐的数量以及随需求的不同更换蜜罐的功能。 第二,可以做到对计算机系统内的网络流量进行监测,不仅可以对已经入侵的恶意流量进行监控,还可以对网络中潜存的网络漏洞进行预警,这样更大大加强了计算机的安全性能。 第三,要为进出计算机蜜罐系统创造一个良好的工作环境,蜜罐相对而言比较开放,而它的工作原理又是针对所有的外来入侵网络流量,所以,要对能够进出计算机系统的流量进行严格控制,最好能够断开与外界的联系。 第四,即时记录下蜜罐系统的工作记录是很有必要的。
蜜罐技术详解与案例分析
1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值
蜜罐系统搭建与测试分析
蜜罐系统搭建与测试分析 互联网作为世界交互的接口,是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是,与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。作为安全防护工
浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用 摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国 际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。 关键词:蜜罐;蜜网;网络安全 1 引言 随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。 2 蜜罐技术 防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。 而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。 蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。 实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。 3 蜜罐技术的分类和比较 目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、
基于蜜罐的邮件捕获系统1
基于蜜罐网络的邮件捕获系统 摘要: 关键词 1 介绍 网络钓鱼是伴随着网络技术的发展而产生的,根据中国反网络钓鱼联盟的2011年4月报告,4月份联盟处理钓鱼网站数量达2635, 2 相关工作 2.1 蜜罐系统 蜜罐系统就是一种用于捕捉探测,攻击和漏洞扫描行为的安全工具,其本身是一个包含漏洞的系统,其工作的条件在于认定每一个试图主动与其连接的行为都是可疑的,甚至是恶意的。蜜罐技术的创始人Lance Spitzner对蜜罐进行了如下定义:蜜罐是一种资源,其价值在于被攻击。 传统的安全工具入侵检测同样也可以通过分析数据来侦测入侵行为,但蜜罐可以捕获到实质的数据,并对数据进行分析。基于蜜罐系统与攻击者之间的信息资源的交互程度,可以将蜜罐分为高交互式与低交互式两种。 高交互式的蜜罐系统中,攻击者会与真实的操作系统,服务和程序进行通信。当此类蜜罐被攻击者攻击后,就会获得攻击者的行为特征,攻击所使用的工具信息等资源。配置高交互式的蜜罐时,其安全性要格外注意,因为如果被攻击者发现的话,就可能借此系统来攻击其他的网络。此类蜜罐主要作用如下:学习攻击者的攻击行为,了解攻击工具的具体使用和攻击所利用的系统漏洞。 低交互式的蜜罐系统只能提供一些简单的服务,系统中安装的工具都只是用于模拟操作系统与服务的,所以当攻击者与蜜罐进行实质性通信时会断开连接,所以相对来说其安全性更高,但捕获的信息有限。此类蜜罐主要作用如下:识别端口扫描,攻击特征提取,攻击趋势分析与恶意程序收集。 本文将使用低交互式的蜜罐系统来模拟smtp服务来获取邮件。 2.2 垃圾邮件所使用漏洞 在大多数国家里,制造、传播垃圾邮件的行为都是不合法的,所以很多垃圾邮件制造商都会想着隐藏自己的行为。图一给出了垃圾邮件制造商隐藏自己踪迹的常用方法。 中继转发 Smtp协议就是简单邮件传输协议,与25端口和tcp协议联系在一起,主要用于可靠的并有效的进行邮件传输。 在smtp协议中具有中继转发服务,即通过别人的邮件服务器将邮件递送到目的地址,一般来说,中继转发服务针对的对象都是有选择的并通过认证了的用户。然而一些具有安全漏洞的smtp服务器都会无限制的开放中继转发服务,这种服务器就有可能被垃圾邮件制造商发现并进行滥用。 开放代理 代理服务器是介于客户端与服务器之间的另一台服务器,其用于获取某种特定的服务,允许多于一台的主机共用一个IP地址连接互联网,代理就像是一个中间人,与其他客户端进行连接。 而一个有安全漏洞的代理服务器允许任意一个IP地址连接任意一个IP地址或端口,这种代理服务器称之为开放代理。垃圾邮件制造商会持续的扫描开放的代理,一旦定位了就会使这些代理服务器与垃圾邮件服务器连接,然后使用代理与其他正常的邮件服务器连接,通
蜜罐及蜜网技术简介
蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟,2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告,包括蜜罐和蜜网的基本概念、发展历程、核心功能,并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击;蜜罐;蜜网;诱捕网络 1问题的提出 众所周知,目前的互联网安全面临着巨大的考验。美国CERT(计算机应急
响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。 针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。 “知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐技术在防御DDoS中的应用
万方数据
2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用 7l 具有足够威胁的攻击; (2)使攻击者攻击不到真正的目标[10】。 具体方式是切断图1中的两个控制信息流中的任意一个,或者切断攻击流。蜜罐布置如图2所示的 网络结构,在DMZ区有web、E—mail、DNS、m四个 服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DIVIZ区与Intemet用一个防火墙隔离。这些蜜罐的作用是代替 真实服务器接收由攻击傀儡机发送的攻击包。内部 局域网被一个防火墙与DMZ区隔离,包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包 的重定向机制¨¨。 图2蜜罐布置网 2.2安全防范框架 (1)蜜罐技术在防范DDoS攻击中的作用:①目前主流的防火墙都有检测DDoS攻击的功能[121,在防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);②同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;③吸引黑客入侵蜜罐,以蜜罐主机为控制傀儡机,由蜜罐系统控制这些信息流(切断控制信息);④蜜罐系统内安装安全日志,可以记录不同的攻击行为,以供学习。 攻击流 防火±i{{} 芷常访问 服务器 日志服务器 图3网络安全系统框图 (2)利用蜜罐技术防范DDoS攻击的原理,如图3所示。防火墙系统将攻击流量重定向到蜜罐,由蜜罐系统做出回应并进行日志记录。有些攻击可能突 破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器,这台服务器是低交互并加固的,很难被入侵u31。 3应用蜜罐技术防御DoS攻击的性能分析 对上述方案进行了攻击防范实验。攻击采用分 布式的SYNFlood,设置攻击傀儡机的攻击速度从2. 2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机 组成[131。在SYNFlood攻击过程中,单个服务器主 机和蜜罐受到的攻击流量如图4所示。 0 "I∞l∞∞0250 m 图4单个服务器主机和蜜罐受到的攻击流量 为避免被攻击者察觉,这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统[141。一旦防火墙发现攻击者在试图搜寻或入侵网络主机,就会通过地址重定向将这些信息发送到合适的蜜罐,蜜罐将根据初始设置向攻击者发送他所期待的应答,使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”,在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P.,一个网络中有普通主机数k,每一台主机被成功入侵的概率 为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2(1-P。)k/(k+g),入侵蜜罐的概率是Pl+(1一P1)g/(k+g)。 通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的概率P。,降低主机被入侵的概率P2。由图4可见,采用上述蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度。 ”¨¨ ”蛐¨“ “n 攻击覆量¨ H 黜攀 啵卫机生撇 重一 万方数据
honeyd蜜罐部署与应用
1.0李伊龙刘尚东
第一章Honeypot简介 1.1Honeypot的起源 蜜罐这个概念已经出现了至少20年之久了。 蜜罐(honeypot),首次出现在Cliff Stoll的小说?The Cuckoo’s Egg?[1]中,这部小说主要讲述的是作者自己身为公司的网络管理员,如何追踪并发现一起商业间谍案的故事。在作者追踪的过程中,为了吸引黑客在线足够长的时间以便安全人员能够跟踪到他,Stoll 搭建了一个名叫“elaborate hoax”的东西,在其中放上黑客所感兴趣的一些东西,这个“elaborate hoax”,就是现在我们通常所说的蜜罐,蜜罐。但是毋庸置疑在那之前已经有大量组织对其进行了很好的开发和使用,也进行了大量的研究和部署,只不过在1990年之前很少为公众所知而已。 1.2Honeypot的发展历程 蜜罐技术的发展历程分为以下三个阶段。 从九十年代初蜜罐概念的提出直到1998年左右,“蜜罐”还仅仅限于一种思想,通常由网络管理人员应用,通过欺骗黑客达到追踪的目的。这一阶段的蜜罐实质上是一些真正被黑客所攻击的主机和系统。 1990/1991——第一本阐述蜜罐概念的公开发表的著作——Clifford Stoll的The Cuckoo’s Egg及Bill Cheswick的an evening with Berferd. 从1998年开始,蜜罐技术开始吸引了一些安全研究人员的注意,并开发出一些专门用于欺骗黑客的开源工具,如Fred Cohen所开发的DTK(欺骗工具包)、Niels Provos开发的Honeyd等,同时也出现了像KFSensor、Specter等一些商业蜜罐产品。这一阶段的蜜罐可以称为是虚拟蜜罐,即开发的这些蜜罐工具能够模拟成虚拟的操作系统和网络服务,并对黑客的攻击行为做出回应,从而欺骗黑客。 1997——Fred Cohen的Deception Toolkit0.1版本发行,这是可为安全界所用的首批蜜罐解决方案之一。 1998——开始研发公开出售的首批商用蜜罐之一,CyberCop Sting。其中引入了将多个虚拟系统与单个蜜罐相绑定的概念。 1998——Marty Roech及GRE Internetworking开始开发后来演化成NetFacade的蜜罐解决方案。这项工作同时也开启了Snort的概念。 1998——BackOfficer Friendly发布——一种免费的、只用于windows的蜜罐,并将包括Lance Spitzner在内的许多人引入到了蜜罐的概念中。 1999——Honeypot Project形成,“Know Your Enemy”系列论文发布。这项工作使人们加深了对蜜罐的认识并验证了蜜罐及其相关技术的价值。
蜜罐技术及其应用研究
蜜罐技术及其应用研究 文章首先介绍了蜜罐技术的定义、发展及分类,分析了蜜罐系统的关键技术,阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 标签:蜜罐;Honeyd;蜜网 1 蜜罐技术概述 1.1 蜜罐技术的定义 The Honeynet Project(蜜网项目组)创始人Lance Spitzner给蜜罐的定义是:蜜罐是一种安全资源,它的价值就在于被探测、被攻击或被攻陷。其主要功能:一是通过构建蜜罐环境诱骗攻击者入侵,从而保护业务系统安全;二是诱骗成功之后捕获攻击数据进行分析,了解并掌握入侵者使用的技术手段和工具,调整安全策略以增强业务系统的安全防护。 1.2 蜜罐技术发展历程 蜜罐技术的发展经历了三个阶段: 1.2.1 蜜罐(Honeypot)。从1990年蜜罐概念提出到1999年,研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具,广泛应用于商业领域。 1.2.2 蜜网(Honeynet)。1999年蜜网项目组提出并实现,目前已发展到第三代蜜网技术,已有项目应用。 1.2.3 蜜场(Honeyfarm)。2003年由Lance Spitzner首次提出蜜场思想,处于研究阶段。 1.3 蜜罐技术分类 蜜罐技术可以从不同的角度进行分类: 根据系统应用目标不同,将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障,主要包括攻击检测、防范攻击造成破坏等功能,且较容易部署,不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动,如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 根据系统交互级别不同,将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现,攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建,提供给攻击者真实的系统和服务,可以获得大量有用信息。
蜜罐技术论文
蜜罐技术论文 摘要:蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点一说:蜜罐就是诱捕攻击者的一个陷阱。 关键词:设计蜜罐;蜜罐的分类;拓扑位置;安全价值;信息收集 一、设计蜜罐 现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。 蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。 不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。 而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。 二、蜜罐的分类 根据蜜罐的交互程度,可以将蜜罐分为3类: 蜜罐的交互程度(Level of Involvement)指攻击者与蜜罐相互作用的程度。 ⑴低交互蜜罐 只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互 功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单, 部署容易,风险很低,所能收集的信息也是有限的。 ⑵中交互蜜罐 也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在 不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够 收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透 和攻击真实系统的机会。 ⑶高交互蜜罐
蜜罐与蜜网技术的研究与分析
\.网络通讯及安全......本栏目责任编辑:冯誓 蜜罐与蜜网技术的研究与分析 邹文.唐心玉 (湖南商学院,湖南长沙410205) “ 摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。 关键词:蜜罐;蜜网;防火墙;入侵检测系统 文章编号:1009-3044(2008)们r-1121枷3 中图分类号:TP393文献标识码:A TheResearchandAnalysisofHoneypotandHoneynet ZOUWen,TANGXin-yu O-IunanUniversityofCommerce,Cl[1angsha410205,chim) Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet. Keywords:honeypot;honeynet;inumiondetectionsystem;firewall 1引言 随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。 2蜜罐的定义和国内外研究现状 2.1譬罐的定义 蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。 蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。 2.2蜜罐的国内外研究现状 目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。 在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。 ●_3蜜罐的分类~ 按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐: 产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。 研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研 收稿日期:2008一01—08 作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。 1214,劫电_知识与拄木 万方数据
L003007005-系统蜜罐部署实验
课程编写 内容 名称系统蜜罐部署实验 要求了解系统蜜罐的基本原理,掌握Defnet蜜罐系统的使用。虚拟PC)Windows XP操作系统 描述Defnet工具 识 蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。所有流入/流出蜜罐的网络流量都可能预攻陷。蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。蜜罐可以按照其部署目的区分为型蜜罐两类,研究型蜜罐专门用于对黑客攻击的捕获和分析,通过部署研究型蜜罐,研究人员可以对黑分析,捕获黑客的键击记录,了解到黑客所使用的攻击工具及攻击方法,甚至能够监听到黑客之间的交的心理状态等信息。研究型蜜罐需要研究人员投入大量的时间和精力进行攻击监视和分析工作。而产品为一个组织的网络提供安全保护,包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确般产品型蜜罐较容易部署,而且不需要管理员投入大量的工作。蜜罐也可以按照其交互度的等级划分为互蜜罐,高交互蜜罐提供完全真实的操作系统和网络服务,没有任何的模拟,从黑客角度上看,高交互已久的“活靶子”,因此在高交互蜜罐中,我们能够获得许多黑客攻击的信息。高交互蜜罐在提升黑客自然地加大了部署和维护的复杂度及风险的扩大。交互度反应了黑客在蜜罐上进行攻击活动的自由度。仅模拟操作系统和网络服务,较容易部署且风险较小,但黑客在低交互蜜罐中能够进行的攻击活动较为交互蜜罐能够收集的信息也比较有限。产品型蜜罐一般属于低交互蜜罐。蜜罐还可以按照其实现方法区拟蜜罐。物理蜜罐是真实的网络上存在的主机,运行着真实的操作系统,提供真实的服务,拥有自己的罐则是由一台机器模拟的,这台机器会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。 Defnet是一款著名的“蜜罐”虚拟系统,它会虚拟一台有“缺陷”的服务器,等着恶意攻击者上拟出来的系统和真正的系统看起来没有什么区别,但它是为恶意攻击者布置的陷阱。通过它可以看到攻命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足至反击攻击者。 容利用Defnet设置蜜罐并进行监视设置蜜罐提醒方式 骤 1、学生单击“网络拓扑”进入实验场景,单击“打开控制台”按钮,进入目标主机 2、输入默认账号administrator,密码123456,进入目标主机桌面。
蜜罐技术是什么
第一章蜜鑲技术 蜜罐(HOneyPOtTeChnOlOgy)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所而对的安全威胁,并通过技术和後理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知逍他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2?1蜜罐的定义 首先我们要弄淸楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的"黑匝子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一左査得到痕迹……因此,蜜罐的定义是:"蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。" 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2?2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一沱的漏洞,但是我们也知道,很多漏洞都属于"高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做"跳板"(指入侵者远程控制一台或多台被入侵的计算机对别的汁算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设宜一台蜜罐必须而对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。 对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜
浅谈蜜罐系统在内网的应用
浅谈蜜罐系统在内网的应用 随着信息化技术的广泛应用,网络安全形势也越来越严峻,各种安全技术不断涌现与更新。蜜罐技术通过在网络中部署传感器节点,能够实时感知网络环境,延缓攻击,并将传感器的日志实时存储供以分析,可以为运维人员提供必要的支撑。 一、内网部署蜜罐系统的必要性 相对于传统的防火墙等技术,蜜罐是一种主动防御技术手段,使网络防御从被动变为主动,因而越来越受到运维人员的重视。一般来讲,攻击者在攻入内网后,为了达到目的,会进一步探测内网结构和重要信息资产,通常会对内网段进行扫描,从而掌握内网拓扑结构、汇总主机运行的服务。通过在网络中部署蜜罐系统,可以及时侦测到网络中的异常行为,引诱攻击者攻入蜜罐系统,可以延缓攻击,并据此了解攻击方所使用的工具与方法,推测攻击意图和动机,从而让运维人员清晰地了解他们所面对的安全威胁。 二、内网部署蜜罐系统的考量指标 随着网络攻防手段的不断发展,内网常见的攻击手段也在不断更新完善,如端口扫描、拒绝服务、暴力破解、ARP攻击、DNS劫持等,随着内网服务种类的增多,内网的攻击面也在不断扩大。一个好的蜜罐,应该做到如下几点: 1.支持广泛的协议和服务。蜜罐应能够模拟常见的应用协议和漏洞;能在TCP、UDP全端口捕获未知的恶意扫描;最好能支持分布式部署,提供足够广的覆盖面。 2.具备完备的日志记录。应记录攻击者足够多的信息,包括IP地址、账号等;应可以完成重现攻击者的攻击路径,便于分析攻击者的攻击思路和手法;应采用统一、简单的数据格式,存入数据库,便于后续日志分析。 3.具有丰富的报警手段。发现异常行为后,应支持短信、邮件等告警手段,第一时间警示运维人员。 三、常见的蜜罐系统 根据蜜罐系统的功能,我们可以初步将蜜罐分为以下几种类型: (一)服务型蜜罐 Cowrie:中等交互式蜜罐,可以模拟ssh和telnet,用于记录攻击者执行的shell交互,还可以充当ssh和telnet代理,以观察攻击者对另一个系统的行为。 sshhipot: 高交互性蜜罐,可以模拟ssh。该蜜罐的高交互是因为它使用了代理模式,攻击者攻击蜜罐时,蜜罐就会连接真实主机,从而记录攻击者的操作日志。 UDPot Honeypot:中交互性蜜罐,可以模拟DNS服务。该蜜罐将所有请求记录到SQLite数据库,并具有可配置的交互级别。 rdpy-rdphoneypot:RDPY是基于Twisted Python实现的微软RDP远程桌面协议,其子项目rdpy-rdphoneypot是一个基于RDP的蜜罐,可以记录会话场景,并通过RDP协议来重放会话场景。 (二)web蜜罐 snare: 一个Web蜜罐,该蜜罐可克隆某个网站,可捕捉到web攻击载荷。可以配合tanner (评估HTTP请求并组成snare事件服务的响应)一起使用。