蜜罐与蜜网技术的研究与分析
\.网络通讯及安全......本栏目责任编辑:冯誓
蜜罐与蜜网技术的研究与分析
邹文.唐心玉
(湖南商学院,湖南长沙410205)
“
摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。
关键词:蜜罐;蜜网;防火墙;入侵检测系统
文章编号:1009-3044(2008)们r-1121枷3
中图分类号:TP393文献标识码:A
TheResearchandAnalysisofHoneypotandHoneynet
ZOUWen,TANGXin-yu
O-IunanUniversityofCommerce,Cl[1angsha410205,chim)
Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet.
Keywords:honeypot;honeynet;inumiondetectionsystem;firewall
1引言
随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。
2蜜罐的定义和国内外研究现状
2.1譬罐的定义
蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。
蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。
2.2蜜罐的国内外研究现状
目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。
在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。
●_3蜜罐的分类~
按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐:
产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。
研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研
收稿日期:2008一01—08
作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。
1214,劫电_知识与拄木
万方数据
本栏目责任编辑:冯蕾??????网络通讯及安全?
究组织面对各类网络威胁,并寻找能够对付这些威胁更好的方式,它们所要进行的工作就是收集恶意攻击者的信息。它一般运用于军队,安全研究组织。,
按照蜜罐的交互性可将蜜罐分为低交互性蜜罐、中交互性蜜罐、高交互性蜜罐:
低交互的蜜罐通常只提供某些特定的模拟服务.这些服务能够通过监听一个特定的端口来实现。在低交互的蜜罐中没有真实的操作系统让黑客操作,这很大程度地减小了蜜罐的风险。但另一方面,这也是它的一个弊端,它不能观察黑客与操作系统的交互,而这也许才是真正有价值的。
中交互的蜜罐也不提供真实的操作系统.而是应用脚本或小程序来模拟服务行为。在不同的端口进行监听.通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉.能够收集更多数据。开发中交互蜜罐.要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透和攻击真实系统的机会。
高交互性蜜罐给黑客提供一个真实的操作系统,可以掌握学习黑客运行的全部动作,获得大量的有用信息,包括完全不了解的新的网络攻击方式。正因为高交互蜜罐提供了完全开放的系统给黑客.所以也就带来了更高的风险,即黑客可能通过这个开放的系统去攻击其他的系统。
蜜罐交互性的高低决定了它提供的功能的多少。交互性越高,通过蜜罐获得的有价值的信息越多。对黑客和其攻击的了解越深;相应地蜜罐的复杂性也越高。由蜜罐所带来的危险性也越高。
4蜜罐技术原理
蜜罐的主要技术有网络欺骗,数据控制和数据捕获等。
4.1网络欺骗
由于蜜罐的价值是在其被探测、攻击或者攻陷的时候才得到体现。所以如果没有网络欺骗功能的蜜罐是没有价值的.网络欺骗技术因此也是蜜罐技术体系中最为关键的核心技术和难题。网络欺骗技术的强与弱从一个侧面也反映了蜜罐本身的价值。目前蜜罐主要的网络欺骗技术有如下几种:模拟服务端口、模拟系统漏洞和应用服务、IP空间欺骗、流量仿真、网络动态配置、组织信息欺骗、网络服务等。
4.2数据捕获
数据捕获是蜜罐的核心功能模块。数据捕获的目标是捕捉攻击者从扫描、探测到攻击到攻陷蜜罐主机到最后离开蜜罐的每一步动作.为了达到这个目标。我们将数据捕捉分为了三层来实现。最外层数据捕捉由防火墙来完成.主要是对出入蜜罐系统的网络连接进行日志记录,这些日志记录存放在防火墙本地。第二层数据捕捉由入侵检测系统(IDS)来完成,IDS抓取蜜罐系统内所有的网络包,这些抓取的网络包存放在IDS本地。最里层的数据捕捉由蜜罐主机来完成,主要是蜜罐主机的所有系统日志、所有用户击键序列和屏幕显示.这些数据通过网络传输送到远程日志服务器存放。
4.3数据分析
数据分析包括网络协议分析、网络行为分析和攻击特征分析等。数据分析是蜜罐技术中的难点。要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。
4.4数据控制
蜜罐系统作为网络攻击者的攻击目标,如果被攻破,那么我们将得不到任何有价值的信息。同时蜜罐系统将被入侵者利用作为攻击其他系统的跳板。数据控制是蜜罐系统必需的核心功能之一.用于保障蜜罐系统自身的安全。
我们允许所有对蜜罐的访问,但是要对从蜜罐系统外出的网络连接进行控制。我们可以限制一定时间段内外出的连接数,甚至可以修改这些外出连接的网络包,使其不能到达它的目的地。同时又给入侵者网络包已正常发出的假象。蜜罐通常有两层数据控制,分别是连接控制和路由控制完成。连接控制由防火墙来完成,路由控制由路由器来完成,主要利用路由器的访问控制功能对外出的数据包进行控制。
5蜜网模型
5.1第一代蜜网模型
第一代蜜网模型由蜜网项目提出,蜜网模型见图1.防火墙把这个蜜网分隔成三个部分,即陷阱部分、外部网络和管理控制平台。陷阱部分是由一个或多个蜜罐机组成的引诱系统,处于同一网段中。外部网络包括Intemet和内部工作网络两部分。管理控制平台是用来控制和收集敷据的地方,有较高的安全性,由防火墙、入侵检测、路由器和日志服务器组成。可由一台或多台机器组成。
所有进出陷阱部分的数据包都将通过最前端的防火墙进出.它能对所有从蜜罐机器往外的每一个连接进行追踪和控制。外发连接达到预先设定的上限值时,防火墙便会阻塞那些数据包,避免蜜罐成为攻击其它系统的跳板,起到数据控制作用。防火墙与蜜罐之间还放置了一个路由器,使防火墙变得透明,使得蜜网更像一个真实网络。并且路由器也可以对访问控制进行一些限制,是对防火墙的一个很好补充。路由器仅仅允许源地址是蜜罐的IP包往外发。入侵检测器能检测到网络中的所有的机器,能捕获所有的入侵并存入二进制文件中便于检索和分析。当数据包中特征字串匹配入侵特征库时及时发出报警,将数据发送到日志报警服务器上。日志报警服务器主要用于存储蜜罐主机发来的日志、防火墙日志和入侵检测收集到的数据,便于管理员进行分析并做出及时报警。
1215 万方数据
\.网络通讯及安全......本栏目责任编辑:冯蕾
图1第一代蜜网模型
5.2第二代蜜网模型
在第一代蜜网中,数据控制与数据捕获分别由两台不同的机器实现,但由于有了路由器,这样经过蜜网网络的数据包的7兀L将会少一些。而且,由于整个网络对外可见,这样就增加了攻击者攻陷网络的可能性。由于第一代蜜网的以上缺点。蜜网项目提出了第二代蜜网模型。它的体系架构模型如图2所示。
Hone)wall用两层的桥接模式来实现,Honeywall把产品系统网络和蜜罐网络隔离开。网卡ethO连接到产品系统,网卡ethl连接到蜜罐网络。由于网桥的透明性,蜜罐网络和产品系统网络将处在同一个网段。由于没有了路由跳转.进出Hone)wall的数据包的‘兀L将不会减少,这样就没有把Honeywall直接暴露在攻击者面前,减少了Honeywall被攻陷的可能。同时为了方便管理和提高重要数据的安全性,还有另外一个网卡接121eth2用于管理连接,管理者通过该接口来管理Honeywall,并且通过该接121。可以把重要的数据,发到另外一台服务器。这样,即使在Hone)wall被攻陷的时候,部署者收集到的珍贵信息也不至于遭到破坏。为了便于数据控制和数据捕获可将防火墙、入侵检测系统和报瞥系统都安装在Hone)wall上。
在第二代蜜网中数据控制主要是通过防火墙和NIPS(网络入侵防御系统)来实现。NIPs主要是通过Snort的改进版Snort—inline来实现的,当外发数据包不在异常特征规则库时才可以通过,由于未知的攻击特征不在异常特征库里所以要对外发连接进行计数。
蜜网中的数据捕获的方式主要有防火墙日志、系统日志和网络数据包。防火墙日志并不记录具体的数据包内容.只记录各个数据包的通过情况。Snort在ethl端121监听将避免了噪音数据,将数据以Tcpdump日志的格式存储便于以后分析。Sebek可以记录蜜罐机上发生的情况,即使攻击者利用SSH来传输数据,Sebek也可以捕获得到加密前的数据。
6结束语
_矿V、√、0日志,撤警0ff10服务器0产品服务器产品服务器00产品服务器0
et由
0HoneywallP2叫I掣l叫lIn}1
图2第二代蜜网模型
蜜罐已经成为安全专家所青睐的对付黑客的有效工具之一。蜜罐使用简单,配置灵活,占用的资源少。不仅仅可以捕获到那些防火墙之外的脚本.还可以发现自己组织中的入侵者;收集的数据和信息有很好的针对性和研究价值。既可作为独立的安全工具.还可以与其他的安全机制联合使用。蜜罐也有缺点和不足,主要是收集数据面比较狭窄和可能会引入新的风险。面对不断该进的黑客技术。蜜罐技术也要不断的完善和更新。
参考文献:
【1】LanceSpitzner.Honeypota:TrackingHackers[M].北京:清华大学出版社,2004.
【2】熊华。等.网络安全——取证与蜜罐【M】.人民邮电出版社,2003,∽:115—128.
【3】崔志磊,房岚.等.一种全新的网络安全策略一蜜罐及其技术阴.计算机应用与软件,2004,21(2):99—101.
【4】肖蓉,曾绍杰.等.检测未知网络攻击的蜜罐系统忉.计算机与数字工程,2006,(02):16-18.
【5】冯嵩,张洁,等.构建基于蜜罐技术的入侵检测系统叨.计算机系统应用,2006,(07):31-34.
1216,妇电-知识与技木
万方数据
蜜罐与蜜网技术的研究与分析
作者:邹文, 唐心玉, ZOU Wen, TANG Xin-yu
作者单位:湖南商学院,湖南,长沙,410205
刊名:
电脑知识与技术
英文刊名:COMPUTER KNOWLEDGE AND TECHNOLOGY
年,卷(期):2008,1(7)
被引用次数:1次
参考文献(5条)
https://www.wendangku.net/doc/c013338135.html,nce Spitzner Honeypots:Tracking Hackers 2004
2.熊华网络安全--取证与蜜罐 2003
3.崔志磊.房岚一种全新的网络安全策略--蜜罐及其技术[期刊论文]-计算机应用与软件 2004(02)
4.肖蓉.曾绍杰检测未知网络攻击的蜜罐系统[期刊论文]-计算机与数字工程 2006(02)
5.冯嵩.张洁构建基于蜜罐技术的入侵检测系统[期刊论文]-计算机系统应用 2006(07)
相似文献(10条)
1.期刊论文程杰仁.殷建平.刘运.钟经伟.Cheng Jieren.Yin Jianping.Liu Yun.Zhong Jingwei蜜罐及蜜网技术研究进展-计算机研究与发展2008,45(z1)
蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.
2.学位论文杨欣松蜜网系统的研究和实现2005
当今信息社会,互联网络技术得到快速发展和广泛应用,网络安全技术的研究也在不断深入进行着。因应黑客技术的不断发展,新的网络安全产品和技术层出不穷,蜜网是从蜜罐发展而来的研究入侵者目的、策略、工具和方法的一门新兴的网络安全技术,蜜网的任务就是在不被攻击者发现的前提下,尽可能多地捕获攻击者在蜜网中的所作所为,同时要保证蜜网内的蜜罐系统不被作为跳板来攻击非蜜网系统,最后分析捕获的数据,发现新的攻击方法和对未来的攻击作出预测。
本文在研究蜜网技术的基础上,实现了一个完备的蜜网系统,同时为完善和发展蜜网技术提出了一些新的理论和方法。主要内容有:
1、结合相关的网络及网络安全知识,详细分析了蜜网系统的各种功能和各项指标,剖析了蜜网的关键技术,总结了蜜网新技术的特点,提出了蜜网技术改进的方案。
2、使用所捕获的各种数据进行蜜网数据分析,提出了利用数据挖掘技术,发现新攻击的理论和方法。
3、利用蜜网技术的特有功能,结合蜜标实现对来自内部网络攻击的检测;利用捕获的数据,实现对来自外部网络攻击的检测和分析。
4、在实验室条件下实现了一个比较完善的蜜网系统,经过仔细的测试,各项指标均达到要求,能够正常使用,实现了蜜网系统数据控制、数据捕获及数据分析等各方面的功能。
蜜网技术的发展,为研究网络安全提供了一个新的可行方法和思路,为网络安全技术的发展注入了新的活力,蜜网技术的方案可被政府、军队、企业、院校、组织和个人所采用,达到研究网络入侵行为,提高抵御入侵的能力,保护自身网络资源,甚至可以作出相应反制的目的。
3.会议论文程杰仁.殷建平.刘运.钟经伟蜜罐及蜜网技术研究进展2007
蜜罐及蜜网是网络安全领域的研究热点与核心技术,近年来得到了广泛的关注和快速的发展.提出了蜜罐及蜜网技术所面临的挑战.从蜜罐和蜜网的概念及其关键技术等方面对其研究进展进行综述评论.认为系统伪装、体系结构、多源信息融合、攻击分析与特征提取以及计算机取证与法律等问题是目前蜜罐及蜜网研究的关键问题,并讨论了这些问题可能采取的方法.最后对研究的方向进行了展望.
4.期刊论文曾荣生.晁爱农.ZENG RONGSHENG.CAO AINONG蜜罐与蜜网技术及应用-微计算机信息2007,23(36)
本文介绍了蜜罐技术的发展历史和现状,分析了蜜罐在网络安全防护体系中的作用,并且利用DTK工具包设计实现的蜜罐应用.以及目前研究的蜜网技术.此外本文还给出了蜜罐及蜜网技术的进一步研究发展方向.
5.学位论文邱建新基于honeyd的大学蜜网研究及应用2006
蜜罐是一种资源,其价值体现在被探测、攻击或损害,它能够转移攻击者视线,使之远离有价值的主机,对于新型的攻击和探测提供早期预警,并能够对收集到的攻击信息事后进行深入分析,是网络安全的重要辅助手段。本论文的目的之一就是介绍蜜罐(蜜网)的各种类型及其在教育行业的实际应用。
本文首先从当前的网络安全现状进行描述,进而对蜜罐产生的历史、蜜罐作用、其优势与劣势进行了介绍。按照交互程度的不同,蜜罐可分为低交互度、中交互度和高交互度蜜罐,低交互度的蜜罐主要是用于保护特定组织,它安装简单,功能有限,但风险较低。高交互度的蜜罐安装、配置繁杂
,但功能强大,能够收集更多和黑客交互的信息,风险较大。从另一个角度分,蜜罐可分为物理蜜罐与虚拟蜜罐,物理蜜罐带有真实的操作系统,虚拟蜜罐则使用仿真技术。虚拟蜜罐比较廉价,风险低,但记录的信息种类有限,在抓住黑客方面做得没有真实的honeypot好。而物理蜜罐对于黑客的操作响应与网络上其它主机完全一样,但有可能被高级黑客征服而变为进攻其他正常网络的跳板。
本文中还介绍了蜜网的概念,到今天,蜜网技术已发展到第三代,成功部署蜜需要三个严格需求:数据控制、数据捕获和数据收集。
本文的中心是建立基于honeyd的虚拟蜜网技术的大学蜜网网络,文中对整个应用的实现进行了系统详细的介绍。具体介绍了honeyd的思想、honeyd及其相关套件的安装、配置与管理,及其他辅助honeyd工作的软件工具。首先介绍了学校蜜网应用的背景,给出了虚拟蜜网的框架结构,在网络设备上对蜜网监听范围的IP进行了数据控制,采用linux操作系统下的软件工具进行了数据捕获,最后对收集到的数据进行了总结分析。此应用达到了预期的设计效果,但还存在许多不足之处,并在总结中提出了改进方向。
6.期刊论文翟继强.叶飞.Zai Jiqiang.Ye Fei蜜罐技术的研究与分析-网络安全技术与应用2006(4)
文章介绍的是一种新的主动型的网络安全防护技术--蜜罐.给出了蜜罐的定义和分类,研究了蜜罐的安全价值,讨论了蜜网和虚拟蜜网的相关原理和概念,同时也分析了蜜罐的风险性和降低风险的基本策略.
7.期刊论文牛少彰.张玮蜜罐与蜜网技术-通信市场2006(11)
网络安全领域日益受到重视,新兴的蜜罐与蜜网技术,基于主动防御理论而提出.蜜罐与蜜网技术通过精心布置的诱骗环境来吸引容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息.根据获取的攻击者的情报能更好地理解网络系统当前面临的危险,并且知道如何阻止这些危险的发生,在网络安全防护中做到有的放矢,获得最大的主动权.
8.学位论文贺庆涛蜜罐技术研究及蜜网设计2005
蜜罐技术是一种新兴的基于主动防御的网络安全技术,目前日益受到人们的关注,发展前景广阔。蜜罐是一种网络安全资源,它通过监视入侵者的活动,使用户能够分析研究入侵者所掌握的技术、使用的工具以及入侵的动机,从而提高网络安全防御能力。
本文分析研究了蜜罐技术的基本原理,重点对蜜网进行了深入地研究。作者在论文中所做的主要工作如下:在分析了国内外同类研究成果的基础上,构建了一个以研究为主要目的的虚拟蜜网,设计并实现了该蜜网的数据控制、数据捕获、报警等功能;在蜜罐本身的数据捕获方面,在分析比较现有解决方案的基础上,开发了MyBash作为蜜罐本身数据捕获的解决方案。MyBash综合了现有解决方案的众多优点,不仅可以记录入侵者的击键信息,还可以记录击键回复,并通过串口将捕获的数据转储到日志服务器。MyBash为蜜网的研究人员提供了实现蜜罐数据捕获的一种解决方案;对蜜网的报警机制进行了改进,提出了通过手机短信报警的思路。通过对现有发送手机短信软件SMM的协议分析,采用模拟该软件数据包的方法,验证了蜜网使用手机短信报警的可行性;对所设计的蜜网的数据控制、数据捕获、报警和IP空间欺骗等功能进行了系统的测试。
9.期刊论文蔺旭东.薄静仪.王宇宾.曾晓宁.LIN Xu-dong.BO Jing-yi.WANG Yu-bin.ZENG Xiao-ning网络安全中
的蜜罐技术和蜜网技术-中国环境管理干部学院学报2007,17(3)
当前,网络安全正在受到严重的威胁,传统的防御技术存在其固有的被动防御的缺陷,而蜜罐技术正以其主动防御的特性受到越来越多的关注.本文说明了其在网络安全中所起到的防御作用和通过收集信息而起到的研究作用,讨论了涉及到的诱骗机制、数据控制、数据捕获和数据分析等关键技术以及实际应用中的部署方案.
10.学位论文贺青基于Xen的高隐秘性虚拟蜜网设计与研究2007
蜜网是一种高交互性的蜜罐技术。与传统的被动安全技术相比,由于其采用主动诱捕的方式对攻击行为进行监控,可以给系统管理员提供更多信息,使其了解攻击者所使用的技术,工具和方法,以提高对攻击行为的防御能力。而将蜜网技术与虚拟化结合的虚拟蜜网系统,在保留了蜜网技术的强大探查能力的同时,极大地减低了系统所需的资源,同时减少了部署和维护的难度,正在得到人们广泛的关注,其发展前景广阔。然而,随着大范围的针对性研究,出现了大量的反蜜罐技术。攻击者一旦通过蛛丝马迹了解到目标系统的蜜罐性质,往往会放弃攻击或采取其他手段进行反制,依赖诱骗为根本手段的主动防御系统蜜罐就会丧失其作用。因此,隐秘性就成了蜜罐技术发展的一个瓶颈。
虚拟机的引入为虚拟蜜网带来了两个方面的影响:一方面,由于系统规模更加庞大,通用虚拟机往往会给攻击者更多的提示,增加蜜网系统暴露的可能;但另外一方面,由于虚拟机的特性,可以构建基于虚拟机的数据捕获和采集装置,使得现有的反蜜罐技术无效化。通过特别设计的基于虚拟机的蜜网系统,可以将前者的影响减至最小的同时,更加有效地隐蔽蜜网系统和虚拟机的存在,进一步加大反蜜罐的难度。本文首先讨论了蜜网技术的基本原理,分析了常见的隐蔽方法及检测手段,然后介绍了虚拟化技术及开源虚拟机Xen。在此基础上,提出了在Xen的硬件虚拟域中使用Xen 接口加强反检测的方法。最后详细介绍了基于Xen的高隐秘性虚拟蜜网的系统架构及数据捕获模块。
引证文献(1条)
1.余鹏.王浩基于蜜罐的入侵检测系统[期刊论文]-网络安全技术与应用 2008(10)
本文链接:https://www.wendangku.net/doc/c013338135.html,/Periodical_dnzsyjs-itrzyksb200807014.aspx
授权使用:新疆石河子大学图书馆(wfxjshz),授权号:09b2526f-1135-405f-a7c9-9e6901447cd7
下载时间:2011年1月12日
蜜罐技术是什么
第一章蜜罐技术 蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所 以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都 有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送 给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个 安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此 我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属 于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐 摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。 关键词:蜜罐、网络诱骗、网络安全、蜜网 Phishing technology Honeypot (Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research. Keywords: Honeypot, Phishing, network security, Honeynet 0引言 “蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1](The Honey net Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 1蜜罐技术
蜜罐系统搭建与测试分析
蜜罐系统搭建与测试分析 互联网作为世界交互的接口,是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是,与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。作为安全防护工
蜜罐技术详解与案例分析
1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值
蜜罐及蜜网技术简介
蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟,2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告,包括蜜罐和蜜网的基本概念、发展历程、核心功能,并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击;蜜罐;蜜网;诱捕网络 1问题的提出 众所周知,目前的互联网安全面临着巨大的考验。美国CERT(计算机应急
响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。 针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。 “知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
蜜罐技术在防御DDoS中的应用
万方数据
2010年第4期汪北阳:蜜罐技术在防御DDoS中的应用 7l 具有足够威胁的攻击; (2)使攻击者攻击不到真正的目标[10】。 具体方式是切断图1中的两个控制信息流中的任意一个,或者切断攻击流。蜜罐布置如图2所示的 网络结构,在DMZ区有web、E—mail、DNS、m四个 服务器,这些服务器是向外提供Internet服务的,在DMZ区同时也布置一些蜜罐系统,这些蜜罐系统中也分别配置成以上四种服务器中的一种,DIVIZ区与Intemet用一个防火墙隔离。这些蜜罐的作用是代替 真实服务器接收由攻击傀儡机发送的攻击包。内部 局域网被一个防火墙与DMZ区隔离,包括若干台主机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包 的重定向机制¨¨。 图2蜜罐布置网 2.2安全防范框架 (1)蜜罐技术在防范DDoS攻击中的作用:①目前主流的防火墙都有检测DDoS攻击的功能[121,在防火墙检测到DDoS攻击后启用重定向功能,将攻击流重定向到蜜罐主机(切断攻击流);②同时蜜罐主机由于也配置有服务器相同的服务软件,并且由于蜜罐系统具有相对容易攻击的特点,可以吸引黑客的攻击,稀释对受保护主机的攻击;③吸引黑客入侵蜜罐,以蜜罐主机为控制傀儡机,由蜜罐系统控制这些信息流(切断控制信息);④蜜罐系统内安装安全日志,可以记录不同的攻击行为,以供学习。 攻击流 防火±i{{} 芷常访问 服务器 日志服务器 图3网络安全系统框图 (2)利用蜜罐技术防范DDoS攻击的原理,如图3所示。防火墙系统将攻击流量重定向到蜜罐,由蜜罐系统做出回应并进行日志记录。有些攻击可能突 破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记录加密后发送到日志服务器,这台服务器是低交互并加固的,很难被入侵u31。 3应用蜜罐技术防御DoS攻击的性能分析 对上述方案进行了攻击防范实验。攻击采用分 布式的SYNFlood,设置攻击傀儡机的攻击速度从2. 2Mbps开始逐渐提高,网络带宽为100Mbps。服务器方由4个真实系统和4个伪装成服务器的蜜罐主机 组成[131。在SYNFlood攻击过程中,单个服务器主 机和蜜罐受到的攻击流量如图4所示。 0 "I∞l∞∞0250 m 图4单个服务器主机和蜜罐受到的攻击流量 为避免被攻击者察觉,这里所选用的蜜罐设置为低安全措施、有漏洞的真实系统[141。一旦防火墙发现攻击者在试图搜寻或入侵网络主机,就会通过地址重定向将这些信息发送到合适的蜜罐,蜜罐将根据初始设置向攻击者发送他所期待的应答,使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”,在蜜罐上安装攻击软件并向这些蜜罐发送控制信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P.,一个网络中有普通主机数k,每一台主机被成功入侵的概率 为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2(1-P。)k/(k+g),入侵蜜罐的概率是Pl+(1一P1)g/(k+g)。 通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的概率P。,降低主机被入侵的概率P2。由图4可见,采用上述蜜罐方案,能明显降低攻击者通过入侵足够数量的主机发起高强度DDoS攻击的概率,并能够有效地降低服务器主机所受到的攻击强度。 ”¨¨ ”蛐¨“ “n 攻击覆量¨ H 黜攀 啵卫机生撇 重一 万方数据
浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用 摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国 际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。 关键词:蜜罐;蜜网;网络安全 1 引言 随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。 2 蜜罐技术 防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。 而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。 蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。 实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。 3 蜜罐技术的分类和比较 目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、
蜜罐技术论文
蜜罐技术论文 摘要:蜜罐(Honeypot)是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客)而设计的,蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有对蜜罐尝试都被视为可疑的。蜜罐的另一个用途是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。简单点一说:蜜罐就是诱捕攻击者的一个陷阱。 关键词:设计蜜罐;蜜罐的分类;拓扑位置;安全价值;信息收集 一、设计蜜罐 现在网络安全面临的一个大问题是缺乏对入侵者的了解。即谁正在攻击、攻击的目的是什么、如何攻击以及何时进行攻击等,而蜜罐为安全专家们提供一个研究各种攻击的平台。它是采取主动的方式,用定制好的特征吸引和诱骗攻击者,将攻击从网络中比较重要的机器上转移开,同时在黑客攻击蜜罐期间对其行为和过程进行深入的分析和研究,从而发现新型攻击,检索新型黑客工具,了解黑客和黑客团体的背景、目的、活动规律等。 蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。 设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。 不过,设置蜜罐并不是说没有风险。这是因为,大部分安全遭到危及的系统会被黑客用来攻击其它系统。这就是下游责任(downstream liability),由此引出了蜜网(honeynet)这一话题。 而是防止蜜罐建立出站连接。不过,虽然这种方法使蜜罐不会破坏其它系统,但同时很容易被黑客发现。 二、蜜罐的分类 根据蜜罐的交互程度,可以将蜜罐分为3类: 蜜罐的交互程度(Level of Involvement)指攻击者与蜜罐相互作用的程度。 ⑴低交互蜜罐 只是运行于现有系统上的一个仿真服务,在特定的端口监听记录所有进入的数据包,提供少量的交互 功能,黑客只能在仿真服务预设的范围内动作。低交互蜜罐上没有真正的操作系统和服务,结构简单, 部署容易,风险很低,所能收集的信息也是有限的。 ⑵中交互蜜罐 也不提供真实的操作系统,而是应用脚本或小程序来模拟服务行为,提供的功能主要取决于脚本。在 不同的端口进行监听,通过更多和更复杂的互动,让攻击者会产生是一个真正操作系统的错觉,能够 收集更多数据。开发中交互蜜罐,要确保在模拟服务和漏洞时并不产生新的真实漏洞,而给黑客渗透 和攻击真实系统的机会。 ⑶高交互蜜罐
蜜罐与蜜网技术的研究与分析
\.网络通讯及安全......本栏目责任编辑:冯誓 蜜罐与蜜网技术的研究与分析 邹文.唐心玉 (湖南商学院,湖南长沙410205) “ 摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。 关键词:蜜罐;蜜网;防火墙;入侵检测系统 文章编号:1009-3044(2008)们r-1121枷3 中图分类号:TP393文献标识码:A TheResearchandAnalysisofHoneypotandHoneynet ZOUWen,TANGXin-yu O-IunanUniversityofCommerce,Cl[1angsha410205,chim) Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet. Keywords:honeypot;honeynet;inumiondetectionsystem;firewall 1引言 随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。 2蜜罐的定义和国内外研究现状 2.1譬罐的定义 蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。 蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。 2.2蜜罐的国内外研究现状 目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。 在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。 ●_3蜜罐的分类~ 按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐: 产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。 研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研 收稿日期:2008一01—08 作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。 1214,劫电_知识与拄木 万方数据
蜜罐技术是什么
第一章蜜鑲技术 蜜罐(HOneyPOtTeChnOlOgy)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所而对的安全威胁,并通过技术和後理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知逍他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2?1蜜罐的定义 首先我们要弄淸楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的"黑匝子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一左査得到痕迹……因此,蜜罐的定义是:"蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。" 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2?2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一沱的漏洞,但是我们也知道,很多漏洞都属于"高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做"跳板"(指入侵者远程控制一台或多台被入侵的计算机对别的汁算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设宜一台蜜罐必须而对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。 对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜
蜜罐技术及其应用研究
蜜罐技术及其应用研究 文章首先介绍了蜜罐技术的定义、发展及分类,分析了蜜罐系统的关键技术,阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 标签:蜜罐;Honeyd;蜜网 1 蜜罐技术概述 1.1 蜜罐技术的定义 The Honeynet Project(蜜网项目组)创始人Lance Spitzner给蜜罐的定义是:蜜罐是一种安全资源,它的价值就在于被探测、被攻击或被攻陷。其主要功能:一是通过构建蜜罐环境诱骗攻击者入侵,从而保护业务系统安全;二是诱骗成功之后捕获攻击数据进行分析,了解并掌握入侵者使用的技术手段和工具,调整安全策略以增强业务系统的安全防护。 1.2 蜜罐技术发展历程 蜜罐技术的发展经历了三个阶段: 1.2.1 蜜罐(Honeypot)。从1990年蜜罐概念提出到1999年,研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具,广泛应用于商业领域。 1.2.2 蜜网(Honeynet)。1999年蜜网项目组提出并实现,目前已发展到第三代蜜网技术,已有项目应用。 1.2.3 蜜场(Honeyfarm)。2003年由Lance Spitzner首次提出蜜场思想,处于研究阶段。 1.3 蜜罐技术分类 蜜罐技术可以从不同的角度进行分类: 根据系统应用目标不同,将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障,主要包括攻击检测、防范攻击造成破坏等功能,且较容易部署,不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动,如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 根据系统交互级别不同,将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现,攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建,提供给攻击者真实的系统和服务,可以获得大量有用信息。