蜜网技术
浅议蜜网技术
摘要:蜜罐技术改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法,而是提出全新的“请君入瓮”主动防御概念。虽然蜜罐技术目前仍存在很多争议,但它无疑是学习敌方情报最好的工具。本文主要从蜜网的功能、蜜网系统的总体设计、蜜网系统的测试三方面对蜜网技术进行了浅议。
关键词:蜜网;蜜罐;功能;测试;总体设计
蜜罐技术思想本质就是使用“蜜”来诱骗入侵者入侵,通过精心布置的“罐”来监控入侵者的入侵行为,尽可能多地捕获并学习入侵者相关信息,从而间接或直接地保护系统安全。它改变了传统网络安全防御技术一律将入侵者“拒之门外”的被动做法,而是提出全新的“请君入瓮”主动防御概念。虽然蜜罐技术目前仍存在很多争议,但它无疑是学习敌方情报最好的工具。
一、简述蜜网的功能
1.欺骗功能。在蜜网内设置多个有不同操作系统的蜜罐主机,如windows系统和linux系统,在不同的蜜罐主机上开放不同的网络服务,以此来模拟真实的系统和真实的服务。在这个系统中,其欺骗功能程度主要依赖于各蜜罐主机仿真的逼真程度。由此可见,该蜜网系统实质是一个实施欺骗的蜜罐主机的集合。
2.数据控制功能。构建蜜网时,通常在防火墙与各蜜罐群集之间,还会设置一个路由器。放置路由器的原因有二:首先,路由器的存在使防火墙具有“不可见”性,入侵者攻入蜜罐后可能会察看蜜罐
蜜罐技术是什么
第一章蜜罐技术 蜜罐(Honeypot Technology)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所 以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2.1蜜罐的定义 首先我们要弄清楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都 有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的“黑匣子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送 给入侵者的礼物,即使被入侵也不一定查得到痕迹……因此,蜜罐的定义是:“蜜罐是一个 安全资源,它的价值在于被探测、攻击和损害。” 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此 我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2.2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一定的漏洞,但是我们也知道,很多漏洞都属 于“高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设置一台蜜罐必须面对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜 罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员 恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。
网络诱骗技术之蜜罐
网络诱骗技术之蜜罐 摘要:基于主动防御理论系统而提出的新兴蜜罐技术,日益受到网络安全领域的重视,蜜罐主要通过精心布置的诱骗环境来吸引和容忍入侵,进而了解攻击思路、攻击工具和攻击目的等行为信息,特别是对各种未知攻击行为信息的学习。根据获取的攻击者得情报,安全组织就能更好地理解网络系统当前面临的危险,并知道如何阻止危险的发生。本文首先系统地介绍了蜜罐和蜜罐网络诱骗系统的原理知识及关键技术,重点阐述了蜜罐的发展趋势及研究方向。 关键词:蜜罐、网络诱骗、网络安全、蜜网 Phishing technology Honeypot (Northeastern University at Qinhuangdao, Qinhuangdao, 066004) Abstract: Based on active defense system proposed by the emerging theory of honeypot technology, increasingly the importance of network security, honeypots, mainly through careful layout of the environment to attract and tolerance decoy invasion, and then understand the idea of attack, attack tools, and the purpose of acts such as attacks information, especially information on a variety of learning unknown attacks. According to the attacker have access to intelligence and security organizations can better understand the danger facing the network system, and how to prevent dangerous place. This article first systematic introduction to honeypots and honeypot network decoy system, the principle knowledge and key technologies, focusing on trends and honeypot research. Keywords: Honeypot, Phishing, network security, Honeynet 0引言 “蜜罐”这一概念最初出现在1990年出版的一本小说《The Cuckoo’s Egg》中,在这本小说中描述了作者作为一个公司的网络管理员,如何追踪并发现一起商业间谍案的故事。“蜜网项目组”[1](The Honey net Project)的创始人Lance Spitzner 给出了对蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷。这个定义表明蜜罐并无其他实际作用,因此所有流入/流出蜜罐的网络流量都可能预示了扫描、攻击和攻陷。而蜜罐的核心价值就在于对这些攻击活动进行监视、检测和分析。 1蜜罐技术
蜜罐系统搭建与测试分析
蜜罐系统搭建与测试分析 互联网作为世界交互的接口,是各国互联网管理的必由之路。速度快、多变化、无边界、多维度的网络传播,不仅加速了全球化的进程,也减少差异阻隔,尤其在全球经济一体化发展的背景下,互联网已成为各国政治、文化和经济融合与博弈的重要场域。但是,与此同时互联网安全面临着巨大的考验。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如 PacketStorm 网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架的出现。 当网络被攻陷破坏后,我们甚至还不知道对手是谁,他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。作为安全防护工
蜜罐技术详解与案例分析
1.引言 随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。2003年夏天,对于运行着Microsoft Windows的成千上万台主机来说简直就是场噩梦!也给广大网民留下了悲伤的回忆,这一些都归结于冲击波蠕虫的全世界范围的传播。 2.蜜罐技术的发展背景 网络与信息安全技术的核心问题是对计算机系统和网络进行有效的防护。网络安全防护涉及面很广,从技术层面上讲主要包括防火墙技术、入侵检测技术,病毒防护技术,数据加密和认证技术等。在这些安全技术中,大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而蜜罐技术可以采取主动的方式。顾名思义,就是用特有的特征吸引攻击者,同时对攻击者的各种攻击行为进行分析并找到有效的对付办法。(在这里,可能要声明一下,刚才也说了,“用特有的特征去吸引攻击者”,也许有人会认为你去吸引攻击者,这是不是一种自找麻烦呢,但是,我想,如果攻击者不对你进行攻击的话,你又怎么能吸引他呢?换一种说话,也许就叫诱敌深入了)。 3. 蜜罐的概念 在这里,我们首先就提出蜜罐的概念。美国 L.Spizner是一个著名的蜜罐技术专家。他曾对蜜罐做了这样的一个定义:蜜罐是一种资源,它的价值是被攻击或攻陷。这就意味着蜜罐是用来被探测、被攻击甚至最后被攻陷的,蜜罐不会修补任何东西,这样就为使用者提供了额外的、有价值的信息。蜜罐不会直接提高计算机网络安全,但是它却是其他安全策略所不可替代的一种主动防御技术。 具体的来讲,蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,可以网络安全专家通过精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。不过,它仅仅是一个对其他系统和应用的仿真,可以创建一个监禁环境将攻击者困在其中,还可以是一个标准的产品系统。无论使用者如何建立和使用蜜罐,只有它受到攻击,它的作用才能发挥出来。 4.蜜罐的具体分类和体现的安全价值
蜜罐及蜜网技术简介
蜜罐及蜜网技术简介 Introduction to Honeypot and Honeynet 北大计算机科学技术研究所 信息安全工程研究中心 诸葛建伟,2004-10-15 Abstract The purpose of this paper is to overview the honeypot and honeynet technologies, including the concept, history, present and future. The most well known and applicable honeynet – Gen2 honeynet framework developed by The Honeynet Project is introduced. Furthermore, the emerging research directions in this area are presented. 摘要 本文给出了对蜜罐及蜜网技术的综述报告,包括蜜罐和蜜网的基本概念、发展历程、核心功能,并介绍了目前最为成熟的“蜜网项目组”推出的第二代蜜网架构。此外本文还给出了蜜罐及蜜网技术的进一步研究方向。 关键字 网络攻击;蜜罐;蜜网;诱捕网络 1问题的提出 众所周知,目前的互联网安全面临着巨大的考验。美国CERT(计算机应急
响应组)统计的安全事件数量以每年翻番的惊人指数级增长,在2003年已经达到了137,529次。 导致互联网目前如此糟糕的安全状况的原因有很多,一方面是由于互联网的开放性和各种操作系统、软件的缺省安装配置存在很多安全漏洞和缺陷,同时,大部分的网络使用者还未真正拥有安全意识,也还很少进行安全加强工作,如及时打补丁、安装防火墙和其他安全工具等,从而导致了目前的互联网具有巨大的安全隐患。另一方面,随着网络攻击技术的发展,特别是分布式拒绝服务攻击、跳板(Step-stone)攻击及互联网蠕虫的盛行,互联网上的每一台主机都已经成为攻击的目标。此外,黑客社团也不像互联网早期那么纯洁,不再仅仅为了兴趣和炫耀能力而出动,而更多的由于国家利益、商业利益及黑暗心理等因素促使其对互联网安全构成危害。同时攻击者也不再需要很多的专业技术和技巧,他们可以很方便地从互联网上找到所需的最新攻击脚本和工具(如PacketStorm网站)。而这些由高级黑客们开发的攻击脚本和工具越来越容易使用,功能也越来越强,能够造成的破坏也越来越大。特别值得注意的一个趋势是多种攻击脚本和工具的融合,如大量的内核后门工具包(Rootkit),及能够集成多种攻击脚本并提供易用接口的攻击框架(如在2004年DEFCON黑客大会中引起广泛关注的Metasploit)的出现。 针对如此严重的安全威胁,而我们却仍然对黑客社团所知甚少。当网络被攻陷破坏后,我们甚至还不知道对手是谁(黑客、脚本小子还是蠕虫?),对他们使用了哪些工具、以何种方式达成攻击目标,以及为什么进行攻击更是一无所知。 “知己知彼,百战不殆”,安全防护工作者,无论是安全研究人员、安全产品研发人员、安全管理人员和安全响应服务人员,都需要首先对黑客社团有深入的了解,包括他们所掌握的攻击技术、技巧和战术、甚至心理和习惯等。只有在充分了解对手的前提下,我们才能更有效地维护互联网安全。而蜜罐和蜜网技术为捕获黑客的攻击行为,并深入分析黑客提供了基础。
浅谈蜜罐技术及其应用
浅谈蜜罐技术及其应用 摘要::蜜罐技术是信息安全保障的研究热点与核心技术。本文介绍了目前国 际上先进的网络安全策略一蜜罐技术,并对近年来蜜罐技术的研究进展进行了综述评论。同时也探讨一种全新的网络安全策略一蜜网。 关键词:蜜罐;蜜网;网络安全 1 引言 随着计算机网络技术的发展,网络在世界经济发展中的地位已十分重要。然而在网络技术日益发展的同时“黑客”们对网络的攻击从未停止过。我们目前的主要防范策略就是构建防火墙。通过防火墙来阻止攻击,保障网络的正常运行。 2 蜜罐技术 防火墙确实起到了一定的保护作用,但是细想一下,这样却不近常理,“黑客”们在不断的攻击,我们的网络总是处于被动的防守之中。既不知道自己已被攻击,也不知道谁在攻击。岂有久攻不破之理。虽然网络安全技术在不断的发展,“黑客”们攻击方法也在不断翻新,在每次的攻击中“黑客”们并没有受到任何约束和伤害,一次失败回头再来。而且在这众多“黑客”对个别营运商的局面下,我们是否太被动了,稍有不周就遭恶运。 而蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还交可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社网络。 蜜罐Honeypot以及蜜罐延伸技术,当前十分流行,它已不是一种新的技术,可以说是一大进步的安全策略。它使我们知道正在被攻击和攻击者,以使“黑客”们有所收敛而不敢肆无忌惮。蜜罐的引入,类似于为网络构建了一道防火沟,使攻击者掉入沟中,装入蜜罐以至于失去攻击力,然后再来个瓮中捉鳖。关于蜜罐,目前还没有一个完整的定义。读者可以参阅Clif Stoil所著“Cuckoo’s"Egg'’,和Bill Cheswick所著“An Ev witll Be Id”。在此我们把蜜罐定义为“一种被用来侦探,攻击或者缓冲的安全资源”。当今处于商业运作的蜜罐技术方案主要是两种:商品型和研究型。商品型主要就是通过使黑客攻击蜜罐从而减轻网络的危险。研究型主要就是通过蜜罐来获得攻击者的信息,加以研究。实现知己知彼,既了解黑客们的动机,又发现我们所面临的危险,从而更好地加以防范。无论是商品型还是研究型蜜罐,他们的主要目的是被用来探测、攻击和潜在的开发利用。 实际上蜜罐就是一种工具,怎样使用该工具由你决定,并取决于你打算做什么。它是一个仿效系统或应用程序系统,它建立了一个监狱系统。它的主要目的就是诱人攻击。 3 蜜罐技术的分类和比较 目前蜜罐技术的应用比较广泛,主要用于攻击的检测、捕获、分析、取证、
蜜罐与蜜网技术的研究与分析
\.网络通讯及安全......本栏目责任编辑:冯誓 蜜罐与蜜网技术的研究与分析 邹文.唐心玉 (湖南商学院,湖南长沙410205) “ 摘要:本文给出了蜜罐和蜜网的定义及分类.介绍了蜜罐的主要技术原理。并且比较和分析了第一代和第二代蜜网模型。 关键词:蜜罐;蜜网;防火墙;入侵检测系统 文章编号:1009-3044(2008)们r-1121枷3 中图分类号:TP393文献标识码:A TheResearchandAnalysisofHoneypotandHoneynet ZOUWen,TANGXin-yu O-IunanUniversityofCommerce,Cl[1angsha410205,chim) Abstract:Thistextgivedefinitionandclassificationofhoneypotandhoneynet,introducedthemaintechniqueofhoneypot,andanalyzedthemodelofGenIandGenIIhoneynet. Keywords:honeypot;honeynet;inumiondetectionsystem;firewall 1引言 随着计算机网络技术的迅猛发展.开放式的网络体系的安全隐患日益明显地暴露出来,从上世纪八十年代至今各种计算机安全事件不断发生。传统意义上的网络安全,如防火墙、入侵检测系统、加密等等,都是被动防御的。它们的策略是,先考虑系统可能出现哪些问题,然后对问题进行分析解决,而蜜罐技术提出了一种新的网络安全防御策略,变被动防御为主动进攻,使其具有主动交互性。蜜罐系统的主要作用是学习了解人侵者的思路、工具、目的,通过获取这些信息,让互联网上的组织更好地了解他们所遇到的威胁.并且针对这些威胁及时找出相应的防御策略来提高系统的安全。 2蜜罐的定义和国内外研究现状 2.1譬罐的定义 蜜罐(HoneyPot)。是受到严密监控的网络诱骗系统,它通过真实或模拟的网络和服务来吸引攻击,从而在黑客攻击蜜罐期间对其攻击行为及过程进行记录分析,以搜集信息,同时对新攻击发出预警。蜜罐本身并不直接增强网络的安全性,但可以延缓攻击和转移攻击目标。简单地说.蜜罐就是诱捕攻击者的一个陷阱。 蜜Ii/l(Honeynet)是蜜罐技术的延伸和发展,是一种高交互性的蜜罐。在一台或多台蜜罐主机基础上,结合防火墙、路由器、入侵检测系统组成的网络系统。蜜网可以合理记录下攻击者的行动,同时尽量减小或排除对因特网上其它系统造成的风险。 2.2蜜罐的国内外研究现状 目前在国外的学术界.对蜜罐技术研究最多的是蜜网项目(HoneynetProject)组织.它是一个非官方,非营利的由30多位安全专家组成的组织.专门致力于了解黑客团体使用的工具、策略和动机。形成了一系列的理论基础,并提出了蜜网的一代、二代模型。 在国内.蜜罐、蜜网的研究还处于发展阶段,还没有形成自己的理论体系和流派,更没有成熟的产品。北京大学2004年9月狩猎女神项目启动(TheArtemisProject),随后加入蜜网研究联盟,是国内唯一的蜜网研究联盟成员。 ●_3蜜罐的分类~ 按照产品设计的目的可以将蜜罐分为产品型蜜罐和研究型蜜罐: 产品型蜜罐的目的是减轻组织受到的攻击的威胁。增强受保护组织的安全性。它们所做的工作就是检测并且对付恶意的攻击者。它一般运用于商业组织的网络中。 研究型蜜罐是专门以研究和获取攻击信息为目的设计。这类蜜罐并没有增强特定组织的安全性,恰恰相反,蜜罐要做的是让研 收稿日期:2008一01—08 作者简介:邹文(1981-).女,湖南长沙人.湖南商学院助教,在读硕士.研究方向:网络安全。 1214,劫电_知识与拄木 万方数据
蜜罐技术是什么
第一章蜜鑲技术 蜜罐(HOneyPOtTeChnOlOgy)技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所而对的安全威胁,并通过技术和後理手段来增强实际系统的安全防护能力。 蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知逍他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。 第二章详细解释 2?1蜜罐的定义 首先我们要弄淸楚一台蜜罐和一台没有任何防范措施的计算机的区别,虽然这两者都有可能被入侵破坏,但是本质却完全不同,蜜罐是网络管理员经过周密布置而设下的"黑匝子”,看似漏洞百出却尽在掌握之中,它收集的入侵数据十分有价值;而后者,根本就是送给入侵者的礼物,即使被入侵也不一左査得到痕迹……因此,蜜罐的定义是:"蜜罐是一个安全资源,它的价值在于被探测、攻击和损害。" 设计蜜罐的初衷就是让黑客入侵,借此收集证据,同时隐藏真实的服务器地址,因此我们要求一台合格的蜜罐拥有这些功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。另外一个功能由管理员去完成,那就是在必要时候根据蜜罐收集的证据来起诉入侵者。 2?2涉及的法律问题 蜜罐是用来给黑客入侵的,它必须提供一沱的漏洞,但是我们也知道,很多漏洞都属于"高危”级别,稍有不慎就会导致系统被渗透,一旦蜜罐被破坏,入侵者要做的事情是管理员无法预料的。例如,一个入侵者成功进入了一台蜜罐,并且用它做"跳板"(指入侵者远程控制一台或多台被入侵的计算机对别的汁算机进行入侵行为)去攻击别人,那么这个损失由谁来负责?设宜一台蜜罐必须而对三个问题:设陷技术、隐私、责任。 设陷技术关系到设置这台蜜罐的管理员的技术,一台设置不周全或者隐蔽性不够的蜜罐会被入侵者轻易识破或者破坏,由此导致的后果将十分严重。 由于蜜罐属于记录设备,所以它有可能会牵涉到隐私权问题,如果一个企业的管理员恶意设计一台蜜罐用于收集公司员工的活动数据,或者偷偷拦截记录公司网络通讯信息,这样的蜜罐就已经涉及法律问题了。 对于管理员而言,最倒霉的事情就是蜜罐被入侵者成功破坏了。有人也许会认为,既然蜜
蜜罐技术及其应用研究
蜜罐技术及其应用研究 文章首先介绍了蜜罐技术的定义、发展及分类,分析了蜜罐系统的关键技术,阐述了蜜罐技术的具体应用。最后总结了蜜罐技术的优缺点和发展。 标签:蜜罐;Honeyd;蜜网 1 蜜罐技术概述 1.1 蜜罐技术的定义 The Honeynet Project(蜜网项目组)创始人Lance Spitzner给蜜罐的定义是:蜜罐是一种安全资源,它的价值就在于被探测、被攻击或被攻陷。其主要功能:一是通过构建蜜罐环境诱骗攻击者入侵,从而保护业务系统安全;二是诱骗成功之后捕获攻击数据进行分析,了解并掌握入侵者使用的技术手段和工具,调整安全策略以增强业务系统的安全防护。 1.2 蜜罐技术发展历程 蜜罐技术的发展经历了三个阶段: 1.2.1 蜜罐(Honeypot)。从1990年蜜罐概念提出到1999年,研究人员相继开发了欺骗工具包DTK、虚拟蜜罐Honeyd等工具,广泛应用于商业领域。 1.2.2 蜜网(Honeynet)。1999年蜜网项目组提出并实现,目前已发展到第三代蜜网技术,已有项目应用。 1.2.3 蜜场(Honeyfarm)。2003年由Lance Spitzner首次提出蜜场思想,处于研究阶段。 1.3 蜜罐技术分类 蜜罐技术可以从不同的角度进行分类: 根据系统应用目标不同,将蜜罐分为产品型和研究型蜜罐。产品型蜜罐可以为系统及网络安全提供保障,主要包括攻击检测、防范攻击造成破坏等功能,且较容易部署,不需要管理人员投入太多精力。研究型蜜罐主要用于研究活动,如吸引攻击、搜集信息、探测新型攻击及黑客工具等功能。 根据系统交互级别不同,将蜜罐分为低交互和高交互蜜罐。低交互蜜罐通过模拟操作系统和服务来实现,攻击者只被允许少量的交互行为。高交互蜜罐通常由真实的操作系统构建,提供给攻击者真实的系统和服务,可以获得大量有用信息。