蜜网技术.docVIP

蜜网技术 添加摘要 目录 [隐藏] 1 基本概念 2 分类 3 虚拟蜜网 4 核心需求 5 应用 6 发展趋势 蜜网技术-基本概念 ? 蜜网是在蜜罐技术上逐渐发展起来的一个新的概念，又可成为诱捕网络。蜜罐技术实质上还是一类研究型的高交互蜜罐技术。其主要目的是收集黑客的攻击信息。但与传统的蜜罐技术的差异在于，蜜网构成了一个黑客诱捕网络体系架构，在这个架构中，可以包含一个或多个蜜罐，同时保证网络的高度可控性，以及提供多种工具以方便对攻击信息的采集和分析。一般的网络拓扑结构如图所示： ? ? ? ? ? ? ? 蜜网技术-分类 ? （1）根据交互级别的不同根据蜜网与攻击者之间进行的交互对蜜网进行分类，可以将蜜网分为低交互蜜网、中交互蜜网和高交互蜜网。低交互蜜网仅提供一些简单的虚拟服务，例如监听某些特定端口。该类蜜网风险最低，但或多或少存在着一些容易被黑客所识别的指纹（Fingerprinting）信息。中交互蜜网提供了更多的可交互信息，它能够预期一些活动，并可以给出一些低交互蜜网无法给予的响应，但是仍然没有为攻击者提供一个可使用的操作系统。同时诱骗进程变得更加复杂，对特定服务的模拟变得更加完善的同时，风险性也更大了。高交互蜜网为攻击者提供一个真实的支撑操作系统。此类蜜网复杂度和甜度大大增加，收集攻击者信息的能力也大大增强。但蜜网也具有高度危险，攻击者最终目标就是取得root权限，自由存取目标机上的数据，然后利用已有资源继续攻击其它机器。究竟使用何等交互级别的蜜网取决于所要实现的目标。 （2）根据部署目的的不同按照部署目的不同分为产品型蜜网和研究型蜜网两类。产品型蜜网为一个组织的网络提供安全保护，包括检测攻击、防止攻击造成破坏及帮助管理员对攻击做出及时正确的响应等功能。较具代表性的产品型蜜网包括DTK, honeyd等开源工具和KFSensor,ManTraq等一系列的商业产品。研究型蜜网则是专门用于对黑客攻击的捕获和分析，通过部署研究型蜜网，对黑客攻击进行追踪和分析，能够捕获黑客的击键记录，了解黑客所使用的攻击工具及攻击方法。 蜜网技术-虚拟蜜网 ? 虚拟蜜网是通过应用虚拟操作系统软件（如VMWare和UserModeLinux等）使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜网的代价大幅降低，也容易部署和管理，但同时也带来更大的风险，黑客有可能识别出虚拟操作系统软件的指纹，也可能攻破虚拟操作系统软件从而获得整个蜜网的控制权。 蜜网技术-核心需求 ? 蜜网有三大核心需求：数据控制，数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全，以减轻蜜网架设的风险；数据捕获技术能够检测并审计黑客攻击的所有行为数据；而数据分析技术则安全研究人员从捕获的数据中分析出黑客的攻击行动，使用工具及其意图。 蜜网技术-应用 ? （1）抗蠕虫病毒 蠕虫的一般传播过程为扫描、感染、复制三个步骤。经过大量扫描，当探测到存在漏洞的主机时，蠕虫主体就会迁移到目标主机。然后在被感染的主机上生成多个副本，实现对计算机监控和破坏。利用蜜网技术，可以在蠕虫感染的阶段检测非法入侵行为，对于已知蠕虫病毒，可以通过设置防火墙和IDS 规则，直接重定向到蜜网的蜜罐中，拖延蠕虫的攻击时间；对于全新的蠕虫病毒，可以采取办法延缓其扫描速度，在网络层用特定的、伪造数据包来延迟应答，同时利用软件工具对日志进行分析，以便确定相应的对抗措施。 （2）捕获网络钓鱼 网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息的一种攻击方式。目前的反网络钓鱼工作组等机构寄希望于发觉网络钓鱼攻击的用户向他们报告，通过报告再进行分析。这种途径只能在网络钓鱼攻击发生后从受害者的角度去观察，并不能清晰地了解网络钓鱼攻击的全过程。而蜜网技术则提供了捕获整个过程中攻击者发起攻击行为的能力，在蜜网中的蜜罐都是初始安装的没有打漏洞补丁的系统，一旦部署的蜜网被网络钓鱼者以进行网络钓鱼攻击，安全分析人员就能及时在蜜网捕获的丰富日志数据的基础上，对网络钓鱼攻击的整个生命周期建立起一个完整的理解，并深入剖析各个步骤钓鱼者所使用的技术手段和工具。 （3）捕获僵尸网络 僵尸网络是近年来兴起的危害Internet的重大威胁之一，它的危害体现在发动分布式拒绝服务攻击、发送垃圾邮件以及窃取僵尸主机内的敏感信息等。因此，我们可以考虑利用在网络中部署恶意软件收集器，对收集到的恶意软件样本采用蜜网技术对其进行分析，确认是否僵尸程序，并对僵尸程序所要连接的僵尸网络控制信道的信息进行提取，最后通过客户端蜜罐技术，伪装成被控制的僵尸工具，进入僵尸网络进行观察和跟踪。 蜜网技术-发展趋势 ? （1）提高蜜网的可移植性 目前的操作系